韩忠辉
(91404 部队,河北 秦皇岛 066000)
现代海军作战是体系对体系条件下的综合对抗[1],为了深入考核武器装备战术技术性能和作战能力,至少需要从装备本身、所属系统、搭载平台3 个层面,对其作战中的战技性能底数和作用发挥进行测试,获取海量的测量数据,以便在后期对其综合作战能力进行评估。在以往的试验体系中,侧重于对武器装备战术技术指标考核,测控数据的采集聚焦与战技指标本身相关度高的、耦合紧密的信息,大多由装备信息输出端口获取,对于潜在影响因素、关联因素或效应传递因素关注不高。这种测控数据采集的方法能够满足单装备试验鉴定要求,当开展系统级、平台级或者体系级试验时,一方面需要同时采集多个运动平台上的不同类型的装备,另一方面需要从被测装备、操作人员、试验环境、作战方法等多个角度收集数据,为全面分析、彻底剖析试验中出现的问题提供足够的数据支撑[2]。可以预见,这种场景下的数据采集系统网络,必须有开放的体系结构、强大的数据吞吐能力、普适的数据接口、灵活的接入方式。该文从海军体系级作战试验需求出发,在近海海域设置海上试验场,以海军舰艇编队为被试对象,采用软件定义网络(Software Defined Network,SDN)技术[3],设计满足多平台、多系统、多装备、多任务的测控数据采集系统网络。
SDN由美国斯坦福大学在2006年提出,在一项名为Clean Slate的课题中,该校教授Nick McKeown的研究团队提出了OpenFlow 的概念,并基于OpenFlow 技术实现了软件编程定义网络功能。由于OpenFlow 的网络架构具有可编程性,通过开放的标准化接口对网络控制策略进行设置和下发,从而能够很好地适应新型大规模网络架构。OpenFlow 作为SDN 设计思想的原型实现方式,尽管只是SDN控制平面和数据平面间众多通信协议之一,但因其具有广泛应用性、良好的可扩展性和灵活性,使其成为SDN 的标准通信协议,类似于传统网络的通信标准TCP/IP 协议[4]。
2016 年,开放式网络基金会(Open Networking Foundation,ONF)发布了最新一版的SDN白皮书《SDN Architecture Issue 1.1》,明确SDN 作为一种网络架构,需具备如下4个功能[5]:
1)控制与转发分离:可以单独配置流量转发处理实体和网络控制;
2)集中化控制:通过网络资源细节抽象和集中式控制器的网络全局视图观察,从而实现网络资源的高效利用;
3)网络服务可编程:允许用户根据业务需要,对网络进行逻辑配置和迁移,从而实现用户的定制需求;
4)开放接口:通过对网络接口的标准化管理,从而实现网络与应用的分离,而且不影响其他功能接口的使用。
简而言之,SDN 是一种将数据转发与控制分离,采用软件定义的理念,实现软件资源可编程的新型网络体系架构。SDN 体系架构自底向上垂直切分为3部分:数据平面、控制平面和应用平面,具体如图1所示。数据平面由网络底层的转发设备(支持Open Flow协议的交换机等)组成[6],负责数据的转发、处理和网络状态收集。控制平面是SDN 体系架构的核心,SDN 控制器是其核心,通过软件平台对底层硬件的可编程化控制,实现对网络资源的灵活调配和网络的集中化控制。应用平面是SDN 体系架构的顶层,通过控制平面提供的API,对控制层提供的网络功能进行编程,从而使用户能够以简单高效的方式实现集中管控、虚拟化部署以及多路径路由等网络管理应用和业务。此外,开放式网络基金会定义了北向接口和南向接口,南向接口以OpenFlow 协议作为技术规范,而北向接口由于应用平面业务应用的多样性和复杂性,目前仍没有统一的规范和标准[7]。
图1 SDN体系架构
SDN 是对现行互联网架构的全面颠覆,使网络像软件一样易于修改,能够根据用户需求随时增加新业务。SDN 具有可管理、高效性、经济性且适应性强的特性,适用于对网络资源动态调配要求高、数据转发流量大、接入设备多样、运维成本有限的海上试验场。
由于海上试验场数据采集系统网络是试验全场景数据采集、交换、传递和存储的信息环境,采集设备需要部署在天空、岸岛、舰艇甚至水下等多种平台上,数据来源包括外部环境、运动平台、被试设备、陪试设备、仪器仪表和其他需要采集数据的设备或仪器,采集数据类型包括视频、图像、音频、数据报文、二进制文件等。因此,测控数据采集系统的本质是一个数据中心,其网络结构异常复杂,对流量的控制要求较高,需要满足大规模、大带宽、易扩展、健壮稳定、安全保密等要求。另一方面,与普通的数据中心流量主要集中在服务器之间不同,采集系统网络的流量主要在采集设备到服务器之间,且在时间(试验时间决定)、空间(搭载平台运动决定)和内容(采集数据的类型决定)上具有不确定性。根据应用需求,采用改进的如图2 所示的Fat-Tree 网络结构,具有网络带宽大、网络直径小、容错性能好、扩展能力强和设备开销小的特点,基于SDN 的Fat-Tree 网络结构被普遍用于数据中心设计[8],相关的多路径路由、流量分配和路径负载均衡等算法相对成熟。
图2 Fat-Tree网络结构
测控数据采集系统网络的设计需要考虑采集终端接入情况:1)支持SDN;2)支持TCP/IP协议(较多);3)支持其他网络协议(较少);4)不支持网络传输(极少)。各种接入形式如图3所示,第一种情况可直接接入网络,第二、三种情况在网络设计中比较常见,一般将支持SDN 和支持其他网络协议的两个网络看做不同的系统,可设计一个SDN 控制器应用,接收和处理不同系统之间的路由消息,控制器利用边界网关协议(BOEder Gateway Protocol,BGP)获取邻域网络可达信息以后,计算并下发路由信息流给OpenFlow 交换机,从而实现SDN与其他网络的连通。对于第四种情况,可设计开发一个数据-网络转换器,直接实现数据接口到SDN 网络化接口的转换,也可以利用成熟的数据接口-TCP/IP 网络接口转换装置,再利用上文的SDN 控制器应用,实现协议转换和网络接入[9]。
图3 采集设备SDN网络接入形式
海上试验场数据采集系统网络与商业数据中心全时工作方式不同,仅在任务实施阶段会有大量的数据流在线交换。经分析,近70%的数据流大小仅在5 kB 以下,此类数据流即发即收,大部分在较短时间间隔内持续发送,传输实时性要求较高;约25%的数据流大小在1 MB 左右,间隔时间大于30 s,可根据实际情况即发即收;约2%的数据流在1~200 MB 甚至更大,在交换时间内持续传输;其他数据为文件格式,文件最大可达TB 级,对传输时间没有要求。由于采用了Fat-Tree 拓扑结构,网络可以提供大量的链路冗余,任意不归属于同一区域路由器中同一边缘交换机的两节点之间,存在多条等价路径,同时,基于SDN 技术的网络具有控制集中和全局可视的优势,可以通过OpenFlow 对全网信息查询,用动态调整路由的方法保持网络畅通。基本流程:控制器通过OpenFlow 交换机上传信息和数据,计算网络拓扑(包括物理端口的对端端口和设备),对网络中传输的数据流进行分类,根据分类采用不同的路由策略,并计算转发路径,以流表的方式将路由下发到OpenFlow 交换机上。其中包括与流大小无关仅考虑链路带宽的流量无视算法(可设置为重点链路,始终保持稳定性)和针对流转发情况和网络状态为基础的动态负载均衡算法[11]。
安全防护包括接入认证、网络主动防御、通道加密、流量异常检测等。接入认证包括网络节点身份认证、实体互认证、异构网络跨域认证、数据可信度认证等,采用椭圆加密(ECC)、椭圆曲线数字签名算法(ECDSA)、散列函数、IBE(Identity Base Encryption)、组合公钥CPK 机制等方法都能提高接入认证的安全性和有效性[12]。网络主动防御主要围绕SDN 控制器设计防御策略,如三阶段协议缓解多控制器SDN 的DDoS 攻击[12]、基于时戳反馈的端口跳变[13]、采用多层公平队列方法分配控制器资源,基于流行度和超时分析的SDN 控制器保护等[14]。通道加密除采用专用加密设备外还可以对数据进行加密处理,以提高数据流的安全性。异常流量检测采用支持向量机(SVM)、深度学习[15]、卷积神经网络(CNN)、信息熵等方法防范网络攻击、网络瘫痪、网络用户丢失和信息泄露等问题的发生[16]。
在体系级试验时,部署采集设备的平台大多处于相对运动中,目前无线网络传输协议支持中低速运动平台间的数据交换,但网络覆盖范围、可靠性和稳定性有一定的使用限制,与环境、天气气侯等关联较大,对于运动速度高于500 km/h 的飞行平台,目前还没有成熟的无线网络传输技术支持。因此对于网络中的运动终端,需要合理规划数据采集传输方案,以实时采集、本地存储和事后传输为主。
SDN 网络架构的优势,尤其是其与5G 技术的良好融合性,使其得到迅速发展。海上试验场对基于互联网络的数据采集和交换有迫切的需求,SDN 能够根据试验需求定制特殊的网络功能,较好地支持异构网络路由、网络安全与流量控制、QOS 保障等,该文采用的网络拓扑,包含多个环路,在保证数据路由通畅的同时,一定程度上提高了数据广播风暴的风险,需要发挥SDN 的可控和可编程特性,提高数据交换算法能力,确保网络的通畅性、安全性和可靠性。