摘要：該文從傳統網絡模式的瓶頸出發(fā)，解析了SD-Access技術的架構，從控制層面、數據層面、南北向接口三個方面闡述了SD-Access技術中如何打破傳統網絡模式的瓶頸以及帶來了優(yōu)勢。

關鍵詞：SD-Access技術;身份服務引擎;LISP協議;VXLAN封裝

中圖分類號：TN929.52 文獻標識碼：A

文章編號：1009-3044（2020）08-0021-02

1 背景

SD-Access，Software Design Access，即軟件定義接人，是全數字化網絡架構（DNA）的重要組成部分。它是將服務器資源和園區(qū)網結構（Campus Fabric）兩者相結合。通過網絡基礎架構來完成大規(guī)模交換機自動化組網，從而達到網絡安全控制管理的目標。

SD-Access技術，由軟件來定義接入組件的各項屬性，例如：接人可行性、接入能力、網關、IP屬性、安全策略等。接入組件是有線設備（交換機、路由器）、無線設備（無線接入點、無線控制器）等。SD-Access技術的引入，是傳統網絡模式的一場革命，將會在很大程度上提升運維效率、網絡安全性和用戶體驗。

2 傳統網絡模式的瓶頸

2.1 傳統網絡異構程度嚴重，運維管理日益復雜

傳統網絡模式，運維人員重點關注并解決的技術是路由、生成樹、VLAN、訪問控制列表等。傳統的園區(qū)網通常是由多個品牌網絡設備混搭出的多端口網絡，異構程度嚴重。隨著網絡中各類設備數量的增加，設備中路由條目、訪問控制列表條目、生成樹成量級增加，加劇了網絡運維管理的難度。

2.2 傳統網絡模式不能適應云計算網絡的策略需求

伴隨園區(qū)網用戶數量的不斷增加，網絡分段給運維工作提出新的挑戰(zhàn)。各類用戶受身份認證、VLAN、IP、ACL等因素的影響，無法實現有線無線一體化體驗，無法根據業(yè)務需要實現用戶分組。同時，設備和用戶數量的增加，各類策略數量日益累加，且因設備用戶的不同策略有差異，無法實現統一配置。

未來的網絡，需要與靈活分布的云計算網絡對接，適應用戶多樣化的應用策略需求，突出策略實施的一致性，呈現給用戶的將不再是傳統的多端口網絡，而是一個現代化的智能網絡。

3 SD-Access技術的架構

SD-Access架構主要由SD-Access Fabric、DNA Center、ISE組成。

3.1 SD-Access Fabric

設備所在的區(qū)域稱為SD-Access Fabric。設備包括Border、Edge、Control-Plane。Edge用來進行有線設備和無線設備的接入，底層Underlay是傳統的復雜的物理網絡?；赨nderlay的IP可達構造出的大網絡稱為Overlay，Overlay通過Border與Un-derlay對接，Border和Edge構成Overlay的邊界。

Overlay是邏輯層面的網絡，是虛擬存在的天然可通信的環(huán)境，自成拓撲，無論設備以何種方式接入，都可以在拓撲里跟其他不同節(jié)點的設備進行通信。

3.2 DNA Center

DNA Center負責統一指揮網絡設備管理層面的操作，完成管理、配置、策略下發(fā)等任務，DNA Center有四個功能，分別是設計、策略、調配、保障[1]。

3.3 ISE

ISE全稱Identity Services Engine，即身份服務引擎。各種用戶、終端通過交換機、無線AP或者VPN等邊界設備實現網絡接入，由ISE實現身份認證。

ISE的三大功能分別是：發(fā)現，可以確認用戶的身份以及用戶使用的終端類型和應用;安全，和DNA Center聯動，幫助SNA接入的安全管理;分享，實現與API之間的聯動從而擴大操作范圍。

DNA Center和ISE兩者之間有專用通道，通過建立加密隧道實現。

4 SD-Access打破傳統網絡模式瓶頸的技術體現

4.1控制平面基于LISP協議節(jié)省大量路由條目的開銷

傳統網絡路由協議造成本地存放大量路由條目，CPU占用率高，對設備性能要求非常高。SD-Access將控制與數據轉發(fā)分離開，由Control-Plane來控制路由，Control-Plane通過運行主機跟蹤數據庫來映射位置信息，基于LISP協議實現。LISP協議，是網絡映射一封裝協議，即通過學習、計算終端標識（End-point Identifier，EID）和路由標識（Routing LOCators，RLOC）表示終端身份信息和位置信息[2]。終端的映射信息使用映射系統（mapping system）管理，掌握匹配關系，從而通知數據包封裝的目的地，精準到next-hop。LISP數據庫查詢方式，小型表項僅占用設備少量的CPU資源。在SD-Access架構中，Edge設備是人口，Border設備是出口，Border設備指導用戶能去往的應用路徑，比如訪問互聯網、訪問服務器集群等。

4.2 數據平面基于VXLAN實現漫游及一致性網絡體驗

傳統網絡的初衷是不支撐漫游的，漫游功能的實現必須要識別出用戶身份，由主機MAC和主機IP來體現。同時，傳統網絡的用戶受IP地址或VLAN成員關系限制，很難實現用戶或設備分組。SD-Access則不依賴物理拓撲，能夠實現策略的移動性。作為接入設備的有線交換機和無線接人點的流量數據都使用VXLAN進行封裝。在SD-Access架構中，Edge設備負責數據的封裝與解封裝。因此，可以為處于園區(qū)網任意物理位置的用戶提供一致的網絡體驗。

4.3 南、北向接口的引入方便運維和應用

南向接口用來控制接入設備，可以下發(fā)設備配置以及組網意圖。傳統網絡的配置操作是針對單一設備的行為。SD-Ac-cess實現網絡虛擬化，不再逐臺設備依次進行配置，管理人員可以從物理層的基本配置中抽離出來，站在更高層次去實現基于意圖的網絡。

北向接口用來實現網絡可編程，網絡可編程的目的是實現網絡管理者的意圖，比如，安全策略、無線信號使能等，通過程序與物理設備實現互動。

5 結束語

SD-Access技術較傳統網絡模式，具有一定的技術前瞻性、先進性，可有效解決傳統網絡模式應對日益復雜的網絡格局面臨的瓶頸，但在園區(qū)網全面部署SD-Access資金投入大，技術要求復雜，需投人大量時間、更換大量在用設備、提升人員技術水平。因此，SD-Access技術在園區(qū)網的全面實踐，將是一個逐步推進、最終取代傳統網絡模式的過程。

參考文獻：

[1] Cisco公司.思科創(chuàng)新園區(qū)網架構-DAN 2.0-交流[EB/OL]. https：//wenku. baidu. com/view/afc65e7a7275 a417866fb 84ae45c3b3566ecdd19.html.

[2]唐建強，劉穎，周華春，等.一種身份與位置分離環(huán)境下基于網絡的安全移動性管理協議[J].電子與信息學報，2013，35（1）：151-158.

【通聯編輯：謝媛媛】

收稿日期：2020-01-25

作者簡介：龐鐳（1982-）.女，陜西漢中人，助理研究員，碩士，研究方向為網絡運維、網絡安全。