《SDN 在基层央行网络中应用探讨.docx》由会员分享,可在线阅读,更多相关《SDN 在基层央行网络中应用探讨.docx(7页珍藏版)》请在优知文库上搜索。
1、SDN在基层央行网络中应用探讨基层央行网络架构存在的问题1 .网络部署和运维管理难度大、效率低在传统的网络架构中,网络与业务是分离的,新的业务部署时,网络管理人员需要配置多个网络设备。这些设备包括路由器、交换机、防火墙等,它们是由网络设备硬件、操作系统和网络应用3部分紧耦合构成的闭合系统,只为用户预留了简单的命令行接口、图形界面等。这种手工配置的效率低下,无法实现网络对业务快速变化的响应,严重影响业务的部署进度。而且在人民银行的业务网中,存在大量不同品牌、不同型号、不同版本的网络设备,对这些设备的监控、变更和排障都需要长期知识和经验的积累,导致这些设备的运维和管理难度大、成本高、效率低。2 .
2、网络风险防控能力有限传统网络体系结构主要从网络结构、边界、协议、流量、QoS等方面进行风险防控,要构建相对安全的网络系统至少还要包括以下安全设备:防火墙、入侵检测、堡垒机、漏洞扫描、安全审计系统等。众多的设备在提供安全保护的同时也带来安全风险,如果某一节点产品存在安全漏洞就会给整个网络带来不可预知的安全风险,同时保持这些设备物理和逻辑上的一致性也是比较困难。3 .对云计算支持能力不足传统网络架构对云计算所需要的网络资源高效分发、虚拟机大范围迁移、应用的多级部署等支持能力捉襟见肘。例如一台新的虚拟机被创建后,IP地址分配、V1.AN划分、AC1.和QOS的配置如果使用手工配置,耗时久且易出错。而
3、用来防止环路出现的生成树协议(STP)和分割网络的V1.AN协议限制了网络的规模和扩展性,导致虚拟机的规模和迁移范围受限。4 .不适应大数据业务的发展随着金融业务的蓬勃发展,需要存储、处理的数据量呈爆发式增长,传统的三层网络架构不再适用,需要使用分布式架构。如有两台服务器需要进行数据通讯,但两台服务器分属不同网段,通信时必须通过“接入层一汇聚层一核心层一汇聚层一接入层”路径,这种方式在面对大量服务器相互通信的大数据业务时就不是一种有效的方式,不但系统带宽会被大量消耗,还会产生长延时,形成网络阻塞。SDN在基层行网络应用中的技术难点基于现有网络架构中存在的问题,利用SDN等新技术对现有网络架构进
4、行改进,可适应新的技术和业务需求。但如何在基层央行应用SDN进行网络架构重塑还有一些技术问题需要克服。1 .集中控制器的安全性问题做为SDN网络的核心,控制器安全问题非常重要,采用SDN架构时就需要解决SDN控制器的防攻击、可用性、冗余备份等问题,特别是转发设备被多个控制器控制的场景下,面临控制器假冒、转发设备资源非法滥用等诸多风险。2 .控制器和转发面性能瓶颈问题作为数据转发控制的核心,控制平面表现出越来越重要的作用,尤其是基于控制平面的各种应用,更是对复杂网络进行有效管理的重要保障。目前开源的控制器种类也比较多,比如NOX、Beacon和Floodlighto这些控制器在系统架构、实现语言
5、及编程接口等方面各有优劣。如何选择一款适合、高效的控制器非常重要。尽管网络控制与数据转发相分离的新型网络架构简化了网络管理,但是不断增长的网络规模仍然带来了新的挑战。例如,随着二层和三层设备数量的增多,发往中央控制器的控制流数量会明显增大。此外,网络越复杂、规模越大,控制器的部署位置对流的建立延迟产生影响越大。最后,单一控制器的处理能力以及I/O能力都是有限的,对于大规模网络的复杂应用,必然会产生系统性能瓶颈。3 .端到端控制的协同问题SDN控制平面的南向接口面对数据平面、北向接口面向应用,控制器之间的接口称之为东西向接口,用于完成控制器之间的通信。东西向接口尚未标准化,跨厂商控制器通用是难题
6、,当前的编排层仅解决业务策略下发,端到端的拓扑发现和路径计算难以实现。对策建议鉴于基层央行在面对新一代网络架构推进过程中遇到的困难,笔者提出以下建议。1 .从标准和顶层设计入手,加强统筹管理加强顶层设计和加快出台标准规范,由总行出台总体架构和设计规范,形成统一标准,指导全国央行系统工作。通过加强横向联合,可以选择一些基础好实力强的基层行开展试点,取得成功经验全国推广,避免走弯路。加强人才队伍建设,增加基层行网络专业人员数量,加强培训工作,可以采取有针对性的培训工作,提高网络管理员的技术能力与网络运维水平。加强新技术宣传力度,通过积极宣传争取获得上级行及本级行领导的支持,保证费用的投入,做好新技
7、术和经验储备,可以联合技术雄厚的厂商联合开展攻关,并聘请该领域有经验的专家担任技术指导。2 .注重SDN产品选择SDN网络一般分为软件SDN和硬件SDN两大类。在软件SDN的解决方案中,网络的功能是通过软件层面的1.inux协议栈以及相关的OPenSWitCh技术实现的。它的优点是可以通过软件来实现网络的创建、子网的划分、路由的选择以及防火墙策略的管理等功能,可以避免对硬件网络设备的过度依赖,同时极大降低了组网的成本;它的缺点是稳定性和可扩展性不如硬件SDN专用设备。硬件SDN是使用专用的硬件设备加上一个专用的控制器对硬件设备进行策略管理以及流表的下发,来实现网络相关的功能。它的优点是比较稳定
8、,缺点是灵活性较差且组网成本较高。如何选择适合自己的网络产品还得看自己目前实际网络部署情况,以及对扩展性、可管理性、延迟、吞吐等性能指标的要求。3 .结合本地实际,注重成本效益除了对SDN厂商和产品进行慎重选择外,选择合理网络方案非常重要,方案要考虑网络扩展性和部署成本。以呼伦贝尔市中支为例,所辖12个县支行2019年己完成网络设备更新工作,新设备采用SDN+NVF技术进行网络架构重构,使其具有如下特征。一是网络部署自动化,实现设计、部署到后期可视化运维管理,可以按照用户逻辑架构/管理架构进行网络站点分区设计,根据需求灵活制定调度策略、选路策略、服务质量保障策略,设计完成后系统自动生成对应节点
9、的最小配置和支撑业务的全量配置,完成零配置上线。二是流量调度策略灵活,V-AG技术既可以实现物理网络的流量调度,也可以实现逻辑(业务)网络的流量调度,V-AG技术既可以通过控制器实现,也可以通过设备本身实现,根据链路质量状态,通过指定路径、最短路径、带宽利用率、时延、抖动、丢包、COST最优、指定节点等策略实时为业务选择最优路径,实现关键业务保障和链路带宽均衡负载。三是实现智能分析和监控,整个网络健康状况一目了然,通过智能分析,对网络中潜在和已存在的风险进行预警和自动处理,对网络待优化点给出成熟建议,让网络设计和管理人员轻松驾驭网络。四是网络运维更简洁高效,SDN控制器作为网络设备的统一管理和
10、控制平台,支持多种南向协议与设备互连,支持设备配置、拓扑管理、零配置上线、网络虚拟化、终端识别、准入控制及IP地址集中式管理,并提供网络北向API,自动生成设备配置,实现零配置上线和零配置设备更换,极大提升运维效果。未来展望采用SDN网络架构设计应充分考虑未来网络发展,关注网络可拓展性,目前SDN与NFV(NetworkFunctionVirtualization,网络功能虚拟化)的结合是一个不错的发展方向。NFV的目标是通过基于行业标准的服务器、存储和网络设备,来取代私有专用的网络设备,SDN与NFV有着强烈的互补性。一是通过服务器虚拟化托管网络服务设备,尽可能高效地实现网络服务的高性能;二
11、是软件控制平面被转移到了更优化的位置(从专用设备硬件中剥离,放置在数据中心或者PoP位置),数据平面的控制被从专有设备上提取出来并且标准化,使得网络和应用的更新无需网络设备硬件升级,SDN对网络流量转发进行编程控制,实现无缝交付网络服务;三是云管理技术可配置网络服务虚拟设备,并通过操控SDN来编排与这些设备的连接,从而通过操控服务本身实现网络服务的功能。SDN和NFV结合带来的好处主要有两个,其一是昂贵的专业设备被通用硬件和高级软件替代,成本低廉,能够节省巨大的投资成本;其二是开放API接口,能够获得更灵活的网络能力。SDN简介及其在银行环境下应用的思考软件定义网络(SoftwareDefin
12、edNetwork,SDN)是一种基于虚拟化思想提出的网络设计理念,通过将网络控制与数据转发解耦,使网络更加灵活、更加智能、可编程性更强,更好地契合虚拟化等新技术要求。目前,该技术已相对成熟,在数据中心和园区等场景中具有落地成功案例。因此,在当前银行“架构转型”的大背景下,如何将SDN技术应用于银行网络,具有重要的研究意义。一、SDN技术简介随着虚拟化、云计算等技术的日趋成熟及广泛应用,传统信息系统架构设计理念受到越来越多的挑战。在传统网络架构中,网络控制和数据转发功能紧耦合,导致其在虚拟化环境下存在一些突出问题。一是网络资源池化能力不足,不能很好地支撑计算资源池化部署,在一定程度上造成计算、
13、存储和机房场地资源的碎片化。二是新业务上线时的网络部署变更更多地依赖手工配置,流程长,操作复杂。三是应用、系统、网络相对割裂,端到端的可视度和排障能力不足。因此,不能很好地适应新业务、新技术的发展需求。SDN技术基于虚拟化思想提出。它对网络控制和数据转发进行解耦,将网络控制功能从相应的网络设备中分离出来,并放入特定的软件可编程的控制器中。典型的SDN网络分为转发层、控制层和编排层(也称业务层)三部分。转发层负责实现具体的网络转发功能,由传统网络设备承担;编排层提供各类面向用户的应用,通过更友好的界面、更直观的描述语言收集用户需求;控制层在转发层和编排层之间起到桥梁作用,它将编排层信息进行转译,
14、转发至网络设备,确定设备路由表、访问控制策略列表等关键信息,最终将用户需求落地成具体的网络配置。图1SDN网络架构传统架构网结管理网络编排屐网络控制展网络织排序网络控初扬络转发,物理网络网络安全tt据中心网络网络转发医骨干网络端ft网络网络安全从结构上看,由于SDN通过控制器将控制集中化,它在管理上更为方便,原先复杂的路由、多播、安全、AC1.(访问控制)、带宽管理、流量工程、QoS(服务质量)、能效管理以及各种策略管理也变得简单明了,比起传统网络需要一台台设备分别去调试,要省心省力得多。在集中控制的基础上,SDN的可编程性可谓是其核心所在。这一功能是传统网络所无法企及的。通过软件编程,运管人
15、员不仅能实现一些小功能,运维自动化、智能化亦成为可能。应用开发者将不再需要了解各种网络底层的细节,只需专心致力于应用软件的质量,开发效率大大提高。SDN使网络更加灵活、更加智能、更加具有可编程性,很好地契合了虚拟化等新技术需求。目前,网络设备厂商、软件厂商和用户均认识到SDN的优越性,大力推进相关技术落地。其中,网络设备厂商通过在自己的产品中加入SDN的各项功能,从而提供完整的SDN产品和解决方案。软件厂商将SDN的功能通过虚拟化网络技术融入到自己的软件产品中,最终提出SDN部分或全面解决方案。用户由于自身网络建设和运维的压力,是SDN主要倡导者和推动者,希望通过SDN发展给自身带来预期的利益
16、。0NFOD1.ONOS和NFV是当前SDN技术最有影响力的国际组织,就SDN实现提出了OpenFlow和NFV两条主要技术路线。OpenFIow是全球首个采用SDN框架的标准接口,由ONF提出。OPenFloW定义了SDN网络设备控制层和数据层交互方式,即南向接口,在不同厂商网络设备与控制器之间提供高性能和更细颗粒度的流量控制。OPenFIOW是现在SDN框架中最有影响力的协议。NFV技术路线由NFV标准化组织提出,利用当前的资源虚拟化技术,在硬件设备中建立一个网络虚拟层,负责将硬件资源虚拟化,形成虚拟计算资源、虚拟存储资源和虚拟网络资源等,运营商通过软件来管理这些虚拟资源,实现简单地统一管理不同设备的目的。NFV将传统网络设备的软件与硬件相分离,使网络功能更新独立于硬件设备。二、SDN应用场景目前,SDN在多种应用场景已有许多