基于SDN網(wǎng)絡(luò)支撐架構(gòu)的研究

常春雷 馬軍 楊大偉 李凱

摘 要：作為全新的網(wǎng)絡(luò)架構(gòu)形式，SDN的應(yīng)用愈發(fā)廣泛。本文針對現(xiàn)實需求，對SDN網(wǎng)絡(luò)支撐架構(gòu)的建設(shè)和技術(shù)保障措施進(jìn)行了較為深入的研究，希望能夠起到拋磚引玉的作用。

關(guān)鍵詞：SDN;網(wǎng)絡(luò)支撐;架構(gòu);方案

中圖分類號：TN915.02 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2018）10-0043-01

按照國家電網(wǎng)的工作部署和要求，全面提升一體化平臺的網(wǎng)絡(luò)傳輸服務(wù)能力、基礎(chǔ)設(shè)施服務(wù)能力、數(shù)據(jù)資源服務(wù)能力、信息集成服務(wù)能力、應(yīng)用構(gòu)建服務(wù)能力和訪問渠道服務(wù)能力，實現(xiàn)“平臺即服務(wù)”（PaaS）的工作目標(biāo)。目前自主虛擬化資源此建設(shè)初具規(guī)模，但是傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，傳統(tǒng)網(wǎng)絡(luò)的部署，需要在網(wǎng)絡(luò)環(huán)境內(nèi)的每一臺設(shè)備上進(jìn)行配置，需要規(guī)劃整個網(wǎng)絡(luò)的拓?fù)?、端口的IP地址、路由協(xié)議等等，在網(wǎng)絡(luò)構(gòu)建和維護(hù)過程中都需要人工持續(xù)不斷的干預(yù)。如果要部署新業(yè)務(wù)（如VPN），則需要對整網(wǎng)配置進(jìn)行修改。因此需要針對自主虛擬化資源池開展SDN網(wǎng)絡(luò)技術(shù)的研究。

1 網(wǎng)絡(luò)現(xiàn)狀分析

（1）傳統(tǒng)網(wǎng)絡(luò)的擴(kuò)展性有待提升。資源池在傳統(tǒng)扁平網(wǎng)絡(luò)架構(gòu)中，如果應(yīng)用網(wǎng)上聯(lián)交換機(jī)的端口采用acceess模式，虛擬機(jī)的IP地址只屬于一個vlan，IP地址個數(shù);如果應(yīng)用網(wǎng)上聯(lián)交換機(jī)的端口采用trunk模式，虛擬機(jī)的IP地址受交換機(jī)端口允許通過的vlan個數(shù)限制。（2）傳統(tǒng)網(wǎng)絡(luò)的安全性有待提升。當(dāng)前資源池主要是將物理資源虛擬成多個虛擬資源提供給用戶使用，傳統(tǒng)網(wǎng)絡(luò)無法對虛擬資源進(jìn)行有效地網(wǎng)絡(luò)安全隔離及有效地訪問控制;導(dǎo)致用戶可以任意訪問資源池中的虛擬機(jī)，且虛擬機(jī)之間可以互相訪問通信，失去了網(wǎng)絡(luò)物理隔離的天然屏障，增加了虛擬機(jī)之間網(wǎng)絡(luò)的不穩(wěn)定性。（3）傳統(tǒng)網(wǎng)絡(luò)的可維護(hù)性有待提升。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)與手工維護(hù)方式，導(dǎo)致運(yùn)維人員需了解各廠商不同型號網(wǎng)絡(luò)設(shè)備的配置方式，對人員技能水平要求較高;同時手工配置工作量龐大，存在操作失誤的風(fēng)險;遇到問題難以快速準(zhǔn)確定位，嚴(yán)重依賴運(yùn)維人員經(jīng)驗。

2 網(wǎng)絡(luò)需求分析

基于自主資源池的新一代SDN網(wǎng)絡(luò)支撐架構(gòu)研究，實現(xiàn)自建私有虛擬網(wǎng)絡(luò)的功能。用戶可以根據(jù)自身需要，創(chuàng)建多個網(wǎng)絡(luò)，如直接與用戶數(shù)據(jù)中心物理網(wǎng)絡(luò)建立映射的提供承載功能的網(wǎng)絡(luò)，或基于隧道封裝技術(shù)（VXLAN）的跨二層網(wǎng)絡(luò)，實現(xiàn)用戶靈活組網(wǎng)，降低建設(shè)和運(yùn)維成本。具體新增需求如下：

（1）安全組服務(wù)。提供自主虛擬化軟件資源池的安全組服務(wù)，實現(xiàn)不同等保等級的業(yè)務(wù)系統(tǒng)在自主虛擬化池中不同私網(wǎng)段的統(tǒng)一管理以及不同安全組之間網(wǎng)絡(luò)安全訪問隔離，保護(hù)用戶服務(wù)不受外部非法訪問的攻擊，提高了自主虛擬化池整體的網(wǎng)絡(luò)安全和集中維護(hù)能力。（2）防火墻服務(wù)。提供自主虛擬化軟件資源池的防火墻服務(wù)，實現(xiàn)外部網(wǎng)絡(luò)合法合規(guī)訪問用戶服務(wù)，防火墻一般部署于虛擬路由器上，是物理網(wǎng)絡(luò)網(wǎng)關(guān)防火墻在用戶虛擬網(wǎng)絡(luò)中的映射。相較于安全組，防火墻即服務(wù)在網(wǎng)關(guān)層次上確保用戶服務(wù)的穩(wěn)健安全的運(yùn)行。（3）DHCP服務(wù)。提供自主虛擬化軟件資源池的DHCP服務(wù)，實現(xiàn)自主虛擬化軟件資源池動態(tài)IP地址分配，建立了業(yè)務(wù)應(yīng)用系統(tǒng)分配IP地址的快速精準(zhǔn)交付機(jī)制;降低IP地址分配管理的難度。（4）路由服務(wù)。提供自主虛擬化軟件資源池的路由服務(wù)，實現(xiàn)各個網(wǎng)絡(luò)之間互相訪問以及公共網(wǎng)絡(luò)和用戶私有網(wǎng)絡(luò)互相訪問的功能。

3 SDN網(wǎng)絡(luò)支撐架構(gòu)的建設(shè)

（1）虛擬網(wǎng)絡(luò)。實現(xiàn)用戶根據(jù)自身需求，合理規(guī)劃自建私有虛擬網(wǎng)絡(luò)的功能。用戶可以根據(jù)自身需要，創(chuàng)建多個網(wǎng)絡(luò)，如直接與用戶數(shù)據(jù)中心物理網(wǎng)絡(luò)建立映射的提供承載功能的網(wǎng)絡(luò)，或基于隧道封裝技術(shù)（VXLAN，GRE）的跨二層網(wǎng)絡(luò)，實現(xiàn)用戶靈活組網(wǎng)，降低建設(shè)和運(yùn)維成本。（2）虛擬子網(wǎng)。實現(xiàn)在用戶自建的網(wǎng)絡(luò)的基礎(chǔ)上，合理劃分網(wǎng)段，分配合法的私有地址。私有地址支持以下地址段：10.0.0.0/8-24;172.16.0.0/16-24;192.168.0.0/16-24。（3）虛擬路由。提供用戶自定義的各個網(wǎng)絡(luò)之間互相訪問的能力（東西方向）以及公共網(wǎng)絡(luò)和用戶私有網(wǎng)絡(luò)互相訪問的能力（南北方向）。（4）DHCP服務(wù)。提供自主虛擬化軟件資源池的DHCP服務(wù)，實現(xiàn)自主虛擬化軟件資源池動態(tài)IP地址分配，建立了業(yè)務(wù)應(yīng)用系統(tǒng)分配IP地址的快速精準(zhǔn)交付機(jī)制;降低IP地址分配管理的難度。（5）安全組。實現(xiàn)細(xì)粒度控制用戶服務(wù)的訪問控制功能。基于權(quán)限最小，白名單的基本原則，保護(hù)用戶服務(wù)不受外部非法訪問的攻擊，從而實現(xiàn)用戶服務(wù)的安全。（6）防火墻。在網(wǎng)絡(luò)及子網(wǎng)，路由，DHCP服務(wù)，浮動IP和安全組的基礎(chǔ)之上，提供高級的防火墻服務(wù)的功能。防火墻即服務(wù)一般部署于虛擬路由器上，是物理網(wǎng)絡(luò)網(wǎng)關(guān)防火墻在用戶虛擬網(wǎng)絡(luò)中的映射。相較于安全組，防火墻即服務(wù)在網(wǎng)關(guān)層次，實現(xiàn)外部網(wǎng)絡(luò)合法合規(guī)訪問用戶服務(wù)，確保用戶服務(wù)的穩(wěn)健安全的運(yùn)行。

4 SDN網(wǎng)絡(luò)支撐架構(gòu)的技術(shù)保障

4.1 網(wǎng)絡(luò)結(jié)構(gòu)

VLAN擴(kuò)展方案VXLAN采用MAC in UDP封裝方式，是一種網(wǎng)路虛擬化技術(shù)。針對大二層網(wǎng)絡(luò)，VXLAN解決了虛擬機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制;VXLAN引入VXLAN Network Identifier（VNI）網(wǎng)絡(luò)標(biāo)識，突破傳統(tǒng)VLAN網(wǎng)絡(luò)規(guī)模限制。VXLAN通過采用MAC in UDP封裝來延伸二層網(wǎng)絡(luò)，將以太網(wǎng)報文封裝在IP報文之上，通過路由在網(wǎng)絡(luò)中傳輸。虛擬機(jī)和特定的網(wǎng)絡(luò)虛擬化功能模塊（DHCP服務(wù)，虛擬路由服務(wù)）橋接在邏輯上跨主機(jī)的大二層集成Open vSwitch網(wǎng)橋br-int上，通過VXLAN VNI用戶標(biāo)識來隔離不同子網(wǎng)。以MAC in UDP方式封裝虛擬機(jī)的IP報文，然后通過Open vSwitch隧道網(wǎng)橋br-tun在大二層網(wǎng)絡(luò)中路由傳輸。虛擬網(wǎng)橋br-int，br-tun通過OpenFlow協(xié)議實現(xiàn)大二層網(wǎng)絡(luò)QoS。

主機(jī)節(jié)點(diǎn)分為控制節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)、計算節(jié)點(diǎn)以及存儲節(jié)點(diǎn)等。網(wǎng)絡(luò)節(jié)點(diǎn)主要運(yùn)行DHCP服務(wù)虛擬路由服務(wù)，虛擬機(jī)運(yùn)行于計算節(jié)點(diǎn)上。計算節(jié)點(diǎn)間的虛擬機(jī)之間通信和計算節(jié)點(diǎn)和網(wǎng)絡(luò)節(jié)點(diǎn)之間通信建立通過VXLAN隧道。

4.2 虛擬路由服務(wù)

針對同一租戶可能有多個子網(wǎng)的情形，子網(wǎng)間互通和子網(wǎng)和公網(wǎng)通訊需要虛擬路由服務(wù)支持。虛擬路由服務(wù)運(yùn)行在獨(dú)立的網(wǎng)絡(luò)空間中，對于每一個子網(wǎng)，都有一個對應(yīng)的OVS Port設(shè)備與之綁定。每一個OVS Port設(shè)備的IP 地址為該子網(wǎng)的默認(rèn)網(wǎng)關(guān)。

OVS Port設(shè)備taproute100屬于子網(wǎng)10.0.0.0/24，OVS Port設(shè)備taprouter200屬于子網(wǎng)10.0.1.0/24。設(shè)備taprouter100的IP地址為子網(wǎng)10.0.0.0/24的默認(rèn)網(wǎng)關(guān)10.0.0.1，設(shè)備tabrouter200的IP地址為子網(wǎng)10.0.1.0/24的默認(rèn)網(wǎng)關(guān)10.0.1.0。設(shè)備tabrouter100，taprouter200分別標(biāo)記上相應(yīng)VLAN ID。

5 結(jié)語

自主虛擬化軟件池傳統(tǒng)網(wǎng)絡(luò)架構(gòu)單一，隨著入池業(yè)務(wù)應(yīng)用系統(tǒng)的增加，IP地址的增多，對網(wǎng)絡(luò)運(yùn)維工作提出了更高的要求，SDN網(wǎng)絡(luò)技術(shù)通過網(wǎng)絡(luò)虛擬層針對不同的業(yè)務(wù)應(yīng)用系統(tǒng)建立不同的私網(wǎng)地址，并進(jìn)行嚴(yán)格的劃分，實現(xiàn)基于策略的網(wǎng)絡(luò)安全控制，為網(wǎng)絡(luò)故障的快速定位提供參考，降低了運(yùn)維工作量，提高了虛擬機(jī)網(wǎng)絡(luò)之間的安全隔離;為自主虛擬化池提供更加專業(yè)、安全、快速的全方位保障。

參考文獻(xiàn)

[1]王淑玲，李濟(jì)漢，張云勇，房秉毅.SDN架構(gòu)及安全性研究[J].電信科學(xué)，2013，29（3）：117-122.

[2]趙聯(lián)祥.SDN架構(gòu)下的OpenFlow原理探討[J].電信技術(shù)，2013，1（2）：69-72.

[3]王文東，胡延楠.軟件定義網(wǎng)絡(luò)：正在進(jìn)行的網(wǎng)絡(luò)變革[J].中興通訊技術(shù)，2013，19（1）：39-43.

[4]趙慧玲，馮明，史凡.SDN——未來網(wǎng)絡(luò)演進(jìn)的重要趨勢[J].電信科學(xué)，2012 ，28（11）：1-5.