基于SDN的葫芦岛市联通IP网络

梁树峰

摘要：葫芦岛市联通公司IP网络现在存在诸多问题，通过将来部署SDN是解决这些问题的最有效办法，该文对SDN的相关概念及优势，IP承载网和IP城域网基于SDN部署进和网络的安全及可靠性行了详细的阐述。

关键词：SDN；NFV；OpenFlow

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）31-0033-02

1 概述

由于当前葫芦岛市联通公司IP网络由645台网络设备组成，分别由华为、中兴、贝尔、烽火等多个厂家提供，比较复杂，网络协议众多，网络管理运维困难，网络创新业务部署太慢，分布式最短路径算法带来的网络拥堵等诸多问题。部署SDN正是解决这些问题的最有效办法，它是网络架构的变革，解决IP面临的本源问题。提供了从应用到物理网络的自动映射、资源池化部署和可视化运维，协助管理构建以业务为中心的网络业务动态调度能力。使本地网络可以根据自身业务发展，灵活部署和调度网络资源，让承载网更敏捷的为所承载的数据、语音和视频业务服务。

2 SND概述

2.1 SDN定义

SDN是Software Defined Network缩写，即软件定义网络。SDN是一种新型的基于软件可编程思想的网络架构，它有一个集中式的控制平面和分布式的转发平面，两个平面相互分离，可以实现控制平面对数据平面的集中化控制，并提供开放的编程接口，为网络提供灵活的可编程能力，具备以上特点的网络架构都可以被认为是一种广义的SDN。SDN架构由四个平面组成，即数据平面、控制平面、应用平面三个平面以及右侧的控制管理平面。

2.2 NFV定义

NFV是Network Function Virtualization的缩写，即网络功能虚拟化，是指通过使用x86等通用性硬件以及虚拟化技术，将传统以专用硬件实现的功能通过通用CPU和软件实现，从而降低网络昂贵的设备成本，并能够实现通用硬件资源的共享和动态分配，从而实现新业务的快速开发、部署和弹性扩展。NFV多应用于以计算分析为主的信息处理网络。

2.3 OpenFlow协议

OpenFlow协议是基于网络中“流”的概念设计的一种SDN南向接口协议，OpenFlow交换机利用基于安全连接的OpenFlow协议与控制器互相通信。OpenFlow协议及其他相关协议将网络控制平面和数据转发平面分离开来，实现网络流量的集中式灵活控制，为网络及应用的创新提供了良好的平台。SDN架构及其相关技术为VPC的实现提供了解决途径，能够实现网络高度虚拟化和灵活管控的需求。

2.4 SDN的技术优势

中国联通新一代网络架构演进的愿景，其内涵包括：面向客户体验的泛在超宽带网络，面向内容服务的开放商业生态网络，面向云服务的极简极智弹性网络。CUBE-Net2.0的目标是：增强网络服务能力和降低网络运营成本，实现网络运营的持续健康发展。通过构建面向云端双中心的解耦与集约型网络架构，为终端与云服务的智能交互，为整个ICT行业提供弹性高效、灵活敏捷、安全可信并融合了计算/存储能力的智能宽带基础设施，实现“网络即服务”。基于SDN的数据中心网络，应该能够对底层的资源进行实时的调度，以满足业务对网络灵活多变的需求。其中，SDN控制平面应该能够实时地维护数据中心的全局资源视图，并根据实时的链路带宽，结合业务需求对设备的转发逻辑进行实时的调整。SDN数据平面的转发设备应该能够根据控制平面策略，对转发表、队列等资源进行实时的调整。同时考虑到与NFV的融合，基于SDN的数据中心网络应该能够支持定制化的服务链，引导业务流量经过相应的服务节点。进行SDN改造后，无需对网络中每个节点的路由器反复进行配置，网络中的设备本身就是自动化连通的。只需要在使用时定义好简单的网络规则即可。如果你不喜欢路由器自身内置的协议，可以通过编程的方式对其进行修改，以实现更好的数据交换性能。

3 葫芦岛市IP承载网引入SDN场景

葫芦岛IP承载A网是面向大客户和DCI的承载网络，通过对现网设备的改造或替换，开发SDN控制器，实现A网向SDN演进。如图2。

IP承载A网实现SDN化后，可利用联通自主开发的编排协同器，对DC内交换网络、UTN和IP承载A网（包括DCI）实现跨域的端到端控制。如图3所示。

IP承载B网向SDN演进可参考IP承载A网的演进方式，具体方案待研究。

4 葫芦岛市IP城域网络引入SDN场景

葫芦岛IP城域网中16台BRAS和10台SR等网络设备首先應进行网络虚拟化的演进，即：将业务控制层从设备上分离，业务控制由独立控制网元控制，数据转发由普通的转发设备进行。

城域网络承载最46.8万的客户业务，网络也比较复杂，宜在其他IP网络SDN化取得成功后，再考虑对城域网络进行SDN化的升级。

5 安全要求

由于引入了新的调度机制、增加了新的网元和接口，SDN不仅要面对传统的网络安全威胁，还要面对新的安全问题、攻击方式和安全风险。

5.1 针对控制器的攻击行为

拒绝服务攻击：攻击者通过向控制器发送大量无效的流表生成请求等方式消耗控制器的系统资源，从而影响控制器正常功能的实现；

非法入侵：由于控制器在SDN网络中占有举足轻重的地位，其也会成为攻击者重点的攻击目标，而一旦控制器被攻入，对网络整体的影响和危害也将远大于传统网络；

5.2 北向接口安全

北向接口通过向第三方服务商提供应用API，使得用户可以享受更加丰富的网络服务，但同时也为网络安全带来了隐患。第三方服务商为提供网络应用服务需要访问SDN控制器，用以进行下发网络策略等操作，此时第三方服务商内部的系统漏洞、员工恶意行为等问题将可能成为攻击者入侵控制器的突破口，进而导致网络单元无法正常工作或用户隐私信息泄露；

5.3 安全防护边界模糊化

SDN的部署还会带动NFV的使用，而网络功能的虚拟化所带来的虚拟机迁移、IP地址变动等情况则会使得安全防护边界的划分更加困难，容易出现病毒和攻击的蔓延。

为有效保障SDN的安全，在部署过程中应当满足以下要求：

应在SDN网络中部署DDOS检测和清洗系统，包括OpenFlow惡意报文、无效流表请求等攻击形式的检测与清洗，尽可能保障控制器负载被用于正常、有效的任务处理；

在临近控制器间尽量启用负载均衡和信息共享机制，对网络整体系统资源进行适度整合，确保整体资源利用率的最大化；部署过程中必须在重点网元处（如SDN控制器）和网络边界处架设防火墙等网络安全防范系统，其中应涵盖病毒木马防治、安全漏洞扫描、网络状态监测、攻击行为检测、安全基线核查等功能；

部署过程中应当在控制器处设定设备访问列表，详细记录每一台入网的交换机设备的详细信息，防止恶意攻击者利用部署过程中的安全漏洞，使用伪装设备或伪造地址等手段入网；

对OpenFlow协议的配置应当使用统一、安全的规范，并且充分考虑OpenFlow协议中的漏洞加以防范，避免规则不统一造成的错误或出现可利用的安全漏洞；

在第三方服务商通过API接入控制器时，需要进行严格的限制和审查，审查内容应包括开发商内部人员及其内部网络的可靠性，服务商所需要的功能与API接口权限是否分配合理，服务商所提供的服务是否安全可靠，会对网络造成何种影响等，以此确保开发商在入网和运行时都不会成为网络安全的威胁；

对网络安全防护的边界进行合理规划，同时兼顾网络的安全性和灵活性。

SDN系统应通过安全认证、日志记录、审计跟踪等功能确保SDN控制器的登陆授权。

6 可靠性要求

SDN的集中控制意味着单点故障的影响将是全局性的，对控制器应采取高等级的可靠性措施，这些措施至少应包括：

控制器与网关网元之间的通信应保证是多点接入，即多网关接入，不同网关与控制器的接入连接应有安全度很高隔离措施，避免网关接入的单点故障造成控制器与网络联系中断。

控制器本身应采用适当的保护或备份措施，如：

采用1+1主备用配置方式部署控制器，在单个控制器故障情况下，备用控制器可快速投入对网络的控制。

采用基于云计算技术的分布式部署，服务器硬件可部署在多个物理站点，通过对虚机的有效管理避免单个服务器硬件故障引发控制器故障。

控制器中各个软件模块的运行、升级、删除、故障等不影响其他模块的运行。

采取多级、分域控制器部署方式，减少单个控制器故障的影响范围。

软件应支持恢复功能，在需要的时候得到恢复；应支持旧版本软件被存储起来，一旦运行的软件版本出现故障或升级失败时，能使系统得到恢复。

参考文献：

[1] YY游戏云平台组.自主实现SDN虚拟网络与企业私有云[M].北京：电子工业出版社，2017：49-61.