BGP協(xié)議的廣域網(wǎng)流量調(diào)度SDN控制器怎樣在銀行業(yè)部署實(shí)踐

本篇文章為大家展示了BGP協(xié)議的廣域網(wǎng)流量調(diào)度SDN控制器怎樣在銀行業(yè)部署實(shí)踐，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

在實(shí)際用戶環(huán)境下部署SD-WAN的解決方案往往會(huì)遇到以下幾個(gè)問(wèn)題：
　　需要采購(gòu)新的硬件或者軟件CPE，雖然這筆開(kāi)銷相比采購(gòu)傳統(tǒng)設(shè)備有了一定程度的節(jié)省，但是隨之而來(lái)的人員培訓(xùn)、系統(tǒng)集成等費(fèi)用還是一筆不小的開(kāi)支
　　如何充分利用現(xiàn)有網(wǎng)絡(luò)資源保護(hù)已有的設(shè)備投資?
　　在編排器或者SDN控制器失效的情況下如何充分利用現(xiàn)有網(wǎng)絡(luò)資源提供逃生通道?

　　介紹一種基于BGP協(xié)議的流量調(diào)度SDN控制器(BGP TE controller)。BGP TE controller融合了SDN理念，針對(duì)企業(yè)、銀行流量調(diào)度的特點(diǎn)和需求進(jìn)行了優(yōu)化;通過(guò)BGP Flowspec協(xié)議發(fā)送流量調(diào)度策略，將流量調(diào)度到相關(guān)的設(shè)端口，通過(guò)BGP Segment Routing Policy優(yōu)化流量穿行網(wǎng)絡(luò)的路徑。底層網(wǎng)絡(luò)可以是用戶現(xiàn)有網(wǎng)絡(luò)設(shè)備通過(guò)軟件升級(jí)支持FlowSpec和Segment Routing即可。該控制器已經(jīng)在國(guó)內(nèi)某銀行骨干網(wǎng)絡(luò)成功部署，實(shí)現(xiàn)網(wǎng)絡(luò)和特定業(yè)務(wù)的流量調(diào)度。

　　背景

　　可編程的網(wǎng)元設(shè)備作為SDN網(wǎng)絡(luò)的基本組成要素，需要提供不同層面的API接口(控制平面和管理平面);SDN控制器通過(guò)這些API接口收集網(wǎng)絡(luò)拓?fù)?、資源信息、流量信息，基于這些信息SDN控制器就可以對(duì)網(wǎng)絡(luò)進(jìn)行抽象、仿真、調(diào)度和監(jiān)控。網(wǎng)絡(luò)自動(dòng)化編排系統(tǒng)通過(guò)SDN控制器的北向API接口操縱網(wǎng)絡(luò)模型,從而完成對(duì)網(wǎng)絡(luò)業(yè)務(wù)的編排工作。可編程設(shè)備的基本模型如下圖所示：　　

• 　　BGP Flowspec

　　如果需要根據(jù)IP包的七元組(源、目標(biāo)IP地址，源、目標(biāo)端口號(hào)、協(xié)議號(hào)、QOS標(biāo)記、接口索引)確定如何轉(zhuǎn)發(fā)流量，傳統(tǒng)的做法是通過(guò)在路由器端口上配置PBR(Policy Based Routing)來(lái)實(shí)現(xiàn)。Flowspec是BGP IPv4地址族中的一個(gè)擴(kuò)展地址族，可以實(shí)現(xiàn)將用戶的策略：需要匹配的流量信息(例如IP包的七元組)以及匹配后采取什么動(dòng)作(限流、重定向、更改QOS標(biāo)記 等)打包后通過(guò)BGP發(fā)送給目標(biāo)設(shè)備，從而通過(guò)Flowspec實(shí)現(xiàn)PBR功能而不需要對(duì)設(shè)備進(jìn)行配置，具體功能詳見(jiàn)RFC5575[1]。

• 　　BGP Link-state

　　要實(shí)現(xiàn)流量調(diào)度首先需要控制器能夠了解到網(wǎng)絡(luò)拓?fù)湫畔?網(wǎng)絡(luò)節(jié)點(diǎn)、鏈路互聯(lián)關(guān)系)、網(wǎng)絡(luò)資源信息(節(jié)點(diǎn)、鏈路帶寬以及其他相關(guān)屬性)。這些信息通過(guò)IGP(OSPF/ISIS)協(xié)議進(jìn)行傳播，控制器要取得相關(guān)信息就需要加入到IGP域中或者通過(guò)命令行登錄到設(shè)備上收集，這些方法不僅時(shí)實(shí)現(xiàn)起來(lái)較為復(fù)雜、而且時(shí)效性差。BGP Link-state是BGP協(xié)議中的一個(gè)新的地址族，可以將IGP協(xié)議中的實(shí)時(shí)網(wǎng)絡(luò)拓?fù)洹①Y源信息打包通過(guò)BGP 傳送到控制器，具體功能詳見(jiàn)RFC7752[3].不僅如此，另一個(gè)新的rfc draft[4]可以將每條SR-Policy的運(yùn)行狀態(tài)通過(guò)BGP Link-state 傳送給控制器

　　通過(guò)以上三個(gè)協(xié)議的擴(kuò)展，使用單一BGP協(xié)議已經(jīng)可以做到網(wǎng)絡(luò)、資源信息的收集，流量調(diào)度策略的分發(fā)以及策略執(zhí)行狀況的反饋。不僅如此，使用BMP協(xié)議(BGP Monitoring Protocol)可以通過(guò)帶內(nèi)或者帶外網(wǎng)絡(luò)對(duì)設(shè)備中的BGP運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。再加上20多年互聯(lián)網(wǎng)對(duì)BGP協(xié)議穩(wěn)定性、擴(kuò)展性、多廠商互操作性的考驗(yàn)，現(xiàn)代的BGP已經(jīng)可以完全擔(dān)當(dāng)起SDN底層控制協(xié)議重任。

　　國(guó)內(nèi)某銀行廣域網(wǎng)流量調(diào)度需求及挑戰(zhàn)

　　某銀行廣域網(wǎng)網(wǎng)設(shè)計(jì)有兩地三個(gè)數(shù)據(jù)中心、自建骨干網(wǎng)，區(qū)域中心通過(guò)三條廣域網(wǎng)鏈路就近連接到骨干網(wǎng)的接入節(jié)點(diǎn)，傳輸鏈路租用國(guó)內(nèi)三個(gè)運(yùn)營(yíng)商的線路，如下圖所示：

　　簡(jiǎn)化以后的骨干及分行組網(wǎng)方式如下圖所示:

　　骨干網(wǎng)設(shè)計(jì)有三個(gè)邏輯平面，每個(gè)平面由多臺(tái)核心以及接入路由器通過(guò)廣域網(wǎng)線路互聯(lián)組成，平面間有若干條廣域網(wǎng)線路互聯(lián);骨干網(wǎng)運(yùn)行OSPF協(xié)議，通過(guò)OSPF metric的調(diào)整正常運(yùn)行條件下避免流量穿越平面;分行網(wǎng)絡(luò)通過(guò)三臺(tái)路由器就近連入骨干網(wǎng)，分行路由器間運(yùn)行OSPF，與骨干網(wǎng)之間運(yùn)行eBGP協(xié)議，通過(guò)eBGP協(xié)議的路由策略調(diào)整，三臺(tái)路由器的到DC1,2,3的流量分別穿越平面1，2，3。

　　該用戶的流量調(diào)度需求如下：

• 　　易學(xué)、易用、可控

　　盡量使用用戶熟悉的網(wǎng)絡(luò)技術(shù)，最大程度上降低用戶學(xué)習(xí)曲線;同時(shí)需要有良好的用戶操作界面，使得運(yùn)維人員容易上手操作;調(diào)度策略的運(yùn)行狀態(tài)、效果應(yīng)當(dāng)清晰可見(jiàn)，方便運(yùn)維人員管理控制，在控制器發(fā)生故障的情況下，需要利用現(xiàn)有網(wǎng)絡(luò)協(xié)議作為逃生通道，避免因控制器脫網(wǎng)導(dǎo)致流量異常轉(zhuǎn)發(fā)或者黑洞。

• 　　設(shè)計(jì)、部署難度大

　　該用戶骨干網(wǎng)設(shè)備類型和數(shù)量較多，諸多新型協(xié)議棧如Openflow、Netconf、PCEP等，需要對(duì)現(xiàn)網(wǎng)設(shè)備進(jìn)行硬件更新、軟件升級(jí)才能支持。而且SDN發(fā)展迅猛，新技術(shù)層出不窮，協(xié)議版本快速迭代，對(duì)設(shè)備的兼容性、互操作性要求很高。

　　由于部分廣域網(wǎng)鏈路租用了運(yùn)營(yíng)商的MSTP，MSTP線路會(huì)出現(xiàn)抖動(dòng)的狀況，因此控制器不僅需要快速感知網(wǎng)絡(luò)拓?fù)涞淖兓?，而且要有效的處理鏈路抖?dòng)的場(chǎng)景;但如果完全依靠SDN控制器對(duì)實(shí)時(shí)的網(wǎng)絡(luò)拓?fù)渥兓M(jìn)行策略的調(diào)整，網(wǎng)絡(luò)的運(yùn)行對(duì)控制器的壓力、依賴性會(huì)很大，控制器本身很夠可能就變成了性能瓶頸，因此要充分的利用網(wǎng)絡(luò)設(shè)備本身的處理能力與控制器各司其職;

　　上、下行流量走相同的路徑這個(gè)需求比較挑戰(zhàn)性，眾所周知網(wǎng)絡(luò)設(shè)備是按照逐跳轉(zhuǎn)發(fā)的機(jī)制處理每一個(gè)IP包并不會(huì)識(shí)別某一對(duì)通訊端點(diǎn)的上下行流量，需要生成雙向的流量調(diào)度策略才可以保證上、下行的流量走相同的網(wǎng)絡(luò)路徑，并且不能只按照基于目的地址的方式調(diào)度而是需要按照源、目的地址組合的方式進(jìn)行流量調(diào)度

　　為了提供逃生通道，當(dāng)控制器在線時(shí)，控制器發(fā)送的調(diào)度策略在目標(biāo)設(shè)備上需要有最高的優(yōu)先級(jí)，一旦控制器失聯(lián)則網(wǎng)絡(luò)設(shè)備需要?jiǎng)h除控制器發(fā)送的策略并轉(zhuǎn)換成為按照設(shè)備的路由表轉(zhuǎn)發(fā)的方式，在這種方式下控制器的作用是對(duì)網(wǎng)絡(luò)資源使用的優(yōu)化，即：控制器的集中控制和網(wǎng)絡(luò)設(shè)備分布式控制結(jié)合的方式，而不是類似Openflow的方式將控制器變成了網(wǎng)絡(luò)的神經(jīng)中樞。

• 　　與骨干網(wǎng)BGP RR(Route-reflector)的會(huì)話，啟用了BGP Flowspec地址族，用于實(shí)時(shí)收集骨干網(wǎng)拓?fù)?、資源信息

• 　　與分行的iBGP 會(huì)話，只啟用了BGP Flowspec 地址族，根據(jù)IP的7元組將流量調(diào)度到與骨干網(wǎng)互聯(lián)的廣域網(wǎng)鏈路

• 　　與骨干網(wǎng)PE的iBGP會(huì)話，啟用了BGP Flowspec以及SR-Policy地址族，將用戶流量調(diào)度到不同SR-TE的路徑上，從而實(shí)現(xiàn)按照用戶指定SLA(時(shí)延、帶寬、鏈路費(fèi)用)穿越骨干網(wǎng)的需求

　　BGP TE控制器的基礎(chǔ)使用場(chǎng)景如下圖所示：

　　用戶需要將分行1(IP地址a.a.a.0/24)R1路由器上到DC1的業(yè)務(wù)流量(IP地址b.b.b.0/24 應(yīng)用端口：ccc)從平面1調(diào)度到平面2，業(yè)務(wù)需求走最小時(shí)延的網(wǎng)絡(luò)路徑。為了讀者看清策略工作的原理，以下說(shuō)明中對(duì)策略進(jìn)行了一定的簡(jiǎn)化：

　　1. 控制器生成并下發(fā)兩條SR-Policy策略

　　控制器通過(guò)BGP-LS收集網(wǎng)絡(luò)拓?fù)浜唾Y源信息，并且按照用戶的策略配置計(jì)算出從PE2到PE4的雙向SR-TE Policy同時(shí)計(jì)算出位于平面2的保護(hù)路徑，通過(guò)BGP SR-Policy將該策略下發(fā)到PE2和PE4當(dāng)中(圖中綠色粗線條)，這樣一旦在平面2中的主路徑發(fā)生故障，路由器可以將流量快速的切換到保護(hù)路徑上

　　2. 控制器生成并下發(fā)兩條Flowspec 策略：

　　a. 策略1：匹配流量(源IP：a.a.a.0/24， 目標(biāo)IP：b.b.b.0/24，目標(biāo)端口：ccc)，將流量重從定向到PE2。該策略通過(guò)Flowspec發(fā)送給R1

　　b. 策略2：匹配流量(源IP：b.b.b.0/24，源端口：ccc，目標(biāo)IP：a.a.a.0/24)，流量重從定向到PE2。該策略通過(guò)Flowspec發(fā)送給PE4

　　當(dāng)流量進(jìn)入R1當(dāng)中，路由器根據(jù)Flowspec策略對(duì)IP包進(jìn)行檢查，如果不匹配Flowspec的條件則按照路由表進(jìn)行轉(zhuǎn)發(fā)，如果匹配了Flowspec的條件則將該數(shù)據(jù)包轉(zhuǎn)發(fā)給PE2;數(shù)據(jù)包到達(dá)PE2后則進(jìn)入SR-TE Policy通道到達(dá)PE4;在PE4上IP包按照本地路由表轉(zhuǎn)發(fā)到DC1內(nèi)部相關(guān)的路由器;下行流量與上行流量基本相同，這里就不再重復(fù)了。

　　由于雙向的SR -TE Policy是通過(guò)控制器計(jì)算出來(lái)的，并且在流量入網(wǎng)的兩端通過(guò)Flowspec限制了只有符合策略要求的流量才可以進(jìn)入到相關(guān)的Policy，保證了雙向流量穿行相同的網(wǎng)絡(luò)路徑。

　　當(dāng)骨干網(wǎng)拓?fù)浒l(fā)生變化(如：廣域網(wǎng)鏈路中斷，或者路由器離線等)的處理：

　　通過(guò)BGP-LS控制器可以收集到實(shí)時(shí)的網(wǎng)絡(luò)拓?fù)洌刂破骺梢愿鶕?jù)最新的網(wǎng)絡(luò)拓?fù)溆?jì)算并更新已經(jīng)發(fā)布的Policy

　　當(dāng)出現(xiàn)鏈路抖動(dòng)的時(shí)，控制器會(huì)抑制策略更新的時(shí)間，在檢測(cè)到鏈路穩(wěn)定一段時(shí)間后再將新策略發(fā)送給相關(guān)路由器，從而避免了鏈路抖動(dòng)對(duì)策略的穩(wěn)定性帶來(lái)的影響

　　當(dāng)路由器收到了Flowspec、SR-Policy策略時(shí)，該策略是否能對(duì)流量生效還看該策略是否能通過(guò)路由器的有效性檢查，例如：在上面例子中的Flowspec策略1，如果重定向的目標(biāo)IP地址(PE2)無(wú)效的話(例如：分行連接PE2的鏈路中斷、PE2下線 等)，該策略就不能通過(guò)路由器的有效性檢查，這個(gè)策略也就不會(huì)對(duì)流量產(chǎn)生任何影響。充分利用了這個(gè)機(jī)制的，控制器就不需要對(duì)任意網(wǎng)絡(luò)的事件實(shí)時(shí)作出響應(yīng)，如上例所示，如果當(dāng)Flowspec策略1剛剛下發(fā)時(shí)PE2是有效的，策略1通過(guò)了路由器的有效性檢查于是就可以對(duì)穿過(guò)路由器的流量進(jìn)行調(diào)度;當(dāng)網(wǎng)絡(luò)運(yùn)行一定時(shí)間后，由于故障導(dǎo)致PE2不可達(dá)，路由器會(huì)第一時(shí)間檢測(cè)出這個(gè)事件的發(fā)生并且立刻將策略1變?yōu)闊o(wú)效狀態(tài)，此時(shí)流量到達(dá)R1后會(huì)按照路由表進(jìn)行轉(zhuǎn)發(fā)，從而把網(wǎng)絡(luò)的變化對(duì)流量的影響降低到了最低;而控制器檢測(cè)到該事件的發(fā)生的時(shí)間會(huì)滯后于路由器幾秒鐘，控制器會(huì)重新計(jì)算相關(guān)的策略然后將新策略下發(fā)給相關(guān)設(shè)備;

　　BGP-TE控制器通過(guò)雙向控制體現(xiàn)了SD-WAN的靈活性，實(shí)用性，必要性。不僅僅基于IP，而是可以基于應(yīng)用端口的流量控制是很多金融行業(yè)客戶的實(shí)際需求。目前市場(chǎng)上很多基于策略的SD-WAN解決方案，如IWAN,VIPTELA,VECOLOUD等需要通過(guò)策略實(shí)施逐跳控制，在存在核心網(wǎng)等多跳環(huán)型組網(wǎng)下，策略的配置和維護(hù)復(fù)雜。基于BGP協(xié)議的SD-WAN解決方案完美的將接入側(cè)基于應(yīng)用識(shí)別的策略控制和核心網(wǎng)MPLS TE技術(shù)結(jié)合，非常簡(jiǎn)潔的實(shí)現(xiàn)了金融用戶復(fù)雜的流量控制需求。
　　SDN的部署可以助力銀行網(wǎng)絡(luò)加快業(yè)務(wù)創(chuàng)新，提高網(wǎng)絡(luò)資源利用率，優(yōu)化業(yè)務(wù)體驗(yàn)，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力，逐步實(shí)現(xiàn)從運(yùn)維到運(yùn)營(yíng)的演進(jìn)。本文介紹的BGP TE controller利用SDN思想，充分利用BGP協(xié)議的多種擴(kuò)展技術(shù)(如：BGP Flowspec、Segment Routing Policy)，在保護(hù)原有網(wǎng)絡(luò)投資、最大限度保持原有運(yùn)維體系基礎(chǔ)上成功實(shí)現(xiàn)了廣域網(wǎng)流量調(diào)度功能，是國(guó)內(nèi)銀行廣域網(wǎng)流量調(diào)度SDN部署的一次有益實(shí)踐。

上述內(nèi)容就是BGP協(xié)議的廣域網(wǎng)流量調(diào)度SDN控制器怎樣在銀行業(yè)部署實(shí)踐，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。