高杰欣 张淼

中南民族大学原有核心网络于2014年按照双活特性改造完成。核心交换机分布在校内相距1公里的两座数据中心机房，以vrrp和port-channel协议在逻辑上构成一个整体，上行至运营商的互联网出口，下行至各个楼宇的汇聚交換均双万兆链路以动态LACP连接到两座机房的核心交换机。

也就是说对端设备都“认为”核心交换是一台设备，以期在核心拓扑中出现任意单点、单链路故障，甚至单机房停止，都能在用户无感知下连续运行，继而在工作时间从容处理突发问题。

防火墙是整个拓扑的“中枢”，上端是校园网与互联网的边界，下端连接数据中心与网络中心两个核心区域。核心交换以下保持汇聚、接入的三层网络结构 ，用户以DHCP获取仅限校内访问的IPv4地址后，通过L2TP校园网认证获取IPv4/IPv6地址，即通过BRAS整合有线、无线为一张网双栈准出到互联网，继而实现校内和互联网均同一入口接入校园网。双活核心拓扑解决了连续可用性并适用于学校应用和运维的同时，也带来了伸缩性等问题。

前期的构想与实践

有感于自诞生以来就非常火热的SDN数控分离理念，这种类似“瘦AP”的技术架构在现网结构中最适宜替换到防火墙的位置，继而易于实现全局流量的调度、新增设备的敏捷部署以及基于自动化配置的安全运维。

设备选型：在校园网这种规模的园区网中，SDN的应用案例几乎为零。国内外知名网络设备厂商的解决方案除了要求必须全用自家的软硬件，还得更换大量现网其他设备才能部分实现预期效果，纯OpenFLOW的白牌交换机且不谈性能和质量如何，能说出来的厂家就寥寥无几，所以设备选型是要解决的首要问题。

按照OpenFLOW标准，一张流表可以使用任意字段组合去做查表，在当前的商业芯片中，必须使用TCAM表来实现。

但TCAM在普通交换机中主要用于二、三层处理，一般仅有4k—16k表项数支持，是一种昂贵的资源，如果按照OpenFLOW动辄几十K甚至上百K的流表要求，在匹配字段数目和转发性能上存在短板，同时存在部分字段只读无法修改，流表动作无法立即生效等先天不足。

为此，对SDN交换机的选型实则是对可编程交换芯片的选择，重要考量的是硬件表项及TTP表项映射。

想象中的方案，由2台SDN交换机分别替代原有防火墙的物理拓扑位置，每个SDN交换机配置一台独立的OpenDayLight控制器并相互作为主备部署，原有防火墙以旁挂方式迁移集中到一个机房，新增2台防火墙到另一个机房，在新拓扑中保持了双活形态。

在组网细节上，超级汇聚的诞生由如下4个方面构成：

控制有道  每个SDN交换机独立配置一台服务器运行控制器程序，每个控制器既是同机房SDN交换机的主控制器，又是另一机房SDN交换机的备控制器。控制器程序仅承载交换机接口提供的信息上收和流表下发的轻量工作，最大限度保持其自身的稳定可靠，围绕安全和运维自动化的分析判断和各种辅助功能以插接APP的形式与控制器实现联动。

北联边界  SDN交换机在替代防火墙的同时，以堆叠方式构成逻辑整体，可替代边界接入交换机，互联网出口仍保持动态LACP接入到两个机房，继而可利用OpenFLOW接口获取的状态数据实现安全初筛，在网络的边界就把潜在的威胁通过计数等简单的方式发现和丢弃，在边界形成一定的防DDoS能力。同时，控制器上安全相关的APP也能够对发现的威胁在边界上就进行消减。

所有互联网出口在SDN上的汇集及流表的自由定义，又为出口选路提供更灵活的能力，将原本在防火墙上承载的NAT一并由SDN来实现。SDN交换机上可以获取校内所有区域实际IP地址，对于流量的分析更为便捷，由SDN交换机实现向互联网访问选路也更集中统一。

南汇园区  SDN的下联分别是校园网核心、数据中心核心及卡务核心三个区域，未来还可能有门禁核心等新的细分区域，每个区域之间的相互访问过去通过防火墙的zone实现隔离与防护，现在则基于流表实现更精细的管控。新区域也可像积木一般快速接入到骨干网络或移除，这对区域间流量调整带来的网络震荡也会降到最低。

针对SDN流表对流量管控的灵活性，设想将用户区域的流量设定为出互联网方向不过防火墙，互联网入用户区域的流量仍受保护，这样就能为用户缩小几毫秒的延迟体验，并且减轻防火墙的工作负载。

旁路护航  SDN的旁路以安全设备、流量分析及测试设备接入为主，每个新接入设备可以按需选取所需区域的指定或全部流量，接线不影响在线的业务。调试可以从逐个IP到逐个地址段慢慢扩大，对指定流量能够设定经过一个或多个不同安全设备多次过滤，这些特性使得在生产网络中割接上线和下线变得更为从容。

在端口镜像方面，传统交换机一般会建议一个镜像源端口对应一个目的端口，并且一台交换机会有镜像数量的限制。但在SDN交换机中，只要吞吐量未用满，则没有镜像数量的限制，并且能将多个源端口累加的大流量根据源和目的IP分拆到多个端口加以利用，使超级汇聚在流量的释放上更具灵活性。

基于上述想象，SDN交换机既是主干枢纽承载核心流量，也是一个流量选择分配中心，这与常见的“分流器”设备完全不同，对提升整个网络调度能力起着举足轻重的作用。

分步骤实施

对于新兴的SDN技术实践，不期而至的困难一定会比乐观的想象来得更为猛烈，技术实现的理想性和演进过程的曲折性就是折腾不休的IT生活生动的写照。

正如双活网络的部署期望有故障发生时能在白天更从容的处置，从原有网络到SDN的割接也尽力做到用户无感知。

双活到单活  第一阶段的准备工作是将原有网络的关键配置进行梳理，重点是理清各种情况下的流量走向，并将双活置为单机房运行的单活模式，以便在另一个机房将SDN上线前所需的准备做好，特别是SDN一端新接防火墙涉及原有防护策略迁移和一些辅助功能的停用。

单SDN割接  当另一个机房的SDN物理连接和流表等配置准备就绪，割接动作实质是在原单活的上下联设备将路由改到SDN一端，修改路由的时间仅仅数秒，割接的时间可以选择在线人数较少的周末，这样也能立即观察到用户访问和数据中心等其他区域是否存在问题，便于快速处理和回退。

按需导流  单SDN割接成功，形式上看起来旁路的防火墙已经属于将指定流量导入的服务链模式，防火墙在逻辑上仍串接在网络中。接下来再选取指定的流量用于镜像分析、缓存加速及串接测试设备则变得轻松简单。

按需考验着SDN对网络可扩展性的能力是否达到了想象中的灵活。

主备机制  将不同网络区域相互之间的访问进行组合，指定每一种互访的组合主从分别通过哪一台SDN交换机，“主”表明的是默认走向，“从”发生在检测到“主”发生情况就切换。

持续迭代  改造进行到此并不是结束，在生产网络中实测了仍在演进中的技术并不能简单用行或不行来说SDN。在现有组网中，流量可视化分析是相比改造前最容易实现管理创新的发力点，同时，安全运维强调的监控、日志、自动化运维等议题也有了更进一步探索的空间。