軟件定義網(wǎng)絡技術發(fā)展探究

羅定?！↓埻俊】追比A

摘? 要：針對傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡架構存在的問題進行深入分析，以思科軟件定義網(wǎng)絡（SDN）技術APIC（Application Policy Infrastructure Controller）架構為例，剖析SDN技術在業(yè)務流量的明確劃分、網(wǎng)絡無限定的橫向擴展、虛擬資源無限制的變更、控制平面和轉(zhuǎn)發(fā)平面解耦合、集中化的網(wǎng)絡控制上的優(yōu)勢。得出SDN技術能夠有效降低設備負載，協(xié)助網(wǎng)絡運營商更好地控制基礎設施，降低整體運營成本上的巨大作用。

關鍵詞：軟件定義網(wǎng)絡;業(yè)務流量;控制平面;轉(zhuǎn)發(fā)平面;集中化

中圖分類號：TP311 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）14-0066-03

Abstract： In view of the problems existing in the traditional data center network architecture， this paper takes the application policy infrastructure controller （APIC） architecture of Cisco SDN technology as an example to analyze the advantages of SDN technology in the clear division of traffic flow， unlimited horizontal expansion of network， unlimited change of virtual resources， decoupling of control plane and forwarding plane， and centralized network control. It is concluded that SDN technology can effectively reduce the equipment load， help the Internet Service Provider （ISP） to control the infrastructureeven better， and reduce overall operating cost.

Keywords： software defined network; traffic flow; control plane; forwarding plane; centralization

引言

傳統(tǒng)網(wǎng)絡運維方式痛點，網(wǎng)絡設備手工維護，依靠傳統(tǒng)網(wǎng)絡管理軟件[1]等方式輔助人工進行維護，運維效率低下，容易出現(xiàn)由于個人能力的差異以及響應等原因，影響運維的效率，增加運維的成本。傳統(tǒng)網(wǎng)絡業(yè)務割接或者新業(yè)務上線周期偏長，往往大的業(yè)務割接切換，涉及非常復雜的操作。軟件定義網(wǎng)絡（SDN）[2]的主要特點是集群化、采用虛擬的軟件定義網(wǎng)絡數(shù)據(jù)流，通過圖形化的方式簡易的呈現(xiàn)，方便業(yè)務的上線以及后期的維護擴容。SDN自動化運維方式，與云平臺進行對接，實現(xiàn)網(wǎng)絡服務的自動化。

1 傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡架構逐漸落伍

1.1 傳統(tǒng)的大型數(shù)據(jù)中心結構

在傳統(tǒng)的大型數(shù)據(jù)中心，網(wǎng)絡通常是三層結構[3]。架構模型包含了以下三層：（1）Access Layer（接入層）：接入層位于網(wǎng)絡的最底層，負責所有終端設備的接入工作，并確保各終端設備可以通過網(wǎng)絡進行數(shù)據(jù)包的傳遞。（2）Aggregation Layer（匯聚層）：匯聚層位于接入層和核心層之間。該層可以通過實現(xiàn)ACL等其他過濾器來提供區(qū)域的定義。（3）Core Layer（核心層）：又被稱為網(wǎng)絡的骨干。該層的網(wǎng)絡設備為所有的數(shù)據(jù)包提供高速轉(zhuǎn)發(fā)，通過L3路由網(wǎng)絡將各個區(qū)域進行連接，保證各區(qū)域內(nèi)部終端設備的路由可達。

一般情況下，傳統(tǒng)網(wǎng)絡還存在著一些優(yōu)點：

（1）精確的過濾器/策略創(chuàng)建和應用：由于區(qū)域、終端地址網(wǎng)段明確，可以精細控制網(wǎng)絡策略，保證流量的安全。（2）穩(wěn)定的網(wǎng)絡：區(qū)域的明確劃分，網(wǎng)絡設備的穩(wěn)定架構，使網(wǎng)絡更具有穩(wěn)定性。（3）廣播域的有效控制：由于三層架構中間采用L3模式設計，有效控制廣播域的大小。

傳統(tǒng)網(wǎng)絡架構雖然穩(wěn)定，但隨著技術的不斷發(fā)展，應用不斷的多元化以及對業(yè)務的高冗余化的需求，暴露出了一些傳統(tǒng)網(wǎng)絡的弊端。

1.2 傳統(tǒng)網(wǎng)絡架構存在問題

隨著企業(yè)規(guī)模的發(fā)展，傳統(tǒng)網(wǎng)絡架構漸漸開始無法跟上步伐，逐漸出現(xiàn)了以下問題：

（1）業(yè)務流量模型不清晰。隨著網(wǎng)絡的發(fā)展、各種新技術的產(chǎn)生，數(shù)據(jù)中心內(nèi)部、服務器之間協(xié)同處理、計算，導致由東向西的流量逐漸增大，超過了由南向北的流量。而傳統(tǒng)三層架構服務器間交換，都要過三層核心，多層轉(zhuǎn)發(fā)，增大了網(wǎng)絡的延遲，還浪費了核心寶貴的資源。與此同時，我們將業(yè)務拆分成多個模塊，并部署在不同的區(qū)域中，由于應用的不斷發(fā)展，模塊的數(shù)量越來越多，模塊之間的調(diào)用越來越頻繁，可能一次完整的應用流程需要經(jīng)歷數(shù)十個模塊，模塊之間的頻繁調(diào)用大大消耗了網(wǎng)絡設備的資源。

（2）橫向擴展能力不足。傳統(tǒng)數(shù)據(jù)中心使用STP技術，雖然上聯(lián)多根鏈路，但都是主備關系，僅有一根鏈路能跑流量，無法承載數(shù)據(jù)中心日益增長的業(yè)務。盡管后續(xù)使用了相關的Ethernet Channel、堆疊、VSS等技術，來達到鏈路冗余的需求，但是堆疊、Ethernet Channel不可能無限地進行擴展。

（3）廣播域過于龐大。隨著業(yè)務的發(fā)展，計算資源被池化。為了使得計算資源可以任意分配，需要一個巨大的二層網(wǎng)絡架構。整個數(shù)據(jù)中心網(wǎng)絡都是多個L2廣播域，這樣，服務器可以在規(guī)定的區(qū)域地點創(chuàng)建、遷移，而不需要對IP地址或者默認網(wǎng)關做修改。不斷地業(yè)務擴展，造就了一個巨大的二層廣播域，一旦出現(xiàn)一點問題就造成巨大的網(wǎng)絡問題，導致業(yè)務中斷，業(yè)務的高可用性就無法保證。

（4）計算資源無法快速上線。隨著業(yè)務的不斷發(fā)展，計算資源的虛擬化。當需要進行虛擬資源部署時，嚴格安全防護的要求下，需要進行安全設備的策略開通。從部署到正式上線使用之間的耗時會長達一小時之久。無法滿足在突發(fā)情況下，快速增加計算資源。

由于安全設備以及設備上聯(lián)位置的限制，無法在任意的計算資源池中隨意的創(chuàng)建、遷移;無法合理分配資源池的各種硬件資源，造成資源的分配不均衡。一旦某資源池已達閾值，就無法繼續(xù)計算資源的橫向擴展。

（5）網(wǎng)絡延時過大。在使用傳統(tǒng)網(wǎng)絡架構時，每個業(yè)務模塊都是一個煙囪結構，業(yè)務模塊互相調(diào)用需要經(jīng)過多個三層設備（平均需要經(jīng)過6次物理設備），其中還可能包括防火墻等安全設備。受限于設備的性能，網(wǎng)絡架構的主備方案。數(shù)據(jù)流量每經(jīng)過一次設備都會增加一點延遲。雖然每一次延時都是微乎其微，但是累計次數(shù)多了，對于業(yè)務來說這個延時可能就導致用戶體檢較差。

2 SDN網(wǎng)絡特征

2.1 思科APIC（Application Policy Infrastructure Controller）架構

上述傳統(tǒng)網(wǎng)絡存在著一些問題，為了不斷提升網(wǎng)絡的承載能力，我們可以進行各種技術可行性測試。例如：傳統(tǒng)網(wǎng)絡的優(yōu)化、當前網(wǎng)絡的SDN化等。文章以思科SDN技術為例進行探討。思科APIC（Application Policy Infrastructure Controller）是以應用為中心的基礎架構（ACI）結構的自動化和管理的統(tǒng)一集中點，提供對所有節(jié)點信息的集中訪問控制，優(yōu)化應用的規(guī)模和性能，并支持在物理和虛擬資源之間進行靈活的應用配置。管理員可通過APIC提供各種豐富的API接口對設備進行配置、管理、策略下發(fā)等操作行為;控制器則通過OpFlex協(xié)議[4]將策略推送給ACI環(huán)境中的各個節(jié)點Leaf[5]。雖然APIC會將策略推送到各節(jié)點Leaf上，但控制器并不參與任何流量的轉(zhuǎn)發(fā)，所以即使發(fā)生有5臺控制存在問題的極端情況下，網(wǎng)絡層面的流量轉(zhuǎn)發(fā)功能還是可以正常穩(wěn)定地運行。網(wǎng)絡SDN化之后，可以解決前述傳統(tǒng)網(wǎng)絡中存在的一些問題，同時也提供了更人性化的管理方式。網(wǎng)絡架構內(nèi)部示意圖如圖1所示。

2.2 SDN網(wǎng)絡優(yōu)勢

（1）業(yè)務流量的明確劃分。將原有業(yè)務劃分從一個應用一個區(qū)域的劃分方式，在使用SDN后，變更為一個服務體系作為一個區(qū)域進行劃分（例如：APP區(qū)域、數(shù)據(jù)庫區(qū)域、中間件區(qū)域等）。在每個區(qū)域中劃分多個Endpoint Group[6]（以下簡稱EPG）來準確區(qū)分業(yè)務模塊，更清晰地了解業(yè)務之間的訪問關系。

（2）無限定的橫向擴展。在現(xiàn)有的SDN網(wǎng)絡中，通過使用Anycast Gateway的方式將網(wǎng)關部署在各個Leaf節(jié)點上。即使有新設備加入網(wǎng)絡，無論處于任何區(qū)域，都可以準確的進入相對應邏輯位置。

（3）虛擬資源無限制的變更。ACI，通過VM Networking與VCenter[7]互相聯(lián)動，并下發(fā)vNIC供虛擬機使用，虛擬機只需要選擇對應虛擬網(wǎng)卡就可以進行業(yè)務上線。同時各個虛擬機對應的EPG通過合約的形式開通策略。在SDN中所有相同業(yè)務都部署在同一個EPG中，所有策略的開通并不是基于IP地址來開通，只需要在不通的EPG之間開通策略即可，所以無需像傳統(tǒng)網(wǎng)絡進行IP對應的策略開放方式進行SDN網(wǎng)絡策略開通。虛擬化資源可以在任意宿主機上進行創(chuàng)建、遷移，沒有任何的物理位置的限制。

（4）控制平面和轉(zhuǎn)發(fā)平面解耦合[8]。SDN網(wǎng)絡區(qū)別傳統(tǒng)網(wǎng)絡的一個方面在于：傳統(tǒng)網(wǎng)絡的控制平面和轉(zhuǎn)發(fā)平面是緊密耦合的，集中到獨立的設備盒子中管理，控制平面分散到網(wǎng)絡的各個節(jié)點上，難以對全網(wǎng)情況進行全局把控。SDN網(wǎng)絡將網(wǎng)絡設備中的控制平面從物理硬件中抽離出來，交由加載在物理網(wǎng)絡上的虛擬化網(wǎng)絡層處理，屏蔽了底層物理轉(zhuǎn)發(fā)設備的差異，重構整個虛擬空間網(wǎng)絡。因此，就好比服務器虛擬化技術中把服務器資源轉(zhuǎn)化為計算能力池一樣，物理網(wǎng)絡資源被整合成了網(wǎng)絡資源池，滿足業(yè)務對網(wǎng)絡資源的按需交付需求，可以更加靈活地調(diào)用網(wǎng)絡資源。

（5）集中化的網(wǎng)絡控制。將控制平面進行集中控制，中央控制器可以獲取網(wǎng)絡資源的全局信息并根據(jù)業(yè)務需要進行資源的全局調(diào)配和優(yōu)化，如QOS、負載均衡功能等。同時集中控制后，全網(wǎng)的網(wǎng)絡設備都由中央控制器去管理，使得網(wǎng)絡節(jié)點的部署以及維護更加敏捷。由于集中化控制，ACI提供一個可視化的管理界面，通過界面中的評分以及錯誤，可以更有效的提供給運維工程師查找到問題的所在之處，提供一個快速定位的有效依據(jù)。

3 SDN架構的后期展望

3.1 跨廠商自動化聯(lián)動

思科提供了其他廠商的管理工具包供ACI使用，通過服務鏈（Service Chain）功能進行其他設備的配置推送。未來整個網(wǎng)絡的配置都可以通過ACI進行遠程控制，無需通過繁瑣的命令行進行配置。即使對設備命令不熟悉的工程師也可以進行配置。

3.2 自動化配置平臺

ACI提供豐富的API接口供第三方軟件調(diào)用，建立一個自動化運維平臺通過API接口進行ACI配置的推送、查看設備的運行狀態(tài)實時體現(xiàn)?？梢酝耆莆照麄€SDN的運行狀況，準確及時地判斷。在問題將要發(fā)生時，得到及時的處理和解決，避免了最終解決問題已出，維護人員還未得到告警的窘相。

3.3 全面的網(wǎng)絡監(jiān)控

在網(wǎng)路設備中進行流量抓取取樣，通過報頭分析網(wǎng)絡中數(shù)據(jù)包的走向。通過流量排序可以清晰的知道各個模塊調(diào)用的次數(shù)，結合研發(fā)部門進行探討，為優(yōu)化網(wǎng)絡、優(yōu)化應用做一個準確的依據(jù)。

4 潛在問題

思科Smart Install[9]的遠程代碼執(zhí)行漏洞：

Smart Install功能是交換機在部署時配置和鏡像管理功能，它可以自動換成初始化，新的交換機可以通過TFTP等協(xié)議自動加載操作系統(tǒng)鏡像。這就意味著在無配置管理員的情況下啟動交換機，當設備配置發(fā)生變化等情況，還可以提供配置備份的功能。

Smart Install Client默認開啟TCP 4786端口，用來進行Smart Install功能。當服務處理一段特殊的惡意信息，會發(fā)生交換機的緩沖區(qū)堆棧溢出，從而造成設備故障。

由于思科ACI通過控制器管理，無需額外的設備進行自動化配置等行為，故沒有該漏洞。

5 結束語

在運維過程中引入SDN技術，只需通過圖形化的界面，統(tǒng)一調(diào)度、維護網(wǎng)絡中的業(yè)務數(shù)據(jù)，即可實現(xiàn)環(huán)路檢測、路徑探測、切換業(yè)務流等操作，運維方便快捷。智能化、可視化、自動化，是后期 SDN 網(wǎng)絡運行維護的主要方式，降低傳統(tǒng)網(wǎng)絡維護中的成本以及提升網(wǎng)絡運維的效率。

參考文獻：

[1]https：//baike.baidu.com/item/網(wǎng)元/11040242？fr=aladdin[EB/OL].

[2]朱金奇，孫華志，黃永鑫，等.軟件定義網(wǎng)絡中延遲滿足的路由選擇與實時調(diào)度更新[J].軟件學報，2019，30（11）：3440-3456.

[3]羅定福，李艷.三層交換機與路由器連接的技術研究[J].佛山科學技術學院學報（自然科學版），2013，31（2）：52-54.

[4]程思遠.SDN實踐之ACI互聯(lián)設計[J].電信快報，2019（8）：44-46.

[5]新華三技術有限公司.一種IPv6地址分配方法和Leaf節(jié)點設備：CN201710770578.9[P].2018-10-09.

[6]Cisco Technology， Inc..Isolation of endpoints within an endpoint group：US201715422773[P].2019-01-01.

[7]王春海.部署vCenter Server經(jīng)驗[J].網(wǎng)絡安全和信息化，2016 （006）：62-65.

[8]王勇.NFV與SDN協(xié)同部署技術探討[J].中國新通信，2018，20（22）：23-24.

[9]黃建.漏洞全生命周期管理服務探索與實踐[J].中國金融電腦，2019（7）：67-71.