SDN技術(shù)在武警部隊(duì)數(shù)據(jù)中心的應(yīng)用

楊沐暉 韓建彬

（武警指揮學(xué)院 天津市 300250）

1 引言

當(dāng)前，正在開展的“智慧磐石”工程建設(shè)，是武警部隊(duì)推進(jìn)信息化智能化發(fā)展，提升部隊(duì)有效履行“兩個(gè)維護(hù)”使命任務(wù)的戰(zhàn)略舉措[1]。在總體規(guī)劃中，武警部隊(duì)、總隊(duì)都要完成相應(yīng)數(shù)據(jù)中心建設(shè)，為部隊(duì)遂行多樣化任務(wù)提供作戰(zhàn)數(shù)據(jù)支撐。但是當(dāng)前條件下，軍用數(shù)據(jù)中心存在規(guī)模龐大且分散、設(shè)備和應(yīng)用程序繁多、異構(gòu)程度高等問(wèn)題，而且現(xiàn)有軍用數(shù)據(jù)中心采用傳統(tǒng)TCP/IP網(wǎng)絡(luò)架構(gòu)和技術(shù)，一定程度上限制了指揮信息系統(tǒng)信息化、智能化建設(shè)發(fā)展進(jìn)程[2]。

軟件定義網(wǎng)絡(luò)（SDN）是近些年計(jì)算機(jī)網(wǎng)絡(luò)界研究的一大熱點(diǎn)，SDN是一種新型的網(wǎng)絡(luò)架構(gòu)，它的出現(xiàn)顛覆了傳統(tǒng)網(wǎng)絡(luò)的設(shè)計(jì)模式、理念和結(jié)構(gòu)，能夠較好解決傳統(tǒng)網(wǎng)絡(luò)存在的問(wèn)題，為網(wǎng)絡(luò)設(shè)計(jì)及管理帶來(lái)了新的思路和方法[3]。本文以武警指揮信息系統(tǒng)中“智慧磐石”中數(shù)據(jù)中心建設(shè)為背景，對(duì)SDN架構(gòu)的優(yōu)勢(shì)進(jìn)行了分析研究，提出了數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)新的設(shè)計(jì)模式，并對(duì)實(shí)現(xiàn)方案進(jìn)行了介紹。

2 SDN關(guān)鍵技術(shù)分析

2.1 SDN技術(shù)背景

傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)硬件設(shè)備、操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用三者緊密結(jié)合，構(gòu)成一個(gè)封閉的系統(tǒng)。在這樣的架構(gòu)中，網(wǎng)絡(luò)設(shè)備廠商眾多，各類設(shè)備配置命令繁雜，部署維護(hù)難度較大，而且網(wǎng)絡(luò)狀態(tài)無(wú)法實(shí)現(xiàn)可視化，網(wǎng)絡(luò)資源整合困難，無(wú)法根據(jù)需求快速做出相應(yīng)調(diào)整改變，嚴(yán)重阻礙了網(wǎng)絡(luò)應(yīng)用的創(chuàng)新發(fā)展。為了有效解決存在的問(wèn)題，斯坦福大學(xué)Nick McKeown教授團(tuán)隊(duì)提出了一種新的網(wǎng)絡(luò)變革思想SDN[4][5]。SDN是一種擁有邏輯集中式的控制平面，抽象化數(shù)據(jù)平面的新型網(wǎng)絡(luò)架構(gòu)，其主要思想是將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面解耦合，使兩個(gè)平面間通過(guò)統(tǒng)一開發(fā)的接口如OpenFlow協(xié)議[6]，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的編程、控制、配置等操作。

2.2 SDN技術(shù)特征

從傳統(tǒng)網(wǎng)絡(luò)向SDN網(wǎng)絡(luò)架構(gòu)演化的關(guān)系圖如圖1所示。SDN的結(jié)構(gòu)特性使得網(wǎng)絡(luò)底層的數(shù)據(jù)轉(zhuǎn)發(fā)平面不再依賴專用的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)的控制邏輯集中在軟件實(shí)現(xiàn)的控制器和應(yīng)用程序上，從而使得網(wǎng)絡(luò)功能軟件化、虛擬化，網(wǎng)絡(luò)的創(chuàng)新發(fā)展也有了同軟件一樣的高速更新迭代的優(yōu)勢(shì)。

SDN架構(gòu)具有以下三大特征[7]：

（1）網(wǎng)絡(luò)開放可編程：SDN提出了一種全新的網(wǎng)絡(luò)架構(gòu)和設(shè)計(jì)理念，用戶可以通過(guò)統(tǒng)一且開放的接口在SDN控制器上編寫應(yīng)用程序?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的配置、控制和管理，使得應(yīng)用和網(wǎng)絡(luò)可以快速對(duì)接，從而加快各類網(wǎng)絡(luò)應(yīng)用部署和升級(jí)的進(jìn)程；

圖1：網(wǎng)絡(luò)演化示意圖

圖2：SDN網(wǎng)絡(luò)架構(gòu)圖

（2）數(shù)控層解耦合：摒棄傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中特定網(wǎng)絡(luò)功能只能由專用設(shè)備來(lái)實(shí)現(xiàn)的模式，數(shù)據(jù)轉(zhuǎn)發(fā)層可以由基于X86架構(gòu)的通用轉(zhuǎn)發(fā)設(shè)備或者虛擬交換機(jī)組成，控制平面和數(shù)據(jù)平面不再緊密耦合，兩者可以獨(dú)立完成各自體系結(jié)構(gòu)的演進(jìn)，雙方只需要遵循統(tǒng)一開放的接口即可；

（3）邏輯集中式控制：摒棄傳統(tǒng)網(wǎng)絡(luò)分布式控制模式，將網(wǎng)絡(luò)狀態(tài)集中到控制器上，對(duì)整個(gè)網(wǎng)絡(luò)的操控和管理可以簡(jiǎn)化為對(duì)SDN控制軟件的操作，網(wǎng)絡(luò)運(yùn)維人員可以便捷高速地獲取整個(gè)網(wǎng)絡(luò)的狀態(tài)信息，使得網(wǎng)絡(luò)運(yùn)維更加便捷。

因此，可以說(shuō)只要滿足以上三個(gè)特征的網(wǎng)絡(luò)架構(gòu)都可以看做是符合SDN理念的網(wǎng)絡(luò)，在上述三個(gè)特征中，數(shù)控分離是基礎(chǔ)，集中控制是核心，可編程是SDN架構(gòu)的價(jià)值所在。

2.3 SDN架構(gòu)分析

圖3：SDN-Overlay模式的數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)構(gòu)想

SDN的目標(biāo)就是打破現(xiàn)有交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)、控制一體化的格局，因?yàn)樵谶@種格局下，對(duì)網(wǎng)絡(luò)業(yè)務(wù)的修改和部署周期較長(zhǎng)，網(wǎng)絡(luò)運(yùn)維人員需要掌握多種設(shè)備的操作指令，無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的靈活、快速配置，而且難以實(shí)時(shí)掌握整個(gè)網(wǎng)絡(luò)的全局視圖。針對(duì)不同的技術(shù)側(cè)重點(diǎn)，不同的組織對(duì)SDN的架構(gòu)和思想進(jìn)行了差異化定義，其中比較主流的觀點(diǎn)是由開放網(wǎng)絡(luò)研究中心[8]（Open Networking Research Center,ONRC）定義的基于數(shù)控分離、集中控制以及由開放接口的SDN架構(gòu)和開放網(wǎng)絡(luò)基金會(huì)[9]（Open Networking Foundation ,ONF）提出的抽象可編程的SDN架構(gòu)。圖2為SDN通用架構(gòu)示意圖，主要由應(yīng)用層、北向接口、控制層、南向接口以及轉(zhuǎn)發(fā)層五部分構(gòu)成。其中數(shù)據(jù)轉(zhuǎn)發(fā)層由虛擬轉(zhuǎn)發(fā)設(shè)備或硬件通用轉(zhuǎn)發(fā)設(shè)備構(gòu)成，用戶數(shù)據(jù)報(bào)文在該層完成處理和轉(zhuǎn)發(fā)工作。此外，該平面通過(guò)控制平面接口向SDN控制器發(fā)送網(wǎng)絡(luò)狀態(tài)信息并接受轉(zhuǎn)發(fā)策略。目前應(yīng)用較為廣泛的控制平面接口標(biāo)準(zhǔn)是OpenFlow協(xié)議。SDN控制軟件是SDN架構(gòu)的核心元素，一方面負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)狀態(tài)進(jìn)行感知、配置和管理，另一方面還要通過(guò)北向接口向上層網(wǎng)絡(luò)應(yīng)用提供接口，實(shí)現(xiàn)網(wǎng)絡(luò)的可編程能力。應(yīng)用服務(wù)層主要為用戶提供各類網(wǎng)絡(luò)服務(wù)，如負(fù)載均衡、網(wǎng)絡(luò)安全、流量控制等，以實(shí)現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一集中管控。

3 武警部隊(duì)數(shù)據(jù)中心建設(shè)

當(dāng)前武警部隊(duì)數(shù)據(jù)中心仍處于起步和發(fā)展階段，在“智慧磐石”工程中，規(guī)劃的數(shù)據(jù)中心建設(shè)，主要負(fù)責(zé)收集、匯總、整理、審核、更新、管理和維護(hù)本級(jí)的基礎(chǔ)屬性、動(dòng)態(tài)情況和決策支持所涉及的作戰(zhàn)數(shù)據(jù)以及日常辦公類業(yè)務(wù)數(shù)據(jù)。這些數(shù)據(jù)中心，一方面是為各類數(shù)據(jù)資源提供存儲(chǔ)和調(diào)閱平臺(tái)，另一方面是為本級(jí)或者下級(jí)單位遂行任務(wù)以及各類作戰(zhàn)軟件系統(tǒng)提供平臺(tái)支撐[10]。但是，當(dāng)前武警部隊(duì)遂行任務(wù)類型繁多，產(chǎn)生的作戰(zhàn)數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)量十分龐大，對(duì)數(shù)據(jù)中心計(jì)算能力和資源靈活調(diào)度能力提出了更高要求，而目前總隊(duì)以下單位的數(shù)據(jù)中心規(guī)模較小，數(shù)據(jù)處理能力有限，網(wǎng)絡(luò)管理和維護(hù)方面專業(yè)性不夠高，數(shù)據(jù)中心存在服務(wù)器宕機(jī)和網(wǎng)絡(luò)中斷的危險(xiǎn)，網(wǎng)絡(luò)業(yè)務(wù)重新部署和恢復(fù)所耗費(fèi)的時(shí)間較長(zhǎng)。

未來(lái)隨著武警部隊(duì)任務(wù)領(lǐng)域不斷拓展，更多動(dòng)態(tài)網(wǎng)絡(luò)需求不斷出現(xiàn)，要求數(shù)據(jù)中心能夠根據(jù)任務(wù)需求快速做出相應(yīng)調(diào)整和部署，但是依照傳統(tǒng)網(wǎng)絡(luò)架構(gòu)架設(shè)的數(shù)據(jù)中心網(wǎng)絡(luò)，需要解決以下問(wèn)題：

（1）網(wǎng)絡(luò)資源整合難。當(dāng)前網(wǎng)絡(luò)架構(gòu)無(wú)法根據(jù)使用單位靈活分配網(wǎng)絡(luò)帶寬和功能模塊，各單位只能按照最大需求進(jìn)行配置，花費(fèi)較高；

（2）業(yè)務(wù)部署周期長(zhǎng)、難度大。傳統(tǒng)數(shù)據(jù)中心中，設(shè)備廠商眾多，設(shè)備類型繁多，操作命令繁雜，導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)部署和維護(hù)難度較大，任何需求的變更都需要人工來(lái)對(duì)網(wǎng)絡(luò)架構(gòu)重新進(jìn)行配置更改，造成作戰(zhàn)需求響應(yīng)時(shí)間較長(zhǎng)，無(wú)法適應(yīng)快速變換的戰(zhàn)場(chǎng)態(tài)勢(shì)需要；

（3）管理水平低、質(zhì)量差。現(xiàn)有數(shù)據(jù)中心運(yùn)維人員普遍專業(yè)性不夠高，大部分只是停留在網(wǎng)絡(luò)軟件的使用上，出現(xiàn)問(wèn)題只能依托上級(jí)或者外單位協(xié)助解決，數(shù)據(jù)中心服務(wù)質(zhì)量不夠高，存在泄密的風(fēng)險(xiǎn)；

（4）網(wǎng)絡(luò)狀態(tài)可視化程度低。傳統(tǒng)數(shù)據(jù)中心只能對(duì)單個(gè)設(shè)備或單個(gè)接口進(jìn)行監(jiān)測(cè)，無(wú)法快速對(duì)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)負(fù)載、異常事件、網(wǎng)絡(luò)攻擊進(jìn)行精準(zhǔn)識(shí)別和反應(yīng)，指揮中心難以根據(jù)網(wǎng)絡(luò)全局狀態(tài)對(duì)網(wǎng)絡(luò)進(jìn)行精確管理。

為推進(jìn)指揮信息系統(tǒng)、云計(jì)算、大數(shù)據(jù)等新型技術(shù)在武警部隊(duì)的應(yīng)用，實(shí)現(xiàn)數(shù)據(jù)的集中可靠管理，越來(lái)越多的單位開始規(guī)劃建設(shè)云計(jì)算數(shù)據(jù)服務(wù)中心。這就需要數(shù)據(jù)中心能夠根據(jù)下級(jí)單位需要，提供高效、穩(wěn)定、可伸縮的網(wǎng)絡(luò)資源，并且能夠?qū)崟r(shí)感知內(nèi)外環(huán)境和網(wǎng)絡(luò)狀態(tài)的變化，最終實(shí)現(xiàn)根據(jù)網(wǎng)絡(luò)狀態(tài)及作戰(zhàn)任務(wù)對(duì)網(wǎng)絡(luò)的自配置、自調(diào)整、自優(yōu)化功能。SDN數(shù)控分離、可編程和集中統(tǒng)一控制特點(diǎn)可以很好地解決以上問(wèn)題并滿足建立云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)需求，使得網(wǎng)絡(luò)資源從粗放式分配向精準(zhǔn)化、資源池化擴(kuò)展，更好地適應(yīng)武警部隊(duì)構(gòu)建信息化、智能化的發(fā)展需求。

4 SDN-Overlay技術(shù)在武警部隊(duì)數(shù)據(jù)中心應(yīng)用設(shè)想

隨著作戰(zhàn)任務(wù)需求日漸多樣化，武警部隊(duì)現(xiàn)有各類音視頻數(shù)據(jù)、地圖數(shù)據(jù)、情報(bào)數(shù)據(jù)等資源必須進(jìn)行高效整合。此外，為提高本級(jí)與下級(jí)建制單位學(xué)習(xí)辦公的效率，充分利用各類資源，數(shù)據(jù)中心服務(wù)器要提供虛擬機(jī)以及各類虛擬網(wǎng)絡(luò)設(shè)備，這就需要云服務(wù)平臺(tái)能夠提供大量計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和安全資源，并能夠根據(jù)需求快速進(jìn)行資源和虛擬機(jī)動(dòng)態(tài)遷移。目前SDN最廣泛的應(yīng)用就是在數(shù)據(jù)中心網(wǎng)絡(luò)，并取得了眾多顯著成果，這些技術(shù)在武警部隊(duì)數(shù)據(jù)中心中的應(yīng)用部署，將為網(wǎng)絡(luò)提供更多靈活性和可操控性。

Overlay網(wǎng)絡(luò)技術(shù)的主要做法是在物理網(wǎng)絡(luò)設(shè)備中增加一個(gè)由軟件實(shí)現(xiàn)的虛擬連接層，并通過(guò)隧道協(xié)議實(shí)現(xiàn)虛擬設(shè)備互聯(lián)，從而在已有的共享物理網(wǎng)絡(luò)上再疊加一層邏輯隔離的虛擬網(wǎng)絡(luò)[11]。SDN技術(shù)配合Overlay網(wǎng)絡(luò)構(gòu)建模式不僅擁有Overlay屏蔽底層物理網(wǎng)絡(luò)差異的特點(diǎn)，還擁有SDN的集中統(tǒng)一控制和可編程的優(yōu)勢(shì)?；赟DN-Overlay模式的數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建方案如圖3所示，為實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)虛擬機(jī)以及網(wǎng)絡(luò)服務(wù)動(dòng)態(tài)遷移時(shí)業(yè)務(wù)不中斷，SDNOverlay模式采用基于Vxlan、GRE、NVGRE等隧道技術(shù)，在已有網(wǎng)絡(luò)層之上建立虛擬網(wǎng)絡(luò)，用邏輯節(jié)點(diǎn)和邏輯鏈路構(gòu)成Overlay網(wǎng)絡(luò)。SDN-Overlay架構(gòu)中，二層接入設(shè)備為支持南向接口協(xié)議的虛擬交換機(jī)，并在其內(nèi)部署隧道協(xié)議，負(fù)責(zé)將虛擬機(jī)、物理資源池（如影像地圖數(shù)據(jù)、情報(bào)數(shù)據(jù)、作戰(zhàn)數(shù)據(jù)等）以及虛擬安全服務(wù)設(shè)備（如虛擬防火墻等）接入到Overlay網(wǎng)絡(luò)中?？刂破髯鳛榫W(wǎng)絡(luò)核心元素，管理和控制整個(gè)SDN-Overlay網(wǎng)絡(luò)，負(fù)責(zé)路由計(jì)算以及策略下發(fā)，收集匯總下層設(shè)備傳送而來(lái)的網(wǎng)絡(luò)狀態(tài)信息。上層網(wǎng)絡(luò)應(yīng)用可以通過(guò)調(diào)用北向接口從SDN控制器獲取網(wǎng)絡(luò)全局視圖，完成對(duì)整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的監(jiān)控、配置和控制，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的統(tǒng)一、集中管理。

考慮到當(dāng)前已經(jīng)建有數(shù)據(jù)中心的單位，很難將現(xiàn)有傳統(tǒng)網(wǎng)絡(luò)一下子更換到SDN網(wǎng)絡(luò)，本文提出的SDN-Overlay網(wǎng)絡(luò)架構(gòu)可以充分利用現(xiàn)有物理網(wǎng)絡(luò)，無(wú)需對(duì)基礎(chǔ)網(wǎng)絡(luò)進(jìn)行大規(guī)模修改，構(gòu)建的虛擬邏輯網(wǎng)絡(luò)不僅可以實(shí)現(xiàn)業(yè)務(wù)與網(wǎng)絡(luò)目標(biāo)相一致，而且還可以實(shí)現(xiàn)物理網(wǎng)絡(luò)向云化和虛擬化延伸，更好地滿足數(shù)據(jù)中心虛擬機(jī)動(dòng)態(tài)遷移和網(wǎng)絡(luò)資源按需分配的要求。

5 結(jié)束語(yǔ)

隨著大數(shù)據(jù)、云計(jì)算、人工智能的高速發(fā)展，對(duì)軍用數(shù)據(jù)中心也提出了更高的要求和挑戰(zhàn)，需要在循序漸進(jìn)的基礎(chǔ)上適當(dāng)采用一些跨越式新型網(wǎng)絡(luò)技術(shù)，才能滿足數(shù)據(jù)中心日益增長(zhǎng)的計(jì)算、存儲(chǔ)和帶寬需求。SDN網(wǎng)絡(luò)架構(gòu)擁有數(shù)控分離、邏輯集中統(tǒng)一和可編程等優(yōu)勢(shì)，在軍事應(yīng)用領(lǐng)域有及廣闊的發(fā)展空間。作為一種在物理網(wǎng)絡(luò)上疊加虛擬網(wǎng)絡(luò)的新型技術(shù)，SDN-Overlay網(wǎng)絡(luò)構(gòu)建模式大大降低了傳統(tǒng)網(wǎng)絡(luò)向SDN網(wǎng)絡(luò)切換的難度，提高了數(shù)據(jù)中心網(wǎng)絡(luò)的規(guī)模和靈活性，實(shí)現(xiàn)了網(wǎng)絡(luò)功能的自定義和配置，縮短了網(wǎng)絡(luò)業(yè)務(wù)部署的時(shí)間。然而SDN-Overlay技術(shù)想要真正成為未來(lái)軍事數(shù)據(jù)中心核心網(wǎng)絡(luò)架構(gòu)還需要克服諸多問(wèn)題，如安全性、可靠性以及容災(zāi)性等問(wèn)題。因此，需要對(duì)SDN以及Overlay技術(shù)不斷進(jìn)行研究和探索，只有這樣，才能使軍事網(wǎng)絡(luò)信息技術(shù)不斷進(jìn)步。