王 晟

（中央廣播電視總臺 技術(shù)局總控三部，北京 100040）

1 SDN 技術(shù)特點(diǎn)

2008 年，斯坦福大學(xué)的尼克·麥克柯恩教授發(fā)布了論文OpenFlow：Enabling Innovation in Campus Networks。2009 年，尼克·麥克柯恩教授在OpenFlow 的基礎(chǔ)上正式提出軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）的概念。

SDN 的本質(zhì)是由SDN 控制器實(shí)現(xiàn)網(wǎng)絡(luò)的控制和管理功能，由網(wǎng)絡(luò)設(shè)備完成數(shù)據(jù)轉(zhuǎn)發(fā)功能，實(shí)現(xiàn)網(wǎng)絡(luò)控制管理和轉(zhuǎn)發(fā)分離；將網(wǎng)絡(luò)構(gòu)架從邏輯上分為應(yīng)用層、控制層及轉(zhuǎn)發(fā)層3 個層面，如圖1 所示。

圖1 SDN 邏輯構(gòu)架

SDN 控制器在控制層，將網(wǎng)絡(luò)設(shè)備功能進(jìn)行抽象、建立具體操作模型，通過北向接口接收應(yīng)用層各項(xiàng)業(yè)務(wù)信息，通過南向接口向底層網(wǎng)絡(luò)設(shè)備下發(fā)控制信息。OpenFlow 協(xié)議為主流南向協(xié)議，通過流表控制管理網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)。SDN 網(wǎng)絡(luò)構(gòu)架有以下優(yōu)點(diǎn)。

（1）網(wǎng)絡(luò)可編程，實(shí)現(xiàn)業(yè)務(wù)靈活配置。SDN 將網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)分離，對各類異構(gòu)網(wǎng)絡(luò)單元功能進(jìn)行抽象統(tǒng)一建模；用戶可以根據(jù)業(yè)務(wù)需求自定義、調(diào)整網(wǎng)絡(luò)，不需要復(fù)雜的網(wǎng)絡(luò)配置，這樣可以滿足靈活多變的業(yè)務(wù)需求，降低網(wǎng)絡(luò)搭建成本，縮短網(wǎng)絡(luò)部署時(shí)間，提高工作效率。

（2）利于實(shí)現(xiàn)多類型虛擬化。SDN 架構(gòu)是實(shí)現(xiàn)網(wǎng)絡(luò)資源虛擬化的基礎(chǔ)，配合計(jì)算和存儲虛擬化，可以實(shí)現(xiàn)數(shù)據(jù)中心計(jì)算、存儲、網(wǎng)絡(luò)等資源的池化，進(jìn)而實(shí)現(xiàn)所有資源的統(tǒng)一監(jiān)控和分配，提高數(shù)據(jù)中心的運(yùn)行效率。

（3）優(yōu)化網(wǎng)絡(luò)，降低風(fēng)險(xiǎn)。SDN 集中管控，提供網(wǎng)絡(luò)統(tǒng)一視圖，可以通過配置策略實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)控，對一些網(wǎng)絡(luò)行為進(jìn)行預(yù)測，配合業(yè)務(wù)資源的分配策略，更合理地優(yōu)化網(wǎng)絡(luò)及負(fù)載均衡。SDN 控制器支持自定安全規(guī)則檢查數(shù)據(jù)流，可以在一定程度上增強(qiáng)內(nèi)網(wǎng)的安全性。在鏈路、節(jié)點(diǎn)故障的情況下，SDN 可以快速聚合可用網(wǎng)絡(luò)資源，實(shí)現(xiàn)故障恢復(fù)。

2 SDN 在廣電領(lǐng)域的應(yīng)用場景

SDN 的網(wǎng)絡(luò)構(gòu)架特點(diǎn)和優(yōu)勢比較適合目前廣播電視中心的組網(wǎng)業(yè)務(wù)需求。在媒體融合發(fā)展的趨勢下，廣播電視中心的大部分節(jié)目制作需要通過網(wǎng)絡(luò)進(jìn)行分發(fā)，同時(shí)又需要兼顧傳統(tǒng)播出任務(wù)，并探索各類新的業(yè)務(wù)形式提高傳播力、影響力。在這種背景下，各編播部門積極進(jìn)行業(yè)務(wù)創(chuàng)新，向技術(shù)部門提出了多種業(yè)務(wù)需求。技術(shù)部門為滿足需求并提供高效的技術(shù)支撐，需要組建可以靈活多變、快速調(diào)整的網(wǎng)絡(luò)構(gòu)架。而且，廣播電視中心技術(shù)系統(tǒng)大部分從傳統(tǒng)的廣播系統(tǒng)技術(shù)構(gòu)架過渡至IP 化構(gòu)架，相比于大型互聯(lián)網(wǎng)公司，運(yùn)維人員網(wǎng)絡(luò)能力相對薄弱，因此需要組建自動化水平高、運(yùn)維難度低的網(wǎng)絡(luò)以提高運(yùn)維效率。同時(shí)，利用SDN 構(gòu)架也可以為未來廣電系統(tǒng)的全面云化做好基礎(chǔ)，因此SDN 網(wǎng)絡(luò)在廣播電視中心有廣闊的應(yīng)用場景。

2.1 超高清信號傳輸網(wǎng)絡(luò)應(yīng)用

當(dāng)前，4K 及8K 超高清視頻快速發(fā)展，信號傳輸帶寬壓力倍增。以4K 超高清信號為例，4K 超高清視頻需要4 路3G-SDI 線路占用12 Gb·s-1帶寬，利用傳統(tǒng)的視頻矩陣和傳輸路由顯然難以滿足需求，因此4K 高清電視必然全面轉(zhuǎn)向IP 化[1]。從業(yè)務(wù)角度出發(fā)，高清視頻信號傳輸包括轉(zhuǎn)播平臺、演播室平臺、錄制平臺、播出平臺、總控平臺、傳輸平臺以及網(wǎng)絡(luò)發(fā)布平臺等多個平臺，每個平臺不同程度地有壓縮編碼、監(jiān)測以及安全管理調(diào)度需求，而且地理位置分散，部分平臺距離較遠(yuǎn)，且很多平臺對信號的傳輸容量需求可能是彈性的。綜合分析，高清信號傳輸網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)必然需要滿足高容量、模塊化、配置簡單、調(diào)度靈活的技術(shù)需求。應(yīng)用SDN 構(gòu)架，可以實(shí)現(xiàn)集中式控制，通過控制器下發(fā)調(diào)度策略，網(wǎng)絡(luò)設(shè)備上線僅需要配置管理地址、協(xié)議、PTP同步等參數(shù)，即可實(shí)現(xiàn)信號調(diào)取、流量監(jiān)控，因此SDN 在超高清信號傳輸網(wǎng)絡(luò)應(yīng)用方面具有天然優(yōu)勢[2]。

2.2 融合媒體云應(yīng)用

目前，隨著大眾傳媒形式的發(fā)展與變革，大部分廣播電視中心越來越重視大數(shù)據(jù)的應(yīng)用，節(jié)目制作形式更加豐富和輕量化，面向各網(wǎng)絡(luò)平臺發(fā)布，因此，技術(shù)系統(tǒng)需要滿足矩陣式的多維度制作、管理、分發(fā)等融媒體技術(shù)需求，云計(jì)算技術(shù)在廣播電視中心的制作、發(fā)布領(lǐng)域得到廣泛應(yīng)用。隨著計(jì)算虛擬化和存儲虛擬化的深度推進(jìn)，虛擬機(jī)數(shù)量增多，傳統(tǒng)的網(wǎng)絡(luò)構(gòu)架在擴(kuò)容和業(yè)務(wù)遷移過程中，必然需要解決復(fù)雜的網(wǎng)絡(luò)配置參數(shù)調(diào)整和網(wǎng)絡(luò)安全問題，影響效率并增加運(yùn)維復(fù)雜度，而且，虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）最多只支持4 096個VLAN網(wǎng)絡(luò)，難以滿足日益增長的業(yè)務(wù)需求。因此，廣播電視中心在業(yè)務(wù)快速迭代過程中，網(wǎng)絡(luò)構(gòu)架必然向虛擬化方向發(fā)展[3]。

應(yīng)用Overlay 技術(shù)，可以搭建跨數(shù)據(jù)中心適應(yīng)虛擬機(jī)遷移的邏輯大二層網(wǎng)絡(luò)，將傳統(tǒng)網(wǎng)絡(luò)向虛擬化延伸，在現(xiàn)有物理網(wǎng)絡(luò)（Underlay 網(wǎng)絡(luò)）上搭建虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化。SDN 和Overlay 技術(shù)結(jié)合使用，可以高效地構(gòu)建彈性可擴(kuò)展的虛擬私有網(wǎng)絡(luò)，通過SDN 控制Overlay 網(wǎng)絡(luò)，將虛擬網(wǎng)絡(luò)承載在物理網(wǎng)絡(luò)之上，隱藏底層物理網(wǎng)絡(luò)部署的復(fù)雜性，為虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)資源提供集中管理，可以在對接各種云業(yè)務(wù)方面提高網(wǎng)絡(luò)部署效率，并在一定程度上增強(qiáng)安全性。這非常適合廣播中心媒體云業(yè)務(wù)分散、復(fù)雜且需要高效搭建、運(yùn)維的應(yīng)用場景。

3 SDN 在廣播電視中心的組網(wǎng)方案探討

SDN 技術(shù)目前在廣播電視中心逐步應(yīng)用，由于廣播電視中心業(yè)務(wù)模式的特殊性，組網(wǎng)過程中需要考慮如何有效地將SDN 網(wǎng)絡(luò)構(gòu)架整合傳統(tǒng)的廣播業(yè)務(wù)各相關(guān)系統(tǒng)，并保障各系統(tǒng)的運(yùn)轉(zhuǎn)效率和運(yùn)行安全。

3.1 廣播播出、交換、傳輸系統(tǒng)SDN 組網(wǎng)

廣播電視中心樓內(nèi)各直播間、演播室、總控機(jī)房分布了各類型技術(shù)系統(tǒng)，多個系統(tǒng)之間的互聯(lián)通過傳統(tǒng)的視音頻線纜和多種視音頻傳輸協(xié)議實(shí)現(xiàn)，系統(tǒng)之間的信號調(diào)度效率較低。利用SDN 技術(shù)可以高效率構(gòu)架廣播電視中心統(tǒng)一的信號調(diào)度、傳輸網(wǎng)絡(luò)，實(shí)現(xiàn)播出、交換、傳輸域的各類型信號互通和監(jiān)控。目前的主流做法是，利用支持SDN 協(xié)議的網(wǎng)絡(luò)設(shè)備構(gòu)建網(wǎng)絡(luò)構(gòu)架，媒體傳輸利用ST2110、NDI 等媒體傳輸協(xié)議，通過構(gòu)建高精度時(shí)間同步協(xié)議（Precision Time Protocol，PTP）網(wǎng)絡(luò)實(shí)現(xiàn)同步[4]，如圖2 所示。

圖2 廣播電視中心基于SDN 的信號傳輸架構(gòu)

圖2 系統(tǒng)采用葉脊模式構(gòu)建二層網(wǎng)絡(luò)構(gòu)架，通過SDN 統(tǒng)一進(jìn)行控制分發(fā)，實(shí)現(xiàn)直播間、演播室及總控機(jī)房各類信號的高效調(diào)度。對于連接傳統(tǒng)廣播視、音頻設(shè)備，通過設(shè)置多媒體IPG 網(wǎng)關(guān)進(jìn)行信號轉(zhuǎn)換，將SDI 信號、AES3 等信號轉(zhuǎn)換為ST2110信號，在統(tǒng)一網(wǎng)絡(luò)中實(shí)現(xiàn)信號的交換。通過PTP 協(xié)議完成全網(wǎng)信號同步，通過網(wǎng)絡(luò)狀態(tài)監(jiān)控和IP 化信號監(jiān)控實(shí)現(xiàn)業(yè)務(wù)流程監(jiān)控。

3.2 SDN 跨園區(qū)、跨業(yè)務(wù)集群組網(wǎng)架構(gòu)

在涉及地理位置不同的多個廣播業(yè)務(wù)大樓跨園區(qū)組網(wǎng)連接或者多個大規(guī)模業(yè)務(wù)集群之間進(jìn)行組網(wǎng)連接時(shí)，單一組控制器難以支撐全網(wǎng)服務(wù)能力，需要實(shí)現(xiàn)SDN 多域的組網(wǎng)方案。根據(jù)業(yè)務(wù)需求不同，可以利用水平組網(wǎng)、垂直組網(wǎng)兩種方式。

水平組網(wǎng)方式適用于多個不同業(yè)務(wù)之間SDN網(wǎng)絡(luò)進(jìn)行信息傳輸，每個業(yè)務(wù)域內(nèi)設(shè)置SDN 控制器，控制器之間協(xié)同工作，保障網(wǎng)絡(luò)狀態(tài)一致性。水平組網(wǎng)方式如圖3 所示。

圖3 SDN 水平組網(wǎng)方式

水平架構(gòu)的多域控制器解決方案有分布式集群和東西向接口協(xié)議兩種方式。分布式集群需要滿足各SDN 網(wǎng)絡(luò)利用同類型控制器；異構(gòu)的SDN控制器通過定義東西向接口協(xié)議，可以通過交換路由信息實(shí)現(xiàn)控制平面擴(kuò)展，進(jìn)行協(xié)同工作。

垂直組網(wǎng)方式是在多個SDN 控制器之上搭建一個高級控制層，統(tǒng)一協(xié)調(diào)管理多個異構(gòu)控制器通信，利于廣播電視中心將各業(yè)務(wù)領(lǐng)域的網(wǎng)絡(luò)進(jìn)行集中管控。垂直組網(wǎng)方式如圖4 所示。

圖4 SDN 垂直組網(wǎng)方式

多域控制器組網(wǎng)中，控制層集中控制器負(fù)責(zé)域間通信，完成網(wǎng)絡(luò)全局管理功能，而域控制器負(fù)責(zé)域內(nèi)獨(dú)立網(wǎng)絡(luò)，完成域內(nèi)的數(shù)據(jù)轉(zhuǎn)發(fā)請求。

4 SDN 安全性探討

SDN 的集中管控、可編程、與數(shù)據(jù)轉(zhuǎn)發(fā)層解耦確實(shí)在某些方面有利于網(wǎng)絡(luò)安全管理，但是針對復(fù)雜的網(wǎng)絡(luò)安全問題，SDN 控制器自身也存在較大的網(wǎng)絡(luò)安全隱患[5]。

在安全防護(hù)方面，SDN 集中管控具備全局網(wǎng)絡(luò)視圖，可以更好地實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控和安全管理；通過對網(wǎng)絡(luò)進(jìn)行流量控制，基于流量進(jìn)行異態(tài)檢測，可以在一定程度上發(fā)現(xiàn)DDos、APT 等網(wǎng)絡(luò)攻擊；可通過流表控制屏蔽可疑轉(zhuǎn)發(fā)請求，進(jìn)行流量清洗。另外，SDN 可以軟件定義安全架構(gòu)，簡化網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，靈活調(diào)度安全資源，從而提高安全效率。

盡管SDN 具備上述優(yōu)點(diǎn)，但同時(shí)也有其特有的隱患存在。SDN 安全威脅的核心問題在于SDN控制器。作為整個網(wǎng)絡(luò)的控制核心，控制器若出現(xiàn)短時(shí)間內(nèi)無法恢復(fù)故障，將導(dǎo)致網(wǎng)絡(luò)崩潰。除了SDN 控制器自身穩(wěn)定性問題，由于SDN 的開放性和可編程性，在應(yīng)用層面，攻擊者可以通過北向接口對控制器進(jìn)行安全攻擊，如非法訪問、消息篡改、身份假冒等攻擊。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，攻擊者可以攻破控制通道安全措施，對南向接口進(jìn)行信息竊??；通過虛假控制器發(fā)送無序指令，偽裝來自控制器的流規(guī)則，使非法流量路徑繞開SDN 中部署的安全設(shè)備，造成網(wǎng)絡(luò)混亂。

廣播電臺作為意識形態(tài)重要陣地，網(wǎng)絡(luò)安全防護(hù)尤為重要，特別是涉及播出、傳輸、覆蓋層面的網(wǎng)絡(luò)，必須做到萬無一失。因此，為了保障安全，在SDN 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)和部署階段就需要將網(wǎng)絡(luò)安全防護(hù)納入其中，保證控制平面的安全通信。需要從以下幾點(diǎn)增加SDN 的安全性。

（1）針對最關(guān)鍵的控制器節(jié)點(diǎn)，需采用冗余架構(gòu)和熱備份保護(hù)手段，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分?jǐn)偅豢梢詢?yōu)化控制器的軟件功能模塊，實(shí)現(xiàn)控制器互為備份和多控制器協(xié)同控制，當(dāng)單一或者部分控制器出現(xiàn)錯誤，其他控制器通過協(xié)商仍能完成網(wǎng)絡(luò)功能。

（2）登錄控制器必須設(shè)置基于角色的訪問策略，各類角色根據(jù)各自功能定位匹配訪問權(quán)限?？蓪?yīng)用層、數(shù)據(jù)轉(zhuǎn)發(fā)層、設(shè)備層設(shè)置不同訪問權(quán)限，設(shè)置管理員權(quán)限。各角色登錄需進(jìn)行安全認(rèn)證，具備日志記錄管理和審計(jì)跟蹤。

（3）利用加密技術(shù)，在應(yīng)用層、控制層和基礎(chǔ)設(shè)施層配置密碼防護(hù)體系。對應(yīng)用層向控制器下發(fā)數(shù)據(jù)進(jìn)行加密保護(hù)，對北向接口采用TLS 或SSH 協(xié)議進(jìn)行安全防護(hù)。對控制器和網(wǎng)絡(luò)設(shè)備之間設(shè)置加密認(rèn)證通信機(jī)制，對南向接口采用TLS 或IPsec 進(jìn)行安全防護(hù)。

（4）管控與傳輸分離，控制協(xié)議流量與主數(shù)據(jù)流隔離。交換機(jī)通過帶外管理接口與控制器通信，通過建立專網(wǎng)實(shí)現(xiàn)整個網(wǎng)絡(luò)管理功能。

5 結(jié)語

SDN 技術(shù)的集中管控和靈活性比較貼合當(dāng)前形勢下廣播電視中心的組網(wǎng)和運(yùn)維需求。因此，可充分發(fā)揮該技術(shù)優(yōu)勢，結(jié)合各種業(yè)務(wù)需求，合理組織網(wǎng)絡(luò)架構(gòu)，并根據(jù)實(shí)際應(yīng)用和網(wǎng)絡(luò)安全等級保護(hù)要求統(tǒng)籌考慮網(wǎng)絡(luò)安全性問題，構(gòu)建靈活、彈性、安全的廣電綜合業(yè)務(wù)網(wǎng)絡(luò)。