浅谈校园虚拟网络园区构建

刘清毅

(陕西广播电视大学 资源建设与现代教育技术中心， 陕西 西安 710068)



【远程教育】

浅谈校园虚拟网络园区构建

刘清毅

(陕西广播电视大学 资源建设与现代教育技术中心， 陕西 西安 710068)

随着业务系统对于园区网络依赖性的逐渐增加，园区网络的建设作为组织的战略性投资，其重要性日益增强。如何建设一个满足信息系统的网络需求的园区网络，并能够迎合物联网、云计算的建设热点的网络需要，符合园区网络技术的发展趋势，是园区网络建设需要重点考虑的三方面问题。

虚拟园区 ； 网络架构 ； 网络管理

随着网络规模的不断增大，其应用和复杂度也在不断增加。IT在校园信息化中发挥的作用越来越大，从办公应用IT化，教学IT化，再到多媒体等应用IT化，校园园区网所承载的应用种类极大丰富。对一个大型园区来说，很多用户和业务共用着网络、应用服务器等各种IT资源，但在很多情况下，基于安全和保密的需要，用户需要把自己的业务与其它业务系统隔离开来。传统的解决办法，只能是为有隔离需求的用户建专网、部署专用的服务器、安全设备、网管等，造成了重复投资、重复建设，而且对有交互性的应用服务系统，数据同步也成了难题。

一、虚拟园区网概述

校园园区网作为校园网络的核心部分，连接了校园总部的办公、教学、研发、财务等多种重要的机构。在网络建设中占有重要的地位。园区网内部终端种类众多，接入用户数量庞大，对网络的性能、可靠性、可管理性都有较高的要求。随着IT业务在校园网络中的重要性越来越高，建设一张简洁、可靠、高性能的园区网络就成为了校园必然的选择。

在终端种类及用户种类越来越多的今天，如何区分这些用户的网络接入权限并且在保证这些用户能够得到可控、可靠的网络服务，成为摆在校园网络管理者面前的难题。H3C的虚拟园区网解决方案集成了H3C的IRF2技术，MPLS/VPN技术，用户终端准入技术，多业务版卡扩展技术，通过各种技术的集成在校园网络的权限划分，用户接入管理，提升网络可靠性几个方面对现有的园区网建设方案进行了提升形成了一套新的虚拟园区网络解决方案。

二、虚拟园区网络架构

上图所示了H3C虚拟园区网的整体结构，虚拟园区网中整合了横向虚拟化及纵向虚拟化技术，接入层、汇聚层、核心层通过IRF2技术进行横向整合，安全模块通过板卡的形式灵活部署在汇聚层交换机，DC前端交换机及Internet出口前端的交换机上。同时，整网通过MPLS/VPN或MCE多跳技术进行纵向虚拟化，完成对网络资源的隔离。

图1 虚拟园区网的整体部署

2.1 校园虚拟网络的横向虚拟化

校园虚拟网络架构的横向虚拟化是指：通过使用H3C创新的IRF2技术，是原有的园区网络的接入层，汇聚层与核心层设备各自进行横向整合，将多台冗余设备虚拟化为单台逻辑设备，形成一个网络管理与转发节点。其优点主要有：

部署简化：在这样的虚拟化下，网状的校园园区网络形成了一个非常简洁的架构，网络各层之间通过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。路由简化：端到端IRF2部署使园区网络形成了无环、树状、辐射型的网络拓扑结构，极大简化了运行维护管理工作。网络中数据流的宏观路径上与简化后的整体网络拓扑具有一致性，业务流在网络中的走向清晰明确。同时，每个IRF2节点本身的扩展(如增加该节点设备)既不会改变校园网络的逻辑结构，也不会影响上下层网络的协议交互。管理简化：横向整合后，原有的多台设备作为一台设备进行管理，对管理的设备的数量进行大大的简化，提高对设备管理的效率。

2.2 校园虚拟网络的纵向虚拟化

校园网的纵向虚拟化是指对校园网络中物理路径的逻辑虚拟化。纵向虚拟化就是把网络等硬件设备和应用服务等都看成统一的资源，通过技术手段和方案设计，把这套共有的资源虚拟成多套逻辑资源，供不同的群组/业务使用。虽然在物理上这些资源是统一、集中的，但对不同的用户/业务来说，能够使用到的资源、配置的安全/管理策略可能各不相同。

H3C在纵向虚拟化技术中，解决了下面三方面问题：

1. 接入控制：用户接入控制的主要目的在于能够保证用户接入的身份可靠，并且将不同的用户进行分类，归入到不同的区域中，保证其安全的接入网络。同时H3C还能够通过EAD解决方案保证接入用户的安全性。2. 业务逻辑隔离：业务逻辑隔离区别不同权限用户业务之间能够相互隔离，在必要的情况下也可以进行互访。

3.资源隔离：做到对不同用户能够访问的资源的安全隔离，完成端到端的用户访问的虚拟化。

通过用户接入控制及业务逻辑隔离技术，为用户到服务器提供了一种端到端业务传输通道，把不同用户组、不同应用的数据横向隔离开来，从而实现了园区网的纵向虚拟化。

2.3 多业务板卡技术

在虚拟园区网方案中通过矩阵式的安全模块部署，解决了在传统的安全技术部署时的难扩展，单一节点故障等问题。

H3C通过将安全模块结合网络设备的创新，虚拟园区网中的安全设备部署能够灵活的利用设备背板的交换能力以及设备对网络流量的策略，使得多VPN用户共享集中部署的防火墙、入侵检测设备、无线接入设备等网络设备，做到对不同用户访问资源的独立控制。

三、结束语

H3C园区虚拟化解决方案作为下一代的校园园区网的建网思路，提供了一整套完整的实现虚拟化的方案。在设备层面整合了设备及链路资源，在逻辑层面整合了路径及安全服务资源。这样通过横向虚拟化技术提升网络的可管理性，可靠性及性能，通过纵向虚拟化技术实现了终端接入的安全和访问权限控制、业务数据传输的安全隔离、应用资源的按需分配、集中的网络管理和策略部署等功能，更好的满足了校园IT业务的发展需求。

[责任编辑 张宇龙]

Discussion on Construction of Campus Virtual Network

Liu Qingyi

Shaanxi Radio and TV University

As the organization's strategic investment, the construction of zone network whose importance is growing with business system growing dependence upon zone network. How to build a network zone to satisfy the network demand of information systems, to meet the network need of cloud computing, Internet of things and to accord with the development tendency zone network technology, which are three aspects of the problem that zone network construction need to focus on.

virtual zone, network architecture, network management

2015—03—05退改2015-05-02

刘清毅(1977— )，陕西省耀县人，陕西广播电视大学资源建设与现代教育技术中心助理工程师。

TP393.18

A

1008-4649(2015)02-0029-02