高杰欣 張淼

中南民族大學(xué)原有核心網(wǎng)絡(luò)于2014年按照雙活特性改造完成。核心交換機(jī)分布在校內(nèi)相距1公里的兩座數(shù)據(jù)中心機(jī)房，以vrrp和port-channel協(xié)議在邏輯上構(gòu)成一個(gè)整體，上行至運(yùn)營商的互聯(lián)網(wǎng)出口，下行至各個(gè)樓宇的匯聚交換均雙萬兆鏈路以動(dòng)態(tài)LACP連接到兩座機(jī)房的核心交換機(jī)。

也就是說對(duì)端設(shè)備都“認(rèn)為”核心交換是一臺(tái)設(shè)備，以期在核心拓?fù)渲谐霈F(xiàn)任意單點(diǎn)、單鏈路故障，甚至單機(jī)房停止，都能在用戶無感知下連續(xù)運(yùn)行，繼而在工作時(shí)間從容處理突發(fā)問題。

防火墻是整個(gè)拓?fù)涞摹爸袠小?，上端是校園網(wǎng)與互聯(lián)網(wǎng)的邊界，下端連接數(shù)據(jù)中心與網(wǎng)絡(luò)中心兩個(gè)核心區(qū)域。核心交換以下保持匯聚、接入的三層網(wǎng)絡(luò)結(jié)構(gòu) ，用戶以DHCP獲取僅限校內(nèi)訪問的IPv4地址后，通過L2TP校園網(wǎng)認(rèn)證獲取IPv4/IPv6地址，即通過BRAS整合有線、無線為一張網(wǎng)雙棧準(zhǔn)出到互聯(lián)網(wǎng)，繼而實(shí)現(xiàn)校內(nèi)和互聯(lián)網(wǎng)均同一入口接入校園網(wǎng)。雙活核心拓?fù)浣鉀Q了連續(xù)可用性并適用于學(xué)校應(yīng)用和運(yùn)維的同時(shí)，也帶來了伸縮性等問題。

前期的構(gòu)想與實(shí)踐

有感于自誕生以來就非?；馃岬腟DN數(shù)控分離理念，這種類似“瘦AP”的技術(shù)架構(gòu)在現(xiàn)網(wǎng)結(jié)構(gòu)中最適宜替換到防火墻的位置，繼而易于實(shí)現(xiàn)全局流量的調(diào)度、新增設(shè)備的敏捷部署以及基于自動(dòng)化配置的安全運(yùn)維。

設(shè)備選型：在校園網(wǎng)這種規(guī)模的園區(qū)網(wǎng)中，SDN的應(yīng)用案例幾乎為零。國內(nèi)外知名網(wǎng)絡(luò)設(shè)備廠商的解決方案除了要求必須全用自家的軟硬件，還得更換大量現(xiàn)網(wǎng)其他設(shè)備才能部分實(shí)現(xiàn)預(yù)期效果，純OpenFLOW的白牌交換機(jī)且不談性能和質(zhì)量如何，能說出來的廠家就寥寥無幾，所以設(shè)備選型是要解決的首要問題。

按照OpenFLOW標(biāo)準(zhǔn)，一張流表可以使用任意字段組合去做查表，在當(dāng)前的商業(yè)芯片中，必須使用TCAM表來實(shí)現(xiàn)。

但TCAM在普通交換機(jī)中主要用于二、三層處理，一般僅有4k—16k表項(xiàng)數(shù)支持，是一種昂貴的資源，如果按照OpenFLOW動(dòng)輒幾十K甚至上百K的流表要求，在匹配字段數(shù)目和轉(zhuǎn)發(fā)性能上存在短板，同時(shí)存在部分字段只讀無法修改，流表動(dòng)作無法立即生效等先天不足。

為此，對(duì)SDN交換機(jī)的選型實(shí)則是對(duì)可編程交換芯片的選擇，重要考量的是硬件表項(xiàng)及TTP表項(xiàng)映射。

想象中的方案，由2臺(tái)SDN交換機(jī)分別替代原有防火墻的物理拓?fù)湮恢?，每個(gè)SDN交換機(jī)配置一臺(tái)獨(dú)立的OpenDayLight控制器并相互作為主備部署，原有防火墻以旁掛方式遷移集中到一個(gè)機(jī)房，新增2臺(tái)防火墻到另一個(gè)機(jī)房，在新拓?fù)渲斜３至穗p活形態(tài)。

在組網(wǎng)細(xì)節(jié)上，超級(jí)匯聚的誕生由如下4個(gè)方面構(gòu)成：

控制有道? 每個(gè)SDN交換機(jī)獨(dú)立配置一臺(tái)服務(wù)器運(yùn)行控制器程序，每個(gè)控制器既是同機(jī)房SDN交換機(jī)的主控制器，又是另一機(jī)房SDN交換機(jī)的備控制器?？刂破鞒绦騼H承載交換機(jī)接口提供的信息上收和流表下發(fā)的輕量工作，最大限度保持其自身的穩(wěn)定可靠，圍繞安全和運(yùn)維自動(dòng)化的分析判斷和各種輔助功能以插接APP的形式與控制器實(shí)現(xiàn)聯(lián)動(dòng)。

北聯(lián)邊界? SDN交換機(jī)在替代防火墻的同時(shí)，以堆疊方式構(gòu)成邏輯整體，可替代邊界接入交換機(jī)，互聯(lián)網(wǎng)出口仍保持動(dòng)態(tài)LACP接入到兩個(gè)機(jī)房，繼而可利用OpenFLOW接口獲取的狀態(tài)數(shù)據(jù)實(shí)現(xiàn)安全初篩，在網(wǎng)絡(luò)的邊界就把潛在的威脅通過計(jì)數(shù)等簡單的方式發(fā)現(xiàn)和丟棄，在邊界形成一定的防DDoS能力。同時(shí)，控制器上安全相關(guān)的APP也能夠?qū)Πl(fā)現(xiàn)的威脅在邊界上就進(jìn)行消減。

所有互聯(lián)網(wǎng)出口在SDN上的匯集及流表的自由定義，又為出口選路提供更靈活的能力，將原本在防火墻上承載的NAT一并由SDN來實(shí)現(xiàn)。SDN交換機(jī)上可以獲取校內(nèi)所有區(qū)域?qū)嶋HIP地址，對(duì)于流量的分析更為便捷，由SDN交換機(jī)實(shí)現(xiàn)向互聯(lián)網(wǎng)訪問選路也更集中統(tǒng)一。

南匯園區(qū)? SDN的下聯(lián)分別是校園網(wǎng)核心、數(shù)據(jù)中心核心及卡務(wù)核心三個(gè)區(qū)域，未來還可能有門禁核心等新的細(xì)分區(qū)域，每個(gè)區(qū)域之間的相互訪問過去通過防火墻的zone實(shí)現(xiàn)隔離與防護(hù)，現(xiàn)在則基于流表實(shí)現(xiàn)更精細(xì)的管控。新區(qū)域也可像積木一般快速接入到骨干網(wǎng)絡(luò)或移除，這對(duì)區(qū)域間流量調(diào)整帶來的網(wǎng)絡(luò)震蕩也會(huì)降到最低。

針對(duì)SDN流表對(duì)流量管控的靈活性，設(shè)想將用戶區(qū)域的流量設(shè)定為出互聯(lián)網(wǎng)方向不過防火墻，互聯(lián)網(wǎng)入用戶區(qū)域的流量仍受保護(hù)，這樣就能為用戶縮小幾毫秒的延遲體驗(yàn)，并且減輕防火墻的工作負(fù)載。

旁路護(hù)航? SDN的旁路以安全設(shè)備、流量分析及測試設(shè)備接入為主，每個(gè)新接入設(shè)備可以按需選取所需區(qū)域的指定或全部流量，接線不影響在線的業(yè)務(wù)。調(diào)試可以從逐個(gè)IP到逐個(gè)地址段慢慢擴(kuò)大，對(duì)指定流量能夠設(shè)定經(jīng)過一個(gè)或多個(gè)不同安全設(shè)備多次過濾，這些特性使得在生產(chǎn)網(wǎng)絡(luò)中割接上線和下線變得更為從容。

在端口鏡像方面，傳統(tǒng)交換機(jī)一般會(huì)建議一個(gè)鏡像源端口對(duì)應(yīng)一個(gè)目的端口，并且一臺(tái)交換機(jī)會(huì)有鏡像數(shù)量的限制。但在SDN交換機(jī)中，只要吞吐量未用滿，則沒有鏡像數(shù)量的限制，并且能將多個(gè)源端口累加的大流量根據(jù)源和目的IP分拆到多個(gè)端口加以利用，使超級(jí)匯聚在流量的釋放上更具靈活性。

基于上述想象，SDN交換機(jī)既是主干樞紐承載核心流量，也是一個(gè)流量選擇分配中心，這與常見的“分流器”設(shè)備完全不同，對(duì)提升整個(gè)網(wǎng)絡(luò)調(diào)度能力起著舉足輕重的作用。

分步驟實(shí)施

對(duì)于新興的SDN技術(shù)實(shí)踐，不期而至的困難一定會(huì)比樂觀的想象來得更為猛烈，技術(shù)實(shí)現(xiàn)的理想性和演進(jìn)過程的曲折性就是折騰不休的IT生活生動(dòng)的寫照。

正如雙活網(wǎng)絡(luò)的部署期望有故障發(fā)生時(shí)能在白天更從容的處置，從原有網(wǎng)絡(luò)到SDN的割接也盡力做到用戶無感知。

雙活到單活? 第一階段的準(zhǔn)備工作是將原有網(wǎng)絡(luò)的關(guān)鍵配置進(jìn)行梳理，重點(diǎn)是理清各種情況下的流量走向，并將雙活置為單機(jī)房運(yùn)行的單活模式，以便在另一個(gè)機(jī)房將SDN上線前所需的準(zhǔn)備做好，特別是SDN一端新接防火墻涉及原有防護(hù)策略遷移和一些輔助功能的停用。

單SDN割接? 當(dāng)另一個(gè)機(jī)房的SDN物理連接和流表等配置準(zhǔn)備就緒，割接動(dòng)作實(shí)質(zhì)是在原單活的上下聯(lián)設(shè)備將路由改到SDN一端，修改路由的時(shí)間僅僅數(shù)秒，割接的時(shí)間可以選擇在線人數(shù)較少的周末，這樣也能立即觀察到用戶訪問和數(shù)據(jù)中心等其他區(qū)域是否存在問題，便于快速處理和回退。

按需導(dǎo)流? 單SDN割接成功，形式上看起來旁路的防火墻已經(jīng)屬于將指定流量導(dǎo)入的服務(wù)鏈模式，防火墻在邏輯上仍串接在網(wǎng)絡(luò)中。接下來再選取指定的流量用于鏡像分析、緩存加速及串接測試設(shè)備則變得輕松簡單。

按需考驗(yàn)著SDN對(duì)網(wǎng)絡(luò)可擴(kuò)展性的能力是否達(dá)到了想象中的靈活。

主備機(jī)制? 將不同網(wǎng)絡(luò)區(qū)域相互之間的訪問進(jìn)行組合，指定每一種互訪的組合主從分別通過哪一臺(tái)SDN交換機(jī)，“主”表明的是默認(rèn)走向，“從”發(fā)生在檢測到“主”發(fā)生情況就切換。

持續(xù)迭代? 改造進(jìn)行到此并不是結(jié)束，在生產(chǎn)網(wǎng)絡(luò)中實(shí)測了仍在演進(jìn)中的技術(shù)并不能簡單用行或不行來說SDN。在現(xiàn)有組網(wǎng)中，流量可視化分析是相比改造前最容易實(shí)現(xiàn)管理創(chuàng)新的發(fā)力點(diǎn)，同時(shí)，安全運(yùn)維強(qiáng)調(diào)的監(jiān)控、日志、自動(dòng)化運(yùn)維等議題也有了更進(jìn)一步探索的空間。