◆董之光 冯梅 李青 谷海生

（中国石油勘探开发研究院信息技术中心 北京 100083）

近年来，随着大数据、人工智能等新技术的发展，石油企业对信息化的依赖程度不断加深，石油园区网络运行和管理也在发生着变化，网络规模和流量不断增大，业务叠加，接入终端暴增已经成为常态，对于网络的智慧化运营和管理升级的需求日益强烈，主要体现在网络的自动化部署、可视、可管、可控、灵活定制等。目前在石油行业中，已经有试验性和测试性智能网络的实现；但是如何商业化改造落地自动化运营多业务融合的园区网络已经成为一个争相探索的热点领域。

随着《网络安全法》的实施，对企业园区网络的管理和运营也提出了更高的要求，网络使用者的可视化精准化管理，网络用户行为的智能分析，快速响应网络攻击事件的溯源和预警，已经成为现代智能化网络的一个必需能力。在对园区网络改造的同时，需在网络架构设计中考虑网络安全策略和技术的应用，保障园区网络能够快速响应识别和发现部分攻击行为，能够迅速采取措施抵御部分攻击，这是园区网络改造要实现的一个重要目标。

1 园区网络现状及问题

目前石油行业中园区局域网传统的“静态+二层组网”模式还普遍存在，如某单位主园区和其他园区为异地部署网络，园区间通过专线连接，核心网络交换机部署在主园区，承担主园区及分园区和其分支机构所有内外网业务，核心交换机上联与上级单位连接，下联分为两部分区域，一部分与主园区汇聚交换机、数据中心网络直连，另一部分通过路由器与各分园区连接。

图1 网络现状

对网络进行改造，首先需对现网实际运行状况进行准确梳理和分析，网络业务梳理需要精确到端口级，以保障在改造后其业务不受到任何影响。根据对网络实际情况进行梳理和摸排，发现网络随着多年的运行，业务不断扩展，设备不断增加，网络也会随着进行调整和改变，网络运行普遍存在的问题和风险如下：

（1）网络拓扑与实际很难相符

在传统网络运维中，网管设备大多用于监控网络设备的运行状态，无法智能地监测网络结构的改变并自动更新网络拓扑结构，网络拓扑图往往需要网络管理员自行绘制和更新，随着网络变化，管理员更替等网络拓扑很难反映网络真实运行状况。

（2）接入终端不受控，僵尸主机普遍存在

传统网络对终端设备接入身份无验证或验证机制容易被绕过，造成对接入的资产不能完全掌握，僵尸主机普遍存在。对接入主机的行为控制非常弱，给园区网络的安全运行带来巨大的安全隐患。

（3）汇聚、接入层设备级联过多

随着网络的运作和改造，往往会增加汇聚、接入层设备，交换机级联过多问题普遍存在，交换机负载过大，用户带宽拥塞现象会在某些时期爆发，给网络带来很多不稳定因素。

（4）VLAN 与实际业务、人员管控脱离

网络业务VLAN 大部分在网络建立初期进行划分，后期改动比较费力，随着VLAN 的增加，人员的流动，机构的更替调整，通过VLAN 对各二级单位或者分支机构网络进行管理的难度大大增加，实际单位、人员往往不能与网络划分正确对应。

（5）IP 未与人员、设备动态绑定，安全责任归属难落实

传统网络只能通过手动绑定方式或者网络自动分配方式分配IP地址给用户，IP 混用、借用，错用等问题突出，IP 很难随着人员、设备的更替调整自动作出变化。特别是哑终端等问题缺乏管理。

（6）布线混乱，链路资源短缺

传统园区网络运行过程中，经常会遇到物理链路规划跟不上变化的情况，造成链路资源占用情况突出，物理链路资源经常处于耗尽状态，新建网络往往需要新铺设链路，而旧链路利用率逐渐下降，给网络运营增加了许多成本。

2 智慧园区网络改造

2.1 SDN 系统架构

SDN（软件定义网络）是由美国斯坦福大学 Nick McKeown 教授等人提出的一种新型网络创新架构，其核心技术OpenFlow 通过将网络设备的控制面与数据面分离开来，用户通过开放的流表对网络进行控制，实现了网络的可编程化，从而实现了对网络流量的灵活控制，使网络作为管道变得更加智能。

SDN 核心理念包括控制与转发分离，集中控制和管理以及开放的标准接口。SDN 控制器成为网络设备的大脑，负责维护所有的网络转发路径，并对网络设备编程；除此之外，SDN 控制器还负责业务网络策略集中配置，网络资源统一调度，利用软件（SDN 控制器）实现对大规模整网设备的集中控制和管理；目前开放统一的南向北向接口，已有RESTapi、OpenFlow、NETCONF、OVSDB 等成熟型标准接口，东西向接口的研究还处于起步阶段。

随着SDN 技术的不断发展，业界已经产生了革命派ONF、演进派IETF、叠加派VMware、运营商NFV 等不同的技术发展路线，其对SDN 的理解各有侧重，但是其核心理念是一致的。本次依据VCFC SDN 系统架构进行设计，采纳了目前业界最主流的OpenDaylight（ODL）架构思想，采用“EVPN+VxLAN”技术组网，在稳定性、性能、南向负载分担、双机集群、用户界面等方面有自己的独到见解和大量优化，具有扩展性强，兼容性强的特点。

图2 VCFC 系统架构

2.2 SDN 智慧园区网络设计与实现

SDN 智慧园区改造方案以石油石化企业典型传统科技园区网络架构为目标，包括主园区和一个分园区，两个园区网络改造原则为由现有传统网络平滑过渡到SDN 网络，保证现有网络设备有最大的兼容能力，并保证现有网络设备充分利旧；在新的网络形态下，能够采用智能化手段管理和控制网络，实现内外网安全策略的统一控制和分发；能够实现设备自动化部署和应用安全通道隔离；能够实现多园区人员设备与身份的管控，人员自动化上线。

本次方案的基本技术思路为：

（1）采用Overlay 技术实现大二层（汇聚层以下采用VLAN 组网，汇聚层以上采用VXLAN 组网），同时采用分布式网关，达到终端IP 地址与位置解耦，服务与位置解耦；

（2）采用安全分组的概念来简化用户访问控制策略；一个用户安全组对应一个VLAN/VxLAN（也就对应一个网段）。组间策略实质上就是网段和网段之间的ACL；

（3）SDN 控制器作为整个网络集中的管理和控制点，实现用户逻辑网络自动配置，组间策略自动下发，设备按分组进行批量配置；

（4）通过EVPN 构建Overlay 网络，Leaf 作为分布式网关；

（5）认证点在汇聚设备上，通过DHCP snooping 将用户地址上送；

（6）管理和控制分离，业务和控制分离：VLAN 1 作为临时管理；VLAN 2 作为DHCP 和认证协议控制通道，用户VxLAN 由控制器根据认证下发的VLAN 自动映射；VLAN3 作为无线管理通道。

图3 SDN 网络改造设计图

3 实践效果

本次改造方案，实现了多园区网络统一管理架构的设计和实施，实现分支无差混合管理，实现了用户策略随行、网随人动的先进技术功能，同时相关功能还可以异地跨园区实现；采用VxLAN 技术实现网络传输通道层安全隔离，整体提升了网络安全管控能力，满足了现代企业对网络、人员及数据的管控需求以及对网络的智能化需求，符合现代化企业园区的网络技术架构要求。本次实现了传统网络向SDN 网络过渡的实践，为后续石油园区网络智能化改造提供了参考。

（1）设备智能纳管，设备统一化管理

网络部署后，两个园区网络统一架构设计和实施，分支无差别化统一管理，新设备可以实现智能化自动部署和纳管。如果要增加新的spine、Leaf 设备，其上线过程同自动化上线过程基本一致，新增加Access 设备，其上线过程如下

图4 设备纳管流程

园区网控制器统一管理原网和现网中的网络设备，加以统一管理和展示，实现设备告警、设备性能和拓扑等多种方式的集中管理与展示功能。应用驱动园区仪表盘功能，可以基于用户、终端和业务的角度，帮助用户将整网实时状态尽收眼底。

图5 网络统一管理

（2）用户自动化上线，精细化控制

新入网用户可以访问准入页面并自动化完成身份确认，IP 分配，网络上线等操作，并针对石油员工特点提供了员工、新员工、访客、其他单位员工等多个角色的自动化上线设计，大大减少运维工作量和人员的安全控制工作。通过在线用户界面可以清晰观察到用户上线接入时长、接入mac、上线交换机端口、用户IP，可以根据这些信息进行更细化管控，比如针对某个异常频繁上线用户进行下线处理，或者短信告知处理等。

（3）业务随行

接入SDN 网络内用户，采用VxLAN 技术实现位址分离和策略随行的功能，IP 地址与MAC、业务信息与人员身份信息绑定，用户在园区内任意一个网络接口接入网络，均获得其绑定IP，无须再更换IP 地址，无须重新注册网络，其网络策略也一并跟随生效。

图6 用户自动化管理

图7 业务随行

（4）业务隔离

网络控制更为精细化，且易配置，易操作，可通过私网方式隔离无互访问关系的业务，私网有独立的VPN 路由表。

图8 业务隔离

（5）提高网络安全事件追溯能力

在网络安全问题核查过程中，传统网络经常会遇到IP 与人员、设备不符的情况，在核查安全责任归属过程中，往往需要耗费大量人力，有的还需要现场进行巡线核查，如果遇到不在线情况，往往当天也就无法核查完毕，大大降低了单位网络安全事件响应速度。

根据近两年运行数据测算，在传统网络中，确定安全问题责任人的平均时间要15 分钟，一次核对准确率仅为60%；SDN 网络中，基于其业务随行的特点，在核查安全责任归属时，第一次准确率为95%，这也只是因为部分附属信息不准确，如单位变动未及时更新，造成归属单位错误，人员核对第一次即可以实现100%准确率，确定时间也降至5 分钟以内。

表1 IP 责任人归属查询

4 小结

在从传统网络向SDN 网络过渡过程中，本次成功解决了传统网络运行中产生的一些突出问题和困难；在最大原网兼容、设备利旧基础上完成了网络SDN 改造。实际运行过程中，运维工作量大大下降；网络部署实现自动化实施；员工跨区域内业务随行、移动办公；网络运行状态可控可视，网络安全响应能力提高，网络初步具有了智慧化的特点。这与现今信息技术发展云化、智能化的特点相吻合。后续会在网络北向应用开发中进行更多积极探索，包括网络行为的智能分析、网络攻击监测预警等。未来发展中，网络是企业数字化转型的基础和关键推动力，基于SDN 的网络远远不是终点，未来网络会朝着基于云管理的虚拟网络转型，朝着基于AI 的自驱动网络发展，通过机器学习和人工智能所使能的下一代可视化、自动化和分析工具来实现的意图网络，是未来智能园区网络探索的方向。