【《SDN网络系统设计案例分析》5500字】

SDN网络系统设计案例分析目录TOC\o"1-3"\h\u11881SDN网络系统设计案例分析 1132641.1物理架构设计 1262111.2SDN网络设计 2124831.3交换网络设计 4276591.4三层路由设计 6268621.5网络安全设计 7某金融机构成立至今已十五年有余，十五年的耕耘发展让该机构的业务类型及业务量有了天翻地覆的变化，成立之初，该机构主要是为了解决当时全国的农村金融机构孤立的状态，为全国的农村机构之间实现跨行转账提供通道，乘着中国飞速发展的东风，目前该机构已经由创立之初的单一数据中心发展为两地双活数据中心，业务系统种类由原来单一的银行之间的跨行转账发展成为银行与支付机构之间提供实时的资金清算，逐渐发展成为国家不可缺少的重要金融基础设施。经过十五年的风吹雨打，该金融机构的数据中心网络经历的多次重大的变更和发展，目前承载着该金融机构7*24小时的全业务系统的稳定运行，随着中国经济的腾飞，该金融机构的业务量也实现了巨大的飞跃，以基本每年翻一番的速度飞速发展，如此快速的发展对该金融机构的网络提出了更高的要求，现有的网络架构仍采用传统网络架构设计，可扩展性和性价比均不友好，基于此种情况，该金融机构需要对网络系统进行一次大的换血升级，以期通过这次升级建设来满足未来五到十年该金融机构业务发展的要求。物理架构设计SDN网络区域总体采用H3CSDN数据中心解决方案部署，未来将承载本单位各类生产业务系统。基于当前SDN网络的最新架构，采用Border-Spine-Leaf三层架构和VXLAN技术相结合构建一套Fabric网络，实现网络资源的池化，以提供网络资源的接入共享；SDN网络中，Underlay网络采用OSPF（OpenShortestPathFirst开放式最短路径优先）协议打通，Overlay网络使用BGP（BorderGatewayProtocol，边界网关协议）EVPN（EthernetVirtualPrivateNetwork,以太网虚拟专用网络）协议，实现ARP和路由信息等的自学习；在物理网络中，交换机的角色分为Border交换机、Spine交换机和Leaf交换机，在本论文讨论的项目中，Border交换机使用两台H3CS10506系列交换机，采用IRF方式组网部署，用于SDN网络内部和外部网络的交互，提供设备级的可靠性；Spine交换机使用两台H3CS12504X-AF交换机，采用双活模式，提供设备级可靠性，提供40G网络接入能力，并支持实现Leaf交换机的横向扩展；每套Leaf交换机使用两台H3CS6800系列交换机采用IRF方式组网部署、提供设备级可靠性，上联为40G链路，下联提供全光纤万兆接入，Leaf交换机又分为ServerLeaf交换机和ServiceLeaf交换机两种，其中，ServerLeaf交换机用于服务器接入，ServiceLeaf交换机用于东西向流量防火墙、负载均衡、SSL卸载等设备的接入。基于上述设计原则，完成SDN网络的物理架构设计如图2-1。图2-1SDN网络物理架构图SDN网络设计SDN网络架构如图2-2所示,整体架构是应用层、控制层和基础设施层三层架构。北向接口实现应用层和控制层之间的通信，南向接口实现控制层与基础设施层之间的通信，在通常的SDN架构实现中，南向接口大都采用Openflow协议[9]。图2-2SDN三层架构本论文中所讨论的SDN网络采用分布式VXLAN网关部署方案，每套ServerLeaf既是VXLAN的二层网关，同时又作为VXLAN的三层网关，流量在ServerLeaf接入交换机上同时实现二层流量和三层流量的转发；SDNVXLAN控制平面采用BGPEVPN动态路由学习MAC、ARP、主机路由、网段路由表项，减少未知单播和广播流量；每个Spine交换机分别与Leaf交换机、Border交换机建立BGPEVPN邻居，并把各自的loopback接口地址宣告进BGPEVPN，通过三层路由ECMP冗余路径提高网络的可靠性；默认情况下，为了实现互联互通，所有IBGP对等体之间均需要建立连接关系，这就带来连接的数量随着IBGP数量的增多而呈指数级的增长，非常不利于维护，在本论文所讨论方案中选择2台Spine交换机设备作为BGP路由反射器，负责Leaf交换机与Border交换机之间的EVPN路由传递工作；由于不同厂商设备兼容性的问题，本论文所讨论的SDN网络中的防火墙和负载均衡设备暂时无法被SDN控制器纳管，无法自动下发配置信息，导致交换机与防火墙和负载均衡设备互联时，仍采取人工手动配置的方式，这算是本论文中SDN网络设计中的一点遗憾，在具体的应用场景里，会结合Vrouter-Link、策略路由等技术方式实现业务流量按需经过东西向防火墙和负载均衡设备；Border交换机作为SDN网络的边界设备，与现有数据中心内部的核心交换机之间采用四条万兆光纤互联，运行OSPF协议，将SDN区域内部的路由自动发布出去，同时自动学习数据中心内其他网络区域的路由信息，SDN网络设计如图2-3。图2-3SDN网络设计图交换网络设计图2-4SDN交换网络设计图传统网络中因设备数量较少，每台交换机设备独立管理，随着数据中心交换机设备的增加，为了提升运维管理效率，通过堆叠技术（本论文中为H3C的IRF2技术）将相同功能节点的交换机设备堆叠成为一台虚拟的逻辑设备，既可以实现网络设备的冗余，也可以通过对这一台虚拟逻辑设备的管理实现对堆叠中所有的物理设备的管理，极大的提升运维效率，简化整网拓扑。本论文中所讨论的SDN交换网络采用IRF2虚拟化技术，在不改变网络物理拓扑连接条件的前提下，通过将相同功能节点的多台物理设备横向组合成一台逻辑设备，从而实现多台设备的协同工作、统一管理；同时，IRF组中成员设备多条链路可以被捆绑成单条逻辑链路，提高设备和链路的冗余性和可靠性；消除复杂的VLAN+MSTP/VRRP配置，收敛时间大幅度降低；数据中心范围内的路由和VLAN规划也得到了极大的简化。IRFdomain设计：IRF域是一个逻辑概念，在同一张网络里可以有多个IRF域，IRF域通过域编号（DomainID）来进行标识，不同的IRF域通过不同的（DomainID）来进行区分，IRF域编号虽然是本地有效，但为了避免两个IRF组中各自的物理成员设备之间发送的检测报文被另外的IRF接收到，对两个IRF组的检测造成影响，一般同一个网络里的不同IRF域规划不通的域编号，以保证两个IRF之间互不干扰。IRF成员编号设计：IRF系统使用成员编号（MemberID）来对成员设备进行标识和管理，通过此种方式实现对不同设备的区分和管理；IRF建立成功的前提是成员设备的成员编号不能一样，否则IRF将会创建失败；为了保证一台新设备能够成功加入已经建立成功的一个IRF组中，需要保证该设备的成员编号与IRF组里成员设备的编号保持不同，否则会出现成员编号冲突的情况，导致该设备不能成功加入IRF组内，基于此种情况，一定要提前规划好设备的成员编号，并按照规划设计人工进行配置，避免此类编号冲突的情况发生。本论文中所讨论网络中IRF设备均采用两台设备组成IRF，因此成员编号规划为1和2，其中IRF主用设备成员编号为1；如有超过两台设备组成IRF，成员编号从3开始往后使用。IRF分裂检测设计:IRF本身是由多台成员设备整合的一套网络系统，相互之间通过多条线缆进行互联，当互联线缆出现故障时，原来一套的IRF组将分裂为多个新的IRF组，如果不及时进行处理，分裂产生的多个新的IRF互相之间会产生冲突，导致网络故障，为了避免这种情况的发生，有必要引进一种检查手段，对IRF的链路状态进行监控，及时发现IRF分裂的情况，及时采取有效措施对分裂产生的多个IRF组进行相应的处理，降低IRF分裂对整个网络系统的影响，MAD就是IRF分裂检测的一种手段，可以及时的发现问题，并自动采取措施进行问题解决。在本论文中所讨论网络的IRF分裂检测我们采用BFDMAD技术，每台IRF成员设备采用两条万兆专用BFDMAD检测线，BFDMAD检测IP地址从IP地址规划中设备私有心跳地址段中选用。三层路由设计图2-5SDN三层路由设计图本解决方案中涉及的三层路由协议有静态路由、OSPF、BGP。具体路由设计如下：静态路由：Border交换机与旁挂防火墙之间、ServiceLeaf交换机和防火墙、负载均衡及SSL卸载设备之间运行静态路由协议，并将与防火墙、负载均衡及SSL卸载设备互通的静态路由引入OSPF。OSPF：Border交换机与数据中心核心交换机之间采用OSPF路由协议，在本论文中规划进程号为1，规划区域AREAID号为0，通过OSPF协议向数据中心核心交换机动态发布SDN网络区域的内部路由，同时动态学习数据中心核心交换机传递过来的其他网络区域的路由信息；Border交换机采用多进程OSPF，本区域内部运行一个OSPF进程，进程号规划为100，与SDN网络内部的Spine交换机和Leaf交换机共处于OSPF进程100中，通过OSPF协议打通SDN网络的UNDERLAY网络，同时将本区域内部路由引入与数据中心核心交换机运行的OSPF进程1中；OSPF进程中启用NSR（NonstopRouting，不间断路由）功能，NSR功能可以将路由信息从主进程备份到备进程，保证主备进程的路由信息实时同步，当设备发生主备倒换时，保证路由信息不丢失，解决了设备主备倒换期间引发的路由震荡问题，保证了转发业务不中断，提高业务连续性；OSPF接口类型设置成P2P，节省网络开销，OSPF邻居需要启用MD5认证，以提升网络本身的安全性。BGP:SDN网络内部Underlay网络使用OSPF协议进行打通，Overlay使用BGPEVPN协议进行路由信息同步、MAC地址ARP学习。BGPEVPN协议数据转发层面使用VXLAN技术，控制层面使用MP-BGP进行路由管理。BGP路由协议配置：各VTEP（VXLANTunnelEndPoint，VXLAN隧道端点）设备（EPVN的边缘设备）之间配置IBGP连接，将Spine交换机配置为BGPRR（RouteReflector，路由反射器）向各个Leaf交换机及Border交换机反射BGP路由；本论文中需配置BGP的不间断路由（BGPNSR）功能，NSR功能可以将维持BGP邻居所需的必要的协议状态等信息同步在BGP的主进程和备进程之间进行备份，这样当BGP主进程异常时，备进程可以快速的接管业务，保证网络系统内路由状态的稳定，并保证路由转发过程汇总不会出现中断，提高网络系统的可靠性，提升业务连续性；本论文保持默认BGP版本version4；保持默认BGP路由优先级，保持BGP默认的各种timer参数；BGPRouterID采用统一规划的路由器Loopback接口地址；使用统一规划的路由器Loopback接口地址作为IBGPPeer地址；使用设备互联的直联端口IP地址作为EBGPPeer地址；同时为每个BGP邻居配置描述信息，方便后续运维查询等，为BGP邻居增加MD5验证，提高网络自身的安全性。BGP路由控制策略：BGPEVPN路由策略通过SDN控制器VCFC自动统一下发；通过vpn-target值进行不同虚拟路由器的访问控制；通过路由策略（route-policy）对不同租户的路由发布进行限制。BGPAS号规划：65001网络安全设计在金融行业数据中心网络架构设计中，安全是重中之重，从多维度对网络安全进行设计，完善安全访问控制手段，在保证设备和系统安全的基础上，从网络物理架构和路由设计层面规划流量的走向，以符满足等级保护的要求。本论文中所讨论的SDN网络，从大的流量访问模型来看，网络流量主要分为两种：南北向流量和东西向流量。针对于此两种流量模型，又需要细分流量场景，进行网络安全设计。南北向访问控制：SDN网络区域与区域外部互访流量定义为南北向流量，通过SDN网络区域Border交换机旁挂硬件防火墙，用于对SDN网络区域内部和SDN网络区域外部的业务流量访问进行访问控制，基于五元组（源IP地址，源端口，目的IP地址，目的端口，和传输层协议），实现访问控制颗粒度为IP+端口级的安全控制。南北向访问控制场景分为如下几种情况：场景一SDN网络区域内部和外部机器直接互访（不经过负载均衡）图2-6SDN网络区域内部和外部机器直接互访（不经过负载均衡）流量模型如图2-6所示，SDN网络区域内部和SDN区域外部直接进行互相访问时，相当于两个不同的安全域之间实现互访，安全访问控制需严格设置访问策略，基于性能和可靠性的考虑，通过Border交换机旁挂的硬件防火墙进行访问控制，根据应用系统的需要开通IP+端口+协议级别的访问控制策略，默认SDN网络区域内部和SDN区域外部不能通信。场景二SDN区域外部访问SDN区域内部（经过负载）图2-7SDN区域外部访问SDN区域内部（经过负载均衡）流量模型当SDN网络区域外部访问SDN区域内部需经过负载均衡时，以图2-7流量模型为例，需将Vrouter725和vlan725互联，SDN网络外部主机访问SDN网络内部时，目的地址为负载均衡的VS地址，经过南北向防火墙的访问控制，通过SDN区内部的负载均衡（LB）将请求分发至真实服务器，实现负载均衡功能。东西向访问控制：SDN网络内部主机互相访问定义为东西向流量。SDN网络区域内部为了实现资源共享，网络资源和计算资源池化，所有网络资源和计算资源物理上不做隔离，基于数据中心层面的安全考虑，需要对不同安全等级的资源进行逻辑隔离，一方面，通过SDN网络内部的VPC功能，将不同安全等级的资源划分到不同的VPC，VPC之间天然隔离，默认情况下无法互相访问，如有跨VPC访问需求，需经过SDN网络的东西向防火墙进行访问控制，基于五元组（源IP地址，源端口，目的IP地址，目的端口和传输层协议），实现访问控制颗粒度为IP+端口+协议级别的访问控制策略；另一方面，特殊情况下，若同一VPC内部需进一步实现访问控制，可以通过灵活启用服务器的安全组功能，实现更高级别的安全防护。东西向访问控制场景分为如下几种情况：场景一不同VPC过东西向防火墙和负载均衡访问图2-8不同VPC过东西向防火墙和负载均衡访问如图2-8所示，在本项目中，因为防火墙（FW）和负载均衡（LB）硬件自身的原因，既不支持虚拟化，也不支持VPN实例隔离。所以在做东西向流量访问控制的时候需要采用以下方式：防火墙（FW）互联地址，负载均衡（LB）互联地址和VS（virtualserver）地址通过ARP发布上线，Vrouter1181访问负载均衡（LB）的VS地址时，使用单跳服务链（PBR+CIDRVrouter-link）实现；负载均衡（LB）访问真实服务器地址时，使用Vrouter-link，即Vrouter72