《SDN 在基层央行网络中应用探讨.docx》由会员分享,可在线阅读,更多相关《SDN 在基层央行网络中应用探讨.docx(7页珍藏版)》请在课桌文档上搜索。
1、SDN在基层央行网络中应用探讨基层央行网络架构存在的问题1 .网络部署和运维管理难度大、效率低在传统的网络架构中,网络与业务是分离的,新的业务部署时,网络管理人员需要配置多个网络设备。这些设备包括路由器、交换机、防火墙等,它们是由网络设备硬件、操作系统和网络应用3部分紧耦合构成的闭合系统,只为用户预留了简单的命令行接口、图形界面等。这种手工配置的效率低下,无法实现网络对业务快速变化的响应,严重影响业务的部署进度。而且在人民银行的业务网中,存在大量不同品牌、不同型号、不同版本的网络设备,对这些设备的监控、变更和排障都需要长期知识和经验的积累,导致这些设备的运维和管理难度大、成本高、效率低。2 .
2、网络风险防控能力有限传统网络体系结构主要从网络结构、边界、协议、流量、QoS等方面进行风险防控,要构建相对安全的网络系统至少还要包括以下安全设备:防火墙、入侵检测、堡垒机、漏洞扫描、安全审计系统等。众多的设备在提供安全保护的同时也带来安全风险,如果某一节点产品存在安全漏洞就会给整个网络带来不可预知的安全风险,同时保持这些设备物理和逻辑上的一致性也是比较困难。3 .对云计算支持能力不足传统网络架构对云计算所需要的网络资源高效分发、虚拟机大范围迁移、应用的多级部署等支持能力捉襟见肘。例如一台新的虚拟机被创建后,IP地址分配、V1.AN划分、AC1.和QOS的配置如果使用手工配置,耗时久且易出错。而
3、用来防止环路出现的生成树协议(STP)和分割网络的V1.AN协议限制了网络的规模和扩展性,导致虚拟机的规模和迁移范围受限。4 .不适应大数据业务的发展随着金融业务的蓬勃发展,需要存储、处理的数据量呈爆发式增长,传统的三层网络架构不再适用,需要使用分布式架构。如有两台服务器需要进行数据通讯,但两台服务器分属不同网段,通信时必须通过“接入层一汇聚层一核心层一汇聚层一接入层”路径,这种方式在面对大量服务器相互通信的大数据业务时就不是一种有效的方式,不但系统带宽会被大量消耗,还会产生长延时,形成网络阻塞。SDN在基层行网络应用中的技术难点基于现有网络架构中存在的问题,利用SDN等新技术对现有网络架构进
4、行改进,可适应新的技术和业务需求。但如何在基层央行应用SDN进行网络架构重塑还有一些技术问题需要克服。1 .集中控制器的安全性问题做为SDN网络的核心,控制器安全问题非常重要,采用SDN架构时就需要解决SDN控制器的防攻击、可用性、冗余备份等问题,特别是转发设备被多个控制器控制的场景下,面临控制器假冒、转发设备资源非法滥用等诸多风险。2 .控制器和转发面性能瓶颈问题作为数据转发控制的核心,控制平面表现出越来越重要的作用,尤其是基于控制平面的各种应用,更是对复杂网络进行有效管理的重要保障。目前开源的控制器种类也比较多,比如NOX、Beacon和Floodlighto这些控制器在系统架构、实现语言
5、及编程接口等方面各有优劣。如何选择一款适合、高效的控制器非常重要。尽管网络控制与数据转发相分离的新型网络架构简化了网络管理,但是不断增长的网络规模仍然带来了新的挑战。例如,随着二层和三层设备数量的增多,发往中央控制器的控制流数量会明显增大。此外,网络越复杂、规模越大,控制器的部署位置对流的建立延迟产生影响越大。最后,单一控制器的处理能力以及I/O能力都是有限的,对于大规模网络的复杂应用,必然会产生系统性能瓶颈。3 .端到端控制的协同问题SDN控制平面的南向接口面对数据平面、北向接口面向应用,控制器之间的接口称之为东西向接口,用于完成控制器之间的通信。东西向接口尚未标准化,跨厂商控制器通用是难题
6、,当前的编排层仅解决业务策略下发,端到端的拓扑发现和路径计算难以实现。对策建议鉴于基层央行在面对新一代网络架构推进过程中遇到的困难,笔者提出以下建议。1 .从标准和顶层设计入手,加强统筹管理加强顶层设计和加快出台标准规范,由总行出台总体架构和设计规范,形成统一标准,指导全国央行系统工作。通过加强横向联合,可以选择一些基础好实力强的基层行开展试点,取得成功经验全国推广,避免走弯路。加强人才队伍建设,增加基层行网络专业人员数量,加强培训工作,可以采取有针对性的培训工作,提高网络管理员的技术能力与网络运维水平。加强新技术宣传力度,通过积极宣传争取获得上级行及本级行领导的支持,保证费用的投入,做好新技
7、术和经验储备,可以联合技术雄厚的厂商联合开展攻关,并聘请该领域有经验的专家担任技术指导。2 .注重SDN产品选择SDN网络一般分为软件SDN和硬件SDN两大类。在软件SDN的解决方案中,网络的功能是通过软件层面的1.inux协议栈以及相关的OPenSWitCh技术实现的。它的优点是可以通过软件来实现网络的创建、子网的划分、路由的选择以及防火墙策略的管理等功能,可以避免对硬件网络设备的过度依赖,同时极大降低了组网的成本;它的缺点是稳定性和可扩展性不如硬件SDN专用设备。硬件SDN是使用专用的硬件设备加上一个专用的控制器对硬件设备进行策略管理以及流表的下发,来实现网络相关的功能。它的优点是比较稳定
8、,缺点是灵活性较差且组网成本较高。如何选择适合自己的网络产品还得看自己目前实际网络部署情况,以及对扩展性、可管理性、延迟、吞吐等性能指标的要求。3 .结合本地实际,注重成本效益除了对SDN厂商和产品进行慎重选择外,选择合理网络方案非常重要,方案要考虑网络扩展性和部署成本。以呼伦贝尔市中支为例,所辖12个县支行2019年己完成网络设备更新工作,新设备采用SDN+NVF技术进行网络架构重构,使其具有如下特征。一是网络部署自动化,实现设计、部署到后期可视化运维管理,可以按照用户逻辑架构/管理架构进行网络站点分区设计,根据需求灵活制定调度策略、选路策略、服务质量保障策略,设计完成后系统自动生成对应节点
9、的最小配置和支撑业务的全量配置,完成零配置上线。二是流量调度策略灵活,V-AG技术既可以实现物理网络的流量调度,也可以实现逻辑(业务)网络的流量调度,V-AG技术既可以通过控制器实现,也可以通过设备本身实现,根据链路质量状态,通过指定路径、最短路径、带宽利用率、时延、抖动、丢包、COST最优、指定节点等策略实时为业务选择最优路径,实现关键业务保障和链路带宽均衡负载。三是实现智能分析和监控,整个网络健康状况一目了然,通过智能分析,对网络中潜在和已存在的风险进行预警和自动处理,对网络待优化点给出成熟建议,让网络设计和管理人员轻松驾驭网络。四是网络运维更简洁高效,SDN控制器作为网络设备的统一管理和
10、控制平台,支持多种南向协议与设备互连,支持设备配置、拓扑管理、零配置上线、网络虚拟化、终端识别、准入控制及IP地址集中式管理,并提供网络北向API,自动生成设备配置,实现零配置上线和零配置设备更换,极大提升运维效果。未来展望采用SDN网络架构设计应充分考虑未来网络发展,关注网络可拓展性,目前SDN与NFV(NetworkFunctionVirtualization,网络功能虚拟化)的结合是一个不错的发展方向。NFV的目标是通过基于行业标准的服务器、存储和网络设备,来取代私有专用的网络设备,SDN与NFV有着强烈的互补性。一是通过服务器虚拟化托管网络服务设备,尽可能高效地实现网络服务的高性能;二
11、是软件控制平面被转移到了更优化的位置(从专用设备硬件中剥离,放置在数据中心或者PoP位置),数据平面的控制被从专有设备上提取出来并且标准化,使得网络和应用的更新无需网络设备硬件升级,SDN对网络流量转发进行编程控制,实现无缝交付网络服务;三是云管理技术可配置网络服务虚拟设备,并通过操控SDN来编排与这些设备的连接,从而通过操控服务本身实现网络服务的功能。SDN和NFV结合带来的好处主要有两个,其一是昂贵的专业设备被通用硬件和高级软件替代,成本低廉,能够节省巨大的投资成本;其二是开放API接口,能够获得更灵活的网络能力。SDN简介及其在银行环境下应用的思考软件定义网络(SoftwareDefin
12、edNetwork,SDN)是一种基于虚拟化思想提出的网络设计理念,通过将网络控制与数据转发解耦,使网络更加灵活、更加智能、可编程性更强,更好地契合虚拟化等新技术要求。目前,该技术已相对成熟,在数据中心和园区等场景中具有落地成功案例。因此,在当前银行“架构转型”的大背景下,如何将SDN技术应用于银行网络,具有重要的研究意义。一、SDN技术简介随着虚拟化、云计算等技术的日趋成熟及广泛应用,传统信息系统架构设计理念受到越来越多的挑战。在传统网络架构中,网络控制和数据转发功能紧耦合,导致其在虚拟化环境下存在一些突出问题。一是网络资源池化能力不足,不能很好地支撑计算资源池化部署,在一定程度上造成计算、
13、存储和机房场地资源的碎片化。二是新业务上线时的网络部署变更更多地依赖手工配置,流程长,操作复杂。三是应用、系统、网络相对割裂,端到端的可视度和排障能力不足。因此,不能很好地适应新业务、新技术的发展需求。SDN技术基于虚拟化思想提出。它对网络控制和数据转发进行解耦,将网络控制功能从相应的网络设备中分离出来,并放入特定的软件可编程的控制器中。典型的SDN网络分为转发层、控制层和编排层(也称业务层)三部分。转发层负责实现具体的网络转发功能,由传统网络设备承担;编排层提供各类面向用户的应用,通过更友好的界面、更直观的描述语言收集用户需求;控制层在转发层和编排层之间起到桥梁作用,它将编排层信息进行转译,
14、转发至网络设备,确定设备路由表、访问控制策略列表等关键信息,最终将用户需求落地成具体的网络配置。图1SDN网络架构传统架构网结管理网络编排屐网络控制展网络织排序网络控初扬络转发,物理网络网络安全tt据中心网络网络转发医骨干网络端ft网络网络安全从结构上看,由于SDN通过控制器将控制集中化,它在管理上更为方便,原先复杂的路由、多播、安全、AC1.(访问控制)、带宽管理、流量工程、QoS(服务质量)、能效管理以及各种策略管理也变得简单明了,比起传统网络需要一台台设备分别去调试,要省心省力得多。在集中控制的基础上,SDN的可编程性可谓是其核心所在。这一功能是传统网络所无法企及的。通过软件编程,运管人
15、员不仅能实现一些小功能,运维自动化、智能化亦成为可能。应用开发者将不再需要了解各种网络底层的细节,只需专心致力于应用软件的质量,开发效率大大提高。SDN使网络更加灵活、更加智能、更加具有可编程性,很好地契合了虚拟化等新技术需求。目前,网络设备厂商、软件厂商和用户均认识到SDN的优越性,大力推进相关技术落地。其中,网络设备厂商通过在自己的产品中加入SDN的各项功能,从而提供完整的SDN产品和解决方案。软件厂商将SDN的功能通过虚拟化网络技术融入到自己的软件产品中,最终提出SDN部分或全面解决方案。用户由于自身网络建设和运维的压力,是SDN主要倡导者和推动者,希望通过SDN发展给自身带来预期的利益
16、。0NFOD1.ONOS和NFV是当前SDN技术最有影响力的国际组织,就SDN实现提出了OpenFlow和NFV两条主要技术路线。OpenFIow是全球首个采用SDN框架的标准接口,由ONF提出。OPenFloW定义了SDN网络设备控制层和数据层交互方式,即南向接口,在不同厂商网络设备与控制器之间提供高性能和更细颗粒度的流量控制。OPenFIOW是现在SDN框架中最有影响力的协议。NFV技术路线由NFV标准化组织提出,利用当前的资源虚拟化技术,在硬件设备中建立一个网络虚拟层,负责将硬件资源虚拟化,形成虚拟计算资源、虚拟存储资源和虚拟网络资源等,运营商通过软件来管理这些虚拟资源,实现简单地统一管
17、理不同设备的目的。NFV将传统网络设备的软件与硬件相分离,使网络功能更新独立于硬件设备。二、SDN应用场景目前,SDN在多种应用场景已有许多成功案例。下面主要介绍SDN技术的两种典型应用场景:SDN数据中心(AD-DC)和SDN园区(ADCamPUs)。(一)数据中心场景(AD-DC)整网架构采用Spine+1.eaf两层结构设计。1.eaf分为出口(Border1.eaf),TOR服务器接入(SerVer1.eaf)、安全资源池接入(SerViCe1.eaf),将支持MP-BGPEVPN功能的交换机作为数据中心架构中的Spine交换设备。TOR接入区分为计算资源接入和安全资塑池接入。控制平面
18、采用MP-BGPEVPN协议,数据平面采用VX1.AN。UnderIay采用OSPF路由协,议,Spine为iBGPRR角色。OVerlayVX1.AN1.3/1.2网关部署在1.EAF节点,1.EAF采用40G上行接入SPINE节点。同时1.EAF可以为服务器提供1G/10G/25G服务器接入能力。东西向安全,利用安全资源池为逻辑区域间访问提供安全控制和1.B服务。运维管理区部署VCFDirector(VCFD)、SDN控制器(VCFC)、云平台等。VCFD实现对数据中心基础设施自动化部署及OVerlay网络运行维护监控,VCFC控制器实现对OVerlay网络的调度管理,通过带外管理方式管理
19、业务区,其中SDN控制器可以与原星标准OPenStaCk云平台对接,对于其他非OPenStaCk云平台或非原生Openstack云平台(经过二次开发),可以通过控制器RestfulApi方式进行对接,需要评估开发工作量。VCFFiUkVCFQocanihrAD-DC方案较传统数据中心网络在网络健壮性、简洁性、易管理性方面存在明显优势。具体体现在:兼容第三方设备的全网络虚拟化能力,构建“一网一设备”的交换矩阵。基于IP网络构建Fabric。无特殊拓扑限制,IP可达即可;承载网络和业务网络分离;对现有网络改动较小,保护用户现有投资。丰富的云特性,业界最佳的将“计算、存储、网络和安全资源”统一灵活部
20、署的多租户方案。基于SDN架构的高度自动化运维能力。支持VMware、MicrosoftHyper-V.H3CCASKVM和XEN等主流虚拟化平台。原生的灾备建设能力。网络配置一次成型,业务扩容与变更无需改动网络,大幅度减少网络运维工作量。网络简化、安全。虚拟网络支持1.2、1.3等,无需运行1.AN协议,骨干网络无需大量V1.ANTrunk0简化网络IP地址的规划,用于设备互连的IP网段和用于业务通信的IP网段互相不重叠。加快应用部署速度,应用可以在任意位置部署,配置好自己的IP地址即可实现通信,无需变更网络,应用部署速度从以周计缩短为以天计。转发优化和表项容量增大。消除了MAC表项学习泛滥
21、,ARP等泛洪流量可达范围可控,且东西向流量无需经过网关。(二)园区场景(ADCamPUS)网络由核心、汇聚、接入三层(接入设备可以多层)设备组成,外部搭配园区控制器CamPUSDireCtor。汇聚和核心设备之间构建OVerIay网络,构建一个无状态网络,同时采用分布式1.3网关并通过可靠的机制有效地抑制广播风暴,接入层设备采用不同的V1.AN进行接入位置的标识,通过TRUNK的方式上行到汇聚层,汇聚层完成V1.AN到VX1.AN的映射。策略管理上采用了面向用户的分组模式,将属性或者访问权限相近的用户分到一个用户组中,同时也将服务器侧的资源划分到相应的用户组进行统一管理。策略定义时,基于矩阵
22、表格的方式简单直观。具体策略的定义可简单可复杂,以实现各种高级复杂的策略控制功能。提供基于灵活的用户认证接入机制,且支持整个生命周期用户终端和IP一对一的需求。整网的核心是园区网控制器组件:CampusDirectoro所有对网络的自动化上线,接入管理,用户组/策略管理,业务配置管理,网络运维管理全部在CamPUSDireCtor上通过直观的图形化界面完成。核心汇鹏AccessAccessAcce接入ADCampus园区网方案在技术和业务应用上较传统网络都有明显优势。技术上,ADCampus整网采用overlay的技术,天然具备跨广域网的通道隔离能力,相比MP1.S的隔离方式,VX1.AN的隔
23、离只需要在端点(VTEP)做隔离,不需要全网隔离,端点之间只需要IP互通既可。其VX1.AN扁平化的组网方式,将原本集中在核心的压力分散到各汇聚层设备上保障了整网的健壮性,提升了网络的性能规格,节约了管理成本。此外,其良好的利旧性,可以最大程度的保护用户的原有投资。其应用上的优势主要体现在柔性网络和软件定义两方面。柔性网络是指其网络架构本身非常灵活,实现了用户位置与地址分离,而通过用户和IP地址绑定,让同一IP地址可以在任意位置接入,无需改变网络的配置,而客户体验完全相同。软件定义是指依托SDN网络集中管理、易于编程的特点,可以方便的实现业务按需交付、设备自动部署、园区一键启动、可视化运维等功
24、能。此外,其控制器上层接口开发,为第三方增值服务的再开发提供了可能。三、SDN技术在银行环境应用下的建议SDN网络虽然较传统组网技术展现出一定优势,特别是在虚拟化等技术日益广泛应用的背景下,SDN网络的部署已成为一种趋势。但在实际应用中SDN技术也暴露出一些突出问题,如各品牌设备不兼容、控制功能集中带来的单点风险、配置自动化生成导致的管理黑盒问题等。特别是,各品牌设备间不兼容,导致用户在用SDN技术组网时往往需要完全采购某品牌商的一揽子产品,其后续维护及设备更新也高度依赖原品牌,用户自主性极大削弱。针对这一问题,大型机构组网时往往采用“分而治之的思想,即将整个网络分为多个独立区域,各区域分别选
25、用不同品牌进行SDN组网,同时自主开发或者购买兼容性强的网络控制器部署于各区域上层,对各区域进行统一管理。这样就实现了“局域同一品牌,整体多品牌共存的格局,在网络性能和自主性上取得了平衡。根据上述经验,对银行系统SDN组网提出如下建议。整体采用“分而治之的思想。考虑到网络维护方便性及管理延时问题,建议以地市中支(含辖内县支行)为单位组网。由总行与各主流网络厂商进行谈判,确定多套SDN组网解决方案(每家至少包括类AD-DC和ADCampus两套方案),以获得最大的成本优势,同时要求各厂商开放其控制器上层管理接口。随后,由各地市自行选择本地的SDN组网解决方案进行实施。根据各级机构情况,地市中支可以参考使用ADCamPUS方案,侧重解决用户管理问题,而省级以上分行由于拥有同城转接中心,建议参考AD-DC方案,提升网络健壮性和业务灵活性。网络监控方面,各地市部署独立的SDN网络控制器,控制本区域内网络。全行监控层面,由于原网络监控系统所依据的SNMP、Sys1.og等协议仍然有效,现有全行统一的网络监控系统仍然有效。在各品牌商开发上层接口的基础上,采用自主开发或者购买的方式建立兼容性强的全行SDN网络监控系统,以实现全行网络的全面监控管理。该方案可以采用先省级试点后全国推广的方式,最终实现全行SDN网络平稳部署。