張 潮 ，萬成林 ，范宇楠 ，沈智鑌 ，賀 挺 ，詹全忠

（1. 水利部信息中心，北京 100053；2. 東華軟件股份公司，北京 100190）

0 引言

水利部機(jī)關(guān)網(wǎng)絡(luò)的核心網(wǎng)絡(luò)建于10多 a 前，存在架構(gòu)落后，設(shè)備嚴(yán)重老化，原廠已不再提供備品備件等問題。水利部機(jī)關(guān)網(wǎng)絡(luò)不只是為部機(jī)關(guān)工作人員、各業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)支撐，同時(shí)也是整個(gè)水利信息網(wǎng)骨干網(wǎng)的核心節(jié)點(diǎn)[1-2]，網(wǎng)絡(luò)的不穩(wěn)定會(huì)使整個(gè)水利信息網(wǎng)存在不穩(wěn)定風(fēng)險(xiǎn)。近年來，水利部進(jìn)行了云計(jì)算虛擬化平臺(tái)的建設(shè)，網(wǎng)內(nèi)虛擬服務(wù)器的數(shù)量驟增，而且有部分業(yè)務(wù)數(shù)據(jù)處理量很大，處理速度要求很高，原有網(wǎng)絡(luò)架構(gòu)已無法實(shí)現(xiàn)網(wǎng)絡(luò)資源的快速響應(yīng)。因此，無論是業(yè)務(wù)需要，還是網(wǎng)絡(luò)運(yùn)行維護(hù)管理需要，都對(duì)基礎(chǔ)網(wǎng)絡(luò)資源提出了更高的要求，原有網(wǎng)絡(luò)已經(jīng)無法保障其承載的國(guó)家水資源監(jiān)控能力建設(shè)項(xiàng)目等重要信息系統(tǒng)服務(wù)的穩(wěn)定性、可靠性及安全性[3]。

SDN（軟件定義網(wǎng)絡(luò)）是一種新型的網(wǎng)絡(luò)技術(shù)，最本質(zhì)的特征是網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)分離，轉(zhuǎn)發(fā)行為可編程[4]。通過控制功能的遷移，對(duì)應(yīng)用和網(wǎng)絡(luò)的抽象，將轉(zhuǎn)發(fā)平面與控制平面分離，能夠把網(wǎng)絡(luò)看成一個(gè)邏輯虛擬實(shí)體，成為類似計(jì)算機(jī)的基礎(chǔ)架構(gòu)，將轉(zhuǎn)發(fā)行為抽象，提供標(biāo)準(zhǔn)化的、開放的控制接口?？刂破矫婵梢赃\(yùn)行在外部調(diào)用控制接口，并根據(jù)全局的網(wǎng)絡(luò)視圖，實(shí)現(xiàn)更加靈活的控制，更為網(wǎng)絡(luò)與計(jì)算、存儲(chǔ)等功能結(jié)合，形成網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)融合的服務(wù)環(huán)境提供了可能[5]。近年來，SDN技術(shù)逐漸從學(xué)術(shù)界走向工業(yè)界，在大型數(shù)據(jù)中心、云計(jì)算等環(huán)境中取得較好的效果[6]，從行業(yè)應(yīng)用看，在能源、電信等行業(yè)中都有實(shí)際應(yīng)用案例[7-8]。

為此，利用 SDN 技術(shù)對(duì)水利部機(jī)關(guān)網(wǎng)絡(luò)環(huán)境進(jìn)行整合優(yōu)化升級(jí)，替換陳舊網(wǎng)絡(luò)設(shè)備，提升網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性與可靠性，滿足云計(jì)算、大數(shù)據(jù)等新技術(shù)需要。

1 水利部機(jī)關(guān)網(wǎng)絡(luò)狀況與總體升級(jí)設(shè)計(jì)

水利部機(jī)關(guān)網(wǎng)絡(luò)覆蓋了水利部機(jī)關(guān)南北兩院和城域網(wǎng)中的在京單位，網(wǎng)絡(luò)設(shè)備分布于多個(gè)機(jī)房及若干配線間，連接了水利部機(jī)關(guān)網(wǎng)絡(luò)所有物理服務(wù)器、云平臺(tái)、終端和保障設(shè)施，并通過專線連通水利部各直屬單位、各省級(jí)水行政主管部門，是水利骨干網(wǎng)的中心節(jié)點(diǎn)。同時(shí)，與國(guó)家電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)連接，并通過專線連接氣象等其他行業(yè)單位。水利部機(jī)關(guān)網(wǎng)絡(luò)中承載了水資源管理、水利部網(wǎng)站、防汛抗旱指揮、水文監(jiān)測(cè)、視頻會(huì)商等多個(gè)重要應(yīng)用系統(tǒng)，網(wǎng)絡(luò)連接示意如圖1所示。

圖1 水利部網(wǎng)絡(luò)連接示意圖

1.1 網(wǎng)絡(luò)改造前狀況

1.1.1 改造前網(wǎng)絡(luò)拓?fù)?/p>

改造前的水利部機(jī)關(guān)網(wǎng)絡(luò)環(huán)境拓?fù)淙鐖D2所示。

圖2 水利部機(jī)關(guān)網(wǎng)絡(luò)原網(wǎng)絡(luò)架構(gòu)

改造前的水利部機(jī)關(guān)網(wǎng)絡(luò)主要存在以下問題：

1）網(wǎng)絡(luò)區(qū)域劃分不明顯，同業(yè)務(wù)網(wǎng)關(guān)部署在多臺(tái)網(wǎng)絡(luò)設(shè)備上。服務(wù)器區(qū)的網(wǎng)關(guān)分布在服務(wù)器匯聚、國(guó)調(diào)樓核心、主樓核心、東樓核心設(shè)備上，各單位終端的網(wǎng)關(guān)分布在國(guó)調(diào)樓、主樓、東樓核心設(shè)備上。

2）接入層網(wǎng)絡(luò)設(shè)備多為千兆電口設(shè)備，限制了服務(wù)器的上下行數(shù)據(jù)交換能力。

3）核心匯聚層設(shè)備多為萬兆設(shè)備，無法滿足現(xiàn)在服務(wù)器和各類業(yè)務(wù)的需求。

4）網(wǎng)絡(luò)架構(gòu)為傳統(tǒng)的核心-匯聚-接入三層架構(gòu)，網(wǎng)絡(luò)資源管理復(fù)雜，故障點(diǎn)多，無法較好滿足虛擬機(jī)遷移等需求。

5）辦公區(qū)終端物理位置受接入交換機(jī)限制，無法實(shí)現(xiàn)網(wǎng)內(nèi)任意位置遷移。

1.1.2 改造前網(wǎng)絡(luò)業(yè)務(wù)

原水利部機(jī)關(guān)網(wǎng)絡(luò)中包含以下多個(gè)業(yè)務(wù)網(wǎng)段：服務(wù)器區(qū)業(yè)務(wù)有包括視頻會(huì)議和災(zāi)備等業(yè)務(wù)在內(nèi)的20 多個(gè)網(wǎng)段；互聯(lián)網(wǎng)服務(wù)區(qū)業(yè)務(wù)有10個(gè)以上業(yè)務(wù)網(wǎng)段；辦公區(qū)業(yè)務(wù)有包括城域網(wǎng)業(yè)務(wù)在內(nèi)的70多個(gè)業(yè)務(wù)網(wǎng)段；另有超過10個(gè)的其他網(wǎng)段，作為設(shè)備管理和互聯(lián)地址。

1.2 網(wǎng)絡(luò)整合優(yōu)化總體設(shè)計(jì)

基于當(dāng)前網(wǎng)絡(luò)的業(yè)務(wù)情況，對(duì)水利部機(jī)關(guān)網(wǎng)絡(luò)進(jìn)行功能分區(qū)，具體網(wǎng)絡(luò)區(qū)域劃分設(shè)計(jì)如圖3所示。

圖3 水利部機(jī)關(guān)網(wǎng)絡(luò)架構(gòu)優(yōu)化示意圖

具體架構(gòu)分析如下：

1）服務(wù)器區(qū)。服務(wù)器區(qū)業(yè)務(wù)網(wǎng)關(guān)統(tǒng)一部署在新增的服務(wù)器區(qū)核心交換機(jī)上，各個(gè)不同物理位置的機(jī)房服務(wù)器區(qū)接入交換機(jī)直連至服務(wù)器核心交換機(jī)。

SDN 控制器旁掛在服務(wù)器區(qū)核心上，控制器網(wǎng)關(guān)部署于服務(wù)器區(qū)核心上，通過 Undelay 網(wǎng)絡(luò)帶內(nèi)與各物理網(wǎng)元通信，同時(shí)控制服務(wù)器區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)。

服務(wù)器區(qū)的國(guó)調(diào)樓、主樓、東樓3組防火墻合并為1組，旁掛在新服務(wù)器區(qū)核心交換機(jī)上，通過調(diào)整路由使南北向流量經(jīng)過服務(wù)器防火墻再到達(dá)外部。

原服務(wù)器區(qū)匯聚上的負(fù)載均衡設(shè)備遷移至服務(wù)器區(qū)新核心交換機(jī)，采用旁掛的方式，調(diào)整接口及路由對(duì)外提供服務(wù)。

2）互聯(lián)網(wǎng)服務(wù)區(qū)。原互聯(lián)網(wǎng)服務(wù)區(qū)業(yè)務(wù)網(wǎng)關(guān)在互聯(lián)網(wǎng)服務(wù)區(qū)防火墻上，本次改造將互聯(lián)網(wǎng)服務(wù)區(qū)業(yè)務(wù)網(wǎng)關(guān)下移至互聯(lián)網(wǎng)服務(wù)區(qū)核心交換機(jī)，互聯(lián)網(wǎng)服務(wù)區(qū)核心交換機(jī)與防火墻三層互聯(lián)，使流量能夠經(jīng)防火墻，保證對(duì)業(yè)務(wù)訪問的控制能力。

互聯(lián)網(wǎng)服務(wù)區(qū)核心交換機(jī)下聯(lián)互聯(lián)網(wǎng)服務(wù)區(qū)所有接入交換機(jī)，接入交換機(jī)充當(dāng) VXLAN VTEP（虛擬局域網(wǎng)隧道終結(jié)點(diǎn)）節(jié)點(diǎn)?；ヂ?lián)網(wǎng)服務(wù)區(qū)原負(fù)載均衡設(shè)備旁掛至新互聯(lián)網(wǎng)服務(wù)區(qū)核心交換機(jī)，調(diào)整接口及路由對(duì)外提供服務(wù)。

3）辦公區(qū)。辦公區(qū)業(yè)務(wù)網(wǎng)關(guān)采用分布式網(wǎng)關(guān)，接入交換機(jī)作為 Leaf 葉節(jié)點(diǎn)，匯聚設(shè)備作為Underlay 節(jié)點(diǎn)，核心設(shè)備使用2臺(tái)核心設(shè)備虛擬化，作為邊界設(shè)備連通外部網(wǎng)絡(luò)。辦公區(qū) SDN 控制器旁掛在辦公核心交換區(qū)。

4）其他區(qū)域。將視頻會(huì)議網(wǎng)段合并為一個(gè)網(wǎng)段，網(wǎng)關(guān)部署于服務(wù)器核心交換機(jī)，視頻會(huì)議接入交換機(jī)上聯(lián)至服務(wù)器核心交換機(jī)，對(duì)視頻會(huì)議進(jìn)行獨(dú)立網(wǎng)段保證。對(duì)災(zāi)備區(qū)、安管區(qū)原有設(shè)備升級(jí)設(shè)備硬件，將各區(qū)域保持原網(wǎng)絡(luò)邏輯架構(gòu)割接至新核心交換機(jī)。

2 辦公區(qū) SDN 升級(jí)方案

2.1 辦公區(qū)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃

2.1.1 辦公區(qū)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

辦公區(qū)基礎(chǔ)網(wǎng)絡(luò)具體架構(gòu)如下：

1）核心層。核心層主要起到連結(jié)辦公區(qū)網(wǎng)絡(luò)所有業(yè)務(wù)流量的作用，因此可靠性是及其重要的。本方案中，2 臺(tái)核心交換機(jī)通過2條40Gbit/s 鏈路實(shí)現(xiàn)互聯(lián)，并且利用設(shè)備虛擬化技術(shù)，將2臺(tái)交換機(jī)虛擬化為1臺(tái)設(shè)備，能夠?qū)崿F(xiàn)配置、表項(xiàng)的統(tǒng)一，2 臺(tái)設(shè)備能夠通過1個(gè) IP 進(jìn)行統(tǒng)一管理，且具備分裂檢測(cè)機(jī)制，能夠滿足業(yè)務(wù)的高可靠性需求。虛擬化后的辦公區(qū)網(wǎng)絡(luò)核心交換機(jī)與服務(wù)器區(qū)核心間通過40Gbit/s 鏈路實(shí)現(xiàn)互聯(lián)，并且進(jìn)行鏈路捆綁，以此實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，保障業(yè)務(wù)不會(huì)中斷。

2）匯聚層。本次辦公區(qū)網(wǎng)絡(luò)按照物理位置進(jìn)行匯聚的部署，分別在各辦公樓宇部署辦公匯聚交換機(jī)，充分體現(xiàn)了層次性和清晰性。

在本次方案設(shè)計(jì)中，每個(gè)匯聚節(jié)點(diǎn)部署2臺(tái)高性能匯聚交換機(jī)。機(jī)房匯聚交換機(jī)設(shè)備對(duì)上與核心交換機(jī)通過2條40Gbit/s 鏈路進(jìn)行連接，保證跨區(qū)域的訪問帶寬；對(duì)下與接入交換機(jī)通過2條10Gbit/s鏈路相連接，滿足收斂比設(shè)計(jì)和基礎(chǔ)資源層的接入等要求。

匯聚設(shè)備同樣采用虛擬化的方式部署。將2臺(tái)設(shè)備虛擬化成1臺(tái)設(shè)備，接入交換機(jī)到匯聚交換機(jī)采用的雙鏈路上聯(lián)，等同于雙鏈路連接到1臺(tái)匯聚設(shè)備上，能夠?qū)崿F(xiàn)跨設(shè)備鏈路聚合。當(dāng)上聯(lián)1條鏈路中斷時(shí)，相當(dāng)于是聚合鏈路的一條成員鏈路出現(xiàn)故障，切換到另一條成員鏈路的時(shí)間小于20ms。

極端情況下，即使其中1臺(tái)設(shè)備宕機(jī)，也不會(huì)對(duì)網(wǎng)絡(luò)造成大的影響，基本能夠保證整個(gè)切換過程的用戶業(yè)務(wù)切換無感知。

2 臺(tái)交換機(jī)組成虛擬化集群以后，實(shí)現(xiàn)對(duì)2臺(tái)交換機(jī)的統(tǒng)一管理，簡(jiǎn)化了管理流程。和傳統(tǒng)技術(shù)相比，虛擬化的優(yōu)勢(shì)主要有，簡(jiǎn)化組網(wǎng)拓?fù)浣Y(jié)構(gòu)，簡(jiǎn)化管理；減少設(shè)備數(shù)量，減少管理工作量；多臺(tái)設(shè)備合并后可以有效提高性能；多臺(tái)設(shè)備之間可以實(shí)現(xiàn)無縫切換，有效提高網(wǎng)絡(luò)高可用性。

3）接入層。本次辦公區(qū)網(wǎng)絡(luò)的辦公區(qū)網(wǎng)絡(luò)接入能力將從百兆網(wǎng)絡(luò)升級(jí)為千兆網(wǎng)絡(luò)，接入層設(shè)備雙上行并進(jìn)行捆綁鏈接至匯聚層交換機(jī)，作為VXLAN 節(jié)點(diǎn)，供終端接入 VXlAN 網(wǎng)絡(luò)。

2.1.2 辦公區(qū)路由規(guī)劃

全網(wǎng) Underlay 使用 OSPF（開放式最短路徑優(yōu)先協(xié)議）互聯(lián)，本地環(huán)回接口地址為路由 ID，通告設(shè)備互聯(lián) IP 及環(huán)回地址，SDN 組網(wǎng)使用 Spine 脊節(jié)點(diǎn)-匯聚-Leaf 葉節(jié)點(diǎn)架構(gòu)組網(wǎng)，架構(gòu)如圖4所示。

圖4 水利部機(jī)關(guān)網(wǎng)絡(luò)辦公路由規(guī)劃

2.2 辦公網(wǎng)區(qū) SDN 升級(jí)特點(diǎn)

辦公網(wǎng)經(jīng)過 SDN 升級(jí)改造后，基于虛擬局域網(wǎng)和專用網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)了包括辦公網(wǎng)絡(luò)的自動(dòng)化上線，業(yè)務(wù)端到端自動(dòng)化部署，接入用戶名址綁定，有線無線一體化管理等一系列功能。整體架構(gòu)基于SDN 思想提升了水利部機(jī)關(guān)辦公網(wǎng)絡(luò)的運(yùn)維管理能力。具體特點(diǎn)如下：

1）位址分離/名址綁定。位指位置，址指 IP 地址，名指用戶本身或者業(yè)務(wù)。位址分離就是 IP 地址與物理位置解耦，名址綁定就是用戶/業(yè)務(wù)和 IP 地址綁定，IP 地址不光從技術(shù)層面承載連通性，支撐路由轉(zhuǎn)發(fā)，而且還具有直接標(biāo)識(shí)業(yè)務(wù)/用戶的功能，策略可以直接根據(jù)五元組實(shí)施，大大簡(jiǎn)化了傳統(tǒng)網(wǎng)絡(luò)策略的部署。最終達(dá)到所見即所得的效果，IP 即用戶，網(wǎng)段即業(yè)務(wù)，同時(shí)也大大簡(jiǎn)化了網(wǎng)絡(luò)的審計(jì)。

2）策略隨行。指用戶移動(dòng)到哪里，策略就跟隨到哪里，用戶的體驗(yàn)不變，比如部門 A 的工作人員移動(dòng)到水利部機(jī)關(guān)的會(huì)議室等任何位置，依舊獲得部門 A 的權(quán)限，訪問部門 A 的相關(guān)資源，策略保持不變。

3）網(wǎng)絡(luò)開放。除了基礎(chǔ)網(wǎng)絡(luò)架構(gòu)之外，還提供軟件定義能力，通過網(wǎng)絡(luò)控制器的上層開放接口，允許第三方進(jìn)行增值開發(fā)，從而快速提供新的功能。

4）業(yè)務(wù)部署極簡(jiǎn)。減少了上線工作量及復(fù)雜度，能夠快速實(shí)現(xiàn)新業(yè)務(wù)上線。

5）全面資源管理。對(duì)網(wǎng)絡(luò)環(huán)境資源可統(tǒng)一管控，提供拓?fù)洹⒕W(wǎng)絡(luò)設(shè)備、IP 地址、用戶的管理等功能。

3 服務(wù)器區(qū)網(wǎng)絡(luò)升級(jí)方案

3.1 服務(wù)器區(qū)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃

3.1.1 服務(wù)器區(qū)架構(gòu)

服務(wù)器區(qū)架構(gòu)具體如下：

1）核心層。核心層主要負(fù)責(zé)連通所有的功能分區(qū)，構(gòu)建一個(gè)高速交換的以太網(wǎng)骨干網(wǎng)絡(luò)。核心層節(jié)點(diǎn)作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行，所以核心層交換機(jī)本身具備設(shè)備模塊級(jí)冗余。核心層節(jié)點(diǎn)還需要具有良好的可擴(kuò)充性和高密度端口的承載能力，能夠保障隨著將來服務(wù)器區(qū)網(wǎng)絡(luò)規(guī)模的擴(kuò)充而平滑升級(jí)。

在本次升級(jí)中，與辦公核心層一致，服務(wù)器核心交換機(jī)采用2臺(tái)高性能核心設(shè)備，設(shè)備之間通過40 Gbit/s 鏈路互聯(lián)作為堆疊口，使用虛擬化技術(shù)將2 臺(tái)交換機(jī)虛擬化為1臺(tái)設(shè)備，虛擬化后的服務(wù)器區(qū)網(wǎng)絡(luò)核心交換機(jī)與辦公核心間通過2條40Gbit/s鏈路互聯(lián)，互聯(lián)均進(jìn)行鏈路捆綁，以實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性、高性能。

2）接入層。采用大二層的設(shè)計(jì)思路，去掉了匯聚層，服務(wù)器區(qū)業(yè)務(wù)接入交換機(jī)使用萬兆電和光設(shè)備，通過2×40Gbit/s 鏈路連接至核心設(shè)備，互聯(lián)鏈路進(jìn)行捆綁。

3.1.2 服務(wù)器區(qū)路由規(guī)劃

統(tǒng)一規(guī)劃 Underlay 網(wǎng)絡(luò)，使用 OSPF 協(xié)議，規(guī)定進(jìn)程號(hào)和區(qū)域號(hào)，路由器 ID 使用環(huán)回接口地址，使用網(wǎng)絡(luò)方式宣告直連網(wǎng)段、環(huán)回接口地址，路由規(guī)劃如圖5所示。

圖5 水利部機(jī)關(guān)網(wǎng)絡(luò)服務(wù)器區(qū)路由規(guī)劃

3.2 服務(wù)器區(qū) SDN 升級(jí)特點(diǎn)

使用 VXLAN 技術(shù)實(shí)現(xiàn)在傳統(tǒng)網(wǎng)絡(luò)之上搭建Overlay 覆蓋網(wǎng)絡(luò)，Overlay 網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，能夠?qū)崿F(xiàn)虛擬網(wǎng)絡(luò)擺脫物理網(wǎng)絡(luò)的限制。可將網(wǎng)絡(luò)設(shè)備的控制層面與轉(zhuǎn)發(fā)層面分離，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活控制，為云業(yè)務(wù)系統(tǒng)提供所需的新一代網(wǎng)絡(luò)環(huán)境。具體特點(diǎn)如下：

1）控制和轉(zhuǎn)發(fā)分離?？刂茖用婵梢詳[脫對(duì)傳統(tǒng)網(wǎng)絡(luò)設(shè)備的依賴，實(shí)現(xiàn)網(wǎng)絡(luò)流量統(tǒng)一管理調(diào)度。

2）集中控制。方便對(duì)池化的資源進(jìn)行靈活的控制和監(jiān)管，對(duì)網(wǎng)絡(luò)資源整體把控。

3）開放的 API。開放統(tǒng)一的南向和北向接口，可與云管、云虛擬化等平臺(tái)對(duì)接，實(shí)現(xiàn)云資源統(tǒng)一編排。

4）消除傳統(tǒng)網(wǎng)絡(luò)限制。使用 VXLAN 技術(shù)構(gòu)建跨三層網(wǎng)絡(luò)的 Overlay 網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境與物理位置解耦，業(yè)務(wù)系統(tǒng)主機(jī)可在各個(gè)樓宇間、數(shù)據(jù)中心間靈活遷移，不受網(wǎng)絡(luò)環(huán)境約束；IP 地址可靈活分配，業(yè)務(wù) IP 地址不受物理網(wǎng)絡(luò)約束，業(yè)務(wù)變動(dòng)無需改動(dòng)物理網(wǎng)絡(luò)；同時(shí)解決了傳統(tǒng)網(wǎng)絡(luò)中的 VLAN限制。

5）簡(jiǎn)化維護(hù)工作。減少上線工作量及復(fù)雜度，能夠快速實(shí)現(xiàn)新業(yè)務(wù)上線。在日常運(yùn)維中通過控制器表象信息可快速定位故障原因并及時(shí)解決問題。

6）高易用性。基于 Web 頁(yè)面進(jìn)行管理，直觀顯示用戶的網(wǎng)絡(luò)設(shè)備和接入主機(jī)，記錄詳細(xì)的日志信息，用戶行為可跟蹤。

4 運(yùn)行狀況

本次水利部機(jī)關(guān)網(wǎng)絡(luò) SDN 優(yōu)化升級(jí)已經(jīng)進(jìn)入試運(yùn)行階段，總體上比較平穩(wěn)，有力提升了網(wǎng)絡(luò)運(yùn)維管理水平，增強(qiáng)了故障發(fā)現(xiàn)定位能力，主要運(yùn)行優(yōu)勢(shì)如下：

1）升級(jí)老舊網(wǎng)絡(luò)設(shè)備并使用虛擬化技術(shù)將2臺(tái)物理設(shè)備堆疊為1臺(tái)設(shè)備使用，提升了網(wǎng)絡(luò)性能及可靠性。

2）調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，優(yōu)化網(wǎng)關(guān)及 IP 地址、VLAN、路由，配合升級(jí)后的新網(wǎng)絡(luò)設(shè)備提升網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率。

3）規(guī)劃網(wǎng)絡(luò)區(qū)域，調(diào)整相應(yīng)設(shè)備部署區(qū)域，優(yōu)化網(wǎng)絡(luò)區(qū)域結(jié)構(gòu)減少流量交錯(cuò)，提升了整體網(wǎng)絡(luò)的可靠性。

4）通過 SDN 技術(shù)對(duì)接虛擬化網(wǎng)絡(luò)功能資源，采用服務(wù)鏈的方式，細(xì)化了同區(qū)域業(yè)務(wù)與跨區(qū)域業(yè)務(wù)互訪交互的控制，提升業(yè)務(wù)環(huán)境的安全性。

5 結(jié)語

本次水利部機(jī)關(guān)網(wǎng)絡(luò) SDN 升級(jí)的關(guān)鍵設(shè)備是核心層網(wǎng)絡(luò)設(shè)備和隨之新增的 SDN 控制器。SDN本身對(duì)網(wǎng)絡(luò)規(guī)模沒有要求，但是小范圍的網(wǎng)絡(luò)實(shí)施SDN 改造相對(duì)意義較小，SDN 優(yōu)勢(shì)在大型數(shù)據(jù)中心網(wǎng)絡(luò)中體現(xiàn)最為明顯。如果現(xiàn)狀網(wǎng)絡(luò)的接入層設(shè)備支持 SDN 協(xié)議，可作為受控轉(zhuǎn)發(fā)設(shè)備，成本會(huì)相對(duì)低廉很多，僅需更新核心設(shè)備和 SDN 控制器。

由于水利部機(jī)關(guān)網(wǎng)絡(luò)建設(shè)較早，機(jī)房物理情況、網(wǎng)路架構(gòu)、業(yè)務(wù)部署都比較復(fù)雜，此次升級(jí)更新了所有核心層和大部分接入層的網(wǎng)絡(luò)設(shè)備，為保證在整體升級(jí)改造中基本不對(duì)網(wǎng)絡(luò)造成影響，共進(jìn)行了大大小小的割接50余次。水利部機(jī)關(guān)網(wǎng)絡(luò)SDN 升級(jí)從方案規(guī)劃開始實(shí)施到進(jìn)入試運(yùn)行共計(jì)耗時(shí)約12個(gè)月，試運(yùn)行至今已超過3個(gè)月，未發(fā)生較大的故障問題。實(shí)施過程中最大的問題是原網(wǎng)絡(luò)拓?fù)鋸?fù)雜和現(xiàn)階段 SDN 技術(shù)對(duì)老舊設(shè)備的支持不夠完美?？傮w來講，本次基于 SDN 技術(shù)的升級(jí)改造有力提升了內(nèi)部網(wǎng)絡(luò)互聯(lián)帶寬，減小了網(wǎng)絡(luò)收斂比，在提高業(yè)務(wù)服務(wù)能力的同時(shí)也提升了工作人員的辦公體驗(yàn)，后續(xù)要繼續(xù)探索整體網(wǎng)絡(luò)狀態(tài)監(jiān)控、IPv6 改造、網(wǎng)絡(luò)安全資源池化等問題。