基于SDN石油智慧園區網改造與實踐

◆董之光 馮梅 李青 谷海生

（中國石油勘探開發研究院信息技術中心 北京 100083）

近年來，隨著大數據、人工智能等新技術的發展，石油企業對信息化的依賴程度不斷加深，石油園區網絡運行和管理也在發生著變化，網絡規模和流量不斷增大，業務疊加，接入終端暴增已經成為常態，對于網絡的智慧化運營和管理升級的需求日益強烈，主要體現在網絡的自動化部署、可視、可管、可控、靈活定制等。目前在石油行業中，已經有試驗性和測試性智能網絡的實現；但是如何商業化改造落地自動化運營多業務融合的園區網絡已經成為一個爭相探索的熱點領域。

隨著《網絡安全法》的實施，對企業園區網絡的管理和運營也提出了更高的要求，網絡使用者的可視化精準化管理，網絡用戶行為的智能分析，快速響應網絡攻擊事件的溯源和預警，已經成為現代智能化網絡的一個必需能力。在對園區網絡改造的同時，需在網絡架構設計中考慮網絡安全策略和技術的應用，保障園區網絡能夠快速響應識別和發現部分攻擊行為，能夠迅速采取措施抵御部分攻擊，這是園區網絡改造要實現的一個重要目標。

1 園區網絡現狀及問題

目前石油行業中園區局域網傳統的“靜態+二層組網”模式還普遍存在，如某單位主園區和其他園區為異地部署網絡，園區間通過專線連接，核心網絡交換機部署在主園區，承擔主園區及分園區和其分支機構所有內外網業務，核心交換機上聯與上級單位連接，下聯分為兩部分區域，一部分與主園區匯聚交換機、數據中心網絡直連，另一部分通過路由器與各分園區連接。

圖1 網絡現狀

對網絡進行改造，首先需對現網實際運行狀況進行準確梳理和分析，網絡業務梳理需要精確到端口級，以保障在改造后其業務不受到任何影響。根據對網絡實際情況進行梳理和摸排，發現網絡隨著多年的運行，業務不斷擴展，設備不斷增加，網絡也會隨著進行調整和改變，網絡運行普遍存在的問題和風險如下：

（1）網絡拓撲與實際很難相符

在傳統網絡運維中，網管設備大多用于監控網絡設備的運行狀態，無法智能地監測網絡結構的改變并自動更新網絡拓撲結構，網絡拓撲圖往往需要網絡管理員自行繪制和更新，隨著網絡變化，管理員更替等網絡拓撲很難反映網絡真實運行狀況。

（2）接入終端不受控，僵尸主機普遍存在

傳統網絡對終端設備接入身份無驗證或驗證機制容易被繞過，造成對接入的資產不能完全掌握，僵尸主機普遍存在。對接入主機的行為控制非常弱，給園區網絡的安全運行帶來巨大的安全隱患。

（3）匯聚、接入層設備級聯過多

隨著網絡的運作和改造，往往會增加匯聚、接入層設備，交換機級聯過多問題普遍存在，交換機負載過大，用戶帶寬擁塞現象會在某些時期爆發，給網絡帶來很多不穩定因素。

（4）VLAN 與實際業務、人員管控脫離

網絡業務VLAN 大部分在網絡建立初期進行劃分，后期改動比較費力，隨著VLAN 的增加，人員的流動，機構的更替調整，通過VLAN 對各二級單位或者分支機構網絡進行管理的難度大大增加，實際單位、人員往往不能與網絡劃分正確對應。

（5）IP 未與人員、設備動態綁定，安全責任歸屬難落實

傳統網絡只能通過手動綁定方式或者網絡自動分配方式分配IP地址給用戶，IP 混用、借用，錯用等問題突出，IP 很難隨著人員、設備的更替調整自動作出變化。特別是啞終端等問題缺乏管理。

（6）布線混亂，鏈路資源短缺

傳統園區網絡運行過程中，經常會遇到物理鏈路規劃跟不上變化的情況，造成鏈路資源占用情況突出，物理鏈路資源經常處于耗盡狀態，新建網絡往往需要新鋪設鏈路，而舊鏈路利用率逐漸下降，給網絡運營增加了許多成本。

2 智慧園區網絡改造

2.1 SDN 系統架構

SDN（軟件定義網絡）是由美國斯坦福大學 Nick McKeown 教授等人提出的一種新型網絡創新架構，其核心技術OpenFlow 通過將網絡設備的控制面與數據面分離開來，用戶通過開放的流表對網絡進行控制，實現了網絡的可編程化，從而實現了對網絡流量的靈活控制，使網絡作為管道變得更加智能。

SDN 核心理念包括控制與轉發分離，集中控制和管理以及開放的標準接口。SDN 控制器成為網絡設備的大腦，負責維護所有的網絡轉發路徑，并對網絡設備編程；除此之外，SDN 控制器還負責業務網絡策略集中配置，網絡資源統一調度，利用軟件（SDN 控制器）實現對大規模整網設備的集中控制和管理；目前開放統一的南向北向接口，已有RESTapi、OpenFlow、NETCONF、OVSDB 等成熟型標準接口，東西向接口的研究還處于起步階段。

隨著SDN 技術的不斷發展，業界已經產生了革命派ONF、演進派IETF、疊加派VMware、運營商NFV 等不同的技術發展路線，其對SDN 的理解各有側重，但是其核心理念是一致的。本次依據VCFC SDN 系統架構進行設計，采納了目前業界最主流的OpenDaylight（ODL）架構思想，采用“EVPN+VxLAN”技術組網，在穩定性、性能、南向負載分擔、雙機集群、用戶界面等方面有自己的獨到見解和大量優化，具有擴展性強，兼容性強的特點。

圖2 VCFC 系統架構

2.2 SDN 智慧園區網絡設計與實現

SDN 智慧園區改造方案以石油石化企業典型傳統科技園區網絡架構為目標，包括主園區和一個分園區，兩個園區網絡改造原則為由現有傳統網絡平滑過渡到SDN 網絡，保證現有網絡設備有最大的兼容能力，并保證現有網絡設備充分利舊；在新的網絡形態下，能夠采用智能化手段管理和控制網絡，實現內外網安全策略的統一控制和分發；能夠實現設備自動化部署和應用安全通道隔離；能夠實現多園區人員設備與身份的管控，人員自動化上線。

本次方案的基本技術思路為：

（1）采用Overlay 技術實現大二層（匯聚層以下采用VLAN 組網，匯聚層以上采用VXLAN 組網），同時采用分布式網關，達到終端IP 地址與位置解耦，服務與位置解耦；

（2）采用安全分組的概念來簡化用戶訪問控制策略；一個用戶安全組對應一個VLAN/VxLAN（也就對應一個網段）。組間策略實質上就是網段和網段之間的ACL；

（3）SDN 控制器作為整個網絡集中的管理和控制點，實現用戶邏輯網絡自動配置，組間策略自動下發，設備按分組進行批量配置；

（4）通過EVPN 構建Overlay 網絡，Leaf 作為分布式網關；

（5）認證點在匯聚設備上，通過DHCP snooping 將用戶地址上送；

（6）管理和控制分離，業務和控制分離：VLAN 1 作為臨時管理；VLAN 2 作為DHCP 和認證協議控制通道，用戶VxLAN 由控制器根據認證下發的VLAN 自動映射；VLAN3 作為無線管理通道。

圖3 SDN 網絡改造設計圖

3 實踐效果

本次改造方案，實現了多園區網絡統一管理架構的設計和實施，實現分支無差混合管理，實現了用戶策略隨行、網隨人動的先進技術功能，同時相關功能還可以異地跨園區實現；采用VxLAN 技術實現網絡傳輸通道層安全隔離，整體提升了網絡安全管控能力，滿足了現代企業對網絡、人員及數據的管控需求以及對網絡的智能化需求，符合現代化企業園區的網絡技術架構要求。本次實現了傳統網絡向SDN 網絡過渡的實踐，為后續石油園區網絡智能化改造提供了參考。

（1）設備智能納管，設備統一化管理

網絡部署后，兩個園區網絡統一架構設計和實施，分支無差別化統一管理，新設備可以實現智能化自動部署和納管。如果要增加新的spine、Leaf 設備，其上線過程同自動化上線過程基本一致，新增加Access 設備，其上線過程如下

圖4 設備納管流程

園區網控制器統一管理原網和現網中的網絡設備，加以統一管理和展示，實現設備告警、設備性能和拓撲等多種方式的集中管理與展示功能。應用驅動園區儀表盤功能，可以基于用戶、終端和業務的角度，幫助用戶將整網實時狀態盡收眼底。

圖5 網絡統一管理

（2）用戶自動化上線，精細化控制

新入網用戶可以訪問準入頁面并自動化完成身份確認，IP 分配，網絡上線等操作，并針對石油員工特點提供了員工、新員工、訪客、其他單位員工等多個角色的自動化上線設計，大大減少運維工作量和人員的安全控制工作。通過在線用戶界面可以清晰觀察到用戶上線接入時長、接入mac、上線交換機端口、用戶IP，可以根據這些信息進行更細化管控，比如針對某個異常頻繁上線用戶進行下線處理，或者短信告知處理等。

（3）業務隨行

接入SDN 網絡內用戶，采用VxLAN 技術實現位址分離和策略隨行的功能，IP 地址與MAC、業務信息與人員身份信息綁定，用戶在園區內任意一個網絡接口接入網絡，均獲得其綁定IP，無須再更換IP 地址，無須重新注冊網絡，其網絡策略也一并跟隨生效。

圖6 用戶自動化管理

圖7 業務隨行

（4）業務隔離

網絡控制更為精細化，且易配置，易操作，可通過私網方式隔離無互訪問關系的業務，私網有獨立的VPN 路由表。

圖8 業務隔離

（5）提高網絡安全事件追溯能力

在網絡安全問題核查過程中，傳統網絡經常會遇到IP 與人員、設備不符的情況，在核查安全責任歸屬過程中，往往需要耗費大量人力，有的還需要現場進行巡線核查，如果遇到不在線情況，往往當天也就無法核查完畢，大大降低了單位網絡安全事件響應速度。

根據近兩年運行數據測算，在傳統網絡中，確定安全問題責任人的平均時間要15 分鐘，一次核對準確率僅為60%；SDN 網絡中，基于其業務隨行的特點，在核查安全責任歸屬時，第一次準確率為95%，這也只是因為部分附屬信息不準確，如單位變動未及時更新，造成歸屬單位錯誤，人員核對第一次即可以實現100%準確率，確定時間也降至5 分鐘以內。

表1 IP 責任人歸屬查詢

4 小結

在從傳統網絡向SDN 網絡過渡過程中，本次成功解決了傳統網絡運行中產生的一些突出問題和困難；在最大原網兼容、設備利舊基礎上完成了網絡SDN 改造。實際運行過程中，運維工作量大大下降；網絡部署實現自動化實施；員工跨區域內業務隨行、移動辦公；網絡運行狀態可控可視，網絡安全響應能力提高，網絡初步具有了智慧化的特點。這與現今信息技術發展云化、智能化的特點相吻合。后續會在網絡北向應用開發中進行更多積極探索，包括網絡行為的智能分析、網絡攻擊監測預警等。未來發展中，網絡是企業數字化轉型的基礎和關鍵推動力，基于SDN 的網絡遠遠不是終點，未來網絡會朝著基于云管理的虛擬網絡轉型，朝著基于AI 的自驅動網絡發展，通過機器學習和人工智能所使能的下一代可視化、自動化和分析工具來實現的意圖網絡，是未來智能園區網絡探索的方向。