论文部分内容阅读
摘要:葫芦岛市联通公司IP网络现在存在诸多问题,通过将来部署SDN是解决这些问题的最有效办法,该文对SDN的相关概念及优势,IP承载网和IP城域网基于SDN部署进和网络的安全及可靠性行了详细的阐述。
关键词:SDN;NFV;OpenFlow
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)31-0033-02
1 概述
由于当前葫芦岛市联通公司IP网络由645台网络设备组成,分别由华为、中兴、贝尔、烽火等多个厂家提供,比较复杂,网络协议众多,网络管理运维困难,网络创新业务部署太慢,分布式最短路径算法带来的网络拥堵等诸多问题。部署SDN正是解决这些问题的最有效办法,它是网络架构的变革,解决IP面临的本源问题。提供了从应用到物理网络的自动映射、资源池化部署和可视化运维,协助管理构建以业务为中心的网络业务动态调度能力。使本地网络可以根据自身业务发展,灵活部署和调度网络资源,让承载网更敏捷的为所承载的数据、语音和视频业务服务。
2 SND概述
2.1 SDN定义
SDN是Software Defined Network缩写,即软件定义网络。SDN是一种新型的基于软件可编程思想的网络架构,它有一个集中式的控制平面和分布式的转发平面,两个平面相互分离,可以实现控制平面对数据平面的集中化控制,并提供开放的编程接口,为网络提供灵活的可编程能力,具备以上特点的网络架构都可以被认为是一种广义的SDN。SDN架构由四个平面组成,即数据平面、控制平面、应用平面三个平面以及右侧的控制管理平面。
2.2 NFV定义
NFV是Network Function Virtualization的缩写,即网络功能虚拟化,是指通过使用x86等通用性硬件以及虚拟化技术,将传统以专用硬件实现的功能通过通用CPU和软件实现,从而降低网络昂贵的设备成本,并能够实现通用硬件资源的共享和动态分配,从而实现新业务的快速开发、部署和弹性扩展。NFV多应用于以计算分析为主的信息处理网络。
2.3 OpenFlow协议
OpenFlow协议是基于网络中“流”的概念设计的一种SDN南向接口协议,OpenFlow交换机利用基于安全连接的OpenFlow协议与控制器互相通信。OpenFlow协议及其他相关协议将网络控制平面和数据转发平面分离开来,实现网络流量的集中式灵活控制,为网络及应用的创新提供了良好的平台。SDN架构及其相关技术为VPC的实现提供了解决途径,能够实现网络高度虚拟化和灵活管控的需求。
2.4 SDN的技术优势
中国联通新一代网络架构演进的愿景,其内涵包括:面向客户体验的泛在超宽带网络,面向内容服务的开放商业生态网络,面向云服务的极简极智弹性网络。CUBE-Net2.0的目标是:增强网络服务能力和降低网络运营成本,实现网络运营的持续健康发展。通过构建面向云端双中心的解耦与集约型网络架构,为终端与云服务的智能交互,为整个ICT行业提供弹性高效、灵活敏捷、安全可信并融合了计算/存储能力的智能宽带基础设施,实现“网络即服务”。基于SDN的数据中心网络,应该能够对底层的资源进行实时的调度,以满足业务对网络灵活多变的需求。其中,SDN控制平面应该能够实时地维护数据中心的全局资源视图,并根据实时的链路带宽,结合业务需求对设备的转发逻辑进行实时的调整。SDN数据平面的转发设备应该能够根据控制平面策略,对转发表、队列等资源进行实时的调整。同时考虑到与NFV的融合,基于SDN的数据中心网络应该能够支持定制化的服务链,引导业务流量经过相应的服务节点。进行SDN改造后,无需对网络中每个节点的路由器反复进行配置,网络中的设备本身就是自动化连通的。只需要在使用时定义好简单的网络规则即可。如果你不喜欢路由器自身内置的协议,可以通过编程的方式对其进行修改,以实现更好的数据交换性能。
3 葫芦岛市IP承载网引入SDN场景
葫芦岛IP承载A网是面向大客户和DCI的承载网络,通过对现网设备的改造或替换,开发SDN控制器,实现A网向SDN演进。如图2。
IP承载A网实现SDN化后,可利用联通自主开发的编排协同器,对DC内交换网络、UTN和IP承载A网(包括DCI)实现跨域的端到端控制。如图3所示。
IP承载B网向SDN演进可参考IP承载A网的演进方式,具体方案待研究。
4 葫芦岛市IP城域网络引入SDN场景
葫芦岛IP城域网中16台BRAS和10台SR等网络设备首先應进行网络虚拟化的演进,即:将业务控制层从设备上分离,业务控制由独立控制网元控制,数据转发由普通的转发设备进行。
城域网络承载最46.8万的客户业务,网络也比较复杂,宜在其他IP网络SDN化取得成功后,再考虑对城域网络进行SDN化的升级。
5 安全要求
由于引入了新的调度机制、增加了新的网元和接口,SDN不仅要面对传统的网络安全威胁,还要面对新的安全问题、攻击方式和安全风险。
5.1 针对控制器的攻击行为
拒绝服务攻击:攻击者通过向控制器发送大量无效的流表生成请求等方式消耗控制器的系统资源,从而影响控制器正常功能的实现;
非法入侵:由于控制器在SDN网络中占有举足轻重的地位,其也会成为攻击者重点的攻击目标,而一旦控制器被攻入,对网络整体的影响和危害也将远大于传统网络;
5.2 北向接口安全
北向接口通过向第三方服务商提供应用API,使得用户可以享受更加丰富的网络服务,但同时也为网络安全带来了隐患。第三方服务商为提供网络应用服务需要访问SDN控制器,用以进行下发网络策略等操作,此时第三方服务商内部的系统漏洞、员工恶意行为等问题将可能成为攻击者入侵控制器的突破口,进而导致网络单元无法正常工作或用户隐私信息泄露;
关键词:SDN;NFV;OpenFlow
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)31-0033-02
1 概述
由于当前葫芦岛市联通公司IP网络由645台网络设备组成,分别由华为、中兴、贝尔、烽火等多个厂家提供,比较复杂,网络协议众多,网络管理运维困难,网络创新业务部署太慢,分布式最短路径算法带来的网络拥堵等诸多问题。部署SDN正是解决这些问题的最有效办法,它是网络架构的变革,解决IP面临的本源问题。提供了从应用到物理网络的自动映射、资源池化部署和可视化运维,协助管理构建以业务为中心的网络业务动态调度能力。使本地网络可以根据自身业务发展,灵活部署和调度网络资源,让承载网更敏捷的为所承载的数据、语音和视频业务服务。
2 SND概述
2.1 SDN定义
SDN是Software Defined Network缩写,即软件定义网络。SDN是一种新型的基于软件可编程思想的网络架构,它有一个集中式的控制平面和分布式的转发平面,两个平面相互分离,可以实现控制平面对数据平面的集中化控制,并提供开放的编程接口,为网络提供灵活的可编程能力,具备以上特点的网络架构都可以被认为是一种广义的SDN。SDN架构由四个平面组成,即数据平面、控制平面、应用平面三个平面以及右侧的控制管理平面。
2.2 NFV定义
NFV是Network Function Virtualization的缩写,即网络功能虚拟化,是指通过使用x86等通用性硬件以及虚拟化技术,将传统以专用硬件实现的功能通过通用CPU和软件实现,从而降低网络昂贵的设备成本,并能够实现通用硬件资源的共享和动态分配,从而实现新业务的快速开发、部署和弹性扩展。NFV多应用于以计算分析为主的信息处理网络。
2.3 OpenFlow协议
OpenFlow协议是基于网络中“流”的概念设计的一种SDN南向接口协议,OpenFlow交换机利用基于安全连接的OpenFlow协议与控制器互相通信。OpenFlow协议及其他相关协议将网络控制平面和数据转发平面分离开来,实现网络流量的集中式灵活控制,为网络及应用的创新提供了良好的平台。SDN架构及其相关技术为VPC的实现提供了解决途径,能够实现网络高度虚拟化和灵活管控的需求。
2.4 SDN的技术优势
中国联通新一代网络架构演进的愿景,其内涵包括:面向客户体验的泛在超宽带网络,面向内容服务的开放商业生态网络,面向云服务的极简极智弹性网络。CUBE-Net2.0的目标是:增强网络服务能力和降低网络运营成本,实现网络运营的持续健康发展。通过构建面向云端双中心的解耦与集约型网络架构,为终端与云服务的智能交互,为整个ICT行业提供弹性高效、灵活敏捷、安全可信并融合了计算/存储能力的智能宽带基础设施,实现“网络即服务”。基于SDN的数据中心网络,应该能够对底层的资源进行实时的调度,以满足业务对网络灵活多变的需求。其中,SDN控制平面应该能够实时地维护数据中心的全局资源视图,并根据实时的链路带宽,结合业务需求对设备的转发逻辑进行实时的调整。SDN数据平面的转发设备应该能够根据控制平面策略,对转发表、队列等资源进行实时的调整。同时考虑到与NFV的融合,基于SDN的数据中心网络应该能够支持定制化的服务链,引导业务流量经过相应的服务节点。进行SDN改造后,无需对网络中每个节点的路由器反复进行配置,网络中的设备本身就是自动化连通的。只需要在使用时定义好简单的网络规则即可。如果你不喜欢路由器自身内置的协议,可以通过编程的方式对其进行修改,以实现更好的数据交换性能。
3 葫芦岛市IP承载网引入SDN场景
葫芦岛IP承载A网是面向大客户和DCI的承载网络,通过对现网设备的改造或替换,开发SDN控制器,实现A网向SDN演进。如图2。
IP承载A网实现SDN化后,可利用联通自主开发的编排协同器,对DC内交换网络、UTN和IP承载A网(包括DCI)实现跨域的端到端控制。如图3所示。
IP承载B网向SDN演进可参考IP承载A网的演进方式,具体方案待研究。
4 葫芦岛市IP城域网络引入SDN场景
葫芦岛IP城域网中16台BRAS和10台SR等网络设备首先應进行网络虚拟化的演进,即:将业务控制层从设备上分离,业务控制由独立控制网元控制,数据转发由普通的转发设备进行。
城域网络承载最46.8万的客户业务,网络也比较复杂,宜在其他IP网络SDN化取得成功后,再考虑对城域网络进行SDN化的升级。
5 安全要求
由于引入了新的调度机制、增加了新的网元和接口,SDN不仅要面对传统的网络安全威胁,还要面对新的安全问题、攻击方式和安全风险。
5.1 针对控制器的攻击行为
拒绝服务攻击:攻击者通过向控制器发送大量无效的流表生成请求等方式消耗控制器的系统资源,从而影响控制器正常功能的实现;
非法入侵:由于控制器在SDN网络中占有举足轻重的地位,其也会成为攻击者重点的攻击目标,而一旦控制器被攻入,对网络整体的影响和危害也将远大于传统网络;
5.2 北向接口安全
北向接口通过向第三方服务商提供应用API,使得用户可以享受更加丰富的网络服务,但同时也为网络安全带来了隐患。第三方服务商为提供网络应用服务需要访问SDN控制器,用以进行下发网络策略等操作,此时第三方服务商内部的系统漏洞、员工恶意行为等问题将可能成为攻击者入侵控制器的突破口,进而导致网络单元无法正常工作或用户隐私信息泄露;