軟件定義網絡在人民銀行的研究與應用

◆李 猛

(中國人民銀行揚州市中心支行 江蘇 225009)

軟件定義網絡在人民銀行的研究與應用

◆李 猛

(中國人民銀行揚州市中心支行 江蘇 225009)

近年來，人民銀行IT基礎設施已基本完成從面向設施的基礎設施資源整合到面向資源的虛擬化平臺建設過渡，開始向面向服務的云計算平臺展開了研究和探索。但是，目前的傳統網絡架構部署和運維效率低、網絡風險防控能力弱等缺點不斷顯現，特別是針對大數據、云服務等新技術的要求，傳統的三層網絡架構已經不能滿足新技術新業務的需求。而軟件定義網絡即SDN（Software-Defined Networking），作為一種新的網絡體系結構，能夠精準地實現控制層對數據流的控制，具有一定的應用前景。

IT基礎設施；虛擬化平臺；云計算平臺；SDN

1 當前網絡架構的現狀分析

1.1 軟硬件結構繁雜，網絡運維管理效率偏低

在傳統的網絡架構中，網絡與業務是分離的，新的業務部署時，網管員可能需要同時配置多個網絡設備。這些設備包括路由器、交換機、防火墻等，它們是由網絡設備硬件、操作系統和網絡應用三部分緊耦合在一起構成的封閉系統，只為用戶預留了簡單的命令行接口、圖形界面等。這種手工配置的效率低下，無法實現網絡對業務快速變化的響應，嚴重影響業務的部署進度。目前，在人民銀行的業務網中，網絡廠家雜、設備類型多、設備數量多、操作命令不一致，導致這些設備的運維和管理難度大、成本高、效率低。

1.2 網絡層級復雜，網絡風險防控能力有限

傳統網絡架構主要從網絡結構、邊界、協議、流量、QOS（服務質量）等方面做好風險防控，要構建相對安全的網絡系統至少還要包括以下安全設備：防火墻、入侵檢測和入侵防御系統、負載均衡、漏洞掃描、動態口令認證系統等。如此眾多系統和措施在帶來一定安全性的同時也帶來安全隱患，系統漏洞可能存在任何一處。要保持這些設備物理和邏輯上的一致性也異常困難，任何配置上的錯誤，都可能導致網絡和業務的中斷，人為操作風險也是網絡中第一大風險點。

1.3 網絡能力落后，對新技術支持能力不足

隨著業務發展，數據主要通信方式逐步從南北方向（進出數據中心的通信）向東西方向（如計算集群或虛擬化計算）方向發展，云計算、大數據、移動互聯等技術發展，流量不斷翻番，使得底層網絡的體積膨脹、壓力增大、需要收斂的時間變長，傳統的網絡架構已經無法支持新技術的應用。

2 軟件定義網絡（SDN）的應用架構

2.1 SDN總體架構。

狹義的SDN定義是“SDN是一種邏輯集中控制的新網絡架構，關鍵屬性包括：數據平面和控制平面；控制平面和數據平面之間有統一的開放接口OpenFlow。”，特指基于OpenFlow南向接口的網絡。廣義的SDN定義是：“SDN是一種支持動態、彈性管理的新型網絡系統結構，是實現高帶寬、動態網絡的理想架構”，則是指具備SDN理念的所有網絡。這兩種定義都強調了SDN擁有數據平面和控制平面解耦分離的特點，也都強調通過軟件編程對網絡進行控制的能力。所以SDN體系主要包括SDN網絡應用、北向接口、SDN控制器、南向接口和SDN數據平面，從傳統網絡架構到SDN體系架構的演進關系如圖1所示。

2.2 SDN的關鍵技術優勢

SDN支持控制平面與轉發平面的分離，使得對網絡設備的集中控制成為可能。以OpenFlow為代表的南向接口的提出使得底層的轉發設備可以被統一控制和管理，而其具體的物理實現將被透明化，從而實現設備的虛擬化。多種多樣的開放接口，將推動網絡能力被便捷地調用，支持網絡業務的創新。

圖1 傳統網絡架構向SDN架構演進示意圖

（1）控制平面和數據平面的分離

控制平面和數據平面的分離是 SDN架構區別于傳統網絡架構的重要標志，兩者解耦分離、不再相互依賴，只需遵循統一的開放接口，是網絡獲得更多可編程能力的架構基礎。

（2）邏輯上的集中控制

對分布式網絡狀態的集中統一管理，SDN控制器會擔負收集和管理所有網絡狀態信息的重任。邏輯集中控制為軟件編程定義網絡功能提供了架構基礎，也為網絡自動化管理提供了可能。

（3）網絡開放可編程

通過開放的南向和北向接口，能夠實現應用和網絡的無縫集成，使得應用能告知網絡如何運行才能更好地滿足應用的需求，比如業務的帶寬、時延需求，計費對路由的影響等。另外，支持用戶基于開放接口自行開發網絡業務并調用資源，加快新業務的上線周期。

（4）網絡虛擬化：通過南向接口的統一和開放，屏蔽了底層物理轉發設備的差異，實現了底層網絡對上層應用的透明化。邏輯網絡和物理網絡分離后，邏輯網絡可以根據業務需要進行配置、遷移，不再受具體設備物理位置的限制。同時，邏輯網絡還支持多租戶共享，支持租戶網絡的定制需求。

3 SDN在人民銀行應用的效用評估

SDN目前存在不同技術背景和流派，包括徹底革新的ONF、基于現網演進的IETF、架空物理網絡的Overlay和網絡功能虛擬化的NFV。根據人民銀行網絡物理和虛擬并存的環境，選擇混合Overlay方案是最適合的。Overlay是一種物理網絡架構上疊加的虛擬化技術（如圖 2所示），大體框架是對基礎網絡不進行大規模修改的條件下，實現應用在網絡上的承載，并能與其它網絡業務分離。

在混合Overlay中，物理設備和虛擬設備都可以作為Overlay邊緣設備，靈活組網，可以接入多種形態服務器，可以發揮硬件網關的高性能和虛擬化網關的業務靈活性。根據人民銀行網絡和業務現狀，以某中心支行為例，通過H3C Overlay技術實現SDN組網（如圖3）。

圖2 Overlay網絡概念圖

圖3 通過H3C Overlay技術實現SDN組網

在此方案中，復雜的網關功能由現有的2臺互為熱備的H3C MSR5600路由器完成，核心交換機為2臺使用IRF 2技術組網H3C S10504，樓層和機房接入交換機使用H3C S5500-HI，最后由 H3C VCF控制器實現對內部節點的管理和控制。該方案建成后，相對于原有網絡，具有以下優點：

（1）網絡部署自動化。網絡設備的配置依據網絡拓撲自動完成，網絡設備支持零配置開局，加電后自動向控制器請求所需配置。實現網絡從“人工靜態網管配置”向“實時動態智能控制”的演進，自動網內路由可達，提供一個路由可達的三層網絡，提供一個面向應用按需分配的虛擬網絡，提高業務開通速度。

（2）網絡運維管理更簡單高效。控制器可以進行網絡資源統一管理，支持物理、虛擬網絡資源的拓撲信息收集、狀態信息收集，實時進行路徑計算和優化策略，通過自動化手機的網絡數據能共提供網絡健壯性的實時視圖，提供可視化的管理和操作。

（3）對云計算支持能力強。可以使用 VXLAN（Virtual eXtensible LAN，可擴展虛擬局域網）構建大二層網絡，支持虛擬機的跨三層遷移，提升虛擬機規模，支持構建突破 VLAN 4K限制的虛擬網絡。

（4）功能豐富的安全應用。基于SDN的網絡能夠以多種方式提升安全性，包括支持創建虛擬化的安全設備（vFW等）。例如WannaCry病毒爆發后，安全應用可以通過控制下發流表的方式，封閉所有445端口或者引導流量到清洗中心進行過濾，不需要緊急斷網和停止業務。