随着网络规模的不断扩大、业务类型的不断增加、智能化设备越来越普及、传统组网中人力手工部署的方式正在逐渐成为历史。那么在人力物力有限的情况下,如何满足人们日益增长的网络需求就显得尤为重要。我们需要更加智能高效的方式去部署网络,实现既定的目标。在这种背景下,ADCampus(Application Driven Campus),即应用驱动型园区网,应运而生。
ADCampus分为管理层、控制层和数据层。管理层即控制器,相当于人类的大脑,是区别于传统网的最重要的一个部分,它负责指挥设备,根据需求自动下发配置;控制层即EVPN技术,相当于人类的血液,它是一种特殊的MP-BGP协议,用来传递32位主机路由,自动建立VXLAN隧道等;数据层即VXLAN,是我们通常所说的Overlay技术。当搭建好物理网络之后,利用Overlay技术,可以拥有一张逻辑拓扑图,让网络虚拟化,实现用户网的动态建立,避免机械的移动设备或者网线,不仅节约了人力物力,还方便被控制器控制。
传统校园网基本是封闭和僵化的系统,如果用户想做定制化开发,需要提需求给网络厂家,网络厂家进行需求分析、设计、发和交付,然后用户再上线验证,加上中间沟通的时间,周期非常长,对于某些市场竞争来说,这样长的周期等应用开发出来,市场机会也基本丧失。越来越多的客户希望可以减轻运维成本,提高效率。
传统校园网基本都是三层架构,接入层、汇聚层、核心层。而ADCampus是Access接入层、Leaf汇聚层、Spine核心层架构,契合校园网组网模型,因而在校园中广泛应用,效果也非常显著,得到了用户的高度认可。
图1 ADCampus典型三层组网架构
在实际的校园网中,网络庞大且复杂。校园建立初期到发展阶段,一些“专网”会逐渐出现,这些“专网”一般是私接的网络,例如财务网、一卡通网等,他们独立于校园网又存在在其中,使得网络管理复杂,增加了运维成本和难度。客户希望可以将这些专网统一在校园网中,同时又要实现隔离需求。ADCampus中通过创建私网,即VPN业务就可以解决这个问题。通过梳理业务类型,划分不同的私网业务,从而实现统一纳管,而业务又各自隔离的目的。
例如某农业大学,建校几十年以来,网络规模庞大。经过交流了解到学校有关部门会直接建立自己的专网,流量经过防火墙后接入到校园网的接入设备中,这使校园网复杂而难以管理,学校信息部老师希望可以整合这部分私接的网络,但同时独立于校园网。虽然私网VPN的概念在传统网中也非常成熟,但是通过ADCampus部署之后,有多少个业务,多少个网段都一目了然。
整网的核心是园区网控制器组件:Campus Director。所有对网络的设备上线、接入管理、用户组策略管理、业务配置管理全部在Director上通过直观的图形化界面完成。Director将管理员的操作在后台转化为网络设备的具体命令并下发给设备。
图2 设备信息图形化管理
在校园网中,存在多种形式的终端类型,例如手机、PC、Pad等,终端形式不固定,但访问的网络资源却需要固定,例如学生访问学生资源,教师访问教师资源。在ADCampus方案中,可以做到网络无状态,接入无差别,IP地址与位置解耦,不管用户移动到哪里,IP地址都能随身携带。IP地址不光能承担路由连通性的技术功能,还具有身份和业务的标识功能。在EIA中提前录入用户名/密码,绑定对应的网段,无论是老师还是学生、无论是手机还是PC、无论在教室还是宿舍,只要输入同一个账户/密码,就可以得到同一个网段的地址,获取相同的策略,大大简化了传统网络策略的部署,保证了网络资源的安全可靠可管控性。
ADCampus方案采用EVPN分布式网关,所有策略执行点的策略相同,使得终端随意移动,策略不变。ADCampus的网关、认证点和策略执行点都在Leaf设备上,对应传统网的汇聚层。由于Access设备是每端口每VLAN,即使两个终端是相同的VXLAN,连接同一台Access接入交换机的情况下,终端的互访仍需要经过Leaf设备,所以将策略放在网关设备上来实现对终端用户访问策略的控制。
一般来说要实现策略随行,都需要对用户进行分组,传统的分组方式与地理位置紧耦合,同一个用户组位于一个办公区,一个楼层或者一个大楼之内,很难跨越地理的局限。这样用户一旦移动起来,策略实施就非常复杂,想达到策略跟随或者体验一致也非常困难。
在ADCampus架构下,用户分组完全打破地理的壁垒,可以跨越整个企业网络,用户分组和IP网段严格对应。用户入网前,整个网络的策略控制内容已经完整清晰地确定下来,不需要维护IP到组的对应关系,组间策略只需要一条acl即可,极大降低了对设备的acl需求,不需要防火墙来辅助,不需要查询机制,一切从简,组网成本下降。
ADCampus非常灵活,它实质上也是一种SDN网络, 在Director基础平台上可以部署很多功能组件,例如ADEIA(用户认证系统)、ADWSM(有线无线一体化)、ADEAD(终端监测防护)等,Director上有开放的标准化REST接口,和第三方应用进行对接,方便客户进行增值开发,快速交付。这样Director南向对接网络设备,北向可对接一些第三方系统如城市热点等,可以满足多种复杂的通信需求。除此之外,ADCampus主要为三层架构:Access接入层、Leaf汇聚层、Spine核心层,这种典型网络架构也很契合校园组网模型,因此被广泛应用在校园网中。
图3 ADCampus控制器与第三方产品对接
如图4为某技术学院与城市热点对接的拓扑图。该学院中,采用典型的三层架构,校园区楼层接入为Access设备,校园区汇聚为Leaf设备,校园区核心为Spine设备。ADCampus EIA与城市热点联动:EIA完成准入认证,城市热点完成准出认证。用户选路及带宽限速策略由城市热点推送,BRAS执行;4大运营商和教育网出口,根据用户的上网套餐选择相应运营商出口;不同终端类型享有不同带宽限速,用户终端类型由EIA同步给城市热点。同一用户账号,不同终端类型,从城市热点获得不同带宽限速策略,比如PC端100M/s,手机50M/s。这是一个ADCampus与第三方设备对接的典型案例。
图4 某技术学院ADCampus与城市热点对接实例
首先需要强调,ADCampus中认证与DHCP是两个过程,先认证再通过DHCP获取地址。客户端在ADCampus系统做认证,无论是哪种认证方式,携带VLAN的认证报文经过Leaf下行口会触发认证,Leaf将认证报文传送给EIA认证服务器,认证通过后,由EIA向Leaf设备下发该用户的业务VLAN/VXLAN(业务VSI在配置二层网络域时已提前配好),Leaf上根据用户的MAC、Port、端口VLAN信息把用户流量映射进业务VXLAN,完成授权VXLAN的下发。认证完成后,客户端发起DHCP请求报文,通过用户所在业务VLAN经Access设备上送到Leaf设备,Leaf设备采用VXLAN封装,将DHCP请求报文单播中给DHCP Server,中继时Leaf设备会在DHCP请求报文中添加Option 82选项,携带与用户所在接入组VXLAN ID相关的信息,VXLAN封装的DHCP请求报文到达Spine设备后解VXLAN封装,传递给DHCP Server,DHCP Server通过报文的Option 82字段判断终端所在接入组的作用域,并分配IP地址,应答报文原路返回给终端。这就是整个认证和DHCP的过程。如果终端是静态IP,那么与DHCP的区别就是省略DHCP过程,在终端认证通过后,就可以直接访问到网关,进而访问对应资源。
校园网的终端类型除了PC、手机等还有一些哑终端,例如摄像头、打印机。这些哑终端获取IP地址的方式有两种:DHCP或者静态配置。哑终端的认证方式只有一种,即MAC认证。所以就有4种常规组合:MAC认证+DHCP、MAC认证+静态IP、免认证+DHCP、免认证+静态IP。如果把其他终端类型例如PC加上,那么认证的方式又多了两种,分别是MAC Portal认证和802.1X认证。排列组合会有8种形式,极大满足校园网的需求。图5将8种常见形式进行整理。
图5 认证与获取IP的方式
ADCampus可以满足学校个性化定制需求。例如有一间计算机实训室,终端的IP是静态配置的,在没有认证之前,由于没有给相应接口下发VLAN-VXLAN映射,所以这些终端无法找到网关,因而无法访问相应资源,但与此同时,同学们有自己的用户名密码,对应的是学生组网段,通常情况下,学生输入自己的用户名密码会自动获得学生组的IP地址。
那么如何在实训室电脑中输入学生自己的用户密码,而获取实训室终端自己的网关?ADCampus的解决方案是:先在Director上创建实训室接入策略,并关联实训室安全组,然后在学生接入组中应用场景时勾选实训室接入策略,同时需要提前在EIA上创建实训室的网段IP,最后,终端认证时在iNode软件中勾选携带IP上送。这样在认证的过程中,EIA认证服务器捕获到了这段携带实训室IP的认证信息,根据优先级,虽然是学生组的用户名密码,但是在认证完成后会自动下发实训室的VLAN-VXLAN映射。
在实际校园中,老师希望将有线无线统一管理。ADCampus中有线认证点在Leaf上,无线认证点在AC上。在创建业务使用的二层网络域时,Director自动分配了一个专门的VLAN(预留VLAN/VXLAN中的二层网络域VLAN,每安全组使用一个)给该安全组的无线终端使用,同时在Leaf下行口配置该VLAN的报文免认证并映射到对应的VXLAN;终端连接上无线信号后首先以AC为NAS向EIA发起认证,EIA认证通过后通知AC给该终端下发授权VLAN(该安全组的无线VLAN),后续该终端的报文在授权VLAN内转发。本地转发模式下,终端连接上无线信号后首先以AC为NAS向EIA发起认证,EIA认证通过后通知AC给该终端下发授权VLAN(对应安全组的无线VLAN),后续该终端的报文在授权VLAN内转发;AP上携带授权VLAN的tag直接转发到Access交换机上(包括DHCP报文),进入对应的VXLAN,进行DHCP地址获取。所以无线终端在认证完成之后流量转发过程跟有线是一样的,策略执行也是在Leaf上完成。不管是有线还是无线终端,只要对应的接入组相同,就可以获取同一业务的IP地址。整个过程下来,ADCampus将有线无线两张割裂的网络进行深度融合,一套网管,一种数据平面,一套策略,减轻运维人员的负担。
传统网一般都是手工的,需要网络维护人员一台一台地上电,更新版本,写配置,组网,调试,运行,工作苦配置冗长而且容易出错,网络开局上线的时间较长。但是校园网组网相对固定,接入汇聚核心同样角色的设备配置基本是一样的,这样可以根据设备角色设定少量的模板,一种角色的设备尽管数量很多,但由于属于同一个角色,因此使用同一个配置模板,整网模板数量只有少量几种。ADCampus自动化上线针对园区网的特点可以设置三种模板,分别对应Spine、Leaf和Access设备。采用精心设计的自动化流程,确保设备开箱上电,即插即用,无人工干预即可自己完成上电、加载版本、下载配置、基础共性的业务跑通。之后是少量的基于图形化界面的批量配置或个性化配置的工作,完成特定业务的部署自动化组网中需要。强调一点:Director可以调节自己的网卡数量,满足多变组网需求。第一种,Director有两个网卡,与Spine之间是二层通信,先获取VLAN 1的地址,下载相应角色的配置模板后,再获取VLAN 4094的管理地址,如图6所示。第二种,Director有一个网卡,与Spine之间有三层交换机,三层交换机有VLAN 1和VLAN 4094的IP地址,并配置了DHCP Relay的功能,如图7所示。自动化过程:Spine创建Interface VLAN 1并尝试通过DHCP广播获取地址,三层交换机接收到该广播报文后,通过Relay配置单播到DHCP Server,DHCP Server会回复需要的IP地址,及Spine VLAN 1的网关地址(即三层交换机的Interface VLAN 1的IP地址),目的是让Spine知道Director在哪儿,可以从Director下载自动化模板,按照模板运行后,创建了Interface vsi 4094接口,三期需要手工将Spine与交换机之间的接口配置为AC口,此时Interface vsi 4094状态更新为up,去DHCP Server获取相应地址,DHCP下发的路由失效,所以配置模板里必须写一条到Director的VPN路由,下一跳是三层交换机的VLAN 4094接口。相较于第一种形式,第二种更适合校园网部署。
图6 Director双网卡自动化上线
图7 Director单网卡自动化上线
ADCampus是针对园区网开发的智能化管理工具。从组网方式看,ADCampus的三层架构契合校园网的传统三层架构,无论是新开局还是改造都很合适,如果对于多园区组网,ADCampus还有多园区的解决方案,灵活实现组网需求;由于Dircetor上有对接第三方设备的接口,可以与多种第三方设备对接,实现客户需求。从管理方式看,ADCampus将校园有线无线深度统一,私网整合,图形化管理,新增网络设备纳入Director管理后,会自动根据其角色分配到相应的设备组及端口组中,若设备组与端口组定义有相应的组策略,该策略会自动下发到新增设备上,一键式下发配置,使得网管人员易于维护。从策略运行方面看,用户更换地址,只要用户名密码不变,就能访问同样的资源,策略执行点一致,简化了维护难度,方便了用户体验。目前,ADCampus已经广泛应用到了校园中,理论与实践的结合让网络更加灵活为人所用,今后ADCampus的发展将会更加智能化,一体化,高效化。