從傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸淺析SD-Access技術(shù)

摘要：該文從傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸出發(fā)，解析了SD-Access技術(shù)的架構(gòu)，從控制層面、數(shù)據(jù)層面、南北向接口三個方面闡述了SD-Access技術(shù)中如何打破傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸以及帶來了優(yōu)勢。

關(guān)鍵詞：SD-Access技術(shù);身份服務(wù)引擎;LISP協(xié)議;VXLAN封裝

中圖分類號：TN929.52 文獻標(biāo)識碼：A

文章編號：1009-3044（2020）08-0021-02

1 背景

SD-Access，Software Design Access，即軟件定義接人，是全數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA）的重要組成部分。它是將服務(wù)器資源和園區(qū)網(wǎng)結(jié)構(gòu)（Campus Fabric）兩者相結(jié)合。通過網(wǎng)絡(luò)基礎(chǔ)架構(gòu)來完成大規(guī)模交換機自動化組網(wǎng)，從而達到網(wǎng)絡(luò)安全控制管理的目標(biāo)。

SD-Access技術(shù)，由軟件來定義接入組件的各項屬性，例如：接人可行性、接入能力、網(wǎng)關(guān)、IP屬性、安全策略等。接入組件是有線設(shè)備（交換機、路由器）、無線設(shè)備（無線接入點、無線控制器）等。SD-Access技術(shù)的引入，是傳統(tǒng)網(wǎng)絡(luò)模式的一場革命，將會在很大程度上提升運維效率、網(wǎng)絡(luò)安全性和用戶體驗。

2 傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸

2.1 傳統(tǒng)網(wǎng)絡(luò)異構(gòu)程度嚴(yán)重，運維管理日益復(fù)雜

傳統(tǒng)網(wǎng)絡(luò)模式，運維人員重點關(guān)注并解決的技術(shù)是路由、生成樹、VLAN、訪問控制列表等。傳統(tǒng)的園區(qū)網(wǎng)通常是由多個品牌網(wǎng)絡(luò)設(shè)備混搭出的多端口網(wǎng)絡(luò)，異構(gòu)程度嚴(yán)重。隨著網(wǎng)絡(luò)中各類設(shè)備數(shù)量的增加，設(shè)備中路由條目、訪問控制列表條目、生成樹成量級增加，加劇了網(wǎng)絡(luò)運維管理的難度。

2.2 傳統(tǒng)網(wǎng)絡(luò)模式不能適應(yīng)云計算網(wǎng)絡(luò)的策略需求

伴隨園區(qū)網(wǎng)用戶數(shù)量的不斷增加，網(wǎng)絡(luò)分段給運維工作提出新的挑戰(zhàn)。各類用戶受身份認(rèn)證、VLAN、IP、ACL等因素的影響，無法實現(xiàn)有線無線一體化體驗，無法根據(jù)業(yè)務(wù)需要實現(xiàn)用戶分組。同時，設(shè)備和用戶數(shù)量的增加，各類策略數(shù)量日益累加，且因設(shè)備用戶的不同策略有差異，無法實現(xiàn)統(tǒng)一配置。

未來的網(wǎng)絡(luò)，需要與靈活分布的云計算網(wǎng)絡(luò)對接，適應(yīng)用戶多樣化的應(yīng)用策略需求，突出策略實施的一致性，呈現(xiàn)給用戶的將不再是傳統(tǒng)的多端口網(wǎng)絡(luò)，而是一個現(xiàn)代化的智能網(wǎng)絡(luò)。

3 SD-Access技術(shù)的架構(gòu)

SD-Access架構(gòu)主要由SD-Access Fabric、DNA Center、ISE組成。

3.1 SD-Access Fabric

設(shè)備所在的區(qū)域稱為SD-Access Fabric。設(shè)備包括Border、Edge、Control-Plane。Edge用來進行有線設(shè)備和無線設(shè)備的接入，底層Underlay是傳統(tǒng)的復(fù)雜的物理網(wǎng)絡(luò)?；赨nderlay的IP可達構(gòu)造出的大網(wǎng)絡(luò)稱為Overlay，Overlay通過Border與Un-derlay對接，Border和Edge構(gòu)成Overlay的邊界。

Overlay是邏輯層面的網(wǎng)絡(luò)，是虛擬存在的天然可通信的環(huán)境，自成拓?fù)洌瑹o論設(shè)備以何種方式接入，都可以在拓?fù)淅锔渌煌?jié)點的設(shè)備進行通信。

3.2 DNA Center

DNA Center負(fù)責(zé)統(tǒng)一指揮網(wǎng)絡(luò)設(shè)備管理層面的操作，完成管理、配置、策略下發(fā)等任務(wù)，DNA Center有四個功能，分別是設(shè)計、策略、調(diào)配、保障[1]。

3.3 ISE

ISE全稱Identity Services Engine，即身份服務(wù)引擎。各種用戶、終端通過交換機、無線AP或者VPN等邊界設(shè)備實現(xiàn)網(wǎng)絡(luò)接入，由ISE實現(xiàn)身份認(rèn)證。

ISE的三大功能分別是：發(fā)現(xiàn)，可以確認(rèn)用戶的身份以及用戶使用的終端類型和應(yīng)用;安全，和DNA Center聯(lián)動，幫助SNA接入的安全管理;分享，實現(xiàn)與API之間的聯(lián)動從而擴大操作范圍。

DNA Center和ISE兩者之間有專用通道，通過建立加密隧道實現(xiàn)。

4 SD-Access打破傳統(tǒng)網(wǎng)絡(luò)模式瓶頸的技術(shù)體現(xiàn)

4.1控制平面基于LISP協(xié)議節(jié)省大量路由條目的開銷

傳統(tǒng)網(wǎng)絡(luò)路由協(xié)議造成本地存放大量路由條目，CPU占用率高，對設(shè)備性能要求非常高。SD-Access將控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離開，由Control-Plane來控制路由，Control-Plane通過運行主機跟蹤數(shù)據(jù)庫來映射位置信息，基于LISP協(xié)議實現(xiàn)。LISP協(xié)議，是網(wǎng)絡(luò)映射一封裝協(xié)議，即通過學(xué)習(xí)、計算終端標(biāo)識（End-point Identifier，EID）和路由標(biāo)識（Routing LOCators，RLOC）表示終端身份信息和位置信息[2]。終端的映射信息使用映射系統(tǒng)（mapping system）管理，掌握匹配關(guān)系，從而通知數(shù)據(jù)包封裝的目的地，精準(zhǔn)到next-hop。LISP數(shù)據(jù)庫查詢方式，小型表項僅占用設(shè)備少量的CPU資源。在SD-Access架構(gòu)中，Edge設(shè)備是人口，Border設(shè)備是出口，Border設(shè)備指導(dǎo)用戶能去往的應(yīng)用路徑，比如訪問互聯(lián)網(wǎng)、訪問服務(wù)器集群等。

4.2 數(shù)據(jù)平面基于VXLAN實現(xiàn)漫游及一致性網(wǎng)絡(luò)體驗

傳統(tǒng)網(wǎng)絡(luò)的初衷是不支撐漫游的，漫游功能的實現(xiàn)必須要識別出用戶身份，由主機MAC和主機IP來體現(xiàn)。同時，傳統(tǒng)網(wǎng)絡(luò)的用戶受IP地址或VLAN成員關(guān)系限制，很難實現(xiàn)用戶或設(shè)備分組。SD-Access則不依賴物理拓?fù)?，能夠?qū)崿F(xiàn)策略的移動性。作為接入設(shè)備的有線交換機和無線接人點的流量數(shù)據(jù)都使用VXLAN進行封裝。在SD-Access架構(gòu)中，Edge設(shè)備負(fù)責(zé)數(shù)據(jù)的封裝與解封裝。因此，可以為處于園區(qū)網(wǎng)任意物理位置的用戶提供一致的網(wǎng)絡(luò)體驗。

4.3 南、北向接口的引入方便運維和應(yīng)用

南向接口用來控制接入設(shè)備，可以下發(fā)設(shè)備配置以及組網(wǎng)意圖。傳統(tǒng)網(wǎng)絡(luò)的配置操作是針對單一設(shè)備的行為。SD-Ac-cess實現(xiàn)網(wǎng)絡(luò)虛擬化，不再逐臺設(shè)備依次進行配置，管理人員可以從物理層的基本配置中抽離出來，站在更高層次去實現(xiàn)基于意圖的網(wǎng)絡(luò)。

北向接口用來實現(xiàn)網(wǎng)絡(luò)可編程，網(wǎng)絡(luò)可編程的目的是實現(xiàn)網(wǎng)絡(luò)管理者的意圖，比如，安全策略、無線信號使能等，通過程序與物理設(shè)備實現(xiàn)互動。

5 結(jié)束語

SD-Access技術(shù)較傳統(tǒng)網(wǎng)絡(luò)模式，具有一定的技術(shù)前瞻性、先進性，可有效解決傳統(tǒng)網(wǎng)絡(luò)模式應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)格局面臨的瓶頸，但在園區(qū)網(wǎng)全面部署SD-Access資金投入大，技術(shù)要求復(fù)雜，需投人大量時間、更換大量在用設(shè)備、提升人員技術(shù)水平。因此，SD-Access技術(shù)在園區(qū)網(wǎng)的全面實踐，將是一個逐步推進、最終取代傳統(tǒng)網(wǎng)絡(luò)模式的過程。

參考文獻：

[1] Cisco公司.思科創(chuàng)新園區(qū)網(wǎng)架構(gòu)-DAN 2.0-交流[EB/OL]. https：//wenku. baidu. com/view/afc65e7a7275 a417866fb 84ae45c3b3566ecdd19.html.

[2]唐建強，劉穎，周華春，等.一種身份與位置分離環(huán)境下基于網(wǎng)絡(luò)的安全移動性管理協(xié)議[J].電子與信息學(xué)報，2013，35（1）：151-158.

【通聯(lián)編輯：謝媛媛】

收稿日期：2020-01-25

作者簡介：龐鐳（1982-）.女，陜西漢中人，助理研究員，碩士，研究方向為網(wǎng)絡(luò)運維、網(wǎng)絡(luò)安全。