祖立軍 杜學(xué)凱 周雍愷 劉國寶 楊 陽 吳 杰 吳承榮

1(中國銀聯(lián)電子支付研究院電子商務(wù)與電子支付國家工程實驗室 上海 201201)2(復(fù)旦大學(xué) 上海 200433)

基于SDN的金融云試驗平臺虛擬網(wǎng)絡(luò)研究

祖立軍1杜學(xué)凱2周雍愷1劉國寶1楊 陽1吳 杰2吳承榮2

1(中國銀聯(lián)電子支付研究院電子商務(wù)與電子支付國家工程實驗室 上海 201201)2(復(fù)旦大學(xué) 上海 200433)

當(dāng)前SDN網(wǎng)絡(luò)正在被很多研究機(jī)構(gòu)研究或者被很多企業(yè)試驗。SDN網(wǎng)絡(luò)將傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中的控制層面與數(shù)據(jù)層面分離開來，使得網(wǎng)絡(luò)架構(gòu)變得非常簡潔，并且更多的應(yīng)用可以利用控制層面提供的北向接口實現(xiàn)，簡化了網(wǎng)絡(luò)的管理。數(shù)據(jù)層面則只是根據(jù)控制層面制定的規(guī)則進(jìn)行數(shù)據(jù)的處理。論述了SDN的發(fā)展和未來趨勢，且簡要介紹中國銀聯(lián)電子支付研究院基于SDN的金融云試驗平臺，同時對此試驗型虛擬網(wǎng)絡(luò)進(jìn)行分析與探討。

Software-Defined Network 控制層面 數(shù)據(jù)層面 金融云 中國銀聯(lián)

0 引 言

軟件定義網(wǎng)絡(luò)技術(shù)的發(fā)展給很多網(wǎng)絡(luò)技術(shù)提供了支持，在網(wǎng)絡(luò)虛擬化方面，云服務(wù)提供商能將物理網(wǎng)絡(luò)設(shè)備抽象成虛擬的網(wǎng)絡(luò)設(shè)備，提供給租戶，并允許每個租戶創(chuàng)建自己的虛擬網(wǎng)絡(luò)，結(jié)合租戶申請的虛擬機(jī)資源定義網(wǎng)絡(luò)拓?fù)?，通過SDN技術(shù)對虛擬網(wǎng)絡(luò)進(jìn)行管理[3,6]。

在金融云平臺下，虛擬網(wǎng)絡(luò)有著一系列的基本需求，比如，虛擬網(wǎng)絡(luò)中多租戶間網(wǎng)絡(luò)訪問的隔離、管理員對租戶網(wǎng)絡(luò)資源的管理、金融業(yè)務(wù)的擴(kuò)展等等。而從租戶的角度來看，需要自己的業(yè)務(wù)數(shù)據(jù)以及網(wǎng)絡(luò)資源不能夠被其他租戶訪問與竊取，并且能夠在這些隔離與安全性被滿足的條件下不影響自身的業(yè)務(wù)運行[1]傳統(tǒng)物理網(wǎng)絡(luò)中不同網(wǎng)絡(luò)之間的隔離通常由部署在網(wǎng)絡(luò)邊界處的路由器和防火墻完成。同理，虛擬網(wǎng)絡(luò)的隔離是在虛擬網(wǎng)絡(luò)的邊界處實現(xiàn)。但相比之下，虛擬網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)邊界更加模糊，也更加復(fù)雜，從而為租戶虛擬網(wǎng)絡(luò)提供路由服務(wù)及防火墻服務(wù)也更為復(fù)雜。不僅如此，在實際的業(yè)務(wù)運行云平臺下，不同租戶分配到的資源很有可能是物理上相互分散的，不同主機(jī)上的資源可能會被分配給不同的租戶，這樣的話對于租戶之間的隔離與租戶自身內(nèi)部資源的隔離需要被更細(xì)粒度的劃分，而且各個隔離區(qū)域之間的隔離邊界需要更加明確。從銀聯(lián)的業(yè)務(wù)運行的試驗性環(huán)境來看，虛擬網(wǎng)絡(luò)中的隔離可分為以下幾類:不同租戶的虛擬網(wǎng)絡(luò)之間的隔離；同一租戶虛擬網(wǎng)絡(luò)下，不同虛擬子網(wǎng)之間的隔離；租戶虛擬網(wǎng)絡(luò)與外網(wǎng)之間的隔離。

隨著互聯(lián)網(wǎng)應(yīng)用的普及和各個企業(yè)數(shù)據(jù)業(yè)務(wù)的增長，網(wǎng)絡(luò)性能與安全性的提高已經(jīng)成為很多大型數(shù)據(jù)中心急需解決的問題。雖然在很多開源云平臺下已經(jīng)存在一些針對于虛擬網(wǎng)絡(luò)安全隔離的解決方案，但是很多方案中數(shù)據(jù)處理比較大的工作都集中在單個設(shè)備上，容易造成故障，影響業(yè)務(wù)的運行，也造成了一些數(shù)據(jù)處理的延時。

隨著SDN技術(shù)的到來，一些傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下比較難以處理的問題能夠在SDN的網(wǎng)絡(luò)架構(gòu)下得到很好的解決或者緩解，所以在我們的研究中，我們試圖將金融云平臺虛擬網(wǎng)絡(luò)中遇到的一些與業(yè)務(wù)相關(guān)的問題移入SDN的網(wǎng)絡(luò)架構(gòu)之下，并且對其加以解決。

1 SDN架構(gòu)下的虛擬網(wǎng)絡(luò)

一般來說，一個功能完善的虛擬網(wǎng)絡(luò)系統(tǒng)一般應(yīng)包含以下功能：虛擬機(jī)能夠與外網(wǎng)、物理機(jī)、其他虛擬機(jī)正常通信；網(wǎng)絡(luò)的虛擬化對用戶來說是透明的；虛擬機(jī)的IP地址可以動態(tài)分配，與其所在物理機(jī)的位置無關(guān)；虛擬機(jī)在遷移過程中網(wǎng)絡(luò)配置不變，主要是IP/MAC地址不變；虛擬網(wǎng)絡(luò)配置和管理方便；虛擬網(wǎng)絡(luò)要能夠方便擴(kuò)展；網(wǎng)絡(luò)性能要達(dá)到一定要求；滿足安全需求，能夠?qū)崿F(xiàn)不同用戶在網(wǎng)絡(luò)上的相互隔離。所以隨著虛擬網(wǎng)絡(luò)的擴(kuò)展，其網(wǎng)絡(luò)系統(tǒng)的管理也越來越復(fù)雜，對于許多對網(wǎng)絡(luò)管理要求更高的系統(tǒng)來講更是如此，比如金融云平臺的虛擬網(wǎng)絡(luò)的管理。SDN技術(shù)的發(fā)展能夠很好地解決虛擬網(wǎng)絡(luò)擴(kuò)展中所遇到的問題。

SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備具有良好的可編程性,網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)研究人員可以非常容易地控制網(wǎng)絡(luò)設(shè)備、部署新型網(wǎng)絡(luò)協(xié)議。在SDN網(wǎng)絡(luò)中控制平面與數(shù)據(jù)平面相互分離,支持用戶定義自己的虛擬網(wǎng)絡(luò),定義自己的網(wǎng)絡(luò)規(guī)則和控制策略,網(wǎng)絡(luò)服務(wù)提供者能夠為用戶提供端到端可控的網(wǎng)絡(luò)服務(wù),甚至可以在硬件設(shè)備上直接添加新的應(yīng)用。這都使得SDN網(wǎng)絡(luò)非常適合于虛擬網(wǎng)絡(luò)系統(tǒng)的管理。這種可編程的網(wǎng)絡(luò)平臺不僅能解開網(wǎng)絡(luò)軟件與特定硬件之間的掛鉤,還能將網(wǎng)絡(luò)軟件的智能性和硬件的高速性充分結(jié)合在一起,使得網(wǎng)絡(luò)變得更加智能與靈活。目前在SDN中網(wǎng)絡(luò)虛擬化技術(shù)研究項目和產(chǎn)品主要有Stanford大學(xué)的FlowVisor項目、匈牙利愛立信研究院的IVOF、瑞典皇家理工學(xué)院的OVN(OpenFlow Virtualization Network)項目和Nicira公司提出的NVP(Network Virtualization Platform)網(wǎng)絡(luò)虛擬化平臺。

2 SDN的發(fā)展

2.1 控制層面與數(shù)據(jù)層面研究

控制層面的研究越來越多地集中在控制器的集群化方面。網(wǎng)絡(luò)界頂級學(xué)術(shù)會議SIGCOMM近年來關(guān)于控制層面的討論很多都是關(guān)于控制器集群發(fā)展的。從開始的基于故障災(zāi)備處理機(jī)制的雙控制器模型到基于控制信息備份冗余、大數(shù)據(jù)量處理的控制器集群模型，還包括國內(nèi)外企業(yè)級的控制器集群模型。

在控制層面方向上，軟件控制器OpenDaylight、Floodlight得到廣泛使用，OpenDayLight控制器是目前為止使用最為廣泛的開源控制器。同時，也有一些其他的控制器如Beacon，也漸漸走入商用的行列并且取得了很好的評價。SIGCOMM會議曾經(jīng)有關(guān)于Beacon控制器[8]的學(xué)術(shù)探討，在介紹時主要提出了當(dāng)時做Beacon控制器時所進(jìn)行的設(shè)計思路的探討：首先，是否一個控制器能夠像一個網(wǎng)絡(luò)操作系統(tǒng)那樣在運行時開啟或停止應(yīng)用程序。最終Beacon控制器應(yīng)用了OSGI框架實現(xiàn)應(yīng)用模塊的熱插拔。第二，編寫控制器的語言選擇，對C、C++、Java、C#等幾種語言進(jìn)行對比，通過易于編寫和維護(hù)，能夠跨平臺等幾方面的考慮，最終選擇了Java語言。第三，對控制器讀取OpenFlow[7]消息時算法的改進(jìn)，使用了一種Run-to-completion算法進(jìn)行控制器的設(shè)計。第四，對控制器寫OpenFlow消息時算法的改進(jìn)，使用了改進(jìn)的Revised Switch Flush Method和Revised I/O Loop算法設(shè)計，增加了控制器的性能。第五，與其他類型控制器(沒有使用優(yōu)化算法的Beacon、Floodlight、NOX、Maestro)在吞吐量和處理時延等方面進(jìn)行實驗比較。

在控制層面上控制器設(shè)備的狀態(tài)遷移也是一個研究熱點，比如有些研究提出了一些控制器狀態(tài)熱遷移的解決方案，使得能夠在SDN控制器程序運行狀態(tài)下對控制器進(jìn)行升級，而不至于SDN網(wǎng)絡(luò)的工作中斷。Princeton大學(xué)的HotSwap[9]工作就是這樣的一種解決方案，這篇文章提出在控制器熱升級過程中的幾個工作狀態(tài)：record階段、replay階段、compare階段、replace階段。各個階段具體處理一些熱遷移過程中的一些必要操作。這些工作階段的目的是使得old控制器與new控制器之間能夠處于HotSwap這樣一種容器中進(jìn)行狀態(tài)的轉(zhuǎn)移或者應(yīng)用程序的升級。

也有一些其他的研究角度，比如SIGCOMM 2013會議中《Exploiting Locality in Distributed SDN Control》[10]從算法層面對SDN控制器的部署進(jìn)行研究，以求達(dá)到SDN控制器的高性能。本文的研究主要是從Locality算法與SDN控制器架構(gòu)的部署關(guān)系開始的。

隨著控制層面研究的深入，控制器集群的概念開始出現(xiàn)，為了保證網(wǎng)絡(luò)服務(wù)質(zhì)量與性能，以及避免主控制器故障帶來的影響，越來越多的學(xué)術(shù)文章以及工業(yè)界研究開始轉(zhuǎn)向控制層面的集群化發(fā)展?？刂破骷夯陌l(fā)展也帶來了一些控制層面其他的問題，比如控制器集群的主控制器選舉機(jī)制，主控制器切換機(jī)制以及控制層面北向接口服務(wù)與南向接口服務(wù)分離的問題。在這些問題研究的過程中，很多學(xué)者以及工業(yè)界研究人員提出了自己的解決方案，對其中可能存在的一些問題進(jìn)行了很好的解決。

在SDN學(xué)術(shù)界研究的過程中，控制層面的學(xué)術(shù)研究多于數(shù)據(jù)層面的研究[12-13]。因為根據(jù)SDN的架構(gòu)定義，數(shù)據(jù)層面只是擁有執(zhí)行控制層面命令或者轉(zhuǎn)發(fā)其他數(shù)據(jù)層面設(shè)備數(shù)據(jù)的功能。但是近些年來一些學(xué)者進(jìn)行的部分研究開始轉(zhuǎn)向數(shù)據(jù)層面，賦予數(shù)據(jù)層面一些新的機(jī)制[15]。

2.2 集成的平臺化發(fā)展

隨著SDN架構(gòu)的完善，越來越多的SDN北向應(yīng)用開始部署，很多通用的北向應(yīng)用開始集成，從而發(fā)展成為通用的SDN應(yīng)用平臺，比如ONOS。ONOS是一種開放的分布式的SDN操作系統(tǒng)[14]，這一控制層面是通過對FloodLight控制器進(jìn)行改進(jìn)得到的。ONOS平臺提供了對應(yīng)用程序的北向接口服務(wù)，并且ONOS作為一個控制器的容器平臺，能夠容納很多OpenFlow控制器進(jìn)行網(wǎng)絡(luò)控制層面的操作，并且實現(xiàn)了對于FloodLight控制器的支持。ONOS運行在多臺服務(wù)器上，每一臺服務(wù)器都獨立代表一個交換機(jī)子集的主控制器。在服務(wù)過程中，如其中一個服務(wù)器發(fā)生故障，則再分配給其數(shù)據(jù)層面一個主控制器，在發(fā)生故障后，可以通過相應(yīng)檢測來發(fā)現(xiàn)現(xiàn)有的主控制器是否發(fā)生了故障，并且在確信發(fā)生故障后，可以在運行時通過選舉機(jī)制進(jìn)行主控制器的選舉。

《Towards an Elastic Distributed SDN Controller》[11]也是通過平臺化的方法來對控制器進(jìn)行操作。不過主要是針對研究控制器狀態(tài)遷移過程中應(yīng)該需要處理的問題或者防止發(fā)生的問題來進(jìn)行討論的，同時也提出了一些關(guān)于控制器遷移的協(xié)議來規(guī)范狀態(tài)遷移操作，并且規(guī)范了控制器的狀態(tài)來進(jìn)行協(xié)議的準(zhǔn)備工作。

2.3 SDN安全性發(fā)展研究

SDN技術(shù)的安全性需求通常集中和變現(xiàn)在對控制層面的安全性需求。SDN的安全性研究伴隨這SDN的發(fā)展與完善。學(xué)術(shù)界關(guān)于控制層面安全性的思考與討論一直是比較多的。

由于SDN的研究近些年才開始，所以SDN架構(gòu)下很多安全問題還是比較突出的，從網(wǎng)絡(luò)安全的需求上，還是在SDN環(huán)境下的安全問題的很多方面比如DDos攻擊、攻擊易受攻擊的交換機(jī)、攻擊控制層面的通信、攻擊網(wǎng)絡(luò)中的控制器、控制器和管理應(yīng)用之間的認(rèn)證、攻擊SDN網(wǎng)絡(luò)管理者的站點、SDN網(wǎng)絡(luò)受到攻擊后補(bǔ)救方案等等還是需要及時在試驗環(huán)境下解決的。有些方面可以通過傳統(tǒng)的網(wǎng)絡(luò)安全保障方法進(jìn)行解決，有的方面在SDN網(wǎng)絡(luò)架構(gòu)下問題相對更加突出，需要運用新的思路或者新的方式進(jìn)行解決。

3 金融云虛擬網(wǎng)絡(luò)需求分析

通過多年來對于中國銀聯(lián)電子支付研究院的金融云平臺的分析和改進(jìn)，我們將總結(jié)出的構(gòu)建安全、穩(wěn)定、可靠的金融云平臺的需求主要分為四大類，分別為多層次安全性需求、面向公眾的需求、合規(guī)性檢查需求和異地云平臺互聯(lián)的需求。本節(jié)我們分別對這幾類需求進(jìn)行探討。

3.1 多層次安全性需求

1) 統(tǒng)一、全面的安全策略。計算資源集中管理使得邊界防護(hù)更易于部署。可以針對計算資源提供全面的安全策略、統(tǒng)一數(shù)據(jù)管理、安全補(bǔ)丁管理、以及突發(fā)事件管理等安全管理措施。對用戶而言，也意味著能夠有專業(yè)的安全專家團(tuán)隊對其資源和數(shù)據(jù)進(jìn)行安全保護(hù)。

2) 低安全措施成本。多個用戶共享云計算系統(tǒng)的計算資源，在集中的資源上統(tǒng)一應(yīng)用安全措施，可以降低各用戶的安全措施平均成本，即更低的投資會給用戶帶來同樣安全的保護(hù)措施。

3) 按需提供安全防護(hù)。利用快速、彈性分配資源的優(yōu)勢，云計算系統(tǒng)可以為過濾、流量整形、加密、認(rèn)證等提供安全防護(hù)措施，動態(tài)調(diào)配計算資源，提高安全措施處理效率。

3.2 面向公眾的需求

金融云的本質(zhì)是服務(wù)于金融業(yè)務(wù)。金融領(lǐng)域業(yè)務(wù)進(jìn)入云平臺是當(dāng)前的一大趨勢，基于云的業(yè)務(wù)能夠更好地為公眾提供服務(wù)的便利。傳統(tǒng)金融機(jī)構(gòu)需要的是一套合理的適合自己業(yè)務(wù)特點的金融云架構(gòu)。構(gòu)建金融云，將各項金融業(yè)務(wù)引入云平臺，不是為了迎合概念，而是真正的業(yè)務(wù)需求。對于中小銀行而言，單獨構(gòu)建機(jī)房(網(wǎng)絡(luò)、帶寬、服務(wù)器、存儲、軟件)并設(shè)置維護(hù)團(tuán)隊都是不小的開支，如果遷往云，不僅人力物力以及成本的節(jié)省非?？捎^，而且在安全性上也會有更多保障。如果能把業(yè)務(wù)接入云，則可動態(tài)調(diào)配資源，平時業(yè)務(wù)仍以自建平臺為主，高峰時候借用云的資源彈性擴(kuò)容。

金融企業(yè)往往把SDN技術(shù)應(yīng)用與原有的云戰(zhàn)略緊密結(jié)合，希望借助SDN實現(xiàn)私有云的網(wǎng)絡(luò)虛擬化和自動配置，以適應(yīng)其擴(kuò)展性和多租戶需求，并降低設(shè)備采購成本。銀聯(lián)建設(shè)金融云平臺，其中的一個計劃是將來能夠為中小銀行提供入口，將虛擬網(wǎng)絡(luò)資源提供給中小銀行使用，中小銀行用戶作為云平臺的租戶，可享受虛擬機(jī)、虛擬網(wǎng)絡(luò)等資源。

3.3 金融云合規(guī)性檢查需求

不管是傳統(tǒng)業(yè)務(wù)的遷移還是新業(yè)務(wù)的開發(fā)，一旦這些業(yè)務(wù)系統(tǒng)在云計算平臺上開始運行，它們所處的信息系統(tǒng)環(huán)境和之前傳統(tǒng)的信息系統(tǒng)環(huán)境相比有了很大的區(qū)別，加之云業(yè)務(wù)系統(tǒng)的特殊性(這些業(yè)務(wù)大多涉及敏感信息)，這樣一來，原本合規(guī)的業(yè)務(wù)就存在不再合規(guī)的風(fēng)險。所以，有必要對這些云計算業(yè)務(wù)重新進(jìn)行合規(guī)性審核，檢查這些業(yè)務(wù)是否符合相關(guān)行業(yè)的安全標(biāo)準(zhǔn)和法律法規(guī)的要求。

由于已發(fā)布的《信息系統(tǒng)安全等級保護(hù)》并還沒考慮云計算的模式，所以，當(dāng)金融業(yè)務(wù)遷往云平臺之后，原有的業(yè)務(wù)合規(guī)性就會受到?jīng)_擊。為此，我們有必要在《信息系統(tǒng)安全等級保護(hù)》的基礎(chǔ)之上，針對云計算的特點對移動支付服務(wù)業(yè)務(wù)重新進(jìn)行合規(guī)性審核。

在云平臺事后審計方面，銀聯(lián)也做了大量工作。包括自研了云審計系統(tǒng)，通過其完善的計算、網(wǎng)絡(luò)審計功能可以發(fā)現(xiàn)云平臺的各類不合規(guī)的操作。重點需要關(guān)注以下幾個方面：

1) 系統(tǒng)隔離

云計算中廣泛使用了虛擬化技術(shù)，各業(yè)務(wù)系統(tǒng)之間共享資源。如果虛擬化系統(tǒng)之間沒有采取有效的隔離措施，那么隱私數(shù)據(jù)泄漏的風(fēng)險就會大大增加。要仔細(xì)分析整個業(yè)務(wù)系統(tǒng)所處的環(huán)境，確保該系統(tǒng)和其他業(yè)務(wù)系統(tǒng)之間實施了很好的物理隔離或邏輯隔離；檢查Hypervisor的配置是否符合相關(guān)的安全規(guī)范，是否采取必要的措施來加固Hypervisor自身的安全性(例如：安全補(bǔ)丁、訪問控制、用戶認(rèn)證、關(guān)閉不必要服務(wù)、通信加密、限制對Hypervisor的遠(yuǎn)程訪問等)。

2) 網(wǎng)絡(luò)隔離

傳統(tǒng)的信息系統(tǒng)通常采用防火墻來實現(xiàn)網(wǎng)絡(luò)隔離，而在云計算中，虛擬防火墻和虛擬交換機(jī)等技術(shù)被用來實現(xiàn)虛擬機(jī)之間的訪問控制，要確保它們按照產(chǎn)品安全配置規(guī)范進(jìn)行了正確的配置和部署，以達(dá)到和物理防火墻相當(dāng)?shù)谋Ｗo(hù)級別。

3) 業(yè)務(wù)流量審計

通過截取分析業(yè)務(wù)流量審查業(yè)務(wù)的操作流程是否合規(guī)、業(yè)務(wù)流量是否純凈、數(shù)據(jù)包是否符合設(shè)計規(guī)范等。可以通過在Domain0中安裝虛擬交換機(jī)(vSwitch)，配置端口鏡像，來監(jiān)聽虛擬機(jī)之間的通信流量。

3.4 異地云平臺互聯(lián)需求

對于擁有多個數(shù)據(jù)中心的大型金融機(jī)構(gòu)，利用金融云計算解決方案中的軟件定義網(wǎng)絡(luò)架構(gòu)，實現(xiàn)多個數(shù)據(jù)中心建的互聯(lián)互通，并可實現(xiàn)網(wǎng)絡(luò)設(shè)備與配置的統(tǒng)一自動化管理?？梢允菇鹑谠凭W(wǎng)絡(luò)管理效率大幅提升。

可使用VXLAN技術(shù)，對云平臺中的虛擬機(jī)通信數(shù)據(jù)包進(jìn)行封裝，支持位于異地的多數(shù)據(jù)中心之間的網(wǎng)絡(luò)連接。該技術(shù)允許同一子網(wǎng)(具有相同的VXLAN標(biāo)識)內(nèi)的虛擬機(jī)分布在不同數(shù)據(jù)中心，且能夠互相訪問[5]。

4 金融云平臺的SDN設(shè)計

4.1 網(wǎng)絡(luò)架構(gòu)模型及其功能

銀聯(lián)網(wǎng)絡(luò)虛擬化的總體功能分為以下幾個層次：應(yīng)用平臺功能、增值業(yè)務(wù)功能、增值管理功能、組網(wǎng)功能和資源管理功能。系統(tǒng)的角色分為以下幾類：超級管理員、租戶網(wǎng)絡(luò)管理員以及VPC租戶。

1) 應(yīng)用平臺功能

(1) 計算資源(VM)管理:租戶在所屬VPC內(nèi)創(chuàng)建并管理虛擬機(jī)，接入租戶虛擬網(wǎng)絡(luò)；

(2) 浮動IP管理：租戶申請為虛擬機(jī)綁定外網(wǎng)IP，使得外網(wǎng)能直接通過浮動IP訪問該虛擬機(jī)；

(3) VPC網(wǎng)絡(luò)管理:租戶網(wǎng)絡(luò)管理員對VPC網(wǎng)絡(luò)的虛擬路由、安全組進(jìn)行配置管理，并處理租戶對虛擬機(jī)浮動IP地址的申請。

2) 增值業(yè)務(wù)功能

(1) 防火墻服務(wù)(Fwaas):租戶網(wǎng)絡(luò)管理員為VPC創(chuàng)建虛擬防火墻，并管理防火墻規(guī)則；

(2) 負(fù)載均衡服務(wù)(LBaaS):租戶網(wǎng)絡(luò)管理員為VPC創(chuàng)建虛擬負(fù)載均衡器，并配置規(guī)則；

(3) VPN服務(wù)(VPNaaS):租戶網(wǎng)絡(luò)管理員為VPC配置虛擬網(wǎng)絡(luò)VPN服務(wù)。

3) 增值運營功能

(1) 訪問控制:租戶網(wǎng)絡(luò)管理員在子網(wǎng)內(nèi)和子網(wǎng)間配置訪問控制策略，阻止虛擬機(jī)資源被非法訪問的功能；

(2) 流量監(jiān)控:租戶網(wǎng)絡(luò)管理員利用端口鏡像技術(shù)將網(wǎng)絡(luò)中虛擬機(jī)和物理機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包鏡像到專用設(shè)備，并進(jìn)行監(jiān)控的功能；

(3) QoS管理:租戶網(wǎng)絡(luò)管理員按照一定的QoS管理策略，對網(wǎng)絡(luò)中的虛擬端口和物理端口進(jìn)行帶寬限制的功能；

(4) 資源配額管理:租戶網(wǎng)絡(luò)管理員查看VPC租戶的虛擬網(wǎng)絡(luò)資源分配及使用情況，對租戶的虛擬網(wǎng)絡(luò)資源進(jìn)行分配。

4) 組網(wǎng)功能

(1) 虛擬網(wǎng)絡(luò):二層/三層數(shù)據(jù)交換，利用V(X)LAN技術(shù)對虛擬網(wǎng)絡(luò)進(jìn)行邏輯劃分和隔離，通過VTEP(VXLAN Tunnel Endpoint)將隧道通信數(shù)據(jù)包組播/廣播到虛擬網(wǎng)絡(luò)中的功能；

(2) 網(wǎng)絡(luò)虛鏈路轉(zhuǎn)發(fā):將虛擬網(wǎng)絡(luò)隧道通信鏈路映射到物理網(wǎng)絡(luò)設(shè)備中，并轉(zhuǎn)發(fā)的功能。

5) 資源管理功能

(1) 網(wǎng)絡(luò)資源池管理:超級管理員對網(wǎng)絡(luò)資源池的資源進(jìn)行管理，包括外部網(wǎng)絡(luò)管理和IP地址段管理等；

(2) 計算資源池管理:超級管理員對計算資源池中的資源進(jìn)行管理，包括計算節(jié)點(物理服務(wù)器)的管理等；

(3) 鏡像管理:超級管理員對虛擬網(wǎng)絡(luò)可使用的虛擬機(jī)鏡像進(jìn)行管理；

(4) 網(wǎng)絡(luò)設(shè)備管理:超級管理員對硬件網(wǎng)絡(luò)設(shè)備進(jìn)行管理，分配到各網(wǎng)絡(luò)資源池中，為網(wǎng)絡(luò)資源池的資源虛擬化提供設(shè)備硬件支持。

圖1為銀聯(lián)網(wǎng)絡(luò)架構(gòu)模型圖，如圖1所示，管理平面組件運行于云管理平臺、控制平面組件運行于控制器，分別單獨部署。而數(shù)據(jù)平面組件則包含虛擬交換機(jī)、物理交換機(jī)與邊緣設(shè)備等，其中邊緣設(shè)備又包括網(wǎng)關(guān)、防火墻、負(fù)載均衡器等等。

該架構(gòu)采用了VXLAN技術(shù)，對物理網(wǎng)絡(luò)架構(gòu)并沒有特別要求，物理交換機(jī)可以按傳統(tǒng)網(wǎng)絡(luò)的方式進(jìn)行部署，中間原有網(wǎng)絡(luò)設(shè)備啟用三層協(xié)議作為VXLAN的基礎(chǔ)網(wǎng)絡(luò)。

圖1 網(wǎng)絡(luò)架構(gòu)模型圖

VTEP(VXLAN)作為VXLAN隧道的端點，用來創(chuàng)建、終結(jié)VXLAN隧道鏈路，OpenvSwitch和VXLAN網(wǎng)關(guān)都具備對其的實現(xiàn)。

VXLAN網(wǎng)關(guān)部署于VXLAN網(wǎng)絡(luò)的邊緣，用于終結(jié)VXLAN網(wǎng)絡(luò)，實現(xiàn)VXLAN網(wǎng)絡(luò)之間以及VXLAN與非VXLAN網(wǎng)絡(luò)的互連。應(yīng)當(dāng)使用專用硬件交換設(shè)備來實現(xiàn)VXLAN網(wǎng)關(guān)的功能。

防火墻專用設(shè)備旁掛部署于VXLAN網(wǎng)關(guān)，部署雙機(jī)熱備保護(hù)。為每個虛擬路由配置一個虛擬防火墻，通過子接口互聯(lián)。控制器在網(wǎng)關(guān)上配置策略，將租戶業(yè)務(wù)流量(三層流量)引至防火墻處理；同時在防火墻上配置策略，實現(xiàn)業(yè)務(wù)安全互訪控制；此外在防火墻出接口配置默認(rèn)路由，將流量回引至虛擬路由。

負(fù)載均衡專用設(shè)備旁掛部署于VXLAN網(wǎng)關(guān)，部署雙機(jī)熱備保護(hù)。為每個虛擬路由配置一個虛擬負(fù)載均衡器，通過子接口互聯(lián)。

4.2 虛擬網(wǎng)絡(luò)控制平面分析

在銀聯(lián)云平臺虛擬網(wǎng)絡(luò)中，控制平面扮演著非常重要的角色，具體是由控制器集群構(gòu)成的，包含OpenDaylight等為代表的開源控制器，或者硬件控制器設(shè)備。它首先能通過OpenFLow協(xié)議與底層的虛擬交換機(jī)(或支持OpenFlow的物理交換機(jī))通信，定義并控制底層網(wǎng)絡(luò)數(shù)據(jù)流，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的控制和管理；其次，控制層需要為上層的應(yīng)用層提供API，能與云平臺集成，兼容主流的云管理平臺，幫助云平臺輕松實現(xiàn)網(wǎng)絡(luò)策略下發(fā)及調(diào)整。在銀聯(lián)云環(huán)境中主要需要兼容OpenStack[4]，使得OpenStack能夠獲取虛擬網(wǎng)絡(luò)中的各類虛擬設(shè)備(控制器、路由器、交換機(jī))信息。此外，還可以基于業(yè)務(wù)特點對網(wǎng)絡(luò)進(jìn)行定制，實現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)的無縫融合。

當(dāng)前，云平臺系統(tǒng)已通過虛擬化和自動化技術(shù)大幅提升了部署效率，但是云業(yè)務(wù)不僅需要計算和存儲資源，也包括網(wǎng)絡(luò)資源；物理網(wǎng)絡(luò)部署的低效率，以及其與虛擬網(wǎng)絡(luò)系統(tǒng)的割裂，日益成為云數(shù)據(jù)中心的核心矛盾。如果數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)相互割裂，將在資源統(tǒng)一發(fā)放、故障聯(lián)動診斷等方面會產(chǎn)生一系列問題，成為云業(yè)務(wù)部署效率的最大障礙。

因此，在虛擬網(wǎng)絡(luò)與硬件網(wǎng)絡(luò)集成后，需要實現(xiàn)虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)相互感知，統(tǒng)一視圖，端到端統(tǒng)一管理?？刂破矫婺芡瑫r獲取虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的信息，以全網(wǎng)絡(luò)視角統(tǒng)一管理虛擬和物理網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)發(fā)生故障時，不但可以及時準(zhǔn)確呈現(xiàn)出故障節(jié)點，還能實現(xiàn)虛擬和物理網(wǎng)絡(luò)的故障聯(lián)動運維。

虛擬網(wǎng)絡(luò)控制平面主要由流表和控制器構(gòu)成。在銀聯(lián)虛擬網(wǎng)絡(luò)環(huán)境中，所有虛擬網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)操作均由虛擬交換機(jī)Open vSwitch查詢流表之后完成，流表在用戶對網(wǎng)絡(luò)進(jìn)行基本配置后由控制器生成并下發(fā)保存在Open vSwitch上。

控制器連接所有被控制交換機(jī)，所有在云管理平臺對網(wǎng)絡(luò)進(jìn)行的配置操作，如創(chuàng)建網(wǎng)絡(luò)和子網(wǎng)、發(fā)放虛擬路由、虛擬防火墻與負(fù)載均衡器等，均通過控制器來最終實現(xiàn)對被控制交換機(jī)的配置。

控制器北向通過API同OpenStack平臺相鏈接。并提供REST APIs供使用者開發(fā)兼容于虛擬網(wǎng)絡(luò)的應(yīng)用程序，來更好和個性化地控制虛擬網(wǎng)絡(luò)，提供諸如安全檢測、QoS保障、訪問控制等功能?？刂破鞯谋毕蜻€自帶GUI，方便用戶管理和控制虛擬網(wǎng)絡(luò)。

控制器的南向同所有的被控制交換機(jī)相連接，包括虛擬交換機(jī)Open vSwitch和用作VXLAN網(wǎng)關(guān)的硬件交換機(jī)，所有被控制交換機(jī)在連入虛擬網(wǎng)絡(luò)時通過LLDP協(xié)議在控制器上注冊。

在進(jìn)行虛擬網(wǎng)絡(luò)控制平面設(shè)計的時候，我們主要根據(jù)控制層面需求的控制器高可用性、網(wǎng)關(guān)與接入高可用性、Neutron及OVS高可用性、防火墻與負(fù)載均衡高可用性進(jìn)行設(shè)計。

根據(jù)圖2中控制器架構(gòu)，實現(xiàn)網(wǎng)絡(luò)中控制器組件的高可用性。

(1) 架構(gòu)中控制器為集群部署，采用浮動IP，并且集群中的每個控制器都有一個自己的編號ID。數(shù)據(jù)層面的網(wǎng)絡(luò)設(shè)備只與控制器集群的主控制器保持一條連接。當(dāng)網(wǎng)絡(luò)中控制器集群的主節(jié)點出現(xiàn)故障時，控制器集群檢測到主節(jié)點連接斷開后，向其他節(jié)點廣播主節(jié)點故障消息，集群中的ID編號最小的控制器自動升為主控制器。

圖2 控制器高可用性架構(gòu)

(2) 架構(gòu)中數(shù)據(jù)層面設(shè)備與控制器之間存在主備鏈路。當(dāng)設(shè)備與控制器連接發(fā)送鏈路故障時，設(shè)備與控制器之間的鏈路發(fā)送切換，重新建立連接。重新建立連接過程中，數(shù)據(jù)層面設(shè)備的流表不變，原有轉(zhuǎn)發(fā)不中斷。在新連接建立后，重新刷新數(shù)據(jù)層面設(shè)備的流表。

根據(jù)圖2中架構(gòu)圖所示，可實現(xiàn)網(wǎng)絡(luò)中網(wǎng)關(guān)組件的高可用性。在此架構(gòu)中，兩臺VXLAN網(wǎng)關(guān)設(shè)備主備，并且兩臺設(shè)備的配置一致。網(wǎng)絡(luò)中ARP請求由控制器代答，無泛洪學(xué)習(xí)過程。接入設(shè)備與網(wǎng)關(guān)設(shè)備鏈路形成等價路徑，實現(xiàn)備份及負(fù)載分擔(dān)。

根據(jù)圖2中所示，接入交換機(jī)堆疊，形成主備，實現(xiàn)接入的高可用性。接入交換機(jī)之間互連鏈路設(shè)置鏈路聚合實現(xiàn)備份和負(fù)載分擔(dān)。

在針對Neutron及OVS高可用性需求的設(shè)計方面，我們的設(shè)計方法為：

1) OVS及Neutron L2代理的高可用

Open vSwitch分布在各計算節(jié)點上，而Neutron二層代理同樣分布在每個計算節(jié)點上，用以配置Open vSwitch接口，保證虛擬網(wǎng)絡(luò)的連通性；Open vSwitch及Neutron二層代理本身已經(jīng)是分布式部署，很難實現(xiàn)高可用。事實上，當(dāng)某一Open vSwitch或Neutron二層代理發(fā)生故障時，會影響所在計算節(jié)點上虛擬機(jī)的網(wǎng)絡(luò)連通性，并不會對系統(tǒng)中其他位置的網(wǎng)絡(luò)造成影響。

2) Neutron組件高可用

除了二層代理，Neutron組件還包括DHCP代理、L3代理和LBaaS(負(fù)載均衡)代理，根據(jù)OpenStack官方文檔，以上代理的高可用性可通過主備方式實現(xiàn)，使用Pacemaker工具作為Neutron高可用組件。

在針對防火墻與負(fù)載均衡高可用性需求設(shè)計方面，我們的方式如下：

1) 防火墻高可用性設(shè)計

防火墻旁掛于VXLAN網(wǎng)關(guān)，通過部署雙機(jī)熱備份進(jìn)行保護(hù)。防火墻通過虛擬化，每個虛擬路由器配置一個虛擬防火墻，并通過子接口進(jìn)行互聯(lián)。VXLAN網(wǎng)關(guān)作為業(yè)務(wù)網(wǎng)關(guān)，終結(jié)VXLAN網(wǎng)絡(luò)中數(shù)據(jù)包向外傳輸，并通過控制器在網(wǎng)關(guān)上的配置策略將用戶的業(yè)務(wù)流量引至防火墻處理?？刂破魍ㄟ^在防火墻上配置策略，用來實現(xiàn)業(yè)務(wù)的安全互訪控制?？刂破魍ㄟ^在防火墻出接口配置默認(rèn)路由，將流量回引至虛擬路由器并處理。

圖3 防火墻與負(fù)載均衡高可用性架構(gòu)

2) 負(fù)載均衡高可用性設(shè)計

負(fù)載均衡旁掛部署于VXLAN網(wǎng)關(guān)(與防火墻部署類似)，也是通過部署雙機(jī)熱備份進(jìn)行保護(hù)。負(fù)載均衡通過虛擬化，每個虛擬路由器配置一個虛擬負(fù)載均衡，并且通過子接口互聯(lián)。如果業(yè)務(wù)流量有負(fù)載均衡需求，可以在虛擬負(fù)載均衡中定義負(fù)載均衡模式，將流量引入虛擬負(fù)載均衡，對流量進(jìn)行處理之后通過虛擬負(fù)載均衡配置的默認(rèn)路由將流量引至虛擬路由器。

4.3 虛擬網(wǎng)絡(luò)數(shù)據(jù)平面分析

數(shù)據(jù)平面實現(xiàn)邏輯視圖中的資源層部分，即虛擬交換機(jī)、物理交換機(jī)以及邊緣設(shè)備等。在銀聯(lián)虛擬網(wǎng)絡(luò)中，虛擬交換機(jī)由Open vSwitch實現(xiàn)，物理交換機(jī)由傳統(tǒng)物理交換機(jī)實現(xiàn)，邊緣設(shè)備由支持VXLAN與OpenFlow的網(wǎng)關(guān)設(shè)備以及旁掛的防火墻設(shè)備和負(fù)載均衡器等實現(xiàn)，數(shù)據(jù)中心虛擬網(wǎng)絡(luò)使用VXLAN技術(shù)構(gòu)建。

同一物理主機(jī)上虛擬機(jī)之間的通信不需要使用VXLAN，依然可以使用VLAN技術(shù)；不同物理主機(jī)上的虛擬機(jī)通信時(同一VXLAN網(wǎng)絡(luò))，虛擬機(jī)產(chǎn)生的流會通過虛擬網(wǎng)橋br1上的VXALN接口進(jìn)行封裝，最終以UDP數(shù)據(jù)包的形式進(jìn)入物理網(wǎng)絡(luò)，這里的VXLAN接口起到了VTEP的作用。

如圖4(圖中各網(wǎng)絡(luò)元素關(guān)系見表1)所示，其通信流程為：

(1) VM1發(fā)送ARP請求。

(2) NVE1更新本地MAC轉(zhuǎn)發(fā)表。

(3) NVE1通過流表匹配，將ARP請求上送AC。

(4) AC根據(jù)目的IP，查找到VM3對應(yīng)的MAC3及NVE2，通過NVE1發(fā)送ARP相應(yīng)報文給VM1。

(5) AC同時向NVE1下發(fā)目的地址MAC3的轉(zhuǎn)發(fā)流表，出接口為VXLAN tunnel NVE2。

(6) VM1向VM3發(fā)送業(yè)務(wù)報文。

(7) 報文到達(dá)NVE1后，查找MAC轉(zhuǎn)發(fā)表，找到出接口VXLAN tunnel NVE2，進(jìn)行VXLAN封裝，外層目的地址為NVE2，源地址為NVE1。

(8) 報文根據(jù)外層IP地址進(jìn)行路由轉(zhuǎn)發(fā)到NVE2，NVE2接收報文后，執(zhí)行VXLAN解封裝，然后本地轉(zhuǎn)發(fā)/廣播到VM3。

圖4 同子網(wǎng)二層互訪流程

表1 同子網(wǎng)通信網(wǎng)絡(luò)元素對應(yīng)表

當(dāng)接入VXLAN網(wǎng)絡(luò)的虛擬機(jī)與接入非VXLAN網(wǎng)絡(luò)的虛擬機(jī)需要進(jìn)行通信時，需要VXLAN網(wǎng)關(guān)的支持，所有VXLAN網(wǎng)絡(luò)上的流均能通過VXLAN網(wǎng)關(guān)進(jìn)入非VXLAN網(wǎng)絡(luò)。其訪問流程大致如下(參見圖5，圖5中各網(wǎng)絡(luò)元素關(guān)系見表2)：

(1) VM1發(fā)送ARP請求。

(2) NVE1更新本地MAC轉(zhuǎn)發(fā)表。

(3) NVE1通過流表匹配，將ARP請求向AC上送。

(4) AC根據(jù)目的IP，查找到對應(yīng)的MAC5及NVE3，通過NVE1發(fā)送ARP相應(yīng)報文給VM1。

(5) AC同時向NVE1下發(fā)目的地址MAC5的轉(zhuǎn)發(fā)流表，其出接口為VXLAN Tunnel NVE3。

(6) VM1向VM4發(fā)送業(yè)務(wù)報文。

(7) 報文到達(dá)NVE1后，查找MAC轉(zhuǎn)發(fā)表，找到出接口NVE3，進(jìn)行VXLAN封裝，外層目的地址為NVE3，源地址為NVE1。

(8) 報文依據(jù)外層IP路由轉(zhuǎn)發(fā)到NVE3，NVE3收到報文后進(jìn)行VXLAN解封裝，查找路由，轉(zhuǎn)發(fā)報文至目的IP所在的網(wǎng)關(guān)NVE4；NV4查找MAC轉(zhuǎn)發(fā)表，找到出接口NVE2，進(jìn)行VXLAN封裝，外層目的地址為NVE2，源地址為NVE4。

(9) 報文根據(jù)外層IP路由轉(zhuǎn)發(fā)到NVE2，NVE2接收報文后，執(zhí)行VXLAN解封裝，然后本地轉(zhuǎn)發(fā)/廣播到VM4。

圖5 跨子網(wǎng)三層互訪流程

表2 跨子網(wǎng)通信網(wǎng)絡(luò)元素對應(yīng)表

4.4 整體方案分析

我們設(shè)計銀聯(lián)虛擬網(wǎng)絡(luò)架構(gòu)的原則，是根據(jù)銀聯(lián)之前虛擬網(wǎng)絡(luò)的需求進(jìn)行的。從具體的技術(shù)層面分析，我們認(rèn)為一個功能完善的虛擬網(wǎng)絡(luò)系統(tǒng)一般應(yīng)包含以下功能：

(1) 虛擬機(jī)能夠與外網(wǎng)、物理機(jī)、其他虛擬機(jī)正常通信；

(2) 網(wǎng)絡(luò)的虛擬化對用戶來說是透明的；

(3) 虛擬機(jī)的IP地址可以動態(tài)分配，與其所在物理機(jī)的位置無關(guān)；

(4) 虛擬機(jī)在遷移過程中網(wǎng)絡(luò)配置不變，主要是IP/MAC地址不變；

(5) 虛擬網(wǎng)絡(luò)配置和管理方便；

(6) 虛擬網(wǎng)絡(luò)要能夠方便的擴(kuò)展；

(7) 網(wǎng)絡(luò)性能要達(dá)到一定要求；

(8) 滿足安全需求，能夠?qū)崿F(xiàn)不同用戶在網(wǎng)絡(luò)上的相互隔離。

根據(jù)以上的原則出發(fā)，在我們完成設(shè)計任務(wù)的時候，我們認(rèn)為整體設(shè)計方案基本達(dá)到了以下目的：

(1) 能夠自定義虛擬機(jī)之間的訪問規(guī)則，控制虛擬機(jī)之間通信；

(2) 整個系統(tǒng)的各個功能模塊有清晰的職責(zé)界限；

(3) 能夠通過使用VLAN tag或VXLAN來隔離多租戶子網(wǎng)。

4.5 總 結(jié)

銀聯(lián)的云網(wǎng)絡(luò)服務(wù)構(gòu)建了一個安全的云平臺網(wǎng)絡(luò)環(huán)境，通過云平臺管理系統(tǒng)可以完全掌握銀聯(lián)金融私有云平臺網(wǎng)絡(luò)資源，包括選擇自有IP地址范圍、劃分網(wǎng)段等。此外也可以通過互聯(lián)網(wǎng)/專線/VPN等連接方式連接至銀聯(lián)私有云平臺[2]。

通過創(chuàng)新性的云計算組織溝通機(jī)制，將大量計算資源組織起來，協(xié)同工作，資源個體可進(jìn)可出，收縮自如，減少組織內(nèi)的溝通損耗；當(dāng)組織內(nèi)個體情況發(fā)生變化時，可以及時查知信息，確保資源額變化實時反映在系統(tǒng)性能上，做到動態(tài)感知；并同時平衡各節(jié)點的壓力，做到動態(tài)負(fù)載均衡。同時，用戶無需關(guān)心底層的實現(xiàn)方式，只需要專注于上層的業(yè)務(wù)邏輯。

通過基于SDN的虛擬網(wǎng)絡(luò)架構(gòu)來構(gòu)建新的虛擬網(wǎng)絡(luò)相對于之前的金融云平臺的虛擬網(wǎng)絡(luò)架構(gòu)來具有以下幾個方面的優(yōu)勢：

? 網(wǎng)絡(luò)虛擬化能大幅度節(jié)省企業(yè)的開銷，一般只需要一個物理網(wǎng)絡(luò)即可滿足服務(wù)要求。而基于SDN的網(wǎng)絡(luò)架構(gòu)進(jìn)一步節(jié)省了企業(yè)的開銷。

? 相對于之前的網(wǎng)絡(luò)架構(gòu)，新的網(wǎng)絡(luò)架構(gòu)簡化了企業(yè)網(wǎng)絡(luò)的運維和管理。

? 提高了網(wǎng)絡(luò)的安全性。之前的虛擬網(wǎng)絡(luò)架構(gòu)很難做到安全策略的統(tǒng)一和協(xié)調(diào)。在新的網(wǎng)絡(luò)架構(gòu)下，通過控制層面的統(tǒng)一管理，整個網(wǎng)絡(luò)的安全策略得到了很好的統(tǒng)一與協(xié)調(diào)。

? 提升了網(wǎng)絡(luò)和業(yè)務(wù)的可靠性。由于新的網(wǎng)絡(luò)架構(gòu)中對高可用性的設(shè)計，當(dāng)集群中的一些小的設(shè)備出現(xiàn)故障時，整體的業(yè)務(wù)系統(tǒng)不會有任何的影響。

通過以上對基于SDN的金融云試驗平臺虛擬網(wǎng)絡(luò)架構(gòu)的敘述，我們認(rèn)為我們設(shè)計的網(wǎng)絡(luò)架構(gòu)模型滿足了新的需求，并且對整體的業(yè)務(wù)和網(wǎng)絡(luò)的性能、功能都有了很大的提升，是一種比較好的解決方案。

5 結(jié) 語

以上為銀聯(lián)電子商務(wù)與電子支付國家工程實驗室在金融云平臺虛擬網(wǎng)絡(luò)領(lǐng)域的初步研究與設(shè)計，未來我們正計劃基于現(xiàn)有研究成果，在銀聯(lián)環(huán)境內(nèi)搭建基于軟件定義網(wǎng)絡(luò)的下一代金融云平臺。該環(huán)境目標(biāo)是對外向銀行、證券、保險以及第三方金融機(jī)構(gòu)就未來金融領(lǐng)域聯(lián)合創(chuàng)新提供開放的、共享的服務(wù)平臺，對內(nèi)向總/分/子公司提供技術(shù)先進(jìn)、響應(yīng)迅速的業(yè)務(wù)創(chuàng)新試驗場。

在該環(huán)境中，我們將重點解決現(xiàn)有軟件定義網(wǎng)絡(luò)技術(shù)綁定單一廠商的問題，同時可有效利用現(xiàn)有非SDN的網(wǎng)絡(luò)設(shè)備，兼容軟硬件、開源商業(yè)形態(tài)的解決方案并存共融，利用X86容錯機(jī)、DBDK等技術(shù)提升SDN網(wǎng)絡(luò)可用性與性能，研發(fā)出多種符合金融特色網(wǎng)絡(luò)應(yīng)用功能模型。并探索出一套符合金融行業(yè)SDN網(wǎng)絡(luò)的測試評估方案，在對銀聯(lián)金融云環(huán)境進(jìn)行實踐評測優(yōu)化后，功能性、可用性、安全性、擴(kuò)展性、管理性依據(jù)金融行業(yè)標(biāo)準(zhǔn)得到有效驗證后，向銀聯(lián)生產(chǎn)云進(jìn)行推廣應(yīng)用。

[1] Koponen T, Amidon K, Balland P, et al. Network virtualization in multi-tenant datacenters[C]// Usenix Conference on Networked Systems Design and Implementation. USENIX Association, 2014:203-216.

[2] 銀聯(lián)基于OpenStack的金融私有云建設(shè)實踐[EB/OL].[2015].http://www.csdn.net/article/2015-10-06/2825 848.

[3] Jain R, Paul S. Network virtualization and software defined networking for cloud computing: a survey[J]. Communications Magazine, IEEE, 2013, 51(11): 24-31.

[4] OpenStack[EB/OL].[2015]. http://docs.openstack.org.

[5] Mahalingam M, Dutt D, Duda K, et al. Virtual extensible local area network (VXLAN): A framework for overlaying virtualized layer 2 networks over layer 3 networks[J]. Internet Req. Comments, 2014.

[6] Mckeown N, Anderson T, Balakrishnan H, et al. OpenFlow: enabling innovation in campus networks[J]. Acm Sigcomm Computer Communication Review, 2008, 38(2):69-74.

[7] OpenFlow[EB/OL].[2015]. http://www.openflow.org/.

[8] Erickson D. The beacon openflow controller[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2013:13-18.

[9] Vanbever L, Reich J, Benson T, et al. HotSwap: correct and efficient controller upgrades for software-defined networks[C]// Proceedings of the Second Acm Sigcomm Workshop on Hot Topics in Software Defined Networking, 2013:133-138.

[10] Schmid S, Suomela J. Exploiting locality in distributed SDN control[C]// ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2013:121-126.

[11] Dixit A, Hao F, Mukherjee S, et al. Towards an elastic distributed SDN controller[J]. Acm Sigcomm Computer Communication Review, 2013, 43(4):7-12.

[12] Mekky H, Hao F, Mukherjee S, et al. Application-aware data plane processing in SDN[C]// The Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2014:13-18.

[13] Fayaz S K, Sekar V. Testing stateful and dynamic data planes with FlowTest[C]// The Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2014:79-84.

[14] Berde P, Gerola M, Hart J, et al. ONOS: towards an open, distributed SDN OS[C]// The Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2014:1-6.

[15] Al-Shabibi A, De Leenheer M, Gerola M, et al. OpenVirteX: make your virtual SDNs programmable[C]// The Workshop on Hot Topics in Software Defined NETWORKING. ACM, 2014:25-30.

RESEARCH ON VIRTUAL NETWORK OF FINANCIAL CLOUD TEST PLATFORM BASED ON SDN

Zu Lijun1Du Xuekai2Zhou Yongkai1Liu Guobao1Yang Yang1Wu Jie2Wu Chengrong2

1(NationalEngineeringLaboratoryforElectronicCommerceandElectronicPayment,ChinaUnionPayElectronicPaymentResearchInstitute,Shanghai201201,China)2(FudanUniversity,Shanghai200433,China)

The current SDN network is being studied by many research institutions and tested by many companies to test. The SDN network separates the control layer and the data layer in the traditional network architecture, making the network architecture become very simple, and more applications can be realized by using the north interface provided by the control layer, which simplifies the network management. This paper discussed the development and future trend of SDN, briefly introduced the SDN-based financial cloud test platform of China UnionPay Electronic Payment Research Institute, also analyzed and discussed this experimental virtual network.

Software-defined network Control layer Data layer Financial cloud China UnionPay

2016-02-05。國家云計算示范工程項目(C73623989020220110006)。祖立軍，工程師，主研領(lǐng)域：云計算與電子支付技術(shù)。杜學(xué)凱，碩士。周雍愷，碩士。劉國寶，碩士。楊陽，碩士。吳杰，博士。吳承榮，博士。

TP3

A

10.3969/j.issn.1000-386x.2017.06.026