SDN在基層央行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用探索

◆唐詮杰

SDN在基層央行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用探索

◆唐詮杰

（中國人民銀行常德市中心支行 湖南 415000）

基層央行網(wǎng)絡(luò)基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)部署，存在網(wǎng)絡(luò)部署和運維效率低、網(wǎng)絡(luò)風(fēng)險防控能力不足、大數(shù)據(jù)和云計算等新興技術(shù)支持能力有限等問題。為緩解上述問題，常德市中心支行探索了軟件定義網(wǎng)絡(luò)（Software-Defined Networking，以下簡稱SDN）在基層行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用，運用網(wǎng)絡(luò)虛擬化技術(shù)和設(shè)備將現(xiàn)有網(wǎng)絡(luò)分離出數(shù)據(jù)層和控制層，通過控制層對數(shù)據(jù)層進行智能管理，取得了較好效果。本文闡述了SDN體系結(jié)構(gòu)及主要技術(shù)，隨后介紹了基層央行應(yīng)用SDN的探索，總結(jié)了具體實現(xiàn)方案。該方案具有自動部署網(wǎng)絡(luò)，高效網(wǎng)絡(luò)運維和支持云計算等優(yōu)勢，具備一定的可復(fù)制性和推廣價值。

SDN；軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)架構(gòu)；網(wǎng)絡(luò)運維；網(wǎng)絡(luò)安全

人民銀行總行副行長在人民銀行科技工作會議指出：各分支行要大力推進架構(gòu)轉(zhuǎn)型，積極研究和探索面向服務(wù)的云計算平臺。為貫徹落實總行會議精神，人民銀行長沙中心支行發(fā)布了《湖南省人民銀行信息化“十三五”發(fā)展規(guī)劃》，決定在湖南省人行系統(tǒng)開展“網(wǎng)絡(luò)扁平化”、“服務(wù)器虛擬化”、“桌面云化”（以下簡稱“三化”）工程建設(shè)。省內(nèi)各人民銀行分支機構(gòu)的IT基礎(chǔ)設(shè)施逐步從面向?qū)嶓w設(shè)備的基礎(chǔ)資源整合向面向資源的虛擬化平臺建設(shè)過渡。然而，人民銀行市州以下基層行一直沿用傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)運維和部署效率不高，網(wǎng)絡(luò)風(fēng)險防控能力欠缺。接入層、匯聚層和核心層三層結(jié)構(gòu)難以適應(yīng)架構(gòu)轉(zhuǎn)型的發(fā)展要求，制約了人民銀行信息化的快速發(fā)展。為此，人民銀行常德市中心支行探索了軟件定義網(wǎng)絡(luò)（Software-Defined Networking，以下簡稱SDN）在基層行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用，運用網(wǎng)絡(luò)虛擬化技術(shù)和設(shè)備將現(xiàn)有網(wǎng)絡(luò)分離出數(shù)據(jù)層和控制層，通過控制層對數(shù)據(jù)層進行智能管理，取得了較好效果。

1 基層央行現(xiàn)有網(wǎng)絡(luò)架構(gòu)瓶頸分析

（1）缺乏云計算的支持能力

當(dāng)前，云計算技術(shù)快速發(fā)展，網(wǎng)絡(luò)資源高效分發(fā)、虛擬機大范圍遷移、應(yīng)用多級部署已成為網(wǎng)絡(luò)應(yīng)用趨勢。然而，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)因其對硬件的過分依賴，對網(wǎng)絡(luò)層次嚴(yán)格區(qū)分，暫時難以實現(xiàn)以上的需求，顯得捉襟見肘。例如：在傳統(tǒng)的局域網(wǎng)新增了一臺虛擬機。首先，創(chuàng)建虛擬機后，必須對網(wǎng)絡(luò)設(shè)備手工配置IP地址，分配VLAN，設(shè)置ACL和QOS，配置時間長、易出錯。其次，對于二層局域網(wǎng)還應(yīng)配置VTP（虛網(wǎng)傳輸）和STP（生成樹）以免出現(xiàn)網(wǎng)絡(luò)環(huán)路。上述的協(xié)議和配置大多缺乏通用性，從而限制了網(wǎng)絡(luò)規(guī)模進一步擴展，可能會引起兩個方面的問題，一方面網(wǎng)絡(luò)運維效率低、故障率高；另一方面限制了服務(wù)器集群或虛擬機的遷移和擴展，無法實現(xiàn)云計算對大規(guī)模設(shè)備快速部署和遷移。

（2）缺乏大數(shù)據(jù)業(yè)務(wù)的保障能力

目前，央行金融業(yè)務(wù)蓬勃發(fā)展，尤其是支付、征信、統(tǒng)計和信貸部門對數(shù)據(jù)存儲和處理的需求呈爆發(fā)式增長。通信數(shù)據(jù)傳輸逐步以通信數(shù)據(jù)中心為核心轉(zhuǎn)為以虛擬化計算集群為中心。由此可見，現(xiàn)有基層央行的三層網(wǎng)絡(luò)架構(gòu)無法實現(xiàn)虛擬化集群的接入需求，只能運用分布式網(wǎng)絡(luò)架構(gòu)。例如：在傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)中，不同子網(wǎng)的設(shè)備進行點對點通信時，其數(shù)據(jù)包流向總是從接入到匯聚到核心，再從核心到匯聚到接入層，到達目的地。所有跨網(wǎng)段數(shù)據(jù)包都必然通過核心層，從而形成了較大的數(shù)據(jù)流量。一旦傳輸量過大時，就會出現(xiàn)瓶頸。不僅大量的帶寬被消耗，還會造成難以估計的延時，形成擁塞甚至?xí)霈F(xiàn)掉包和阻斷等網(wǎng)絡(luò)故障。

（3）缺乏對網(wǎng)絡(luò)風(fēng)險防控的能力

當(dāng)前，基層央行網(wǎng)絡(luò)主要的網(wǎng)絡(luò)風(fēng)險防控的方式主要有：網(wǎng)絡(luò)協(xié)議、訪問控制、服務(wù)質(zhì)量、流量、邊界等方面。上述防控方式總是需要硬件設(shè)備的支持，至少依賴于以下幾種安全設(shè)備：防火墻、入侵檢測、漏洞掃描、負(fù)載均衡和動態(tài)口令認(rèn)證等設(shè)備或裝置。將如此多的安全設(shè)備和系統(tǒng)進行有機整合，確保物理、邏輯保持一致，共同發(fā)揮效能，確實困難。即使將它們整合運用，增強了一定的安全性的同時也可能會帶來安全隱患。由于存在較多安全節(jié)點，需要更多的人為配置和操作，操作風(fēng)險和配置錯誤隨時都可能出現(xiàn)在任一設(shè)備中，從而導(dǎo)致網(wǎng)絡(luò)和業(yè)務(wù)發(fā)生故障的可能性、不確定性和不可控性大大增加。

2 SDN結(jié)構(gòu)與技術(shù)簡介

2.1 SDN的定義

SDN可從狹義和廣義兩個方面來定義。廣義的定義闡釋了SDN具有動態(tài)、彈性管理的特點，是一種更高帶寬的動態(tài)的網(wǎng)絡(luò)架構(gòu)。狹義的定義闡釋了SDN通過邏輯集中控制器對網(wǎng)絡(luò)進行動態(tài)管理。該網(wǎng)絡(luò)包含數(shù)據(jù)層和控制層，兩者之間主要采用OpenFlow南向接口進行通信。兩種定義都體現(xiàn)了數(shù)據(jù)層和控制層相分離的特點，通過控制器的軟件編程接口進行網(wǎng)絡(luò)的精準(zhǔn)控制?？傊毕蚪涌凇⒛舷蚪涌?、網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)平面和集中控制器組成了SDN的網(wǎng)絡(luò)架構(gòu)，如圖1所示。

圖1 SDN基本結(jié)構(gòu)示意圖

2.2 SDN的主要特點

一是實現(xiàn)了網(wǎng)絡(luò)的開放性和可編程性。面向用戶設(shè)置了一套通用API接口，通過對SDN控制器進行軟件編程，實現(xiàn)網(wǎng)絡(luò)的自動化管理。

二是實現(xiàn)了網(wǎng)絡(luò)邏輯層面的集中控制。SDN控制器收集和管理所有網(wǎng)絡(luò)狀態(tài)信息，實現(xiàn)了網(wǎng)絡(luò)的分布式集中管理。

三是實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)和控制層面的分離。數(shù)據(jù)控制分離和獨立是區(qū)別與傳統(tǒng)網(wǎng)絡(luò)的最大特點，也是網(wǎng)絡(luò)可編程的基礎(chǔ)。

綜上所述，以上三個特點具有密不可分的邏輯關(guān)系。網(wǎng)絡(luò)的開放性和可編程性是SDN的核心，網(wǎng)絡(luò)集中控制器是開放性和可編程性的基礎(chǔ)，控制平面和數(shù)據(jù)平面分離則是前提。

2.3 SDN的主要協(xié)議

SDN主要采用南向協(xié)議通過控制器對數(shù)據(jù)面進行編程。它也是SDN最核心的接口標(biāo)準(zhǔn)之一。目前，國內(nèi)較流行的SDN南向協(xié)議為OpenFlow南向協(xié)議標(biāo)準(zhǔn)，簡要介紹如下。

（1）基本原理

一方面控制器生成、維護和下發(fā)流表，另一方面由網(wǎng)絡(luò)設(shè)備自行維護自身流表，主要體現(xiàn)了數(shù)據(jù)包兩種不同的轉(zhuǎn)發(fā)方式。數(shù)據(jù)包從交換機端口進入后，若自身匹配成功，則按匹配項轉(zhuǎn)發(fā)數(shù)據(jù)包，若匹配失敗，則將數(shù)據(jù)包上報給控制器。控制器根據(jù)下發(fā)流表項告知交換機如何處理這個數(shù)據(jù)包。

（2）基本架構(gòu)

早期版本定義了OpenFlow交換機的流表和安全通道。其中，流表負(fù)責(zé)匹配和處理數(shù)據(jù)包，而安全通道負(fù)責(zé)建立與控制器通信的安全連接。最新版本定義了度量表和組表，度量表對用戶流量進行了限速和計量，而組表極大降低了流表的復(fù)雜度。

2.4 SDN的集中控制器

集中控制器是軟件定義網(wǎng)絡(luò)最關(guān)鍵、必要的組件和“神經(jīng)中樞”。近年來，SDN迅猛發(fā)展，全球的學(xué)校、企業(yè)和組織都研發(fā)了各具特色的集中控制器。例如用于工程領(lǐng)域的OpenDaylight和ONOS，又例如在科研運用較多的POX/NOX，RYU和Floodlight。我國的華為、H3C等通信設(shè)備制造商也研制出了各自的控制器。下面以H3C的虛擬化控制器（VCF）為例，對控制器的架構(gòu)進行簡要介紹。

如圖2所示，從上至下分為五層，第一層為北向接口層，主要負(fù)責(zé)對外提供可編程接口，第二層為內(nèi)置應(yīng)用層，包含了各種網(wǎng)絡(luò)和服務(wù)的應(yīng)用，第三層為基礎(chǔ)網(wǎng)絡(luò)層，內(nèi)置了各類不同的網(wǎng)絡(luò)管理模塊。第四層為抽象邏輯層，實現(xiàn)了不同廠商、不同設(shè)備的屏蔽功能。最下面是南向接口層，涵蓋了BGP、NETCONFIG、OpenFlow等通信接口協(xié)議，通過協(xié)議管理設(shè)備（虛擬設(shè)備或?qū)嶓w設(shè)備）各種節(jié)點。整個網(wǎng)絡(luò)的運行效能直接由集中控制器所決定。應(yīng)從網(wǎng)絡(luò)虛擬化的可支持、可擴展和安全性等方面去選擇特定協(xié)議的控制器。

圖2 SDN虛擬控制器邏輯結(jié)構(gòu)

3 基層央行應(yīng)用SDN的具體實踐

通過以上的分析，我們知道SDN具有不同技術(shù)流派的組網(wǎng)結(jié)構(gòu)，如ONF、Overlay等。根據(jù)基層央行現(xiàn)有網(wǎng)絡(luò)環(huán)境，建議選擇混合Overlay方案較為適合。SDN Overlay基本結(jié)構(gòu)如圖3所示。

圖3 SDN Overlay基本結(jié)構(gòu)

（1）組網(wǎng)分析

基層人行業(yè)務(wù)網(wǎng)采用了傳統(tǒng)的接入、匯聚、核心的分層組網(wǎng)技術(shù)，劃分了很多的網(wǎng)絡(luò)邊界和區(qū)域，部署了各種不同品牌網(wǎng)絡(luò)設(shè)備如H3C、華為、思科等，運行了STP、VTP、HSRP、VRRP、OSPF、BGP等各種不同網(wǎng)絡(luò)協(xié)議，各類設(shè)備、協(xié)議混合共存。網(wǎng)絡(luò)管理方式屬于自上而下分級管理?；鶎尤诵袊?yán)禁隨意改變組網(wǎng)方式。因此，兼容已有網(wǎng)絡(luò)結(jié)構(gòu)，采用嵌入式的組網(wǎng)方案成為合理的選擇。

混合Overlay恰好是符合這一需求的完美選項。因為它是一種在實體的網(wǎng)絡(luò)架構(gòu)上疊加虛擬化的技術(shù)，本質(zhì)是封裝報文的隧道技術(shù)。主要框架是保留現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)虛擬化在網(wǎng)絡(luò)上的承載，同時與其他網(wǎng)絡(luò)業(yè)務(wù)相互獨立，創(chuàng)建的多個虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)混合運行在Overlay中。虛擬設(shè)備和物理設(shè)備都可以作為Overlay邊界。它的組網(wǎng)方式靈活，可接入各種不同的路由器、交換機、服務(wù)器以及各種虛擬化設(shè)備。如圖4所示。

（2）技術(shù)實現(xiàn)

以人民銀行常德市中心支行為例，按上述混合Overlay方案組建一套網(wǎng)絡(luò)實驗室，將其接入核心路由器（核心層），實現(xiàn)了SDN與當(dāng)前網(wǎng)絡(luò)的無縫對接。主要運用H3C Overlay技術(shù)實現(xiàn)。如圖3所示，配置了2臺虛擬交換機H3C 1020v、1臺虛擬防火墻H3C VFW作為服務(wù)器和終端的接入，部署了2臺H3C S5800-HI作為樓層接入交換機，采用了2臺運用了H3C IRF2技術(shù)組網(wǎng)的H3C S10500X作為核心交換機，接入已有兩臺互為熱備的核心路由器H3C MSR5600。配備了H3C VCF控制器（OpenFlow控制器）對各網(wǎng)絡(luò)節(jié)點進行管理和控制。此方案通過控制器實現(xiàn)網(wǎng)絡(luò)實驗室的邏輯編程和智能化管理。如圖5所示。

圖4 混合Overlay網(wǎng)絡(luò)架構(gòu)

圖5 常德市中支SDN Overlay組網(wǎng)拓?fù)鋱D

（3）應(yīng)用效果

一是提升網(wǎng)絡(luò)安全性。如圖5所示，SDN支持虛擬化的安全設(shè)備，如虛擬防火墻等，增加了更為豐富的網(wǎng)絡(luò)安全關(guān)卡。病毒一旦爆發(fā)，直接在控制器上對所有下發(fā)數(shù)據(jù)流封堵病毒端口或?qū)?shù)據(jù)流引入虛擬安全設(shè)備過濾。無論對用戶、對業(yè)務(wù)，還是對物理設(shè)備而言，都將毫無影響，一切在后臺完成，無須斷網(wǎng)和停掉業(yè)務(wù)。

二是增強了云計算能力。通過組建可擴展的虛擬局域網(wǎng)，構(gòu)建介于二層到三層的網(wǎng)絡(luò)結(jié)構(gòu)，支持虛擬機從二層向三層遷移，對于4K Vlan以上的高速虛擬化網(wǎng)絡(luò)，實現(xiàn)大數(shù)據(jù)和云計算的支持。

三是實現(xiàn)了網(wǎng)絡(luò)運維智能化。如圖5所示，通過軟件實現(xiàn)了網(wǎng)絡(luò)拓?fù)渥詣优渲蒙桑W(wǎng)絡(luò)設(shè)備自動部署完成，無須任何手工配置，加電后向控制器請求下載對應(yīng)配置。網(wǎng)絡(luò)管理由人為操作向智能控制的轉(zhuǎn)變。SDN隨時向用戶配備一個貼合需求的虛擬網(wǎng)絡(luò)，實現(xiàn)三層網(wǎng)絡(luò)路由可達。集中控制器統(tǒng)一對所有網(wǎng)絡(luò)資源進行管理，監(jiān)控網(wǎng)內(nèi)虛擬和物理的設(shè)備、線路等網(wǎng)絡(luò)資源狀態(tài)信息，按需對網(wǎng)絡(luò)進行負(fù)載平衡和路徑優(yōu)化。通過體驗較好的GUI界面，供用戶展示和操作，促使網(wǎng)絡(luò)運維和部署速率顯著提升。

4 結(jié)束語

本文研究了基于軟件定義網(wǎng)絡(luò)技術(shù)（SDN）在基層央行網(wǎng)絡(luò)架構(gòu)中的探索應(yīng)用，分析了組網(wǎng)原理，比較了新舊網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)劣，取得了較好的應(yīng)用效果。因此，為緩解基層央行網(wǎng)絡(luò)運行存在的問題，運用軟件定義網(wǎng)絡(luò)技術(shù)，實現(xiàn)網(wǎng)絡(luò)智能控制和編程管理勢在必行。

[1]陳思.新一代校園網(wǎng)的SDN研究[J].現(xiàn)代信息科技，2019（02）.

[2]張寧，唐佳，劉識，廣澤晶，李成巍，郭小溪，楊芳.軟件定義網(wǎng)絡(luò)在電力數(shù)據(jù)網(wǎng)中的應(yīng)用方式研究[J].電力信息與通信技術(shù)，2019（04）.

[3]王珺，王夢林，王悅，劉俊杰，高正憲.SDN數(shù)據(jù)中心網(wǎng)絡(luò)基于流分類的負(fù)載均衡方案[J].計算機工程與應(yīng)用，2019（04）.

[4]黃倩，何鋒，王彤.基于SDN的多數(shù)據(jù)鏈網(wǎng)絡(luò)集中控制方法[J].電光與控制，2019（05）.