中国石油大学的网络建设和探索可以追溯到上世纪九十年代初期,但真正通过接入中国教育和科研计算机网CERNET,拥有自己的域名是1996年11月。当年通过14.4KDDR拨号接入了CERNET华东北节点——东南大学,为师生提供电子邮件和简单的互联网接入服务;2004年借青岛新校区建设的机会,构建了三层架构、千兆骨干、百兆接入的第二代石大校园网络,同时开始提供一卡通服务;2014年,开始了v4/v6双栈、支持SDN、40G骨干、千兆接入、大二层、接入零配置的第三代石油大学校园网建设。
中国石油大学校园网络的现状
如今,中国石油大学校园网,全校采用一体化认证模式,教工使用工号、学生使用学号做帐号,一套帐号密码可实现登录校园有线网络、无线网络、VPN、数字石大等应用系统,提供统一的用户认证身份。目前,学生宿舍的无线网络由中国移动投资建设与学校合作运营,教学区域、部分办公区、热点公共区域实现无线覆盖,2016年年底完成除学生宿舍外的所有区域的无线信号高密度完整覆盖,2017年完成学生宿舍楼的校园纯无线网络建设。
校园无线网络提供web、802.1x等认证模式,支持eduroam无线漫游,并为来访嘉宾提供便利的网络身份申请,任何教职工均能通过数字石大提交帐号申请,自主创建网络帐号并通过短信直接发送到嘉宾的手机上,且帐号在校内实现完整漫游。
现在校园网络总出口达到10G。包括学校独立运营的校园网以及在学生宿舍与联通、移动、电信等三家运营商合作的出口服务,基本保证了校内师生的使用需求。
办公区和学生宿舍网络完全实现了网络的扁平化,通过bras设备对用户的统一接入认证管理,实现对用户准入认证及网络权限策略的管理,交换机和线路只提供网络接入通道,两台bras设备实现热备与冗余。
教学区实现光纤进教室,构建新的教学网络环境。将光纤接入教室,每个教室均配置一台24口PoE交换机,教室内所有终端均接入到该交换机,包括需要通过PoE供电的设备,并实现SDN的相关应用,通过基于SDN组网,极大地提升网络的智能性。
教学环境的构建
传统网络存在的问题
1.网搭建复杂
随着教学设备的增加,教室内基于网络的应用越来越多,在同一张网上承载了一卡通、中控、网络电话、无线、视频监控、屏显、录播等专网,传统通过VLAN隔离的方式划分专网,不同汇聚通过VLAN透传的方式来实现,这就对教学管理老师的技术能力提出了更高的要求,也增加了日常运维工作的复杂性。
2.故障设备更换费时费力
随着光纤进教室的深入,整个教学网络有300余台接入交换机,日常的工作中经验会遇到接入交换机故障需要整机更换的问题,这就需要一名老师扛着设备到现场,接上电源,并按原来的顺序插上网线,再导入原来交换机的配置,如果接入交换机配置丢失,则需要重新配置。
3.终端设备无法灵活移动
传统教学网络终端设备往往与物理位置紧耦合。教学管理老师根据地理位置、楼栋,划分若干个网段,终端基本不能大范围移动;如果要移动,所有配置均要重新配置。
基于应用的教学网方案说明
为了解决上述问题,中国石油大学(华东)教学网采用了基于应用的架构,具体如下:
学校的教学网络由核心、汇聚(多汇聚)、接入三层(接入设备可以多层)设备组成,外部搭配SDN控制器。如图1所示。
汇聚和核心设备之间构建overlay网络,构建一个无状态网络,同时采用分布式L3网关并通过可靠的机制有效地抑制广播风暴,接入层设备采用不同的VLAN进行接入位置的标识,通过TRUNK的方式上行到汇聚层,汇聚层完成VLAN到VXLAN的映射。
策略管理上采用了面向用户的分组模式,将属性或者访问权限相近的用户分到一个用户组中,同时也将服务器侧的资源划分到相应的用户组进行统一管理。策略定义时,基于矩阵表格的方式简单直观。具体策略的定义可简单可复杂,以实现各种高级复杂的策略控制功能。
支持用户终端在整个生命周期中用户和IP一对一的需求(如基于安全性需要可与端口进行绑定),终端不管移动到哪里,可以做到终端始终获取唯一固定的IP,简化后期的运维。
整网的核心是SDN控制器组件。所有对网络的自动化上线、接入管理、用户组/策略管理、业务配置管理、网络运维管理全部在SDN控制器上通过直观的图形化界面完成。SDN控制器将管理员的操作在后台转化为网络设备的具体命令下发给设备执行。
基于应用的教学网方案价值
基于应用的教学网最大的两个特征是柔性网络和软件定义。
1.柔性网络
柔性一方面指网络架构本身非常灵活,业务部署(应用/终端)可以做到与位置无关;另一方面指彻底改变传统网络通道就绪,终端和人根据位置匹配通道的模式,将人和应用作为中心,所有网络的资源跟随人和应用移动。
(1)无状态网络
无状态网络的核心是位址分离;传统的网络,IP地址即是终端的标识,同时也是终端位置的标识,因为IP确定意味着它必须位于某个三层网关所在的位置。网络中采用“位址分离”的方案,位指位置,址指IP地址,位址分离就是IP地址与位置解耦,让IP地址可以在任意位置接入,无需改变网络的配置。
(2)用户策略随行
名址绑定,名址绑定就是用户和IP地址一一对应;传统网络用户名和IP地址是难以做到绑定的,DHCP的方式并不能保证单用户每次获取相同的IP,静态地址分配的方式又不能保障用户在移动过程中保持相同IP能够在不同的位置进行正常的网络连接;无状态网络本身提供了IP任意位置访问的能力,再配合名址绑定实现用户位置发生了变化,IP地址段也没有变,甚至IP地址没有变,针对IP的策略也没有变,而这种针对IP的策略其实就是针对用户的策略,最终实现了用户的策略随行。
除了用户和IP绑定,在某些场合可能不需要做非常强的捆绑,这时可以提供业务和IP网段的绑定,或者用户组和IP网段的绑定,比如:视频监控终端尽管分布在全网任意位置,但可以将其IP全部分配在某一个网段之内;也可以将其分配在同一个网段内;最终实现通过IP段标识用户组或业务组。
(3)网随人动
将人和应用作为核心,所有网络的资源跟随人和应用移动,用户在哪里接入、资源就下发到哪里,真正体现柔性网络的网随人动的特点。
(4)网络虚拟通道隔离
整网采用overlay的技术,天然具备跨广域网的通道隔离能力,相比MPLS的隔离方式,VXLAN的隔离只需要在端点(VTEP)做隔离,不需要全网隔离,端点之间只需要IP互通即可。
(5)弹性扩展,扩容无忧
使用标准的EVPN协议(RFC7348+draft-sd-l2vnp-evpn-overlay,RFC7209,RFC7432)作为VXLAN的控制平面构建了分布式网关的组网模型,解决了VXLAN依赖于数据平面的flood-and-learn学习远端地址信息所带来的BUM报文广播问题;避免了采用集中式网关组网模型下,全网的规模受限于核心层网关单台设备的标箱规格的局限;使得教学网内的流量可以按照最优的路径进行转发,避免了绕行及对核心设备的冲击;同时借助EVPN协议完成,校园网络的初始化配置,避免了过多的人为手工配置,是自动化部署的技术基础。正因如上的诸多好处,使得EVPN成为校园网的控制平面首选。采用了EVPN的校园网络的规模可以进一步扩展,满足网络规模的不断发展。
2.软件定义
软件定义:主要是通过SDN的思想,将网络控制平台集中,实现网络运维极简,真正将网管人员从低价值劳动中解放出来,具体有以下几个亮点:
(1)设备自动部署
设备开箱,上电后自动加载版本,加载配置,网管人员零干预启动。自动部署的核心是因为基于应用的网络将整网的接入设备配置完全整合变成一份完全相同的配置文件,同时汇聚层设备也进行整合,变成一份相同的配置。这大大简化预配置文件编写的复杂度,使得各层次设备配置模板化,自动部署的成本和难度大大降低,同时也避免了人为误操作的风险,使得自动部署从理论变成现实。
(2)网络一键启动
通过控制器上的图形化的界面来完成用户、用户组相关的网络资源的定义;以及网络用户组之间的网络权限的定义。其中对于用户的定义不仅仅包括传统意义上的用户,还包括物联网终端的定义。
(3)可视化运维
管理员可以通过可视化的界面对网络进行配置,而不需要太多的网络知识。
围绕基于下一代互联网的研究,中国石油大学首先是组建联合实验室。借新一代校园网络改造的机会,学校和相关的公司合作成立SDN联合实验室,启动下一代互联网技术的研究;同时在校内,网络中心又与计算机与通讯工程学院合作,共同组建实验室,利用计通学院教师和学生的优势,并形成了计通学院专业教师、网络中心工程人员以及研究生、本科生的优秀团队。联合实验室结合实际提出研究课题。在2015、2016年连续两届全国SDN大赛中取得良好成绩。
(作者单位为中国石油大学)