Cisco DNA在高校校园网中应用的探讨研究

来源:用户上传      作者:庞镭

　　摘   要：随着网络结构、运维管理、安全层级越来越复杂，当网络复杂度达到一定程度后，运维工作一定不是通过运维人员的经验、精力来支撑的，而是需要引入自动化、智能化的运维工具。本文结合当前高校校园网运维面临的困难和挑战，阐述了Csico DNA在高校校园网中应用的优势和存在的问题，给高校运维人员高质量运维工作提供了借鉴。
　　关键词：DNA  校园网  VXLAN
　　中图分类号：G64                                    文献标识码：A                       文章编号：1674-098X（2020）03（b）-0093-02
　　随着高校校园网规模的不断扩大，各类网络设备、多种物联终端数量越来越多，校园应用系统更加多样，网络安全策略更加严格，传统由人工操作的命令行式运维模式与日益复杂的网络格局之间的矛盾逐渐凸显。作为校园网的运维管理部门，学校教育技术中心运维人员亟需研究和探索自动化、智能化的网络运维管理模式，应对复杂的网络环境，以便能够更好地实现服务教学、科研，方便师生应用的目标。
　　1  校园网运维面临的困难和挑战
　　当前，高校校园网蓬勃发展，呈现出复杂格局。校园用户有线无线网、物联网、安保专网、一卡通专网、财务专网、教学考务监控专网等单独组网，各功能网络呈块状结构分布，块与块之间有的需要严格的物理隔绝，有的需要相互连通，有的块内网段之间需要互通，或某两个网段之间杜绝互通。多种访问需求，就需要多种不同的配置策略與之相匹配，无形中给管理人员带来巨大挑战。
　　1.1 人工运维成本高
　　传统的校园网功能多，设备的基础配置、设备与设备之间互通配置等，全部需要运维人员去完成，运维成本大。特别是上新项目时，大量设备需要逐个配置。当网络拓扑和策略需要调整变更时，人为操作，无法保证变更前后设备配置完全一致。
　　1.2 用户策略分级多
　　高校网络访问策略针对不同用户有差异。老师、学生，非在编人员等等，不同的用户访问不同的资源，小型网络通常使用访问控制列表即可实现。高校校园网拓扑结构复杂，设备数量众多，需要保证全网一致性的实施，仅用访问控制列表，在实现和维护两个层面都很困难。
　　1.3 安全等级要求高
　　2019年12月1日，等保2.0标准正式实施，标准中对于网络关键应用有严格的要求，必须做到物理隔离，独立运维。
　　1.4 故障判断难度高
　　传统的网管系统功能多集中在监控设备的运行状态，无法做到对全网故障进行分析和预判。校园网用户多，故障类型多，传统抓包的或凭经验的故障排除方式显然已不能适应复杂网络结构。
　　在这样的背景下，Cisco DNA应运而生。DNA从网络的部署、配置、调试、到排障，全过程摒弃传统的命令行方式，通过控制器图形化界面进行操作，实现了自动化、智能化运维的目标。
　　2  Cisco DNA简介
　　DNA—Digital Network Architecture，是面向园区网的全数字化网络架构。包含：自动化运维工具、基于意图的策略部署、网络分析及故障排除功能。实现管理和转发功能的分离，是DNA最基本的原则之一。
　　部署DNA可以长期提供网络运维的支撑和保障。在DNA模式下，设备加电即可获得配置，智能化程度高。所有针对网络设备管理层面的操作都交由DNA-C控制器来统一指挥，完成管理、配置、策略下发等任务，全网交换机等网络设备只完成转发功能。控制器会实时从设备提取信息，同时将网络知识库放置于控制器中，用于分析网络风险，评价网络健康状况，提示网络安全隐患。
　　3  DNA在高校校园网中应用的优势
　　3.1 网络安全层面
　　传统方式，校园网出口需要部署安全策略，就配置防火墙设备;需要搜集分析用户上网行为，就部署行为管理设备;需要实现一键断网，就部署反向代理设备，所有完成安全功能的设备是叠加式的部署方式，不能将上述功能集中在一台设备上。DNA架构提倡集成式的安全，全网设备，包括AP、交换机、防火墙，都是作为网络探针存在，通过全网搜集数据的方式来保证网络的安全。
　　3.2 设备层面
　　所有设备只需上架、加电、IP可达，其他的操作都无需人工干预，都由DNA-C控制器进行配置和策略的下发。特别是针对有多个校区的情况，某分校区的设备只需加电，其他操作都可在主校区完成。校园网设备传统且普遍采用的运维管理方式是，运维人员为主，各类网络监控软件为辅，所有的网络设备配置、策略调整均是通过命令行实现。这就网络运管人员提出了比较高的要求，不仅需要熟悉某一品牌某种型号设备的所有命令及其含义，还需要考虑并解决不同品牌网络设备交叉使用的兼容性问题。
　　3.3 组网方式层面
　　当前，安保网、一卡通、校园网等各个功能网络之间物理隔离，存在多网建设、维护成本高的问题。DNA是叠加的网络，只需建立一套物理网络，在此基础上叠加多个虚拟网络。通过虚拟方式实现物理隔离，可以在控制器上添加多个虚拟网络，不仅节省了硬件成本，更为管理员的部署和规划提供了方便。
　　3.4 故障处理层面
　　传统故障处理需要经过多个环节，多次操作，多个节点去排查故障原因，在DNA架构中，DNA控制器会搜索智能故障数据库直接给出故障原因及处理意见，简化并弱化了人为参与的因素，将极大提升运维效率。
　　4  DNA在高校校园网中应用存在的问题
　　从兼容性角度来看，目前，CiscoDNA都是基于Cisco-C系列9000型号的交换机展开的，DNA不支持其他品牌的网络设备，同时也不支持思科较早型号的设备。而校园网大量在用的CiscoC2960，C3750等型号交换机无法支持DNA。同时，无线设备方面，Cisco17、27、37、18、28、38系列的无线接入点都可以支持DNA，早期的型号都不支持。
　　从功能角度来看，实现DNA必备的组建有控制器（DNA-C）、ISE认证模块、无线控制器。DNA体系对传统三层网络结构中的核心层、接入层设备有型号的要求，必须支持VXLAN。因为VXLAN是在接入层进行封装，在核心层进行解封装。
　　也就是说，要实现DNA，需要更换校园网大量在用的网络设备。无论是从成本还是从制度层面来看，大量更换在用设备都需要一个较长的时间周期。
　　5  结语
　　Cisco DNA作为一种自动化、智能化程度较高的运维模式，已经成为园区网运维发展的新趋势，高校校园网可以在逐步消化现有设备的基础上，引入DNA设备，在为运维工作提供更大方便的同时，以期实现更加稳定，更加敏捷的校园网接入方案。
　　参考文献
　　[1] 刘倩熙. IPTV在校园网的应用研究[D].湖南大学，2012.
　　[2] 王凤霞. 校园网无线网络管理与应用优化[D].复旦大学，2012.
　　[3] 吴文皓. 校园网环境下的MPLS技术研究与仿真[D].哈尔滨理工大学，2013.
转载注明来源:https://www.xzbu.com/1/view-15256152.htm