園區(qū)網(wǎng)SDN+VXLAN 網(wǎng)絡(luò)建設(shè)的實踐與思考

◆陶凱

（中國人民銀行武漢分行營業(yè)管理部 湖北 430015）

1 SDN 園區(qū)網(wǎng)的總體架構(gòu)

園區(qū)網(wǎng)整體網(wǎng)絡(luò)架構(gòu)選取“核心層-接入層”兩層結(jié)構(gòu)，如圖1，核心層配置兩臺高吞吐量、核心萬兆全分布式線速路由交換機，接入各個功能區(qū)域，下行鏈路通過雙光纖萬兆線路連接接入層交換機，形成高效轉(zhuǎn)發(fā)的骨干網(wǎng)。核心層和接入層分別運用網(wǎng)絡(luò)橫向虛擬化技術(shù)將多臺設(shè)備虛擬成一臺。

圖1 SDN 園區(qū)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)圖

SDN 網(wǎng)絡(luò)架構(gòu)設(shè)計為單Leaf 結(jié)構(gòu)（無Spine）。接入層采用VLAN組網(wǎng)，構(gòu)建基礎(chǔ)Underlay 網(wǎng)絡(luò)，完成用戶接入二層VLAN 隔離，與核心層通過路由協(xié)議保持連通。核心層采用VXLAN 組網(wǎng)，構(gòu)建邏輯Overlay 網(wǎng)絡(luò)，同時采用分布式網(wǎng)關(guān)，建立用戶安全組，并在策略執(zhí)行點實現(xiàn)VLAN 至VXLAN 的映射。

SDN 控制中心是整個SDN 網(wǎng)絡(luò)集中控制管理的關(guān)鍵，實現(xiàn)用戶邏輯網(wǎng)絡(luò)自動配置，策略自動下發(fā)，端口按分組進行批量配置。

2 SDN 園區(qū)網(wǎng)的實踐經(jīng)驗

2.1 網(wǎng)絡(luò)整體架構(gòu)選擇

目前業(yè)界有許多成熟的網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)虛擬化技術(shù)，園區(qū)網(wǎng)SDN 解決方案融合了網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)集中控制、終端準(zhǔn)入管控等技術(shù)和產(chǎn)品，這是本次網(wǎng)絡(luò)建設(shè)項目選擇的主要技術(shù)方案。此外，結(jié)合園區(qū)網(wǎng)特點及網(wǎng)絡(luò)各層級的角色和功能的不同，核心層需要實現(xiàn)認證點、網(wǎng)關(guān)和策略執(zhí)行點等功能，接入層需要實現(xiàn)VLAN 隔離等功能，因此，在網(wǎng)絡(luò)設(shè)備虛擬化層面分別對核心層、接入層交換機進行橫向虛擬化堆疊，以達到規(guī)避二層網(wǎng)絡(luò)環(huán)路影響以及簡化網(wǎng)絡(luò)管理的目的。

2.2 啞終端認證策略

IP 終端不經(jīng)過認證而直接接入網(wǎng)絡(luò)的傳統(tǒng)接入方式存在一定的安全風(fēng)險，但若通過手工IP+MAC 地址綁定的方式又會降低網(wǎng)絡(luò)運維效率。SDN 采用收集MAC 地址的方式來實現(xiàn)終端自動準(zhǔn)入控制，減少了大量基礎(chǔ)運維工作。普通用戶PC及服務(wù)器等設(shè)備接入網(wǎng)絡(luò)后，通過SDN 控制中心進行MAC 地址準(zhǔn)入認證，認證通過后會建立二層VLAN 與VXLAN 的映射關(guān)系，獲取相應(yīng)網(wǎng)絡(luò)訪問權(quán)限，從而能正常訪問網(wǎng)絡(luò)資源。部分網(wǎng)絡(luò)打印機、刷卡機終端等設(shè)備在MAC 地址認證特性上與普通終端有所區(qū)別，并不能很好地適應(yīng)SDN 控制中心的MAC 地址認證方式，會出現(xiàn)間歇性網(wǎng)絡(luò)中斷現(xiàn)象。為此，我們針對此類啞終端設(shè)備采取了免MAC 地址認證方式，直接在策略執(zhí)行點手工指定該設(shè)備的接入VLAN 與VXLAN 的映射關(guān)系，從而保證其在SDN 網(wǎng)絡(luò)架構(gòu)中能正常訪問網(wǎng)絡(luò)。

2.3 設(shè)備利舊對策

對現(xiàn)網(wǎng)中不支持SDN 功能的二層網(wǎng)絡(luò)設(shè)備，若其性能和穩(wěn)定性滿足組網(wǎng)要求，我們?nèi)匀粚⑵渥鳛镾DN 網(wǎng)絡(luò)建設(shè)的有效補充，達到設(shè)備充分利舊，提升資產(chǎn)使用效率的目的。其與支持SDN 功能的二層交換機的差別在于，此類設(shè)備不能接受SDN 控制器的納管，我們需要手工添加設(shè)備配置后接入二層網(wǎng)絡(luò)，且設(shè)備的配置及變更都需遵照傳統(tǒng)的網(wǎng)絡(luò)交換機的管理模式進行。但此類二層設(shè)備下接的終端仍需按照MAC 地址準(zhǔn)入認證方式接入網(wǎng)絡(luò)。

2.4 備份機制設(shè)計

SDN 控制中心軟件平臺是SDN 網(wǎng)絡(luò)的核心，因此SDN 控制中心軟、硬件設(shè)備的冗余備份是SDN 網(wǎng)絡(luò)安全穩(wěn)定運行的關(guān)鍵環(huán)節(jié)。從SDN 硬件設(shè)備備份選擇上，建議采用物理服務(wù)器和虛擬平臺架構(gòu)相結(jié)合的模式，這能充分發(fā)揮物理機器和集群虛擬機各自的軟、硬件優(yōu)勢；從軟件平臺備份的部署模式上，主控制中心在每日日終的非工作時間段將數(shù)據(jù)同步給備份控制中心，備份周期為1 天，同步間隔內(nèi)的數(shù)據(jù)需要在備份控制中心上重新配置；從主備控制中心切換的實戰(zhàn)效果上，已上線用戶的訪問權(quán)限不受影響，新上線用戶則需要通過備份控制中心進行認證，保證了切換前后業(yè)務(wù)的連續(xù)一致和數(shù)據(jù)的安全可控。

3 SDN 園區(qū)網(wǎng)的思考與展望

3.1 一種新的體驗

傳統(tǒng)的網(wǎng)絡(luò)建設(shè)與運維工作中重復(fù)配置、頻繁變更等繁重的重復(fù)性勞動往往讓網(wǎng)絡(luò)管理員苦不堪言，而SDN 智能網(wǎng)絡(luò)使得自動化部署從理論變成現(xiàn)實。首先，網(wǎng)絡(luò)建設(shè)的工作量大幅下降。管理員告別了復(fù)雜的代碼工作，所有操作都可在控制中心管理平臺上通過直觀的圖形化界面配置、拖拽等方式完成，在后臺轉(zhuǎn)化為網(wǎng)絡(luò)設(shè)備的具體命令批量下發(fā)給設(shè)備執(zhí)行，徹底顛覆了以往靠人工在逐臺設(shè)備上使用命令的配置方式，大大降低了網(wǎng)絡(luò)管理員的工作強度，同時也避免了人為誤操作的風(fēng)險。

其次，網(wǎng)絡(luò)運維頻度和難度大幅下降。傳統(tǒng)的網(wǎng)絡(luò)環(huán)境下，只要網(wǎng)絡(luò)用戶發(fā)生位置遷移，網(wǎng)絡(luò)管理員就需要進行網(wǎng)絡(luò)參數(shù)變更，以保證用戶使用的網(wǎng)絡(luò)權(quán)限不發(fā)生變化；而在SDN 網(wǎng)絡(luò)中，用戶在不變更部門即網(wǎng)絡(luò)權(quán)限不變僅變更辦公位置的前提下，無須變更網(wǎng)絡(luò)配置就能實現(xiàn)用戶無感知的網(wǎng)絡(luò)遷移。據(jù)統(tǒng)計，在SDN 網(wǎng)絡(luò)架構(gòu)下，網(wǎng)絡(luò)變更的頻度較傳統(tǒng)網(wǎng)絡(luò)下降了近70%，網(wǎng)絡(luò)變更的工作量下降了近50%。

3.2 一種新的理念

在傳統(tǒng)網(wǎng)絡(luò)中，IP 地址即是終端位置的標(biāo)識。因為三層網(wǎng)段往往與位置緊密關(guān)聯(lián)，用戶遷移一般會跨越不同的三層網(wǎng)段，此時需要通過修改變更基礎(chǔ)網(wǎng)絡(luò)配置以保證遷移后用戶依然能以原來的IP 地址接入網(wǎng)絡(luò)。基于此，我們認為在傳統(tǒng)網(wǎng)絡(luò)的基礎(chǔ)運維中，管理員更關(guān)注的是用戶的IP 地址而并不在意用戶是誰，此時IP 地址決定了終端接入端口屬于哪個三層網(wǎng)段，用戶具備何種網(wǎng)絡(luò)訪問權(quán)限。

在SDN 網(wǎng)絡(luò)中，用戶和應(yīng)用成為其關(guān)注的核心。IP 地址與物理位置解耦，網(wǎng)絡(luò)本身提供了IP 任意位置訪問的能力。所有網(wǎng)絡(luò)資源跟隨用戶和應(yīng)用移動，用戶在哪里接入，資源就下發(fā)到哪里，真正意義上實現(xiàn)了“網(wǎng)隨人動”，“策略隨行”。

這種觀點的轉(zhuǎn)變，引導(dǎo)網(wǎng)絡(luò)管理員集中關(guān)注用戶和應(yīng)用，即真正體現(xiàn)了應(yīng)用驅(qū)動網(wǎng)絡(luò)的理念，只要做到用戶和應(yīng)用的接入初始化配置準(zhǔn)確無誤，在日常運維中一般不需要手動干預(yù)。

3.3 一種新的趨勢

傳統(tǒng)的網(wǎng)絡(luò)是一種分散管理模式，交換機、路由器、防火墻等主要設(shè)備的功能相對獨立，隨著信息化規(guī)模的擴大，網(wǎng)絡(luò)運維難度會不斷增加。大數(shù)據(jù)、云計算、虛擬化技術(shù)的應(yīng)用落地給網(wǎng)絡(luò)智能化建設(shè)提供了全新的借鑒和思路。首先，網(wǎng)絡(luò)控制層面和轉(zhuǎn)發(fā)層面解耦分離，由SDN 控制器履行全網(wǎng)統(tǒng)一管控職能，提供全局的視角管理和資源調(diào)度，提升整網(wǎng)的決策能力；其次，網(wǎng)絡(luò)資源池化以構(gòu)建彈性網(wǎng)絡(luò)，底層的基礎(chǔ)網(wǎng)絡(luò)采用VXLAN、隧道等技術(shù)，抽象出邏輯層面相互獨立的若干網(wǎng)絡(luò)，以解決現(xiàn)代企業(yè)中辦公OA 網(wǎng)絡(luò)、業(yè)務(wù)生產(chǎn)網(wǎng)絡(luò)、視頻監(jiān)控網(wǎng)絡(luò)等多場景網(wǎng)絡(luò)并舉的應(yīng)用需要，成為新時代網(wǎng)絡(luò)發(fā)展的前沿趨勢。

下一步，我們將在SDN 網(wǎng)絡(luò)的核心架構(gòu)下結(jié)合具體業(yè)務(wù)應(yīng)用需求，不斷探索推進金融業(yè)基礎(chǔ)網(wǎng)絡(luò)的智能化發(fā)展。一是加速網(wǎng)絡(luò)與應(yīng)用相互聯(lián)動。通過SDN 北向接口與應(yīng)用云平臺對接，探尋業(yè)務(wù)系統(tǒng)與底層網(wǎng)絡(luò)的直接調(diào)用與信息交互的便捷通道，運用開放可編程的靈活手段合理部署網(wǎng)絡(luò)資源，按需定制應(yīng)用服務(wù)。二是創(chuàng)新網(wǎng)絡(luò)智能運維監(jiān)控手段。在SDN 控制平臺的基礎(chǔ)上，不斷提升網(wǎng)絡(luò)數(shù)據(jù)采集能力，充分利用大數(shù)據(jù)、AI 等技術(shù)手段開展網(wǎng)絡(luò)數(shù)據(jù)智能分析，引入網(wǎng)絡(luò)安全事件的決策、反饋、預(yù)警機制，提升網(wǎng)絡(luò)安全事態(tài)感知水平和能力，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施穩(wěn)定運行。