新華三:山東大學青島校區SDN校園網案例

　　山東大學青島校區位于青島市即墨鰲山衛鎮，南依嶗山，東臨黃海。校區規劃面積3000畝，規劃建設137.12萬平米，一期70萬平米，可滿足10000名學生和2000名教職工學習、生活和教學科研的需要。目前有六個學院、八個研究機構入駐。由濟南、威海、青島三地共八個校區形成“山東大學系統”，使山東大學成為中國地區最大、系統相對最完善的高校，也將帶動山東大學進入全新時代，向創建世界一流大學邁進。本項目對于山東大學青島校區的意義重大，信息化基礎設施作為招生、日常教學管理和辦公的重要配套設施，其重要性也進一步得到凸顯。該項目作為信息化基礎的網絡建設，不僅以安全穩定的網絡滿足學校招生和教學管理的基本需求，同時通過引入SDN等技術，體現一定的技術領先性，解決傳統校園網在網絡部署、運維和管理等方面長期存在的諸多問題。

　　用戶痛點

　　●網絡僵化：山東大學其他校區的校園網絡都是按傳統的方式進行建設，普遍的特點網絡僵化不靈活，在傳統網絡架構下，用戶和業務與物理位置是緊耦合的狀態，網管人員往往根據地理位置，如樓棟，劃分若干個L3網段，終端基本不能大范圍移動，一旦用戶或業務位置變動，IP地址就會不停變換，策略無法自動跟隨，用戶體驗也會隨之變化。山東大學經常有學院搬遷的需求，一個學院搬遷到新的區域后，需要做大量的工作進行網段重新規劃和配置調整以保證業務連續性，特別是搬家后IP電話/打印機等必須的辦公設備都需要重新設置，對正常教學、辦公影響較大。

　　●運維復雜：山東大學傳統的校園網基本上都是采用手工配置和管理的方式，網管人員80%-90%的時間都陷在網絡運維的泥潭里不能自拔，只有10%-20%的時間才能用于校園業務創新。

　　●行為審計效率低：山東大學傳統網絡狀態下，用戶移動，IP地址發生變化，當審計的時候，由于用戶的IP地址不停變化，需要結合不同時間段內用戶的IP地址情況綜合去查，查詢雖然可以實現，但是比較麻煩，達不到所見即所得的狀態，即見IP地址即見用戶的效果。

　　●海量啞終端無法動態接入網絡：山東大學青島校區有門禁、水表、電表及安防等各種啞終端，而傳統校園網需要手動分配IP、手動分配交換機端口、手動創建隔離域，工作繁重且容易出錯，造成安全隱患。

　　網絡架構

　　山東大學青島校區校園網建設采用SDN架構，在控制區部署SDN控制器、認證系統及DHCP等，核心設備9臺，全部為100G骨干網，匯聚和接入設備1573臺，無線設備6296臺，新校區全部采用802.11ac wave2無線AP，滿足業務高性能需求，智能化終端接入數量接近5000個。

　　方案價值

　　●網隨人動：傳統校園網絡中，用戶或業務一旦發生漫游或位置的變更，則終端IP地址會發生變化，進而需要IT管理員進行大量的規劃、配置與測試，網絡策略和安全策略同樣需要進行相應調整。而SDN校園網方案可以實現用戶或業務與網絡位置解耦，因而對于園區用戶而言，其訪問權限與物理位置、使用終端、接入的方式無關，不同角色的用戶采用任意終端、任意接入方式、任意位置接入時，可以確保IP地址不變、權限不變。同時在網隨人動的狀態下，對用戶進行行為審計時，可以實現所見即所得，即見IP地址即見用戶的效果。

　　●轉控分離：當前校園各類應用越來越豐富，SDN方案可以提供一個轉控分離的架構，SDN控制器向上通過北向接口對接園區各類應用，向下通過南向接口對接底層網絡，通過控制器的銜接，將校園上層應用需求翻譯成底層網絡可識別的設備語言，從而實現校園應用與網絡的對接。同時轉控分離架構通過配置與設備解耦，根據設備角色將設備對應的配置模板(全網Spine、Leaf和Access三個模板)統一部署在控制區，然后通過自動化部署的方式完成全網所有設備的配置，進而實現設備上線自動化、業務部署自動化及故障替換自動化，從而極大提升運維管理效率，具體體現在如下幾個維度：

　　○ 設備上線自動化：通過自動化部署方案實現山東大學青島校區1000多臺接入層交換機同時上線，在設備物理安裝就緒的情況下無任何初始配置，30分鐘完成所有設備的配置及上線。

　　○ 業務上線自動化：新的園區網絡采用SDN架構，利用SDN控制器對用戶實現按角色的資源分配、權限控制;在用戶上線時控制器會自動識別用戶角色、然后分配用戶到角色組專屬IP地址段、專屬VPN組內，整個上線過程無需管理員干預，由控制器自動完成角色識別和資源分配。

　　○ 設備故障替換自動化：新的校園網絡在設備出現故障的時候，可以做到設備即插即用、快速恢復業務，而且對于替換設備既可以做到同型號設備替換、也可以做到不同型號設備替換。

　　● 啞終端智能接入：山東大學青島校區存在大量消防、監控、門禁等啞終端，通過基于SDN架構的免認證寬帶物聯方案，可以實現各類啞終端的自動識別、按設備角色授權和自動上線，不再需要像傳統方案需要單獨設置端口、隔離VPN和IP地址，同時解決了山東大學內網絡部門和保衛科的管理界面的問題。

　　● 簡單高效的智慧校園安全隔離方案：

　　對于校園網內部的多業務隔離是一直困擾校園網建設的關鍵問題，尤其是隨著智慧校園建設，業務類型多達幾十種，如何高效的進行業務隔離成為智慧校園建設的新的挑戰。SDN方案采用VXLAN的技術實現隔離，通過對端點做VXLAN的封裝，就可以實現全程端到端的隔離。同時配合SDN控制器實現基于角色和終端業務類型隔離域的自動分配和編排，讓整個校園網對于智慧校園業務承載變得非常簡單。在山東大學青島校區已經對門禁、監控、廣播網、標準化考場、一卡通等校園綜合業務都通過VXLAN技術實現了虛擬專網的隔離效果，即簡單、又安全。

　　項目意義

　　山東大學青島校區通過SDN校園網方案解決了傳統校園網在網絡部署、運維和管理等方面長期存在的諸多問題，將整個校區信息化水平提升到一個新的高度，校園信息化建設也進入到一個新階段，校園的各類應用創新也可以更好的開展起來。

　　山東大學青島校區通過部署SDN校園網方案，極大的提升了校園網的商業價值，經統計，山東大學青島校區校園網開通時間與傳統方式相比縮短了30%，資本性支出(CAPEX)降低了25%，運營成本(OPEX)降低了39%，總擁有成本(TCO)降低了28%。

　　山東大學青島校區SDN校園網方案建設完成后，在業內引起了廣泛關注，很多客戶從全國各地趕到山東大學青島校區參觀學習，全國各地SDN校園網建設也如雨后春筍般開展起來。山東大學青島校區校園網的部署實踐證明，基于SDN架構的新型校園網方案，可以解決傳統校園網在部署、運維和管理等方面長期存在的一系列問題，大幅提升校園網建設各方面效率，為整個全國高校智慧校園的基礎網絡建設提供了一個可以參考的全新的標桿，為整個教育行業信息化建設奠定了堅實的網絡基礎。