园区网SDN+VXLAN 网络建设的实践与思考

◆陶凯

（中国人民银行武汉分行营业管理部 湖北 430015）

1 SDN 园区网的总体架构

园区网整体网络架构选取“核心层-接入层”两层结构，如图1，核心层配置两台高吞吐量、核心万兆全分布式线速路由交换机，接入各个功能区域，下行链路通过双光纤万兆线路连接接入层交换机，形成高效转发的骨干网。核心层和接入层分别运用网络横向虚拟化技术将多台设备虚拟成一台。

图1 SDN 园区网网络结构图

SDN 网络架构设计为单Leaf 结构（无Spine）。接入层采用VLAN组网，构建基础Underlay 网络，完成用户接入二层VLAN 隔离，与核心层通过路由协议保持连通。核心层采用VXLAN 组网，构建逻辑Overlay 网络，同时采用分布式网关，建立用户安全组，并在策略执行点实现VLAN 至VXLAN 的映射。

SDN 控制中心是整个SDN 网络集中控制管理的关键，实现用户逻辑网络自动配置，策略自动下发，端口按分组进行批量配置。

2 SDN 园区网的实践经验

2.1 网络整体架构选择

目前业界有许多成熟的网络架构和网络虚拟化技术，园区网SDN 解决方案融合了网络虚拟化、网络集中控制、终端准入管控等技术和产品，这是本次网络建设项目选择的主要技术方案。此外，结合园区网特点及网络各层级的角色和功能的不同，核心层需要实现认证点、网关和策略执行点等功能，接入层需要实现VLAN 隔离等功能，因此，在网络设备虚拟化层面分别对核心层、接入层交换机进行横向虚拟化堆叠，以达到规避二层网络环路影响以及简化网络管理的目的。

2.2 哑终端认证策略

IP 终端不经过认证而直接接入网络的传统接入方式存在一定的安全风险，但若通过手工IP+MAC 地址绑定的方式又会降低网络运维效率。SDN 采用收集MAC 地址的方式来实现终端自动准入控制，减少了大量基础运维工作。普通用户PC及服务器等设备接入网络后，通过SDN 控制中心进行MAC 地址准入认证，认证通过后会建立二层VLAN 与VXLAN 的映射关系，获取相应网络访问权限，从而能正常访问网络资源。部分网络打印机、刷卡机终端等设备在MAC 地址认证特性上与普通终端有所区别，并不能很好地适应SDN 控制中心的MAC 地址认证方式，会出现间歇性网络中断现象。为此，我们针对此类哑终端设备采取了免MAC 地址认证方式，直接在策略执行点手工指定该设备的接入VLAN 与VXLAN 的映射关系，从而保证其在SDN 网络架构中能正常访问网络。

2.3 设备利旧对策

对现网中不支持SDN 功能的二层网络设备，若其性能和稳定性满足组网要求，我们仍然将其作为SDN 网络建设的有效补充，达到设备充分利旧，提升资产使用效率的目的。其与支持SDN 功能的二层交换机的差别在于，此类设备不能接受SDN 控制器的纳管，我们需要手工添加设备配置后接入二层网络，且设备的配置及变更都需遵照传统的网络交换机的管理模式进行。但此类二层设备下接的终端仍需按照MAC 地址准入认证方式接入网络。

2.4 备份机制设计

SDN 控制中心软件平台是SDN 网络的核心，因此SDN 控制中心软、硬件设备的冗余备份是SDN 网络安全稳定运行的关键环节。从SDN 硬件设备备份选择上，建议采用物理服务器和虚拟平台架构相结合的模式，这能充分发挥物理机器和集群虚拟机各自的软、硬件优势；从软件平台备份的部署模式上，主控制中心在每日日终的非工作时间段将数据同步给备份控制中心，备份周期为1 天，同步间隔内的数据需要在备份控制中心上重新配置；从主备控制中心切换的实战效果上，已上线用户的访问权限不受影响，新上线用户则需要通过备份控制中心进行认证，保证了切换前后业务的连续一致和数据的安全可控。

3 SDN 园区网的思考与展望

3.1 一种新的体验

传统的网络建设与运维工作中重复配置、频繁变更等繁重的重复性劳动往往让网络管理员苦不堪言，而SDN 智能网络使得自动化部署从理论变成现实。首先，网络建设的工作量大幅下降。管理员告别了复杂的代码工作，所有操作都可在控制中心管理平台上通过直观的图形化界面配置、拖拽等方式完成，在后台转化为网络设备的具体命令批量下发给设备执行，彻底颠覆了以往靠人工在逐台设备上使用命令的配置方式，大大降低了网络管理员的工作强度，同时也避免了人为误操作的风险。

其次，网络运维频度和难度大幅下降。传统的网络环境下，只要网络用户发生位置迁移，网络管理员就需要进行网络参数变更，以保证用户使用的网络权限不发生变化；而在SDN 网络中，用户在不变更部门即网络权限不变仅变更办公位置的前提下，无须变更网络配置就能实现用户无感知的网络迁移。据统计，在SDN 网络架构下，网络变更的频度较传统网络下降了近70%，网络变更的工作量下降了近50%。

3.2 一种新的理念

在传统网络中，IP 地址即是终端位置的标识。因为三层网段往往与位置紧密关联，用户迁移一般会跨越不同的三层网段，此时需要通过修改变更基础网络配置以保证迁移后用户依然能以原来的IP 地址接入网络。基于此，我们认为在传统网络的基础运维中，管理员更关注的是用户的IP 地址而并不在意用户是谁，此时IP 地址决定了终端接入端口属于哪个三层网段，用户具备何种网络访问权限。

在SDN 网络中，用户和应用成为其关注的核心。IP 地址与物理位置解耦，网络本身提供了IP 任意位置访问的能力。所有网络资源跟随用户和应用移动，用户在哪里接入，资源就下发到哪里，真正意义上实现了“网随人动”，“策略随行”。

这种观点的转变，引导网络管理员集中关注用户和应用，即真正体现了应用驱动网络的理念，只要做到用户和应用的接入初始化配置准确无误，在日常运维中一般不需要手动干预。

3.3 一种新的趋势

传统的网络是一种分散管理模式，交换机、路由器、防火墙等主要设备的功能相对独立，随着信息化规模的扩大，网络运维难度会不断增加。大数据、云计算、虚拟化技术的应用落地给网络智能化建设提供了全新的借鉴和思路。首先，网络控制层面和转发层面解耦分离，由SDN 控制器履行全网统一管控职能，提供全局的视角管理和资源调度，提升整网的决策能力；其次，网络资源池化以构建弹性网络，底层的基础网络采用VXLAN、隧道等技术，抽象出逻辑层面相互独立的若干网络，以解决现代企业中办公OA 网络、业务生产网络、视频监控网络等多场景网络并举的应用需要，成为新时代网络发展的前沿趋势。

下一步，我们将在SDN 网络的核心架构下结合具体业务应用需求，不断探索推进金融业基础网络的智能化发展。一是加速网络与应用相互联动。通过SDN 北向接口与应用云平台对接，探寻业务系统与底层网络的直接调用与信息交互的便捷通道，运用开放可编程的灵活手段合理部署网络资源，按需定制应用服务。二是创新网络智能运维监控手段。在SDN 控制平台的基础上，不断提升网络数据采集能力，充分利用大数据、AI 等技术手段开展网络数据智能分析，引入网络安全事件的决策、反馈、预警机制，提升网络安全事态感知水平和能力，保障网络基础设施稳定运行。