建設智慧型簡單的校園網路架構:
構建乙個超寬融合的承載網路,接入整個校園網的所有子業務及終端,實現全連線校園,然後從核心層到接入層用虛擬化技術,構建不同業務規劃的vn,最後用sdn完成自動化的網路布置,最終實現智簡校園網的目的。
智簡校園整體規劃介紹:
1、 網路管理規劃包括管理網路的打通和sdn控制器對裝置的納管。
2、 管理網路分為2種方式:帶外管理和帶內管理,所謂帶外管理就是在路由交換上面單獨連起來一套網路專用於管理用,一般接在aux口或control口。這樣成本高,帶內管理就是傳統的管理方式,和業務共用乙個網路,例如snmp、web管理等,帶內管理成本低,但一旦網路業務中斷裝置也沒法管理和運維了。現在有一種折中的方案:集中的裝置就用帶外管理,分散的裝置就用帶內管理,例如:機房裡面的裝置都在一起就用帶外管理,其它樓層匯聚和接入就用帶內管理。
3、 物理網路規劃:核心、匯聚、接入都採用堆疊或集群技術,將2臺或2臺以上的交換機橫向虛擬成一台交換機,並提供冗餘備份。
避免了傳統的二層環路設計,不再用mstp破環了,另外在三層網路中,堆疊或集群的交換機共享相同的路由表,宿敵了網路發生的故障和收斂時間,堆疊的方法更適合網路的擴充套件和管理、維護。
4、 鏈路可靠性規劃:鏈路冗餘設計是鏈路可靠性規劃的主要方案,在園區網中通常採用雙上行鏈路的冗餘設計來提高裝置間鏈路的可靠性,同時對於冗餘鏈路,常用鏈路聚合技術將多條物理鏈路通過lacp/**等方式虛擬成一條以態鏈路eth-trunk。
5、 在虛擬化園區方案中,物理網路為虛擬網路提供了路由可達的承載網路,使用vxlan封裝後的業務報文在vxlan結點間互通,物理承載網路用ospf進行互通。
6、 sdn控制器開啟了物理網路路由的自動編排功能,並在物理網路資源中規劃好互通的ip網段後,後自動完成ospf路由的編排並下發到border結點和edge結點裝置,以實現物理網路的自動化部署,物理網路規劃時同時將裝置上規劃的bgp源介面(一般在裝置上啟乙個loopback口用)網段引到入ospf區域,完成bgp源介面的互通。
7、 vxlan採用bgp evpn完成控制平台**,包括隧道動態建立,arp/dn表的傳送、路由資訊傳送,因此在vxlan隧道節點vtep(border節點和edge節點)都要部署bgp,bgp部署是用sdn控制器自動完成部署,在建立虛擬網路時,選擇了作為border節點、edge節點裝置後,sdn會自動下發bgp對等體位址等配置來完成bgp部署,另外為了減少cpu資源的消耗,推薦在配置節點角色同時,選擇其中一台vtep裝置作為rr(路由反射器)。
8、 虛擬網路規劃,一般在核心裝置採用border節點,在接入層採用edge節點。在園區虛擬方案中,border節點負責園區內的虛擬網路同外網互防,一般是border節點裝置連線北向防火牆,對出入流量進行安全策略控制,並且是基於vn的網路和北向互方,這個vn可以一對一和防火牆進行三層連線,也可以以共享式的和防火牆連線,一對一獨佔式的可以很靈活對每個vn安全區域做安全策略,而共享方式的全部一起用乙個策略不靈活。
9、 在虛擬化方案中,每個vn就是乙個vpn例項,乙個vn可以包含多個子網,且同乙個vn內的使用者是預設可以互通的,但不同vn是預設路由隔離的,可以按乙個部門乙個vn類似於傳統網路的vlan,如果乙個部門再進行不同隔離,可以通用基於使用者角色進行安全組之間的策略來控制連通性,vn間是通過vpn路由進行三層隔離,預設vn間不能進行互訪,有2種方式調協互訪,一種是通用虛擬網內互訪,一種是防火牆互訪,
10、 在虛擬網路中,edge節點是業務資料從物理網路進入vn的邊界點,可以根據使用者所屬的vlan進入vn的不同子網,所以在設計網路時,先規劃好vlan和不vn間的對映關係,同時配置有線使用者和無線使用者的vlan,有線使用者根據vlan直接接入vxlan,無線經過capwap報文隧道**到wac(可能是border節點或edge節點),vn接入一般有四種:靜態,主要用於位置固定的啞終端,動態授權vlan,主要用於手機等移動裝置,voice vlan主要用於ip**接入,vlan池,適合高密度的接入。
11、 出口網路規劃:
在虛擬化方案中,當使用者閘道器位於overlay網路內部時,overlay網路外網資源的每乙個出口都對應防火牆上的乙個三層邏輯介面,防火牆採用雙機熱備加自動智慧型選路功能,雙機熱備採用主備模式,防火牆下行採用vrrp備份組的主裝置為同一臺防火牆,
出口規劃圖:
12、 業務部署規劃:
edge結點是業務資料從物理網路進入vn的邊界點,edge裝置是使用者網路准入的認證點,認證方式常用3種:802.1x,mac,portal。
13、 sdn控制器安裝部署規劃:
sdn採用企業私有雲方式部署,規劃了2個網路平面:內部通訊網路平面,業務、北向介面、南向介面共享乙個平面。
每個平面功能,:
內部通訊平台:用於控制器各業務之間節點通訊,包含大資料平台、資料庫之間通訊。
業務平面:用於控制器發放南北向業務,例如用負載均衡將業務分發到多個節點。
北向平面:用於控制器接收北向業務,例如通過web管理控制器的平面。
南向平台:用於控制器接收南向業務,例如通過netconf協議與裝置通訊。(最早提出的openflow協議也可以作為南向介面通訊,只是要求下聯白板交換機,傳統舊裝置不支援,對使用者和廠家衝擊力太大一直沒發展也來)
14、 sdn控制器配置發放流程:
基於整體的網路規劃,sdn控制器完成開局部署和日常運維管理:
15、 裝置納管:
sdn控制器能夠對園區網路裝置進行業務發放的前提是打通sdn控制器和網路裝置間的管理通訊(帶內和帶外),完成對網路裝置的納管,過程如下:首先,建立網路站點,站點代表使用者網路,結合地圖系統,可以讓管理員直接的了解使用者網路的位置資訊。
其次,將需要納管的裝置新增到裝置站點中,讓sdn控制器知道該站點需要納管哪些裝置,這一步可以將裝置的序列號等資訊匯入,也可以按模版指導入。
最後,在工程人員將網路裝置安裝好並連好線後,管理員就要打通sdn控制器和裝置管理之間的通道,有些廠家常用dhcp來打通管理通道。
16、 網路自動化部署步驟:
打通管理通道後,首先要做的就是構建虛擬化園區網路。
首先,配置物理網路自動化資源池,包括二層互通的vlan資源、三層互通的ip位址資源,sdn控制器再結合協議獲取拓撲資訊,完成物理網路ospf路由編排,並將配置下發到網路裝置,完成自動化部署,這一步完成後就打通了承載虛擬網路報文**的物理網路。
其次,配置虛擬網路全域性資源池,包括子網、vlan、廣播域bd、vxlan,網路標識4類資源是虛擬網路規劃的總體範圍,建立vn時,sdn控制器會從該資源池內自動分配相關資源。
再次,配置虛擬網路,主要包括vxlan的控制層面配置(例如bgp對等體、border節點擊取、edge節點擊取等)、有線和無線網路接入配置(如使用者接入認證控制點的設定等)。
最後,配置vn,這一步就是建立提前規劃好的vn,每個vn代表乙個業務網路(如一**業務、物聯專用網等分別建立乙個vn),如果不同業務之間要互訪還要配置vn互訪。
17、 使用者接入策略部署步驟:
構建好虛擬網各後就要自動發放網路業務,這裡以部署典型的使用者接入訪問策略為列,介紹sdn控制器如何基於創新型的業務隨行方案,實現策略的自動化發放:
首先,配置安全組,安全組分為動態使用者組和靜態資源組,動態使用者組代表接入的使用者,配置時需要授權的使用者賬號新增進來即可,無須填寫ip位址,使用者終端接入認證通過協議報文中的ip位址資訊,生成ip組與安全組的動態對映表,靜態資源組代表的是使用者訪問的資源,比如內部伺服器、網際網路資源等,因為這些ip位址比較固定,配置時需要新增ip位址,對應生成ip與安全組的靜態對映表。
其次,配置安全組策略,不同的安全組配置完成後,就要配置組與組之間的控制策略,提前做好策略規劃後,在控制器上配置完成即可,最後sdn控制器會將安全組及安全組策略發放到策略執行點裝置上。
智慧型校園整體解決方案
1 智慧型校園發展趨勢 各行業跨入數位化產業週期,把握產業數位化機會是所有企業面臨的共同問題,5g 物聯網 大資料 人工智慧 vr ar等新技術的快速發展正在深刻影響和改變著各行業發展路徑,成為行業轉型的外在推動力量。2 教育資訊2.0行動,關注新一代數字校園建設 2018年4月,教育資訊化2.0 ...
神州數碼網路無線校園網整體解決方案及特點
無線區域網的需求 隨著國家對中國教育行業的更加重視並加大投入,中國教育網的建設得到了國家更大的支援並得到了更加廣泛的應用,並已經成為一種其它方式不能代替的獲得資源的重要手段,因此教師和學生對網路的依賴也越來越強,隨時隨地能夠從網路獲得相要的資源成為教育使用者追求的目標。神州數碼無線區域網可以解決教育...
移動校園 解決方案
隨著教育行業資訊化建設的推進,學校正在建設或已經建設一些資訊化系統,一方面需要對這些進行整合,將個應用系統打通,將登陸 訊息 門戶進行統一管理,整合後勤 學工 教務 一 資產 實訓 觸控系統 虛擬實訓等。解決資訊孤島問題,為校級提供統一大資料分析平台。另一方資訊移動化的需求也非常迫切。為解決上述問題...