二、有线无线融合的业务感知园区SDN方案

　　目前校园网有两个突出的变化，一是无线接入从补充角色开始与有线接入平分秋色，二是业务多样化，语音、视频等大量媒体业务涌现。 针对上述变化，网络方案的跟进情况如何呢？在现有有线网络上叠加部署无线网络的方式仍然为主流，“有线无线一体化”虽然宣传多年，但业务转发、安全策略控制仍然独立进行，导致无线AC流量瓶颈以及管理维护工作量巨大，用户一直没有体会到什么才是真正的一体化。再看网络和用户业务的关系，虽然业务种类在增多，用户身份在变化，但网络仍然“毫不知情的公平对待”，二者之间存在着巨大的隔阂。华为“有线无线融合的业务感知园区SDN方案”就是为了使网络能够从容的应对上述业务变化的产物，下面让我们详细看一下用户的问题及方案带来的价值。

　　有线无线融合：

　　流量瓶颈的问题前面已经提到，无线叠加有线的部署方式，瘦AP到AC之间的流量采用CAPWAP隧道汇集到AC，集中转发的网络架构，使得AC成为无线网络的关键瓶颈。随着WLAN技术从802.11 a/b发展到802.11n以及802.11AC，无线接入带宽也从几十M提高到1G，流量瓶颈问题更加严重。

　　再看一下安全需求，解决移动办公带来的安全问题是其大规模部署的前提，包括访客身份识别和权限控制、智能终端的类型识别和权限控制，用户之间的互访控制等，网络之上的安全策略控制是网络更好的支撑高校信息安全的关键点，移动办公之后会有哪些变化呢？

　　首先，多点分布的策略控制点导致策略管理和配置复杂，无线的融入使得该问题更加突出。有线网络中的接入/汇聚交换机都是潜在的策略控制点，运维人员需要花费大量工作对其进行配置，包括用户组策略建立，认证参数配置等。部署无线后，由于AC单独作为无线用户策略控制点，新增加了额外配置工作量。目前很多高校鉴于配置管理方便的需求，会考虑把汇聚或者核心层设备作为统一策略控制点，这导致下层网络对用户完全开放，非法用户也可以与正常用户互访，很容易发生潜在的信息泄露和恶意攻击，员工的移动性及智能终端的网络接入，将使上述安全问题更加突出。移动办公时代，网络的策略控制务必延伸到接入边界，那么数量众多的接入设备将使原本复杂的策略管理和网络配置雪上加霜。

　　其次，策略由单一属性演变为多属性。目前大多数高校的策略控制都是根据用户身份单一属性，如：市场、研发、财务员工等。移动性使得策略属性多样化，如：同一用户，使用PC或者PAD时，权限不同； 采用笔记本应用有线或者无线接入时，权限不同；访客在既有身份权限的基础上，需要加入时间限制。安全策略的控制需要考虑用户的多种接入属性。

　　华为“有线无线融合的业务感知园区SDN方案”通过“转发面”和“控制面”的有线无线融合很好的解决了上述问题：

　　1）转发面融合：华为依赖具有可编程能力的新四代交换机，通过转发面编程，在传统有线转发的基础上融合了包括CAPWAP隧道终结在内的无线AC转发功能，AP成为现有交换机接入端口的延伸，流量瓶颈不复存在。虽然业界新发布的部分ASIC芯片号称集成了对CAPWAP隧道的支持能力，但毕竟需要硬件的全新升级，可编程交换机使得融合平滑进行，并能够支撑以后无线业务的潜在定制化需求。

　　2）控制面融合：为实现策略的自动化部署，借鉴SDN的策略集中控制方式是首选方案。而通过可编程交换机实现有线和无线一体化融合接入后，原本零散分布在现有交换机和AC上的策略控制点也将实现融合。策略控制点统一后，有线和无线用户的网络策略预配置和管理在一点实现，数量众多的策略控制点缩减为若干个，简化了运维工作量。 同时，借鉴无线AP/AC的集中管理模式，可编程交换机实现的融合的策略控制点可以与边缘接入交换机进行联动控制，本来需要直接下发到边缘设备上的策略可以统一下发。联动控制方案在减少控制点，简化运维的基础上，仍然很好的满足了高校移动办公之后安全控制到边缘的诉求。

　　基于可编程交换机的融合策略控制点同时实现了对用户接入环境属性的感知，包括终端类型、接入方式、接入位置等，配合策略中心实现用户接入属性的综合分析，从而下发灵活的策略进行安全控制。

　　基于华为公司成熟的BRAS用户管理经验，有线无线融合的可编程交换机整合了用户管理功能，实现基于用户的安全和业务控制功能，为高校业务的精细化管理奠定基础。

　　业务感知：

　　前面讲到，现在的高校应用早已是百花齐放：IP电话、桌面语音、VDI等，但网络却没有及时跟进，现有网络支撑新兴业务的能力存在以下几个问题：

　　1）桌面媒体如语音，桌面云的出现，使得一个IP终端有多种不同的业务类型，而业务之间对网络的质量要求不同，传统基于端口/VLAN部署的QOS方案无法对桌面媒体应用进行区分，并实现高优先级调度

　　2）IP语音通信不仅使用在有线接入场景，桌面语音通信的便利性同样使得无线接入用户大规模使用，WLAN带宽受环境影响大，且易被干扰，结果就是带宽瞬息万变。语音这类网络质量敏感业务必须进行高优先级保证，由于与数据业务混合，无法通过独立SSID的方式实现差异化QoS标记，对业务的感知势在必行。

　　3）苹果热潮席卷全球，基于智能终端的视频投放Airplay、无线打印AirPrint应用开始在高校、高校使用。应用和视频TV/打印机之间通过苹果私有Bonjour协议进行通信，由于定位家庭应用，通信协议采用组播机制，那么如何实现在高校大型园区的跨VLAN部署需求呢？网络对新型应用协议的感知和定制化处理诉求（组播转单播等）被众多高校提出。

　　网络需要感知应用，而在园区部署独立DPI识别业务的方案显然比较昂贵，无法被用户所接受。华为“有线无线融合的业务感知园区SDN方案”在实现融合的基础上，通过可编程交换机强化了业务感知能力，当前通过对媒体SIP信令、苹果Bonjour协议的集中监控分析，识别应用类型，未来通过POF协议无关转发技术，将会支持更加复杂的业务类型匹配，如微软Lync语音通信加密后的业务流量等。

　　“业务感知”的目的是为了差异化的业务调度，结合可编程交换机的大表项、多级QOS调度能力，通过精细化控制，高校业务将充分享受差异化的网络质量保证。

　　三、园区SDN愿景

　　未来的校园网络，在有线无线深度融合的基础上，将会进一步面向用户和应用优化，其中“用户/应用感知”能力将会是网络的是否能够更好的满足用户需求的关键点。第四代可编程交换机的出现，使网络资源变得空前的灵活，从容应对新业务部署带来的诸多问题，保护用户投资。

　　随着可编程Hybrid SDN园区方案与高校业务的不断深入结合，在新兴的无线，视频，VDI，IP存储，灵活网络部署等业务领域之外，还可以利用其POF和高可靠虚拟专网的特点，进一步的将生产网融入到传统的校园网中，充分结束高校网络的多网并存的局面，实现多业务融合和利用率提高，简化管理和维护。