基于SDN技術在人民銀行組網的安全性思考

張榮凱

摘要：在人民銀行系統整合與架構轉型的背景下，各級人民銀行都在積極探索大數據平臺在金融業的應用，在虛擬化、云技術等新興技術驅動下，傳統網絡在管理和擴展方面面臨極大挑戰。本文綜合當前SDN組網架構應用特點，結合人民銀行基礎網絡架構提出初步組網建議，并對當前SDN組網面臨的安全性問題進行了研究。

關鍵詞：SDN技術 ?人民銀行 ?組網 ?安全性思考

一、SDN技術發展及實現方式

（一）SDN技術的發展

近年來，伴隨著云計算、大數據及虛擬化業務的快速發展，使得計算、存儲設施變成可運營的資源，用戶可以通過互聯網按需彈性獲取，這對底層承載網絡在面對頻繁變化的業務需求進行靈活調整時提出更高要求。

傳統靜態網絡在組網方式和配置管理模式上都缺乏足夠的靈活性。一是現有的網絡虛擬化方法如虛擬局域網VLAN、虛擬路由轉發VRF等受協議自身的限制，無法滿足大型虛擬化云計算應用的網絡隔離和虛擬機部署規模;二是虛擬機在遷移過程中，要求網絡具備快速部署、切換能力，現有的網絡生成樹（Spaning Tree Protocol）技術限制了虛擬化的網絡擴展性;三是部分網絡設備廠商在網絡的自動化部署和可視化管理方面明顯不足。

軟件定義網絡（Software Defined Network，SDN）通過軟件方式在物理網絡上構建虛擬的邏輯網絡實現控制轉發分離、邏輯集中控制，使得上層業務對網絡的變更需求直接體現在邏輯網絡上。同時，軟件定義的方式將網絡（虛擬網絡）的管理和控制功能從物理設備中抽離出來，有助于提高網絡的智能化和自動化水平。與傳統網絡相比，SDN網絡架構更為開放、靈活，能適應業務需求進行快速調整，更符合云計算業務發展的需求。

（二）SDN技術實現方式

對于SDN的定義，大家比較認可的是廣義SDN，即：泛指向上層應用開放資源接口，可實現軟件編程控制的各類基礎網絡架構。當前，SDN組網主流解決方案包括OpenFlow、 Overlay、I2RS、NFV等。

基于OpenFlow技術的SDN，強調控制與轉發解耦，由OpenFlow交換機、FlowVisor和Controller三部分組成，轉發層由OpenFlow交換機組成，控制面由SDN控制器軟件組成。OpenFlow雖然在Google等大型互聯網公司應用，但其技術門檻高，并且算法及架構存在較多問題，商用解決方案較少，不適合較為復雜場景部署。

Overlay通過在現有物理網絡上疊加一個軟件定義的邏輯網絡來實現業務邏輯。Overlay是一種隧道封裝技術，主要有VXLAN、NVGRE、STT這三種技術，基本原理都是通過隧道封裝的方式將二層報文進行封裝后在現有網絡中進行透明傳輸，到達目的地之后再解封裝得到原始報文，相當于一個大二層網絡疊加（Overlay）在現有的網絡之上。

I2RS完全依賴于傳統產業鏈，可用于現網改造，標準及產品進展緩慢，只有Cisco ONEPK解決方案。

NFV將網絡功能虛擬化，利用通用性服務器和虛擬化技術來承載網絡功能，降低網絡成本，提升業務開發部署能力，當前專用硬件設備種類各異，數量眾多，該方案只能應用于特定場景下，仍面臨著性能和容量等方面的挑戰。

二、SDN技術在人民銀行應用研究

在人民銀行系統整合與架構轉型的背景下，各級人民銀行都在積極探索大數據平臺在金融業的應用，通過大數據與云計算深度結合，依托分布式處理、分布式數據庫和云存儲、虛擬化技術對海量數據進行分布式挖掘。為滿足大數據平臺中虛擬機在網絡中的規模部署和快速遷移，結合現有的SDN商用解決方案，選擇在傳統網絡架構上疊加軟件定義的邏輯網絡的Overlay方案較為合適。

Overlay技術實際上是通過點到多點的隧道封裝協議，隧道封裝協議主要包括VXLAN、NVGRE、STT三種，其中VXLAN（Virtual eXtensible LAN）技術是利用了現有通用的UDP傳輸，具有很高的成熟度。在VXLAN組網中，用于建立VXLAN隧道的端點設備稱為VTEP（VXLAN Tunneling End Point，VXLAN隧道終結點），封裝和解封裝在VTEP節點上進行。在組網過程中，根據各級人民銀行實際環境，可構建以下三種模式。

（一）硬件Overlay

組網特點：隧道在物理交換機上進行封裝，交換機需支持VXLAN協議棧，可支持接入虛擬化服務器和物理服務器，可實現網絡設備高性能轉發。

如圖1網絡架構，采用TOR硬件交換機作為NVE（網絡虛擬邊緣節點），TOR間部署EVN/BGP-EVPN協議，通過Spine節點做RR反射器同步各個TOR設備的主機路由表，如果分布式組網需要多租戶隔離，RR反射器也可以配置為VTEP端點。

方案適用：此方案需采購支持VXLAN協議棧的TOR交換機，適用于對網絡性能敏感、服務器虛擬化應用規模較少的場景，不依賴虛擬化平臺，用戶可以有更高的組網自由度。

支持硬件Overlay的廠商：Cisco、H3C VCF、中興等。

（二）軟件Overlay

組網特點：隧道在服務器的vSwitch上進行封裝，通過安裝在服務器上的vSwitch軟件實現VTEP、VXLAN GW、VXLAN IP GW等功能，只需要物理網絡設備支持IP轉發即可，所有IP可達的主機即可構建一個大范圍二層網絡。

如圖2網絡架構，VTEP深入到服務器內部，在支持VXLAN協議棧的虛擬交換機vSwitch上進行報文的封裝和解封裝，Overlay功能由服務器來實現。各廠家使用集中控制的模型，將分散在多個物理服務器上的vSwitch構建成一個大型的、虛擬化的分布式Overlay vSwitch，不同物理服務器上的虛擬機遷移可視為在一個大型的二層網絡中進行。上層的controller控制器通過openflow協議下發表項控制管理vSwitch，控制器通過OVSDB協議對ovsdb-server進行管控。

方案適用：適用于數據中心服務器虛擬化場景，支持VMware、KVM、Microsoft Hyper-V、Xen、華為Fusion Compute等主流的Hypervisor虛擬化平臺，服務器及現有的網絡設備可以利舊使用，降低投資成本，由于各廠家vSwitch對不同計算虛擬化平臺兼容性存在差異，建議虛擬化平臺安裝對應版本的vSwtich。

支持主機Overlay的廠商：Vmware NSX、H3C vSwitch、華為 FusionSphere、中興等。

（三）混合Overlay

組網特點：混合Overlay是硬件Overlay和軟件Overlay的混合組網方式，在物理服務器和終端設備邊緣部署支持VXLAN協議棧的硬件交換機，在虛擬化服務器內安裝vSwitch軟件完成報文的封裝和解封裝。混合Overlay組網，既可以充分利用虛擬化的低成本優勢，又可以發揮硬件GW的高轉發性能，并將非虛擬化設備融入到Overlay網絡。

如圖3網絡架構，controller控制器對整個VXLAN實現總體控制。數據庫、存儲服務器等物理服務器需要高速轉發，使用接入TOR交換機作為VTEP設備，對于多租戶需求的虛擬化服務器采用vSwitch軟件實現Overlay網絡接入，同時Spine設備作為VTEP節點部署大容量交換設備，接入硬件FW/LB實現網絡的安全可靠。

方案適用：對于部署大量云數據平臺，同時存在部分業務需要高速轉發場景下，此方案兼顧硬件和軟件Overlay的特點。

混合Overlay支持的廠家：H3C VCF、Vmware NSX、Cisco、中興Related Solutions等。

（四）人民銀行Overlay組網的建議

考慮到人民銀行各級節點數據中心建設程度、網絡運維水平以及設備廠商的兼容性等因素，建議省級數據中心節點采用混合Overlay組網方式，可實現多租戶虛擬機的快速遷移，又可保障數據的高速轉發和網絡的集中控制，在具體實施中需要考慮vSwitch軟件對計算虛擬化平臺的兼容性;

地市級（含轄內縣支行）采用硬件Overlay組網方式，網絡結構相對簡單，可實現網路集中管理、易于編程等優勢，設備兼容性良好。

三、SDN技術面臨的安全性分析

（一）SDN產品性能、安全有待提高

基于VXLAN Overlay模型在保障轉發性能上，需要有支持VXLAN offload的網卡進行支持。且SDN 控制器作為整網控制核心，在控制器高可用設計、代碼安全性和對控制器的訪問控制等方面應予以加強。

對于省級數據中心存在同城、異地災備中心的網絡布局，單一的SDN 控制器應對跨多地域的網絡控制上存在可靠性、擴展性、性能等方面問題，需要多個SDN控制器組成分布式集群，目前，用于多個控制器之間溝通和聯系的東西向接口還沒定義標準。

（二）SDN控制器單點故障風險

控制器負責整個SDN網絡的集中化管理，實現網絡流量可視化，可快速識別網絡負載、異常事件和網絡攻擊行為。但SDN控制器作為一個潛在的單點故障源和集中的網絡干擾點，將成為網絡攻擊目標，這就對SDN Controller的可靠性提出更高的要求，必須實現HA部署。

（三）異構兼容性問題

為保障數據安全性和避免對同一廠家設備產生依賴，在數據中心虛擬化和網絡建設中，會采取多品牌型號異構組網。目前大部分Overlay SDN商用方案中對第三方開源或商用的虛擬化平臺、網關設備兼容性較差。設備兼容性問題主要取決于網關設備的通用標準化和南向配置協議的標準化不夠完善。因此，人民銀行在采用Overlay SDN組網時，需考慮本單位虛擬化平臺和網關設備的建設情況，采用自主可控、開源性產品。

（四）網絡集中管控風險

在傳統的網絡中，管理員使用ping、traceroute、nmap、tcpdump、netflow和snmp等通用管理工具，對網絡設備操作控制在端口級。在SDN網絡中，策略控制和下發均由控制器自動化管理，如果網絡管理員因管理不當、誤操作或非授權用戶取得控制器權限，會導致網絡集中故障風險。Overlay SDN技術變革及運維管理變化較大，網絡運維人員應加強對新技術的學習和研究，逐步開展SDN組網應用實踐探索。

作者單位：中國人民銀行淄博市中心支行