基于SDN網絡支撐架構的研究

常春雷 馬軍 楊大偉 李凱

摘 要：作為全新的網絡架構形式，SDN的應用愈發廣泛。本文針對現實需求，對SDN網絡支撐架構的建設和技術保障措施進行了較為深入的研究，希望能夠起到拋磚引玉的作用。

關鍵詞：SDN;網絡支撐;架構;方案

中圖分類號：TN915.02 文獻標識碼：A 文章編號：1671-2064（2018）10-0043-01

按照國家電網的工作部署和要求，全面提升一體化平臺的網絡傳輸服務能力、基礎設施服務能力、數據資源服務能力、信息集成服務能力、應用構建服務能力和訪問渠道服務能力，實現“平臺即服務”（PaaS）的工作目標。目前自主虛擬化資源此建設初具規模，但是傳統的網絡架構，傳統網絡的部署，需要在網絡環境內的每一臺設備上進行配置，需要規劃整個網絡的拓撲、端口的IP地址、路由協議等等，在網絡構建和維護過程中都需要人工持續不斷的干預。如果要部署新業務（如VPN），則需要對整網配置進行修改。因此需要針對自主虛擬化資源池開展SDN網絡技術的研究。

1 網絡現狀分析

（1）傳統網絡的擴展性有待提升。資源池在傳統扁平網絡架構中，如果應用網上聯交換機的端口采用acceess模式，虛擬機的IP地址只屬于一個vlan，IP地址個數;如果應用網上聯交換機的端口采用trunk模式，虛擬機的IP地址受交換機端口允許通過的vlan個數限制。（2）傳統網絡的安全性有待提升。當前資源池主要是將物理資源虛擬成多個虛擬資源提供給用戶使用，傳統網絡無法對虛擬資源進行有效地網絡安全隔離及有效地訪問控制;導致用戶可以任意訪問資源池中的虛擬機，且虛擬機之間可以互相訪問通信，失去了網絡物理隔離的天然屏障，增加了虛擬機之間網絡的不穩定性。（3）傳統網絡的可維護性有待提升。傳統網絡架構與手工維護方式，導致運維人員需了解各廠商不同型號網絡設備的配置方式，對人員技能水平要求較高;同時手工配置工作量龐大，存在操作失誤的風險;遇到問題難以快速準確定位，嚴重依賴運維人員經驗。

2 網絡需求分析

基于自主資源池的新一代SDN網絡支撐架構研究，實現自建私有虛擬網絡的功能。用戶可以根據自身需要，創建多個網絡，如直接與用戶數據中心物理網絡建立映射的提供承載功能的網絡，或基于隧道封裝技術（VXLAN）的跨二層網絡，實現用戶靈活組網，降低建設和運維成本。具體新增需求如下：

（1）安全組服務。提供自主虛擬化軟件資源池的安全組服務，實現不同等保等級的業務系統在自主虛擬化池中不同私網段的統一管理以及不同安全組之間網絡安全訪問隔離，保護用戶服務不受外部非法訪問的攻擊，提高了自主虛擬化池整體的網絡安全和集中維護能力。（2）防火墻服務。提供自主虛擬化軟件資源池的防火墻服務，實現外部網絡合法合規訪問用戶服務，防火墻一般部署于虛擬路由器上，是物理網絡網關防火墻在用戶虛擬網絡中的映射。相較于安全組，防火墻即服務在網關層次上確保用戶服務的穩健安全的運行。（3）DHCP服務。提供自主虛擬化軟件資源池的DHCP服務，實現自主虛擬化軟件資源池動態IP地址分配，建立了業務應用系統分配IP地址的快速精準交付機制;降低IP地址分配管理的難度。（4）路由服務。提供自主虛擬化軟件資源池的路由服務，實現各個網絡之間互相訪問以及公共網絡和用戶私有網絡互相訪問的功能。

3 SDN網絡支撐架構的建設

（1）虛擬網絡。實現用戶根據自身需求，合理規劃自建私有虛擬網絡的功能。用戶可以根據自身需要，創建多個網絡，如直接與用戶數據中心物理網絡建立映射的提供承載功能的網絡，或基于隧道封裝技術（VXLAN，GRE）的跨二層網絡，實現用戶靈活組網，降低建設和運維成本。（2）虛擬子網。實現在用戶自建的網絡的基礎上，合理劃分網段，分配合法的私有地址。私有地址支持以下地址段：10.0.0.0/8-24;172.16.0.0/16-24;192.168.0.0/16-24。（3）虛擬路由。提供用戶自定義的各個網絡之間互相訪問的能力（東西方向）以及公共網絡和用戶私有網絡互相訪問的能力（南北方向）。（4）DHCP服務。提供自主虛擬化軟件資源池的DHCP服務，實現自主虛擬化軟件資源池動態IP地址分配，建立了業務應用系統分配IP地址的快速精準交付機制;降低IP地址分配管理的難度。（5）安全組。實現細粒度控制用戶服務的訪問控制功能。基于權限最小，白名單的基本原則，保護用戶服務不受外部非法訪問的攻擊，從而實現用戶服務的安全。（6）防火墻。在網絡及子網，路由，DHCP服務，浮動IP和安全組的基礎之上，提供高級的防火墻服務的功能。防火墻即服務一般部署于虛擬路由器上，是物理網絡網關防火墻在用戶虛擬網絡中的映射。相較于安全組，防火墻即服務在網關層次，實現外部網絡合法合規訪問用戶服務，確保用戶服務的穩健安全的運行。

4 SDN網絡支撐架構的技術保障

4.1 網絡結構

VLAN擴展方案VXLAN采用MAC in UDP封裝方式，是一種網路虛擬化技術。針對大二層網絡，VXLAN解決了虛擬機規模受網絡規格限制;VXLAN引入VXLAN Network Identifier（VNI）網絡標識，突破傳統VLAN網絡規模限制。VXLAN通過采用MAC in UDP封裝來延伸二層網絡，將以太網報文封裝在IP報文之上，通過路由在網絡中傳輸。虛擬機和特定的網絡虛擬化功能模塊（DHCP服務，虛擬路由服務）橋接在邏輯上跨主機的大二層集成Open vSwitch網橋br-int上，通過VXLAN VNI用戶標識來隔離不同子網。以MAC in UDP方式封裝虛擬機的IP報文，然后通過Open vSwitch隧道網橋br-tun在大二層網絡中路由傳輸。虛擬網橋br-int，br-tun通過OpenFlow協議實現大二層網絡QoS。

主機節點分為控制節點、網絡節點、計算節點以及存儲節點等。網絡節點主要運行DHCP服務虛擬路由服務，虛擬機運行于計算節點上。計算節點間的虛擬機之間通信和計算節點和網絡節點之間通信建立通過VXLAN隧道。

4.2 虛擬路由服務

針對同一租戶可能有多個子網的情形，子網間互通和子網和公網通訊需要虛擬路由服務支持。虛擬路由服務運行在獨立的網絡空間中，對于每一個子網，都有一個對應的OVS Port設備與之綁定。每一個OVS Port設備的IP 地址為該子網的默認網關。

OVS Port設備taproute100屬于子網10.0.0.0/24，OVS Port設備taprouter200屬于子網10.0.1.0/24。設備taprouter100的IP地址為子網10.0.0.0/24的默認網關10.0.0.1，設備tabrouter200的IP地址為子網10.0.1.0/24的默認網關10.0.1.0。設備tabrouter100，taprouter200分別標記上相應VLAN ID。

5 結語

自主虛擬化軟件池傳統網絡架構單一，隨著入池業務應用系統的增加，IP地址的增多，對網絡運維工作提出了更高的要求，SDN網絡技術通過網絡虛擬層針對不同的業務應用系統建立不同的私網地址，并進行嚴格的劃分，實現基于策略的網絡安全控制，為網絡故障的快速定位提供參考，降低了運維工作量，提高了虛擬機網絡之間的安全隔離;為自主虛擬化池提供更加專業、安全、快速的全方位保障。

參考文獻

[1]王淑玲，李濟漢，張云勇，房秉毅.SDN架構及安全性研究[J].電信科學，2013，29（3）：117-122.

[2]趙聯祥.SDN架構下的OpenFlow原理探討[J].電信技術，2013，1（2）：69-72.

[3]王文東，胡延楠.軟件定義網絡：正在進行的網絡變革[J].中興通訊技術，2013，19（1）：39-43.

[4]趙慧玲，馮明，史凡.SDN——未來網絡演進的重要趨勢[J].電信科學，2012 ，28（11）：1-5.