基于SDN的智慧云网研究与实践

张志华，陈志军（.中国联通河北分公司，河北石家庄 05003；.河北科技大学，河北石家庄 05008）

1 概述

SDN技术是电信网络中的新兴技术，其网络设备控制面与转发面（用户面）分离，底层网络设备负责高速数据转发，上层的控制设备通过软件定义方式，以OpenFlow等标准化协议对底层设备实施转发策略和业务控制，从而在物理网络相对固定的情况下实现逻辑网络的快速重构。SDN整体架构分为数据转发设备、SDN控制器和业务编排器3个层次。目前河北联通的城域网、IPRAN以及OTN等均已不同程度地实现SDN化能力，网络的快速部署、动态资源分配等智能化水平明显提升。

云计算以其硬件资源物理共享、逻辑隔离、便于维护运营的特性而快速普及，河北联通基于各级数据中心，正在加速部署通信云和业务云2类云计算系统，通信云已涵盖4G+5G移动网CloudEPC/5GC、中传网络CloudBBU和智能城域网CloudMAN等网络，业务云涵盖IT网络CloudIT、增值业务私有云CloudVAS以及公有/行业云CloudServ等。

SDN对网络的自动化控制管理有着明显的优势，对于复杂的大型云计算系统，云管理平台对系统内部网络多用户切片控制非常弱，网络资源动态管理存在诸多不足，直接影响云系统端到端业务快速开通以及云网一体化协同能力。

目前，河北联通已成功将SDN技术应用于行业云系统，在业务快速部署、网络资源快速调配及云网协同方面成效显著。

2 系统架构方案设计

河北联通行业云平台从以下3方面提供服务：

a）提供企业自身电信能力对外开放的IaaS和PaaS平台，通过封装的对外开放的短彩信等各类资源，为公众用户和企事业单位提供服务。

b）提供公众创新孵化平台，实现创新产品的快速研发和应用。

c）承担公有/行业云应用，为各类SaaS云（如中小企业应用系统、旅游云、医疗云、教育云、社区云等）提供基础设施承载平台。

本平台规划为“一朵云、两个域”，系统划分为产业互联网资源域和创新/孵化资源域。

改造前的系统结构如图1所示。

改造前的系统存在如下问题：

图1 改造前的行业云系统结构图

a）系统自动开通能力差。部署一个应用系统需要手工对各级网络设备进行配置和调整，劳动生产率低且易于出错，可维护性不高。

b）动态灵活调整能力差。单一的云管理系统无法对内部网络、外部网络及网关、整体系统的安全设备等进行协同动态调整。

c）Overlay技术无法实现。基于用户能力扩展、用户分布、资源总体协调等因素，需要对一个应用系统进行全云范围的迁移和部署，目前无法满足云上漫游的高效能需求。

d）云网协同无法实现。一方面是客户使用的公有云中，所涉及到的全部路径（包括用户系统及网络、专线连接、运营商网络、公有云）的带宽要求、可靠性要求、安全等级要求等无法协同调整；另一方面是网络需求和云资源需求无法快速部署和提供。

e）云系统存在多个版本，系统管理能力和运行效率需要扩充，网络带宽需求日益提高，需要构建全10GE云网络。

在行业云系统上实施SDN化改造，实现“智慧云网”云网协同能力，是本方案的目标。改造后的系统架构如图2所示。

图2 改造后的行业云系统结构图

基于OpenStack架构，系统在管理节点部署SDN控制器，负责控制网络及安全设施，云管理平台承担SDN控制器的业务编排功能，同时实现对云资源的部署和管控。在节点出口处部署云化的边界虚拟网关，包括虚拟防火墙、虚拟流量清洗设备、虚拟负载分担设备、虚拟入侵检测设备等。SDN控制器所控制的范围包括边界虚拟网关、核心/汇聚网络交换机等。系统通过与云平台的高效协调，实现物理网络与逻辑网络的解耦。

节点之间的核心交换机之间部署VxLAN协议，建立大二层网络，核心交换机建立VxLAN网关，在资源池汇聚交换机TOR上启用VxLAN接入网关VTEP（Vx-LAN Tunnel End Point），在VTEP节点上完成VxLAN报文的封装及解封，实现Underlay和Overlay的转变。

在VxLAN的基础上，该系统引入了控制与转发相分离的SDN机制，新增了由SDN控制器和SDN网元构成的SDN子系统。SDN控制器的北向接口采用RESTFUL API，与云管平台对接，实现高层应用业务逻辑；南向接口通过Openflow、SNMP等协议对被管理对象，包括物理设备和虚拟设备进行控制。整体系统实现如下功能：

a）弹性IP服务。实现对云数据中心内子系统的动态访问。

b）虚拟私有云（Virtual Private Cloud）服务。构建不同客户系统的完整虚拟专网，并通过安全组功能提高网络安全性，实现云上云下业务网络互通。

c）虚拟安全组（Virtual Security Group）服务。支持应用虚拟端口与指定的安全组关联对接。

d）VPN服务。在远端用户和云系统VPC之间建立一条安全加密的通信隧道，使远端用户能通过IPSec VPN直接访问VPC中路由网络内的业务资源。

e）标准化对接全局往来业务编排系统的能力，与IPRAN的Sup-O自动编排器实现对接。

3 应用场景

3.1 云网协同场景

云网协同一方面是指网络和云要联动，就是云数据中心与整体网络资源匹配；另一方面是针对网络本身，实现集中策略控制、分布转发承载，从而实现网络资源的动态分配和调整，最终实现网络重构。

本文所提出的方案包含云专线接入和行业云DC两大部分，通过为政企用户提供统一的自服务门户实现资源的自主选配和资源随选，通过统一的编排器实现云网协同和资源统一编排（见图3）。

图3 云网协同示意图

a）自服务门户：为政企用户提供统一的自服务界面，用户可在自服务界面灵活选配自己需要的网络和云服务，并下发订单。

b）编排器：与自服务门户对接，根据用户选购的服务，对底层的网络、计算、存储资源进行编排，为用户提供云网协同服务。

c）云专线接入：通过专线接入网关将政企用户接入VxLAN网络。通过点到点的VxLAN隧道为政企用户提供L2/L3专线业务，同时可通过行业云DC的Vx-LAN隧道接入行业云DC为用户提供云专线业务。VxLAN专线的部署和管理通过SDN控制器实现自动化，并且与编排器对接实现业务自动化管理。

d）行业云DC：采用SDN、NFV及云计算技术，在城域网内建设行业云DC，向政企用户提供虚拟企业网、CT云、IT云和其他面向政企用户的SaaS服务或应用系统。

云网协同实现了客户—管道—云端全方位资源的动态按需配给，同时也实现了端到端的智能化快速部署，满足了云业务快速、动态、按需、智慧的发展要求。

3.2 云云协同场景

对于具有大规模分布式要求的客户系统，通过DCI连接构建同一客户系统的大二层VPC通道，在SDN自动化配置的条件下，实现客户系统在“云间”的漫游，满足客户分支体系、客户用户分布特征体系的云间高性能分布式系统部署（见图4）。方案价值如下：

a）实现多中心空间资源的逻辑统一，实现机房资源统一调度使用。

b）多中心大二层互联帮助运营商实现主机跨DC的集群，提高业务处理能力。多个机房的统一资源池能提高应对业务突发的能力。

c）多中心互联方案保障客户可以实现远程的虚拟机迁移，增强业务系统的可用性和部署的灵活性。结合全局负载均衡技术，为实现业务级容灾提供保障。

d）配合多级云方案，使客户云平台能够跨DC创建使用IaaS资源，不受机房物理位置的限制。

4 结束语

SDN技术与云计算技术相结合，全方位（计算、存储、网络、安全）提供虚拟化技术，实现转控分离，从而达到云网业务及运营可视化、自动化、智能化能力，是向“智慧云网”迈出的关键一步。本案例作为河北联通首例SDN云，进行了卓有成效的探索和实践，相关经验将会在后续的运营中逐步体现其价值。本方案在以下几方面还有待完善：

图4 云云协同示意图

a）提供一站式服务，对云、网自动适配，告别单纯的带宽销售模式，实现企业专线接入服务、云计算服务一体化销售，提升产品的综合竞争力、整体收入和用户黏性。

b）进一步完善编排器业务功能，提高网络自动化程度和基于业务的理解能力。

c）进一步开放自动化编排架构，底层标准化的业务承载，实现快速组织新型业务模式，推向市场，并能够快速复制占领市场。

d）持续提高网络可视化维护水平，降低人工干预，实现自动巡检。

e）为政企用户提供企业统一通信、定制云终端、应用商店、数据备份等SaaS/PaaS/IaaS应用，提供政企应用的综合信息平台，降低用户IT系统及企业信息化投入，提升企业运行效率。