基于SDN技术在人民银行组网的安全性思考
2020-08-06张荣凯
张荣凯
摘要:在人民银行系统整合与架构转型的背景下,各级人民银行都在积极探索大数据平台在金融业的应用,在虚拟化、云技术等新兴技术驱动下,传统网络在管理和扩展方面面临极大挑战。本文综合当前SDN组网架构应用特点,结合人民银行基础网络架构提出初步组网建议,并对当前SDN组网面临的安全性问题进行了研究。
关键词:SDN技术 人民银行 组网 安全性思考
一、SDN技术发展及实现方式
(一)SDN技术的发展
近年来,伴随着云计算、大数据及虚拟化业务的快速发展,使得计算、存储设施变成可运营的资源,用户可以通过互联网按需弹性获取,这对底层承载网络在面对频繁变化的业务需求进行灵活调整时提出更高要求。
传统静态网络在组网方式和配置管理模式上都缺乏足够的灵活性。一是现有的网络虚拟化方法如虚拟局域网VLAN、虚拟路由转发VRF等受协议自身的限制,无法满足大型虚拟化云计算应用的网络隔离和虚拟机部署规模;二是虚拟机在迁移过程中,要求网络具备快速部署、切换能力,现有的网络生成树(Spaning Tree Protocol)技术限制了虚拟化的网络扩展性;三是部分网络设备厂商在网络的自动化部署和可视化管理方面明显不足。
软件定义网络(Software Defined Network,SDN)通过软件方式在物理网络上构建虚拟的逻辑网络实现控制转发分离、逻辑集中控制,使得上层业务对网络的变更需求直接体现在逻辑网络上。同时,软件定义的方式将网络(虚拟网络)的管理和控制功能从物理设备中抽离出来,有助于提高网络的智能化和自动化水平。与传统网络相比,SDN网络架构更为开放、灵活,能适应业务需求进行快速调整,更符合云计算业务发展的需求。
(二)SDN技术实现方式
对于SDN的定义,大家比较认可的是广义SDN,即:泛指向上层应用开放资源接口,可实现软件编程控制的各类基础网络架构。当前,SDN组网主流解决方案包括OpenFlow、 Overlay、I2RS、NFV等。
基于OpenFlow技术的SDN,强调控制与转发解耦,由OpenFlow交换机、FlowVisor和Controller三部分组成,转发层由OpenFlow交换机组成,控制面由SDN控制器软件组成。OpenFlow虽然在Google等大型互联网公司应用,但其技术门槛高,并且算法及架构存在较多问题,商用解决方案较少,不适合较为复杂场景部署。
Overlay通过在现有物理网络上叠加一个软件定义的逻辑网络来实现业务逻辑。Overlay是一种隧道封装技术,主要有VXLAN、NVGRE、STT这三种技术,基本原理都是通过隧道封装的方式将二层报文进行封装后在现有网络中进行透明传输,到达目的地之后再解封装得到原始报文,相当于一个大二层网络叠加(Overlay)在现有的网络之上。
I2RS完全依赖于传统产业链,可用于现网改造,标准及产品进展缓慢,只有Cisco ONEPK解决方案。
NFV将网络功能虚拟化,利用通用性服务器和虚拟化技术来承载网络功能,降低网络成本,提升业务开发部署能力,当前专用硬件设备种类各异,数量众多,该方案只能应用于特定场景下,仍面临着性能和容量等方面的挑战。
二、SDN技术在人民银行应用研究
在人民银行系统整合与架构转型的背景下,各级人民银行都在积极探索大数据平台在金融业的应用,通过大数据与云计算深度结合,依托分布式处理、分布式数据库和云存储、虚拟化技术对海量数据进行分布式挖掘。为满足大数据平台中虚拟机在网络中的规模部署和快速迁移,结合现有的SDN商用解决方案,选择在传统网络架构上叠加软件定义的逻辑网络的Overlay方案较为合适。
Overlay技术实际上是通过点到多点的隧道封装协议,隧道封装协议主要包括VXLAN、NVGRE、STT三种,其中VXLAN(Virtual eXtensible LAN)技术是利用了现有通用的UDP传输,具有很高的成熟度。在VXLAN组网中,用于建立VXLAN隧道的端点设备称为VTEP(VXLAN Tunneling End Point,VXLAN隧道终结点),封装和解封装在VTEP节点上进行。在组网过程中,根据各级人民银行实际环境,可构建以下三种模式。
(一)硬件Overlay
组网特点:隧道在物理交换机上进行封装,交换机需支持VXLAN协议栈,可支持接入虚拟化服务器和物理服务器,可实现网络设备高性能转发。
如图1网络架构,采用TOR硬件交换机作为NVE(网络虚拟边缘节点),TOR間部署EVN/BGP-EVPN协议,通过Spine节点做RR反射器同步各个TOR设备的主机路由表,如果分布式组网需要多租户隔离,RR反射器也可以配置为VTEP端点。
方案适用:此方案需采购支持VXLAN协议栈的TOR交换机,适用于对网络性能敏感、服务器虚拟化应用规模较少的场景,不依赖虚拟化平台,用户可以有更高的组网自由度。
支持硬件Overlay的厂商:Cisco、H3C VCF、中兴等。
(二)软件Overlay
组网特点:隧道在服务器的vSwitch上进行封装,通过安装在服务器上的vSwitch软件实现VTEP、VXLAN GW、VXLAN IP GW等功能,只需要物理网络设备支持IP转发即可,所有IP可达的主机即可构建一个大范围二层网络。
如图2网络架构,VTEP深入到服务器内部,在支持VXLAN协议栈的虚拟交换机vSwitch上进行报文的封装和解封装,Overlay功能由服务器来实现。各厂家使用集中控制的模型,将分散在多个物理服务器上的vSwitch构建成一个大型的、虚拟化的分布式Overlay vSwitch,不同物理服务器上的虚拟机迁移可视为在一个大型的二层网络中进行。上层的controller控制器通过openflow协议下发表项控制管理vSwitch,控制器通过OVSDB协议对ovsdb-server进行管控。
方案适用:适用于数据中心服务器虚拟化场景,支持VMware、KVM、Microsoft Hyper-V、Xen、华为Fusion Compute等主流的Hypervisor虚拟化平台,服务器及现有的网络设备可以利旧使用,降低投资成本,由于各厂家vSwitch对不同计算虚拟化平台兼容性存在差异,建议虚拟化平台安装对应版本的vSwtich。
支持主机Overlay的厂商:Vmware NSX、H3C vSwitch、华为 FusionSphere、中兴等。
(三)混合Overlay
组网特点:混合Overlay是硬件Overlay和软件Overlay的混合组网方式,在物理服务器和终端设备边缘部署支持VXLAN协议栈的硬件交换机,在虚拟化服务器内安装vSwitch软件完成报文的封装和解封装。混合Overlay组网,既可以充分利用虚拟化的低成本优势,又可以发挥硬件GW的高转发性能,并将非虚拟化设备融入到Overlay网络。
如图3网络架构,controller控制器对整个VXLAN实现总体控制。数据库、存储服务器等物理服务器需要高速转发,使用接入TOR交换机作为VTEP设备,对于多租户需求的虚拟化服务器采用vSwitch软件实现Overlay网络接入,同时Spine设备作为VTEP节点部署大容量交换设备,接入硬件FW/LB实现网络的安全可靠。
方案适用:对于部署大量云数据平台,同时存在部分业务需要高速转发场景下,此方案兼顾硬件和软件Overlay的特点。
混合Overlay支持的厂家:H3C VCF、Vmware NSX、Cisco、中兴Related Solutions等。
(四)人民银行Overlay组网的建议
考虑到人民银行各级节点数据中心建设程度、网络运维水平以及设备厂商的兼容性等因素,建议省级数据中心节点采用混合Overlay组网方式,可实现多租户虚拟机的快速迁移,又可保障数据的高速转发和网络的集中控制,在具体实施中需要考虑vSwitch软件对计算虚拟化平台的兼容性;
地市级(含辖内县支行)采用硬件Overlay组网方式,网络结构相对简单,可实现网路集中管理、易于编程等优势,设备兼容性良好。
三、SDN技术面临的安全性分析
(一)SDN产品性能、安全有待提高
基于VXLAN Overlay模型在保障转发性能上,需要有支持VXLAN offload的网卡进行支持。且SDN 控制器作为整网控制核心,在控制器高可用设计、代码安全性和对控制器的访问控制等方面应予以加强。
對于省级数据中心存在同城、异地灾备中心的网络布局,单一的SDN 控制器应对跨多地域的网络控制上存在可靠性、扩展性、性能等方面问题,需要多个SDN控制器组成分布式集群,目前,用于多个控制器之间沟通和联系的东西向接口还没定义标准。
(二)SDN控制器单点故障风险
控制器负责整个SDN网络的集中化管理,实现网络流量可视化,可快速识别网络负载、异常事件和网络攻击行为。但SDN控制器作为一个潜在的单点故障源和集中的网络干扰点,将成为网络攻击目标,这就对SDN Controller的可靠性提出更高的要求,必须实现HA部署。
(三)异构兼容性问题
为保障数据安全性和避免对同一厂家设备产生依赖,在数据中心虚拟化和网络建设中,会采取多品牌型号异构组网。目前大部分Overlay SDN商用方案中对第三方开源或商用的虚拟化平台、网关设备兼容性较差。设备兼容性问题主要取决于网关设备的通用标准化和南向配置协议的标准化不够完善。因此,人民银行在采用Overlay SDN组网时,需考虑本单位虚拟化平台和网关设备的建设情况,采用自主可控、开源性产品。
(四)网络集中管控风险
在传统的网络中,管理员使用ping、traceroute、nmap、tcpdump、netflow和snmp等通用管理工具,对网络设备操作控制在端口级。在SDN网络中,策略控制和下发均由控制器自动化管理,如果网络管理员因管理不当、误操作或非授权用户取得控制器权限,会导致网络集中故障风险。Overlay SDN技术变革及运维管理变化较大,网络运维人员应加强对新技术的学习和研究,逐步开展SDN组网应用实践探索。
作者单位:中国人民银行淄博市中心支行