內(nèi)生安全SD-WAN網(wǎng)絡(luò)架構(gòu)與關(guān)鍵設(shè)備方案研究*

康 敏

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著云計(jì)算的快速發(fā)展和大規(guī)模部署，政府、企業(yè)大量的信息系統(tǒng)逐漸從傳統(tǒng)的集中式數(shù)據(jù)中心向云計(jì)算分布式數(shù)據(jù)中心架構(gòu)轉(zhuǎn)型。在這個(gè)發(fā)展過(guò)程中，用戶對(duì)信息系統(tǒng)和各類業(yè)務(wù)應(yīng)用的使用需求不變甚至更高，希望訪問(wèn)云應(yīng)用能像訪問(wèn)本地應(yīng)用一樣迅速、安全，但是云計(jì)算架構(gòu)下的網(wǎng)絡(luò)流量模型發(fā)生了根本改變，對(duì)廣域網(wǎng)的承載傳輸需求也發(fā)生了很大改變，主要體現(xiàn)在以下幾點(diǎn)[1]。

（1）本地應(yīng)用遷移到云端后，原來(lái)這些應(yīng)用在本地運(yùn)行，獨(dú)享局域網(wǎng)帶寬，現(xiàn)在變?yōu)樵贫诉\(yùn)行，共享廣域網(wǎng)帶寬，對(duì)廣域網(wǎng)的帶寬、承載能力、可擴(kuò)展性以及可靠性等都提出了更高的要求。

（2）各地的應(yīng)用都要通過(guò)廣域網(wǎng)和云端進(jìn)行通信，使得廣域網(wǎng)的業(yè)務(wù)種類變得多樣、流量變得復(fù)雜。為了保證應(yīng)用體驗(yàn)不受影響，需要面向不同用戶實(shí)現(xiàn)差異化和精細(xì)化調(diào)度，以保障各類用戶的服務(wù)質(zhì)量。

（3）云計(jì)算數(shù)據(jù)中心的規(guī)模部署，使得數(shù)據(jù)中心之間的互聯(lián)互通和數(shù)據(jù)同步越來(lái)越多，需要專門的數(shù)據(jù)中心互聯(lián)（Data Center Interconnect，DCI）網(wǎng)絡(luò)來(lái)承載和保障這些流量，同時(shí)要求DCI網(wǎng)絡(luò)具備實(shí)時(shí)感知、統(tǒng)一編排以及靈活調(diào)度等，以動(dòng)態(tài)適應(yīng)云計(jì)算應(yīng)用的能力。

傳統(tǒng)廣域網(wǎng)在建設(shè)時(shí)通常嚴(yán)格采用分層設(shè)計(jì)的思想和策略，基于各類通用路由器、交換機(jī)等設(shè)備構(gòu)建。為了實(shí)現(xiàn)多樣性業(yè)務(wù)、大容量業(yè)務(wù)承載傳輸以及全國(guó)甚至全球互聯(lián)等，使得系統(tǒng)十分復(fù)雜；為了保證網(wǎng)絡(luò)的安全性、獨(dú)占性等，使得系統(tǒng)比較封閉。網(wǎng)絡(luò)上承載的業(yè)務(wù)和網(wǎng)絡(luò)本身狀態(tài)之間沒(méi)有關(guān)聯(lián)。網(wǎng)絡(luò)和應(yīng)用相對(duì)分割，而業(yè)務(wù)和網(wǎng)絡(luò)之間的關(guān)聯(lián)一般靜態(tài)地通過(guò)維護(hù)保障人員人工配置。這種配置通常只能固定和事前設(shè)置，無(wú)法根據(jù)不同應(yīng)用業(yè)務(wù)需求進(jìn)行不同策略的調(diào)整和傳輸。因此，傳統(tǒng)廣域網(wǎng)難以適應(yīng)云計(jì)算廣泛應(yīng)用的需求，需要對(duì)廣域網(wǎng)進(jìn)行重構(gòu)和變革。為了統(tǒng)籌解決這些需求，開展內(nèi)生安全SD-WAN網(wǎng)絡(luò)架構(gòu)與關(guān)鍵設(shè)備方案研究。

1 內(nèi)生安全軟件定義廣域網(wǎng)的系統(tǒng)架構(gòu)

通過(guò)分析軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、內(nèi)生安全等技術(shù)，綜合各技術(shù)優(yōu)勢(shì)和特點(diǎn)，研究給出一種內(nèi)生安全軟件定義廣義網(wǎng)絡(luò)架構(gòu)。

1.1 相關(guān)技術(shù)介紹

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）技術(shù)是近年來(lái)新興的基于軟件的網(wǎng)絡(luò)架構(gòu)技術(shù)。它將網(wǎng)絡(luò)的控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面分離，采用集中式控制替代傳統(tǒng)網(wǎng)絡(luò)的分布式控制，并采用開放和可編程接口實(shí)現(xiàn)“軟件可定義”的網(wǎng)絡(luò)架構(gòu)。SDN是“軟件即服務(wù)”的趨勢(shì)從IT產(chǎn)業(yè)向網(wǎng)絡(luò)領(lǐng)域延伸的重要實(shí)踐，核心思想是通過(guò)“軟化”網(wǎng)絡(luò)設(shè)備的主要功能組件，實(shí)現(xiàn)網(wǎng)絡(luò)的敏捷、開放、智能和可重構(gòu)等新能力[2]。

網(wǎng)絡(luò)功能虛擬化（Network Function Virtual，NFV）是將虛擬化技術(shù)在通用IT設(shè)備上實(shí)現(xiàn)各種復(fù)雜的網(wǎng)絡(luò)通信設(shè)備功能，核心思想是網(wǎng)絡(luò)功能的虛擬化和軟件化。NFV的本質(zhì)是實(shí)現(xiàn)硬件資源與軟件功能的解耦，目標(biāo)是通過(guò)基于服務(wù)器來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)路由交換設(shè)備功能，從而取代傳統(tǒng)網(wǎng)絡(luò)中的私有專用網(wǎng)元，一方面可以顯著降低網(wǎng)絡(luò)建設(shè)成本，另一方面通過(guò)開放的應(yīng)用編程接口提升網(wǎng)絡(luò)的管理維護(hù)效率，增強(qiáng)網(wǎng)絡(luò)的靈活服務(wù)提供能力等。NFV將通用網(wǎng)絡(luò)設(shè)備的軟硬件結(jié)合模式轉(zhuǎn)變?yōu)槌橄蟮木W(wǎng)絡(luò)功能網(wǎng)元，并通過(guò)統(tǒng)一的上層資源調(diào)度與管理系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)功能的可重組、靈活配置等。通過(guò)采用NFV技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)膭?dòng)態(tài)切片、功能重組等能力，可以快速滿足未來(lái)不同業(yè)務(wù)線需求下的網(wǎng)絡(luò)靈活運(yùn)營(yíng)等新需要。

內(nèi)生安全技術(shù)近幾年已成為新型信息基礎(chǔ)設(shè)施安全防護(hù)理念的重要發(fā)展方向。傳統(tǒng)安全防護(hù)理論主要側(cè)重于在現(xiàn)有網(wǎng)絡(luò)中疊加認(rèn)證、傳輸加密、邊界防護(hù)、訪問(wèn)控制等安全手段來(lái)實(shí)現(xiàn)保護(hù)。但隨著包括云計(jì)算、5G、大數(shù)據(jù)、人工智能等新型信息基礎(chǔ)設(shè)施建設(shè)的快速發(fā)展，相關(guān)新技術(shù)如虛擬化技術(shù)、網(wǎng)絡(luò)切片技術(shù)、網(wǎng)絡(luò)能力開放、異構(gòu)網(wǎng)絡(luò)接入、邊緣計(jì)算新技術(shù)的引入給安全防護(hù)帶來(lái)了全新的挑戰(zhàn)，存在安全保障不足、網(wǎng)絡(luò)傳統(tǒng)安全邊界缺失等問(wèn)題。內(nèi)生安全技術(shù)重點(diǎn)對(duì)傳統(tǒng)設(shè)備結(jié)構(gòu)進(jìn)行調(diào)整，以重新建立安全防御邊界為基礎(chǔ)，將各類安全防護(hù)手段與通信網(wǎng)絡(luò)進(jìn)行一體化設(shè)計(jì)、內(nèi)生式實(shí)現(xiàn)，依靠系統(tǒng)自身體系架構(gòu)和工作機(jī)制實(shí)現(xiàn)新型的安全防護(hù)。內(nèi)生安全技術(shù)將新型信息基礎(chǔ)設(shè)施的安全要求和功能要求統(tǒng)一設(shè)計(jì)實(shí)現(xiàn)，重塑安全邊界，實(shí)現(xiàn)對(duì)各類已知或未知威脅的有效防御[3]。

1.2 一種內(nèi)生安全軟件定義廣義網(wǎng)絡(luò)架構(gòu)設(shè)想

提出的內(nèi)生安全軟件定義廣域網(wǎng)（Software-Defined Wide Area Network，SD-WAN）綜合應(yīng)用SDN、NFV和新型的內(nèi)生安全技術(shù)的核心思想和原理，將原用于數(shù)據(jù)中心網(wǎng)絡(luò)的SDN技術(shù)拓展至廣域網(wǎng)，在傳統(tǒng)廣域網(wǎng)上替換升級(jí)各類傳統(tǒng)接入路由器為SDN安全接入路由器和虛擬化安全路由器，引入WAN控制器、網(wǎng)絡(luò)編排等新功能實(shí)體，以更好地滿足各類新型云化業(yè)務(wù)對(duì)網(wǎng)絡(luò)傳輸?shù)男滦枨?。將原?lái)疊加于廣域網(wǎng)絡(luò)上的各類安全防護(hù)機(jī)制和手段，采用內(nèi)置于設(shè)備、虛擬化、軟件化、可動(dòng)態(tài)加載和配置等方式實(shí)現(xiàn)，增強(qiáng)系統(tǒng)的自身安全屬性和靈活部署性，提升安全防護(hù)效果。

方案利用SDN技術(shù)增強(qiáng)廣域網(wǎng)絡(luò)的集中控制能力，建立集中控制與管理平臺(tái)，通過(guò)控制器提供的南北向接口協(xié)議，把應(yīng)用業(yè)務(wù)同廣域網(wǎng)絡(luò)中的各類設(shè)備關(guān)聯(lián)起來(lái)。一方面，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)的主動(dòng)監(jiān)測(cè)、感知和調(diào)整等，以符合應(yīng)用業(yè)務(wù)的要求；另一方面，各種不同的應(yīng)用業(yè)務(wù)能夠更加簡(jiǎn)便、靈活地調(diào)用網(wǎng)絡(luò)服務(wù)，使廣域網(wǎng)絡(luò)能夠更好地為應(yīng)用提供服務(wù)，變得更加開放、可視、可調(diào)度以及便于運(yùn)維保障等，從而提升各類應(yīng)用業(yè)務(wù)的服務(wù)質(zhì)量保證和用戶應(yīng)用體驗(yàn)等[4]。內(nèi)生安全SD-WAN網(wǎng)絡(luò)架構(gòu)如圖1所示。

圖1 內(nèi)生安全軟件定義廣域網(wǎng)架構(gòu)圖

在該SD-WAN架構(gòu)中，WAN控制器直接賦予了整個(gè)網(wǎng)絡(luò)開放性和靈活度，是該架構(gòu)的核心。業(yè)界兩個(gè)主流的開源SDN控制器OpenDayLight（ODL）與開源網(wǎng)絡(luò)操作系統(tǒng)（Open Network Operating System，ONOS）基本上已成為行業(yè)標(biāo)準(zhǔn)。其中，ODL作為參與度最廣的、領(lǐng)先的開源控制器平臺(tái)，已經(jīng)在數(shù)據(jù)中心網(wǎng)絡(luò)廣泛應(yīng)用，現(xiàn)已逐步向廣域網(wǎng)領(lǐng)域延伸和普及[5]。該網(wǎng)絡(luò)架構(gòu)也將采用ODL控制器機(jī)制，并作為構(gòu)建開放SD-WAN的核心控制平臺(tái)，擴(kuò)展不同的業(yè)務(wù)應(yīng)用模型，以滿足不同用戶場(chǎng)景下的應(yīng)用需求。

在該架構(gòu)中，中心的WAN控制器通過(guò)北向API接口實(shí)現(xiàn)與管理編排及應(yīng)用系統(tǒng)的需求下發(fā)及狀態(tài)收集上報(bào)，通過(guò)南向協(xié)議接口實(shí)現(xiàn)與網(wǎng)絡(luò)設(shè)備的控制及交互，并形成應(yīng)用驅(qū)動(dòng)網(wǎng)絡(luò)重構(gòu)、網(wǎng)絡(luò)適用應(yīng)用需求與變化的閉環(huán)控制效果。其中，最關(guān)鍵的是控制器通過(guò)南向接口協(xié)議與網(wǎng)絡(luò)設(shè)備進(jìn)行交互，主要有信息采集和服務(wù)控制兩大功能。信息采集是指控制器要能夠?qū)崟r(shí)獲取網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)流量狀態(tài)、鏈路質(zhì)量以及擁塞情況等網(wǎng)絡(luò)信息，為網(wǎng)絡(luò)狀態(tài)呈現(xiàn)、網(wǎng)絡(luò)控制決策提供信息支撐。服務(wù)控制是指控制器利用收集到的各類網(wǎng)絡(luò)信息數(shù)據(jù)，基于策略或模型與應(yīng)用業(yè)務(wù)需求進(jìn)行匹配，生成對(duì)網(wǎng)絡(luò)服務(wù)提供的具體需求，并通過(guò)南向接口實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)行為的控制和調(diào)配等。

2 SD-WAN關(guān)鍵設(shè)備與技術(shù)方案

根據(jù)前述提出的內(nèi)生安全SD-WAN網(wǎng)絡(luò)架構(gòu)，下面研究提出其關(guān)鍵設(shè)備組成。

2.1 SD-WAN關(guān)鍵設(shè)備組成

隨著各類新型云化業(yè)務(wù)的快速發(fā)展，需要對(duì)網(wǎng)絡(luò)鏈路帶寬、網(wǎng)絡(luò)交換容量等不斷進(jìn)行擴(kuò)容、調(diào)整。另外，傳統(tǒng)的網(wǎng)絡(luò)流量工程應(yīng)用復(fù)雜，不便于動(dòng)態(tài)配置和調(diào)整，難以滿足多樣化的端到端的業(yè)務(wù)服務(wù)[6]。通過(guò)采用SD-WAN架構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)的集中控制、統(tǒng)一調(diào)度和業(yè)務(wù)的智能選路，通過(guò)提升邊緣路由設(shè)備的靈活控制，以滿足業(yè)務(wù)的按需擴(kuò)展、動(dòng)態(tài)編排等。

根據(jù)廣域網(wǎng)絡(luò)骨干和核心部分一般是基于傳統(tǒng)路由器為主的情況，為了在現(xiàn)有廣域網(wǎng)上快速和簡(jiǎn)便地構(gòu)建具備支持云化應(yīng)用的能力，提出一種較為精簡(jiǎn)的支持軟件定義、網(wǎng)絡(luò)云化的SD-WAN關(guān)鍵設(shè)備組成方案，分別為軟件定義安全接入路由器、虛擬化安全路由器、動(dòng)態(tài)編排與智能控制設(shè)備。

軟件定義安全接入路由器部署于用戶網(wǎng)絡(luò)邊界，可基于軟件定義的數(shù)據(jù)面轉(zhuǎn)發(fā)功能等，構(gòu)建適應(yīng)不同業(yè)務(wù)需求的隧道或傳輸切片。此外，基于虛擬化網(wǎng)絡(luò)功能（Virtualization Network Function，VNF）編排各類安全防護(hù)功能，包括虛擬防火墻、虛擬抗分布式拒絕服務(wù)攻擊、虛擬入侵檢測(cè)系統(tǒng)等，支持廣域承載網(wǎng)多種類型鏈路承載，以適應(yīng)現(xiàn)有傳統(tǒng)廣域網(wǎng)絡(luò)和全新SD-WAN網(wǎng)絡(luò)等融合應(yīng)用的組網(wǎng)需求?；谲浖x的數(shù)據(jù)面轉(zhuǎn)發(fā)功能包括IP、IP in IP、多協(xié)議標(biāo)簽交換（Multi-protocol Label Switching，MPLS）以及虛擬可擴(kuò)展局域網(wǎng)（Virtual extensible Local Area Network，VxLAN）等。

虛擬化安全路由器實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備云化和虛擬化?；贜FV技術(shù)，可以將其部署于各類通用高性能服務(wù)器、云計(jì)算環(huán)境，是面向云應(yīng)用的接入網(wǎng)關(guān)，其具備集成路由、交換、安全、虛擬專用網(wǎng)絡(luò)以及服務(wù)質(zhì)量等復(fù)雜功能，具有軟硬件解耦、業(yè)務(wù)易部署和智能運(yùn)維等特點(diǎn)，可以部署在入網(wǎng)點(diǎn)和云環(huán)境中。

動(dòng)態(tài)編排與智能控制設(shè)備主要應(yīng)用于廣域網(wǎng)系統(tǒng)控制、數(shù)據(jù)中心互聯(lián)DCI和云虛擬專用網(wǎng)絡(luò)（Cloud VPN）等場(chǎng)景，支持路徑集中計(jì)算、帶寬集中管理、業(yè)務(wù)動(dòng)態(tài)調(diào)度等能力，提供全網(wǎng)業(yè)務(wù)約束條件和拓?fù)滏溌穼傩孕畔⒌募泄芾?，支持收集物理拓?fù)湫畔⒑瓦壿嬐負(fù)湫畔?，并提供拓?fù)涞娜殖尸F(xiàn)，實(shí)現(xiàn)WAN領(lǐng)域的業(yè)務(wù)快速部署發(fā)放、域內(nèi)流量調(diào)優(yōu)等能力。

2.2 應(yīng)用場(chǎng)景

隨著各行業(yè)信息化進(jìn)程的快速發(fā)展，建設(shè)統(tǒng)一數(shù)據(jù)中心、數(shù)據(jù)上云等需求日益迫切。特別是政府、大型國(guó)內(nèi)或跨國(guó)企業(yè)需要提供分支與總部、分支與數(shù)據(jù)中心、分支與中心云、分支與分支之間的全場(chǎng)景按需互聯(lián)，需要解決通過(guò)廣域網(wǎng)的業(yè)務(wù)有QoS保證地互通，并能夠根據(jù)廣域網(wǎng)狀態(tài)變化，為各類應(yīng)用動(dòng)態(tài)地實(shí)現(xiàn)智能選路與智能加速、新型云化業(yè)務(wù)隨需獲取和智能運(yùn)維等功能，同時(shí)需要在總部和各分支之間建立業(yè)務(wù)的加密安全傳輸、子網(wǎng)的邊界安全防護(hù)、入侵檢測(cè)、抗DDoS（Distributed Denial of Service）攻擊等安全功能，傳統(tǒng)的安全防護(hù)是需要在網(wǎng)絡(luò)中部署上述獨(dú)立的安全設(shè)備。而采用該網(wǎng)絡(luò)架構(gòu)后，上述主要安全防護(hù)功能已經(jīng)由各通信設(shè)備自身一體化提供，從而有效地簡(jiǎn)化了云化網(wǎng)絡(luò)架構(gòu)中安全專用網(wǎng)絡(luò)的開通、建設(shè)及維護(hù)的成本和復(fù)雜度。

采用內(nèi)生安全的SD-WAN網(wǎng)絡(luò)構(gòu)建承載于傳統(tǒng)廣域網(wǎng)的云化安全網(wǎng)絡(luò)，可實(shí)現(xiàn)業(yè)務(wù)流集中控制、安全防護(hù)統(tǒng)一配置與調(diào)度，極大地提升傳統(tǒng)廣域網(wǎng)支持云化業(yè)務(wù)的業(yè)務(wù)體驗(yàn)和業(yè)務(wù)部署能力[7]。一種典型的應(yīng)用場(chǎng)景如圖2所示。

圖2 最簡(jiǎn)軟件定義廣域網(wǎng)絡(luò)設(shè)備應(yīng)用場(chǎng)景

2.3 SD-WAN關(guān)鍵設(shè)備技術(shù)方案

根據(jù)SD-WAN系統(tǒng)關(guān)鍵設(shè)備組成，下面研究提出設(shè)備的初步技術(shù)方案。

2.3.1 軟件定義安全接入路由器

軟件定義安全接入路由器能夠同時(shí)支持通用用戶接入站點(diǎn)設(shè)備（Customer Premise Equipment，CPE）和虛擬化網(wǎng)絡(luò)功能的uCPE設(shè)備應(yīng)用，并可根據(jù)實(shí)際應(yīng)用場(chǎng)景進(jìn)行靈活部署。它需要全面支持軟件定義網(wǎng)絡(luò)能力，如具備OpenFlow、網(wǎng)絡(luò)配置協(xié)議（Network Configuration Protocol，NetConf）、開放虛擬交換機(jī)數(shù)據(jù)庫(kù)（Open vSwich Database，OVSDB）、邊界網(wǎng)關(guān)協(xié)議—鏈路狀態(tài)（Border Gateway Protocol-Link State，BGP-LS）等南向配置及查詢接口協(xié)議。設(shè)備可配置為傳統(tǒng)分布式、純SDN、混合模式等多種運(yùn)行模式。它具備VNF虛擬網(wǎng)絡(luò)組件能力，可動(dòng)態(tài)加載虛擬防火墻、虛擬入侵檢測(cè)、虛擬化抗DDoS以及虛擬網(wǎng)絡(luò)保密等網(wǎng)絡(luò)安全功能。安全特性上還支持路由協(xié)議安全認(rèn)證、節(jié)點(diǎn)間的可信互聯(lián)功能、終端安全準(zhǔn)入以及控制平面安全防護(hù)等。

軟件定義安全接入路由器的初步原理框架如圖3所示。

圖3 軟件定義安全接入路由器原理框架

軟件定義安全接入路由器由接入單元、交換矩陣、集中式路由轉(zhuǎn)發(fā)和虛擬網(wǎng)絡(luò)功能等模塊組成。接入單元通過(guò)各類接口與承載網(wǎng)路由器互聯(lián)；交換矩陣完成用戶接口、廣域接口與處理器模塊互聯(lián)；路由轉(zhuǎn)發(fā)完成信令與路由協(xié)議處理、數(shù)據(jù)包集中式轉(zhuǎn)發(fā)、配置管理、網(wǎng)管代 理、BGP-LS、Netconfig、OpenFlow等 智 能控制協(xié)議處理。設(shè)備支持傳統(tǒng)路由轉(zhuǎn)發(fā)功能，支持基于IPv4、IPv6的單播、組播轉(zhuǎn)發(fā)，支持MPLS標(biāo)記轉(zhuǎn)發(fā)等。虛擬網(wǎng)絡(luò)功能支持VNF架構(gòu)，可采用高性能通用處理器實(shí)現(xiàn)，是整個(gè)設(shè)備的核心新功能與特色功能體現(xiàn)。在動(dòng)態(tài)編排與智能控制設(shè)備的統(tǒng)一控制和管理下，在軟件定義安全接入路由器中實(shí)現(xiàn)虛擬防火墻（Virtual Fire Wall，vFW）、虛擬入侵檢測(cè)（Virtual Intrusion Detection System，vIDS）、虛擬抗DDoS（Virtual Distributed Denial of Service Attack，vDDoS）、虛擬網(wǎng)絡(luò)保密（Virtual IP Security，vIPSec）等多種虛擬化網(wǎng)絡(luò)安全功能的實(shí)現(xiàn)和擴(kuò)展。與傳統(tǒng)的在網(wǎng)絡(luò)邊界疊加安全設(shè)備相比，新型的安全路由設(shè)備能夠在設(shè)備內(nèi)部提供上述各項(xiàng)安全功能，可根據(jù)應(yīng)用場(chǎng)景動(dòng)態(tài)編排，具有更好的性價(jià)比，并更好地提供動(dòng)態(tài)的安全防護(hù)能力。

2.3.2 虛擬化安全路由器

虛擬化安全路由器基于NFV技術(shù)軟件實(shí)現(xiàn)，可快速靈活地部署到云端PoP點(diǎn)、云端集線Hub點(diǎn)等云環(huán)境場(chǎng)景，實(shí)現(xiàn)SD-WAN中虛擬機(jī)（Virtual Machine，VM）模式下的CPE設(shè)備功能（Virtual CPE，vCPE），提供基于應(yīng)用的智能選路和加速的靈活云接入，支持自動(dòng)化編排，可快速建立安全可靠的網(wǎng)絡(luò)互聯(lián)。采用虛擬機(jī)資源承載具有路由、交換、安全以及QoS等功能的虛擬路由器VNF實(shí)例。虛擬化安全路由器的設(shè)備初步原理框架如圖4所示。

圖4 虛擬化安全路由器系統(tǒng)架構(gòu)

虛擬化安全路由器是采用虛擬機(jī)形式部署的CPE設(shè)備。系統(tǒng)架構(gòu)由以下幾個(gè)關(guān)鍵部分組成。

（1）物理硬件和操作系統(tǒng)。這是通用的高性能處理器硬件平臺(tái)，提供CPU、內(nèi)存、網(wǎng)卡以及存儲(chǔ)等硬件資源和基礎(chǔ)操作系統(tǒng)服務(wù)。

（2）Hypervisor。它支持KVM、VMware等主流的虛擬化平臺(tái)。作為中間軟件層，它可實(shí)現(xiàn)對(duì)虛擬機(jī)的管理，允許多個(gè)虛擬機(jī)實(shí)例共享硬件資源，同時(shí)在各個(gè)虛擬機(jī)之間要考慮實(shí)現(xiàn)隔離和防護(hù)功能。

（3）vSwitch/SR-IOV/PCI-passthrough。它可實(shí)現(xiàn)虛擬機(jī)實(shí)例之間和虛擬機(jī)實(shí)例與外部網(wǎng)絡(luò)之間的信息交換。

（4）虛擬機(jī)實(shí)例。分配獨(dú)立的虛擬處理器（Virtual Central Processing Unit，vCPU）、虛擬網(wǎng)絡(luò)接口卡（Virtual Network Interface Card，vNIC）等資源，承載具有路由、交換、安全、QoS以及VPN等功能的VNF實(shí)例。其中安全實(shí)例是實(shí)現(xiàn)設(shè)備內(nèi)生安全能力的主要組件，提供與軟件定義安全接入路由器中類似的安全功能，只是實(shí)現(xiàn)方式是在虛擬機(jī)上采用NFV技術(shù)實(shí)現(xiàn)，與傳統(tǒng)安全防護(hù)方式相比也有類似的優(yōu)勢(shì)和特點(diǎn)。

2.3.3 動(dòng)態(tài)編排與智能控制設(shè)備

動(dòng)態(tài)編排與智能控制設(shè)備主要基于高性能服務(wù)器、操作系統(tǒng)以及數(shù)據(jù)庫(kù)等平臺(tái)構(gòu)建，支持網(wǎng)絡(luò)設(shè)備的動(dòng)態(tài)發(fā)現(xiàn)、智能連接及安全控制通道維護(hù)，是SD-WAN網(wǎng)絡(luò)架構(gòu)中的核心設(shè)備，實(shí)現(xiàn)了SDN架構(gòu)中控制器的所有功能，并與管理系統(tǒng)、應(yīng)用業(yè)務(wù)等緊密結(jié)合。它提供智能化的網(wǎng)絡(luò)優(yōu)化功能，根據(jù)網(wǎng)絡(luò)資源和鏈路狀況重新配置路由；根據(jù)網(wǎng)絡(luò)故障和性能的分析，自動(dòng)給出網(wǎng)絡(luò)和設(shè)備資源的優(yōu)化調(diào)整建議；支持虛擬網(wǎng)絡(luò)切片劃分及功能編排，基于切片的網(wǎng)絡(luò)資源、安全資源調(diào)度部署；提供跨網(wǎng)系一體化協(xié)作能力，實(shí)現(xiàn)跨網(wǎng)系策略協(xié)作執(zhí)行功能，并可以根據(jù)網(wǎng)絡(luò)運(yùn)行情況，在多個(gè)網(wǎng)系間實(shí)現(xiàn)策略的跨網(wǎng)系一體化協(xié)作執(zhí)行；支持NetConf、OpenFlow、SNMP、BGP-LS等南向控制管理協(xié)議，支持Restful、WebService、AAA、RestConf等北向服務(wù)接口被應(yīng)用業(yè)務(wù)、網(wǎng)絡(luò)管理等系統(tǒng)調(diào)用。動(dòng)態(tài)編排與智能控制設(shè)備初步原理框架如圖5所示。

圖5 動(dòng)態(tài)編排與智能控制設(shè)備原理框架

動(dòng)態(tài)編排與智能控制設(shè)備在南向、北向開放各類標(biāo)準(zhǔn)接口。北向接口支持網(wǎng)絡(luò)應(yīng)用與管理平臺(tái)、業(yè)界通用的虛擬化云平臺(tái)等實(shí)現(xiàn)對(duì)接，接受應(yīng)用業(yè)務(wù)需求；南向接口支持與軟件定義安全接入路由器、虛擬化安全路由器等設(shè)備的對(duì)接，將北向的業(yè)務(wù)服務(wù)調(diào)用轉(zhuǎn)化為南向的網(wǎng)絡(luò)設(shè)備配置、控制和調(diào)度等。網(wǎng)絡(luò)基礎(chǔ)服務(wù)支撐中提供網(wǎng)絡(luò)拓?fù)?、轉(zhuǎn)發(fā)、安全防護(hù)、流量統(tǒng)計(jì)等編排服務(wù)，是實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)編排和調(diào)度功能的核心組件，通過(guò)內(nèi)置安全功能編排與管理模塊，系統(tǒng)中不再需要單獨(dú)的安全管理系統(tǒng)等設(shè)備。因?yàn)椴捎昧送ㄓ梅?wù)器架構(gòu)，所以該設(shè)備可以直接利用通用服務(wù)器體系成熟的熱備、集群、高可靠性等技術(shù)來(lái)進(jìn)一步保證系統(tǒng)的高可用性。

3 結(jié) 語(yǔ)

隨著云計(jì)算應(yīng)用業(yè)務(wù)的蓬勃發(fā)展，政府、大型企業(yè)對(duì)能夠提供全國(guó)或全球覆蓋能力的高安全、高QoS保證的廣域傳輸網(wǎng)絡(luò)專線業(yè)務(wù)需求增加。本文研究提出一種內(nèi)生安全功能的軟件定義廣域網(wǎng)絡(luò)架構(gòu)，可以基于當(dāng)前較為完備的有線、4G/5G、衛(wèi)星等網(wǎng)絡(luò)傳輸基礎(chǔ)，為企業(yè)提供混合組網(wǎng)、跨境組網(wǎng)和現(xiàn)網(wǎng)優(yōu)化功能，滿足企業(yè)快速、靈活的組網(wǎng)需求，快速構(gòu)建服務(wù)于云化應(yīng)用業(yè)務(wù)專用廣域網(wǎng)絡(luò)。同時(shí)，研究給出的關(guān)鍵設(shè)備初步原理框架較好地吸納了業(yè)界同類產(chǎn)品的特點(diǎn)和優(yōu)勢(shì)，按照提供內(nèi)生安全屬性的思路，實(shí)現(xiàn)業(yè)務(wù)傳輸QoS保證和安全防護(hù)能力的同步提供，具有較好的可實(shí)現(xiàn)性和特色優(yōu)勢(shì)。后續(xù)為加快具備內(nèi)生安全能力的SDWAN網(wǎng)絡(luò)的應(yīng)用和推廣，需要繼續(xù)在服務(wù)方案、能力標(biāo)準(zhǔn)化以及生態(tài)建設(shè)等方面不斷完善，以進(jìn)一步提升不同廠家產(chǎn)品和系統(tǒng)的兼容性、適配性等。