梁樹峰

摘要：葫蘆島市聯(lián)通公司IP網(wǎng)絡(luò)現(xiàn)在存在諸多問題，通過將來部署SDN是解決這些問題的最有效辦法，該文對SDN的相關(guān)概念及優(yōu)勢，IP承載網(wǎng)和IP城域網(wǎng)基于SDN部署進(jìn)和網(wǎng)絡(luò)的安全及可靠性行了詳細(xì)的闡述。

關(guān)鍵詞：SDN；NFV；OpenFlow

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）31-0033-02

1 概述

由于當(dāng)前葫蘆島市聯(lián)通公司IP網(wǎng)絡(luò)由645臺網(wǎng)絡(luò)設(shè)備組成，分別由華為、中興、貝爾、烽火等多個(gè)廠家提供，比較復(fù)雜，網(wǎng)絡(luò)協(xié)議眾多，網(wǎng)絡(luò)管理運(yùn)維困難，網(wǎng)絡(luò)創(chuàng)新業(yè)務(wù)部署太慢，分布式最短路徑算法帶來的網(wǎng)絡(luò)擁堵等諸多問題。部署SDN正是解決這些問題的最有效辦法，它是網(wǎng)絡(luò)架構(gòu)的變革，解決IP面臨的本源問題。提供了從應(yīng)用到物理網(wǎng)絡(luò)的自動映射、資源池化部署和可視化運(yùn)維，協(xié)助管理構(gòu)建以業(yè)務(wù)為中心的網(wǎng)絡(luò)業(yè)務(wù)動態(tài)調(diào)度能力。使本地網(wǎng)絡(luò)可以根據(jù)自身業(yè)務(wù)發(fā)展，靈活部署和調(diào)度網(wǎng)絡(luò)資源，讓承載網(wǎng)更敏捷的為所承載的數(shù)據(jù)、語音和視頻業(yè)務(wù)服務(wù)。

2 SND概述

2.1 SDN定義

SDN是Software Defined Network縮寫，即軟件定義網(wǎng)絡(luò)。SDN是一種新型的基于軟件可編程思想的網(wǎng)絡(luò)架構(gòu)，它有一個(gè)集中式的控制平面和分布式的轉(zhuǎn)發(fā)平面，兩個(gè)平面相互分離，可以實(shí)現(xiàn)控制平面對數(shù)據(jù)平面的集中化控制，并提供開放的編程接口，為網(wǎng)絡(luò)提供靈活的可編程能力，具備以上特點(diǎn)的網(wǎng)絡(luò)架構(gòu)都可以被認(rèn)為是一種廣義的SDN。SDN架構(gòu)由四個(gè)平面組成，即數(shù)據(jù)平面、控制平面、應(yīng)用平面三個(gè)平面以及右側(cè)的控制管理平面。

2.2 NFV定義

NFV是Network Function Virtualization的縮寫，即網(wǎng)絡(luò)功能虛擬化，是指通過使用x86等通用性硬件以及虛擬化技術(shù)，將傳統(tǒng)以專用硬件實(shí)現(xiàn)的功能通過通用CPU和軟件實(shí)現(xiàn)，從而降低網(wǎng)絡(luò)昂貴的設(shè)備成本，并能夠?qū)崿F(xiàn)通用硬件資源的共享和動態(tài)分配，從而實(shí)現(xiàn)新業(yè)務(wù)的快速開發(fā)、部署和彈性擴(kuò)展。NFV多應(yīng)用于以計(jì)算分析為主的信息處理網(wǎng)絡(luò)。

2.3 OpenFlow協(xié)議

OpenFlow協(xié)議是基于網(wǎng)絡(luò)中“流”的概念設(shè)計(jì)的一種SDN南向接口協(xié)議，OpenFlow交換機(jī)利用基于安全連接的OpenFlow協(xié)議與控制器互相通信。OpenFlow協(xié)議及其他相關(guān)協(xié)議將網(wǎng)絡(luò)控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面分離開來，實(shí)現(xiàn)網(wǎng)絡(luò)流量的集中式靈活控制，為網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺。SDN架構(gòu)及其相關(guān)技術(shù)為VPC的實(shí)現(xiàn)提供了解決途徑，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)高度虛擬化和靈活管控的需求。

2.4 SDN的技術(shù)優(yōu)勢

中國聯(lián)通新一代網(wǎng)絡(luò)架構(gòu)演進(jìn)的愿景，其內(nèi)涵包括：面向客戶體驗(yàn)的泛在超寬帶網(wǎng)絡(luò)，面向內(nèi)容服務(wù)的開放商業(yè)生態(tài)網(wǎng)絡(luò)，面向云服務(wù)的極簡極智彈性網(wǎng)絡(luò)。CUBE-Net2.0的目標(biāo)是：增強(qiáng)網(wǎng)絡(luò)服務(wù)能力和降低網(wǎng)絡(luò)運(yùn)營成本，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營的持續(xù)健康發(fā)展。通過構(gòu)建面向云端雙中心的解耦與集約型網(wǎng)絡(luò)架構(gòu)，為終端與云服務(wù)的智能交互，為整個(gè)ICT行業(yè)提供彈性高效、靈活敏捷、安全可信并融合了計(jì)算/存儲能力的智能寬帶基礎(chǔ)設(shè)施，實(shí)現(xiàn)“網(wǎng)絡(luò)即服務(wù)”。基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)，應(yīng)該能夠?qū)Φ讓拥馁Y源進(jìn)行實(shí)時(shí)的調(diào)度，以滿足業(yè)務(wù)對網(wǎng)絡(luò)靈活多變的需求。其中，SDN控制平面應(yīng)該能夠?qū)崟r(shí)地維護(hù)數(shù)據(jù)中心的全局資源視圖，并根據(jù)實(shí)時(shí)的鏈路帶寬，結(jié)合業(yè)務(wù)需求對設(shè)備的轉(zhuǎn)發(fā)邏輯進(jìn)行實(shí)時(shí)的調(diào)整。SDN數(shù)據(jù)平面的轉(zhuǎn)發(fā)設(shè)備應(yīng)該能夠根據(jù)控制平面策略，對轉(zhuǎn)發(fā)表、隊(duì)列等資源進(jìn)行實(shí)時(shí)的調(diào)整。同時(shí)考慮到與NFV的融合，基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)該能夠支持定制化的服務(wù)鏈，引導(dǎo)業(yè)務(wù)流量經(jīng)過相應(yīng)的服務(wù)節(jié)點(diǎn)。進(jìn)行SDN改造后，無需對網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)的路由器反復(fù)進(jìn)行配置，網(wǎng)絡(luò)中的設(shè)備本身就是自動化連通的。只需要在使用時(shí)定義好簡單的網(wǎng)絡(luò)規(guī)則即可。如果你不喜歡路由器自身內(nèi)置的協(xié)議，可以通過編程的方式對其進(jìn)行修改，以實(shí)現(xiàn)更好的數(shù)據(jù)交換性能。

3 葫蘆島市IP承載網(wǎng)引入SDN場景

葫蘆島IP承載A網(wǎng)是面向大客戶和DCI的承載網(wǎng)絡(luò)，通過對現(xiàn)網(wǎng)設(shè)備的改造或替換，開發(fā)SDN控制器，實(shí)現(xiàn)A網(wǎng)向SDN演進(jìn)。如圖2。

IP承載A網(wǎng)實(shí)現(xiàn)SDN化后，可利用聯(lián)通自主開發(fā)的編排協(xié)同器，對DC內(nèi)交換網(wǎng)絡(luò)、UTN和IP承載A網(wǎng)（包括DCI）實(shí)現(xiàn)跨域的端到端控制。如圖3所示。

IP承載B網(wǎng)向SDN演進(jìn)可參考IP承載A網(wǎng)的演進(jìn)方式，具體方案待研究。

4 葫蘆島市IP城域網(wǎng)絡(luò)引入SDN場景

葫蘆島IP城域網(wǎng)中16臺BRAS和10臺SR等網(wǎng)絡(luò)設(shè)備首先應(yīng)進(jìn)行網(wǎng)絡(luò)虛擬化的演進(jìn)，即：將業(yè)務(wù)控制層從設(shè)備上分離，業(yè)務(wù)控制由獨(dú)立控制網(wǎng)元控制，數(shù)據(jù)轉(zhuǎn)發(fā)由普通的轉(zhuǎn)發(fā)設(shè)備進(jìn)行。

城域網(wǎng)絡(luò)承載最46.8萬的客戶業(yè)務(wù)，網(wǎng)絡(luò)也比較復(fù)雜，宜在其他IP網(wǎng)絡(luò)SDN化取得成功后，再考慮對城域網(wǎng)絡(luò)進(jìn)行SDN化的升級。

5 安全要求

由于引入了新的調(diào)度機(jī)制、增加了新的網(wǎng)元和接口，SDN不僅要面對傳統(tǒng)的網(wǎng)絡(luò)安全威脅，還要面對新的安全問題、攻擊方式和安全風(fēng)險(xiǎn)。

5.1 針對控制器的攻擊行為

拒絕服務(wù)攻擊：攻擊者通過向控制器發(fā)送大量無效的流表生成請求等方式消耗控制器的系統(tǒng)資源，從而影響控制器正常功能的實(shí)現(xiàn)；

非法入侵：由于控制器在SDN網(wǎng)絡(luò)中占有舉足輕重的地位，其也會成為攻擊者重點(diǎn)的攻擊目標(biāo)，而一旦控制器被攻入，對網(wǎng)絡(luò)整體的影響和危害也將遠(yuǎn)大于傳統(tǒng)網(wǎng)絡(luò)；

5.2 北向接口安全

北向接口通過向第三方服務(wù)商提供應(yīng)用API，使得用戶可以享受更加豐富的網(wǎng)絡(luò)服務(wù)，但同時(shí)也為網(wǎng)絡(luò)安全帶來了隱患。第三方服務(wù)商為提供網(wǎng)絡(luò)應(yīng)用服務(wù)需要訪問SDN控制器，用以進(jìn)行下發(fā)網(wǎng)絡(luò)策略等操作，此時(shí)第三方服務(wù)商內(nèi)部的系統(tǒng)漏洞、員工惡意行為等問題將可能成為攻擊者入侵控制器的突破口，進(jìn)而導(dǎo)致網(wǎng)絡(luò)單元無法正常工作或用戶隱私信息泄露；

5.3 安全防護(hù)邊界模糊化

SDN的部署還會帶動NFV的使用，而網(wǎng)絡(luò)功能的虛擬化所帶來的虛擬機(jī)遷移、IP地址變動等情況則會使得安全防護(hù)邊界的劃分更加困難，容易出現(xiàn)病毒和攻擊的蔓延。

為有效保障SDN的安全，在部署過程中應(yīng)當(dāng)滿足以下要求：

應(yīng)在SDN網(wǎng)絡(luò)中部署DDOS檢測和清洗系統(tǒng)，包括OpenFlow惡意報(bào)文、無效流表請求等攻擊形式的檢測與清洗，盡可能保障控制器負(fù)載被用于正常、有效的任務(wù)處理；

在臨近控制器間盡量啟用負(fù)載均衡和信息共享機(jī)制，對網(wǎng)絡(luò)整體系統(tǒng)資源進(jìn)行適度整合，確保整體資源利用率的最大化；部署過程中必須在重點(diǎn)網(wǎng)元處（如SDN控制器）和網(wǎng)絡(luò)邊界處架設(shè)防火墻等網(wǎng)絡(luò)安全防范系統(tǒng)，其中應(yīng)涵蓋病毒木馬防治、安全漏洞掃描、網(wǎng)絡(luò)狀態(tài)監(jiān)測、攻擊行為檢測、安全基線核查等功能；

部署過程中應(yīng)當(dāng)在控制器處設(shè)定設(shè)備訪問列表，詳細(xì)記錄每一臺入網(wǎng)的交換機(jī)設(shè)備的詳細(xì)信息，防止惡意攻擊者利用部署過程中的安全漏洞，使用偽裝設(shè)備或偽造地址等手段入網(wǎng)；

對OpenFlow協(xié)議的配置應(yīng)當(dāng)使用統(tǒng)一、安全的規(guī)范，并且充分考慮OpenFlow協(xié)議中的漏洞加以防范，避免規(guī)則不統(tǒng)一造成的錯誤或出現(xiàn)可利用的安全漏洞；

在第三方服務(wù)商通過API接入控制器時(shí)，需要進(jìn)行嚴(yán)格的限制和審查，審查內(nèi)容應(yīng)包括開發(fā)商內(nèi)部人員及其內(nèi)部網(wǎng)絡(luò)的可靠性，服務(wù)商所需要的功能與API接口權(quán)限是否分配合理，服務(wù)商所提供的服務(wù)是否安全可靠，會對網(wǎng)絡(luò)造成何種影響等，以此確保開發(fā)商在入網(wǎng)和運(yùn)行時(shí)都不會成為網(wǎng)絡(luò)安全的威脅；

對網(wǎng)絡(luò)安全防護(hù)的邊界進(jìn)行合理規(guī)劃，同時(shí)兼顧網(wǎng)絡(luò)的安全性和靈活性。

SDN系統(tǒng)應(yīng)通過安全認(rèn)證、日志記錄、審計(jì)跟蹤等功能確保SDN控制器的登陸授權(quán)。

6 可靠性要求

SDN的集中控制意味著單點(diǎn)故障的影響將是全局性的，對控制器應(yīng)采取高等級的可靠性措施，這些措施至少應(yīng)包括：

控制器與網(wǎng)關(guān)網(wǎng)元之間的通信應(yīng)保證是多點(diǎn)接入，即多網(wǎng)關(guān)接入，不同網(wǎng)關(guān)與控制器的接入連接應(yīng)有安全度很高隔離措施，避免網(wǎng)關(guān)接入的單點(diǎn)故障造成控制器與網(wǎng)絡(luò)聯(lián)系中斷。

控制器本身應(yīng)采用適當(dāng)?shù)谋Ｗo(hù)或備份措施，如：

采用1+1主備用配置方式部署控制器，在單個(gè)控制器故障情況下，備用控制器可快速投入對網(wǎng)絡(luò)的控制。

采用基于云計(jì)算技術(shù)的分布式部署，服務(wù)器硬件可部署在多個(gè)物理站點(diǎn)，通過對虛機(jī)的有效管理避免單個(gè)服務(wù)器硬件故障引發(fā)控制器故障。

控制器中各個(gè)軟件模塊的運(yùn)行、升級、刪除、故障等不影響其他模塊的運(yùn)行。

采取多級、分域控制器部署方式，減少單個(gè)控制器故障的影響范圍。

軟件應(yīng)支持恢復(fù)功能，在需要的時(shí)候得到恢復(fù)；應(yīng)支持舊版本軟件被存儲起來，一旦運(yùn)行的軟件版本出現(xiàn)故障或升級失敗時(shí)，能使系統(tǒng)得到恢復(fù)。

參考文獻(xiàn)：

[1] YY游戲云平臺組.自主實(shí)現(xiàn)SDN虛擬網(wǎng)絡(luò)與企業(yè)私有云[M].北京：電子工業(yè)出版社，2017：49-61.