熊焕 裴波

军事通信核心网指的是承载军事应用系统,连接各类军事单元和作战实体,服务于军事作战和日常值勤维护,发挥基础承载作用的通信网络,是实现军队信息化的重要基础支撑,是发挥战斗力的物质基础[1].高科技条件下的战争,信息化程度越来越高,战场形势瞬息万变,一日千里.作为承载军事应用系统的军事信息网络,为应对新形势的变化,要求高性能、高可靠性、精细化质量保障能力、网络资源快速调配能力、网络特性快速开发能力.传统一般基于IP技术构建数据通信网络.一方面IP技术的产业化和标准化程度较高,另一方面IP网络设备的网络性能例如转发能力和转发时延也能够达到较理想的程度.但由于IP协议体系在设计时的缺陷,存在着难以严格地区分业务类型、服务质量保障能力不足、网络资源调配速度较慢等问题,越来越不适合军事通信核心网需求的快速发展.亟需寻找一种新的网络架构.

1 SDN网络架构

软件定义网络(Software Defined Network,SDN)是一种网络架构,而不是一种特定的技术.它的提出是为了解决网络的复杂性,简化网络的配置和使用,实现由用户控制的网络转发.其主要特点包括:转发与控制分离、逻辑上的集中控制、接口开放和可编程[2].转发与控制分离指的是将网络设备上的控制功能从设备上分离出去,由外部的控制实体对网络设备的转发行为直接进行控制.逻辑上的集中控制指的是全网只有一个逻辑上的集中控制点,但在物理上可能分布在多个实体或多个线程当中.接口开放指的是网络设备的控制接口对外界开放,尤其是控制器控制平面与网络设备转发平面之间交换的接口需要开放.可编程指的是将整个网络视为一个可编程的实体,新的网络特性可通过编程加以实现.

为实现SDN,目前业界常见的做法是将网络设备的转发能力抽象为流表[3].单个流表项由表头、计数器和操作三部分组成,如图1所示.表头用于匹配和区分具体的业务流,可匹配的选项有10个字段,涵盖物理层、数据链路层、网络层和传输层,可精确匹配和识别业务类型.计数器用于统计被匹配业务流的转发报文数和字节数.对流的操作包含在操作字段中,包括转发报文到特定端口、转发报文到控制器、丢弃报文,以及将报文转到正常的处理流程.

SDN架构自从问世以来,较成功的实践多集中于园区网[4]、数据中心局域网[5]、广域数据中心[6]等具备集中控制能力和条件的网络环境,此外SDN理念也延伸到计算机网络之外的通信领域,如电力通信网[7]、无线通信网[8]、光通信网[9]等,取得了较好的应用效果.这些成功应用案例的共同特点可以总结为:1)所有网络设备均处于一个管理域内,能够以较小的阻力部署网络基础协议体系;2)业务流量变化复杂,有强烈的流量优化调整需求;3)经典传统的底层通信协议体系对需求变化的响应较为迟缓.对比上述成功应用,在市场更为广阔的广域网领域,SDN的应用前景并不明朗.由于广域网包括了多个管理域,在一个管理域内单独部署SDN架构可能与其他的管理域之间产生兼容性问题.且业务流量在管理域之间的流向一般由计费模式决定,没有更多优化调整的空间,因此,对SDN架构的需求不足,其优势难以发挥.而在军事通信领域,一方面有强烈的网络和流量管控需求[10],另一方面由于军事通信核心网的特异性,SDN架构能够发挥大的作用.目前关于SDN技术在军事领域的研究尚处于起步阶段,未见规模应用.文献[11]在分析SDN技术特点的基础上,提出了网络靶场、私有网络、军用服务中心等应用场合,但未给出具体应用实现.

2 军事通信核心网的特异性

无论从产业链完善程度,还是从标准规范角度考虑,基于IP技术构建军事通信核心网几乎是唯一可行的选择.然而当IP网络赖以生存和发展的固有特性和优点应用于军事通信核心网中时,又遇到了很大的障碍,这很大程度上是由军事通信核心网的特异性决定的.

2.1 集中管控特性

军事信息网络的建设带有非常明确的目的性,即服务于作战需要,明确的目的性带来的是统一的管理意志.在集中管控体系下,顶层网络管理人员有权力对网络的整体和局部进行配置、调整和变更,下级网络管理人员必须服从,实施配合性的配置工作,对网络进行任何配置都必须上报并批准.由于军事特色,网络管理人员希望对网络的控制能够一步到位,迅速展现变更的效果.而在IP协议体系下,通常通过控制路由协议、调整协议参数的方式间接控制网络流量.网络管理人员难以直接控制流量的走向.另外,在具体配置时,需要由分散在不同路由器节点上的网络管理人员独立开展配置工作,逐台配置,费时费力、容易出错,而且难以协调同步,很可能当一部分路由器节点完成配置,而另一部分路由器节点还维持在原有状态,造成全网状态不同步,带来难以预计的后果.SDN架构采取逻辑集中、物理分散的管理架构,能够统一管理全网设备,直接对网络设备的转发行为进行控制,控制指令可以并行下发,在极短时间内全网生效.

2.2 资源快速调配需求

军事通信核心网服务于军事任务和军事热点,而军事任务和军事热点具有临时性和不可预见等特点,比如当发生局部冲突、重大军事演习、抗震救灾等突发情况时,需要在短时间内调配大量网络资源进行保障.基于IP技术构建的承载网络,其收敛过程需要全网所有的路由器进行大量的协议计算,耗费大量的网络资源,而且在收敛过程中网络服务能力将急剧下降.因此,IP网络的核心网络需要保持稳定,当需要调配资源时,一般通过带宽扩容或调拨专线的方式实现,时效性上难以保证而且容易造成浪费.SDN架构可以通过控制流量的走向,以负载分担的方式将热点地区的流量分散到空闲链路上,实现高效快速的资源调配.

2.3 精细化服务质量保障需求

在例如重要人物出行、重大任务保障等场合,需要针对特定人员、特定业务类型进行端到端细粒度保障.保障要素包括时间、人员、起点、终点、业务、带宽等.IP网络一般通过目的地址进行寻址,在保障要素增多的情况下,需要制定复杂的访问控制列表(Access Control List,ACL)来对人员、地点和业务进行识别,同时通过RSVP、MPLS等手段进行带宽预留,预留出的带宽还需要和保障要素进行匹配,配置工作较为复杂.在SDN架构下,可以通过流表匹配保障要素,通过流表中的计数机制实现带宽保障,简化了实现过程.

2.4 业务模式清晰,业务类型相对简单

相比互联网复杂多变的业务类型,军事信息网络中运行的业务类型相对较少,有时甚至只需要重点保障一到两类重要的业务.另外在遭受军事打击导致网络损伤、能力下降时,只能保障关键业务,过滤其他次要业务,以保障最低限度通信.IP网络不识别业务类型,对所有业务实施尽力而为的平等转发机制,此特性不适用于军事通信核心网.在SDN架构下,可以用流表匹配不同的业务类型,并通过指定转发方式,使不同的业务流量经过不同的路径,实现区别转发.

2.5 网络特性快速更新

由于军事需求的变化,网络中往往需要快速部署新特性.在IP架构下,路由交换设备以功能黑盒的形式出现,并不开放开发接口,特性的增加和修改只能由路由器制造商完成,过程漫长,更新速度慢.如果网络中的设备由多家设备制造商生产,则每个厂家都需要对其产品进行修改,并且不同厂家产品之间在新特性的兼容性上很有可能出现问题,进一步拖延部署进度.在SDN架构下,网络设备只实现转发功能,对网络设备进行控制的接口是开放的,控制器通过调用控制接口实现对设备的控制.第三方厂商也可以利用开放的接口进行二次开发,快速实现新特性.

综合上述分析,将IP架构与SDN架构应用于军事通信核心网架构的特性对比总结如表1所示.通过分析可见,相比IP架构,SDN架构更适合用于搭建军事通信核心网.

表1 IP架构与SDN架构对比

3 SDN架构下的军事通信核心网

3.1 SDN网络架构

提出一种基于SDN的军事通信核心网架构,如图2所示,该架构主要包括SDN网络控制器、SDN路由器、流表规则库和保障要求模板.参与架构运行的人员包括网络管理人员和军事人员.

3.1.1 SDN网络控制器

在军事通信核心网中应用SDN架构,首先需要建立逻辑集中、物理分散的管控体系,主要通过在核心管控节点设立逻辑集中的SDN网络控制器来实现.SDN网络控制器集成了路由交换设备控制平面的功能,能够对支持SDN功能路由器的转发行为进行流级别的控制.为避免单点故障和性能瓶颈,在网络中设立多个SDN网络控制器,SDN网络控制器之间通过东西向接口(east-west bound interface)互联[12],交换控制信息,形成一主多备的控制结构.SDN网络控制器由网络管理人员管理和控制.

3.1.2 SDN路由器

SDN路由器是指实现了转发和控制功能分离的路由设备.SDN路由器本身只负责数据和报文转发工作,其控制功能主要由SDN网络控制器来完成.SDN路由器和SDN网络控制器之间通过南向接口(south bound interface)进行通信.典型的南向接口包括IETF的ForCES协议[13]和OpenFlow协议[14].在上述协议中,SDN路由器的转发能力被抽象为流表,南向接口通过操作流表实现对SDN路由器转发能力的控制.

3.1.3 流表规则库

从军事时效性角度考虑,根据保障任务临时生成流表再下发可能达不到时限要求,因此,需要事先制定并存储一定规模的流表规则,形成流表规则库.流表规则库中的每条规则都由若干条具体的流表项组成,详细描述了匹配的业务流和对业务流具体的操作动作,以及流表生效时间等其他维度信息.流表规则库与SDN网络控制器之间通过北向接口(West Bound Interface,WBI)进行通信.流表规则库由网络管理人员管理和控制.

3.1.4 保障要求模板

保障要求模板面向军事人员.由军事人员根据具体的保障要求填充模板,形成网络配置任务.模板内容包括保障时间、地点、人员、业务类型、网络带宽等.军事人员一般从使用角度而不是技术角度描述需求,因此,流表规则库需要根据额外的信息,将需求转化为网络设备能够识别的流表项.比如各种业务类型的带宽需求和业务特征、不同人员的身份标识、不同地域的IP地址范围等.

3.2 针对特定保障任务的SDN架构运行流程

图3描述了针对特定保障任务的SDN架构的工作流程.首先由军事人员根据保障需要填写保障要求模板.模板从军事应用角度而不是技术角度描述保障需求,主要包括时间、地点、人员、业务等保障要素.

流表规则库根据保障模板的要求核实是否已包含相应的流表规则.如果不包含,例如增加了新的保障要素,则需要生成新的流表规则,并将新的流表规则加入流表规则库供下次使用.

流表规则库生成流表规则,流表规则库在广域网范围内根据源IP地址、目的IP地址匹配人员、地点和区域,根据传输层协议、源端口号和目的端口号匹配业务类型.对每项流表通过不同的处理规则,包括允许、拒绝、转到正常流程等实现带宽保障.

流表生成之后,由流表规则库将流表下发到SDN网络控制器,再由SDN网络控制器将流表下发到相关网络设备并生效,完成保障任务.

4 性能分析与仿真实验

4.1 军事核心网典型拓扑结构

层级化结构和扁平化结构是军事通信核心网的两种典型拓扑结构[15−16].层级化结构适用于树状指挥体系,如图4(a)所示,节点分级分区域组织,处于区域边缘的叶子节点负责发送和接收流量,选举或指定一个或多个核心节点作为区域出口节点,与其他区域的出口核心节点交互路由可达信息,核心网内其他核心节点负责转发流量.扁平化结构适用于扁平化网状指挥体系,如图4(b)所示,网络中的核心节点处于对等地位,通过组播或广播洪泛方式交互叶子节点的路由可达信息.本文分别以层级化和扁平化网络结构为背景拓扑,在同等拓扑、带宽、流量条件下,对比传统IP架构和SDN架构下的网络保障效能.

4.2 仿真策略

传统IP架构遵循基于最短路径的选路规则,以实现最短路径路由作为选路算法.在SDN架构下,可根据不同的保障要求选择不同的选路算法.本文以提升带宽利用率这个典型要求作为保障要求,以此确定SDN架构的选路算法.为了对比在两种不同架构下的网络保障能力,以网络保障效能R作为定量评价指标,进行分析对比.

为计算网络保障效能,首先对单条业务流的传输质量进行定义.业务流传输质量的计算公式如下:

其中,f是待测业务流,D是业务流f容许的最大传输时延,L是业务流f容许的最大丢包率,d是业务流f中所有传输成功报文的平均传输时延,l是业务流f的平均丢包率,x和y为权重.当网络中同时存在多条业务流时,网络保障效能的计算公式如下:

其中,N是网络中当前正在传输的业务流数量,Q(i)是业务流i的传输质量,其值由式(??)计算得出,z(i)是业务流i的权重.式中参数设置如下:x=0.5,y=0.5,z(i)=0.01,N=100,L=0.5,D等于业务流在最大排队时延下的报文传输时延.

4.3 仿真环境构建

4.3.1 仿真工具

本文使用以下工具进行仿真.通过OpenDay-Light[17]实现SDN控制器,通过Mininet[18]搭建典型拓扑并进行流量模拟,通过iperf生成仿真流量,通过WireShark捕获仿真流量并进行数据分析.仿真中各要素及实现的功能如表2所示.

表2 仿真工具及相关功能实现

4.3.2 拓扑和流量

采用如图4所示拓扑,层级化结构和扁平化结构网络拓扑的节点数量各为51,其中叶子节点数量为30,核心节点数量为21.叶子节点上联至核心节点的带宽为1Mb/s,核心节点间互联带宽为5Mb/s.将叶子节点作为流量的源节点和目的节点,向网络中持续注入基于UDP协议的恒定速率流(Constant Bit Rate,CBR),流速率为100Kb/s,源节点和目的节点分别从2个叶子区域中随机选取,流注入的时间间隔为1s.

4.3.3 仿真步骤和选路算法

在层次化和扁平化两类拓扑结构下,注入同样的业务流量,分别以路径路由最短和带宽利用率最大为选路目标,以网络保障效能作为定量评价指标进行仿真和分析比较.仿真环境构建及仿真步骤如下:

步骤1.在DELL R930物理服务器上创建2台Ubuntu16.04虚拟机,为每台虚拟机分配16核CPU和32G内存,分别运行Mininet和OpenDay-Light,虚拟机网卡配置为桥接模式,实现2台虚拟机之间网络互通.

步骤2.在Mininet中分别生成图4所示层级化和扁平化拓扑,指定OpenDayLight为外部SDN控制器.在仿真实验中,控制器的南向接口通过带外管理链路与所有节点相连,控制流量不占用节点间传输带宽.

步骤3.在OpenDayLight控制器中创建两类流表规则库,分别用于模拟传统IP架构下最短路径选路和SDN架构下带宽利用率最大化选路.最短路径选路流表规则库通过Dijkstra最短路径算法生成,由ODL-PCEP模块下发流表.带宽利用率最大化选路通过图5所示算法流程生成.该算法以新增流量和当前拓扑信息为输入,计算最短路径并判断是否满足带宽约束条件.如满足,更新可用带宽信息后通过ODL-PCEP更新流表.如不满足,剪去不满足带宽要求的链路后重新计算路由.

步骤4.在Mininet中通过iperf向拓扑中持续注入业务流量,源节点和目的节点位于2个不同的叶子区域,流量速率100Kb/s,间隔时间1s,节点采用先入先出(First In First Out,FIFO)模型调度流量.

步骤5.通过Wireshark捕获仿真过程中所有报文,根据式(??)和式(??)计算网络保障效能.

4.4 仿真结果和分析

基于层次化网络结构和扁平化网络结构的网络保障效能仿真结果分别如图6和图7所示.在层次化网络结构下,最短路径选路和带宽利用率最大选路获得的网络保障效能差距不大,原因是在树状网络结构下,源和目的叶子节点间只存在一条路由,树干链路容易成为网络传输瓶颈.在不存在迂回路由的情况下,没有更多的调整和优化空间.在扁平化网络结构下,由于有迂回链路的存在,能够充分利用剩余带宽,带宽利用率最大选路相比最短路径选路能够取得更大的网络保障效能.

从仿真结果中可以看出,SDN架构相比传统IP架构对流量调整的策略和方式更为灵活,对网络的整体利用率和保障能力有较大提升.通过加载不同的流表规则库,下发不同的流表规则,可以达到不同的网络和流量管控目的.同时也应注意到,网络底层结构、业务流量模式等外部和客观因素对调控的成果有着不容忽视的影响.例如相比层次化网络结构,扁平化网络结构能够更好地提升网络利用率.

5 结论

SDN架构由于具有资源集中管控、功能接口开放、转发能力自定义等特性,相比传统IP架构能够更好地满足军事通信核心网在网络管控能力、资源调配能力、服务质量保障能力和网络特性更新能力等方面的需求.本文提出了一种基于SDN的军事通信核心网架构,描述了其系统组成和运行流程,并以提升网络资源利用率为例,通过仿真对比验证了架构的有效性.在军事通信核心网中部署时,可运用于重大任务通信资源快速调配、网络精细化管理保障、重要业务特性快速上线等场合.