◆李 猛

(中国人民银行扬州市中心支行 江苏 225009)

软件定义网络在人民银行的研究与应用

◆李 猛

(中国人民银行扬州市中心支行 江苏 225009)

近年来，人民银行IT基础设施已基本完成从面向设施的基础设施资源整合到面向资源的虚拟化平台建设过渡，开始向面向服务的云计算平台展开了研究和探索。但是，目前的传统网络架构部署和运维效率低、网络风险防控能力弱等缺点不断显现，特别是针对大数据、云服务等新技术的要求，传统的三层网络架构已经不能满足新技术新业务的需求。而软件定义网络即SDN（Software-Defined Networking），作为一种新的网络体系结构，能够精准地实现控制层对数据流的控制，具有一定的应用前景。

IT基础设施；虚拟化平台；云计算平台；SDN

1 当前网络架构的现状分析

1.1 软硬件结构繁杂，网络运维管理效率偏低

在传统的网络架构中，网络与业务是分离的，新的业务部署时，网管员可能需要同时配置多个网络设备。这些设备包括路由器、交换机、防火墙等，它们是由网络设备硬件、操作系统和网络应用三部分紧耦合在一起构成的封闭系统，只为用户预留了简单的命令行接口、图形界面等。这种手工配置的效率低下，无法实现网络对业务快速变化的响应，严重影响业务的部署进度。目前，在人民银行的业务网中，网络厂家杂、设备类型多、设备数量多、操作命令不一致，导致这些设备的运维和管理难度大、成本高、效率低。

1.2 网络层级复杂，网络风险防控能力有限

传统网络架构主要从网络结构、边界、协议、流量、QOS（服务质量）等方面做好风险防控，要构建相对安全的网络系统至少还要包括以下安全设备：防火墙、入侵检测和入侵防御系统、负载均衡、漏洞扫描、动态口令认证系统等。如此众多系统和措施在带来一定安全性的同时也带来安全隐患，系统漏洞可能存在任何一处。要保持这些设备物理和逻辑上的一致性也异常困难，任何配置上的错误，都可能导致网络和业务的中断，人为操作风险也是网络中第一大风险点。

1.3 网络能力落后，对新技术支持能力不足

随着业务发展，数据主要通信方式逐步从南北方向（进出数据中心的通信）向东西方向（如计算集群或虚拟化计算）方向发展，云计算、大数据、移动互联等技术发展，流量不断翻番，使得底层网络的体积膨胀、压力增大、需要收敛的时间变长，传统的网络架构已经无法支持新技术的应用。

2 软件定义网络（SDN）的应用架构

2.1 SDN总体架构。

狭义的SDN定义是“SDN是一种逻辑集中控制的新网络架构，关键属性包括：数据平面和控制平面；控制平面和数据平面之间有统一的开放接口OpenFlow。”，特指基于OpenFlow南向接口的网络。广义的SDN定义是：“SDN是一种支持动态、弹性管理的新型网络系统结构，是实现高带宽、动态网络的理想架构”，则是指具备SDN理念的所有网络。这两种定义都强调了SDN拥有数据平面和控制平面解耦分离的特点，也都强调通过软件编程对网络进行控制的能力。所以SDN体系主要包括SDN网络应用、北向接口、SDN控制器、南向接口和SDN数据平面，从传统网络架构到SDN体系架构的演进关系如图1所示。

2.2 SDN的关键技术优势

SDN支持控制平面与转发平面的分离，使得对网络设备的集中控制成为可能。以OpenFlow为代表的南向接口的提出使得底层的转发设备可以被统一控制和管理，而其具体的物理实现将被透明化，从而实现设备的虚拟化。多种多样的开放接口，将推动网络能力被便捷地调用，支持网络业务的创新。

图1 传统网络架构向SDN架构演进示意图

（1）控制平面和数据平面的分离

控制平面和数据平面的分离是 SDN架构区别于传统网络架构的重要标志，两者解耦分离、不再相互依赖，只需遵循统一的开放接口，是网络获得更多可编程能力的架构基础。

（2）逻辑上的集中控制

对分布式网络状态的集中统一管理，SDN控制器会担负收集和管理所有网络状态信息的重任。逻辑集中控制为软件编程定义网络功能提供了架构基础，也为网络自动化管理提供了可能。

（3）网络开放可编程

通过开放的南向和北向接口，能够实现应用和网络的无缝集成，使得应用能告知网络如何运行才能更好地满足应用的需求，比如业务的带宽、时延需求，计费对路由的影响等。另外，支持用户基于开放接口自行开发网络业务并调用资源，加快新业务的上线周期。

（4）网络虚拟化：通过南向接口的统一和开放，屏蔽了底层物理转发设备的差异，实现了底层网络对上层应用的透明化。逻辑网络和物理网络分离后，逻辑网络可以根据业务需要进行配置、迁移，不再受具体设备物理位置的限制。同时，逻辑网络还支持多租户共享，支持租户网络的定制需求。

3 SDN在人民银行应用的效用评估

SDN目前存在不同技术背景和流派，包括彻底革新的ONF、基于现网演进的IETF、架空物理网络的Overlay和网络功能虚拟化的NFV。根据人民银行网络物理和虚拟并存的环境，选择混合Overlay方案是最适合的。Overlay是一种物理网络架构上叠加的虚拟化技术（如图 2所示），大体框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其它网络业务分离。

在混合Overlay中，物理设备和虚拟设备都可以作为Overlay边缘设备，灵活组网，可以接入多种形态服务器，可以发挥硬件网关的高性能和虚拟化网关的业务灵活性。根据人民银行网络和业务现状，以某中心支行为例，通过H3C Overlay技术实现SDN组网（如图3）。

图2 Overlay网络概念图

图3 通过H3C Overlay技术实现SDN组网

在此方案中，复杂的网关功能由现有的2台互为热备的H3C MSR5600路由器完成，核心交换机为2台使用IRF 2技术组网H3C S10504，楼层和机房接入交换机使用H3C S5500-HI，最后由 H3C VCF控制器实现对内部节点的管理和控制。该方案建成后，相对于原有网络，具有以下优点：

（1）网络部署自动化。网络设备的配置依据网络拓扑自动完成，网络设备支持零配置开局，加电后自动向控制器请求所需配置。实现网络从“人工静态网管配置”向“实时动态智能控制”的演进，自动网内路由可达，提供一个路由可达的三层网络，提供一个面向应用按需分配的虚拟网络，提高业务开通速度。

（2）网络运维管理更简单高效。控制器可以进行网络资源统一管理，支持物理、虚拟网络资源的拓扑信息收集、状态信息收集，实时进行路径计算和优化策略，通过自动化手机的网络数据能共提供网络健壮性的实时视图，提供可视化的管理和操作。

（3）对云计算支持能力强。可以使用 VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网）构建大二层网络，支持虚拟机的跨三层迁移，提升虚拟机规模，支持构建突破 VLAN 4K限制的虚拟网络。

（4）功能丰富的安全应用。基于SDN的网络能够以多种方式提升安全性，包括支持创建虚拟化的安全设备（vFW等）。例如WannaCry病毒爆发后，安全应用可以通过控制下发流表的方式，封闭所有445端口或者引导流量到清洗中心进行过滤，不需要紧急断网和停止业务。