淺談校園虛擬網(wǎng)絡園區(qū)構(gòu)建

劉清毅

(陜西廣播電視大學 資源建設與現(xiàn)代教育技術中心， 陜西 西安 710068)

?

【遠程教育】

淺談校園虛擬網(wǎng)絡園區(qū)構(gòu)建

劉清毅

(陜西廣播電視大學 資源建設與現(xiàn)代教育技術中心， 陜西 西安 710068)

隨著業(yè)務系統(tǒng)對于園區(qū)網(wǎng)絡依賴性的逐漸增加，園區(qū)網(wǎng)絡的建設作為組織的戰(zhàn)略性投資，其重要性日益增強。如何建設一個滿足信息系統(tǒng)的網(wǎng)絡需求的園區(qū)網(wǎng)絡，并能夠迎合物聯(lián)網(wǎng)、云計算的建設熱點的網(wǎng)絡需要，符合園區(qū)網(wǎng)絡技術的發(fā)展趨勢，是園區(qū)網(wǎng)絡建設需要重點考慮的三方面問題。

虛擬園區(qū) ； 網(wǎng)絡架構(gòu) ； 網(wǎng)絡管理

隨著網(wǎng)絡規(guī)模的不斷增大，其應用和復雜度也在不斷增加。IT在校園信息化中發(fā)揮的作用越來越大，從辦公應用IT化，教學IT化，再到多媒體等應用IT化，校園園區(qū)網(wǎng)所承載的應用種類極大豐富。對一個大型園區(qū)來說，很多用戶和業(yè)務共用著網(wǎng)絡、應用服務器等各種IT資源，但在很多情況下，基于安全和保密的需要，用戶需要把自己的業(yè)務與其它業(yè)務系統(tǒng)隔離開來。傳統(tǒng)的解決辦法，只能是為有隔離需求的用戶建專網(wǎng)、部署專用的服務器、安全設備、網(wǎng)管等，造成了重復投資、重復建設，而且對有交互性的應用服務系統(tǒng)，數(shù)據(jù)同步也成了難題。

一、虛擬園區(qū)網(wǎng)概述

校園園區(qū)網(wǎng)作為校園網(wǎng)絡的核心部分，連接了校園總部的辦公、教學、研發(fā)、財務等多種重要的機構(gòu)。在網(wǎng)絡建設中占有重要的地位。園區(qū)網(wǎng)內(nèi)部終端種類眾多，接入用戶數(shù)量龐大，對網(wǎng)絡的性能、可靠性、可管理性都有較高的要求。隨著IT業(yè)務在校園網(wǎng)絡中的重要性越來越高，建設一張簡潔、可靠、高性能的園區(qū)網(wǎng)絡就成為了校園必然的選擇。

在終端種類及用戶種類越來越多的今天，如何區(qū)分這些用戶的網(wǎng)絡接入權限并且在保證這些用戶能夠得到可控、可靠的網(wǎng)絡服務，成為擺在校園網(wǎng)絡管理者面前的難題。H3C的虛擬園區(qū)網(wǎng)解決方案集成了H3C的IRF2技術，MPLS/VPN技術，用戶終端準入技術，多業(yè)務版卡擴展技術，通過各種技術的集成在校園網(wǎng)絡的權限劃分，用戶接入管理，提升網(wǎng)絡可靠性幾個方面對現(xiàn)有的園區(qū)網(wǎng)建設方案進行了提升形成了一套新的虛擬園區(qū)網(wǎng)絡解決方案。

二、虛擬園區(qū)網(wǎng)絡架構(gòu)

上圖所示了H3C虛擬園區(qū)網(wǎng)的整體結(jié)構(gòu)，虛擬園區(qū)網(wǎng)中整合了橫向虛擬化及縱向虛擬化技術，接入層、匯聚層、核心層通過IRF2技術進行橫向整合，安全模塊通過板卡的形式靈活部署在匯聚層交換機，DC前端交換機及Internet出口前端的交換機上。同時，整網(wǎng)通過MPLS/VPN或MCE多跳技術進行縱向虛擬化，完成對網(wǎng)絡資源的隔離。

圖1 虛擬園區(qū)網(wǎng)的整體部署

2.1 校園虛擬網(wǎng)絡的橫向虛擬化

校園虛擬網(wǎng)絡架構(gòu)的橫向虛擬化是指：通過使用H3C創(chuàng)新的IRF2技術，是原有的園區(qū)網(wǎng)絡的接入層，匯聚層與核心層設備各自進行橫向整合，將多臺冗余設備虛擬化為單臺邏輯設備，形成一個網(wǎng)絡管理與轉(zhuǎn)發(fā)節(jié)點。其優(yōu)點主要有：

部署簡化：在這樣的虛擬化下，網(wǎng)狀的校園園區(qū)網(wǎng)絡形成了一個非常簡潔的架構(gòu)，網(wǎng)絡各層之間通過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設計復雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點的客戶端接入網(wǎng)關上運行VRRP協(xié)議。路由簡化：端到端IRF2部署使園區(qū)網(wǎng)絡形成了無環(huán)、樹狀、輻射型的網(wǎng)絡拓撲結(jié)構(gòu)，極大簡化了運行維護管理工作。網(wǎng)絡中數(shù)據(jù)流的宏觀路徑上與簡化后的整體網(wǎng)絡拓撲具有一致性，業(yè)務流在網(wǎng)絡中的走向清晰明確。同時，每個IRF2節(jié)點本身的擴展(如增加該節(jié)點設備)既不會改變校園網(wǎng)絡的邏輯結(jié)構(gòu)，也不會影響上下層網(wǎng)絡的協(xié)議交互。管理簡化：橫向整合后，原有的多臺設備作為一臺設備進行管理，對管理的設備的數(shù)量進行大大的簡化，提高對設備管理的效率。

2.2 校園虛擬網(wǎng)絡的縱向虛擬化

校園網(wǎng)的縱向虛擬化是指對校園網(wǎng)絡中物理路徑的邏輯虛擬化?？v向虛擬化就是把網(wǎng)絡等硬件設備和應用服務等都看成統(tǒng)一的資源，通過技術手段和方案設計，把這套共有的資源虛擬成多套邏輯資源，供不同的群組/業(yè)務使用。雖然在物理上這些資源是統(tǒng)一、集中的，但對不同的用戶/業(yè)務來說，能夠使用到的資源、配置的安全/管理策略可能各不相同。

H3C在縱向虛擬化技術中，解決了下面三方面問題：

1. 接入控制：用戶接入控制的主要目的在于能夠保證用戶接入的身份可靠，并且將不同的用戶進行分類，歸入到不同的區(qū)域中，保證其安全的接入網(wǎng)絡。同時H3C還能夠通過EAD解決方案保證接入用戶的安全性。2. 業(yè)務邏輯隔離：業(yè)務邏輯隔離區(qū)別不同權限用戶業(yè)務之間能夠相互隔離，在必要的情況下也可以進行互訪。

3.資源隔離：做到對不同用戶能夠訪問的資源的安全隔離，完成端到端的用戶訪問的虛擬化。

通過用戶接入控制及業(yè)務邏輯隔離技術，為用戶到服務器提供了一種端到端業(yè)務傳輸通道，把不同用戶組、不同應用的數(shù)據(jù)橫向隔離開來，從而實現(xiàn)了園區(qū)網(wǎng)的縱向虛擬化。

2.3 多業(yè)務板卡技術

在虛擬園區(qū)網(wǎng)方案中通過矩陣式的安全模塊部署，解決了在傳統(tǒng)的安全技術部署時的難擴展，單一節(jié)點故障等問題。

H3C通過將安全模塊結(jié)合網(wǎng)絡設備的創(chuàng)新，虛擬園區(qū)網(wǎng)中的安全設備部署能夠靈活的利用設備背板的交換能力以及設備對網(wǎng)絡流量的策略，使得多VPN用戶共享集中部署的防火墻、入侵檢測設備、無線接入設備等網(wǎng)絡設備，做到對不同用戶訪問資源的獨立控制。

三、結(jié)束語

H3C園區(qū)虛擬化解決方案作為下一代的校園園區(qū)網(wǎng)的建網(wǎng)思路，提供了一整套完整的實現(xiàn)虛擬化的方案。在設備層面整合了設備及鏈路資源，在邏輯層面整合了路徑及安全服務資源。這樣通過橫向虛擬化技術提升網(wǎng)絡的可管理性，可靠性及性能，通過縱向虛擬化技術實現(xiàn)了終端接入的安全和訪問權限控制、業(yè)務數(shù)據(jù)傳輸?shù)陌踩綦x、應用資源的按需分配、集中的網(wǎng)絡管理和策略部署等功能，更好的滿足了校園IT業(yè)務的發(fā)展需求。

[責任編輯 張宇龍]

Discussion on Construction of Campus Virtual Network

Liu Qingyi

Shaanxi Radio and TV University

As the organization's strategic investment, the construction of zone network whose importance is growing with business system growing dependence upon zone network. How to build a network zone to satisfy the network demand of information systems, to meet the network need of cloud computing, Internet of things and to accord with the development tendency zone network technology, which are three aspects of the problem that zone network construction need to focus on.

virtual zone, network architecture, network management

2015—03—05退改2015-05-02

劉清毅(1977— )，陜西省耀縣人，陜西廣播電視大學資源建設與現(xiàn)代教育技術中心助理工程師。

TP393.18

A

1008-4649(2015)02-0029-02