◆李 猛

(中國人民銀行揚(yáng)州市中心支行 江蘇 225009)

軟件定義網(wǎng)絡(luò)在人民銀行的研究與應(yīng)用

◆李 猛

(中國人民銀行揚(yáng)州市中心支行 江蘇 225009)

近年來，人民銀行IT基礎(chǔ)設(shè)施已基本完成從面向設(shè)施的基礎(chǔ)設(shè)施資源整合到面向資源的虛擬化平臺(tái)建設(shè)過渡，開始向面向服務(wù)的云計(jì)算平臺(tái)展開了研究和探索。但是，目前的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)部署和運(yùn)維效率低、網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力弱等缺點(diǎn)不斷顯現(xiàn)，特別是針對大數(shù)據(jù)、云服務(wù)等新技術(shù)的要求，傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)已經(jīng)不能滿足新技術(shù)新業(yè)務(wù)的需求。而軟件定義網(wǎng)絡(luò)即SDN（Software-Defined Networking），作為一種新的網(wǎng)絡(luò)體系結(jié)構(gòu)，能夠精準(zhǔn)地實(shí)現(xiàn)控制層對數(shù)據(jù)流的控制，具有一定的應(yīng)用前景。

IT基礎(chǔ)設(shè)施；虛擬化平臺(tái)；云計(jì)算平臺(tái)；SDN

1 當(dāng)前網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀分析

1.1 軟硬件結(jié)構(gòu)繁雜，網(wǎng)絡(luò)運(yùn)維管理效率偏低

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)與業(yè)務(wù)是分離的，新的業(yè)務(wù)部署時(shí)，網(wǎng)管員可能需要同時(shí)配置多個(gè)網(wǎng)絡(luò)設(shè)備。這些設(shè)備包括路由器、交換機(jī)、防火墻等，它們是由網(wǎng)絡(luò)設(shè)備硬件、操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用三部分緊耦合在一起構(gòu)成的封閉系統(tǒng)，只為用戶預(yù)留了簡單的命令行接口、圖形界面等。這種手工配置的效率低下，無法實(shí)現(xiàn)網(wǎng)絡(luò)對業(yè)務(wù)快速變化的響應(yīng)，嚴(yán)重影響業(yè)務(wù)的部署進(jìn)度。目前，在人民銀行的業(yè)務(wù)網(wǎng)中，網(wǎng)絡(luò)廠家雜、設(shè)備類型多、設(shè)備數(shù)量多、操作命令不一致，導(dǎo)致這些設(shè)備的運(yùn)維和管理難度大、成本高、效率低。

1.2 網(wǎng)絡(luò)層級復(fù)雜，網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力有限

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)主要從網(wǎng)絡(luò)結(jié)構(gòu)、邊界、協(xié)議、流量、QOS（服務(wù)質(zhì)量）等方面做好風(fēng)險(xiǎn)防控，要構(gòu)建相對安全的網(wǎng)絡(luò)系統(tǒng)至少還要包括以下安全設(shè)備：防火墻、入侵檢測和入侵防御系統(tǒng)、負(fù)載均衡、漏洞掃描、動(dòng)態(tài)口令認(rèn)證系統(tǒng)等。如此眾多系統(tǒng)和措施在帶來一定安全性的同時(shí)也帶來安全隱患，系統(tǒng)漏洞可能存在任何一處。要保持這些設(shè)備物理和邏輯上的一致性也異常困難，任何配置上的錯(cuò)誤，都可能導(dǎo)致網(wǎng)絡(luò)和業(yè)務(wù)的中斷，人為操作風(fēng)險(xiǎn)也是網(wǎng)絡(luò)中第一大風(fēng)險(xiǎn)點(diǎn)。

1.3 網(wǎng)絡(luò)能力落后，對新技術(shù)支持能力不足

隨著業(yè)務(wù)發(fā)展，數(shù)據(jù)主要通信方式逐步從南北方向（進(jìn)出數(shù)據(jù)中心的通信）向東西方向（如計(jì)算集群或虛擬化計(jì)算）方向發(fā)展，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)等技術(shù)發(fā)展，流量不斷翻番，使得底層網(wǎng)絡(luò)的體積膨脹、壓力增大、需要收斂的時(shí)間變長，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)已經(jīng)無法支持新技術(shù)的應(yīng)用。

2 軟件定義網(wǎng)絡(luò)（SDN）的應(yīng)用架構(gòu)

2.1 SDN總體架構(gòu)。

狹義的SDN定義是“SDN是一種邏輯集中控制的新網(wǎng)絡(luò)架構(gòu)，關(guān)鍵屬性包括：數(shù)據(jù)平面和控制平面；控制平面和數(shù)據(jù)平面之間有統(tǒng)一的開放接口OpenFlow。”，特指基于OpenFlow南向接口的網(wǎng)絡(luò)。廣義的SDN定義是：“SDN是一種支持動(dòng)態(tài)、彈性管理的新型網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，是實(shí)現(xiàn)高帶寬、動(dòng)態(tài)網(wǎng)絡(luò)的理想架構(gòu)”，則是指具備SDN理念的所有網(wǎng)絡(luò)。這兩種定義都強(qiáng)調(diào)了SDN擁有數(shù)據(jù)平面和控制平面解耦分離的特點(diǎn)，也都強(qiáng)調(diào)通過軟件編程對網(wǎng)絡(luò)進(jìn)行控制的能力。所以SDN體系主要包括SDN網(wǎng)絡(luò)應(yīng)用、北向接口、SDN控制器、南向接口和SDN數(shù)據(jù)平面，從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)到SDN體系架構(gòu)的演進(jìn)關(guān)系如圖1所示。

2.2 SDN的關(guān)鍵技術(shù)優(yōu)勢

SDN支持控制平面與轉(zhuǎn)發(fā)平面的分離，使得對網(wǎng)絡(luò)設(shè)備的集中控制成為可能。以O(shè)penFlow為代表的南向接口的提出使得底層的轉(zhuǎn)發(fā)設(shè)備可以被統(tǒng)一控制和管理，而其具體的物理實(shí)現(xiàn)將被透明化，從而實(shí)現(xiàn)設(shè)備的虛擬化。多種多樣的開放接口，將推動(dòng)網(wǎng)絡(luò)能力被便捷地調(diào)用，支持網(wǎng)絡(luò)業(yè)務(wù)的創(chuàng)新。

圖1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)向SDN架構(gòu)演進(jìn)示意圖

（1）控制平面和數(shù)據(jù)平面的分離

控制平面和數(shù)據(jù)平面的分離是 SDN架構(gòu)區(qū)別于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的重要標(biāo)志，兩者解耦分離、不再相互依賴，只需遵循統(tǒng)一的開放接口，是網(wǎng)絡(luò)獲得更多可編程能力的架構(gòu)基礎(chǔ)。

（2）邏輯上的集中控制

對分布式網(wǎng)絡(luò)狀態(tài)的集中統(tǒng)一管理，SDN控制器會(huì)擔(dān)負(fù)收集和管理所有網(wǎng)絡(luò)狀態(tài)信息的重任。邏輯集中控制為軟件編程定義網(wǎng)絡(luò)功能提供了架構(gòu)基礎(chǔ)，也為網(wǎng)絡(luò)自動(dòng)化管理提供了可能。

（3）網(wǎng)絡(luò)開放可編程

通過開放的南向和北向接口，能夠?qū)崿F(xiàn)應(yīng)用和網(wǎng)絡(luò)的無縫集成，使得應(yīng)用能告知網(wǎng)絡(luò)如何運(yùn)行才能更好地滿足應(yīng)用的需求，比如業(yè)務(wù)的帶寬、時(shí)延需求，計(jì)費(fèi)對路由的影響等。另外，支持用戶基于開放接口自行開發(fā)網(wǎng)絡(luò)業(yè)務(wù)并調(diào)用資源，加快新業(yè)務(wù)的上線周期。

（4）網(wǎng)絡(luò)虛擬化：通過南向接口的統(tǒng)一和開放，屏蔽了底層物理轉(zhuǎn)發(fā)設(shè)備的差異，實(shí)現(xiàn)了底層網(wǎng)絡(luò)對上層應(yīng)用的透明化。邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)分離后，邏輯網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)需要進(jìn)行配置、遷移，不再受具體設(shè)備物理位置的限制。同時(shí)，邏輯網(wǎng)絡(luò)還支持多租戶共享，支持租戶網(wǎng)絡(luò)的定制需求。

3 SDN在人民銀行應(yīng)用的效用評估

SDN目前存在不同技術(shù)背景和流派，包括徹底革新的ONF、基于現(xiàn)網(wǎng)演進(jìn)的IETF、架空物理網(wǎng)絡(luò)的Overlay和網(wǎng)絡(luò)功能虛擬化的NFV。根據(jù)人民銀行網(wǎng)絡(luò)物理和虛擬并存的環(huán)境，選擇混合Overlay方案是最適合的。Overlay是一種物理網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)（如圖 2所示），大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進(jìn)行大規(guī)模修改的條件下，實(shí)現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離。

在混合Overlay中，物理設(shè)備和虛擬設(shè)備都可以作為Overlay邊緣設(shè)備，靈活組網(wǎng)，可以接入多種形態(tài)服務(wù)器，可以發(fā)揮硬件網(wǎng)關(guān)的高性能和虛擬化網(wǎng)關(guān)的業(yè)務(wù)靈活性。根據(jù)人民銀行網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀，以某中心支行為例，通過H3C Overlay技術(shù)實(shí)現(xiàn)SDN組網(wǎng)（如圖3）。

圖2 Overlay網(wǎng)絡(luò)概念圖

圖3 通過H3C Overlay技術(shù)實(shí)現(xiàn)SDN組網(wǎng)

在此方案中，復(fù)雜的網(wǎng)關(guān)功能由現(xiàn)有的2臺(tái)互為熱備的H3C MSR5600路由器完成，核心交換機(jī)為2臺(tái)使用IRF 2技術(shù)組網(wǎng)H3C S10504，樓層和機(jī)房接入交換機(jī)使用H3C S5500-HI，最后由 H3C VCF控制器實(shí)現(xiàn)對內(nèi)部節(jié)點(diǎn)的管理和控制。該方案建成后，相對于原有網(wǎng)絡(luò)，具有以下優(yōu)點(diǎn)：

（1）網(wǎng)絡(luò)部署自動(dòng)化。網(wǎng)絡(luò)設(shè)備的配置依據(jù)網(wǎng)絡(luò)拓?fù)渥詣?dòng)完成，網(wǎng)絡(luò)設(shè)備支持零配置開局，加電后自動(dòng)向控制器請求所需配置。實(shí)現(xiàn)網(wǎng)絡(luò)從“人工靜態(tài)網(wǎng)管配置”向“實(shí)時(shí)動(dòng)態(tài)智能控制”的演進(jìn)，自動(dòng)網(wǎng)內(nèi)路由可達(dá)，提供一個(gè)路由可達(dá)的三層網(wǎng)絡(luò)，提供一個(gè)面向應(yīng)用按需分配的虛擬網(wǎng)絡(luò)，提高業(yè)務(wù)開通速度。

（2）網(wǎng)絡(luò)運(yùn)維管理更簡單高效。控制器可以進(jìn)行網(wǎng)絡(luò)資源統(tǒng)一管理，支持物理、虛擬網(wǎng)絡(luò)資源的拓?fù)湫畔⑹占?、狀態(tài)信息收集，實(shí)時(shí)進(jìn)行路徑計(jì)算和優(yōu)化策略，通過自動(dòng)化手機(jī)的網(wǎng)絡(luò)數(shù)據(jù)能共提供網(wǎng)絡(luò)健壯性的實(shí)時(shí)視圖，提供可視化的管理和操作。

（3）對云計(jì)算支持能力強(qiáng)?？梢允褂?VXLAN（Virtual eXtensible LAN，可擴(kuò)展虛擬局域網(wǎng)）構(gòu)建大二層網(wǎng)絡(luò)，支持虛擬機(jī)的跨三層遷移，提升虛擬機(jī)規(guī)模，支持構(gòu)建突破 VLAN 4K限制的虛擬網(wǎng)絡(luò)。

（4）功能豐富的安全應(yīng)用?；赟DN的網(wǎng)絡(luò)能夠以多種方式提升安全性，包括支持創(chuàng)建虛擬化的安全設(shè)備（vFW等）。例如WannaCry病毒爆發(fā)后，安全應(yīng)用可以通過控制下發(fā)流表的方式，封閉所有445端口或者引導(dǎo)流量到清洗中心進(jìn)行過濾，不需要緊急斷網(wǎng)和停止業(yè)務(wù)。