SDN在基层央行网络架构中的应用探索

2019-09-13唐诠杰

网络安全技术与应用 2019年9期

◆唐诠杰

SDN在基层央行网络架构中的应用探索

◆唐诠杰

（中国人民银行常德市中心支行湖南 415000）

基层央行网络基于传统网络架构部署，存在网络部署和运维效率低、网络风险防控能力不足、大数据和云计算等新兴技术支持能力有限等问题。为缓解上述问题，常德市中心支行探索了软件定义网络（Software-Defined Networking，以下简称SDN）在基层行网络架构中的应用，运用网络虚拟化技术和设备将现有网络分离出数据层和控制层，通过控制层对数据层进行智能管理，取得了较好效果。本文阐述了SDN体系结构及主要技术，随后介绍了基层央行应用SDN的探索，总结了具体实现方案。该方案具有自动部署网络，高效网络运维和支持云计算等优势，具备一定的可复制性和推广价值。

SDN；软件定义网络；网络架构；网络运维；网络安全

人民银行总行副行长在人民银行科技工作会议指出：各分支行要大力推进架构转型，积极研究和探索面向服务的云计算平台。为贯彻落实总行会议精神，人民银行长沙中心支行发布了《湖南省人民银行信息化“十三五”发展规划》，决定在湖南省人行系统开展“网络扁平化”、“服务器虚拟化”、“桌面云化”（以下简称“三化”）工程建设。省内各人民银行分支机构的IT基础设施逐步从面向实体设备的基础资源整合向面向资源的虚拟化平台建设过渡。然而，人民银行市州以下基层行一直沿用传统网络架构，网络运维和部署效率不高，网络风险防控能力欠缺。接入层、汇聚层和核心层三层结构难以适应架构转型的发展要求，制约了人民银行信息化的快速发展。为此，人民银行常德市中心支行探索了软件定义网络（Software-Defined Networking，以下简称SDN）在基层行网络架构中的应用，运用网络虚拟化技术和设备将现有网络分离出数据层和控制层，通过控制层对数据层进行智能管理，取得了较好效果。

1 基层央行现有网络架构瓶颈分析

（1）缺乏云计算的支持能力

当前，云计算技术快速发展，网络资源高效分发、虚拟机大范围迁移、应用多级部署已成为网络应用趋势。然而，传统网络架构因其对硬件的过分依赖，对网络层次严格区分，暂时难以实现以上的需求，显得捉襟见肘。例如：在传统的局域网新增了一台虚拟机。首先，创建虚拟机后，必须对网络设备手工配置IP地址，分配VLAN，设置ACL和QOS，配置时间长、易出错。其次，对于二层局域网还应配置VTP（虚网传输）和STP（生成树）以免出现网络环路。上述的协议和配置大多缺乏通用性，从而限制了网络规模进一步扩展，可能会引起两个方面的问题，一方面网络运维效率低、故障率高；另一方面限制了服务器集群或虚拟机的迁移和扩展，无法实现云计算对大规模设备快速部署和迁移。

（2）缺乏大数据业务的保障能力

目前，央行金融业务蓬勃发展，尤其是支付、征信、统计和信贷部门对数据存储和处理的需求呈爆发式增长。通信数据传输逐步以通信数据中心为核心转为以虚拟化计算集群为中心。由此可见，现有基层央行的三层网络架构无法实现虚拟化集群的接入需求，只能运用分布式网络架构。例如：在传统三层网络架构中，不同子网的设备进行点对点通信时，其数据包流向总是从接入到汇聚到核心，再从核心到汇聚到接入层，到达目的地。所有跨网段数据包都必然通过核心层，从而形成了较大的数据流量。一旦传输量过大时，就会出现瓶颈。不仅大量的带宽被消耗，还会造成难以估计的延时，形成拥塞甚至会出现掉包和阻断等网络故障。

（3）缺乏对网络风险防控的能力

当前，基层央行网络主要的网络风险防控的方式主要有：网络协议、访问控制、服务质量、流量、边界等方面。上述防控方式总是需要硬件设备的支持，至少依赖于以下几种安全设备：防火墙、入侵检测、漏洞扫描、负载均衡和动态口令认证等设备或装置。将如此多的安全设备和系统进行有机整合，确保物理、逻辑保持一致，共同发挥效能，确实困难。即使将它们整合运用，增强了一定的安全性的同时也可能会带来安全隐患。由于存在较多安全节点，需要更多的人为配置和操作，操作风险和配置错误随时都可能出现在任一设备中，从而导致网络和业务发生故障的可能性、不确定性和不可控性大大增加。

2 SDN结构与技术简介

2.1 SDN的定义

SDN可从狭义和广义两个方面来定义。广义的定义阐释了SDN具有动态、弹性管理的特点，是一种更高带宽的动态的网络架构。狭义的定义阐释了SDN通过逻辑集中控制器对网络进行动态管理。该网络包含数据层和控制层，两者之间主要采用OpenFlow南向接口进行通信。两种定义都体现了数据层和控制层相分离的特点，通过控制器的软件编程接口进行网络的精准控制。总之，北向接口、南向接口、网络应用、数据平面和集中控制器组成了SDN的网络架构，如图1所示。

图1 SDN基本结构示意图

2.2 SDN的主要特点

一是实现了网络的开放性和可编程性。面向用户设置了一套通用API接口，通过对SDN控制器进行软件编程，实现网络的自动化管理。

二是实现了网络逻辑层面的集中控制。SDN控制器收集和管理所有网络状态信息，实现了网络的分布式集中管理。

三是实现了网络数据和控制层面的分离。数据控制分离和独立是区别与传统网络的最大特点，也是网络可编程的基础。

综上所述，以上三个特点具有密不可分的逻辑关系。网络的开放性和可编程性是SDN的核心，网络集中控制器是开放性和可编程性的基础，控制平面和数据平面分离则是前提。

2.3 SDN的主要协议

SDN主要采用南向协议通过控制器对数据面进行编程。它也是SDN最核心的接口标准之一。目前，国内较流行的SDN南向协议为OpenFlow南向协议标准，简要介绍如下。

（1）基本原理

一方面控制器生成、维护和下发流表，另一方面由网络设备自行维护自身流表，主要体现了数据包两种不同的转发方式。数据包从交换机端口进入后，若自身匹配成功，则按匹配项转发数据包，若匹配失败，则将数据包上报给控制器。控制器根据下发流表项告知交换机如何处理这个数据包。

（2）基本架构

早期版本定义了OpenFlow交换机的流表和安全通道。其中，流表负责匹配和处理数据包，而安全通道负责建立与控制器通信的安全连接。最新版本定义了度量表和组表，度量表对用户流量进行了限速和计量，而组表极大降低了流表的复杂度。

2.4 SDN的集中控制器

集中控制器是软件定义网络最关键、必要的组件和“神经中枢”。近年来，SDN迅猛发展，全球的学校、企业和组织都研发了各具特色的集中控制器。例如用于工程领域的OpenDaylight和ONOS，又例如在科研运用较多的POX/NOX，RYU和Floodlight。我国的华为、H3C等通信设备制造商也研制出了各自的控制器。下面以H3C的虚拟化控制器（VCF）为例，对控制器的架构进行简要介绍。

如图2所示，从上至下分为五层，第一层为北向接口层，主要负责对外提供可编程接口，第二层为内置应用层，包含了各种网络和服务的应用，第三层为基础网络层，内置了各类不同的网络管理模块。第四层为抽象逻辑层，实现了不同厂商、不同设备的屏蔽功能。最下面是南向接口层，涵盖了BGP、NETCONFIG、OpenFlow等通信接口协议，通过协议管理设备（虚拟设备或实体设备）各种节点。整个网络的运行效能直接由集中控制器所决定。应从网络虚拟化的可支持、可扩展和安全性等方面去选择特定协议的控制器。

图2 SDN虚拟控制器逻辑结构

3 基层央行应用SDN的具体实践

通过以上的分析，我们知道SDN具有不同技术流派的组网结构，如ONF、Overlay等。根据基层央行现有网络环境，建议选择混合Overlay方案较为适合。SDN Overlay基本结构如图3所示。

图3 SDN Overlay基本结构

（1）组网分析

基层人行业务网采用了传统的接入、汇聚、核心的分层组网技术，划分了很多的网络边界和区域，部署了各种不同品牌网络设备如H3C、华为、思科等，运行了STP、VTP、HSRP、VRRP、OSPF、BGP等各种不同网络协议，各类设备、协议混合共存。网络管理方式属于自上而下分级管理。基层人行严禁随意改变组网方式。因此，兼容已有网络结构，采用嵌入式的组网方案成为合理的选择。

混合Overlay恰好是符合这一需求的完美选项。因为它是一种在实体的网络架构上叠加虚拟化的技术，本质是封装报文的隧道技术。主要框架是保留现有网络结构，实现虚拟化在网络上的承载，同时与其他网络业务相互独立，创建的多个虚拟网络和物理网络混合运行在Overlay中。虚拟设备和物理设备都可以作为Overlay边界。它的组网方式灵活，可接入各种不同的路由器、交换机、服务器以及各种虚拟化设备。如图4所示。

（2）技术实现

以人民银行常德市中心支行为例，按上述混合Overlay方案组建一套网络实验室，将其接入核心路由器（核心层），实现了SDN与当前网络的无缝对接。主要运用H3C Overlay技术实现。如图3所示，配置了2台虚拟交换机H3C 1020v、1台虚拟防火墙H3C VFW作为服务器和终端的接入，部署了2台H3C S5800-HI作为楼层接入交换机，采用了2台运用了H3C IRF2技术组网的H3C S10500X作为核心交换机，接入已有两台互为热备的核心路由器H3C MSR5600。配备了H3C VCF控制器（OpenFlow控制器）对各网络节点进行管理和控制。此方案通过控制器实现网络实验室的逻辑编程和智能化管理。如图5所示。

图4 混合Overlay网络架构

图5 常德市中支SDN Overlay组网拓扑图

（3）应用效果

一是提升网络安全性。如图5所示，SDN支持虚拟化的安全设备，如虚拟防火墙等，增加了更为丰富的网络安全关卡。病毒一旦爆发，直接在控制器上对所有下发数据流封堵病毒端口或将数据流引入虚拟安全设备过滤。无论对用户、对业务，还是对物理设备而言，都将毫无影响，一切在后台完成，无须断网和停掉业务。

二是增强了云计算能力。通过组建可扩展的虚拟局域网，构建介于二层到三层的网络结构，支持虚拟机从二层向三层迁移，对于4K Vlan以上的高速虚拟化网络，实现大数据和云计算的支持。

三是实现了网络运维智能化。如图5所示，通过软件实现了网络拓扑自动配置生成，网络设备自动部署完成，无须任何手工配置，加电后向控制器请求下载对应配置。网络管理由人为操作向智能控制的转变。SDN随时向用户配备一个贴合需求的虚拟网络，实现三层网络路由可达。集中控制器统一对所有网络资源进行管理，监控网内虚拟和物理的设备、线路等网络资源状态信息，按需对网络进行负载平衡和路径优化。通过体验较好的GUI界面，供用户展示和操作，促使网络运维和部署速率显著提升。