內生安全SD-WAN網絡架構與關鍵設備方案研究*

康 敏

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著云計算的快速發展和大規模部署，政府、企業大量的信息系統逐漸從傳統的集中式數據中心向云計算分布式數據中心架構轉型。在這個發展過程中，用戶對信息系統和各類業務應用的使用需求不變甚至更高，希望訪問云應用能像訪問本地應用一樣迅速、安全，但是云計算架構下的網絡流量模型發生了根本改變，對廣域網的承載傳輸需求也發生了很大改變，主要體現在以下幾點[1]。

（1）本地應用遷移到云端后，原來這些應用在本地運行，獨享局域網帶寬，現在變為云端運行，共享廣域網帶寬，對廣域網的帶寬、承載能力、可擴展性以及可靠性等都提出了更高的要求。

（2）各地的應用都要通過廣域網和云端進行通信，使得廣域網的業務種類變得多樣、流量變得復雜。為了保證應用體驗不受影響，需要面向不同用戶實現差異化和精細化調度，以保障各類用戶的服務質量。

（3）云計算數據中心的規模部署，使得數據中心之間的互聯互通和數據同步越來越多，需要專門的數據中心互聯（Data Center Interconnect，DCI）網絡來承載和保障這些流量，同時要求DCI網絡具備實時感知、統一編排以及靈活調度等，以動態適應云計算應用的能力。

傳統廣域網在建設時通常嚴格采用分層設計的思想和策略，基于各類通用路由器、交換機等設備構建。為了實現多樣性業務、大容量業務承載傳輸以及全國甚至全球互聯等，使得系統十分復雜；為了保證網絡的安全性、獨占性等，使得系統比較封閉。網絡上承載的業務和網絡本身狀態之間沒有關聯。網絡和應用相對分割，而業務和網絡之間的關聯一般靜態地通過維護保障人員人工配置。這種配置通常只能固定和事前設置，無法根據不同應用業務需求進行不同策略的調整和傳輸。因此，傳統廣域網難以適應云計算廣泛應用的需求，需要對廣域網進行重構和變革。為了統籌解決這些需求，開展內生安全SD-WAN網絡架構與關鍵設備方案研究。

1 內生安全軟件定義廣域網的系統架構

通過分析軟件定義網絡、網絡功能虛擬化、內生安全等技術，綜合各技術優勢和特點，研究給出一種內生安全軟件定義廣義網絡架構。

1.1 相關技術介紹

軟件定義網絡（Software Defined Network，SDN）技術是近年來新興的基于軟件的網絡架構技術。它將網絡的控制平面和數據轉發平面分離，采用集中式控制替代傳統網絡的分布式控制，并采用開放和可編程接口實現“軟件可定義”的網絡架構。SDN是“軟件即服務”的趨勢從IT產業向網絡領域延伸的重要實踐，核心思想是通過“軟化”網絡設備的主要功能組件，實現網絡的敏捷、開放、智能和可重構等新能力[2]。

網絡功能虛擬化（Network Function Virtual，NFV）是將虛擬化技術在通用IT設備上實現各種復雜的網絡通信設備功能，核心思想是網絡功能的虛擬化和軟件化。NFV的本質是實現硬件資源與軟件功能的解耦，目標是通過基于服務器來實現網絡路由交換設備功能，從而取代傳統網絡中的私有專用網元，一方面可以顯著降低網絡建設成本，另一方面通過開放的應用編程接口提升網絡的管理維護效率，增強網絡的靈活服務提供能力等。NFV將通用網絡設備的軟硬件結合模式轉變為抽象的網絡功能網元，并通過統一的上層資源調度與管理系統實現網絡功能的可重組、靈活配置等。通過采用NFV技術實現網絡傳輸的動態切片、功能重組等能力，可以快速滿足未來不同業務線需求下的網絡靈活運營等新需要。

內生安全技術近幾年已成為新型信息基礎設施安全防護理念的重要發展方向。傳統安全防護理論主要側重于在現有網絡中疊加認證、傳輸加密、邊界防護、訪問控制等安全手段來實現保護。但隨著包括云計算、5G、大數據、人工智能等新型信息基礎設施建設的快速發展，相關新技術如虛擬化技術、網絡切片技術、網絡能力開放、異構網絡接入、邊緣計算新技術的引入給安全防護帶來了全新的挑戰，存在安全保障不足、網絡傳統安全邊界缺失等問題。內生安全技術重點對傳統設備結構進行調整，以重新建立安全防御邊界為基礎，將各類安全防護手段與通信網絡進行一體化設計、內生式實現，依靠系統自身體系架構和工作機制實現新型的安全防護。內生安全技術將新型信息基礎設施的安全要求和功能要求統一設計實現，重塑安全邊界，實現對各類已知或未知威脅的有效防御[3]。

1.2 一種內生安全軟件定義廣義網絡架構設想

提出的內生安全軟件定義廣域網（Software-Defined Wide Area Network，SD-WAN）綜合應用SDN、NFV和新型的內生安全技術的核心思想和原理，將原用于數據中心網絡的SDN技術拓展至廣域網，在傳統廣域網上替換升級各類傳統接入路由器為SDN安全接入路由器和虛擬化安全路由器，引入WAN控制器、網絡編排等新功能實體，以更好地滿足各類新型云化業務對網絡傳輸的新需求。將原來疊加于廣域網絡上的各類安全防護機制和手段，采用內置于設備、虛擬化、軟件化、可動態加載和配置等方式實現，增強系統的自身安全屬性和靈活部署性，提升安全防護效果。

方案利用SDN技術增強廣域網絡的集中控制能力，建立集中控制與管理平臺，通過控制器提供的南北向接口協議，把應用業務同廣域網絡中的各類設備關聯起來。一方面，可以實現對網絡狀態的主動監測、感知和調整等，以符合應用業務的要求；另一方面，各種不同的應用業務能夠更加簡便、靈活地調用網絡服務，使廣域網絡能夠更好地為應用提供服務，變得更加開放、可視、可調度以及便于運維保障等，從而提升各類應用業務的服務質量保證和用戶應用體驗等[4]。內生安全SD-WAN網絡架構如圖1所示。

圖1 內生安全軟件定義廣域網架構圖

在該SD-WAN架構中，WAN控制器直接賦予了整個網絡開放性和靈活度，是該架構的核心。業界兩個主流的開源SDN控制器OpenDayLight（ODL）與開源網絡操作系統（Open Network Operating System，ONOS）基本上已成為行業標準。其中，ODL作為參與度最廣的、領先的開源控制器平臺，已經在數據中心網絡廣泛應用，現已逐步向廣域網領域延伸和普及[5]。該網絡架構也將采用ODL控制器機制，并作為構建開放SD-WAN的核心控制平臺，擴展不同的業務應用模型，以滿足不同用戶場景下的應用需求。

在該架構中，中心的WAN控制器通過北向API接口實現與管理編排及應用系統的需求下發及狀態收集上報，通過南向協議接口實現與網絡設備的控制及交互，并形成應用驅動網絡重構、網絡適用應用需求與變化的閉環控制效果。其中，最關鍵的是控制器通過南向接口協議與網絡設備進行交互，主要有信息采集和服務控制兩大功能。信息采集是指控制器要能夠實時獲取網絡拓撲、業務流量狀態、鏈路質量以及擁塞情況等網絡信息，為網絡狀態呈現、網絡控制決策提供信息支撐。服務控制是指控制器利用收集到的各類網絡信息數據，基于策略或模型與應用業務需求進行匹配，生成對網絡服務提供的具體需求，并通過南向接口實現對網絡路由轉發行為的控制和調配等。

2 SD-WAN關鍵設備與技術方案

根據前述提出的內生安全SD-WAN網絡架構，下面研究提出其關鍵設備組成。

2.1 SD-WAN關鍵設備組成

隨著各類新型云化業務的快速發展，需要對網絡鏈路帶寬、網絡交換容量等不斷進行擴容、調整。另外，傳統的網絡流量工程應用復雜，不便于動態配置和調整，難以滿足多樣化的端到端的業務服務[6]。通過采用SD-WAN架構實現網絡的集中控制、統一調度和業務的智能選路，通過提升邊緣路由設備的靈活控制，以滿足業務的按需擴展、動態編排等。

根據廣域網絡骨干和核心部分一般是基于傳統路由器為主的情況，為了在現有廣域網上快速和簡便地構建具備支持云化應用的能力，提出一種較為精簡的支持軟件定義、網絡云化的SD-WAN關鍵設備組成方案，分別為軟件定義安全接入路由器、虛擬化安全路由器、動態編排與智能控制設備。

軟件定義安全接入路由器部署于用戶網絡邊界，可基于軟件定義的數據面轉發功能等，構建適應不同業務需求的隧道或傳輸切片。此外，基于虛擬化網絡功能（Virtualization Network Function，VNF）編排各類安全防護功能，包括虛擬防火墻、虛擬抗分布式拒絕服務攻擊、虛擬入侵檢測系統等，支持廣域承載網多種類型鏈路承載，以適應現有傳統廣域網絡和全新SD-WAN網絡等融合應用的組網需求。基于軟件定義的數據面轉發功能包括IP、IP in IP、多協議標簽交換（Multi-protocol Label Switching，MPLS）以及虛擬可擴展局域網（Virtual extensible Local Area Network，VxLAN）等。

虛擬化安全路由器實現網絡設備云化和虛擬化。基于NFV技術，可以將其部署于各類通用高性能服務器、云計算環境，是面向云應用的接入網關，其具備集成路由、交換、安全、虛擬專用網絡以及服務質量等復雜功能，具有軟硬件解耦、業務易部署和智能運維等特點，可以部署在入網點和云環境中。

動態編排與智能控制設備主要應用于廣域網系統控制、數據中心互聯DCI和云虛擬專用網絡（Cloud VPN）等場景，支持路徑集中計算、帶寬集中管理、業務動態調度等能力，提供全網業務約束條件和拓撲鏈路屬性信息的集中管理，支持收集物理拓撲信息和邏輯拓撲信息，并提供拓撲的全局呈現，實現WAN領域的業務快速部署發放、域內流量調優等能力。

2.2 應用場景

隨著各行業信息化進程的快速發展，建設統一數據中心、數據上云等需求日益迫切。特別是政府、大型國內或跨國企業需要提供分支與總部、分支與數據中心、分支與中心云、分支與分支之間的全場景按需互聯，需要解決通過廣域網的業務有QoS保證地互通，并能夠根據廣域網狀態變化，為各類應用動態地實現智能選路與智能加速、新型云化業務隨需獲取和智能運維等功能，同時需要在總部和各分支之間建立業務的加密安全傳輸、子網的邊界安全防護、入侵檢測、抗DDoS（Distributed Denial of Service）攻擊等安全功能，傳統的安全防護是需要在網絡中部署上述獨立的安全設備。而采用該網絡架構后，上述主要安全防護功能已經由各通信設備自身一體化提供，從而有效地簡化了云化網絡架構中安全專用網絡的開通、建設及維護的成本和復雜度。

采用內生安全的SD-WAN網絡構建承載于傳統廣域網的云化安全網絡，可實現業務流集中控制、安全防護統一配置與調度，極大地提升傳統廣域網支持云化業務的業務體驗和業務部署能力[7]。一種典型的應用場景如圖2所示。

圖2 最簡軟件定義廣域網絡設備應用場景

2.3 SD-WAN關鍵設備技術方案

根據SD-WAN系統關鍵設備組成，下面研究提出設備的初步技術方案。

2.3.1 軟件定義安全接入路由器

軟件定義安全接入路由器能夠同時支持通用用戶接入站點設備（Customer Premise Equipment，CPE）和虛擬化網絡功能的uCPE設備應用，并可根據實際應用場景進行靈活部署。它需要全面支持軟件定義網絡能力，如具備OpenFlow、網絡配置協議（Network Configuration Protocol，NetConf）、開放虛擬交換機數據庫（Open vSwich Database，OVSDB）、邊界網關協議—鏈路狀態（Border Gateway Protocol-Link State，BGP-LS）等南向配置及查詢接口協議。設備可配置為傳統分布式、純SDN、混合模式等多種運行模式。它具備VNF虛擬網絡組件能力，可動態加載虛擬防火墻、虛擬入侵檢測、虛擬化抗DDoS以及虛擬網絡保密等網絡安全功能。安全特性上還支持路由協議安全認證、節點間的可信互聯功能、終端安全準入以及控制平面安全防護等。

軟件定義安全接入路由器的初步原理框架如圖3所示。

圖3 軟件定義安全接入路由器原理框架

軟件定義安全接入路由器由接入單元、交換矩陣、集中式路由轉發和虛擬網絡功能等模塊組成。接入單元通過各類接口與承載網路由器互聯；交換矩陣完成用戶接口、廣域接口與處理器模塊互聯；路由轉發完成信令與路由協議處理、數據包集中式轉發、配置管理、網管代 理、BGP-LS、Netconfig、OpenFlow等 智 能控制協議處理。設備支持傳統路由轉發功能，支持基于IPv4、IPv6的單播、組播轉發，支持MPLS標記轉發等。虛擬網絡功能支持VNF架構，可采用高性能通用處理器實現，是整個設備的核心新功能與特色功能體現。在動態編排與智能控制設備的統一控制和管理下，在軟件定義安全接入路由器中實現虛擬防火墻（Virtual Fire Wall，vFW）、虛擬入侵檢測（Virtual Intrusion Detection System，vIDS）、虛擬抗DDoS（Virtual Distributed Denial of Service Attack，vDDoS）、虛擬網絡保密（Virtual IP Security，vIPSec）等多種虛擬化網絡安全功能的實現和擴展。與傳統的在網絡邊界疊加安全設備相比，新型的安全路由設備能夠在設備內部提供上述各項安全功能，可根據應用場景動態編排，具有更好的性價比，并更好地提供動態的安全防護能力。

2.3.2 虛擬化安全路由器

虛擬化安全路由器基于NFV技術軟件實現，可快速靈活地部署到云端PoP點、云端集線Hub點等云環境場景，實現SD-WAN中虛擬機（Virtual Machine，VM）模式下的CPE設備功能（Virtual CPE，vCPE），提供基于應用的智能選路和加速的靈活云接入，支持自動化編排，可快速建立安全可靠的網絡互聯。采用虛擬機資源承載具有路由、交換、安全以及QoS等功能的虛擬路由器VNF實例。虛擬化安全路由器的設備初步原理框架如圖4所示。

圖4 虛擬化安全路由器系統架構

虛擬化安全路由器是采用虛擬機形式部署的CPE設備。系統架構由以下幾個關鍵部分組成。

（1）物理硬件和操作系統。這是通用的高性能處理器硬件平臺，提供CPU、內存、網卡以及存儲等硬件資源和基礎操作系統服務。

（2）Hypervisor。它支持KVM、VMware等主流的虛擬化平臺。作為中間軟件層，它可實現對虛擬機的管理，允許多個虛擬機實例共享硬件資源，同時在各個虛擬機之間要考慮實現隔離和防護功能。

（3）vSwitch/SR-IOV/PCI-passthrough。它可實現虛擬機實例之間和虛擬機實例與外部網絡之間的信息交換。

（4）虛擬機實例。分配獨立的虛擬處理器（Virtual Central Processing Unit，vCPU）、虛擬網絡接口卡（Virtual Network Interface Card，vNIC）等資源，承載具有路由、交換、安全、QoS以及VPN等功能的VNF實例。其中安全實例是實現設備內生安全能力的主要組件，提供與軟件定義安全接入路由器中類似的安全功能，只是實現方式是在虛擬機上采用NFV技術實現，與傳統安全防護方式相比也有類似的優勢和特點。

2.3.3 動態編排與智能控制設備

動態編排與智能控制設備主要基于高性能服務器、操作系統以及數據庫等平臺構建，支持網絡設備的動態發現、智能連接及安全控制通道維護，是SD-WAN網絡架構中的核心設備，實現了SDN架構中控制器的所有功能，并與管理系統、應用業務等緊密結合。它提供智能化的網絡優化功能，根據網絡資源和鏈路狀況重新配置路由；根據網絡故障和性能的分析，自動給出網絡和設備資源的優化調整建議；支持虛擬網絡切片劃分及功能編排，基于切片的網絡資源、安全資源調度部署；提供跨網系一體化協作能力，實現跨網系策略協作執行功能，并可以根據網絡運行情況，在多個網系間實現策略的跨網系一體化協作執行；支持NetConf、OpenFlow、SNMP、BGP-LS等南向控制管理協議，支持Restful、WebService、AAA、RestConf等北向服務接口被應用業務、網絡管理等系統調用。動態編排與智能控制設備初步原理框架如圖5所示。

圖5 動態編排與智能控制設備原理框架

動態編排與智能控制設備在南向、北向開放各類標準接口。北向接口支持網絡應用與管理平臺、業界通用的虛擬化云平臺等實現對接，接受應用業務需求；南向接口支持與軟件定義安全接入路由器、虛擬化安全路由器等設備的對接，將北向的業務服務調用轉化為南向的網絡設備配置、控制和調度等。網絡基礎服務支撐中提供網絡拓撲、轉發、安全防護、流量統計等編排服務，是實現系統網絡編排和調度功能的核心組件，通過內置安全功能編排與管理模塊，系統中不再需要單獨的安全管理系統等設備。因為采用了通用服務器架構，所以該設備可以直接利用通用服務器體系成熟的熱備、集群、高可靠性等技術來進一步保證系統的高可用性。

3 結 語

隨著云計算應用業務的蓬勃發展，政府、大型企業對能夠提供全國或全球覆蓋能力的高安全、高QoS保證的廣域傳輸網絡專線業務需求增加。本文研究提出一種內生安全功能的軟件定義廣域網絡架構，可以基于當前較為完備的有線、4G/5G、衛星等網絡傳輸基礎，為企業提供混合組網、跨境組網和現網優化功能，滿足企業快速、靈活的組網需求，快速構建服務于云化應用業務專用廣域網絡。同時，研究給出的關鍵設備初步原理框架較好地吸納了業界同類產品的特點和優勢，按照提供內生安全屬性的思路，實現業務傳輸QoS保證和安全防護能力的同步提供，具有較好的可實現性和特色優勢。后續為加快具備內生安全能力的SDWAN網絡的應用和推廣，需要繼續在服務方案、能力標準化以及生態建設等方面不斷完善，以進一步提升不同廠家產品和系統的兼容性、適配性等。