◆董之光 馮梅 李青 谷海生

（中國石油勘探開發(fā)研究院信息技術(shù)中心 北京 100083）

近年來，隨著大數(shù)據(jù)、人工智能等新技術(shù)的發(fā)展，石油企業(yè)對信息化的依賴程度不斷加深，石油園區(qū)網(wǎng)絡(luò)運(yùn)行和管理也在發(fā)生著變化，網(wǎng)絡(luò)規(guī)模和流量不斷增大，業(yè)務(wù)疊加，接入終端暴增已經(jīng)成為常態(tài)，對于網(wǎng)絡(luò)的智慧化運(yùn)營和管理升級的需求日益強(qiáng)烈，主要體現(xiàn)在網(wǎng)絡(luò)的自動化部署、可視、可管、可控、靈活定制等。目前在石油行業(yè)中，已經(jīng)有試驗(yàn)性和測試性智能網(wǎng)絡(luò)的實(shí)現(xiàn)；但是如何商業(yè)化改造落地自動化運(yùn)營多業(yè)務(wù)融合的園區(qū)網(wǎng)絡(luò)已經(jīng)成為一個爭相探索的熱點(diǎn)領(lǐng)域。

隨著《網(wǎng)絡(luò)安全法》的實(shí)施，對企業(yè)園區(qū)網(wǎng)絡(luò)的管理和運(yùn)營也提出了更高的要求，網(wǎng)絡(luò)使用者的可視化精準(zhǔn)化管理，網(wǎng)絡(luò)用戶行為的智能分析，快速響應(yīng)網(wǎng)絡(luò)攻擊事件的溯源和預(yù)警，已經(jīng)成為現(xiàn)代智能化網(wǎng)絡(luò)的一個必需能力。在對園區(qū)網(wǎng)絡(luò)改造的同時，需在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中考慮網(wǎng)絡(luò)安全策略和技術(shù)的應(yīng)用，保障園區(qū)網(wǎng)絡(luò)能夠快速響應(yīng)識別和發(fā)現(xiàn)部分攻擊行為，能夠迅速采取措施抵御部分攻擊，這是園區(qū)網(wǎng)絡(luò)改造要實(shí)現(xiàn)的一個重要目標(biāo)。

1 園區(qū)網(wǎng)絡(luò)現(xiàn)狀及問題

目前石油行業(yè)中園區(qū)局域網(wǎng)傳統(tǒng)的“靜態(tài)+二層組網(wǎng)”模式還普遍存在，如某單位主園區(qū)和其他園區(qū)為異地部署網(wǎng)絡(luò)，園區(qū)間通過專線連接，核心網(wǎng)絡(luò)交換機(jī)部署在主園區(qū)，承擔(dān)主園區(qū)及分園區(qū)和其分支機(jī)構(gòu)所有內(nèi)外網(wǎng)業(yè)務(wù)，核心交換機(jī)上聯(lián)與上級單位連接，下聯(lián)分為兩部分區(qū)域，一部分與主園區(qū)匯聚交換機(jī)、數(shù)據(jù)中心網(wǎng)絡(luò)直連，另一部分通過路由器與各分園區(qū)連接。

圖1 網(wǎng)絡(luò)現(xiàn)狀

對網(wǎng)絡(luò)進(jìn)行改造，首先需對現(xiàn)網(wǎng)實(shí)際運(yùn)行狀況進(jìn)行準(zhǔn)確梳理和分析，網(wǎng)絡(luò)業(yè)務(wù)梳理需要精確到端口級，以保障在改造后其業(yè)務(wù)不受到任何影響。根據(jù)對網(wǎng)絡(luò)實(shí)際情況進(jìn)行梳理和摸排，發(fā)現(xiàn)網(wǎng)絡(luò)隨著多年的運(yùn)行，業(yè)務(wù)不斷擴(kuò)展，設(shè)備不斷增加，網(wǎng)絡(luò)也會隨著進(jìn)行調(diào)整和改變，網(wǎng)絡(luò)運(yùn)行普遍存在的問題和風(fēng)險如下：

（1）網(wǎng)絡(luò)拓?fù)渑c實(shí)際很難相符

在傳統(tǒng)網(wǎng)絡(luò)運(yùn)維中，網(wǎng)管設(shè)備大多用于監(jiān)控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，無法智能地監(jiān)測網(wǎng)絡(luò)結(jié)構(gòu)的改變并自動更新網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)鋱D往往需要網(wǎng)絡(luò)管理員自行繪制和更新，隨著網(wǎng)絡(luò)變化，管理員更替等網(wǎng)絡(luò)拓?fù)浜茈y反映網(wǎng)絡(luò)真實(shí)運(yùn)行狀況。

（2）接入終端不受控，僵尸主機(jī)普遍存在

傳統(tǒng)網(wǎng)絡(luò)對終端設(shè)備接入身份無驗(yàn)證或驗(yàn)證機(jī)制容易被繞過，造成對接入的資產(chǎn)不能完全掌握，僵尸主機(jī)普遍存在。對接入主機(jī)的行為控制非常弱，給園區(qū)網(wǎng)絡(luò)的安全運(yùn)行帶來巨大的安全隱患。

（3）匯聚、接入層設(shè)備級聯(lián)過多

隨著網(wǎng)絡(luò)的運(yùn)作和改造，往往會增加匯聚、接入層設(shè)備，交換機(jī)級聯(lián)過多問題普遍存在，交換機(jī)負(fù)載過大，用戶帶寬擁塞現(xiàn)象會在某些時期爆發(fā)，給網(wǎng)絡(luò)帶來很多不穩(wěn)定因素。

（4）VLAN 與實(shí)際業(yè)務(wù)、人員管控脫離

網(wǎng)絡(luò)業(yè)務(wù)VLAN 大部分在網(wǎng)絡(luò)建立初期進(jìn)行劃分，后期改動比較費(fèi)力，隨著VLAN 的增加，人員的流動，機(jī)構(gòu)的更替調(diào)整，通過VLAN 對各二級單位或者分支機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行管理的難度大大增加，實(shí)際單位、人員往往不能與網(wǎng)絡(luò)劃分正確對應(yīng)。

（5）IP 未與人員、設(shè)備動態(tài)綁定，安全責(zé)任歸屬難落實(shí)

傳統(tǒng)網(wǎng)絡(luò)只能通過手動綁定方式或者網(wǎng)絡(luò)自動分配方式分配IP地址給用戶，IP 混用、借用，錯用等問題突出，IP 很難隨著人員、設(shè)備的更替調(diào)整自動作出變化。特別是啞終端等問題缺乏管理。

（6）布線混亂，鏈路資源短缺

傳統(tǒng)園區(qū)網(wǎng)絡(luò)運(yùn)行過程中，經(jīng)常會遇到物理鏈路規(guī)劃跟不上變化的情況，造成鏈路資源占用情況突出，物理鏈路資源經(jīng)常處于耗盡狀態(tài)，新建網(wǎng)絡(luò)往往需要新鋪設(shè)鏈路，而舊鏈路利用率逐漸下降，給網(wǎng)絡(luò)運(yùn)營增加了許多成本。

2 智慧園區(qū)網(wǎng)絡(luò)改造

2.1 SDN 系統(tǒng)架構(gòu)

SDN（軟件定義網(wǎng)絡(luò)）是由美國斯坦福大學(xué) Nick McKeown 教授等人提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心技術(shù)OpenFlow 通過將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面分離開來，用戶通過開放的流表對網(wǎng)絡(luò)進(jìn)行控制，實(shí)現(xiàn)了網(wǎng)絡(luò)的可編程化，從而實(shí)現(xiàn)了對網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)作為管道變得更加智能。

SDN 核心理念包括控制與轉(zhuǎn)發(fā)分離，集中控制和管理以及開放的標(biāo)準(zhǔn)接口。SDN 控制器成為網(wǎng)絡(luò)設(shè)備的大腦，負(fù)責(zé)維護(hù)所有的網(wǎng)絡(luò)轉(zhuǎn)發(fā)路徑，并對網(wǎng)絡(luò)設(shè)備編程；除此之外，SDN 控制器還負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)策略集中配置，網(wǎng)絡(luò)資源統(tǒng)一調(diào)度，利用軟件（SDN 控制器）實(shí)現(xiàn)對大規(guī)模整網(wǎng)設(shè)備的集中控制和管理；目前開放統(tǒng)一的南向北向接口，已有RESTapi、OpenFlow、NETCONF、OVSDB 等成熟型標(biāo)準(zhǔn)接口，東西向接口的研究還處于起步階段。

隨著SDN 技術(shù)的不斷發(fā)展，業(yè)界已經(jīng)產(chǎn)生了革命派ONF、演進(jìn)派IETF、疊加派VMware、運(yùn)營商N(yùn)FV 等不同的技術(shù)發(fā)展路線，其對SDN 的理解各有側(cè)重，但是其核心理念是一致的。本次依據(jù)VCFC SDN 系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)，采納了目前業(yè)界最主流的OpenDaylight（ODL）架構(gòu)思想，采用“EVPN+VxLAN”技術(shù)組網(wǎng)，在穩(wěn)定性、性能、南向負(fù)載分擔(dān)、雙機(jī)集群、用戶界面等方面有自己的獨(dú)到見解和大量優(yōu)化，具有擴(kuò)展性強(qiáng)，兼容性強(qiáng)的特點(diǎn)。

圖2 VCFC 系統(tǒng)架構(gòu)

2.2 SDN 智慧園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

SDN 智慧園區(qū)改造方案以石油石化企業(yè)典型傳統(tǒng)科技園區(qū)網(wǎng)絡(luò)架構(gòu)為目標(biāo)，包括主園區(qū)和一個分園區(qū)，兩個園區(qū)網(wǎng)絡(luò)改造原則為由現(xiàn)有傳統(tǒng)網(wǎng)絡(luò)平滑過渡到SDN 網(wǎng)絡(luò)，保證現(xiàn)有網(wǎng)絡(luò)設(shè)備有最大的兼容能力，并保證現(xiàn)有網(wǎng)絡(luò)設(shè)備充分利舊；在新的網(wǎng)絡(luò)形態(tài)下，能夠采用智能化手段管理和控制網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)外網(wǎng)安全策略的統(tǒng)一控制和分發(fā)；能夠?qū)崿F(xiàn)設(shè)備自動化部署和應(yīng)用安全通道隔離；能夠?qū)崿F(xiàn)多園區(qū)人員設(shè)備與身份的管控，人員自動化上線。

本次方案的基本技術(shù)思路為：

（1）采用Overlay 技術(shù)實(shí)現(xiàn)大二層（匯聚層以下采用VLAN 組網(wǎng)，匯聚層以上采用VXLAN 組網(wǎng)），同時采用分布式網(wǎng)關(guān)，達(dá)到終端IP 地址與位置解耦，服務(wù)與位置解耦；

（2）采用安全分組的概念來簡化用戶訪問控制策略；一個用戶安全組對應(yīng)一個VLAN/VxLAN（也就對應(yīng)一個網(wǎng)段）。組間策略實(shí)質(zhì)上就是網(wǎng)段和網(wǎng)段之間的ACL；

（3）SDN 控制器作為整個網(wǎng)絡(luò)集中的管理和控制點(diǎn)，實(shí)現(xiàn)用戶邏輯網(wǎng)絡(luò)自動配置，組間策略自動下發(fā)，設(shè)備按分組進(jìn)行批量配置；

（4）通過EVPN 構(gòu)建Overlay 網(wǎng)絡(luò)，Leaf 作為分布式網(wǎng)關(guān)；

（5）認(rèn)證點(diǎn)在匯聚設(shè)備上，通過DHCP snooping 將用戶地址上送；

（6）管理和控制分離，業(yè)務(wù)和控制分離：VLAN 1 作為臨時管理；VLAN 2 作為DHCP 和認(rèn)證協(xié)議控制通道，用戶VxLAN 由控制器根據(jù)認(rèn)證下發(fā)的VLAN 自動映射；VLAN3 作為無線管理通道。

圖3 SDN 網(wǎng)絡(luò)改造設(shè)計(jì)圖

3 實(shí)踐效果

本次改造方案，實(shí)現(xiàn)了多園區(qū)網(wǎng)絡(luò)統(tǒng)一管理架構(gòu)的設(shè)計(jì)和實(shí)施，實(shí)現(xiàn)分支無差混合管理，實(shí)現(xiàn)了用戶策略隨行、網(wǎng)隨人動的先進(jìn)技術(shù)功能，同時相關(guān)功能還可以異地跨園區(qū)實(shí)現(xiàn)；采用VxLAN 技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸通道層安全隔離，整體提升了網(wǎng)絡(luò)安全管控能力，滿足了現(xiàn)代企業(yè)對網(wǎng)絡(luò)、人員及數(shù)據(jù)的管控需求以及對網(wǎng)絡(luò)的智能化需求，符合現(xiàn)代化企業(yè)園區(qū)的網(wǎng)絡(luò)技術(shù)架構(gòu)要求。本次實(shí)現(xiàn)了傳統(tǒng)網(wǎng)絡(luò)向SDN 網(wǎng)絡(luò)過渡的實(shí)踐，為后續(xù)石油園區(qū)網(wǎng)絡(luò)智能化改造提供了參考。

（1）設(shè)備智能納管，設(shè)備統(tǒng)一化管理

網(wǎng)絡(luò)部署后，兩個園區(qū)網(wǎng)絡(luò)統(tǒng)一架構(gòu)設(shè)計(jì)和實(shí)施，分支無差別化統(tǒng)一管理，新設(shè)備可以實(shí)現(xiàn)智能化自動部署和納管。如果要增加新的spine、Leaf 設(shè)備，其上線過程同自動化上線過程基本一致，新增加Access 設(shè)備，其上線過程如下

圖4 設(shè)備納管流程

園區(qū)網(wǎng)控制器統(tǒng)一管理原網(wǎng)和現(xiàn)網(wǎng)中的網(wǎng)絡(luò)設(shè)備，加以統(tǒng)一管理和展示，實(shí)現(xiàn)設(shè)備告警、設(shè)備性能和拓?fù)涞榷喾N方式的集中管理與展示功能。應(yīng)用驅(qū)動園區(qū)儀表盤功能，可以基于用戶、終端和業(yè)務(wù)的角度，幫助用戶將整網(wǎng)實(shí)時狀態(tài)盡收眼底。

圖5 網(wǎng)絡(luò)統(tǒng)一管理

（2）用戶自動化上線，精細(xì)化控制

新入網(wǎng)用戶可以訪問準(zhǔn)入頁面并自動化完成身份確認(rèn)，IP 分配，網(wǎng)絡(luò)上線等操作，并針對石油員工特點(diǎn)提供了員工、新員工、訪客、其他單位員工等多個角色的自動化上線設(shè)計(jì)，大大減少運(yùn)維工作量和人員的安全控制工作。通過在線用戶界面可以清晰觀察到用戶上線接入時長、接入mac、上線交換機(jī)端口、用戶IP，可以根據(jù)這些信息進(jìn)行更細(xì)化管控，比如針對某個異常頻繁上線用戶進(jìn)行下線處理，或者短信告知處理等。

（3）業(yè)務(wù)隨行

接入SDN 網(wǎng)絡(luò)內(nèi)用戶，采用VxLAN 技術(shù)實(shí)現(xiàn)位址分離和策略隨行的功能，IP 地址與MAC、業(yè)務(wù)信息與人員身份信息綁定，用戶在園區(qū)內(nèi)任意一個網(wǎng)絡(luò)接口接入網(wǎng)絡(luò)，均獲得其綁定IP，無須再更換IP 地址，無須重新注冊網(wǎng)絡(luò)，其網(wǎng)絡(luò)策略也一并跟隨生效。

圖6 用戶自動化管理

圖7 業(yè)務(wù)隨行

（4）業(yè)務(wù)隔離

網(wǎng)絡(luò)控制更為精細(xì)化，且易配置，易操作，可通過私網(wǎng)方式隔離無互訪問關(guān)系的業(yè)務(wù)，私網(wǎng)有獨(dú)立的VPN 路由表。

圖8 業(yè)務(wù)隔離

（5）提高網(wǎng)絡(luò)安全事件追溯能力

在網(wǎng)絡(luò)安全問題核查過程中，傳統(tǒng)網(wǎng)絡(luò)經(jīng)常會遇到IP 與人員、設(shè)備不符的情況，在核查安全責(zé)任歸屬過程中，往往需要耗費(fèi)大量人力，有的還需要現(xiàn)場進(jìn)行巡線核查，如果遇到不在線情況，往往當(dāng)天也就無法核查完畢，大大降低了單位網(wǎng)絡(luò)安全事件響應(yīng)速度。

根據(jù)近兩年運(yùn)行數(shù)據(jù)測算，在傳統(tǒng)網(wǎng)絡(luò)中，確定安全問題責(zé)任人的平均時間要15 分鐘，一次核對準(zhǔn)確率僅為60%；SDN 網(wǎng)絡(luò)中，基于其業(yè)務(wù)隨行的特點(diǎn)，在核查安全責(zé)任歸屬時，第一次準(zhǔn)確率為95%，這也只是因?yàn)椴糠指綄傩畔⒉粶?zhǔn)確，如單位變動未及時更新，造成歸屬單位錯誤，人員核對第一次即可以實(shí)現(xiàn)100%準(zhǔn)確率，確定時間也降至5 分鐘以內(nèi)。

表1 IP 責(zé)任人歸屬查詢

4 小結(jié)

在從傳統(tǒng)網(wǎng)絡(luò)向SDN 網(wǎng)絡(luò)過渡過程中，本次成功解決了傳統(tǒng)網(wǎng)絡(luò)運(yùn)行中產(chǎn)生的一些突出問題和困難；在最大原網(wǎng)兼容、設(shè)備利舊基礎(chǔ)上完成了網(wǎng)絡(luò)SDN 改造。實(shí)際運(yùn)行過程中，運(yùn)維工作量大大下降；網(wǎng)絡(luò)部署實(shí)現(xiàn)自動化實(shí)施；員工跨區(qū)域內(nèi)業(yè)務(wù)隨行、移動辦公；網(wǎng)絡(luò)運(yùn)行狀態(tài)可控可視，網(wǎng)絡(luò)安全響應(yīng)能力提高，網(wǎng)絡(luò)初步具有了智慧化的特點(diǎn)。這與現(xiàn)今信息技術(shù)發(fā)展云化、智能化的特點(diǎn)相吻合。后續(xù)會在網(wǎng)絡(luò)北向應(yīng)用開發(fā)中進(jìn)行更多積極探索，包括網(wǎng)絡(luò)行為的智能分析、網(wǎng)絡(luò)攻擊監(jiān)測預(yù)警等。未來發(fā)展中，網(wǎng)絡(luò)是企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)和關(guān)鍵推動力，基于SDN 的網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)不是終點(diǎn)，未來網(wǎng)絡(luò)會朝著基于云管理的虛擬網(wǎng)絡(luò)轉(zhuǎn)型，朝著基于AI 的自驅(qū)動網(wǎng)絡(luò)發(fā)展，通過機(jī)器學(xué)習(xí)和人工智能所使能的下一代可視化、自動化和分析工具來實(shí)現(xiàn)的意圖網(wǎng)絡(luò)，是未來智能園區(qū)網(wǎng)絡(luò)探索的方向。