1 基于SDN架构的OTN网络-基于软件定义的OTN网络探讨
常春雷 马军 杨大伟 李凯
摘 要:作为全新的网络架构形式,SDN的应用愈发广泛。本文针对现实需求,对SDN网络支撑架构的建设和技术保障措施进行了较为深入的研究,希望能够起到抛砖引玉的作用。
关键词:SDN;网络支撑;架构;方案
中图分类号:TN915.02 文献标识码:A 文章编号:1671-2064(2018)10-0043-01
按照国家电网的工作部署和要求,全面提升一体化平台的网络传输服务能力、基础设施服务能力、数据资源服务能力、信息集成服务能力、应用构建服务能力和访问渠道服务能力,实现“平台即服务”(PaaS)的工作目标。目前自主虚拟化资源此建设初具规模,但是传统的网络架构,传统网络的部署,需要在网络环境内的每一台设备上进行配置,需要规划整个网络的拓扑、端口的IP地址、路由协议等等,在网络构建和维护过程中都需要人工持续不断的干预。如果要部署新业务(如VPN),则需要对整网配置进行修改。因此需要针对自主虚拟化资源池开展SDN网络技术的研究。
1 网络现状分析
(1)传统网络的扩展性有待提升。资源池在传统扁平网络架构中,如果应用网上联交换机的端口采用acceess模式,虚拟机的IP地址只属于一个vlan,IP地址个数;如果应用网上联交换机的端口采用trunk模式,虚拟机的IP地址受交换机端口允许通过的vlan个数限制。(2)传统网络的安全性有待提升。当前资源池主要是将物理资源虚拟成多个虚拟资源提供给用户使用,传统网络无法对虚拟资源进行有效地网络安全隔离及有效地访问控制;导致用户可以任意访问资源池中的虚拟机,且虚拟机之间可以互相访问通信,失去了网络物理隔离的天然屏障,增加了虚拟机之间网络的不稳定性。(3)传统网络的可维护性有待提升。传统网络架构与手工维护方式,导致运维人员需了解各厂商不同型号网络设备的配置方式,对人员技能水平要求较高;同时手工配置工作量庞大,存在操作失误的风险;遇到问题难以快速准确定位,严重依赖运维人员经验。
2 网络需求分析
基于自主资源池的新一代SDN网络支撑架构研究,实现自建私有虚拟网络的功能。用户可以根据自身需要,创建多个网络,如直接与用户数据中心物理网络建立映射的提供承载功能的网络,或基于隧道封装技术(VXLAN)的跨二层网络,实现用户灵活组网,降低建设和运维成本。具体新增需求如下:
(1)安全组服务。提供自主虚拟化软件资源池的安全组服务,实现不同等保等级的业务系统在自主虚拟化池中不同私网段的统一管理以及不同安全组之间网络安全访问隔离,保护用户服务不受外部非法访问的攻击,提高了自主虚拟化池整体的网络安全和集中维护能力。(2)防火墙服务。提供自主虚拟化软件资源池的防火墙服务,实现外部网络合法合规访问用户服务,防火墙一般部署于虚拟路由器上,是物理网络网关防火墙在用户虚拟网络中的映射。相较于安全组,防火墙即服务在网关层次上确保用户服务的稳健安全的运行。(3)DHCP服务。提供自主虚拟化软件资源池的DHCP服务,实现自主虚拟化软件资源池动态IP地址分配,建立了业务应用系统分配IP地址的快速精准交付机制;降低IP地址分配管理的难度。(4)路由服务。提供自主虚拟化软件资源池的路由服务,实现各个网络之间互相访问以及公共网络和用户私有网络互相访问的功能。
3 SDN网络支撑架构的建设
(1)虚拟网络。实现用戶根据自身需求,合理规划自建私有虚拟网络的功能。用户可以根据自身需要,创建多个网络,如直接与用户数据中心物理网络建立映射的提供承载功能的网络,或基于隧道封装技术(VXLAN,GRE)的跨二层网络,实现用户灵活组网,降低建设和运维成本。(2)虚拟子网。实现在用户自建的网络的基础上,合理划分网段,分配合法的私有地址。私有地址支持以下地址段:10.0.0.0/8-24;172.16.0.0/16-24;192.168.0.0/16-24。(3)虚拟路由。提供用户自定义的各个网络之间互相访问的能力(东西方向)以及公共网络和用户私有网络互相访问的能力(南北方向)。(4)DHCP服务。提供自主虚拟化软件资源池的DHCP服务,实现自主虚拟化软件资源池动态IP地址分配,建立了业务应用系统分配IP地址的快速精准交付机制;降低IP地址分配管理的难度。(5)安全组。实现细粒度控制用户服务的访问控制功能。基于权限最小,白名单的基本原则,保护用户服务不受外部非法访问的攻击,从而实现用户服务的安全。(6)防火墙。在网络及子网,路由,DHCP服务,浮动IP和安全组的基础之上,提供高级的防火墙服务的功能。防火墙即服务一般部署于虚拟路由器上,是物理网络网关防火墙在用户虚拟网络中的映射。相较于安全组,防火墙即服务在网关层次,实现外部网络合法合规访问用户服务,确保用户服务的稳健安全的运行。
4 SDN网络支撑架构的技术保障
4.1 网络结构
VLAN扩展方案VXLAN采用MAC in UDP封装方式,是一种网路虚拟化技术。针对大二层网络,VXLAN解决了虚拟机规模受网络规格限制;VXLAN引入VXLAN Network Identifier(VNI)网络标识,突破传统VLAN网络规模限制。VXLAN通过采用MAC in UDP封装来延伸二层网络,将以太网报文封装在IP报文之上,通过路由在网络中传输。虚拟机和特定的网络虚拟化功能模块(DHCP服务,虚拟路由服务)桥接在逻辑上跨主机的大二层集成Open vSwitch网桥br-int上,通过VXLAN VNI用户标识来隔离不同子网。以MAC in UDP方式封装虚拟机的IP报文,然后通过Open vSwitch隧道网桥br-tun在大二层网络中路由传输。虚拟网桥br-int,br-tun通过OpenFlow协议实现大二层网络QoS。
主机节点分为控制节点、网络节点、计算节点以及存储节点等。网络节点主要运行DHCP服务虚拟路由服务,虚拟机运行于计算节点上。计算节点间的虚拟机之间通信和计算节点和网络节点之间通信建立通过VXLAN隧道。
4.2 虚拟路由服务
针对同一租户可能有多个子网的情形,子网间互通和子网和公网通讯需要虚拟路由服务支持。虚拟路由服务运行在独立的网络空间中,对于每一个子网,都有一个对应的OVS Port设备与之绑定。每一个OVS Port设备的IP 地址为该子网的默认网关。
OVS Port设备taproute100属于子网10.0.0.0/24,OVS Port设备taprouter200属于子网10.0.1.0/24。设备taprouter100的IP地址为子网10.0.0.0/24的默认网关10.0.0.1,设备tabrouter200的IP地址为子网10.0.1.0/24的默认网关10.0.1.0。设备tabrouter100,taprouter200分别标记上相应VLAN ID。
5 结语
自主虚拟化软件池传统网络架构单一,随着入池业务应用系统的增加,IP地址的增多,对网络运维工作提出了更高的要求,SDN网络技术通过网络虚拟层针对不同的业务应用系统建立不同的私网地址,并进行严格的划分,实现基于策略的网络安全控制,为网络故障的快速定位提供参考,降低了运维工作量,提高了虚拟机网络之间的安全隔离;为自主虚拟化池提供更加专业、安全、快速的全方位保障。
参考文献
[1]王淑玲,李济汉,张云勇,房秉毅.SDN架构及安全性研究[J].电信科学,2013,29(3):117-122.
[2]赵联祥.SDN架构下的OpenFlow原理探讨[J].电信技术,2013,1(2):69-72.
[3]王文东,胡延楠.软件定义网络:正在进行的网络变革[J].中兴通讯技术,2013,19(1):39-43.
[4]赵慧玲,冯明,史凡.SDN——未来网络演进的重要趋势[J].电信科学,2012 ,28(11):1-5.
