SDN智能园区网方案0407v2.docx
- 文档编号:6208480
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:9
- 大小:928.24KB
SDN智能园区网方案0407v2.docx
《SDN智能园区网方案0407v2.docx》由会员分享,可在线阅读,更多相关《SDN智能园区网方案0407v2.docx(9页珍藏版)》请在冰豆网上搜索。
SDN智能园区网方案0407v2
基于SDN的
智能园区交换网络
解决方案
博科通信
2015年4月
1园区网扁平化架构
近几年,随着高校信息化的不断发展,高校在校园网建设方面的投入在持续增加,网络状况和应用承载能力也都在逐步提高,但是目前许多校园网依然存在一些共性的问题:
●首先,学校在规模扩大的同时,也导致网络规模进一步扩大,网络结构更加复杂,网络管理维护的复杂度也在加大;
●其次,在现有网络平台上增加和实现新的功能和应用时,难度在加大,效果也得不到保证;
●同时,由于多层次网络的构建模式,导致网络平台进一步扩展的涉及到的方面较多,牵一发而动全身;
●校园网的用户密集,应用类型丰富,是高校信息系统支撑平台,也是新的媒体和重要的传播渠道。
而目前的网络只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制手段,缺乏针对性的记录、审计和控制,导致了网络的无序使用。
在传统的园区网架构中,每个层面都分别承担了网络的一部分功能,这种架构下,校园网的每个层面都在做用户接入和控制,实现了一部分的功能部分的功能;这就使得在校园网中部署新功能新应用变得非常困难,要考虑到各个层面设备的支持能力。
相应的,由于控制点的分散,导致出现问题后,故障点很难定位,恢复时间较长;处理一个故障往往涉及多个层面的多个设备。
并且,由于采用了三层交换设备,无法实现VLAN的细分和隔离,从而导致大量的用户、应用处于同一个VLAN广域域内,没有有效的隔离措施和保障手段,相互之间的干扰和影响严重。
以上这些问题将随着校园网规模的逐步扩大,多业务多应用的叠加,用户数的不断增加和流量的爆发式增长而显得越来越突出,最终导致校园网整体的稳定性可靠性降低,管理维护压力越来越大。
为了解决这些问题,越来越多的园区网将传统的核心—汇聚—接入的物理网络架构和分层实现业务控制的模式,转变为以核心设备提供业务/用户控制、汇聚+接入设备提供宽带接入和用户隔离的扁平化网络架构。
所谓扁平化的网络架构,不是意味着网络物理层面变为两层,而是从网络中设备所承担的功能上区分,将网络划分为业务控制层和宽带接入层。
宽带接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。
通过网络构架模式的改变,能够有效解决目前校园网中存在的这些问题,优化目前的校园网平台,提供对高校信息化更好的承载。
2园区网进一步完善的需求分析
在新的扁平化园区网架构中,值得注意的是,构架扁平化的校园网络和部署精细化的管理模式,都对网络中的业务控制层,即核心层设备的功能、性能、可靠性和可扩展性提出了更高的要求,因此核心设备的稳定性决定了全网业务的稳定性,而一旦核心设备出现故障,则会导致大面积故障,甚至导致关键业务中断。
在实际的部署中,扁平化网络架构主要存在两方面的问题需要进一步完善:
首先,为了保证网络的稳定可靠,传统上一般采用双核心的方案,通过汇聚层设备的双链路上行,构建双星型的网络架构。
在汇聚层交换机上,一般通过静态的配置,实现特定VLAN的流量在两条上行链路上进行分配。
如下所示:
这种部署方案能够实现用户流量在两台核心设备上的分担和处理,但当某台核心设备或上联链路出现故障时,则需要:
1.通过手工配置将流量切换到另外一条上联链路上
2.需要在另一台正常运行的核心设备上增加配置,对新切换过来的流量进行相应的处理。
这些操作都需要通过管理员以手工配置的方式完成,效率较低、容易出错,且管理维护工作量和压力都较大。
因此需要有一种更为高效、简单、可靠的方案,完成网络监测、故障定位和自动化的切换操作。
其次,在扁平化网络架构中,传统的汇聚和接入层设备只是提供了最基本的用户接入和VLAN隔离的二层转发功能,即实现了接入用户与核心设备的“管道”,而不提供任何其他功能。
因此从核心设备到用户之间的这个管道,就成为了园区网络中的一个“黑盒子”,管理员对穿越其中的流量,缺乏了解和掌握,也难以分析和控制。
在这种架构下,用户侧的任何流量,包括正常的业务流量,也包括异常的流量(如攻击、病毒、异常网络协议流量)等,都会经过这个流量“管道”,不加任何限制地流向核心层设备。
对核心层设备而言,一方面要接入大量的用户和业务、处理各类正常的协议报文和转发,同时还要面临可能存在的大量的异常流量和攻击,如DHCPdiscovery、DHCPv6discovery、ARPrequest、ICMP、IGMP、MLD等。
这些协议报文,不论是合法的还是异常的,都需要经过核心设备的控制层面进行处理,在终端设备大量发送异常协议流量的情况下,会对核心设备造成相当大的压力,进一步影响园区网的稳定性。
这对这个问题,需要在网络核心设备和边缘之间,提供更加智能化的“管道”,实现流量分析和异常流量的控制,确保网络流量的可视化和稳定可靠。
3智能园区网管道方案
针对上述问题,我们建议采用SDN软件定义网络的技术,在现有校园网中部署支持SDN的汇聚交换机,结合SDN控制器和相应的智能应用,构建扁平化架构园区网络中的智能化管道。
3.1智能选路和故障恢复
建议在园区网络的汇聚层部署BrocadeSDN交换机,实现双星型链路上联到园区网中的双核心节点,并提供与接入交换机的互联。
同时,需要在网络中部署BrocadeBVCSDN控制器,一方面通过openflow1.3实现与SDN汇聚交换机之间的交互,同时也可以通过Netconf等协议实现与目前网络核心节点设备之间的互通。
如图所示:
BrocadeBVCSDN控制器是基于Opendaylight开源SDN控制器项目的商业化版本,提供了丰富的南向接口(如openflow、BGP-LS、Netconf、YANG、snmp等),开放的RESTfulAPI北向接口,能够实现与多厂家设备之间的互通,并提供了高可靠性、丰富的应用和完善的技术支持体系。
在采用该架构时,默认会通过SDN控制器下发流表到汇聚层交换机,按照特定的规则将用户流量分配到两台核心设备上,如下所示:
BVC控制器中流表定义举例如下:
52239030536:
4
52239030536:
1
此时交换机中的流表如下:
lab@ovs-1:
~$sudoovs-ofctldump-flowsbr-1
NXST_FLOWreply(xid=0x4):
cookie=0x8,duration=48.421s,table=0,n_packets=0,n_bytes=0,idle_age=48,priority=200,in_port=4,dl_vlan=10actions=output:
2
cookie=0x9,duration=4.862s,table=0,n_packets=0,n_bytes=0,idle_age=4,priority=200,in_port=4,dl_vlan=20actions=output:
1
当某台核心设备出现异常时,BVC控制器通过侦测机制发现设备异常,将下发流表,更改汇聚交换机的转发路径如下:
lab@ovs-1:
~$sudoovs-ofctldump-flowsbr-1
NXST_FLOWreply(xid=0x4):
cookie=0x8,duration=344.553s,table=0,n_packets=0,n_bytes=0,idle_age=344,priority=200,in_port=4,dl_vlan=10actions=output:
2
cookie=0x9,duration=300.994s,table=0,n_packets=0,n_bytes=0,idle_age=300,hard_age=2,priority=200,in_port=4,dl_vlan=20actions=output:
2
同时,BVC控制器将通过Netconf协议,在运行正常的核心设备上增加相应的配置,允许VLAN20的用户接入、分配地址、身份认证和路由发布等。
完成整个故障的闭环处理。
3.2流量分析和攻击防护
BrocadeBVCSDN控制器提供了VTM应用,能够通过SDN交换机,提供网络内部的流量分析、优化和攻击防护功能,如下所示:
实现流程为:
1.汇聚层SDN交换机
•发送Sflow流分析数据
2.sFlow采集器
•采集来自汇聚层交换机的Sflow数据
3.BrocadeSDN应用程序
•分析并管理Sflow流数据,实现应用分析和攻击流量识别
•提供策略管理的用户界面和RESTAPIs接口,实现与控制器之间的对接
4.SDN控制器
•编辑OpenFlow1.3策略
•实现与汇聚层设备之间的对接,下发相应的流表对特定的数据流进行控制(如限速、丢弃或重定向等)
用户通过VTM应用的WEB界面,能够实时获得园区网智能管道内的应用信息,对攻击流量自动识别并通过openflow下发特定的流表,对特定的数据流进行相应的控制,包括限速、丢弃或重定向等。
当攻击流量消失后,会自动回收该条流表,保障正常流量得到正常的转发。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SDN 智能 园区网 方案 0407 v2
![提示](https://static.bdocx.com/images/bang_tan.gif)