何 朔

(中國銀聯(lián)股份有限公司 上海 201201)

SDN在金融數(shù)據(jù)中心網(wǎng)絡(luò)中的應(yīng)用

何 朔

(中國銀聯(lián)股份有限公司 上海 201201)

從金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展歷程的分析出發(fā)，研判未來金融數(shù)據(jù)中心網(wǎng)絡(luò)的發(fā)展需求，認(rèn)為SDN技術(shù)是未來金融數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用與發(fā)展的必然趨勢。面對(duì)SDN技術(shù)在金融場景下應(yīng)用的挑戰(zhàn)，給出了下一代金融數(shù)據(jù)中心組網(wǎng)模型重構(gòu)設(shè)計(jì)方案，同時(shí)創(chuàng)新地提出一種基于地址池規(guī)劃與虛擬路由轉(zhuǎn)發(fā)隔離結(jié)合的異構(gòu)SDN Fabric區(qū)域互聯(lián)技術(shù)，配套金融防火墻與負(fù)載均衡接入模式設(shè)計(jì)，實(shí)現(xiàn)跨區(qū)域路由轉(zhuǎn)發(fā)控制、區(qū)域間安全策略管理，以及多租戶網(wǎng)絡(luò)信息跨域同步等功能，并在原型實(shí)現(xiàn)基礎(chǔ)上進(jìn)一步給出了網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)性能優(yōu)化的研究成果。

軟件定義網(wǎng)絡(luò) 金融數(shù)據(jù)中心網(wǎng)絡(luò) 異構(gòu)組網(wǎng)

0 引 言

隨著寬帶互聯(lián)網(wǎng)的普及、移動(dòng)互聯(lián)與移動(dòng)應(yīng)用的發(fā)展、云計(jì)算/大數(shù)據(jù)與區(qū)塊鏈等新技術(shù)的應(yīng)用，技術(shù)正在逐漸改變?nèi)祟惖纳罘绞脚c商業(yè)行為。在這樣的大環(huán)境下，金融創(chuàng)新層出不窮，以“互聯(lián)網(wǎng)+金融”為代表的新金融應(yīng)用迸發(fā)活力，推動(dòng)金融變革與創(chuàng)新。

新應(yīng)用運(yùn)行產(chǎn)生了新的數(shù)據(jù)網(wǎng)絡(luò)傳輸模型，對(duì)應(yīng)用后臺(tái)部署的數(shù)據(jù)中心網(wǎng)絡(luò)提出了新的技術(shù)要求。通過對(duì)業(yè)界網(wǎng)絡(luò)技術(shù)發(fā)展現(xiàn)狀與技術(shù)的研究與剖析，我們認(rèn)為軟件定義網(wǎng)絡(luò)(SDN)是企業(yè)級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)IT技術(shù)發(fā)展到高級(jí)階段的必然產(chǎn)物，對(duì)自動(dòng)化與合規(guī)性有特色行業(yè)屬性的金融數(shù)據(jù)中心網(wǎng)絡(luò)尤為契合，有助于推動(dòng)金融IT向高效服務(wù)化的轉(zhuǎn)型，從而提升金融機(jī)構(gòu)的創(chuàng)新能力。本文從金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展歷程出發(fā)，分析了金融數(shù)據(jù)中心網(wǎng)絡(luò)未來發(fā)展過程中面臨的挑戰(zhàn)，在對(duì)軟件定義網(wǎng)絡(luò)技術(shù)介紹后，提出了基于SDN的下一代金融數(shù)據(jù)中心網(wǎng)絡(luò)方案，給出了相應(yīng)技術(shù)架構(gòu)、優(yōu)化設(shè)計(jì)以及應(yīng)用效果，最后總結(jié)當(dāng)前成果，并介紹了未來工作方向。

1 金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展概述

1.1 發(fā)展歷程

中心網(wǎng)絡(luò)是應(yīng)用于金融機(jī)構(gòu)數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)。近年來，隨著虛擬化技術(shù)的廣泛運(yùn)用和云計(jì)算等新興應(yīng)用模式的不斷發(fā)展，數(shù)據(jù)中心網(wǎng)絡(luò)在組成、結(jié)構(gòu)、功能、規(guī)模及應(yīng)用模式等方面不斷發(fā)生著深刻的變革[1]。

中國金融數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)的歷程與金融行業(yè)近三十年信息化過程密不可分，到目前為止已經(jīng)歷了兩個(gè)主要階段：

第一階段：從無到有，網(wǎng)絡(luò)的架構(gòu)跟隨應(yīng)用系統(tǒng)的發(fā)展而變化。最早銀行使用IBM主機(jī)，終端通過SNA(Systems Network Architecture)網(wǎng)絡(luò)直連主機(jī)進(jìn)行交易，并沒有清晰的網(wǎng)絡(luò)概念。隨著開發(fā)平臺(tái)的大量使用，應(yīng)用種類的增加，銀行網(wǎng)絡(luò)逐步發(fā)展建設(shè)，規(guī)模從小到大。此階段，各銀行網(wǎng)絡(luò)架構(gòu)各不相同，并沒有統(tǒng)一的模型，但一般會(huì)出于應(yīng)用分層及安全的要求，遵循“垂直分層、水平分區(qū)”的理念。垂直分層：根據(jù)應(yīng)用的架構(gòu)及各部件重要性不同，將網(wǎng)絡(luò)分為接入層、隔離層、應(yīng)用層和核心層。水平分區(qū)：對(duì)同一安全層次，根據(jù)接入渠道不同、安全風(fēng)險(xiǎn)不同，劃分多個(gè)安全區(qū)域。當(dāng)應(yīng)用規(guī)模發(fā)展到一定階段，該架構(gòu)便顯現(xiàn)出一些弊端，例如擴(kuò)容困難、不宜維護(hù)等。

第二階段：自我優(yōu)化，在繼承安全區(qū)域保護(hù)機(jī)制下，普遍采用“總線型、模塊化”架構(gòu)。該階段應(yīng)用發(fā)展已經(jīng)達(dá)到相當(dāng)規(guī)模，網(wǎng)絡(luò)從需求(業(yè)務(wù)需求、應(yīng)用需求、自身運(yùn)維需求)及技術(shù)趨勢(網(wǎng)絡(luò)技術(shù)發(fā)展、架構(gòu)設(shè)計(jì)最佳實(shí)踐)多維度進(jìn)行分析，提煉出網(wǎng)絡(luò)的建設(shè)需求，最終確定設(shè)計(jì)架構(gòu)，對(duì)網(wǎng)絡(luò)進(jìn)行了比較大幅度的優(yōu)化，網(wǎng)絡(luò)規(guī)模與擴(kuò)展能力得到提升，運(yùn)維邊界更加清晰，故障排除手段更為健全。該階段網(wǎng)絡(luò)可以有效應(yīng)對(duì)傳統(tǒng)業(yè)務(wù)模式以及容量規(guī)模的服務(wù)要求，但對(duì)新的云環(huán)境彈性組網(wǎng)能力支持不夠。

1.2 面臨的挑戰(zhàn)

當(dāng)前，業(yè)務(wù)應(yīng)用變革式創(chuàng)新發(fā)展、以云計(jì)算為代表的新技術(shù)應(yīng)用以及金融IT成本與效率優(yōu)化新要求是金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展面臨的三大挑戰(zhàn)。

首先，業(yè)務(wù)應(yīng)用發(fā)展對(duì)網(wǎng)絡(luò)服務(wù)提出新的挑戰(zhàn)，面向互聯(lián)網(wǎng)方式的金融創(chuàng)新應(yīng)用快速發(fā)展對(duì)網(wǎng)絡(luò)服務(wù)提出更敏捷的服務(wù)要求，網(wǎng)絡(luò)資源的開通與變更希望是從原本以周為單位提升到分鐘級(jí)別，從而支撐應(yīng)用快速投產(chǎn)。

其次，云計(jì)算等新技術(shù)在數(shù)據(jù)中心內(nèi)越發(fā)應(yīng)用廣泛，其對(duì)網(wǎng)絡(luò)連接也提出新的要求。為適應(yīng)虛擬化技術(shù)，資源的漂移遷移能力，網(wǎng)絡(luò)服務(wù)需要從物理機(jī)識(shí)別提升到虛擬主機(jī)識(shí)別，云的多租戶特性要求在共享的物理網(wǎng)絡(luò)設(shè)備下提供可獨(dú)立解耦的網(wǎng)絡(luò)地址路由空間，云彈性伸縮則要求網(wǎng)絡(luò)有更高地彈性擴(kuò)展能力，巨大的云平臺(tái)規(guī)模，要求云網(wǎng)絡(luò)服務(wù)也必須具備足夠的網(wǎng)絡(luò)容量與健壯性。

再則，新常態(tài)下金融機(jī)構(gòu)的運(yùn)營壓力要求IT架構(gòu)可實(shí)現(xiàn)更高效與低成本，從純商業(yè)“產(chǎn)品”解決方案向“自主”網(wǎng)絡(luò)方案演進(jìn)，金融數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)應(yīng)用更趨于開放，要求網(wǎng)絡(luò)運(yùn)維人員從單純的人工維護(hù)解放出來，進(jìn)入高效的自動(dòng)化方式。

1.3 未來金融數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用需求

結(jié)合上述發(fā)展的挑戰(zhàn)與趨勢，我們認(rèn)為未來金融數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用需求可總結(jié)為高敏捷、高彈性、高可管理、高可用以及高性能的“五高”要求：

高敏捷：實(shí)現(xiàn)業(yè)務(wù)快速上線，面對(duì)應(yīng)用的變化達(dá)到資源的按需變更，通過新技術(shù)應(yīng)用打破因重安全而舍效率的困局，在云計(jì)算新環(huán)境下安全與高效并重。

高彈性：一是內(nèi)部彈性強(qiáng)化，打破豎井式架構(gòu)中網(wǎng)絡(luò)區(qū)域成為限制資源共享的壁壘，實(shí)現(xiàn)網(wǎng)絡(luò)資源池整合與靈活共享與隔離，二是外部彈性兼容，支持新老架構(gòu)并存，從而使原有網(wǎng)絡(luò)可以平滑過渡到新架構(gòu)。

高可管理：一是實(shí)現(xiàn)管理體系的簡化，支持多品牌的融合管理，二是實(shí)現(xiàn)管理自動(dòng)化與智能化，使日常運(yùn)維從大量人工維護(hù)的高工作量解放出來。

高可用：網(wǎng)絡(luò)架構(gòu)持續(xù)穩(wěn)定影響金融數(shù)據(jù)中心全局服務(wù)能力，網(wǎng)絡(luò)架構(gòu)需要基于穩(wěn)定可靠的技術(shù)構(gòu)建，使網(wǎng)絡(luò)服務(wù)具備7×24小時(shí)業(yè)務(wù)連續(xù)服務(wù)的能力。

高性能：面對(duì)秒殺等新業(yè)務(wù)場景等的極限服務(wù)能力，實(shí)現(xiàn)時(shí)延和帶寬等關(guān)鍵指標(biāo)的跨越式提升，同時(shí)注重資源的高效利用，用盡可能少的資源實(shí)現(xiàn)最大的性能服務(wù)。

2 軟件定義網(wǎng)絡(luò)介紹

2.1 軟件定義網(wǎng)絡(luò)概述

軟件定義網(wǎng)絡(luò)是當(dāng)前最熱門的網(wǎng)絡(luò)技術(shù)之一，它解放了手工操作，減少了配置錯(cuò)誤，易于統(tǒng)一快速部署[2],是學(xué)術(shù)界一致認(rèn)為解決上述核心問題的關(guān)鍵支撐技術(shù)。

軟件定義網(wǎng)絡(luò)狹義定義為網(wǎng)絡(luò)中的數(shù)據(jù)平面與控制平面相分離，網(wǎng)絡(luò)中的控制邏輯集中于控制器上，運(yùn)行于控制器上的網(wǎng)絡(luò)應(yīng)用使得網(wǎng)絡(luò)變得更加簡單可控和靈活[3]，廣義上軟件定義網(wǎng)絡(luò)是指向上層應(yīng)用開放資源接口，能夠?qū)崿F(xiàn)軟件編程控制的各種基礎(chǔ)網(wǎng)絡(luò)架構(gòu)[4]。

圖1是SDN標(biāo)準(zhǔn)化組織開放網(wǎng)絡(luò)基金會(huì)ONF(Open Networking Foundation)提出的SDN體系結(jié)構(gòu)，下層的網(wǎng)絡(luò)設(shè)備是SDN中的數(shù)據(jù)平面，構(gòu)成了SDN的基礎(chǔ)設(shè)施層。SDN的中心控制器軟件是SDN中的控制平面，構(gòu)成了SDN的控制器層。運(yùn)行于控制器之上的便是SDN中的業(yè)務(wù)應(yīng)用，構(gòu)成了SDN的應(yīng)用層。SDN中的控制器通過南向接口與基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備進(jìn)行通信，實(shí)現(xiàn)對(duì)數(shù)據(jù)平面的控制，通過北向接口的應(yīng)用編程接口API為上層的應(yīng)用服務(wù)[3]。

圖1 SDN體系結(jié)構(gòu)圖

2.2 軟件定義網(wǎng)絡(luò)的優(yōu)點(diǎn)特性

軟件定義網(wǎng)絡(luò)技術(shù)引入數(shù)據(jù)中心應(yīng)用，尤其是在云化數(shù)據(jù)中心環(huán)境有如下優(yōu)點(diǎn)：

(1) 網(wǎng)絡(luò)自動(dòng)化部署、網(wǎng)絡(luò)故障自動(dòng)探測和恢復(fù)[5]

軟件定義網(wǎng)絡(luò)技術(shù)使網(wǎng)絡(luò)具備了API服務(wù)能力，網(wǎng)絡(luò)服務(wù)操作更適用于程序自動(dòng)化的工作方式，可以便捷地與云資源管理等IT運(yùn)營自動(dòng)化平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源與計(jì)算、存儲(chǔ)資源的自適應(yīng)集成，網(wǎng)絡(luò)可以自動(dòng)感知到計(jì)算、存儲(chǔ)的配置情況與網(wǎng)絡(luò)需求。同時(shí)軟件定義網(wǎng)絡(luò)技術(shù)可以實(shí)現(xiàn)全網(wǎng)拓?fù)渥兓募懈兄?，因此?dāng)某兩臺(tái)SDN轉(zhuǎn)發(fā)設(shè)備之間的鏈路中斷時(shí)，或者某臺(tái)交換機(jī)失效時(shí)，SDN能夠很快探測到，為維護(hù)人員發(fā)出警告信息，同時(shí)還能夠重新計(jì)算出新的路徑，繞過失效的節(jié)點(diǎn)，使網(wǎng)絡(luò)業(yè)務(wù)保持正常。

(2) 支持云環(huán)境所需的多組戶與資源池能力[5]

由于SDN具有可編程能力，可以加載應(yīng)用模塊，識(shí)別不同租戶的網(wǎng)絡(luò)流量，通過流表的控制，使數(shù)據(jù)流只能在同一租戶的虛擬機(jī)間轉(zhuǎn)發(fā)，突破VLAN 4096的個(gè)數(shù)限制，支持大量相互隔離的租戶網(wǎng)絡(luò)，租戶通過自服務(wù)門戶分配虛擬數(shù)據(jù)中心，資源按需分配，租戶資源隔離，獨(dú)立分配IP、MAC地址和網(wǎng)絡(luò)策略。同時(shí)，SDN技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化的基礎(chǔ)技術(shù)，從而為網(wǎng)絡(luò)資源的共享提供基礎(chǔ)。

(3) 支持虛擬機(jī)環(huán)境的感知能力

傳統(tǒng)網(wǎng)絡(luò)不具備Overlay與Underlay的分層網(wǎng)絡(luò)接入模型能力(Underlay網(wǎng)絡(luò)是連通物理設(shè)備的網(wǎng)絡(luò)，Overlay網(wǎng)絡(luò)是基于Underlay網(wǎng)絡(luò)之上實(shí)現(xiàn)虛擬資源服務(wù)的網(wǎng)絡(luò))，SDN可以支持虛擬機(jī)以O(shè)verlay方式接入，從而在網(wǎng)絡(luò)層識(shí)別虛擬機(jī)，同時(shí)在虛擬機(jī)遷移時(shí)，通過API的互相調(diào)用通知方式，實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)對(duì)虛擬機(jī)遷移時(shí)間的網(wǎng)絡(luò)自適應(yīng)能力。

(4) 網(wǎng)絡(luò)性能優(yōu)化[6]

在以往的分布式網(wǎng)絡(luò)協(xié)議中，由于網(wǎng)絡(luò)運(yùn)營者對(duì)網(wǎng)絡(luò)缺少細(xì)粒度的控制，為了保障網(wǎng)絡(luò)服務(wù)質(zhì)量在一定范圍之內(nèi)，網(wǎng)絡(luò)運(yùn)營者被迫降低網(wǎng)絡(luò)利用率。一般而言，核心網(wǎng)絡(luò)的帶寬利用率只有30%～40%。在數(shù)據(jù)中心中，由于運(yùn)營者知道網(wǎng)絡(luò)的詳細(xì)拓?fù)浣Y(jié)構(gòu)及核心應(yīng)用的需求，可以大幅提高網(wǎng)絡(luò)帶寬利用率。最近Google公布了他們利用SDN技術(shù)把數(shù)據(jù)中心間的核心網(wǎng)絡(luò)帶寬利用率提高到了100%。高帶寬利用率意味著可以利用SDN來降低傳輸每比特的花費(fèi)。

2.3 軟件定義網(wǎng)絡(luò)在金融領(lǐng)域的研究情況

以銀行為代表的金融行業(yè)業(yè)務(wù)發(fā)展一直都緊密結(jié)合著信息技術(shù)的發(fā)展，因此在互聯(lián)網(wǎng)化、平臺(tái)化發(fā)展的趨勢下，金融行業(yè)一直關(guān)注SDN技術(shù)在金融的應(yīng)用研究。文獻(xiàn)[7-8]都探討了SDN在金融行業(yè)應(yīng)用的前景，都認(rèn)為隨著云計(jì)算技術(shù)在金融數(shù)據(jù)中心的應(yīng)用，SDN技術(shù)應(yīng)用是未來金融數(shù)據(jù)中心網(wǎng)絡(luò)的必然發(fā)展趨勢，其符合金融業(yè)務(wù)敏捷性與規(guī)模性發(fā)展的需要，并認(rèn)為SDN的主要應(yīng)用場景分為數(shù)據(jù)中心與跨數(shù)據(jù)中心兩類，并有助于金融網(wǎng)絡(luò)安全分析的強(qiáng)化。文獻(xiàn)[9]的人民銀行研究員分析了國內(nèi)外廠商的SDN設(shè)備支持網(wǎng)絡(luò)虛擬化的解決方案。文獻(xiàn)[10]提出了一種基于SDN的金融云試驗(yàn)平臺(tái)虛擬網(wǎng)絡(luò)解決方案，其本質(zhì)是抽象了基于單廠商SDN設(shè)備的金融數(shù)據(jù)中心SDN技術(shù)模型。但該方案沒有解決數(shù)據(jù)中心異構(gòu)SDN技術(shù)兼容組網(wǎng)問題，并有待與金融生產(chǎn)網(wǎng)絡(luò)規(guī)劃進(jìn)一步匹配映射研究工作，與金融生產(chǎn)級(jí)部署要求進(jìn)一步細(xì)化與優(yōu)化該方案。

3 基于SDN的下一代金融數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)

3.1 未來金融數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)原則

SDN技術(shù)的應(yīng)用對(duì)金融數(shù)據(jù)中心的架構(gòu)是革命性的變化,因此下一代金融數(shù)據(jù)中心網(wǎng)絡(luò)需進(jìn)行針對(duì)性設(shè)計(jì)，我們總結(jié)未來金融數(shù)據(jù)中心網(wǎng)絡(luò)需遵循以下四大設(shè)計(jì)原則：

(1) 面向服務(wù)理念，網(wǎng)絡(luò)功能能力以服務(wù)的形式對(duì)外提供，網(wǎng)絡(luò)系統(tǒng)內(nèi)部以服務(wù)的形式進(jìn)行自組織，從而提升對(duì)外服務(wù)能力，簡化對(duì)內(nèi)系統(tǒng)調(diào)用復(fù)雜性。

(2) 管理統(tǒng)一編排，網(wǎng)絡(luò)系統(tǒng)的各子模塊通過分層匯總的形式實(shí)現(xiàn)統(tǒng)一編排管理，既要實(shí)現(xiàn)控制流的信息傳輸統(tǒng)一，也要實(shí)現(xiàn)控制流的信息解釋統(tǒng)一。

(3) 資源池標(biāo)準(zhǔn)化，對(duì)網(wǎng)絡(luò)資源進(jìn)行功能與操作的抽象，定義兼容性要求，實(shí)現(xiàn)異構(gòu)物理資源的共享互通。

(4) 成熟技術(shù)集成再造創(chuàng)新，基于網(wǎng)絡(luò)技術(shù)平滑兼容的要求，對(duì)基礎(chǔ)可擴(kuò)展網(wǎng)絡(luò)技術(shù)與協(xié)議進(jìn)行繼承，組合現(xiàn)有技術(shù)進(jìn)行集成創(chuàng)新，創(chuàng)新而不失穩(wěn)定，保證網(wǎng)絡(luò)架構(gòu)的全局穩(wěn)定。

在上述設(shè)計(jì)原則下，我們提出了新一代數(shù)據(jù)中心網(wǎng)絡(luò)模型，同時(shí)提出一種可解決上述網(wǎng)絡(luò)運(yùn)營中主要問題的新穎SDN控制器方法，并實(shí)現(xiàn)了相應(yīng)網(wǎng)絡(luò)性能優(yōu)化。

3.2 新型金融數(shù)據(jù)中心跨異構(gòu)SDN Fabric組網(wǎng)模型

我們認(rèn)為下一代基于SDN的金融數(shù)據(jù)中心網(wǎng)絡(luò)將遵循“核心交換總線互通，異構(gòu)Fabric接入”的組網(wǎng)模型，如圖2所示。

圖2 金融數(shù)據(jù)中心跨異構(gòu)SDN Fabric組網(wǎng)模型

如圖2所示，F(xiàn)abric內(nèi)由同一品牌的SDN設(shè)備組成，其中計(jì)算Leaf接入提供虛擬機(jī)的計(jì)算服務(wù)器資源，網(wǎng)絡(luò)功能Leaf接入負(fù)載均衡等網(wǎng)元服務(wù)設(shè)備資源，Border Leaf負(fù)責(zé)與數(shù)據(jù)中心核心交換設(shè)備互聯(lián)， Fabric內(nèi)由Spine設(shè)備負(fù)責(zé)各Leaf之間的流量互通，每個(gè)Fabric由其自有的控制器對(duì)Fabric進(jìn)行管理控制。

數(shù)據(jù)中心核心交換網(wǎng)絡(luò)則是由獨(dú)立交換設(shè)備組網(wǎng)，并與不同品牌的異構(gòu)Fabric互聯(lián)，不同的Fabric使用不同的SDN協(xié)議與技術(shù)，因此Fabric之間在Overlay層面無法實(shí)現(xiàn)互通。

在網(wǎng)絡(luò)地址規(guī)劃方面，不同網(wǎng)絡(luò)區(qū)域仍然遵循現(xiàn)有金融數(shù)據(jù)中心的地址規(guī)劃，即不同區(qū)域的地址池不重疊。

在網(wǎng)絡(luò)能力方面，金融SDN網(wǎng)絡(luò)特色在于支持大區(qū)多租戶網(wǎng)絡(luò)模式，大區(qū)模式是指通過Fabric物理設(shè)備的虛擬化能力實(shí)現(xiàn)同等安全要求的金融業(yè)務(wù)邏輯區(qū)域(指核心應(yīng)用區(qū)、外圍應(yīng)用區(qū)、創(chuàng)新應(yīng)用區(qū)、DMZ應(yīng)用區(qū)與機(jī)構(gòu)互聯(lián)區(qū)等網(wǎng)絡(luò)區(qū)域規(guī)劃，一般銀行的區(qū)域規(guī)劃往往會(huì)達(dá)到十幾個(gè))的共享物理資源，相比現(xiàn)有金融業(yè)務(wù)邏輯區(qū)域需要獨(dú)立一套Fabric物理設(shè)備，以此降低建網(wǎng)成本。多租戶模式是在云數(shù)據(jù)中心下尤其是金融行業(yè)云環(huán)境中必要能力，現(xiàn)有網(wǎng)絡(luò)廠商設(shè)備的多租戶支持僅限于自有設(shè)備Fabric內(nèi)，多租戶信息終結(jié)于Fabric網(wǎng)絡(luò)邊界，異構(gòu)Fabric之間無法實(shí)現(xiàn)多租戶信息共享，而金融數(shù)據(jù)中心網(wǎng)絡(luò)需要在跨異構(gòu)Fabric的組網(wǎng)下，支持N個(gè)租戶的網(wǎng)絡(luò)隔離與地址重用。

如圖3所示，大區(qū)模式支持一套物理設(shè)備同時(shí)承載如安全等級(jí)相同邏輯業(yè)務(wù)區(qū)，如核心應(yīng)用區(qū)、外圍應(yīng)用區(qū)等，共享物理資源的邏輯區(qū)域?qū)崿F(xiàn)邏輯安全隔離?？鏔abric多租戶支持異構(gòu)Fabric內(nèi)N個(gè)租戶在互不可見且地址可重用的情況下實(shí)現(xiàn)數(shù)據(jù)交換，例如租戶1和租戶2分別有各自在兩個(gè)Fabric下的IP地址A和B，租戶1和租戶2在每個(gè)Fabric的內(nèi)存在IP地址重用，實(shí)現(xiàn)互不可見，跨不同F(xiàn)abric，識(shí)別不同租戶流量，支持租戶內(nèi)數(shù)據(jù)通信。

圖3 金融數(shù)據(jù)中心特色網(wǎng)絡(luò)能力設(shè)計(jì)

3.3 一種新穎的金融SDN控制器方法

(1) 區(qū)域互聯(lián)(RI)控制技術(shù)

上述組網(wǎng)模型與功能設(shè)計(jì)的挑戰(zhàn)主要在于如何將存在于不同F(xiàn)abric的租戶流量進(jìn)行識(shí)別，從而保證通過核心交換網(wǎng)絡(luò)后，F(xiàn)abric可以正確將IP地址重用的多租戶流量轉(zhuǎn)發(fā)至正確的租戶資源。我們提出了一種區(qū)域互聯(lián)SDN控制技術(shù)，實(shí)現(xiàn)對(duì)核心交換網(wǎng)絡(luò)與各Fabric的SDN控制器的協(xié)調(diào)控制，并新穎地應(yīng)用核心交換網(wǎng)絡(luò)的互聯(lián)網(wǎng)段地址規(guī)劃，實(shí)現(xiàn)多租戶信息標(biāo)識(shí)的傳遞的隧道能力。

圖4介紹了在數(shù)據(jù)轉(zhuǎn)發(fā)平面的設(shè)計(jì)思想。每個(gè)租戶在出各自Fabric時(shí)，以規(guī)劃的不同網(wǎng)段標(biāo)識(shí)自己的租戶信息，在轉(zhuǎn)發(fā)至核心交換網(wǎng)絡(luò)中后，核心網(wǎng)絡(luò)交換識(shí)別進(jìn)入數(shù)據(jù)的網(wǎng)段，送入不同的虛擬路由表(VRF)進(jìn)行轉(zhuǎn)發(fā)，VRF是交換機(jī)內(nèi)部隔離不同路由轉(zhuǎn)發(fā)的虛擬化技術(shù)，實(shí)現(xiàn)了虛擬機(jī)的一虛多能力。在本設(shè)計(jì)中，為支持跨物理交換機(jī)組成的核心交換網(wǎng)絡(luò)的多租戶數(shù)據(jù)轉(zhuǎn)發(fā)，每個(gè)VRF內(nèi)統(tǒng)一配置相同VLAN ID的三層子接口或VLAN Inteface，以便于管理。

圖4 RI數(shù)據(jù)平面轉(zhuǎn)發(fā)設(shè)計(jì)圖

在控制平面，我們?cè)O(shè)計(jì)了一個(gè)RI控制器實(shí)現(xiàn)對(duì)核心交換網(wǎng)絡(luò)的自動(dòng)化配置能力，其包括兩大功能，一是根據(jù)租戶變動(dòng)情況動(dòng)態(tài)創(chuàng)建配置VRF及其相關(guān)配置，二是實(shí)現(xiàn)在不同SDN Fabric資源動(dòng)態(tài)變化情況下，路由地址動(dòng)態(tài)發(fā)布，以便保持動(dòng)態(tài)變換的網(wǎng)絡(luò)資源的連通性。

圖5給出了RI控制器的架構(gòu)設(shè)計(jì)，其通過netconf協(xié)議管理核心交換網(wǎng)絡(luò)的設(shè)備，同時(shí)也通過適配不同SDN Fabric控制器的API接口定時(shí)或觸發(fā)讀取相應(yīng)Fabric的動(dòng)態(tài)資源信息。在跨異構(gòu)SDN Fabric新租戶創(chuàng)建過程中，則會(huì)自動(dòng)根據(jù)前述數(shù)據(jù)轉(zhuǎn)發(fā)平面的設(shè)計(jì)創(chuàng)建相應(yīng)VRF通道，在有新網(wǎng)段資源創(chuàng)建時(shí)，觸發(fā)RI控制器通過SDN Fabric控制API查詢新增網(wǎng)段信息。并通過OSPF動(dòng)態(tài)路由注入的方式更新核心交換網(wǎng)絡(luò)中的VRF路由表信息。同時(shí)我們?cè)O(shè)計(jì)的RI控制器定時(shí)任務(wù)，定時(shí)查詢SDN Fabric的網(wǎng)絡(luò)資源信息，對(duì)比出已刪除的網(wǎng)絡(luò)資源信息，進(jìn)行路由表清理工作。

圖5 RI控制器控制平面設(shè)計(jì)圖

(2) 負(fù)載均衡與防火墻NFV資源接入模式

金融數(shù)據(jù)中心網(wǎng)絡(luò)的另一項(xiàng)服務(wù)需求在于如何保證原有金融運(yùn)維要求不變的情況下，實(shí)現(xiàn)負(fù)載均衡與防火墻的NFV資源的云化接入。

負(fù)載均衡的金融運(yùn)維要求包括：一是流量原進(jìn)原出，即經(jīng)過負(fù)載均衡請(qǐng)求轉(zhuǎn)發(fā)的流量，應(yīng)答時(shí)也要經(jīng)過負(fù)載均衡設(shè)備，不能出現(xiàn)三角路由情況；二是經(jīng)過負(fù)載均衡的流量達(dá)到服務(wù)器端時(shí)仍然可見客戶端源地址，不能源地址轉(zhuǎn)換。

因此，如圖6我們提出以物理上旁路雙臂接入網(wǎng)絡(luò)功能Leaf，其中黑色線為Inner口，淺色線為External口。在負(fù)載均衡模型方面，對(duì)外提供的訪問地址IP+PORT需要配置在負(fù)載均衡的VIP上，對(duì)于External IP配置和VIP相同網(wǎng)段地址，網(wǎng)關(guān)放在網(wǎng)絡(luò)功能Leaf上，對(duì)于Inner IP，配置為后端服務(wù)器集群網(wǎng)段的GW地址。

圖6 負(fù)載均衡設(shè)備接入模式

防火墻在金融數(shù)據(jù)中心應(yīng)用中，實(shí)現(xiàn)區(qū)域與區(qū)域之間的安全訪問控制。因此其部署位置為SDN Fabric與交換核心網(wǎng)絡(luò)之間，其金融運(yùn)維要求是邏輯上串聯(lián)物理上旁路。即在防火墻的故障情況下，在無需進(jìn)入機(jī)房的情況下，經(jīng)過路由更改自動(dòng)切換無防火墻模式，從而保障業(yè)務(wù)穩(wěn)定性。

因此，如圖7防火墻設(shè)備是串聯(lián)在Border Leaf和交換核心之間，在Border Leaf和交換核心之間部署一根直連線路，平時(shí)正常情況下該鏈路進(jìn)行關(guān)閉，一旦防火墻出現(xiàn)故障，就將該直連線路開啟，將流量直接引入到交換核心上。應(yīng)用規(guī)劃方面，對(duì)于多租戶的場景，采用一個(gè)租戶一物理墻的接入模式或者一個(gè)租戶一個(gè)虛擬墻的接入模式。Fabric內(nèi)，同一個(gè)租戶下的業(yè)務(wù)流量在無需進(jìn)過防火墻，如果有跨Fabric的流量訪問，這樣的流量需要經(jīng)過防火墻的規(guī)則進(jìn)行過濾，對(duì)于不同的租戶，發(fā)生跨租戶的流量通信，同樣需要經(jīng)過防火墻的規(guī)則過濾。

圖7 防火墻設(shè)備接入模式

3.4 原型驗(yàn)證與性能優(yōu)化

(1) 基于SDN的下一代金融數(shù)據(jù)中心網(wǎng)絡(luò)原型

我們?cè)陔娮由虅?wù)與電子支付國家工程實(shí)驗(yàn)室的環(huán)境搭建了原型平臺(tái)。平臺(tái)由華為、思科兩套異構(gòu)SDN Fabric構(gòu)成，同時(shí)也配備了相應(yīng)的負(fù)載均衡和防火墻資源，平臺(tái)設(shè)備列表如表1所示。

表1 原型平臺(tái)設(shè)備列表

平臺(tái)基于OpenStack、OVS、Centos等開源軟件進(jìn)行研發(fā)，相應(yīng)軟件版本情況如表2所示。

表2 軟件版本情況表

圖8展示了原型平臺(tái)的架構(gòu)部署，交換核心區(qū)域由3臺(tái)華為三層交換機(jī)組成，2臺(tái)作為區(qū)域接入核心，另1臺(tái)作為總核心連接區(qū)域核心交換機(jī)，區(qū)域接入核心與各Fabric之間設(shè)有防火墻。Fabric 1為思科ACI設(shè)備，由1個(gè)Spine、2個(gè)Leaf與1個(gè)APIC控制器組成，同時(shí)部署了OpenStack region1集群用于管理，其中一個(gè)Leaf作為Border Leaf與核心交換互聯(lián)，同時(shí)連接F5負(fù)載均衡。Fabric 2為華為設(shè)備，由1個(gè)Spine、2個(gè)Leaf與1個(gè)AC控制器組成，同時(shí)部署了OpenStack region2集群用于管理。華為Spine作為出Fabric設(shè)備連接核心，Spine連接華為負(fù)載均衡，同時(shí)華為Fabric還負(fù)責(zé)Internet互聯(lián)。因此Spine也通過防火墻連接互聯(lián)網(wǎng)。

圖8 原型平臺(tái)物理集成部署架構(gòu)圖

圖9展示了原型平臺(tái)管理服務(wù)界面，原型平臺(tái)實(shí)現(xiàn)了云數(shù)據(jù)中心虛擬路由、負(fù)載均衡、防火墻網(wǎng)絡(luò)資源以及相關(guān)網(wǎng)絡(luò)安全配置的一鍵開通能力。

圖9 平臺(tái)管理服務(wù)原型界面

(2) 基于DPDK的網(wǎng)絡(luò)性能優(yōu)化

對(duì)于金融關(guān)鍵應(yīng)用，服務(wù)性能是關(guān)鍵考慮因素，在網(wǎng)絡(luò)方面對(duì)業(yè)務(wù)應(yīng)用的關(guān)鍵指標(biāo)主要考慮是延遲和吞吐量，在完成原型平臺(tái)搭建后，我們專注于在本文提出架構(gòu)下的數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)男阅軆?yōu)化工作。

圖10介紹了在SDN網(wǎng)絡(luò)環(huán)境下虛擬機(jī)之間數(shù)據(jù)傳輸路徑，經(jīng)過分析兩臺(tái)跨物理機(jī)之間的虛擬機(jī)通信需要通過物理機(jī)內(nèi)的虛擬交換機(jī)(OVS)和物理Fabric網(wǎng)絡(luò)。物理網(wǎng)絡(luò)由專用網(wǎng)絡(luò)硬件組成，在線速組網(wǎng)設(shè)計(jì)下，其帶寬與延遲已逼近現(xiàn)有技術(shù)所能達(dá)到的物理極限，而OVS是物理機(jī)操作系統(tǒng)中的軟件模擬交換程序，其相對(duì)于物理設(shè)備網(wǎng)絡(luò)，是整條數(shù)據(jù)傳輸鏈路的瓶頸。

圖10 SDN網(wǎng)絡(luò)虛擬機(jī)之間數(shù)據(jù)傳輸路徑圖

本實(shí)驗(yàn)中，我們應(yīng)用了DPDK技術(shù)對(duì)OVS進(jìn)行性能優(yōu)化，DPDK是針對(duì)x86服務(wù)器承載網(wǎng)絡(luò)服務(wù)的優(yōu)化技術(shù)，其原理如圖11。OVS通過在用戶態(tài)加載了DPDK庫，繞過操作系統(tǒng)的內(nèi)核態(tài)直接讀取物理網(wǎng)卡數(shù)據(jù)，從而加速OVS數(shù)據(jù)處理性能。

圖11 OVS加速原理圖

完成DPDK優(yōu)化配置后，我們進(jìn)行了相應(yīng)性能測試實(shí)驗(yàn)，測試實(shí)驗(yàn)環(huán)境為在2臺(tái)萬兆物理機(jī)上創(chuàng)建2對(duì)虛擬機(jī)(總共4臺(tái)虛擬機(jī))，并進(jìn)行流量性能壓力測試。如圖12-圖13所示。

圖12 2對(duì)虛擬機(jī)吞吐量測試

圖12和圖13顯示，DPDK無論是在VLAN數(shù)據(jù)包傳輸還是VXLAN數(shù)據(jù)包傳輸，都可以有效改善吞吐量和時(shí)延的性能指標(biāo)，吞吐量指標(biāo)進(jìn)一步逼近萬兆極限。其中VXLAN數(shù)據(jù)流量提升更為明顯，而時(shí)延指標(biāo)方面，得益于繞開操作系統(tǒng)處理機(jī)制，有效地加速數(shù)據(jù)包處理速度，指標(biāo)有顯著優(yōu)化，所有數(shù)據(jù)中的時(shí)延基本都可以下降到原有的10%以上。

4 結(jié) 語

基于對(duì)金融數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)展需求的理解，我們提出了基于SDN的下一代金融數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)模型，并設(shè)計(jì)了一種利用網(wǎng)絡(luò)地址池規(guī)劃實(shí)現(xiàn)異構(gòu)SDN Fabric區(qū)域互聯(lián)的多租戶網(wǎng)絡(luò)控制器，配套給出了金融數(shù)據(jù)中心中負(fù)載均衡和防火墻兩類關(guān)鍵網(wǎng)絡(luò)設(shè)備的SDN接入模式，并在國家工程實(shí)驗(yàn)室的環(huán)境內(nèi)，實(shí)現(xiàn)了原型驗(yàn)證與性能優(yōu)化。相關(guān)驗(yàn)證表明設(shè)計(jì)可以實(shí)現(xiàn)現(xiàn)有金融數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃與管理平滑遷移，同時(shí)也可以有效支撐未來金融行業(yè)云多租戶托管的發(fā)展趨勢。未來，我們將圍繞兩地三中心的特色場景，延伸研究跨數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)模式與控制器實(shí)現(xiàn)。同時(shí)研究其他隧道協(xié)議實(shí)現(xiàn)跨多租戶信息傳遞管理能力，從而豐富模型在設(shè)備場景的適用范圍和運(yùn)維者的使用習(xí)慣。

[1] 鄧罡,龔正虎,王宏.現(xiàn)代數(shù)據(jù)中心網(wǎng)絡(luò)特征研究[J].計(jì)算機(jī)研究與發(fā)展,2014,51(2):395-407.

[2] 張朝昆,崔勇,唐翯祎,等.軟件定義網(wǎng)絡(luò)(SDN)研究進(jìn)展[J].軟件學(xué)報(bào),2015,26(1):62-81.

[3] 于洋,王之梁,畢軍,等.軟件定義網(wǎng)絡(luò)中北向接口語言綜述[J].軟件學(xué)報(bào),2016,27(4):993-1008.

[4] 楊晨,李勇,金德鵬.基于REST-API的SDN 控制器故障恢復(fù)機(jī)制[J].計(jì)算機(jī)工程,2015,41(9):132-139.

[5] 吳強(qiáng),徐鑫,劉國燕.基于SDN技術(shù)的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)構(gòu)建[J].電信科學(xué),2013,29(1):130-133.

[6] 李丹,陳貴海,任豐原,等.數(shù)據(jù)中心網(wǎng)絡(luò)的研究進(jìn)展與趨勢[J].計(jì)算機(jī)學(xué)報(bào),2014,37(2):259-274.

[7] 田長星.SDN理論及其在金融業(yè)應(yīng)用前景分析[J].金融科技時(shí)代,2014(7):65-67.

[8] 趙炤.SDN在傳統(tǒng)銀行業(yè)數(shù)據(jù)中心的應(yīng)用探討[J].金融科技時(shí)代,2016(8):24-27.

[9] 邱浩.淺析網(wǎng)絡(luò)虛擬化技術(shù)[J].金融科技時(shí)代,2013(11):64-65.

[10] 祖立軍,杜學(xué)愷,周雍愷,等.基于SDN的金融云試驗(yàn)平臺(tái)虛擬網(wǎng)絡(luò)研究[J].計(jì)算機(jī)應(yīng)用與軟件,2017,34(6):137-145.

APPLICATIONOFSDNINFINANCIALDATACENTERNETWORK

He Shuo

(ChinaUnionPayCompany,Shanghai201201,China)

This paper starts with the analysis of the development of financial data center network. After judging the future development of the financial data center network, it is found that SDN technology is the inevitable trend of future financial data center network applications and development. Therefore, facing the challenge of SDN technology application in the financial scene, the next generation of financial data center network model reconstruction design is given. Meanwhile, novel heterogeneous SDN Fabric area interconnection technology based on address pool planning and virtual routing forwarding isolation is proposed. And the design of matching financial firewall and load balanced access mode is given. We implemented a cross regional routing forwarding control, security policy management and multi-tenant network information synchronization and other functions. On the basis of prototype implementation, the performance optimization of network data platform is further presented.

SDN Financial data center network Heterogeneous network

TP3

A

10.3969/j.issn.1000-386x.2017.10.033

2017-04-25。上海市青年科技英才揚(yáng)帆計(jì)劃資助項(xiàng)目(17YF1425800)。何朔，高工，主研領(lǐng)域：云計(jì)算，電子支付與電子商務(wù)。