摘要:针对高校智慧校园建设需要,在分析比较当前主流业务承载技术的基础上,以防火墙安全域结合VLAN技术,基于虚拟化构建出一个专用的多业务融合承载网络,用于支撑不同场景下的校园智能化业务系统运行。
随着高校智慧校园建设的进一步推进和深化,智能化业务系统逐渐成为高校教学科研、生活办公、校务管理的重要基础支撑手段,其规模和应用水平在一定程度上衡量着高校信息化发展的水平和能力。在南开大学智慧校园建设过程中,共规划了十余个需要通过专用网络支撑的智能化业务系统,根据其功能作用大体可以分为以下几类:教学科研支撑类、安全监控类、生活服务类、通道门禁类、楼宇自控类、协同办公类以及财务结算类。
不同业务系统提出了不同的隔离和承载要求,比如视频监控系统不仅需要大量存储视频文件,同时安防监控中心又有实时调取摄像头视频的需求,视频存储和实时调取对带宽的要求也不同。面对高校环境中复杂的业务系统,单一的承载手段无法支撑多样化的应用,需要根据实际应用场景提供多样化的业务承载能力。
本文结合南开大学智慧校园建设实际需求,在高性能网络安全体系的支撑下,在用户数据校园网之外独立构建了一个跨校区的多业务融合承载网,以支持多种需要网络支撑的智能化业务系统,并实现了各业务系统跨校区的互联与互通。
技术路线比较与选择
通常情况下,可以选择两种不同的技术路线构建承载网络,一种方式是为每个业务系统构建一个专用的物理承载网,另一种方式是在一个通用的网络上为各个业务系统构建逻辑承载网,也就是所谓的多业务融合承载。
物理专网承载
通过物理专用网络承载业务系统,即为每一个业务构建一套私有支撑网络,包括独立的通讯链路以及网络设备。
物理专网的优点在于对业务的隔离是绝对的隔离,不同物理网络之间不能以直接或间接的方式相连接,可以为业务系统起到最高级别的隔离保护【1】。同时物理专网的带宽和设备只服务于所承载的业务系统,一般情况不会存在带宽和流量的瓶颈问题,也不会受到其他业务系统对网络整体负载的影响。
但对于大多数业务系统来讲,流量模型较为固定,流量远远达不到需要一套专用网络的程度;在高校的现实条件下,业务部门自身信息化技术力量有限,当网络和业务系统发生故障时,仍需要信息化职能部门介入维护;部分专用业务系统仍借助校园网进行管理,需要校园网提供接入。同时,为智能化业务系统独立组建大量专用物理网络,必将使校园网变得越来越复杂,背离了把智能化业务系统从校园网(公众部分)剥离并简化管理的初衷,给维护工作带来不必要的困难。
因此,为每个智能化业务系统构建独立的物理承载网,不论从建设成本、网络复杂程度还是后期维护来讲,都不再是一种经济的选择。
多业务融合承载
通过构建逻辑网络进行业务承载和隔离,通常的做法是在一个统一的IP网络上,划分出多个逻辑上相互独立、相互隔离的业务专用网络,实现不同业务的安全统一承载,目前主要有虚拟局域网(Virtual Local Area Network,VLAN)、多协议标签交换(Multi-Protocol Label Switching,MPLS)虚拟专用网络(Virtual Private Network,VPN)。
1.传统的VLAN
VLAN技术在数据链路层对网络进行逻辑隔离,形成虚拟的子网,从而隔离在虚拟子网上运行的业务系统。VLAN子网之间的通讯,需要借助路由器或路由模块进行三层(即OSI参考模型的网络层,下同)转发。通过VLAN结合访问控制列表(Access Control List,ACL)和路由过滤,可以在IP网络层(或数据链路层)进行业务的隔离,实现网络资源的整合和统一管理,是一种比较传统的业务承载和隔离方式。
由于ACL和路由过滤配置复杂,实施难度大,特别是在多个三层核心交换设备的网络中,在采用有效措施对其进行简化之前,容易发生错误,因此一定程度上缺乏落地部署的可实施性。在智能化业务系统较少的智慧校园建设初期,可以采用在校园网上以VLAN结合ACL和路由过滤方式进行业务承载和隔离,但随着业务系统的增多,会使网络配置变得复杂并难以控制。
2.MPLSVPN
MPLSVPN是一种基于MPLS的VPN解决方案,利用标签交换技术,通过标记交换路径(Label Switching Path,LSP)实现多点到多点的连接,MPLSVPN网络结构如图1所示。在MPLSVPN网络中,骨干网核心(Provider,P)路由器以标签交换方式转发报文,在骨干网边缘(Provider Edge,PE)路由器上创建虚拟路由器虚拟路由转发表(Virtual Routing Forwarding,VRF),PE设备通过VRF三层接口连接用户网络边缘(Custom Edge,CE)路由器,由CE负责用户站点的接入【2】。VPN成员在VRF上定义,是由不同站点组成的集合,属于同一VPN的站点具有IP连通性,从而达到业务承载的目的,VPN站点之间可以根据业务需要进行有控制的互联或隔离【3】。
MPLS VPN提供了数据、语音和视频等多种业务相融合的能力,是目前电信运营商所普遍采用的多业务融合承载方式,可以以较低的成本灵活实现各种场景的业务支撑。
如同所有管理型共享网络,MPLS没有解决普遍存在的对受保护的网元的非法访问和内部攻击等安全问题【4】。基于相对简单的CE与PE路由器的路由,在处理复杂的路由情况时可能会具有一定难度。另外,如MPLS VPN对路由的依赖度比普通IP网络更高,MPLS的标记交换机制给路由和转发之间引入了新一层的间接性,会导致MPLSVPN路由层面的故障难以分析和排除【5】。单一的CE设备的故障可能导致错误的路由信息,影响PE甚至网络整体服务的稳定性。
对用户而言,MPLS虽然可以快速进行业务的部署,但对于运营者来说,在客观上存在一定程度的管理难度,尤其在高校信息化建设职能部门人员编制普遍紧缺的情况下,需要付出很大的管理成本。
承载网构建与部署
南开大学业务承载网络的构建,基于承载业务网络流量模型相对固定的原理,采用扁平化的网络总体架构,通过“业务接入层-高密汇聚层-核心网络层”三级“大二层”结构,利用虚拟化技术,全冗余链路设计,构建出一个高可用、可靠、安全及可扩展的多业务融合承载体系,并针对各种不同业务系统的应用场景,灵活提供不同的业务承载和隔离方案。
构建原则
1.高可用性原则
随着智能化业务系统的增多,网络流量越来越大,高带宽支持的业务系统比如视频监控等应用会耗费大量带宽,无序竞争或者粗放管理无法保障网络服务质量,因此需要规范、控制业务系统对网络资源的占用,需要为不同实际需求和应用场景规划不同的承载方式。
2.高安全性原则
不同业务系统之间必须实现有效的隔离,针对需求实现有效的安全分区,进行有效的安全防护和管理,同时在业务安全方面,通过安全策略有效防止恶意攻击和病毒防范。
3.高可靠性原则
需要保证高可靠性的数据传输通道,因链路或设备故障导致网络拓扑发生变化时,承载网络整体应不受线路故障和网络拓扑变化的影响,保证业务系统的正常运行。
4.可扩展性原则
可以满足多种智能化业务系统的接入,快速实现新业务的落地部署,满足不同应用场景的业务系统开通。
部署方案
1.全冗余基础架构
南开大学多业务融合承载网结合虚拟化技术,在网络架构的各层次均采取了全冗余构建方式,全面实现业务的安全可靠承载,如图2所示。
业务接入层。在业务接入层,南开大学八里台校区采用单体楼作为一个接入单元,津南校区按照综合布线规范把单体楼划分为多个接入单元(网格),分别汇聚各自范围内的各业务系统信息点。业务接入层采用全千兆高性能交换机,全面保障接入能力,满足业务系统终端的高速接入需求;同时通过堆叠虚拟化为单一逻辑设备,简化管理。
高密汇聚层。在汇聚层,根据南开大学教学办公楼宇的地理分布,采用了高密度、高性能数据中心交换机,通过堆叠技术,在八里台校区构建出1个高密虚拟化组,在津南校区构建出7个高密虚拟组,分别汇聚来自楼宇机房(网格)业务接入层的链路,并以二层方式转发业务系统的流量。
核心网络层。核心网络层采用了两台多业务安全网关作为承载网核心设备和各业务系统终端的三层网关,分别部署于八里台校区与津南校区。在部署上,采用SCF通过多路裸光纤把两台机框及板卡虚拟成一台逻辑设备,在不增加管理复杂度的基础上实现了高可靠性,保证了设备的冗余和高可用,并通过在核心上配置安全域形式实现不同业务间的安全隔离。
网络整体“业务接入层-高密汇聚层-核心网络层”的连接全部采用冗余链路互联,不同物理链路分别连接至不同的物理设备或板卡,形成全方位冗余,任一高密设备或核心设备板卡发生硬件停机故障的情况下,仍可保证整体网络的正常运行。
2.基于安全域和VLAN的业务承载和隔离
在业务承载网的逻辑架构上,借助了防火墙安全域之间缺省配置下相互隔离的特点,每个智能化业务系统分配一个安全域,并根据业务系统的规模与实际需求,在同一个安全域内再次通过VLAN的方式来隔离广播域,从而实现业务的承载和隔离,如图3所示。不同业务系统之间如有相互访问的需求,则通过设置域间ACL的方式来实现细粒度的互访。
3.基于场景的业务承载
第一,三层承载场景。大多数智能化业务系统均需要通过三层进行承载,比如一卡通、门禁、仪器共享平台等,终端分布于学校各教学办公楼宇。三层承载主要根据其终端的数量、地理分布和未来发展需求,为各业务系统各构建安全域,并为安全域分别划分一个或多个二层VLAN或三层接口。在需要互相访问的业务系统之间,通过ACL来实现互访。
第二,二层承载场景。通过二层承载的业务系统主要有合作银行在校内的对账结算以及医保报销等系统。银行结算和医保报销是公共服务在高校内的延伸,其网络自成体系,系统的接口或网关IP地址的配置和控制掌握在银行和医保管理单位自身的技术部门,一般仅通过二层VLAN的方式进行承载和数据对接。
第三,二层、三层混合承载场景。校园视频监控系统是二、三层混合承载的典型应用场景。视频监控系统在安防监控中心实时调度各监控区域视频的同时,需要把监控视频资料不间断存储到永久物理介质以备检索。校园视频监控摄像头在校园中分布广、数量多,对带宽要求高,如果完全通过核心设备进行转发,会影响到核心设备的性能,进而影响到网络整体对其他业务的服务质量。在视频监控系统承载的方案设计上,采用了二层、三层混合的方式,视频的统一调度及实时监控的摄像头数量较为有限,流量较小,且需要轮询调度分布在校园各处的摄像头,采用三层进行转发。而对于视频的存储,则以二层VLAN方式直接在高密汇聚层(各组团汇聚交换机虚拟组)把流量转发给存储阵列,避免存储流量上升到三层核心进行转发,降低核心设备负载。
基于安全域与VLAN技术构建专用的多业务融合承载网,在物理上分离了校园网公众部分(传统的数据网)与业务系统专用部分(一般称为管理网或设备网);通过同一个物理网络实现了资源整合,便于合理、充分地利用网络设备和带宽,提升访问速度和服务质量;全冗余构建方式,保证了链路通畅和数据安全性;并为各类业务系统提供符合其需求的场景化网络接入环境,在一个网络、一套系统实现了多种业务的有机融合承载,有效降低维护成本,能够方便地新增系统或扩大规模;多业务融合的承载能力,将为高校教学科研、生活办公以及校务管理提供全面的基础网络支撑和保障。
(作者单位为南开大学信息化建设与管理办公室)
参考文献:
[1]贺安荣.利用虚拟化技术实现应用安全隔离访问[J].中国交通信息化,2013,6:124-125
[2]黄向农,赵琼,吴焕忠,罗必然.三层MPLSVPN搭建多业务校园网[J].中国教育网络.2014,9:31-33
[3]陈琳.基于MPLS的VPN技术在数字化校园中的运用与研究[D].焦作:河南理工大学,2009
[4]徐奇.校园网的信息安全体系与关键技术研究[D].上海:上海交通大学,2009
[5]韩来权,汪晋宽,王兴伟.基于可编程路由技术的MPLS单标签分流传输算法[J].通信学报,2014,5:155-159