陈峰

(中国石化镇海炼化公司,浙江 宁波 315000)

随着智能工厂建设的不断深入,企业对传统网络的基础架构、业务部署模式提出了更高的要求,由云、网、终端组成的IT基础架构开始经历巨大的技术变革。传统终端向智能化、移动化演进,软件定义网络(Software Define Network, SDN)技术应运而生。SDN技术是一种网络设计思想,其特点为网络可以集中用软件进行管理、实现网络系统的控制层与转发层结构、整体功能可编程化。

1 网络现状与需求

炼化企业通常都具有面积广阔、装置众多、人员构成复杂等特点,对网络建设有多业务承载、办公点分散和人员权限多样等需求,给企业园区网的建设和运维带来了巨大挑战。

1.1 网络现状

针对企业移动办公和业务多样化的需求,当前网络和用户之间存在强耦合冲突,从而限制了用户位置的灵活性。此外,业务系统之间相互混杂在一起,缺乏有效的安全隔离措施,无法根据业务等级提供差异化的服务。

传统网络运维依赖手工配置、部署和管理网络设备,该方式对运维人员的数量和素质要求越来越高,且不可避免地面临着被动响应任务管理和解决问题的困境。随着企业网络规模的扩大,涉及到厂商、操作系统的多样性以及庞大的命令系统(即计算机代码控制系统),进一步增加了网络故障定位、处理的复杂性,同时也加大了错误配置的风险。

结合以上分析,炼化企业普遍存在网络僵化、IP地址规划困难、地址冲突,无法实现灵活的访问控制策略,无法解决安全性低、运营部署效率低等问题。

1.2 网络需求

根据炼化企业网络现状,在企业数字化转型的当下,从业务、运维管理以及网络安全出发,园区网络面临着终端安全准入、用户实名认证、网络策略随行、多业务承载、网络自动化、网络可视化、网络智能化等多方面的需求。然而,传统网络并不能提供有效的解决方案,因此需要依靠SDN新兴网络架构来满足这些需求。

目前,业界有许多成熟的网络架构和网络虚拟化技术,园区SDN解决方案融合了网络虚拟化、网络集中控制、终端准入管控等技术。

2 SDN技术简介

2.1 SDN特征及架构

SDN的框架或理念要求网络系统中的控制平面和转发平面必须是分离的。业内比较认可的SDN的特征属性有: 控制平面与转发平面的分离,开放的可编程接口,集中化的网络控制,网络业务的自动化应用程序控制。前两点是SDN的核心,如果一个网络系统具备了这两点特征,那么就可以宽泛地认为其架构是一个SDN架构[1]。

传统网络与典型SDN架构对比如图1所示,SDN架构将传统网络设备的控制功能集中到SDN控制软件(SDN控制器)上,并通过标准化的协议由南向接口(向下管理设备的接口)管理网络硬件,从而实现数据的转发功能。同时,SDN控制器还提供了可编程的北向接口(向上提供给其他系统接入和管理的接口),以满足编程特性的需求。

图1 传统网络与典型SDN架构对比示意

SDN控制器是整个SDN网络集中控制管理的关键,能够实现用户逻辑网络自动配置、策略自动下发、端口按分组进行批量配置。

2.2 SDN优势

相较传统网络,SDN的设备资源虚拟化和软件可编程等特性有如下优势:

1)网络的智能性全部由软件实现,网络设备的种类及功能由软件配置确定,对网络的操作控制和运行由服务器作为网络操作系统完成。

2)业务响应相对更快,可以定制各种网络参数,如路由、安全、策略、QoS、流量工程等,并实时配置到网络中,缩短开通具体业务的时间[2]。

3)网络的快速虚拟化、自动的网络隔离和资源动态调整,大幅提高了网络灵活性,为物理网络承载多业务的建设提供了基础和支持。

4)网络的配置标准化、可视化、自动化、智能化以及通过北向接口进行智能运维相关编程,能够显著降低运维管理的工作量。

通过以上优势分析,炼化企业从传统网络向SDN网络的升级改造,符合炼化企业向智能工厂、数字化工厂的转变。

3 网络建设方案

以某炼化一体化企业新建厂区网络建设方案为例,涉及有线网络和无线网络的搭建。有线网络计划配置2台核心设备、10台汇聚设备和200多台接入设备;无线网络计划配置2台无线控制器(AC)和300多台无线接入点(AP)设备,以满足2×103个用户的并发需求。

以有线设备调试为例: 在传统的网络建设方案中,需要专业网管人员前往几十甚至上百个现场进行200多份配置,上线周期预计需要1～2周。采用SDN方案,专业网管人员只需在1个配置点上设置控制器,完成核心、汇聚和接入3个配置模板;下一步,非专业人员便可将设备直接送至现场安装,实现自动化的上线过程。相比传统方案,SDN方案的上线周期预计不到1周。

通过对比可见,SDN方案能够大幅简化网络设备的配置工作,提高安装和上线的效率。

3.1 SDN方案选择

随着SDN技术的不断发展,各大厂商纷纷推出了自己的SDN方案,当前市场上主流的方案包括开源社区的OpenFlow方案以及由思科、华为、华三等硬件厂商引领的以太网虚拟专用网络(EVPN)方案。在选择SDN方案时,首先需要明确适用的网络应用场景,例如数据中心、园区网、广域网等,不同场景需要相应的方案。同时,也应考虑方案的侧重点是网络管控还是业务可靠性。如果侧重于网络管控,那么选择强控方案将更为适合;反之,若侧重于业务可靠性,则选择弱控方案更为合适。SDN主流方案的比较如图2所示。

图2 SDN主流方案对比示意

1)OpenFlow方案。该方案属于强控方案,其中控制器对网络进行集中控制,负责生成、维护和下发FlowTable(流表),而网络硬件则根据FlowTable的内容转发数据报文。因此,一旦控制器发生故障,整个网络也会随之发生故障的风险。

2)EVPN方案。该方案属于弱控方案,主要负责VXLAN(virtual extensible local area network)的控制信息转发,它是一种隧道技术,能在三层网络的基础上建立二层以太网网络隧道,从而实现跨地域的二层互连,对VXLAN数据层面没有影响。因此,即使控制器关闭,已下发的网络状态也不会受到影响。

鉴于炼化企业的生产特性,即使在园区网络中,稳定性要求也非常重要。此外,企业也需要避免因开源社区(开放源代码社区)在技术维护和网络安全方面无法提供保障而造成的潜在风险。因此,选择主流硬件厂商提供的弱控方案更加符合企业的利益。

3.2 SDN网络拓扑

尽管传统的三层网络结构技术成熟且被广泛应用,但随着网络中东西向流量(即服务器与服务器、客户端与客户端之间的流量)增加和跨三层(即跨物理子网的通信)地址迁移等问题的不断涌现,例如使用路由器等三层网络设备通过路由表寻址找到另外的物理子网进行通信,传统三层网络结构已无法解决。

在SDN网络方案中,为了满足计算虚拟化和业务灵活性等需求,采用了VXLAN技术来实现大二层(即同一物理子网内的通信,通过转发表的MAC地址进行通信)网络。在汇聚层以下采用VLAN组网,在汇聚层以上采用VXLAN组网。同时,通过EVPN构建Overlay网络,将汇聚节点作为分布式网关,从而实现终端IP地址与位置之间的解耦,即用户移动时保持IP地址不变。此外,服务与位置也能够实现解耦,即服务可以在任意位置部署,而用户的移动并不会影响服务的提供。

一般情况下,SDN网络的拓扑结构由核心节点(Spine)、汇聚节点(Leaf)和接入(Access)节点组成。然而,在该案例中,只是炼化企业整体中的一个新区域建设,需要与企业现有的核心节点进行连接。因此,将Spine和Leaf节点进行合并,形成Leaf-Access的拓扑。优点是简化了网络架构,充分地利用了区域汇聚节点的性能。

与传统网络相比,SDN网络的物理网络和虚拟网络之间既有关联又有解耦的关系,实现了跨三层的大二层网络能力。传统网络与SDN网络拓扑对比如图3所示。

图3 传统网络与SDN网络拓扑对比示意

3.3 无线网络

在SDN方案中,无线网络与传统方案中的设计方案基本一致,都由AC和AP组成。然而,在管理方面与传统方案有所不同,它实现了对有线和无线设备的统一管理。通过SDN控制器,可以实现有线和无线设备的自动化上线,并统一下发策略,确保有线和无线终端的IP地址一致,访问策略一致。此外,SDN方案采用统一转发的方式,将无线业务本地转发,充分利用超宽有线带宽,实现数据流的快速转发,最终实现有线和无线网络的全融合。

3.4 SDN控制器

作为整个网络的大脑,SDN控制器具备控制、分析、认证和地址分配等重要职责。在建设过程中,可以将控制、分析、AAA认证和DHCP这些组件单独部署。在该案例中,为了实现高可靠性和冗余方案,选择将所有组件容器化部署在3台物理服务器上,这样做的优点在于节约资源,同时实现了统一的平台管理。然而,该方案也存在一些问题,比如控制器节点故障可能会影响到AAA认证、地址分配,某个组件的升级需要对整个控制器进行变更,以及分析功能会对控制器的性能产生影响等。

3.5 基础配置

基础配置包括: 网络基础、分组及地址、网络认证、网络安全、逃生模式。

1)网络基础。在进行网络基础配置之前,需要根据企业规模提前确定企业Spine(Leaf)节点的数量和分区规划。同时,还需要进行网络安全分组和IP地址规划,然后对三层和二层网络的VPN,VXLAN,DHCP等方面进行设置。

与传统网络不同的是,在SDN网络中,网络基础配置都可以在SDN控制器上进行,无需再在交换机上手动配置。

2)分组及地址。针对炼化企业的经营管理、生产运行和第三方外包维护等多个部门,需要根据业务需求和网络安全考虑进行分组。每个组应该绑定独立的安全策略和IP网段,以保证各个部门的独立性和安全性。

除了按部门分组之外,还需要考虑哑终端设备,如打印机和会议终端等。对于这些设备,需要按照它们所在的区域位置设计,以实现业务的独立性和范围控制。

3)网络认证。通过建立SDN准入平台,实现用户和终端设备准入和业务随行,形成实名制网络设备接入清单,切实将网络安全责任落实到个人[3]。

在设计网络认证时,首先需要考虑是采用控制器本地认证还是与企业当前的LDAP进行对接;其次需要思考终端认证的方式,例如常用的802.1X,Portal和MAC地址认证。

在该案例中,根据不同的场景选择了不同的终端认证方案。对于智能终端,如PC等,采用了AD域控+802.1X认证方案;对于提供外部访客网络的情况,采用了Portal+手机验证码认证方案;针对哑终端设备,采用了MAC地址认证方案。通过不同的认证方案设计,可以满足不同的业务场景,同时确保终端准入的可控性。

4)网络安全。网络架构是实现炼化企业系统网络安全的基础。在方案设计上,通过纵向分层和横向分区实现网络风险分散与数据隔离,核心理念是根据不同区域的安全等级需求划分不同的安全区域,不同安全区域实现隔离和可控的访问[4]。

传统的炼化企业在不同的数据采集业务中通常采用VLAN隔离或物理专网隔离的方式。然而,VLAN技术只提供了二层逻辑隔离,存在一定的安全隐患,而物理隔离则需要投入大量的设备资金。为此,通过VPN技术,在同一套物理设备上实现了三层网络隔离,既确保了网络的安全可靠性,又节省了设备投资成本。然而,该种方案在建设、运行和维护方面存在较大困难。

在网络安全方面,SDN技术简化了虚拟化网络的部署,通过虚拟网提升了网络的隔离能力。此外,安全组的设置可以实现对各个安全组进行更加精细的权限控制,确保各组之间的安全管理。例如,限制容易被病毒利用的445端口在不同组之间的传播;在Spine或Leaf节点旁路防火墙的配置,将南向服务链与安全组绑定,并通过防火墙策略的设置,实现特定用户组只能访问局域网内的特定业务。

5)逃生模式。尽管该案例采用了弱控方案,但是控制器方案内部集成了AAA认证和DHCP等服务。因此,在控制器故障的情况下,用户无法进行认证和获取IP地址,进而导致了网络故障的风险仍然存在。

为了确保网络的可靠性,需要部署一个独立的DHCP服务作为网络的应急方案,它与SDN控制器相互独立运行,即使控制器的3台物理服务器完全故障,也能够保证新用户接入网络后获得IP地址并顺利访问企业的业务。

3.6 第三方应用

该案例还进行了软件编程,利用北向接口调用了SDN底层的网络资源和能力,将其与企业短信接口、统一告警平台、数字地图等进行结合,实现了部分智能运维的能力。此外,通过南向接口向第三方系统推送认证信息,实现了用户一键认证功能。

1)黑户告警。企业统一智能报警中心通过与SDN控制器的北向接口对接,能够实时获取控制器上的用户上线和失败锁定等一系列告警信息。该案例应用是与企业内部的IT服务管理系统、网络终端准入系统进行比对,以确保接入的用户都是合法用户。结合企业短信平台和公司的大屏展示,实现异常账户、黑户接入告警。

2)地图展示。企业数字地图同样通过与SDN控制器的北向接口对接,将SDN网络内的交换机、无线AP等设备的状态、告警和事件统一展示在地图上,以实现对网络故障告警的快速定位。同时,还可以通过热力图展示区域内人员的网络接入分布。

3)一键认证。为了加强网络安全,企业部署了准入系统来管理局域网的接入,并在访问互联网时采用了上网行为管理。然而,这样的部署导致了通过SDN网络认证时需要进行三次认证的繁琐过程。为了改善用户体验,该案例通过南向接口的方式,将RADIUS,SYSLOG等系统中的终端IP地址、用户上线和用户下线等信息传送到准入及上网行为管理系统,从而实现只需进行一次输入就能够完成所有系统的认证过程。

4 SDN园区网的思考与展望

传统网络运维工作中普遍存在的“重复配置、频繁变更”等重复性劳动,让运维人员苦不堪言,而SDN使得自动化部署成为现实。网络运维管理工作量大幅下降,所有操作都可以在控制中心管理平台上通过直观的图形化界面配置、拖拽等方式完成,在后台转化为网络设备的具体命令批量下发给设备执行,颠覆了以往人工逐台逐行输入命令的低效方式,大幅提高了工作效率,同时也避免了人工误操作的风险。

在传统网络中,IP地址就是终端位置的标识。由于三层网段往往与位置紧密相关,用户迁移一般会跨越不同的三层网络,此时需要通过修改变更基础网络配置以保证迁移后用户依然能以原来的IP地址接入网络。即传统网络中,运维人员关注的是用户的IP地址而不在意用户的身份,此时IP地址决定了用户的访问权限;SDN网络中,用户和应用成为关注的核心,IP地址与物理位置解耦,网络本身提供了IP任意位置访问的能力。所有网络资源跟随用户和应用移动,用户在哪里接入,资源就下发到哪里,实现了“网随人动、策略随行”,真正实现了应用驱动网络的目标。

未来,人们将在SDN网络的架构下结合具体业务需要,不断探索推进炼化企业基础网络的智能化发展。一是加速网络与应用相互联动,通过SDN北向接口与云平台对接,探寻基于微服务技术下的应用与网络的深层融合,按需提供服务;二是不断创新网络智能监控手段,在SDN控制平台的基础上,不断提升网络数据采集能力,利用大数据、AI等技术手段开展网络智能分析,提升网络安全事态感知水平和能力,保障网络基础设施稳定运行。