基于SDN网络支撑架构的研究.docxVIP

?

?

基于SDN网络支撑架构的研究

?

?

常春雷马军杨大伟李凯

摘要：作为全新的网络架构形式，SDN的应用愈发广泛。本文针对现实需求，对SDN网络支撑架构的建设和技术保障措施进行了较为深入的研究，希望能够起到抛砖引玉的作用。

关键词：SDN;网络支撑;架构;方案

：TN915.02：A：1671-2064（2018）10-0043-01

按照国家电网的工作部署和要求，全面提升一体化平台的网络传输服务能力、基础设施服务能力、数据资源服务能力、信息集成服务能力、应用构建服务能力和访问渠道服务能力，实现“平台即服务”（PaaS）的工作目标。目前自主虚拟化资源此建设初具规模，但是传统的网络架构，传统网络的部署，需要在网络环境内的每一台设备上进行配置，需要规划整个网络的拓扑、端口的IP地址、路由协议等等，在网络构建和维护过程中都需要人工持续不断的干预。如果要部署新业务（如VPN），则需要对整网配置进行修改。因此需要针对自主虚拟化资源池开展SDN网络技术的研究。

1网络现状分析

（1）传统网络的扩展性有待提升。资源池在传统扁平网络架构中，如果应用网上联交换机的端口采用acceess模式，虚拟机的IP地址只属于一个vlan，IP地址个数;如果应用网上联交换机的端口采用trunk模式，虚拟机的IP地址受交换机端口允许通过的vlan个数限制。（2）传统网络的安全性有待提升。当前资源池主要是将物理资源虚拟成多个虚拟资源提供给用户使用，传统网络无法对虚拟资源进行有效地网络安全隔离及有效地访问控制;导致用户可以任意访问资源池中的虚拟机，且虚拟机之间可以互相访问通信，失去了网络物理隔离的天然屏障，增加了虚拟机之间网络的不稳定性。（3）传统网络的可维护性有待提升。传统网络架构与手工维护方式，导致运维人员需了解各厂商不同型号网络设备的配置方式，对人员技能水平要求较高;同时手工配置工作量庞大，存在操作失误的风险;遇到问题难以快速准确定位，严重依赖运维人员经验。

2网络需求分析

基于自主资源池的新一代SDN网络支撑架构研究，实现自建私有虚拟网络的功能。用户可以根据自身需要，创建多个网络，如直接与用户数据中心物理网络建立映射的提供承载功能的网络，或基于隧道封装技术（VXLAN）的跨二层网络，实现用户灵活组网，降低建设和运维成本。具体新增需求如下：

（1）安全组服务。提供自主虚拟化软件资源池的安全组服务，实现不同等保等级的业务系统在自主虚拟化池中不同私网段的统一管理以及不同安全组之间网络安全访问隔离，保护用户服务不受外部非法访问的攻击，提高了自主虚拟化池整体的网络安全和集中维护能力。（2）防火墙服务。提供自主虚拟化软件资源池的防火墙服务，实现外部网络合法合规访问用户服务，防火墙一般部署于虚拟路由器上，是物理网络网关防火墙在用户虚拟网络中的映射。相较于安全组，防火墙即服务在网关层次上确保用户服务的稳健安全的运行。（3）DHCP服务。提供自主虚拟化软件资源池的DHCP服务，实现自主虚拟化软件资源池动态IP地址分配，建立了业务应用系统分配IP地址的快速精准交付机制;降低IP地址分配管理的难度。（4）路由服务。提供自主虚拟化软件资源池的路由服务，实现各个网络之间互相访问以及公共网络和用户私有网络互相访问的功能。

3SDN网络支撑架构的建设

（1）虚拟网络。实现用戶根据自身需求，合理规划自建私有虚拟网络的功能。用户可以根据自身需要，创建多个网络，如直接与用户数据中心物理网络建立映射的提供承载功能的网络，或基于隧道封装技术（VXLAN，GRE）的跨二层网络，实现用户灵活组网，降低建设和运维成本。（2）虚拟子网。实现在用户自建的网络的基础上，合理划分网段，分配合法的私有地址。私有地址支持以下地址段：10.0.0.0/8-24;172.16.0.0/16-24;192.168.0.0/16-24。（3）虚拟路由。提供用户自定义的各个网络之间互相访问的能力（东西方向）以及公共网络和用户私有网络互相访问的能力（南北方向）。（4）DHCP服务。提供自主虚拟化软件资源池的DHCP服务，实现自主虚拟化软件资源池动态IP地址分配，建立了业务应用系统分配IP地址的快速精准交付机制;降低IP地址分配管理的难度。（5）安全组。实现细粒度控制用户服务的访问控制功能。基于权限最小，白名单的基本原则，保护用户服务不受外部非法访问的攻击，从而实现用户服务的安全。（6）防火墙。在网络及子网，路由，DHCP服务，浮动IP和安全组的基础之上，提供高级的防火墙服务的功能。防火墙即服务一般部署于虚拟路由器上，是物理网络网关防火墙在用户虚拟网络中的映射。相较于安全组，防火墙即服务在网关层次，实现外部网络合法合规访问用户服务，确保用户服务的稳健安全的运行。

4SDN网络支撑架构的技术保障