(广东工贸职业技术学院,广东广州510510)
摘要:随着教育信息化建设的迅速发展,智慧校园的建设推进,传统的三层架构网络以及烟囱式的安全防护已经不适应新技术的网络需求。本文提出扁平化+SDN的网络结构,并应用于校园网络改造实践,为推进智慧校园建设有序展开提供了可靠的基础保障。
关键词:扁平化;SDN
一、引言
近年来,随着教育信息化建设的迅速发展,智慧校园的推进,多样化、多形式的校园网应用系统、业务系统的迅猛增加,由校园内部与外部简单的互联互通转向适应校内的丰富应用转变。特别是云计算、虚拟化、大数据的应用推广和大规模上线,传统的三层架构网络以及烟囱式的安全防护已经不适应新技术的网络需求。同时对当前校园网络自身的稳定性、复杂业务支持能力等带来了极大的挑战。
二、传统三层网络架构的不足
(一)传统网络架构
传统的网络架构分为核心层、汇聚层和接入层。核心层是高速网络交换的枢纽,对整个数据网络的连接起到重要的作用。汇聚层是网络接入层与核心层之间的连接层,它可以实现虚拟局域网(VLAN)之间的隔离和路由选路、数据转发、地址过滤等功能。接入层为本地网络段提供工作站接入服务。传统的防火墙、IPS和流控服务器都架在防火墙和核心交换机之间。如下图1所示:
图1传统三层架构
(二)三层网络架构存在的不足
1.网络功能扩展性差
为完美配合认证计费系统,一般采购的网络设备需同一家厂家产品,这样对于后续的业务扩展需要升级或者增加设备带来不便。
2.配置难度和维护量大
随着校园信息化的迅速发展,校园网络全覆盖,因而提供的网络设备也原来越多。传统的维护,如需根据业务需求修改网络,设备的维护量大。
3.用户管理困难
当网络出现攻击行为或者用户故障时,管理人员无法准确的定位用户位置或者用户身份,故无法快速的解决网络问题,影响到整个网络的使用体验。
4.烟囱方式部署方式故障点多
在传统组网模式中,为增加网络的安全性,主干部署各种设备,如防火墙、流量管理等设备,就像烟囱一样,串在网络出口处。这样存在单点故障、性能参差不齐,整个出口性能只能就低不就高等问题。
三、架构的改造技术
1.扁平化
网络扁平化体系结构分为业务控制层和用户接入层。业务控制层由核心层设备组成,提供网络用户接入控制、业务隔离功能实现等功能;用户接入层由汇聚层和接入层设备组成,汇聚与接入直接使用VLAN透明传输,只提供基本用户接入功能和安全隔离功能。这种结构可以使设备功能清晰,网络层次清晰,降低了业务和管理维护的复杂性,有利于校园网的管理和维护。
2.SDN技术
SDN是一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来。硬件控制和数据转发的分离更有利于对网络的集中控制,使控制层能够获得网络资源的全局信息,并根据业务需求进行全局资源分配和优化。
四、扁平化+SDN的应用
(一)架构改造
基于以上技术,对网络的改造设计是新增部署两台扁平化核心交换设备,使他们组成虚拟备份设备。配置避免了使用原有的复杂的冗余备份协议,极大降低维护配置的工作量。设备之间都采取VLANtrunk的模式连接,所有的VLAN、策略都在核心定义。
利用SDN的思路赋予网络出口弹性,形成安全资源池化,让用户按需调用。解决了网络出口存在的单点故障、性能瓶颈、资源利用率低、功能伸缩性差、运维复杂等问题。设计如图2所示
图2扁平化+SDN网络架构
(二)应用效果
1.网络功能扩展性好
核心交换机支持大二层扁平化方案,实现集中认证和集中网关,简化网络运维。并实现与学校现有认证系统的对接和联动,对接入设备的品牌无要求,因为认证和接入控制都在核心交换机。
2.配置难度低和维护量少
所有设备都可以通过图形化集中操作,物理网络、逻辑网络一目了然,配置和策略实现批量下发。
3.用户管理简单
任一终端,用户部门在前端都可以即插即用,显著降低网络中心运维压力的同时加快业务上线速度。灵活的终端用户分组管理,可以根据区域划分,又可以根据用户的自身特征划分网络,策略按组下发;不同类型业务终端轻松隔离,不会互相影响,即使终端发生全网任意位置移动,安全策略自动跟随,无需调整。
4.安全设备单点故障消除
利用SDN控制器,可以使安全设备形成安全资源池化,让用户按需调用。采用安全设备以旁代串方式,通过SDN引流方式,做到安全设备故障自动bypass,也适用安全设备在线测试,割接,弹性扩展等。
五、结语
网络扁平化+SDN的网络架构的稳定性、安全性、可管理性和可扩展性相对传统网络架构有明显的优势,为推进智慧校园建设有序展开提供了可靠的基础保障。
参考文献
[1]黄石平.校园网络扁平化设计与实现[J].电脑编程技巧与维护,2018.
[2]覃毅.校园网络扁平化架构设计与实施[J].农业网络信息,2015