招商银行SDN网络实践

　　另外，还要求通过网络功能虚拟化(NetworkFunctionsVirtualization，NFV)技术，在SDN网络中提供虚拟的安全服务，并通过服务链的方式为需要的流量提供安全访问控制。

　　三是在一个管理平台下实现对虚拟网络、物理网络的统一管理和控制。在部署了SDN之后，对于网络本身而言其实是变得更加复杂了。除了原有的物理网络之外，还有一张虚拟的网络，并且虚拟网络的规模和架构复杂度丝毫不亚于那张物理网络。

　　另外，Openflow和VXLAN等新协议的引入，也增加了网络整体的技术复杂度。在这种情况下，网络运维管理的难度高于传统网络。如果不能采用一些方法和技术，实现对物理网络和虚拟网络的统一管理，那么部署SDN对网络运维管理技术人员来说，将是一个极大的挑战。因此，在进行科兴园区的网络设计时，就要求能够实现在一个平台下对所有基础设施资源进行统一管理。在综合考虑各种方案之后，最终决定在科兴园区引入云计算平台，对网络、计算和存储资源进行统一管理。

　　2.科兴园区SDN网络逻辑架构科兴园区的SDN网络是按照私有云的模式建设的，综合应用了云计算(Openstack)、SDN(Openflow)和Overlay(VXLAN)等方面的技术，其整体逻辑架构如图1所示。

　　整个SDN网络分为三个层次。

　　最上面是管理层，主要由云管理平台和用户Portal组成。云管理平台采用了基于Openstack架构的商业化产品，包括品高的平台和H3C的云平台，并做了一定的定制化集成开发。云管理平台负责对SDN网络里的所有IT资源进行管理和调度。用户Portal是实现用户自助服务的Web页面。这个SDN网络的用户主要是招商银行内部的开发和测试部门。

　　管理层下面是控制层，主要部署了各类IT资源的控制器。在网络方面，主要是H3C的VCFController(VCFC)。为了保障SDN控制器的高可用性，VCFC是以集群的模式进行部署的。

　　控制层下面是基础资源层，包括网络资源、计算资源和存储资源等。在网络方面，采用了基于VXLAN协议的Overlay技术。Overlay模式是一种混合模式，既部署了主机Overlay，通过服务器Hypervisor层的OVS(OpenvSwitch)来实现;也部署了网络Overlay，通过支持VLXAN和Openflow协议的物理交换机来实现。

　　OVS和支持VXLAN的TOR交换机都可以作为VTEP节点，实现对数据报文的VLXAN封装和解封装。采用混合Overlay的好处是，在同一个Overlay网络下，可以接入支持在虚拟机环境下部署的应用，也可以接入那些必须部署在物理服务器上的应用。这为业务系统的部署提供了很高的灵活性。另外，Overlay网络并不是孤立存在的，而是通过VXLANIPGateway节点，实现了与招商银行传统网络的互连互通。

　　3.底层Underlay网络拓扑结构相对于Overlay网络，底层的Underlay网络采用了传统的网络技术进行了部署。物理Underlay网络的拓扑结构如图2所示。

　　Underlay网络采用业界通用的Spine-Leaf架构进行部署。这种架构只有核心(Spine)和接入(Leaf)两层结构，网络拓扑简单，数据报文流经的网络设备数量较少，网络传输延时也较小。

　　Spine节点为两台H3C的S12500核心交换机，并通过N:1虚拟化技术(IRF2)进行了堆叠，虚拟成一台逻辑设备运行，提高了Spine节点的可靠性，也简化了网络结构。每个Leaf节点设备也采用双设备部署(H3C的S6800交换机)，并同样用N:1虚拟化技术堆叠成一台逻辑设备。

　　整个网络为纯三层网络，部署了OSPF动态路由协议。每个Leaf节点与Spine节点之间有多条物理路径可达，并且支持OSPF的多路径等价路由(ECMP)。

　　基于动态路由协议的纯三层网络，既消除了传统网络中的二层环路问题，又通过ECMP、N:1虚拟化等方式保障了网络的高可用性。另外，为了实现与招商银行传统网络的互连互通，又不与传统网络相互影响，这个区域的网络与招商银行其他区域的网络之间采用了静态路由的方式，相互通告路由网段。这样的路由部署方式，既简单可靠，又安全可控，有利于故障的隔离。

　　4.科兴园区SDN网络安全架构在网络安全方面，科兴园区的SDN网络也进行了专门设计。整体的网络安全架构如图3所示。

　　SDN网络的安全设计主要体现在两个方面。

　　一是采用了vSwitch(OVS)内嵌的分布式防火墙技术，解决了虚拟化技术的应用导致主机与网络的边界模糊的问题，以及Overlay虚拟网络跨越传统的物理网络分区后安全策略如何统一部署的问题。

　　二是采用了基于NFV技术的安全资源池。NFV技术将原来传统网络里只能通过物理安全设备实现的功能进行虚拟化，部署在虚拟机上运行，并提供同样功能的安全服务，如防火墙功能。通过虚拟机的批量部署，构建网络里的安全资源池，并通过服务链技术调度给业务应用的虚拟机使用。基于NFV技术的虚拟安全设备，解决了传统物理安全设备无法识别Overlay网络数据报文的问题，以及安全设备自动化部署与弹性扩展的问题。

　　5.科兴云管理平台科兴园区SDN网络的管理通过“科兴云管理平台”的软件来实现。云管理平台的功能包含了对计算、存储和网络等各类IT基础资源的管理，对网络安全体系的管理，对网络流量的调度，网络拓扑管理，租户资源管理，系统运维管理等。在云管理平台上，物理资源、网络逻辑资源、租户资源等都可以统一进行展示和管理。

　　与传统的IT管理平台相比较，科兴云管理平台的一个突出特点在于实现了对各类资源的统一管理。以网络资源为例，传统的网络管理平台一般只能管理到物理网络的拓扑，对VPN等虚拟网络的管理则需要通过单独的组件来实现。而在科兴云管理平台上则实现了对物理网络和虚拟网络的统一管理。对各种网络的拓扑可以同时直观地展现。

　　科兴云管理平台另一个很有特色的功能是对于网络流量的灵活调度。网络管理员可以根据业务和网络的情况，对网络中的数据量下发流量调度策略。网络策略应用的对象，可以根据源和目的VTEP(vSwitch)的地址信息而灵活地定义。流量路径的计算与选择可以根据网络中的链路负载情况、链路Cost值、带宽比等灵活选取。

　　当网络策略下发后，科兴云管理平台会自动监控网络的状态。根据预定义的网络策略，当某条链路的负载状态达到预设定的阈值时，云管理平台会显示告警，并将对应链路标红。这时，管理员可以修改流量调度策略，将需要调度的流量重新调整到新的路径上。

　　另外，与许多其他的云平台一样，科兴云管理平台还实现了对租户资源的自动化分配与管理，租户可以按自身的业务需求获取云资源。在网络策略方面，实现了策略的自助编排与自动化下发。预先定义好并下发到虚拟机的网络策略，还可以跟随租户虚拟机在任意时刻、任意位置自动迁移。在迁移的过程中，可以保障业务的连续性。

　　科兴园区SDN网络是招商银行在SDN技术应用方面迈出的第一步，招商银行也将在生产网络中应用SDN。

　　未来，在SDN与银行信息化建设相融合的道路上，招商银行将继续在两个方向上进行探索、研究与实践：一是探索和研究SDN技术与云计算技术的结合，实现IT基础资源的管理与上层业务平台、以及未来金融云平台的完美对接，最终实现银行业务的自动化编排与管理;二是进一步完善网络及其他IT基础资源的自动化管理和精细化管理，提高IT资源的使用效率，最终达到降低IT总体成本的目标。

（文章来源：《中国金融电脑》杂志）

首页 上一页 1 2

扫码即可手机
阅读转发此文