基于軟件定義網絡技術的城市軌道交通云網重構

王 彪

(呼和浩特城市交通投資建設集團有限公司，010020，呼和浩特∥正高級工程師)

隨著云計算技術在城市軌道交通領域的廣泛應用，網絡設備和服務器數量急劇增加，業務迭代和快速上線訴求相應激增。相關維護人員要應對大量虛擬設備的開通和變更，須摒棄傳統網絡配置繁雜、業務上線遲緩、維護成本較高的模式，轉而采用更高效的、統一配置的管理工具和開放接口。

城軌云運用云計算和通信技術，通過對城市軌道交通各業務系統信息的全面感知、深度互聯和智能融合，實現運營生產、運營管理、企業管理、建設管理及資源管理等業務領域的智能化、智慧化。隨著城軌云技術的推進，網絡虛擬化作為城軌云IaaS(基礎設施即服務)層服務之一，須對PaaS(平臺即服務)層、SaaS(軟件即服務)層提供快速、彈性服務，并構建NaaS(網絡即服務)層服務。為使網絡能滿足上層業務系統和智慧化應用變化的智能化需求，需對網絡架構進行重構。對此，城軌云引入了SDN(軟件定義網絡)技術，通過軟件對網絡資源進行抽象、管理，并提供自動化軟件定義網絡服務，以適應云網資源池化、標準化下的隨動發展趨勢[1]。

1 城軌云網及重構背景

1.1 城軌云概述

城軌云充分利用云計算技術，按照中心級和車站級兩級架構進行部署。在正常情況下，由中心級云平臺完成業務；當中心級云平臺不可用時，車站級云節點作為后備模式，提供降級服務。

中心級云平臺由生產中心和災備中心構成。生產中心和災備中心采用大帶寬傳輸通道鏈接。中心級云平臺分為安全生產網、內部管理網、外部服務網。其中，安全生產網與內部管理網邏輯隔離，內部管理網與外部服務網物理隔離。

安全生產網部署了列車運行自動監控系統、自動售檢票系統、綜合監控系統、乘客信息服務系統及門禁系統等；內部管理網部署了運營管理、企業管理、資產管理系統等；外部服務網部署了互聯網購票、外部門戶等公眾性服務應用。

1.2 云網概念

云網在實現OpenStack架構 Neutron模塊解耦和輕量級管理的基礎上，將Neutron模塊同SDN或NFV(網絡功能虛擬化)通過北向API(應用程序接口)對接，將計算能力與云網的網絡能力相結合，提供動態可編程能力，實現網隨云動，使網絡按照云的要求提供網絡資源。云網在提升資源利用率和業務可靠性的同時，還實現了業務部署和管理的敏捷性。因NFV技術運用于電信運營商網絡服務中，SDN技術運用于園區網絡和數據中心，故本文僅針對SDN進行研究。

1.3 云網重構的背景

重構前，云網的網絡資源管理粗放，成本較大，較難支持業務系統柔性網絡需求；獨立的網絡資源管理方式，難以適應業務融合的需求；在實現VM(虛擬機)計劃內或計劃外遷移時，網絡資源與安全策略隨動實現成本大；云上業務和云下業務統籌管理時，網絡與帶寬調度、管理欠靈活。為解決上述問題，需對云網進行重構。

2 云網重構的關鍵技術

2.1 VM遷移

VM遷移的主要資源包括CPU(中央處理器)、內存、存儲、網絡。在完成資源同步后,由源主機釋放VM資源，由目的主機激活對應的VM,則VM正常運行。

2.1.1 內存遷移

VM根據服務器整體資源占用情況，選擇目的主機，確定目的主機可否提供相應資源。按照迭代算法，先熱同步臟頁，再冷同步臟頁。在熱同步時，VM保持運行；在冷同步時，VM停止服務[2]。

2.1.2 存儲遷移

通常采用NFS(網絡文件系統)來共享數據和文件系統。此方式不需采用本地存儲設備，也不需大容量磁盤遷移，不會對網絡帶寬造成影響。但NFS共享存儲的方式僅局限于局域網內的VM動態管理。在局域網環境下，增加機器數量會使網絡環境復雜，從而降低虛擬計算環境的可擴展性。在廣域網環境下，如以NFS方式進行磁盤遷移，則會加重網絡負擔，導致網絡延遲[2]。

2.1.3 網絡狀態遷移

VM遷移需要遷移協議狀態及IP(網際互聯協議)地址等網絡狀態與之前保持一致。為實現無縫遷移，局域網中可利用ARP(地址解析協議)技術綁定源VM的IP地址和目的主機。在廣域網中，可利用IP隧道代理重定向技術及動態DNS(域名解析)等技術構建大二層網絡。在實際應用中可選擇SDN技術進行監測、觸發和策略選擇[2]。

2.2 SDN技術

SDN技術采用轉發與控制分離的架構，可提升復雜協議運算收斂速度與效率，提升傳輸帶寬的調配效率，提高資源利用率，提升運維工作效率，降低運維成本，并提高底層基礎物理設施虛擬網絡的可擴展性。其通過實現可編程性，能實現QoS(服務質量)保證[3]。

2.2.1 SDN架構

SDN架構如圖1所示。

圖1 SDN體系架構圖

應用平面通過北向API與控制平面對接，通過與控制層通信，實現對轉發平面網絡設備的配置、管理和控制[4]。

控制平面指SDN控制器。1個控制器可以控制多臺設備，甚至可以控制其他控制器；1個設備也可被多個控制器控制。控制器可以是1臺專門的物理設備，也可運行在多臺集群物理服務器上，還可通過VM方式進行部署。

南向接口負責控制器與網絡設備的通信。只有接口標準化，SDN技術才能擺脫硬件的束縛，否則采用SDN技術的軟件及硬件很難解耦。

轉發平面對應路由器、交換機，或者是虛擬交換機之類的網絡設備，通過南向接口接收控制層下發的管理、配置、控制等指令，并主動上報實時狀態。

2.2.2 SDN控制器

控制器是SDN網絡的邏輯控制中心，通過多異構網絡設備的去“智能化”，使之完全服從控制器的管理指揮，實現控制和轉發功能的解耦。在城軌云架構下，如控制器需管理大量設備，建議采用分布式集群技術以保障設備的高性能和高可用性,并采用高性能數據庫來實現對網絡和設備狀態的管理。

此外，還需關注SDN控制器的擴展性能和安全防護能力。可采用模塊化設計，防范大量偽裝的合法有效報文攻擊SDN控制器[5]。

2.2.3 接口

SDN控制器通過南向接口協議完成對廠商設備的管理和配置，進行鏈路發現、拓撲管理、策略制定、表項下發等操作。南向接口協議有OpenFlow、NETCONF(Network Configuration Protocol)及PCEP(Path Computation Element Protocol)等。

采用OpenFlow協議的交換機不再進行地址學習及路由計算。控制器通過二層標準協議LLDP (鏈路層發現協議)來收集域內網絡設備標志和狀態，對拓撲中鏈路進行管理，并下發流表到交換機；交換機根據流表和流表項進行數據轉發[2]。鏈路發現與拓撲管理可解決城軌云架構下的網絡資源與安全等資源同計算資源隨動的需求，降低了人工配置的復雜性。鏈路發現與拓撲管理實現原理如圖2所示。

圖2 鏈路發現與拓撲管理實現原理

SDN控制器北向接口位于控制平面和應用平面之間。北向接口將控制器提供的網絡能力和信息進行抽象，并開放給應用層。在城軌云架構下，北向接口與OpenStack平臺的Neutron模塊進行對接。

東西向接口能解決多個設備控制平面之間的協同工作和擴展性問題[6]。

3 城軌云網重構架構

3.1 云網虛擬化

為提高城市軌道交通數據中心的資源利用率，降低運維管理復雜度，也為了解決部署效率低的問題，需SDN網絡結合云計算架構進行云網重構的場景演進。OpenStack平臺是開源的IaaS云計算平臺，也是云平臺的云操作系統，主要由計算(Nova)、對象存儲(Swift)、網絡(Neutron)等模塊組成。Nova模塊負責管理和維護計算資源，以及整個云環境虛擬機生命周期的管理。Neutron模塊用于網絡虛擬化，能提供較完整的2層到7層網絡的虛擬化功能和對應的API。Neutro模塊通過南向接口來實現與SDN控制器的對接，并實現OpenStack同SDN控制器及網絡設備的互通，從而實現云網虛擬化的基礎功能[1]。

按照OpenStack平臺的架構，Neutron模塊管理OpenStack環境中所有虛擬網絡基礎設施和物理網絡基礎設施的接入層；Nova模塊在支持各種虛擬化技術條件下，負責響應VM的創建請求、調度及銷毀等指令。云網虛擬化的關鍵，是在Neutron模塊和Nova模塊的基礎上，實現Neutron模塊與SDN控制器北向API的對接。

云網虛擬化需分域和分層次部署SDN控制器，以實現網絡資源配置、調度和管理的轉、控分離，實現業務部署的簡化和自動化，進而提供敏捷服務，提高云下業務遷移上線的速度；此外，在多層、多域、多廠家組網的復雜網絡中，云網虛擬化能提供端到端的管理和控制能力，提供精細控制粒度，提高系統資源利用率和運維效率。

業務發放步驟為：首先，網絡管理員通過SDN控制器，實現各業務系統對網絡資源的具體需求，并將網絡資源分配給指定的業務系統；然后，計算管理員按照各業務系統的計算資源及存儲資源需求，通過VMM(虛擬機監控器)對計算和存儲資源進行創建、發放、遷移或刪除等操作；最后，SDN控制器感知到VMM對計算資源操作后，按照策略實現網絡互通和策略配置[1]。

具體流程為：通過城軌云管理平臺和SDN控制器，對接計算虛擬化插件與網絡虛擬化插件，由SDN控制器和計算虛擬平臺共同下發業務，進而實現計算資源與網絡資源的協同發放和云網聯動。

3.2 云網重構

重構后的云網以云為基礎，以網絡為通道，以基礎設施資源為導向，能提供網絡資源層、計算資源層及應用服務層的協同服務。

生產中心與災備中心各自構建其局域網的網絡資源層。通過光傳送網或分組傳送網等技術，實現了生產中心和災備中心的數據互通；通過線路傳輸系統，實現了中心級云平臺與車站級云節點的網絡資源互通。在SDN架構下，中心級云平臺與車站級云節點實現了網絡軟件化，可為各業務系統提供統一的網絡資源能力：計算資源層主要提供計算、存儲能力的虛擬化方案以及相關產品；應用服務層包含運營生產、運營管理、企業管理、資源管理、建設管理等各類業務系統，可實現業務系統的云上及云下多點部署、單點接入、全網服務，確保業務系統不受云平臺三網(安全生產網、內部管理網及外部服務網)內VDC(虛擬數據中心)的分級限制。重構后的云網能實現三網內各業務系統端到端的整體安全保障，能保證三網內業務系統的部署及遷移具有高度靈活性，可滿足各業務系統在網內VM遷移時的網隨云動特性[7]。

當VM漂移或上線后，OpenStack平臺的Nova模塊通知Neutron模塊對vSwitch(虛擬交換機)進行VLAN(虛擬局域網)配置；Neutron模塊向SDN控制器通告VM上線信息，并對NVE(網絡虛擬邊緣)節點配置Port(接口)+VLAN到VNI(虛擬網絡接口)的映射關系，同時下發二層廣播及單播轉發表；SDN控制器對VXLAN(虛擬擴展局域網)配置VNI和vBDIF(網域邏輯接口)，并管理VRF(虛擬路由轉發)，根據VM上線信息向網管下發ARP、MAC(物理地址)及隧道表信息等。

城軌云平臺通過云網重構管理界面，實現了計算資源和網絡資源的統一管理，如圖3所示。業務管理員通過管理界面統一創建計算資源和網絡資源，通過Nova模塊實現計算資源的管理與發放，通過Neutron模塊的API和SDN控制器互通，實現了網絡資源即服務能力。

圖3 云網一體化方案

業務管理員通過云平臺界面在SDN控制器同網絡設備及服務器之間進行協調交互，將計算資源和網絡資源分配給指定的業務系統或租戶，進而實現計算資源、存儲資源及網絡資源的自動創建、刪除和遷移等操作，不需人工配置和干預[1]。

3.3 云網一體化部署

生產中心與災備中心分別部署了OpenStack平臺和SDN控制器，以實現OpenStack的Neutron模塊解耦，并與SDN控制器北向API對接。

生產中心與災備中心在各自OpenStack平臺上實現運維管理。為滿足穩定性和經濟性要求，生產中心與災備中心可采用1套云管理平臺，即可同時實現OpenStack平臺與虛擬化資源，以及SDN與網絡設備的對接。

當生產中心和災備中心的VDC分別部署VPC(虛擬私有云)時，若要實現生產中心VPC和災備中心VPC的互通，就需先實現網絡層互通，再通過人工配置靜態路由，打通生產中心和災備中心的通道，且要求所有VDC的IP地址不重復[8]。生產中心及災備中心云網一體化部署方案如圖4所示。

圖4 生產中心及災備中心云網一體化部署方案

標準化、歸一化設計的基礎設施層，為網絡化、虛擬化、計算虛擬化，以及業務平臺、大數據系統及應用提供了通用化標準。

網絡功能層重點實現網絡功能軟件化，通過部署SDN控制器來實現控制與轉發分離功能及網元設備的軟硬件解耦，進而實現網絡自動化部署。在資源池中部署虛擬負載均衡器及虛擬防火墻，以統一云資源池的承載能力，提高云平臺與業務系統之間的安全隔離。

云網以云平臺為基礎，統籌考慮業務平臺、大數據平臺及網元虛擬化，按統一管理、統一調度、資源共享的原則，構建統一的云網基礎設施，實現云網資源池的統一管理。

云網重構后，全網資源池統一納管編排、集中運維監控、分權分域使用。在端側，可實現端到端的快速部署，實現不分專業、不分云上與云下的網絡資源集中管理、按需分配。云網對網絡資源池的統一呈現、統一管理及統一維護，實現了資源跨部門的統一調度和分配自動化、彈性化，具備了資源動態伸縮能力。重構的云網從分散式轉為集約式，管道從硬件轉為軟件，實現了云、管、端一體化運營[7]。

4 結語

城軌云云網一體化架構引入軟件定義網絡技術，以軟件對網絡資源進行虛擬化和抽象化，以軟件定義實現自動化網絡服務，可有效支撐城軌云數據中心上層業務的需要，提高業務上線和運維效率，適應網絡設備資源池化和標準化的發展趨勢。本文對SDN架構的各接口及相關技術進行研究，從而明確了云網重構的一體化部署思路。