内生安全SD-WAN网络架构与关键设备方案研究
软件定义广域网是将软件定义网络技术应用于广域网,以实现高效、特色连接服务的技术。研究分析政府、企业新型云化业务部署快速发展后,针对网络传输承载的需求,结合软件定义网络和网络功能虚拟化等技术的发展,提出了一种较为精简的、内生安全的软件定义广域网网络架构,并给出了其典型的应用场景。该网络架构主要包括软件定义安全接入路由器、虚拟化安全路由器、动态编排与智能控制设备等关键设备,并给出了实现上述关键设备的初步原理框架,具有较好的可实现性。
0 引 言
随着云计算的快速发展和大规模部署,政府、企业大量的信息系统逐渐从传统的集中式数据中心向云计算分布式数据中心架构转型。在这个发展过程中,用户对信息系统和各类业务应用的使用需求不变甚至更高,希望访问云应用能像访问本地应用一样迅速、安全,但是云计算架构下的网络流量模型发生了根本改变,对广域网的承载传输需求也发生了很大改变,主要体现在以下几点。
(1)本地应用迁移到云端后,原来这些应用在本地运行,独享局域网带宽,现在变为云端运行,共享广域网带宽,对广域网的带宽、承载能力、可扩展性以及可靠性等都提出了更高的要求。
(2)各地的应用都要通过广域网和云端进行通信,使得广域网的业务种类变得多样、流量变得复杂。为了保证应用体验不受影响,需要面向不同用户实现差异化和精细化调度,以保障各类用户的服务质量。
(3)云计算数据中心的规模部署,使得数据中心之间的互联互通和数据同步越来越多,需要专门的数据中心互联(Data Center Interconnect,DCI)网络来承载和保障这些流量,同时要求DCI网络具备实时感知、统一编排以及灵活调度等,以动态适应云计算应用的能力。
传统广域网在建设时通常严格采用分层设计的思想和策略,基于各类通用路由器、交换机等设备构建。为了实现多样性业务、大容量业务承载传输以及全国甚至全球互联等,使得系统十分复杂;为了保证网络的安全性、独占性等,使得系统比较封闭。网络上承载的业务和网络本身状态之间没有关联。网络和应用相对分割,而业务和网络之间的关联一般静态地通过维护保障人员人工配置。这种配置通常只能固定和事前设置,无法根据不同应用业务需求进行不同策略的调整和传输。因此,传统广域网难以适应云计算广泛应用的需求,需要对广域网进行重构和变革。为了统筹解决这些需求,开展内生安全SD-WAN网络架构与关键设备方案研究。
1 内生安全软件定义广域网的系统架构
通过分析软件定义网络、网络功能虚拟化、内生安全等技术,综合各技术优势和特点,研究给出一种内生安全软件定义广义网络架构。
1.1 相关技术介绍
软件定义网络(Software Defined.NETwork,SDN)技术是近年来新兴的基于软件的网络架构技术。它将网络的控制平面和数据转发平面分离,采用集中式控制替代传统网络的分布式控制,并采用开放和可编程接口实现“软件可定义”的网络架构。SDN是“软件即服务”的趋势从IT产业向网络领域延伸的重要实践,核心思想是通过“软化”网络设备的主要功能组件,实现网络的敏捷、开放、智能和可重构等新能力。
网络功能虚拟化(Network Function Virtual,NFV)是将虚拟化技术在通用IT设备上实现各种复杂的网络通信设备功能,核心思想是网络功能的虚拟化和软件化。NFV的本质是实现硬件资源与软件功能的解耦,目标是通过基于服务器来实现网络路由交换设备功能,从而取代传统网络中的私有专用网元,一方面可以显著降低网络建设成本,另一方面通过开放的应用编程接口提升网络的管理维护效率,增强网络的灵活服务提供能力等。NFV将通用网络设备的软硬件结合模式转变为抽象的网络功能网元,并通过统一的上层资源调度与管理系统实现网络功能的可重组、灵活配置等。通过采用NFV技术实现网络传输的动态切片、功能重组等能力,可以快速满足未来不同业务线需求下的网络灵活运营等新需要。
内生安全技术近几年已成为新型信息基础设施安全防护理念的重要发展方向。传统安全防护理论主要侧重于在现有网络中叠加认证、传输加密、边界防护、访问控制等安全手段来实现保护。但随着包括云计算、5G、大数据、人工智能等新型信息基础设施建设的快速发展,相关新技术如虚拟化技术、网络切片技术、网络能力开放、异构网络接入、边缘计算新技术的引入给安全防护带来了全新的挑战,存在安全保障不足、网络传统安全边界缺失等问题。内生安全技术重点对传统设备结构进行调整,以重新建立安全防御边界为基础,将各类安全防护手段与通信网络进行一体化设计、内生式实现,依靠系统自身体系架构和工作机制实现新型的安全防护。内生安全技术将新型信息基础设施的安全要求和功能要求统一设计实现,重塑安全边界,实现对各类已知或未知威胁的有效防御。
1.2 一种内生安全软件定义广义网络架构设想
提出的内生安全软件定义广域网(SoftwareDefined Wide Area Network,SD-WAN)综合应用 SDN、NFV和新型的内生安全技术的核心思想和原理,将原用于数据中心网络的SDN技术拓展至广域网,在传统广域网上替换升级各类传统接入路由器为SDN安全接入路由器和虚拟化安全路由器,引入WAN控制器、网络编排等新功能实体,以更好地满足各类新型云化业务对网络传输的新需求。将原来叠加于广域网络上的各类安全防护机制和手段,采用内置于设备、虚拟化、软件化、可动态加载和配置等方式实现,增强系统的自身安全属性和灵活部署性,提升安全防护效果。
方案利用SDN技术增强广域网络的集中控制能力,建立集中控制与管理平台,通过控制器提供的南北向接口协议,把应用业务同广域网络中的各类设备关联起来。一方面,可以实现对网络状态的主动监测、感知和调整等,以符合应用业务的要求;另一方面,各种不同的应用业务能够更加简便、灵活地调用网络服务,使广域网络能够更好地为应用提供服务,变得更加开放、可视、可调度以及便于运维保障等,从而提升各类应用业务的服务质量保证和用户应用体验等。内生安全SD-WAN网络架构如图1所示。
图1 内生安全软件定义广域网架构图
在该SD-WAN架构中,WAN控制器直接赋予了整个网络开放性和灵活度,是该架构的核心。业界两个主流的开源SDN控制器OpenDayLight(ODL)与开源网络操作系统(Open Network Operating System,ONOS)基本上已成为行业标准。其中,ODL作为参与度最广的、领先的开源控制器平台,已经在数据中心网络广泛应用,现已逐步向广域网领域延伸和普及。该网络架构也将采用ODL控制器机制,并作为构建开放SD-WAN的核心控制平台,扩展不同的业务应用模型,以满足不同用户场景下的应用需求。
在该架构中,中心的WAN控制器通过北向API接口实现与管理编排及应用系统的需求下发及状态收集上报,通过南向协议接口实现与网络设备的控制及交互,并形成应用驱动网络重构、网络适用应用需求与变化的闭环控制效果。其中,最关键的是控制器通过南向接口协议与网络设备进行交互,主要有信息采集和服务控制两大功能。信息采集是指控制器要能够实时获取网络拓扑、业务流量状态、链路质量以及拥塞情况等网络信息,为网络状态呈现、网络控制决策提供信息支撑。服务控制是指控制器利用收集到的各类网络信息数据,基于策略或模型与应用业务需求进行匹配,生成对网络服务提供的具体需求,并通过南向接口实现对网络路由转发行为的控制和调配等。
2 SD-WAN关键设备与技术方案
根据前述提出的内生安全SD-WAN网络架构,下面研究提出其关键设备组成。
2.1 SD-WAN关键设备组成
随着各类新型云化业务的快速发展,需要对网络链路带宽、网络交换容量等不断进行扩容、调整。另外,传统的网络流量工程应用复杂,不便于动态配置和调整,难以满足多样化的端到端的业务服务。通过采用SD-WAN架构实现网络的集中控制、统一调度和业务的智能选路,通过提升边缘路由设备的灵活控制,以满足业务的按需扩展、动态编排等。
根据广域网络骨干和核心部分一般是基于传统路由器为主的情况,为了在现有广域网上快速和简便地构建具备支持云化应用的能力,提出一种较为精简的支持软件定义、网络云化的SD-WAN关键设备组成方案,分别为软件定义安全接入路由器、虚拟化安全路由器、动态编排与智能控制设备。
软件定义安全接入路由器部署于用户网络边界,可基于软件定义的数据面转发功能等,构建适应不同业务需求的隧道或传输切片。此外,基于虚拟化网络功能(Virtualization Network Function,VNF)编排各类安全防护功能,包括虚拟防火墙、虚拟抗分布式拒绝服务攻击、虚拟入侵检测系统等,支持广域承载网多种类型链路承载,以适应现有传统广域网络和全新 SD-WAN网络等融合应用的组网需求。基于软件定义的数据面转发功能包括IP、IP in IP、多协议标签交换(Multi-protocol Label Switching,MPLS)以及虚拟可扩展局域网(Virtual extensible Local Area Network,VxLAN)等。
虚拟化安全路由器实现网络设备云化和虚拟化。基于NFV技术,可以将其部署于各类通用高性能服务器、云计算环境,是面向云应用的接入网关,其具备集成路由、交换、安全、虚拟专用网络以及服务质量等复杂功能,具有软硬件解耦、业务易部署和智能运维等特点,可以部署在入网点和云环境中。
动态编排与智能控制设备主要应用于广域网系统控制、数据中心互联DCI和云虚拟专用网络(Cloud VPN)等场景,支持路径集中计算、带宽集中管理、业务动态调度等能力,提供全网业务约束条件和拓扑链路属性信息的集中管理,支持收集物理拓扑信息和逻辑拓扑信息,并提供拓扑的全局呈现,实现WAN领域的业务快速部署发放、域内流量调优等能力。
2.2 应用场景
随着各行业信息化进程的快速发展,建设统一数据中心、数据上云等需求日益迫切。特别是政府、大型国内或跨国企业需要提供分支与总部、分支与数据中心、分支与中心云、分支与分支之间的全场景按需互联,需要解决通过广域网的业务有QoS保证地互通,并能够根据广域网状态变化,为各类应用动态地实现智能选路与智能加速、新型云化业务随需获取和智能运维等功能,同时需要在总部和各分支之间建立业务的加密安全传输、子网的边界安全防护、入侵检测、抗DDoS(Distributed Denial of Service)攻击等安全功能,传统的安全防护是需要在网络中部署上述独立的安全设备。而采用该网络架构后,上述主要安全防护功能已经由各通信设备自身一体化提供,从而有效地简化了云化网络架构中安全专用网络的开通、建设及维护的成本和复杂度。
采用内生安全的SD-WAN网络构建承载于传统广域网的云化安全网络,可实现业务流集中控制、安全防护统一配置与调度,极大地提升传统广域网支持云化业务的业务体验和业务部署能力。一种典型的应用场景如图2所示。
图2 最简软件定义广域网络设备应用场景
2.3 SD-WAN关键设备技术方案
根据SD-WAN系统关键设备组成,下面研究提出设备的初步技术方案。
2.3.1 软件定义安全接入路由器
软件定义安全接入路由器能够同时支持通用用户接入站点设备(Customer Premise Equipment,CPE)和虚拟化网络功能的 uCPE 设备应用,并可根据实际应用场景进行灵活部署。它需要全面支持软件定义网络能力,如具备OpenFlow、网络配置协议(Network Configuration Protocol,NetConf)、开放虚拟交换机数据库(Open vSwich Database,OVSDB)、 边界网关协议—链路状态(Border Gateway Protocol-Link State,BGP-LS)等南向配置及查询接口协议。设备可配置为传统分布式、纯SDN、混合模式等多种运行模式。它具备VNF虚拟网络组件能力,可动态加载虚拟防火墙、虚拟入侵检测、虚拟化抗DDoS以及虚拟网络保密等网络安全功能。安全特性上还支持路由协议安全认证、节点间的可信互联功能、终端安全准入以及控制平面安全防护等。
软件定义安全接入路由器的初步原理框架如图3所示。
图3 软件定义安全接入路由器原理框架
软件定义安全接入路由器由接入单元、交换矩阵、集中式路由转发和虚拟网络功能等模块组成。接入单元通过各类接口与承载网路由器互联;交换矩阵完成用户接口、广域接口与处理器模块互联;路由转发完成信令与路由协议处理、数据包集中式转发、配置管理、网管代理、BGP-LS、Netconfig、OpenFlow等智能控制协议处理。设备支持传统路由转发功能,支持基于IPv4、IPv6的单播、组播转发,支持MPLS标记转发等。虚拟网络功能支持VNF架构,可采用高性能通用处理器实现,是整个设备的核心新功能与特色功能体现。在动态编排与智能控制设备的统一控制和管理下,在软件定义安全接入路由器中实现虚拟防火墙(Virtual Fire Wall,vFW)、虚拟入侵检测(Virtual Intrusion Detection System,vIDS)、虚拟抗DDoS(Virtual Distributed Denial of Service Attack,vDDoS)、虚拟网络保密(Virtual IP Security,vIPSec)等多种虚拟化网络安全功能的实现和扩展。与传统的在网络边界叠加安全设备相比,新型的安全路由设备能够在设备内部提供上述各项安全功能,可根据应用场景动态编排,具有更好的性价比,并更好地提供动态的安全防护能力。
2.3.2 虚拟化安全路由器
虚拟化安全路由器基于NFV技术软件实现,可快速灵活地部署到云端PoP点、云端集线 Hub点等云环境场景,实现SD-WAN中虚拟机(Virtual machine,VM)模式下的CPE设备功能(Virtual CPE,vCPE),提供基于应用的智能选路和加速的灵活云接入,支持自动化编排,可快速建立安全可靠的网络互联。采用虚拟机资源承载具有路由、交换、安全以及QoS等功能的虚拟路由器VNF实例。虚拟化安全路由器的设备初步原理框架如图4所示。
图4 虚拟化安全路由器系统架构
虚拟化安全路由器是采用虚拟机形式部署的CPE设备。系统架构由以下几个关键部分组成。
(1)物理硬件和操作系统。这是通用的高性能处理器硬件平台,提供CPU、内存、网卡以及存储等硬件资源和基础操作系统服务。
(2)Hypervisor。它支持KVM、VMware 等主流的虚拟化平台。作为中间软件层,它可实现对虚拟机的管理,允许多个虚拟机实例共享硬件资源,同时在各个虚拟机之间要考虑实现隔离和防护功能。
(3)
vSwitch/SR-IOV/PCI-passthrough。它可实现虚拟机实例之间和虚拟机实例与外部网络之间的信息交换。
(4)虚拟机实例。分配独立的虚拟处理器(Virtual Central Processing Unit,vCPU)、虚拟网络接口卡(Virtual Network Interface Card,vNIC)等资源,承载具有路由、交换、安全、QoS 以及VPN等功能的VNF实例。其中安全实例是实现设备内生安全能力的主要组件,提供与软件定义安全接入路由器中类似的安全功能,只是实现方式是在虚拟机上采用NFV技术实现,与传统安全防护方式相比也有类似的优势和特点。
2.3.3 动态编排与智能控制设备
动态编排与智能控制设备主要基于高性能服务器、操作系统以及数据库等平台构建,支持网络设备的动态发现、智能连接及安全控制通道维护,是SD-WAN网络架构中的核心设备,实现了SDN架构中控制器的所有功能,并与管理系统、应用业务等紧密结合。它提供智能化的网络优化功能,根据网络资源和链路状况重新配置路由;根据网络故障和性能的分析,自动给出网络和设备资源的优化调整建议;支持虚拟网络切片划分及功能编排,基于切片的网络资源、安全资源调度部署;提供跨网系一体化协作能力,实现跨网系策略协作执行功能,并可以根据网络运行情况,在多个网系间实现策略的跨网系一体化协作执行;支持NetConf、OpenFlow、SNMP、BGP-LS等南向控制管理协议,支持Restful、WebService、AAA、RestConf 等 北向服务接口被应用业务、网络管理等系统调用。动态编排与智能控制设备初步原理框架如图5所示。
图5 动态编排与智能控制设备原理框架
动态编排与智能控制设备在南向、北向开放各类标准接口。北向接口支持网络应用与管理平台、业界通用的虚拟化云平台等实现对接,接受应用业务需求;南向接口支持与软件定义安全接入路由器、虚拟化安全路由器等设备的对接,将北向的业务服务调用转化为南向的网络设备配置、控制和调度等。网络基础服务支撑中提供网络拓扑、转发、安全防护、流量统计等编排服务,是实现系统网络编排和调度功能的核心组件,通过内置安全功能编排与管理模块,系统中不再需要单独的安全管理系统等设备。因为采用了通用服务器架构,所以该设备可以直接利用通用服务器体系成熟的热备、集群、高可靠性等技术来进一步保证系统的高可用性。
3 结 语
随着云计算应用业务的蓬勃发展,政府、大型企业对能够提供全国或全球覆盖能力的高安全、高QoS保证的广域传输网络专线业务需求增加。本文研究提出一种内生安全功能的软件定义广域网络架构,可以基于当前较为完备的有线、4G/5G、卫星等网络传输基础,为企业提供混合组网、跨境组网和现网优化功能,满足企业快速、灵活的组网需求,快速构建服务于云化应用业务专用广域网络。同时,研究给出的关键设备初步原理框架较好地吸纳了业界同类产品的特点和优势,按照提供内生安全属性的思路,实现业务传输QoS保证和安全防护能力的同步提供,具有较好的可实现性和特色优势。后续为加快具备内生安全能力的SD-WAN网络的应用和推广,需要继续在服务方案、能力标准化以及生态建设等方面不断完善,以进一步提升不同厂家产品和系统的兼容性、适配性等。
引用本文:康敏.内生安全SD-WAN网络架构与关键设备方案研究[J].信息安全与通信保密,2021(7):95-104.
作者简介 >>>
康 敏(1977—),女,硕士,高级工程师,主要研究方向为网络与通信。
选自《信息安全与通信保密》2021年第7期(为便于排版,已省去原文参考文献)
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿邮箱:
xxaqtgxt@163.com
《通信技术》杂志投稿邮箱:
txjstgyx@163.com
信息安全与通信保密杂志社网络强国建设的思想库 安全产业发展的情报站 创新企业腾飞的动力源1594篇原创内容
