内生安全SD-WAN网络架构与关键设备方案研究( 三 ) _网络架构

动态编排与智能控制设备主要应用于广域网系统控制、数据中心互联DCI和云虚拟专用网络（Cloud VPN）等场景，支持路径集中计算、带宽集中管理、业务动态调度等能力，提供全网业务约束条件和拓扑链路属性信息的集中管理，支持收集物理拓扑信息和逻辑拓扑信息，并提供拓扑的全局呈现，实现WAN领域的业务快速部署发放、域内流量调优等能力。

2.2　应用场景

随着各行业信息化进程的快速发展，建设统一数据中心、数据上云等需求日益迫切。特别是政府、大型国内或跨国企业需要提供分支与总部、分支与数据中心、分支与中心云、分支与分支之间的全场景按需互联，需要解决通过广域网的业务有QoS保证地互通，并能够根据广域网状态变化，为各类应用动态地实现智能选路与智能加速、新型云化业务随需获取和智能运维等功能，同时需要在总部和各分支之间建立业务的加密安全传输、子网的边界安全防护、入侵检测、抗DDoS（Distributed Denial of Service）攻击等安全功能，传统的安全防护是需要在网络中部署上述独立的安全设备。而采用该网络架构后，上述主要安全防护功能已经由各通信设备自身一体化提供，从而有效地简化了云化网络架构中安全专用网络的开通、建设及维护的成本和复杂度。

采用内生安全的SD-WAN网络构建承载于传统广域网的云化安全网络，可实现业务流集中控制、安全防护统一配置与调度，极大地提升传统广域网支持云化业务的业务体验和业务部署能力。一种典型的应用场景如图2所示。

文章插图

图2　最简软件定义广域网络设备应用场景

2.3　SD-WAN关键设备技术方案

根据SD-WAN系统关键设备组成，下面研究提出设备的初步技术方案。

2.3.1　软件定义安全接入路由器

软件定义安全接入路由器能够同时支持通用用户接入站点设备（Customer Premise Equipment，CPE）和虚拟化网络功能的 uCPE 设备应用，并可根据实际应用场景进行灵活部署。它需要全面支持软件定义网络能力，如具备OpenFlow、网络配置协议（Network Configuration Protocol，NetConf）、开放虚拟交换机数据库（Open vSwich Database，OVSDB）、边界网关协议—链路状态（Border Gateway Protocol-Link State，BGP-LS）等南向配置及查询接口协议。设备可配置为传统分布式、纯SDN、混合模式等多种运行模式。它具备VNF虚拟网络组件能力，可动态加载虚拟防火墙、虚拟入侵检测、虚拟化抗DDoS以及虚拟网络保密等网络安全功能。安全特性上还支持路由协议安全认证、节点间的可信互联功能、终端安全准入以及控制平面安全防护等。

软件定义安全接入路由器的初步原理框架如图3所示。

文章插图

图3　软件定义安全接入路由器原理框架

软件定义安全接入路由器由接入单元、交换矩阵、集中式路由转发和虚拟网络功能等模块组成。接入单元通过各类接口与承载网路由器互联；交换矩阵完成用户接口、广域接口与处理器模块互联；路由转发完成信令与路由协议处理、数据包集中式转发、配置管理、网管代理、BGP-LS、Netconfig、OpenFlow等智能控制协议处理。设备支持传统路由转发功能，支持基于IPv4、IPv6的单播、组播转发，支持MPLS标记转发等。虚拟网络功能支持VNF架构，可采用高性能通用处理器实现，是整个设备的核心新功能与特色功能体现。在动态编排与智能控制设备的统一控制和管理下，在软件定义安全接入路由器中实现虚拟防火墙（Virtual Fire Wall，vFW）、虚拟入侵检测（Virtual Intrusion Detection System，vIDS）、虚拟抗DDoS（Virtual Distributed Denial of Service Attack，vDDoS）、虚拟网络保密（Virtual IP Security，vIPSec）等多种虚拟化网络安全功能的实现和扩展。与传统的在网络边界叠加安全设备相比，新型的安全路由设备能够在设备内部提供上述各项安全功能，可根据应用场景动态编排，具有更好的性价比，并更好地提供动态的安全防护能力。

2.3.2　虚拟化安全路由器

虚拟化安全路由器基于NFV技术软件实现，可快速灵活地部署到云端PoP点、云端集线 Hub点等云环境场景，实现SD-WAN中虚拟机（Virtual machine，VM）模式下的CPE设备功能（Virtual CPE，vCPE），提供基于应用的智能选路和加速的灵活云接入，支持自动化编排，可快速建立安全可靠的网络互联。采用虚拟机资源承载具有路由、交换、安全以及QoS等功能的虚拟路由器VNF实例。虚拟化安全路由器的设备初步原理框架如图4所示。