SDN技术在武警部队数据中心的应用

杨沐晖 韩建彬

（武警指挥学院 天津市 300250）

1 引言

当前，正在开展的“智慧磐石”工程建设，是武警部队推进信息化智能化发展，提升部队有效履行“两个维护”使命任务的战略举措[1]。在总体规划中，武警部队、总队都要完成相应数据中心建设，为部队遂行多样化任务提供作战数据支撑。但是当前条件下，军用数据中心存在规模庞大且分散、设备和应用程序繁多、异构程度高等问题，而且现有军用数据中心采用传统TCP/IP网络架构和技术，一定程度上限制了指挥信息系统信息化、智能化建设发展进程[2]。

软件定义网络（SDN）是近些年计算机网络界研究的一大热点，SDN是一种新型的网络架构，它的出现颠覆了传统网络的设计模式、理念和结构，能够较好解决传统网络存在的问题，为网络设计及管理带来了新的思路和方法[3]。本文以武警指挥信息系统中“智慧磐石”中数据中心建设为背景，对SDN架构的优势进行了分析研究，提出了数据中心网络架构新的设计模式，并对实现方案进行了介绍。

2 SDN关键技术分析

2.1 SDN技术背景

传统的网络架构中，网络硬件设备、操作系统和网络应用三者紧密结合，构成一个封闭的系统。在这样的架构中，网络设备厂商众多，各类设备配置命令繁杂，部署维护难度较大，而且网络状态无法实现可视化，网络资源整合困难，无法根据需求快速做出相应调整改变，严重阻碍了网络应用的创新发展。为了有效解决存在的问题，斯坦福大学Nick McKeown教授团队提出了一种新的网络变革思想SDN[4][5]。SDN是一种拥有逻辑集中式的控制平面，抽象化数据平面的新型网络架构，其主要思想是将网络的控制平面与数据转发平面解耦合，使两个平面间通过统一开发的接口如OpenFlow协议[6]，来实现对网络的编程、控制、配置等操作。

2.2 SDN技术特征

从传统网络向SDN网络架构演化的关系图如图1所示。SDN的结构特性使得网络底层的数据转发平面不再依赖专用的网络设备，网络的控制逻辑集中在软件实现的控制器和应用程序上，从而使得网络功能软件化、虚拟化，网络的创新发展也有了同软件一样的高速更新迭代的优势。

SDN架构具有以下三大特征[7]：

（1）网络开放可编程：SDN提出了一种全新的网络架构和设计理念，用户可以通过统一且开放的接口在SDN控制器上编写应用程序实现对网络的配置、控制和管理，使得应用和网络可以快速对接，从而加快各类网络应用部署和升级的进程；

图1：网络演化示意图

图2：SDN网络架构图

（2）数控层解耦合：摒弃传统网络架构中特定网络功能只能由专用设备来实现的模式，数据转发层可以由基于X86架构的通用转发设备或者虚拟交换机组成，控制平面和数据平面不再紧密耦合，两者可以独立完成各自体系结构的演进，双方只需要遵循统一开放的接口即可；

（3）逻辑集中式控制：摒弃传统网络分布式控制模式，将网络状态集中到控制器上，对整个网络的操控和管理可以简化为对SDN控制软件的操作，网络运维人员可以便捷高速地获取整个网络的状态信息，使得网络运维更加便捷。

因此，可以说只要满足以上三个特征的网络架构都可以看做是符合SDN理念的网络，在上述三个特征中，数控分离是基础，集中控制是核心，可编程是SDN架构的价值所在。

2.3 SDN架构分析

图3：SDN-Overlay模式的数据中心网络设计构想

SDN的目标就是打破现有交换机、路由器等网络设备转发、控制一体化的格局，因为在这种格局下，对网络业务的修改和部署周期较长，网络运维人员需要掌握多种设备的操作指令，无法实现对网络的灵活、快速配置，而且难以实时掌握整个网络的全局视图。针对不同的技术侧重点，不同的组织对SDN的架构和思想进行了差异化定义，其中比较主流的观点是由开放网络研究中心[8]（Open Networking Research Center,ONRC）定义的基于数控分离、集中控制以及由开放接口的SDN架构和开放网络基金会[9]（Open Networking Foundation ,ONF）提出的抽象可编程的SDN架构。图2为SDN通用架构示意图，主要由应用层、北向接口、控制层、南向接口以及转发层五部分构成。其中数据转发层由虚拟转发设备或硬件通用转发设备构成，用户数据报文在该层完成处理和转发工作。此外，该平面通过控制平面接口向SDN控制器发送网络状态信息并接受转发策略。目前应用较为广泛的控制平面接口标准是OpenFlow协议。SDN控制软件是SDN架构的核心元素，一方面负责对整个网络状态进行感知、配置和管理，另一方面还要通过北向接口向上层网络应用提供接口，实现网络的可编程能力。应用服务层主要为用户提供各类网络服务，如负载均衡、网络安全、流量控制等，以实现网络资源的统一集中管控。

3 武警部队数据中心建设

当前武警部队数据中心仍处于起步和发展阶段，在“智慧磐石”工程中，规划的数据中心建设，主要负责收集、汇总、整理、审核、更新、管理和维护本级的基础属性、动态情况和决策支持所涉及的作战数据以及日常办公类业务数据。这些数据中心，一方面是为各类数据资源提供存储和调阅平台，另一方面是为本级或者下级单位遂行任务以及各类作战软件系统提供平台支撑[10]。但是，当前武警部队遂行任务类型繁多，产生的作战数据以及业务数据量十分庞大，对数据中心计算能力和资源灵活调度能力提出了更高要求，而目前总队以下单位的数据中心规模较小，数据处理能力有限，网络管理和维护方面专业性不够高，数据中心存在服务器宕机和网络中断的危险，网络业务重新部署和恢复所耗费的时间较长。

未来随着武警部队任务领域不断拓展，更多动态网络需求不断出现，要求数据中心能够根据任务需求快速做出相应调整和部署，但是依照传统网络架构架设的数据中心网络，需要解决以下问题：

（1）网络资源整合难。当前网络架构无法根据使用单位灵活分配网络带宽和功能模块，各单位只能按照最大需求进行配置，花费较高；

（2）业务部署周期长、难度大。传统数据中心中，设备厂商众多，设备类型繁多，操作命令繁杂，导致网络业务部署和维护难度较大，任何需求的变更都需要人工来对网络架构重新进行配置更改，造成作战需求响应时间较长，无法适应快速变换的战场态势需要；

（3）管理水平低、质量差。现有数据中心运维人员普遍专业性不够高，大部分只是停留在网络软件的使用上，出现问题只能依托上级或者外单位协助解决，数据中心服务质量不够高，存在泄密的风险；

（4）网络状态可视化程度低。传统数据中心只能对单个设备或单个接口进行监测，无法快速对网络流量、网络负载、异常事件、网络攻击进行精准识别和反应，指挥中心难以根据网络全局状态对网络进行精确管理。

为推进指挥信息系统、云计算、大数据等新型技术在武警部队的应用，实现数据的集中可靠管理，越来越多的单位开始规划建设云计算数据服务中心。这就需要数据中心能够根据下级单位需要，提供高效、稳定、可伸缩的网络资源，并且能够实时感知内外环境和网络状态的变化，最终实现根据网络状态及作战任务对网络的自配置、自调整、自优化功能。SDN数控分离、可编程和集中统一控制特点可以很好地解决以上问题并满足建立云计算数据中心的网络需求，使得网络资源从粗放式分配向精准化、资源池化扩展，更好地适应武警部队构建信息化、智能化的发展需求。

4 SDN-Overlay技术在武警部队数据中心应用设想

随着作战任务需求日渐多样化，武警部队现有各类音视频数据、地图数据、情报数据等资源必须进行高效整合。此外，为提高本级与下级建制单位学习办公的效率，充分利用各类资源，数据中心服务器要提供虚拟机以及各类虚拟网络设备，这就需要云服务平台能够提供大量计算、存储、网络和安全资源，并能够根据需求快速进行资源和虚拟机动态迁移。目前SDN最广泛的应用就是在数据中心网络，并取得了众多显著成果，这些技术在武警部队数据中心中的应用部署，将为网络提供更多灵活性和可操控性。

Overlay网络技术的主要做法是在物理网络设备中增加一个由软件实现的虚拟连接层，并通过隧道协议实现虚拟设备互联，从而在已有的共享物理网络上再叠加一层逻辑隔离的虚拟网络[11]。SDN技术配合Overlay网络构建模式不仅拥有Overlay屏蔽底层物理网络差异的特点，还拥有SDN的集中统一控制和可编程的优势。基于SDN-Overlay模式的数据中心网络构建方案如图3所示，为实现数据中心内虚拟机以及网络服务动态迁移时业务不中断，SDNOverlay模式采用基于Vxlan、GRE、NVGRE等隧道技术，在已有网络层之上建立虚拟网络，用逻辑节点和逻辑链路构成Overlay网络。SDN-Overlay架构中，二层接入设备为支持南向接口协议的虚拟交换机，并在其内部署隧道协议，负责将虚拟机、物理资源池（如影像地图数据、情报数据、作战数据等）以及虚拟安全服务设备（如虚拟防火墙等）接入到Overlay网络中。控制器作为网络核心元素，管理和控制整个SDN-Overlay网络，负责路由计算以及策略下发，收集汇总下层设备传送而来的网络状态信息。上层网络应用可以通过调用北向接口从SDN控制器获取网络全局视图，完成对整个数据中心网络的监控、配置和控制，实现数据中心网络的统一、集中管理。

考虑到当前已经建有数据中心的单位，很难将现有传统网络一下子更换到SDN网络，本文提出的SDN-Overlay网络架构可以充分利用现有物理网络，无需对基础网络进行大规模修改，构建的虚拟逻辑网络不仅可以实现业务与网络目标相一致，而且还可以实现物理网络向云化和虚拟化延伸，更好地满足数据中心虚拟机动态迁移和网络资源按需分配的要求。

5 结束语

随着大数据、云计算、人工智能的高速发展，对军用数据中心也提出了更高的要求和挑战，需要在循序渐进的基础上适当采用一些跨越式新型网络技术，才能满足数据中心日益增长的计算、存储和带宽需求。SDN网络架构拥有数控分离、逻辑集中统一和可编程等优势，在军事应用领域有及广阔的发展空间。作为一种在物理网络上叠加虚拟网络的新型技术，SDN-Overlay网络构建模式大大降低了传统网络向SDN网络切换的难度，提高了数据中心网络的规模和灵活性，实现了网络功能的自定义和配置，缩短了网络业务部署的时间。然而SDN-Overlay技术想要真正成为未来军事数据中心核心网络架构还需要克服诸多问题，如安全性、可靠性以及容灾性等问题。因此，需要对SDN以及Overlay技术不断进行研究和探索，只有这样，才能使军事网络信息技术不断进步。