BGP協議的廣域網流量調度SDN控制器怎樣在銀行業部署實踐

本篇文章為大家展示了BGP協議的廣域網流量調度SDN控制器怎樣在銀行業部署實踐，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

在實際用戶環境下部署SD-WAN的解決方案往往會遇到以下幾個問題：
　　需要采購新的硬件或者軟件CPE，雖然這筆開銷相比采購傳統設備有了一定程度的節省，但是隨之而來的人員培訓、系統集成等費用還是一筆不小的開支
　　如何充分利用現有網絡資源保護已有的設備投資?
　　在編排器或者SDN控制器失效的情況下如何充分利用現有網絡資源提供逃生通道?

　　介紹一種基于BGP協議的流量調度SDN控制器(BGP TE controller)。BGP TE controller融合了SDN理念，針對企業、銀行流量調度的特點和需求進行了優化;通過BGP Flowspec協議發送流量調度策略，將流量調度到相關的設端口，通過BGP Segment Routing Policy優化流量穿行網絡的路徑。底層網絡可以是用戶現有網絡設備通過軟件升級支持FlowSpec和Segment Routing即可。該控制器已經在國內某銀行骨干網絡成功部署，實現網絡和特定業務的流量調度。

　　背景

　　可編程的網元設備作為SDN網絡的基本組成要素，需要提供不同層面的API接口(控制平面和管理平面);SDN控制器通過這些API接口收集網絡拓撲、資源信息、流量信息，基于這些信息SDN控制器就可以對網絡進行抽象、仿真、調度和監控。網絡自動化編排系統通過SDN控制器的北向API接口操縱網絡模型,從而完成對網絡業務的編排工作。可編程設備的基本模型如下圖所示：　　

• 　　BGP Flowspec

　　如果需要根據IP包的七元組(源、目標IP地址，源、目標端口號、協議號、QOS標記、接口索引)確定如何轉發流量，傳統的做法是通過在路由器端口上配置PBR(Policy Based Routing)來實現。Flowspec是BGP IPv4地址族中的一個擴展地址族，可以實現將用戶的策略：需要匹配的流量信息(例如IP包的七元組)以及匹配后采取什么動作(限流、重定向、更改QOS標記 等)打包后通過BGP發送給目標設備，從而通過Flowspec實現PBR功能而不需要對設備進行配置，具體功能詳見RFC5575[1]。

• 　　BGP Link-state

　　要實現流量調度首先需要控制器能夠了解到網絡拓撲信息(網絡節點、鏈路互聯關系)、網絡資源信息(節點、鏈路帶寬以及其他相關屬性)。這些信息通過IGP(OSPF/ISIS)協議進行傳播，控制器要取得相關信息就需要加入到IGP域中或者通過命令行登錄到設備上收集，這些方法不僅時實現起來較為復雜、而且時效性差。BGP Link-state是BGP協議中的一個新的地址族，可以將IGP協議中的實時網絡拓撲、資源信息打包通過BGP 傳送到控制器，具體功能詳見RFC7752[3].不僅如此，另一個新的rfc draft[4]可以將每條SR-Policy的運行狀態通過BGP Link-state 傳送給控制器

　　通過以上三個協議的擴展，使用單一BGP協議已經可以做到網絡、資源信息的收集，流量調度策略的分發以及策略執行狀況的反饋。不僅如此，使用BMP協議(BGP Monitoring Protocol)可以通過帶內或者帶外網絡對設備中的BGP運行狀態進行實時監控。再加上20多年互聯網對BGP協議穩定性、擴展性、多廠商互操作性的考驗，現代的BGP已經可以完全擔當起SDN底層控制協議重任。

　　國內某銀行廣域網流量調度需求及挑戰

　　某銀行廣域網網設計有兩地三個數據中心、自建骨干網，區域中心通過三條廣域網鏈路就近連接到骨干網的接入節點，傳輸鏈路租用國內三個運營商的線路，如下圖所示：

　　簡化以后的骨干及分行組網方式如下圖所示:

　　骨干網設計有三個邏輯平面，每個平面由多臺核心以及接入路由器通過廣域網線路互聯組成，平面間有若干條廣域網線路互聯;骨干網運行OSPF協議，通過OSPF metric的調整正常運行條件下避免流量穿越平面;分行網絡通過三臺路由器就近連入骨干網，分行路由器間運行OSPF，與骨干網之間運行eBGP協議，通過eBGP協議的路由策略調整，三臺路由器的到DC1,2,3的流量分別穿越平面1，2，3。

　　該用戶的流量調度需求如下：

• 　　易學、易用、可控

　　盡量使用用戶熟悉的網絡技術，最大程度上降低用戶學習曲線;同時需要有良好的用戶操作界面，使得運維人員容易上手操作;調度策略的運行狀態、效果應當清晰可見，方便運維人員管理控制，在控制器發生故障的情況下，需要利用現有網絡協議作為逃生通道，避免因控制器脫網導致流量異常轉發或者黑洞。

• 　　設計、部署難度大

　　該用戶骨干網設備類型和數量較多，諸多新型協議棧如Openflow、Netconf、PCEP等，需要對現網設備進行硬件更新、軟件升級才能支持。而且SDN發展迅猛，新技術層出不窮，協議版本快速迭代，對設備的兼容性、互操作性要求很高。

　　由于部分廣域網鏈路租用了運營商的MSTP，MSTP線路會出現抖動的狀況，因此控制器不僅需要快速感知網絡拓撲的變化，而且要有效的處理鏈路抖動的場景;但如果完全依靠SDN控制器對實時的網絡拓撲變化進行策略的調整，網絡的運行對控制器的壓力、依賴性會很大，控制器本身很夠可能就變成了性能瓶頸，因此要充分的利用網絡設備本身的處理能力與控制器各司其職;

　　上、下行流量走相同的路徑這個需求比較挑戰性，眾所周知網絡設備是按照逐跳轉發的機制處理每一個IP包并不會識別某一對通訊端點的上下行流量，需要生成雙向的流量調度策略才可以保證上、下行的流量走相同的網絡路徑，并且不能只按照基于目的地址的方式調度而是需要按照源、目的地址組合的方式進行流量調度

　　為了提供逃生通道，當控制器在線時，控制器發送的調度策略在目標設備上需要有最高的優先級，一旦控制器失聯則網絡設備需要刪除控制器發送的策略并轉換成為按照設備的路由表轉發的方式，在這種方式下控制器的作用是對網絡資源使用的優化，即：控制器的集中控制和網絡設備分布式控制結合的方式，而不是類似Openflow的方式將控制器變成了網絡的神經中樞。

• 　　與骨干網BGP RR(Route-reflector)的會話，啟用了BGP Flowspec地址族，用于實時收集骨干網拓撲、資源信息

• 　　與分行的iBGP 會話，只啟用了BGP Flowspec 地址族，根據IP的7元組將流量調度到與骨干網互聯的廣域網鏈路

• 　　與骨干網PE的iBGP會話，啟用了BGP Flowspec以及SR-Policy地址族，將用戶流量調度到不同SR-TE的路徑上，從而實現按照用戶指定SLA(時延、帶寬、鏈路費用)穿越骨干網的需求

　　BGP TE控制器的基礎使用場景如下圖所示：

　　用戶需要將分行1(IP地址a.a.a.0/24)R1路由器上到DC1的業務流量(IP地址b.b.b.0/24 應用端口：ccc)從平面1調度到平面2，業務需求走最小時延的網絡路徑。為了讀者看清策略工作的原理，以下說明中對策略進行了一定的簡化：

　　1. 控制器生成并下發兩條SR-Policy策略

　　控制器通過BGP-LS收集網絡拓撲和資源信息，并且按照用戶的策略配置計算出從PE2到PE4的雙向SR-TE Policy同時計算出位于平面2的保護路徑，通過BGP SR-Policy將該策略下發到PE2和PE4當中(圖中綠色粗線條)，這樣一旦在平面2中的主路徑發生故障，路由器可以將流量快速的切換到保護路徑上

　　2. 控制器生成并下發兩條Flowspec 策略：

　　a. 策略1：匹配流量(源IP：a.a.a.0/24， 目標IP：b.b.b.0/24，目標端口：ccc)，將流量重從定向到PE2。該策略通過Flowspec發送給R1

　　b. 策略2：匹配流量(源IP：b.b.b.0/24，源端口：ccc，目標IP：a.a.a.0/24)，流量重從定向到PE2。該策略通過Flowspec發送給PE4

　　當流量進入R1當中，路由器根據Flowspec策略對IP包進行檢查，如果不匹配Flowspec的條件則按照路由表進行轉發，如果匹配了Flowspec的條件則將該數據包轉發給PE2;數據包到達PE2后則進入SR-TE Policy通道到達PE4;在PE4上IP包按照本地路由表轉發到DC1內部相關的路由器;下行流量與上行流量基本相同，這里就不再重復了。

　　由于雙向的SR -TE Policy是通過控制器計算出來的，并且在流量入網的兩端通過Flowspec限制了只有符合策略要求的流量才可以進入到相關的Policy，保證了雙向流量穿行相同的網絡路徑。

　　當骨干網拓撲發生變化(如：廣域網鏈路中斷，或者路由器離線等)的處理：

　　通過BGP-LS控制器可以收集到實時的網絡拓撲，控制器可以根據最新的網絡拓撲計算并更新已經發布的Policy

　　當出現鏈路抖動的時，控制器會抑制策略更新的時間，在檢測到鏈路穩定一段時間后再將新策略發送給相關路由器，從而避免了鏈路抖動對策略的穩定性帶來的影響

　　當路由器收到了Flowspec、SR-Policy策略時，該策略是否能對流量生效還看該策略是否能通過路由器的有效性檢查，例如：在上面例子中的Flowspec策略1，如果重定向的目標IP地址(PE2)無效的話(例如：分行連接PE2的鏈路中斷、PE2下線 等)，該策略就不能通過路由器的有效性檢查，這個策略也就不會對流量產生任何影響。充分利用了這個機制的，控制器就不需要對任意網絡的事件實時作出響應，如上例所示，如果當Flowspec策略1剛剛下發時PE2是有效的，策略1通過了路由器的有效性檢查于是就可以對穿過路由器的流量進行調度;當網絡運行一定時間后，由于故障導致PE2不可達，路由器會第一時間檢測出這個事件的發生并且立刻將策略1變為無效狀態，此時流量到達R1后會按照路由表進行轉發，從而把網絡的變化對流量的影響降低到了最低;而控制器檢測到該事件的發生的時間會滯后于路由器幾秒鐘，控制器會重新計算相關的策略然后將新策略下發給相關設備;

　　BGP-TE控制器通過雙向控制體現了SD-WAN的靈活性，實用性，必要性。不僅僅基于IP，而是可以基于應用端口的流量控制是很多金融行業客戶的實際需求。目前市場上很多基于策略的SD-WAN解決方案，如IWAN,VIPTELA,VECOLOUD等需要通過策略實施逐跳控制，在存在核心網等多跳環型組網下，策略的配置和維護復雜。基于BGP協議的SD-WAN解決方案完美的將接入側基于應用識別的策略控制和核心網MPLS TE技術結合，非常簡潔的實現了金融用戶復雜的流量控制需求。
　　SDN的部署可以助力銀行網絡加快業務創新，提高網絡資源利用率，優化業務體驗，增強市場競爭力，逐步實現從運維到運營的演進。本文介紹的BGP TE controller利用SDN思想，充分利用BGP協議的多種擴展技術(如：BGP Flowspec、Segment Routing Policy)，在保護原有網絡投資、最大限度保持原有運維體系基礎上成功實現了廣域網流量調度功能，是國內銀行廣域網流量調度SDN部署的一次有益實踐。

上述內容就是BGP協議的廣域網流量調度SDN控制器怎樣在銀行業部署實踐，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。