張榮凱

摘要：在人民銀行系統(tǒng)整合與架構(gòu)轉(zhuǎn)型的背景下，各級(jí)人民銀行都在積極探索大數(shù)據(jù)平臺(tái)在金融業(yè)的應(yīng)用，在虛擬化、云技術(shù)等新興技術(shù)驅(qū)動(dòng)下，傳統(tǒng)網(wǎng)絡(luò)在管理和擴(kuò)展方面面臨極大挑戰(zhàn)。本文綜合當(dāng)前SDN組網(wǎng)架構(gòu)應(yīng)用特點(diǎn)，結(jié)合人民銀行基礎(chǔ)網(wǎng)絡(luò)架構(gòu)提出初步組網(wǎng)建議，并對(duì)當(dāng)前SDN組網(wǎng)面臨的安全性問(wèn)題進(jìn)行了研究。

關(guān)鍵詞：SDN技術(shù) ?人民銀行 ?組網(wǎng) ?安全性思考

一、SDN技術(shù)發(fā)展及實(shí)現(xiàn)方式

（一）SDN技術(shù)的發(fā)展

近年來(lái)，伴隨著云計(jì)算、大數(shù)據(jù)及虛擬化業(yè)務(wù)的快速發(fā)展，使得計(jì)算、存儲(chǔ)設(shè)施變成可運(yùn)營(yíng)的資源，用戶可以通過(guò)互聯(lián)網(wǎng)按需彈性獲取，這對(duì)底層承載網(wǎng)絡(luò)在面對(duì)頻繁變化的業(yè)務(wù)需求進(jìn)行靈活調(diào)整時(shí)提出更高要求。

傳統(tǒng)靜態(tài)網(wǎng)絡(luò)在組網(wǎng)方式和配置管理模式上都缺乏足夠的靈活性。一是現(xiàn)有的網(wǎng)絡(luò)虛擬化方法如虛擬局域網(wǎng)VLAN、虛擬路由轉(zhuǎn)發(fā)VRF等受協(xié)議自身的限制，無(wú)法滿足大型虛擬化云計(jì)算應(yīng)用的網(wǎng)絡(luò)隔離和虛擬機(jī)部署規(guī)模;二是虛擬機(jī)在遷移過(guò)程中，要求網(wǎng)絡(luò)具備快速部署、切換能力，現(xiàn)有的網(wǎng)絡(luò)生成樹(shù)（Spaning Tree Protocol）技術(shù)限制了虛擬化的網(wǎng)絡(luò)擴(kuò)展性;三是部分網(wǎng)絡(luò)設(shè)備廠商在網(wǎng)絡(luò)的自動(dòng)化部署和可視化管理方面明顯不足。

軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）通過(guò)軟件方式在物理網(wǎng)絡(luò)上構(gòu)建虛擬的邏輯網(wǎng)絡(luò)實(shí)現(xiàn)控制轉(zhuǎn)發(fā)分離、邏輯集中控制，使得上層業(yè)務(wù)對(duì)網(wǎng)絡(luò)的變更需求直接體現(xiàn)在邏輯網(wǎng)絡(luò)上。同時(shí)，軟件定義的方式將網(wǎng)絡(luò)（虛擬網(wǎng)絡(luò)）的管理和控制功能從物理設(shè)備中抽離出來(lái)，有助于提高網(wǎng)絡(luò)的智能化和自動(dòng)化水平。與傳統(tǒng)網(wǎng)絡(luò)相比，SDN網(wǎng)絡(luò)架構(gòu)更為開(kāi)放、靈活，能適應(yīng)業(yè)務(wù)需求進(jìn)行快速調(diào)整，更符合云計(jì)算業(yè)務(wù)發(fā)展的需求。

（二）SDN技術(shù)實(shí)現(xiàn)方式

對(duì)于SDN的定義，大家比較認(rèn)可的是廣義SDN，即：泛指向上層應(yīng)用開(kāi)放資源接口，可實(shí)現(xiàn)軟件編程控制的各類基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。當(dāng)前，SDN組網(wǎng)主流解決方案包括OpenFlow、 Overlay、I2RS、NFV等。

基于OpenFlow技術(shù)的SDN，強(qiáng)調(diào)控制與轉(zhuǎn)發(fā)解耦，由OpenFlow交換機(jī)、FlowVisor和Controller三部分組成，轉(zhuǎn)發(fā)層由OpenFlow交換機(jī)組成，控制面由SDN控制器軟件組成。OpenFlow雖然在Google等大型互聯(lián)網(wǎng)公司應(yīng)用，但其技術(shù)門(mén)檻高，并且算法及架構(gòu)存在較多問(wèn)題，商用解決方案較少，不適合較為復(fù)雜場(chǎng)景部署。

Overlay通過(guò)在現(xiàn)有物理網(wǎng)絡(luò)上疊加一個(gè)軟件定義的邏輯網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)業(yè)務(wù)邏輯。Overlay是一種隧道封裝技術(shù)，主要有VXLAN、NVGRE、STT這三種技術(shù)，基本原理都是通過(guò)隧道封裝的方式將二層報(bào)文進(jìn)行封裝后在現(xiàn)有網(wǎng)絡(luò)中進(jìn)行透明傳輸，到達(dá)目的地之后再解封裝得到原始報(bào)文，相當(dāng)于一個(gè)大二層網(wǎng)絡(luò)疊加（Overlay）在現(xiàn)有的網(wǎng)絡(luò)之上。

I2RS完全依賴于傳統(tǒng)產(chǎn)業(yè)鏈，可用于現(xiàn)網(wǎng)改造，標(biāo)準(zhǔn)及產(chǎn)品進(jìn)展緩慢，只有Cisco ONEPK解決方案。

NFV將網(wǎng)絡(luò)功能虛擬化，利用通用性服務(wù)器和虛擬化技術(shù)來(lái)承載網(wǎng)絡(luò)功能，降低網(wǎng)絡(luò)成本，提升業(yè)務(wù)開(kāi)發(fā)部署能力，當(dāng)前專用硬件設(shè)備種類各異，數(shù)量眾多，該方案只能應(yīng)用于特定場(chǎng)景下，仍面臨著性能和容量等方面的挑戰(zhàn)。

二、SDN技術(shù)在人民銀行應(yīng)用研究

在人民銀行系統(tǒng)整合與架構(gòu)轉(zhuǎn)型的背景下，各級(jí)人民銀行都在積極探索大數(shù)據(jù)平臺(tái)在金融業(yè)的應(yīng)用，通過(guò)大數(shù)據(jù)與云計(jì)算深度結(jié)合，依托分布式處理、分布式數(shù)據(jù)庫(kù)和云存儲(chǔ)、虛擬化技術(shù)對(duì)海量數(shù)據(jù)進(jìn)行分布式挖掘。為滿足大數(shù)據(jù)平臺(tái)中虛擬機(jī)在網(wǎng)絡(luò)中的規(guī)模部署和快速遷移，結(jié)合現(xiàn)有的SDN商用解決方案，選擇在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)上疊加軟件定義的邏輯網(wǎng)絡(luò)的Overlay方案較為合適。

Overlay技術(shù)實(shí)際上是通過(guò)點(diǎn)到多點(diǎn)的隧道封裝協(xié)議，隧道封裝協(xié)議主要包括VXLAN、NVGRE、STT三種，其中VXLAN（Virtual eXtensible LAN）技術(shù)是利用了現(xiàn)有通用的UDP傳輸，具有很高的成熟度。在VXLAN組網(wǎng)中，用于建立VXLAN隧道的端點(diǎn)設(shè)備稱為VTEP（VXLAN Tunneling End Point，VXLAN隧道終結(jié)點(diǎn)），封裝和解封裝在VTEP節(jié)點(diǎn)上進(jìn)行。在組網(wǎng)過(guò)程中，根據(jù)各級(jí)人民銀行實(shí)際環(huán)境，可構(gòu)建以下三種模式。

（一）硬件Overlay

組網(wǎng)特點(diǎn)：隧道在物理交換機(jī)上進(jìn)行封裝，交換機(jī)需支持VXLAN協(xié)議棧，可支持接入虛擬化服務(wù)器和物理服務(wù)器，可實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備高性能轉(zhuǎn)發(fā)。

如圖1網(wǎng)絡(luò)架構(gòu)，采用TOR硬件交換機(jī)作為NVE（網(wǎng)絡(luò)虛擬邊緣節(jié)點(diǎn)），TOR間部署EVN/BGP-EVPN協(xié)議，通過(guò)Spine節(jié)點(diǎn)做RR反射器同步各個(gè)TOR設(shè)備的主機(jī)路由表，如果分布式組網(wǎng)需要多租戶隔離，RR反射器也可以配置為VTEP端點(diǎn)。

方案適用：此方案需采購(gòu)支持VXLAN協(xié)議棧的TOR交換機(jī)，適用于對(duì)網(wǎng)絡(luò)性能敏感、服務(wù)器虛擬化應(yīng)用規(guī)模較少的場(chǎng)景，不依賴虛擬化平臺(tái)，用戶可以有更高的組網(wǎng)自由度。

支持硬件Overlay的廠商：Cisco、H3C VCF、中興等。

（二）軟件Overlay

組網(wǎng)特點(diǎn)：隧道在服務(wù)器的vSwitch上進(jìn)行封裝，通過(guò)安裝在服務(wù)器上的vSwitch軟件實(shí)現(xiàn)VTEP、VXLAN GW、VXLAN IP GW等功能，只需要物理網(wǎng)絡(luò)設(shè)備支持IP轉(zhuǎn)發(fā)即可，所有IP可達(dá)的主機(jī)即可構(gòu)建一個(gè)大范圍二層網(wǎng)絡(luò)。

如圖2網(wǎng)絡(luò)架構(gòu)，VTEP深入到服務(wù)器內(nèi)部，在支持VXLAN協(xié)議棧的虛擬交換機(jī)vSwitch上進(jìn)行報(bào)文的封裝和解封裝，Overlay功能由服務(wù)器來(lái)實(shí)現(xiàn)。各廠家使用集中控制的模型，將分散在多個(gè)物理服務(wù)器上的vSwitch構(gòu)建成一個(gè)大型的、虛擬化的分布式Overlay vSwitch，不同物理服務(wù)器上的虛擬機(jī)遷移可視為在一個(gè)大型的二層網(wǎng)絡(luò)中進(jìn)行。上層的controller控制器通過(guò)openflow協(xié)議下發(fā)表項(xiàng)控制管理vSwitch，控制器通過(guò)OVSDB協(xié)議對(duì)ovsdb-server進(jìn)行管控。

方案適用：適用于數(shù)據(jù)中心服務(wù)器虛擬化場(chǎng)景，支持VMware、KVM、Microsoft Hyper-V、Xen、華為Fusion Compute等主流的Hypervisor虛擬化平臺(tái)，服務(wù)器及現(xiàn)有的網(wǎng)絡(luò)設(shè)備可以利舊使用，降低投資成本，由于各廠家vSwitch對(duì)不同計(jì)算虛擬化平臺(tái)兼容性存在差異，建議虛擬化平臺(tái)安裝對(duì)應(yīng)版本的vSwtich。

支持主機(jī)Overlay的廠商：Vmware NSX、H3C vSwitch、華為 FusionSphere、中興等。

（三）混合Overlay

組網(wǎng)特點(diǎn)：混合Overlay是硬件Overlay和軟件Overlay的混合組網(wǎng)方式，在物理服務(wù)器和終端設(shè)備邊緣部署支持VXLAN協(xié)議棧的硬件交換機(jī)，在虛擬化服務(wù)器內(nèi)安裝vSwitch軟件完成報(bào)文的封裝和解封裝?；旌螼verlay組網(wǎng)，既可以充分利用虛擬化的低成本優(yōu)勢(shì)，又可以發(fā)揮硬件GW的高轉(zhuǎn)發(fā)性能，并將非虛擬化設(shè)備融入到Overlay網(wǎng)絡(luò)。

如圖3網(wǎng)絡(luò)架構(gòu)，controller控制器對(duì)整個(gè)VXLAN實(shí)現(xiàn)總體控制。數(shù)據(jù)庫(kù)、存儲(chǔ)服務(wù)器等物理服務(wù)器需要高速轉(zhuǎn)發(fā)，使用接入TOR交換機(jī)作為VTEP設(shè)備，對(duì)于多租戶需求的虛擬化服務(wù)器采用vSwitch軟件實(shí)現(xiàn)Overlay網(wǎng)絡(luò)接入，同時(shí)Spine設(shè)備作為VTEP節(jié)點(diǎn)部署大容量交換設(shè)備，接入硬件FW/LB實(shí)現(xiàn)網(wǎng)絡(luò)的安全可靠。

方案適用：對(duì)于部署大量云數(shù)據(jù)平臺(tái)，同時(shí)存在部分業(yè)務(wù)需要高速轉(zhuǎn)發(fā)場(chǎng)景下，此方案兼顧硬件和軟件Overlay的特點(diǎn)。

混合Overlay支持的廠家：H3C VCF、Vmware NSX、Cisco、中興Related Solutions等。

（四）人民銀行Overlay組網(wǎng)的建議

考慮到人民銀行各級(jí)節(jié)點(diǎn)數(shù)據(jù)中心建設(shè)程度、網(wǎng)絡(luò)運(yùn)維水平以及設(shè)備廠商的兼容性等因素，建議省級(jí)數(shù)據(jù)中心節(jié)點(diǎn)采用混合Overlay組網(wǎng)方式，可實(shí)現(xiàn)多租戶虛擬機(jī)的快速遷移，又可保障數(shù)據(jù)的高速轉(zhuǎn)發(fā)和網(wǎng)絡(luò)的集中控制，在具體實(shí)施中需要考慮vSwitch軟件對(duì)計(jì)算虛擬化平臺(tái)的兼容性;

地市級(jí)（含轄內(nèi)縣支行）采用硬件Overlay組網(wǎng)方式，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，可實(shí)現(xiàn)網(wǎng)路集中管理、易于編程等優(yōu)勢(shì)，設(shè)備兼容性良好。

三、SDN技術(shù)面臨的安全性分析

（一）SDN產(chǎn)品性能、安全有待提高

基于VXLAN Overlay模型在保障轉(zhuǎn)發(fā)性能上，需要有支持VXLAN offload的網(wǎng)卡進(jìn)行支持。且SDN 控制器作為整網(wǎng)控制核心，在控制器高可用設(shè)計(jì)、代碼安全性和對(duì)控制器的訪問(wèn)控制等方面應(yīng)予以加強(qiáng)。

對(duì)于省級(jí)數(shù)據(jù)中心存在同城、異地災(zāi)備中心的網(wǎng)絡(luò)布局，單一的SDN 控制器應(yīng)對(duì)跨多地域的網(wǎng)絡(luò)控制上存在可靠性、擴(kuò)展性、性能等方面問(wèn)題，需要多個(gè)SDN控制器組成分布式集群，目前，用于多個(gè)控制器之間溝通和聯(lián)系的東西向接口還沒(méi)定義標(biāo)準(zhǔn)。

（二）SDN控制器單點(diǎn)故障風(fēng)險(xiǎn)

控制器負(fù)責(zé)整個(gè)SDN網(wǎng)絡(luò)的集中化管理，實(shí)現(xiàn)網(wǎng)絡(luò)流量可視化，可快速識(shí)別網(wǎng)絡(luò)負(fù)載、異常事件和網(wǎng)絡(luò)攻擊行為。但SDN控制器作為一個(gè)潛在的單點(diǎn)故障源和集中的網(wǎng)絡(luò)干擾點(diǎn)，將成為網(wǎng)絡(luò)攻擊目標(biāo)，這就對(duì)SDN Controller的可靠性提出更高的要求，必須實(shí)現(xiàn)HA部署。

（三）異構(gòu)兼容性問(wèn)題

為保障數(shù)據(jù)安全性和避免對(duì)同一廠家設(shè)備產(chǎn)生依賴，在數(shù)據(jù)中心虛擬化和網(wǎng)絡(luò)建設(shè)中，會(huì)采取多品牌型號(hào)異構(gòu)組網(wǎng)。目前大部分Overlay SDN商用方案中對(duì)第三方開(kāi)源或商用的虛擬化平臺(tái)、網(wǎng)關(guān)設(shè)備兼容性較差。設(shè)備兼容性問(wèn)題主要取決于網(wǎng)關(guān)設(shè)備的通用標(biāo)準(zhǔn)化和南向配置協(xié)議的標(biāo)準(zhǔn)化不夠完善。因此，人民銀行在采用Overlay SDN組網(wǎng)時(shí)，需考慮本單位虛擬化平臺(tái)和網(wǎng)關(guān)設(shè)備的建設(shè)情況，采用自主可控、開(kāi)源性產(chǎn)品。

（四）網(wǎng)絡(luò)集中管控風(fēng)險(xiǎn)

在傳統(tǒng)的網(wǎng)絡(luò)中，管理員使用ping、traceroute、nmap、tcpdump、netflow和snmp等通用管理工具，對(duì)網(wǎng)絡(luò)設(shè)備操作控制在端口級(jí)。在SDN網(wǎng)絡(luò)中，策略控制和下發(fā)均由控制器自動(dòng)化管理，如果網(wǎng)絡(luò)管理員因管理不當(dāng)、誤操作或非授權(quán)用戶取得控制器權(quán)限，會(huì)導(dǎo)致網(wǎng)絡(luò)集中故障風(fēng)險(xiǎn)。Overlay SDN技術(shù)變革及運(yùn)維管理變化較大，網(wǎng)絡(luò)運(yùn)維人員應(yīng)加強(qiáng)對(duì)新技術(shù)的學(xué)習(xí)和研究，逐步開(kāi)展SDN組網(wǎng)應(yīng)用實(shí)踐探索。

作者單位：中國(guó)人民銀行淄博市中心支行