SDN在基層央行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用探索

◆唐詮杰

SDN在基層央行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用探索

◆唐詮杰

（中國(guó)人民銀行常德市中心支行 湖南 415000）

基層央行網(wǎng)絡(luò)基于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)部署，存在網(wǎng)絡(luò)部署和運(yùn)維效率低、網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力不足、大數(shù)據(jù)和云計(jì)算等新興技術(shù)支持能力有限等問(wèn)題。為緩解上述問(wèn)題，常德市中心支行探索了軟件定義網(wǎng)絡(luò)（Software-Defined Networking，以下簡(jiǎn)稱SDN）在基層行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用，運(yùn)用網(wǎng)絡(luò)虛擬化技術(shù)和設(shè)備將現(xiàn)有網(wǎng)絡(luò)分離出數(shù)據(jù)層和控制層，通過(guò)控制層對(duì)數(shù)據(jù)層進(jìn)行智能管理，取得了較好效果。本文闡述了SDN體系結(jié)構(gòu)及主要技術(shù)，隨后介紹了基層央行應(yīng)用SDN的探索，總結(jié)了具體實(shí)現(xiàn)方案。該方案具有自動(dòng)部署網(wǎng)絡(luò)，高效網(wǎng)絡(luò)運(yùn)維和支持云計(jì)算等優(yōu)勢(shì)，具備一定的可復(fù)制性和推廣價(jià)值。

SDN；軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)架構(gòu)；網(wǎng)絡(luò)運(yùn)維；網(wǎng)絡(luò)安全

人民銀行總行副行長(zhǎng)在人民銀行科技工作會(huì)議指出：各分支行要大力推進(jìn)架構(gòu)轉(zhuǎn)型，積極研究和探索面向服務(wù)的云計(jì)算平臺(tái)。為貫徹落實(shí)總行會(huì)議精神，人民銀行長(zhǎng)沙中心支行發(fā)布了《湖南省人民銀行信息化“十三五”發(fā)展規(guī)劃》，決定在湖南省人行系統(tǒng)開(kāi)展“網(wǎng)絡(luò)扁平化”、“服務(wù)器虛擬化”、“桌面云化”（以下簡(jiǎn)稱“三化”）工程建設(shè)。省內(nèi)各人民銀行分支機(jī)構(gòu)的IT基礎(chǔ)設(shè)施逐步從面向?qū)嶓w設(shè)備的基礎(chǔ)資源整合向面向資源的虛擬化平臺(tái)建設(shè)過(guò)渡。然而，人民銀行市州以下基層行一直沿用傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)運(yùn)維和部署效率不高，網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力欠缺。接入層、匯聚層和核心層三層結(jié)構(gòu)難以適應(yīng)架構(gòu)轉(zhuǎn)型的發(fā)展要求，制約了人民銀行信息化的快速發(fā)展。為此，人民銀行常德市中心支行探索了軟件定義網(wǎng)絡(luò)（Software-Defined Networking，以下簡(jiǎn)稱SDN）在基層行網(wǎng)絡(luò)架構(gòu)中的應(yīng)用，運(yùn)用網(wǎng)絡(luò)虛擬化技術(shù)和設(shè)備將現(xiàn)有網(wǎng)絡(luò)分離出數(shù)據(jù)層和控制層，通過(guò)控制層對(duì)數(shù)據(jù)層進(jìn)行智能管理，取得了較好效果。

1 基層央行現(xiàn)有網(wǎng)絡(luò)架構(gòu)瓶頸分析

（1）缺乏云計(jì)算的支持能力

當(dāng)前，云計(jì)算技術(shù)快速發(fā)展，網(wǎng)絡(luò)資源高效分發(fā)、虛擬機(jī)大范圍遷移、應(yīng)用多級(jí)部署已成為網(wǎng)絡(luò)應(yīng)用趨勢(shì)。然而，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)因其對(duì)硬件的過(guò)分依賴，對(duì)網(wǎng)絡(luò)層次嚴(yán)格區(qū)分，暫時(shí)難以實(shí)現(xiàn)以上的需求，顯得捉襟見(jiàn)肘。例如：在傳統(tǒng)的局域網(wǎng)新增了一臺(tái)虛擬機(jī)。首先，創(chuàng)建虛擬機(jī)后，必須對(duì)網(wǎng)絡(luò)設(shè)備手工配置IP地址，分配VLAN，設(shè)置ACL和QOS，配置時(shí)間長(zhǎng)、易出錯(cuò)。其次，對(duì)于二層局域網(wǎng)還應(yīng)配置VTP（虛網(wǎng)傳輸）和STP（生成樹(shù)）以免出現(xiàn)網(wǎng)絡(luò)環(huán)路。上述的協(xié)議和配置大多缺乏通用性，從而限制了網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)展，可能會(huì)引起兩個(gè)方面的問(wèn)題，一方面網(wǎng)絡(luò)運(yùn)維效率低、故障率高；另一方面限制了服務(wù)器集群或虛擬機(jī)的遷移和擴(kuò)展，無(wú)法實(shí)現(xiàn)云計(jì)算對(duì)大規(guī)模設(shè)備快速部署和遷移。

（2）缺乏大數(shù)據(jù)業(yè)務(wù)的保障能力

目前，央行金融業(yè)務(wù)蓬勃發(fā)展，尤其是支付、征信、統(tǒng)計(jì)和信貸部門對(duì)數(shù)據(jù)存儲(chǔ)和處理的需求呈爆發(fā)式增長(zhǎng)。通信數(shù)據(jù)傳輸逐步以通信數(shù)據(jù)中心為核心轉(zhuǎn)為以虛擬化計(jì)算集群為中心。由此可見(jiàn)，現(xiàn)有基層央行的三層網(wǎng)絡(luò)架構(gòu)無(wú)法實(shí)現(xiàn)虛擬化集群的接入需求，只能運(yùn)用分布式網(wǎng)絡(luò)架構(gòu)。例如：在傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)中，不同子網(wǎng)的設(shè)備進(jìn)行點(diǎn)對(duì)點(diǎn)通信時(shí)，其數(shù)據(jù)包流向總是從接入到匯聚到核心，再?gòu)暮诵牡絽R聚到接入層，到達(dá)目的地。所有跨網(wǎng)段數(shù)據(jù)包都必然通過(guò)核心層，從而形成了較大的數(shù)據(jù)流量。一旦傳輸量過(guò)大時(shí)，就會(huì)出現(xiàn)瓶頸。不僅大量的帶寬被消耗，還會(huì)造成難以估計(jì)的延時(shí)，形成擁塞甚至?xí)霈F(xiàn)掉包和阻斷等網(wǎng)絡(luò)故障。

（3）缺乏對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)防控的能力

當(dāng)前，基層央行網(wǎng)絡(luò)主要的網(wǎng)絡(luò)風(fēng)險(xiǎn)防控的方式主要有：網(wǎng)絡(luò)協(xié)議、訪問(wèn)控制、服務(wù)質(zhì)量、流量、邊界等方面。上述防控方式總是需要硬件設(shè)備的支持，至少依賴于以下幾種安全設(shè)備：防火墻、入侵檢測(cè)、漏洞掃描、負(fù)載均衡和動(dòng)態(tài)口令認(rèn)證等設(shè)備或裝置。將如此多的安全設(shè)備和系統(tǒng)進(jìn)行有機(jī)整合，確保物理、邏輯保持一致，共同發(fā)揮效能，確實(shí)困難。即使將它們整合運(yùn)用，增強(qiáng)了一定的安全性的同時(shí)也可能會(huì)帶來(lái)安全隱患。由于存在較多安全節(jié)點(diǎn)，需要更多的人為配置和操作，操作風(fēng)險(xiǎn)和配置錯(cuò)誤隨時(shí)都可能出現(xiàn)在任一設(shè)備中，從而導(dǎo)致網(wǎng)絡(luò)和業(yè)務(wù)發(fā)生故障的可能性、不確定性和不可控性大大增加。

2 SDN結(jié)構(gòu)與技術(shù)簡(jiǎn)介

2.1 SDN的定義

SDN可從狹義和廣義兩個(gè)方面來(lái)定義。廣義的定義闡釋了SDN具有動(dòng)態(tài)、彈性管理的特點(diǎn)，是一種更高帶寬的動(dòng)態(tài)的網(wǎng)絡(luò)架構(gòu)。狹義的定義闡釋了SDN通過(guò)邏輯集中控制器對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)管理。該網(wǎng)絡(luò)包含數(shù)據(jù)層和控制層，兩者之間主要采用OpenFlow南向接口進(jìn)行通信。兩種定義都體現(xiàn)了數(shù)據(jù)層和控制層相分離的特點(diǎn)，通過(guò)控制器的軟件編程接口進(jìn)行網(wǎng)絡(luò)的精準(zhǔn)控制。總之，北向接口、南向接口、網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)平面和集中控制器組成了SDN的網(wǎng)絡(luò)架構(gòu)，如圖1所示。

圖1 SDN基本結(jié)構(gòu)示意圖

2.2 SDN的主要特點(diǎn)

一是實(shí)現(xiàn)了網(wǎng)絡(luò)的開(kāi)放性和可編程性。面向用戶設(shè)置了一套通用API接口，通過(guò)對(duì)SDN控制器進(jìn)行軟件編程，實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)化管理。

二是實(shí)現(xiàn)了網(wǎng)絡(luò)邏輯層面的集中控制。SDN控制器收集和管理所有網(wǎng)絡(luò)狀態(tài)信息，實(shí)現(xiàn)了網(wǎng)絡(luò)的分布式集中管理。

三是實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)和控制層面的分離。數(shù)據(jù)控制分離和獨(dú)立是區(qū)別與傳統(tǒng)網(wǎng)絡(luò)的最大特點(diǎn)，也是網(wǎng)絡(luò)可編程的基礎(chǔ)。

綜上所述，以上三個(gè)特點(diǎn)具有密不可分的邏輯關(guān)系。網(wǎng)絡(luò)的開(kāi)放性和可編程性是SDN的核心，網(wǎng)絡(luò)集中控制器是開(kāi)放性和可編程性的基礎(chǔ)，控制平面和數(shù)據(jù)平面分離則是前提。

2.3 SDN的主要協(xié)議

SDN主要采用南向協(xié)議通過(guò)控制器對(duì)數(shù)據(jù)面進(jìn)行編程。它也是SDN最核心的接口標(biāo)準(zhǔn)之一。目前，國(guó)內(nèi)較流行的SDN南向協(xié)議為OpenFlow南向協(xié)議標(biāo)準(zhǔn)，簡(jiǎn)要介紹如下。

（1）基本原理

一方面控制器生成、維護(hù)和下發(fā)流表，另一方面由網(wǎng)絡(luò)設(shè)備自行維護(hù)自身流表，主要體現(xiàn)了數(shù)據(jù)包兩種不同的轉(zhuǎn)發(fā)方式。數(shù)據(jù)包從交換機(jī)端口進(jìn)入后，若自身匹配成功，則按匹配項(xiàng)轉(zhuǎn)發(fā)數(shù)據(jù)包，若匹配失敗，則將數(shù)據(jù)包上報(bào)給控制器?？刂破鞲鶕?jù)下發(fā)流表項(xiàng)告知交換機(jī)如何處理這個(gè)數(shù)據(jù)包。

（2）基本架構(gòu)

早期版本定義了OpenFlow交換機(jī)的流表和安全通道。其中，流表負(fù)責(zé)匹配和處理數(shù)據(jù)包，而安全通道負(fù)責(zé)建立與控制器通信的安全連接。最新版本定義了度量表和組表，度量表對(duì)用戶流量進(jìn)行了限速和計(jì)量，而組表極大降低了流表的復(fù)雜度。

2.4 SDN的集中控制器

集中控制器是軟件定義網(wǎng)絡(luò)最關(guān)鍵、必要的組件和“神經(jīng)中樞”。近年來(lái)，SDN迅猛發(fā)展，全球的學(xué)校、企業(yè)和組織都研發(fā)了各具特色的集中控制器。例如用于工程領(lǐng)域的OpenDaylight和ONOS，又例如在科研運(yùn)用較多的POX/NOX，RYU和Floodlight。我國(guó)的華為、H3C等通信設(shè)備制造商也研制出了各自的控制器。下面以H3C的虛擬化控制器（VCF）為例，對(duì)控制器的架構(gòu)進(jìn)行簡(jiǎn)要介紹。

如圖2所示，從上至下分為五層，第一層為北向接口層，主要負(fù)責(zé)對(duì)外提供可編程接口，第二層為內(nèi)置應(yīng)用層，包含了各種網(wǎng)絡(luò)和服務(wù)的應(yīng)用，第三層為基礎(chǔ)網(wǎng)絡(luò)層，內(nèi)置了各類不同的網(wǎng)絡(luò)管理模塊。第四層為抽象邏輯層，實(shí)現(xiàn)了不同廠商、不同設(shè)備的屏蔽功能。最下面是南向接口層，涵蓋了BGP、NETCONFIG、OpenFlow等通信接口協(xié)議，通過(guò)協(xié)議管理設(shè)備（虛擬設(shè)備或?qū)嶓w設(shè)備）各種節(jié)點(diǎn)。整個(gè)網(wǎng)絡(luò)的運(yùn)行效能直接由集中控制器所決定。應(yīng)從網(wǎng)絡(luò)虛擬化的可支持、可擴(kuò)展和安全性等方面去選擇特定協(xié)議的控制器。

圖2 SDN虛擬控制器邏輯結(jié)構(gòu)

3 基層央行應(yīng)用SDN的具體實(shí)踐

通過(guò)以上的分析，我們知道SDN具有不同技術(shù)流派的組網(wǎng)結(jié)構(gòu)，如ONF、Overlay等。根據(jù)基層央行現(xiàn)有網(wǎng)絡(luò)環(huán)境，建議選擇混合Overlay方案較為適合。SDN Overlay基本結(jié)構(gòu)如圖3所示。

圖3 SDN Overlay基本結(jié)構(gòu)

（1）組網(wǎng)分析

基層人行業(yè)務(wù)網(wǎng)采用了傳統(tǒng)的接入、匯聚、核心的分層組網(wǎng)技術(shù)，劃分了很多的網(wǎng)絡(luò)邊界和區(qū)域，部署了各種不同品牌網(wǎng)絡(luò)設(shè)備如H3C、華為、思科等，運(yùn)行了STP、VTP、HSRP、VRRP、OSPF、BGP等各種不同網(wǎng)絡(luò)協(xié)議，各類設(shè)備、協(xié)議混合共存。網(wǎng)絡(luò)管理方式屬于自上而下分級(jí)管理?；鶎尤诵袊?yán)禁隨意改變組網(wǎng)方式。因此，兼容已有網(wǎng)絡(luò)結(jié)構(gòu)，采用嵌入式的組網(wǎng)方案成為合理的選擇。

混合Overlay恰好是符合這一需求的完美選項(xiàng)。因?yàn)樗且环N在實(shí)體的網(wǎng)絡(luò)架構(gòu)上疊加虛擬化的技術(shù)，本質(zhì)是封裝報(bào)文的隧道技術(shù)。主要框架是保留現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)虛擬化在網(wǎng)絡(luò)上的承載，同時(shí)與其他網(wǎng)絡(luò)業(yè)務(wù)相互獨(dú)立，創(chuàng)建的多個(gè)虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)混合運(yùn)行在Overlay中。虛擬設(shè)備和物理設(shè)備都可以作為Overlay邊界。它的組網(wǎng)方式靈活，可接入各種不同的路由器、交換機(jī)、服務(wù)器以及各種虛擬化設(shè)備。如圖4所示。

（2）技術(shù)實(shí)現(xiàn)

以人民銀行常德市中心支行為例，按上述混合Overlay方案組建一套網(wǎng)絡(luò)實(shí)驗(yàn)室，將其接入核心路由器（核心層），實(shí)現(xiàn)了SDN與當(dāng)前網(wǎng)絡(luò)的無(wú)縫對(duì)接。主要運(yùn)用H3C Overlay技術(shù)實(shí)現(xiàn)。如圖3所示，配置了2臺(tái)虛擬交換機(jī)H3C 1020v、1臺(tái)虛擬防火墻H3C VFW作為服務(wù)器和終端的接入，部署了2臺(tái)H3C S5800-HI作為樓層接入交換機(jī)，采用了2臺(tái)運(yùn)用了H3C IRF2技術(shù)組網(wǎng)的H3C S10500X作為核心交換機(jī)，接入已有兩臺(tái)互為熱備的核心路由器H3C MSR5600。配備了H3C VCF控制器（OpenFlow控制器）對(duì)各網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行管理和控制。此方案通過(guò)控制器實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)驗(yàn)室的邏輯編程和智能化管理。如圖5所示。

圖4 混合Overlay網(wǎng)絡(luò)架構(gòu)

圖5 常德市中支SDN Overlay組網(wǎng)拓?fù)鋱D

（3）應(yīng)用效果

一是提升網(wǎng)絡(luò)安全性。如圖5所示，SDN支持虛擬化的安全設(shè)備，如虛擬防火墻等，增加了更為豐富的網(wǎng)絡(luò)安全關(guān)卡。病毒一旦爆發(fā)，直接在控制器上對(duì)所有下發(fā)數(shù)據(jù)流封堵病毒端口或?qū)?shù)據(jù)流引入虛擬安全設(shè)備過(guò)濾。無(wú)論對(duì)用戶、對(duì)業(yè)務(wù)，還是對(duì)物理設(shè)備而言，都將毫無(wú)影響，一切在后臺(tái)完成，無(wú)須斷網(wǎng)和停掉業(yè)務(wù)。

二是增強(qiáng)了云計(jì)算能力。通過(guò)組建可擴(kuò)展的虛擬局域網(wǎng)，構(gòu)建介于二層到三層的網(wǎng)絡(luò)結(jié)構(gòu)，支持虛擬機(jī)從二層向三層遷移，對(duì)于4K Vlan以上的高速虛擬化網(wǎng)絡(luò)，實(shí)現(xiàn)大數(shù)據(jù)和云計(jì)算的支持。

三是實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)維智能化。如圖5所示，通過(guò)軟件實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)渥詣?dòng)配置生成，網(wǎng)絡(luò)設(shè)備自動(dòng)部署完成，無(wú)須任何手工配置，加電后向控制器請(qǐng)求下載對(duì)應(yīng)配置。網(wǎng)絡(luò)管理由人為操作向智能控制的轉(zhuǎn)變。SDN隨時(shí)向用戶配備一個(gè)貼合需求的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)三層網(wǎng)絡(luò)路由可達(dá)。集中控制器統(tǒng)一對(duì)所有網(wǎng)絡(luò)資源進(jìn)行管理，監(jiān)控網(wǎng)內(nèi)虛擬和物理的設(shè)備、線路等網(wǎng)絡(luò)資源狀態(tài)信息，按需對(duì)網(wǎng)絡(luò)進(jìn)行負(fù)載平衡和路徑優(yōu)化。通過(guò)體驗(yàn)較好的GUI界面，供用戶展示和操作，促使網(wǎng)絡(luò)運(yùn)維和部署速率顯著提升。

4 結(jié)束語(yǔ)

本文研究了基于軟件定義網(wǎng)絡(luò)技術(shù)（SDN）在基層央行網(wǎng)絡(luò)架構(gòu)中的探索應(yīng)用，分析了組網(wǎng)原理，比較了新舊網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)劣，取得了較好的應(yīng)用效果。因此，為緩解基層央行網(wǎng)絡(luò)運(yùn)行存在的問(wèn)題，運(yùn)用軟件定義網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)智能控制和編程管理勢(shì)在必行。

[1]陳思.新一代校園網(wǎng)的SDN研究[J].現(xiàn)代信息科技，2019（02）.

[2]張寧，唐佳，劉識(shí)，廣澤晶，李成巍，郭小溪，楊芳.軟件定義網(wǎng)絡(luò)在電力數(shù)據(jù)網(wǎng)中的應(yīng)用方式研究[J].電力信息與通信技術(shù)，2019（04）.

[3]王珺，王夢(mèng)林，王悅，劉俊杰，高正憲.SDN數(shù)據(jù)中心網(wǎng)絡(luò)基于流分類的負(fù)載均衡方案[J].計(jì)算機(jī)工程與應(yīng)用，2019（04）.

[4]黃倩，何鋒，王彤.基于SDN的多數(shù)據(jù)鏈網(wǎng)絡(luò)集中控制方法[J].電光與控制，2019（05）.