摘要：該文從傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸出發(fā)，解析了SD-Access技術(shù)的架構(gòu)，從控制層面、數(shù)據(jù)層面、南北向接口三個(gè)方面闡述了SD-Access技術(shù)中如何打破傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸以及帶來(lái)了優(yōu)勢(shì)。

關(guān)鍵詞：SD-Access技術(shù);身份服務(wù)引擎;LISP協(xié)議;VXLAN封裝

中圖分類號(hào)：TN929.52 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）08-0021-02

1 背景

SD-Access，Software Design Access，即軟件定義接人，是全數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA）的重要組成部分。它是將服務(wù)器資源和園區(qū)網(wǎng)結(jié)構(gòu)（Campus Fabric）兩者相結(jié)合。通過(guò)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)來(lái)完成大規(guī)模交換機(jī)自動(dòng)化組網(wǎng)，從而達(dá)到網(wǎng)絡(luò)安全控制管理的目標(biāo)。

SD-Access技術(shù)，由軟件來(lái)定義接入組件的各項(xiàng)屬性，例如：接人可行性、接入能力、網(wǎng)關(guān)、IP屬性、安全策略等。接入組件是有線設(shè)備（交換機(jī)、路由器）、無(wú)線設(shè)備（無(wú)線接入點(diǎn)、無(wú)線控制器）等。SD-Access技術(shù)的引入，是傳統(tǒng)網(wǎng)絡(luò)模式的一場(chǎng)革命，將會(huì)在很大程度上提升運(yùn)維效率、網(wǎng)絡(luò)安全性和用戶體驗(yàn)。

2 傳統(tǒng)網(wǎng)絡(luò)模式的瓶頸

2.1 傳統(tǒng)網(wǎng)絡(luò)異構(gòu)程度嚴(yán)重，運(yùn)維管理日益復(fù)雜

傳統(tǒng)網(wǎng)絡(luò)模式，運(yùn)維人員重點(diǎn)關(guān)注并解決的技術(shù)是路由、生成樹(shù)、VLAN、訪問(wèn)控制列表等。傳統(tǒng)的園區(qū)網(wǎng)通常是由多個(gè)品牌網(wǎng)絡(luò)設(shè)備混搭出的多端口網(wǎng)絡(luò)，異構(gòu)程度嚴(yán)重。隨著網(wǎng)絡(luò)中各類設(shè)備數(shù)量的增加，設(shè)備中路由條目、訪問(wèn)控制列表?xiàng)l目、生成樹(shù)成量級(jí)增加，加劇了網(wǎng)絡(luò)運(yùn)維管理的難度。

2.2 傳統(tǒng)網(wǎng)絡(luò)模式不能適應(yīng)云計(jì)算網(wǎng)絡(luò)的策略需求

伴隨園區(qū)網(wǎng)用戶數(shù)量的不斷增加，網(wǎng)絡(luò)分段給運(yùn)維工作提出新的挑戰(zhàn)。各類用戶受身份認(rèn)證、VLAN、IP、ACL等因素的影響，無(wú)法實(shí)現(xiàn)有線無(wú)線一體化體驗(yàn)，無(wú)法根據(jù)業(yè)務(wù)需要實(shí)現(xiàn)用戶分組。同時(shí)，設(shè)備和用戶數(shù)量的增加，各類策略數(shù)量日益累加，且因設(shè)備用戶的不同策略有差異，無(wú)法實(shí)現(xiàn)統(tǒng)一配置。

未來(lái)的網(wǎng)絡(luò)，需要與靈活分布的云計(jì)算網(wǎng)絡(luò)對(duì)接，適應(yīng)用戶多樣化的應(yīng)用策略需求，突出策略實(shí)施的一致性，呈現(xiàn)給用戶的將不再是傳統(tǒng)的多端口網(wǎng)絡(luò)，而是一個(gè)現(xiàn)代化的智能網(wǎng)絡(luò)。

3 SD-Access技術(shù)的架構(gòu)

SD-Access架構(gòu)主要由SD-Access Fabric、DNA Center、ISE組成。

3.1 SD-Access Fabric

設(shè)備所在的區(qū)域稱為SD-Access Fabric。設(shè)備包括Border、Edge、Control-Plane。Edge用來(lái)進(jìn)行有線設(shè)備和無(wú)線設(shè)備的接入，底層Underlay是傳統(tǒng)的復(fù)雜的物理網(wǎng)絡(luò)?；赨nderlay的IP可達(dá)構(gòu)造出的大網(wǎng)絡(luò)稱為Overlay，Overlay通過(guò)Border與Un-derlay對(duì)接，Border和Edge構(gòu)成Overlay的邊界。

Overlay是邏輯層面的網(wǎng)絡(luò)，是虛擬存在的天然可通信的環(huán)境，自成拓?fù)洌瑹o(wú)論設(shè)備以何種方式接入，都可以在拓?fù)淅锔渌煌?jié)點(diǎn)的設(shè)備進(jìn)行通信。

3.2 DNA Center

DNA Center負(fù)責(zé)統(tǒng)一指揮網(wǎng)絡(luò)設(shè)備管理層面的操作，完成管理、配置、策略下發(fā)等任務(wù)，DNA Center有四個(gè)功能，分別是設(shè)計(jì)、策略、調(diào)配、保障[1]。

3.3 ISE

ISE全稱Identity Services Engine，即身份服務(wù)引擎。各種用戶、終端通過(guò)交換機(jī)、無(wú)線AP或者VPN等邊界設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)接入，由ISE實(shí)現(xiàn)身份認(rèn)證。

ISE的三大功能分別是：發(fā)現(xiàn)，可以確認(rèn)用戶的身份以及用戶使用的終端類型和應(yīng)用;安全，和DNA Center聯(lián)動(dòng)，幫助SNA接入的安全管理;分享，實(shí)現(xiàn)與API之間的聯(lián)動(dòng)從而擴(kuò)大操作范圍。

DNA Center和ISE兩者之間有專用通道，通過(guò)建立加密隧道實(shí)現(xiàn)。

4 SD-Access打破傳統(tǒng)網(wǎng)絡(luò)模式瓶頸的技術(shù)體現(xiàn)

4.1控制平面基于LISP協(xié)議節(jié)省大量路由條目的開(kāi)銷

傳統(tǒng)網(wǎng)絡(luò)路由協(xié)議造成本地存放大量路由條目，CPU占用率高，對(duì)設(shè)備性能要求非常高。SD-Access將控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離開(kāi)，由Control-Plane來(lái)控制路由，Control-Plane通過(guò)運(yùn)行主機(jī)跟蹤數(shù)據(jù)庫(kù)來(lái)映射位置信息，基于LISP協(xié)議實(shí)現(xiàn)。LISP協(xié)議，是網(wǎng)絡(luò)映射一封裝協(xié)議，即通過(guò)學(xué)習(xí)、計(jì)算終端標(biāo)識(shí)（End-point Identifier，EID）和路由標(biāo)識(shí)（Routing LOCators，RLOC）表示終端身份信息和位置信息[2]。終端的映射信息使用映射系統(tǒng)（mapping system）管理，掌握匹配關(guān)系，從而通知數(shù)據(jù)包封裝的目的地，精準(zhǔn)到next-hop。LISP數(shù)據(jù)庫(kù)查詢方式，小型表項(xiàng)僅占用設(shè)備少量的CPU資源。在SD-Access架構(gòu)中，Edge設(shè)備是人口，Border設(shè)備是出口，Border設(shè)備指導(dǎo)用戶能去往的應(yīng)用路徑，比如訪問(wèn)互聯(lián)網(wǎng)、訪問(wèn)服務(wù)器集群等。

4.2 數(shù)據(jù)平面基于VXLAN實(shí)現(xiàn)漫游及一致性網(wǎng)絡(luò)體驗(yàn)

傳統(tǒng)網(wǎng)絡(luò)的初衷是不支撐漫游的，漫游功能的實(shí)現(xiàn)必須要識(shí)別出用戶身份，由主機(jī)MAC和主機(jī)IP來(lái)體現(xiàn)。同時(shí)，傳統(tǒng)網(wǎng)絡(luò)的用戶受IP地址或VLAN成員關(guān)系限制，很難實(shí)現(xiàn)用戶或設(shè)備分組。SD-Access則不依賴物理拓?fù)洌軌驅(qū)崿F(xiàn)策略的移動(dòng)性。作為接入設(shè)備的有線交換機(jī)和無(wú)線接人點(diǎn)的流量數(shù)據(jù)都使用VXLAN進(jìn)行封裝。在SD-Access架構(gòu)中，Edge設(shè)備負(fù)責(zé)數(shù)據(jù)的封裝與解封裝。因此，可以為處于園區(qū)網(wǎng)任意物理位置的用戶提供一致的網(wǎng)絡(luò)體驗(yàn)。

4.3 南、北向接口的引入方便運(yùn)維和應(yīng)用

南向接口用來(lái)控制接入設(shè)備，可以下發(fā)設(shè)備配置以及組網(wǎng)意圖。傳統(tǒng)網(wǎng)絡(luò)的配置操作是針對(duì)單一設(shè)備的行為。SD-Ac-cess實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，不再逐臺(tái)設(shè)備依次進(jìn)行配置，管理人員可以從物理層的基本配置中抽離出來(lái)，站在更高層次去實(shí)現(xiàn)基于意圖的網(wǎng)絡(luò)。

北向接口用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)可編程，網(wǎng)絡(luò)可編程的目的是實(shí)現(xiàn)網(wǎng)絡(luò)管理者的意圖，比如，安全策略、無(wú)線信號(hào)使能等，通過(guò)程序與物理設(shè)備實(shí)現(xiàn)互動(dòng)。

5 結(jié)束語(yǔ)

SD-Access技術(shù)較傳統(tǒng)網(wǎng)絡(luò)模式，具有一定的技術(shù)前瞻性、先進(jìn)性，可有效解決傳統(tǒng)網(wǎng)絡(luò)模式應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)格局面臨的瓶頸，但在園區(qū)網(wǎng)全面部署SD-Access資金投入大，技術(shù)要求復(fù)雜，需投人大量時(shí)間、更換大量在用設(shè)備、提升人員技術(shù)水平。因此，SD-Access技術(shù)在園區(qū)網(wǎng)的全面實(shí)踐，將是一個(gè)逐步推進(jìn)、最終取代傳統(tǒng)網(wǎng)絡(luò)模式的過(guò)程。

參考文獻(xiàn)：

[1] Cisco公司.思科創(chuàng)新園區(qū)網(wǎng)架構(gòu)-DAN 2.0-交流[EB/OL]. https：//wenku. baidu. com/view/afc65e7a7275 a417866fb 84ae45c3b3566ecdd19.html.

[2]唐建強(qiáng)，劉穎，周華春，等.一種身份與位置分離環(huán)境下基于網(wǎng)絡(luò)的安全移動(dòng)性管理協(xié)議[J].電子與信息學(xué)報(bào)，2013，35（1）：151-158.

【通聯(lián)編輯：謝媛媛】

收稿日期：2020-01-25

作者簡(jiǎn)介：龐鐳（1982-）.女，陜西漢中人，助理研究員，碩士，研究方向?yàn)榫W(wǎng)絡(luò)運(yùn)維、網(wǎng)絡(luò)安全。