軟件定義網(wǎng)絡(luò)架構(gòu)在航天測(cè)控網(wǎng)中的應(yīng)用

郭志亮，常淑桂，董文文，高 靜，李明貴

(中國(guó)人民解放軍63780部隊(duì)，海南 三亞 572000)

0 引言

我國(guó)航天測(cè)控網(wǎng)作為航天試驗(yàn)任務(wù)的網(wǎng)絡(luò)承載平臺(tái)，承擔(dān)著數(shù)據(jù)、語(yǔ)音、視頻和文件等各類業(yè)務(wù)信息的傳遞任務(wù)，目前已發(fā)展成為全覆蓋、多方向和高帶寬的一體化大型科研試驗(yàn)通信專用網(wǎng)絡(luò)。由于航天測(cè)控網(wǎng)以TCP/IP技術(shù)為核心構(gòu)建，存在著服務(wù)質(zhì)量保證、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全方面的不足[1]，逐漸難以適應(yīng)日益復(fù)雜的航天測(cè)控網(wǎng)物理結(jié)構(gòu)以及重大工程任務(wù)的工作效率與穩(wěn)定性需求[2]。

軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)是一種網(wǎng)絡(luò)架構(gòu)，它的提出是為了解決網(wǎng)絡(luò)配置復(fù)雜、可擴(kuò)展性差等問(wèn)題，簡(jiǎn)化網(wǎng)絡(luò)配置和使用，提高運(yùn)行與維護(hù)效率。其最主要的特點(diǎn)包括：轉(zhuǎn)發(fā)與控制分離、邏輯上的集中控制、接口開(kāi)放和可編程[3]。隨著SDN的快速發(fā)展，SDN已應(yīng)用到各個(gè)網(wǎng)絡(luò)場(chǎng)景中，從小型的企業(yè)網(wǎng)和校園網(wǎng)擴(kuò)展到數(shù)據(jù)中心與廣域網(wǎng)，從有線網(wǎng)擴(kuò)展到無(wú)線網(wǎng)，均采用控制層與數(shù)據(jù)層分離的方式獲取全局視圖來(lái)管理自己的網(wǎng)絡(luò)[4]。SDN架構(gòu)在專業(yè)通信網(wǎng)應(yīng)用方面也有大量的研究，如軍事信息網(wǎng)[5-6]、車載網(wǎng)[7]、電信核心網(wǎng)[8-9]、5G移動(dòng)通信網(wǎng)[10]和電力通信網(wǎng)[11]等。以上研究論述了SDN架構(gòu)良好的應(yīng)用前景，尤其是在精細(xì)化流量工程、統(tǒng)一高效的運(yùn)維管理以及開(kāi)放可編程靈活應(yīng)用方面，相較于傳統(tǒng)IP網(wǎng)絡(luò)具備特定的優(yōu)勢(shì)。本文針對(duì)航天測(cè)控網(wǎng)未來(lái)發(fā)展需求，重點(diǎn)研究了SDN架構(gòu)在航天測(cè)控網(wǎng)中的應(yīng)用問(wèn)題，分別對(duì)其接入網(wǎng)、數(shù)據(jù)中心網(wǎng)以及廣域網(wǎng)架構(gòu)進(jìn)行設(shè)計(jì)，并通過(guò)仿真實(shí)驗(yàn)論證了SDN架構(gòu)的有效性與可行性。

1 航天測(cè)控網(wǎng)特性需求分析

由于TCP/IP技術(shù)在工業(yè)界成為事實(shí)上的網(wǎng)絡(luò)體系標(biāo)準(zhǔn)，基于IP技術(shù)構(gòu)建航天測(cè)控網(wǎng)在保障航天測(cè)控任務(wù)信息穩(wěn)定可靠傳輸方面發(fā)揮著顯著作用。然而近些年我國(guó)在航天領(lǐng)域加快發(fā)展步伐，密集的任務(wù)數(shù)量與復(fù)雜的技術(shù)難度對(duì)航天測(cè)控網(wǎng)提出了更高的要求。

1.1 資源快速調(diào)配需求

執(zhí)行應(yīng)急航天測(cè)控任務(wù)時(shí)，需要在短時(shí)間調(diào)配大量網(wǎng)絡(luò)資源進(jìn)行通信保障。傳統(tǒng)IP網(wǎng)絡(luò)屬于分布式架構(gòu)，經(jīng)路由器各自分布式計(jì)算后決定數(shù)據(jù)流的傳播方向，因此難以通過(guò)逐臺(tái)修改路由器配置來(lái)迅速調(diào)配網(wǎng)絡(luò)資源。SDN架構(gòu)可以預(yù)先感知底層傳輸網(wǎng)絡(luò)空閑資源狀態(tài)，通過(guò)集中控制手段支持應(yīng)急測(cè)控任務(wù)，實(shí)現(xiàn)高效快速的資源調(diào)配。

1.2 精細(xì)化服務(wù)質(zhì)量保障需求

隨著航天測(cè)控任務(wù)復(fù)雜化程度的不斷提升，信息傳遞要針對(duì)不同的業(yè)務(wù)進(jìn)行區(qū)別處理，實(shí)現(xiàn)端到端細(xì)粒度的保障。傳統(tǒng)IP網(wǎng)絡(luò)采用“盡力交付”設(shè)計(jì)理念，雖然通過(guò)ACL、RSVP、MPLS等協(xié)議能夠部分保障服務(wù)質(zhì)量，但實(shí)現(xiàn)較為繁瑣，且難以對(duì)每個(gè)特定的業(yè)務(wù)進(jìn)行鑒別和區(qū)分服務(wù)。SDN架構(gòu)通過(guò)流表和計(jì)數(shù)器對(duì)數(shù)據(jù)流進(jìn)行管控，能夠輕易實(shí)現(xiàn)細(xì)粒度的服務(wù)質(zhì)量保障。

1.3 網(wǎng)絡(luò)安全需求

由于航天測(cè)控網(wǎng)IP化程度很高，測(cè)控系統(tǒng)體系結(jié)構(gòu)趨于開(kāi)放化，技術(shù)平臺(tái)趨于通用化，針對(duì)通用軟硬件系統(tǒng)的安全威脅向測(cè)控網(wǎng)不斷擴(kuò)散。而隨著國(guó)際合作深化發(fā)展，外部網(wǎng)絡(luò)接入測(cè)控網(wǎng)的需求不斷增加，導(dǎo)致測(cè)控網(wǎng)面臨的病毒、木馬和惡意攻擊等外在威脅的形勢(shì)更加嚴(yán)峻[12]。得益于集中控制模式以及對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的實(shí)時(shí)感知，相較于傳統(tǒng)IP網(wǎng)絡(luò)，SDN在安全檢測(cè)與動(dòng)態(tài)防護(hù)方面具備天然的優(yōu)勢(shì)。從網(wǎng)絡(luò)安全的角度，SDN帶入了新的安全威脅與挑戰(zhàn)，同時(shí)也帶來(lái)了新的機(jī)遇來(lái)變革傳統(tǒng)的安全防護(hù)體系[13]。

1.4 自動(dòng)化運(yùn)維需求

航天測(cè)控網(wǎng)經(jīng)多年發(fā)展，軟硬件差異化程度較高，設(shè)備組網(wǎng)形態(tài)多樣復(fù)雜，傳統(tǒng)網(wǎng)絡(luò)運(yùn)維模式面臨著巨大的壓力。一是新業(yè)務(wù)、新技術(shù)對(duì)網(wǎng)絡(luò)運(yùn)維人員的專業(yè)技能提出了更高的要求；二是傳統(tǒng)運(yùn)維模式下技術(shù)人員僅對(duì)本區(qū)域設(shè)備狀態(tài)負(fù)責(zé)，難以實(shí)現(xiàn)運(yùn)維策略的集中化統(tǒng)一管理；三是傳統(tǒng)網(wǎng)絡(luò)基于設(shè)備級(jí)的手工配置方法效率較低，難以適應(yīng)業(yè)務(wù)動(dòng)態(tài)迅速變更的需求。SDN架構(gòu)由于采用的集中控制模式，簡(jiǎn)化了傳統(tǒng)網(wǎng)絡(luò)設(shè)備配置的工作量，網(wǎng)絡(luò)管理人員可以通過(guò)一套動(dòng)態(tài)、自動(dòng)化的應(yīng)用程序?qū)崿F(xiàn)網(wǎng)絡(luò)靈活配置、管理、安全加固和資源優(yōu)化等功能。

2 SDN架構(gòu)設(shè)計(jì)

航天測(cè)控網(wǎng)在物理架構(gòu)上主要?jiǎng)澐譃?個(gè)類型：接入網(wǎng)、數(shù)據(jù)中心網(wǎng)和廣域網(wǎng)。其中接入網(wǎng)為測(cè)控站等地面站點(diǎn)本地接入網(wǎng)絡(luò)，數(shù)據(jù)中心網(wǎng)為發(fā)射、測(cè)控和應(yīng)用等中心內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，廣域網(wǎng)則負(fù)責(zé)將各中心、區(qū)域中心以及地面站點(diǎn)互相連接，組織架構(gòu)如圖1所示。由于這幾種不同類型網(wǎng)絡(luò)的特性與管理模式均有所不同，因此分別進(jìn)行SDN架構(gòu)設(shè)計(jì)與討論。

圖1 航天測(cè)控網(wǎng)組織架構(gòu)Fig.1 Spaceflight TT&C network architecture

2.1 接入網(wǎng)

由于航天測(cè)控網(wǎng)歷經(jīng)多年發(fā)展，當(dāng)前接入網(wǎng)異構(gòu)程度較高，具體表現(xiàn)在傳輸層面機(jī)制多樣，且獨(dú)立運(yùn)行，難以實(shí)現(xiàn)統(tǒng)一的控制與維護(hù)。以光傳輸網(wǎng)絡(luò)為例，長(zhǎng)期以來(lái)IP網(wǎng)絡(luò)與光網(wǎng)絡(luò)一直獨(dú)立建設(shè)規(guī)劃，光網(wǎng)絡(luò)作為底層管道支撐IP網(wǎng)業(yè)務(wù)傳輸，2個(gè)網(wǎng)絡(luò)都具備完整的網(wǎng)絡(luò)功能，并且管控體系封閉，層間交互信息較少。多層網(wǎng)絡(luò)之間的信息不共享、控制不協(xié)同會(huì)導(dǎo)致網(wǎng)絡(luò)資源利用率低下，業(yè)務(wù)路徑無(wú)法達(dá)到最優(yōu)，網(wǎng)絡(luò)故障發(fā)生時(shí)造成業(yè)務(wù)中斷時(shí)間長(zhǎng)等問(wèn)題[14]。

為實(shí)現(xiàn)優(yōu)化資源配置，提高服務(wù)感知質(zhì)量，通過(guò)引入SDN技術(shù)來(lái)解決多層協(xié)同的問(wèn)題。利用集中控制掌握全局信息的優(yōu)勢(shì)，為實(shí)現(xiàn)多層資源優(yōu)化、多層生存性優(yōu)化提供快速高效的新方法。文獻(xiàn)[15]給出了2種協(xié)同控制模型，即對(duì)等控制模型和層次控制模型，其中對(duì)等控制模型基于統(tǒng)一網(wǎng)絡(luò)控制協(xié)議，屏蔽網(wǎng)絡(luò)設(shè)備差異，而層次控制模型在控制層之上引入高層協(xié)同控制器?？紤]航天測(cè)控網(wǎng)存在的異構(gòu)性，以及演進(jìn)的可行性因素，選擇層次控制模型作為接入網(wǎng)的SDN架構(gòu)，如圖2所示。在該架構(gòu)中，IP網(wǎng)絡(luò)、光網(wǎng)絡(luò)以及無(wú)線網(wǎng)絡(luò)均由獨(dú)立的控制器統(tǒng)一控制，負(fù)責(zé)各自網(wǎng)絡(luò)內(nèi)的路徑計(jì)算與資源分配，高層協(xié)同控制器負(fù)責(zé)層間流量調(diào)度、路徑計(jì)算和保護(hù)恢復(fù)協(xié)同等功能。底層的網(wǎng)絡(luò)信息能夠被上層實(shí)時(shí)感知，呈現(xiàn)出清晰的網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì)，運(yùn)維管理人員能夠通過(guò)統(tǒng)一集中的方式對(duì)異構(gòu)網(wǎng)絡(luò)進(jìn)行管理與配置，提升運(yùn)維管理效率。同時(shí)異構(gòu)網(wǎng)絡(luò)之間可以利用協(xié)同控制器進(jìn)行信息交互，有利于故障的快速定位與恢復(fù)，提升航天測(cè)控接入網(wǎng)的健壯性。

圖2 航天測(cè)控接入網(wǎng)SDN架構(gòu)Fig.2 Spaceflight TT&C access network based on SDN architecture

2.2 數(shù)據(jù)中心網(wǎng)

航天測(cè)控系統(tǒng)包括發(fā)射中心、測(cè)控中心和應(yīng)用中心等多個(gè)數(shù)據(jù)中心，承擔(dān)各類應(yīng)用服務(wù)，是整個(gè)系統(tǒng)的核心部分。隨著各類新型應(yīng)用的不斷部署，傳統(tǒng)的層次結(jié)構(gòu)數(shù)據(jù)中心網(wǎng)絡(luò)在規(guī)模、帶寬、擴(kuò)展性和成本方面存在諸多不足，包括服務(wù)器之間連接和帶寬受限、規(guī)模較小、資源分散、縱向擴(kuò)展成本高、路由效率低、配置開(kāi)銷大、不提供服務(wù)間的流量隔離和網(wǎng)絡(luò)協(xié)議待改進(jìn)等問(wèn)題[16]。當(dāng)前數(shù)據(jù)中心新型架構(gòu)的研究眾多，以Fattree為代表的新型層次網(wǎng)絡(luò)架構(gòu)，由于其具有簡(jiǎn)單易用的特點(diǎn)，近年來(lái)已經(jīng)在很多數(shù)據(jù)中心設(shè)計(jì)方案中被采用[17]。Fattree的體系架構(gòu)如圖3所示，通過(guò)對(duì)傳統(tǒng)數(shù)據(jù)中心進(jìn)行適應(yīng)性改造，就能提升數(shù)據(jù)中心規(guī)模與帶寬問(wèn)題，較為適用于傳統(tǒng)數(shù)據(jù)中心演進(jìn)發(fā)展。對(duì)于新建數(shù)據(jù)中心，可采用近年來(lái)流行的Spine-Leaf兩層架構(gòu)[18]，該架構(gòu)拓?fù)涓雍?jiǎn)單，且更易于管理和擴(kuò)展，但建設(shè)成本相對(duì)高昂。

圖3 Fattree數(shù)據(jù)中心層次結(jié)構(gòu)模型Fig.3 Data center hierarchy model of Fattree

隨著虛擬化、云計(jì)算等新型應(yīng)用需求的不斷增加，航天測(cè)控網(wǎng)數(shù)據(jù)中心走向“云”化已成必然趨勢(shì)。當(dāng)前基于Vxlan技術(shù)的Overlay網(wǎng)絡(luò)虛擬化技術(shù)應(yīng)用較為成熟，實(shí)現(xiàn)了應(yīng)用與物理網(wǎng)絡(luò)的解耦，滿足了云數(shù)據(jù)中心大二層擴(kuò)展的要求。數(shù)據(jù)中心網(wǎng)絡(luò)是SDN目前最為明確的應(yīng)用場(chǎng)景[19]，基于SDN+Vxlan技術(shù)的航天測(cè)控云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)如圖4所示。

圖4 航天測(cè)控云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)Fig.4 Spaceflight TT&C cloud data center network architecture

其中Vxlan網(wǎng)關(guān)部署到核心交換機(jī)，Overlay邏輯視圖為Vxlan大二層域，Underlay為Fattree三層結(jié)構(gòu)。在該架構(gòu)中，由于采用了無(wú)阻塞交換連接的方式，流量路徑的規(guī)劃能夠更加靈活，信息傳遞更加高效?；诹鞅淼墓芸乜蔀椴煌?jí)別的服務(wù)提供邏輯隔離，確保信息不被非法訪問(wèn)，且統(tǒng)一的安全設(shè)備提供網(wǎng)絡(luò)邊界的安全防護(hù)，能有效管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。利用SDN控制器實(shí)現(xiàn)全局網(wǎng)絡(luò)的維護(hù)、交換機(jī)狀態(tài)收集、路由器的計(jì)算和流表項(xiàng)的管理，可簡(jiǎn)化網(wǎng)絡(luò)管理，降低運(yùn)維成本，提供更好的負(fù)載均衡。

2.3 廣域網(wǎng)

航天測(cè)控廣域網(wǎng)覆蓋地域廣闊，主要依托各類運(yùn)營(yíng)商專線鏈路進(jìn)行業(yè)務(wù)支撐，目前主要存在的問(wèn)題有：一是業(yè)務(wù)開(kāi)通不夠高效靈活，傳統(tǒng)專線鏈路需要逐跳配置，部署周期長(zhǎng)，難以適應(yīng)應(yīng)急條件下的航天測(cè)控任務(wù)；二是帶寬與利用率矛盾突出，由于專線鏈路帶寬固定，不能根據(jù)業(yè)務(wù)需要靈活調(diào)整，鏈路帶寬緊張與鏈路利用率低的情況經(jīng)常會(huì)同時(shí)出現(xiàn)；三是運(yùn)維模式落后，管理復(fù)雜度高。文獻(xiàn)[20]提出在SDN廣域網(wǎng)需要重點(diǎn)解決集中控制帶來(lái)的網(wǎng)絡(luò)可靠性降低與抗毀能力差等問(wèn)題，文獻(xiàn)[21]提出基于控制路徑連通度的控制器部署方案來(lái)最大化提升SDN控制器部署的可靠性，文獻(xiàn)[22]提出了一種適用于廣域網(wǎng)的SDN分級(jí)分域控制平面組網(wǎng)架構(gòu)，并研究該架構(gòu)下的控制器任務(wù)分工與路由計(jì)算方法?；谝陨涎芯砍晒O(shè)計(jì)航天測(cè)控廣域網(wǎng)SDN架構(gòu)如圖5所示。

圖5 航天測(cè)控廣域網(wǎng)SDN架構(gòu)Fig.5 Spaceflight TT&C WAN based on SDN architecture

SDN控制器采用異地雙活方式部署，避免單點(diǎn)失效問(wèn)題；廣域網(wǎng)數(shù)據(jù)平面設(shè)備采用Openflow-hybrid交換機(jī)，確保當(dāng)交換機(jī)與控制器失聯(lián)之后可以切換為傳統(tǒng)IP路由模式實(shí)現(xiàn)抗毀組網(wǎng)；骨干網(wǎng)設(shè)備采用環(huán)網(wǎng)或柵格網(wǎng)拓?fù)溥M(jìn)行組網(wǎng)，數(shù)據(jù)中心、站點(diǎn)通過(guò)多路徑接入骨干網(wǎng)，進(jìn)一步提高連通度；廣域網(wǎng)SDN控制器與數(shù)據(jù)中心、接入網(wǎng)控制器進(jìn)行協(xié)同，實(shí)現(xiàn)靈活智能高效的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用。在航天測(cè)控廣域網(wǎng)引入SDN技術(shù)，可以實(shí)現(xiàn)多線融合、智能選路、流量監(jiān)控與調(diào)配以及集中化圖形界面管理等功能，提高帶寬利用率與運(yùn)維管理效率；同時(shí)由于集中控制模式，可以快速靈活調(diào)配資源支撐航天應(yīng)急測(cè)控任務(wù)，并實(shí)現(xiàn)全網(wǎng)安全策略的統(tǒng)一性，避免出現(xiàn)網(wǎng)絡(luò)安全策略短板。

3 仿真驗(yàn)證

為驗(yàn)證SDN架構(gòu)能夠滿足航天測(cè)控網(wǎng)特性需求，通過(guò)模擬地面站點(diǎn)與測(cè)控、應(yīng)用中心之間單播通信環(huán)境，設(shè)計(jì)動(dòng)態(tài)組網(wǎng)、安全隔離和自愈恢復(fù)3個(gè)典型的應(yīng)用場(chǎng)景開(kāi)展仿真實(shí)驗(yàn)。實(shí)驗(yàn)基于Mininet網(wǎng)絡(luò)仿真平臺(tái)，選擇Ryu控制器，采用All-in-one結(jié)構(gòu)，將Ryu控制器與Mininet仿真軟件安裝在同一臺(tái)Ubuntu 16.04 LTS服務(wù)器中。分別創(chuàng)建了1臺(tái)Ryu遠(yuǎn)程控制器、11臺(tái)ovs交換機(jī)、3臺(tái)pc主機(jī)以及相互之間的通信鏈路，實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6所示。

圖6 仿真實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)銯ig.6 Network topology of simulation experiment

其中ovs1～ovs4交換機(jī)屬于地面站點(diǎn)A，ovs5～ovs8交換機(jī)屬于應(yīng)用中心B，ovs9～ovs11屬于測(cè)控中心C，其邊界交換機(jī)之間采用全連接結(jié)構(gòu)。

3.1 動(dòng)態(tài)組網(wǎng)

不同的航天發(fā)射測(cè)控任務(wù)有著不同的參與方，加之應(yīng)急測(cè)控任務(wù)的常態(tài)化開(kāi)展，因此動(dòng)態(tài)組網(wǎng)是航天測(cè)控網(wǎng)常見(jiàn)的應(yīng)用場(chǎng)景。在傳統(tǒng)IP網(wǎng)絡(luò)中，需要依據(jù)用戶需求制定通信方案，并細(xì)化成為每個(gè)網(wǎng)絡(luò)設(shè)備的配置信息，最后組織多方共同完成鏈路配置、檢查和測(cè)試等工作，操作流程較為繁瑣，且耗費(fèi)大量時(shí)間與人力資源。在SDN架構(gòu)中由于控制平面集中管理，僅需要單個(gè)操作人員即可完成Openflow流表下發(fā)、配置檢查、鏈路測(cè)試等一系列工作，并且能夠掌握鏈路狀態(tài)信息，大幅提高組網(wǎng)效率。

在動(dòng)態(tài)組網(wǎng)實(shí)驗(yàn)中，假設(shè)地面站點(diǎn)A與測(cè)控中心C之間保持常態(tài)化通信，收到用戶關(guān)于地面站點(diǎn)A向應(yīng)用中心B發(fā)送數(shù)據(jù)的需求后，使用Ryu控制器application實(shí)現(xiàn)動(dòng)態(tài)組網(wǎng)，具體配置方法如下：

① 使用ryu-manager rest_router.py啟用Ryu路由功能。

② 在Ryu控制器上通過(guò)Firefox瀏覽器的restclient插件，以json形式向ovs4交換機(jī)下發(fā)靜態(tài)路由{“destination”: “3.1.1.0/24”, “gateway”: “5.1.1.2”}，向ovs5交換機(jī)下發(fā)靜態(tài)路由{“destination”: “1.1.1.0/24”, “gateway”: “5.1.1.1”}。

③ 設(shè)置主機(jī)地址與網(wǎng)關(guān)并進(jìn)行ping測(cè)試，實(shí)驗(yàn)結(jié)果表明連通性正常。

SDN架構(gòu)下實(shí)現(xiàn)該動(dòng)態(tài)組網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)模式對(duì)比如表1所示，可以看出，SDN架構(gòu)能夠滿足航天測(cè)控網(wǎng)資源快速調(diào)配需求，并降低運(yùn)維管理復(fù)雜度，相比傳統(tǒng)網(wǎng)絡(luò)更加靈活高效。

表1 SDN架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)動(dòng)態(tài)組網(wǎng)對(duì)比Tab.1 Dynamic networking comparison of SDN architecture and traditional network

3.2 安全隔離

航天測(cè)控網(wǎng)用戶眾多，數(shù)據(jù)流分布廣泛，不同類型用戶對(duì)其數(shù)據(jù)流有著不同的安全管控需求；同時(shí)為確保自身網(wǎng)絡(luò)安全，航天測(cè)控網(wǎng)用戶希望在保障其通信需求前提下?lián)碛凶钚〉耐ㄐ呕久?。在傳統(tǒng)IP網(wǎng)絡(luò)中，安全隔離通過(guò)網(wǎng)閘、防火墻和VPN等方式實(shí)現(xiàn)，但顆粒度較粗且不夠靈活，難以對(duì)整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行管控。Openflow協(xié)議通過(guò)流表下發(fā)來(lái)控制數(shù)據(jù)流走向，能夠?qū)崿F(xiàn)基于數(shù)據(jù)流的細(xì)顆粒度管控，達(dá)到業(yè)務(wù)級(jí)別的安全隔離。在安全策略管理方面，由于傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備獨(dú)立運(yùn)行，難以確保安全策略的一致性，容易產(chǎn)生網(wǎng)絡(luò)安全短板，然而通過(guò)SDN架構(gòu)集中管理安全策略很容易實(shí)現(xiàn)全網(wǎng)統(tǒng)一。

在安全隔離實(shí)驗(yàn)中，應(yīng)用中心B服務(wù)器開(kāi)放web服務(wù)允許地面站點(diǎn)A訪問(wèn)，但禁止測(cè)控中心C訪問(wèn)，且各單位防火墻均關(guān)閉445端口。使用Ryu控制器下發(fā)流表的方式實(shí)現(xiàn)全網(wǎng)安全策略，具體配置方法如下：

① 使用ryu-manager ofctl_rest.py啟動(dòng)Ryu控制功能。

② 在Ryu控制器上向通過(guò)Firefox瀏覽器的restclient插件，以json形式向ovs5交換機(jī)下發(fā)一條阻止應(yīng)用中心B連接80端口的流表：{“dpid”: 1, “priority”: 65535 ,“match”: {“dl_type”: 2048, “nw_proto”: 6, “tp_dst”: 80, “in_port”: 2}, “action”: []}。

③ 向ovs4，ovs5，ovs9交換機(jī)分別下發(fā)一條阻止所有目的端口為445的流表。

④ 設(shè)置主機(jī)地址與網(wǎng)關(guān)，在測(cè)控中心C主機(jī)上使用wget http命令進(jìn)行web連接測(cè)試，實(shí)驗(yàn)結(jié)果表明防火墻對(duì)TCP連接請(qǐng)求報(bào)文進(jìn)行了丟棄。

SDN架構(gòu)下實(shí)現(xiàn)網(wǎng)絡(luò)安全策略與傳統(tǒng)網(wǎng)絡(luò)模式對(duì)比如表2所示，SDN架構(gòu)能夠集中管控全網(wǎng)安全策略并迅速生效，且基于流表的訪問(wèn)控制策略相比傳統(tǒng)五元組，能夠?qū)崿F(xiàn)更加精細(xì)的安全管控。

表2 SDN架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)安全隔離對(duì)比Tab.2 Security isolation comparison of SDN architecture and traditional network

3.3 自愈恢復(fù)

在航天測(cè)控網(wǎng)中，自愈恢復(fù)能力是一項(xiàng)重要的性能指標(biāo)，體現(xiàn)網(wǎng)絡(luò)的可靠性與穩(wěn)定性，一般通過(guò)增加鏈路冗余度以及使用動(dòng)態(tài)路由算法來(lái)實(shí)現(xiàn)。在傳統(tǒng)IP網(wǎng)絡(luò)中，路由算法采用分布式的方式，每個(gè)路由器通過(guò)泛洪方式掌握完整的網(wǎng)絡(luò)拓?fù)浜玩溌焚M(fèi)用信息，并獨(dú)立計(jì)算最短路徑。相較于傳統(tǒng)IP網(wǎng)絡(luò)，SDN架構(gòu)中控制器集中擁有全局視圖的網(wǎng)絡(luò)拓?fù)浜唾Y源視圖，路由計(jì)算省去了狀態(tài)同步的過(guò)程，鏈路狀態(tài)發(fā)生變化時(shí)路由收斂時(shí)間更短。傳統(tǒng)路由只能實(shí)現(xiàn)基本的路由功能，容易造成局部鏈路路由阻塞，而SDN控制器可以根據(jù)網(wǎng)絡(luò)拓?fù)渑c網(wǎng)絡(luò)資源進(jìn)行靈活的路由調(diào)度，選出的路徑更能體現(xiàn)用戶需求[23]。

在自愈恢復(fù)實(shí)驗(yàn)中，假設(shè)地面站點(diǎn)A與測(cè)控中心C之間保持常態(tài)化通信，在A與C之間通信鏈路中斷情況下，控制器下發(fā)流表至ovs交換機(jī)，通過(guò)應(yīng)用中心B轉(zhuǎn)發(fā)A與C的數(shù)據(jù)流，具體配置方法如下：

① 使用ryu-manager rest_router.py啟用Ryu路由功能。

② 在Ryu控制器上通過(guò)Firefox瀏覽器的restclient插件，以json形式向ovs4交換機(jī)下發(fā)靜態(tài)路由{“destination”: “2.1.1.0/24”, “gateway”: “5.1.1.2”}，向ovs5交換機(jī)下發(fā)靜態(tài)路由{“destination”: “2.1.1.0/24”, “gateway”: “7.1.1.1”}。

③ 向ovs5交換機(jī)下發(fā)靜態(tài)路由{“destination”: “1.1.1.0/24”, “gateway”: “7.1.1.2”}，向ovs5交換機(jī)下發(fā)靜態(tài)路由{“destination”: “1.1.1.0/24”, “gateway”: “5.1.1.1”}。

④ pc1向pc3進(jìn)行ping測(cè)試，實(shí)驗(yàn)結(jié)果表明連通性正常。

SDN架構(gòu)下實(shí)現(xiàn)路由自愈恢復(fù)與傳統(tǒng)網(wǎng)絡(luò)模式對(duì)比如表3所示，手動(dòng)下發(fā)流表控制路由對(duì)應(yīng)傳統(tǒng)網(wǎng)絡(luò)靜態(tài)路由模式，控制器自動(dòng)下發(fā)流表對(duì)應(yīng)傳統(tǒng)網(wǎng)絡(luò)動(dòng)態(tài)路由模式，由于SDN控制器具有開(kāi)放特性，能夠自定義路由算法，因此傳輸路徑能夠更加保障服務(wù)質(zhì)量，滿足航天測(cè)控網(wǎng)可靠性與服務(wù)質(zhì)量需求。

表3 SDN架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)路由自愈恢復(fù)對(duì)比Tab.3 Route recovery comparison of SDN architecture and traditional network

實(shí)驗(yàn)表明，SDN架構(gòu)實(shí)現(xiàn)了控制與轉(zhuǎn)發(fā)的分離，整個(gè)網(wǎng)絡(luò)行為均由Ryu控制器下發(fā)流表方式進(jìn)行控制，交換機(jī)僅負(fù)責(zé)轉(zhuǎn)發(fā)動(dòng)作，用戶可以通過(guò)編程自行定義網(wǎng)絡(luò)功能。這種模式能夠較好地滿足精細(xì)化控制與集中運(yùn)維管理的需求，在航天測(cè)控網(wǎng)中具有較好的應(yīng)用價(jià)值。

4 結(jié)束語(yǔ)

隨著我國(guó)航天領(lǐng)域快速發(fā)展，航天測(cè)控網(wǎng)作為航天試驗(yàn)任務(wù)重要的業(yè)務(wù)承載平臺(tái)，也將不斷地演進(jìn)變化，以適應(yīng)新形勢(shì)下的任務(wù)需要。SDN作為近年來(lái)熱門的網(wǎng)絡(luò)技術(shù)，能夠解決傳統(tǒng)IP網(wǎng)絡(luò)配置復(fù)雜、可擴(kuò)展性差等問(wèn)題，目前已在眾多領(lǐng)域進(jìn)行了廣泛應(yīng)用。本文重點(diǎn)對(duì)航天測(cè)控網(wǎng)的特性需求進(jìn)行了分析，設(shè)計(jì)了接入網(wǎng)、數(shù)據(jù)中心網(wǎng)與廣域網(wǎng)SDN架構(gòu)，論述其應(yīng)用的可行性，可以為下一代航天測(cè)控網(wǎng)建設(shè)提供一定的參考。由于本文主要研究SDN架構(gòu)在航天測(cè)控網(wǎng)中應(yīng)用的可行性，重點(diǎn)突出了功能性的需求，下一步將研究具體路由算法、控制器集群等內(nèi)容，進(jìn)一步改進(jìn)和完善相關(guān)實(shí)驗(yàn)。