南京市信息中心 江苏 南京 210000
摘要
本文简单介绍了南京电子政务外网的项目背景和业务挑战,主要分析了网络设计关键技术分段路由、在线业务流测量、网络切片的优势及项目实践效果
关键词:IPv6+;分段路由;在线业务流测量;网络切片;电子政务外网;关键技术;实践
市电子政务外网横向连接党委、人大、政府、政协、法院、检察院等系统和部门单位,纵向贯通市、区、街道(镇)、社区四级,并与省电子政务外网安全对接,主要运行面向社会公众的专业性服务业务和不需要在涉密内网运行的业务【1】。根据相关要求,政府部门非涉密业务统一通过政务外网承载,但由于历史等原因,目前部分非涉密业务仍采用专网承载,未与政务外网融合对接。此外,IPv6在政务外网规模部署也较为困难,政务外网面临的业务挑战主要有如下几点:
与政务行业专网承载要求存在差距,差异化保障能力不足
如应急指挥业务要求采用IPv6地址体系,市级带宽不低于50Mbps,IP包丢包率≤1%,链路通道ES(Errored Second,误码秒)≤6个/2小时,链路通道SES(Severely Errored Second,严重误码秒)≤6个/2小时;医保结算业务要求本地链路延时≤10ms,省市县链路需做到带宽独享,省市之间的单链路带宽不低于100M,市县之间的单链路带宽不低于20M。
网络业务负载不均衡,新业务上线设计复杂
政务业务迁移上云和数据融合集中建设后,以2-3个多数据中心架构为主。由于各数据中心的应用分布不均衡,传统网络靠路由选路,业务路径规划不便导致链路负载极其不均衡,出现突发事件业务负载均处高峰期。新增业务时路由选路规划复杂,并发高峰期能否保障等对现网影响的评估非常困难。随着专网整合的不断加速,充分利用链路资源保障数据的高速流转是数据中心之间网络需要具备的关键能力。
传统运维模式效率低,故障定界定位时效性差
专网逐步整合后网络覆盖范围扩大,运维压力剧增,传统SNMP网管事后被动式运维模式已经无法适应新的需求。网络与承载业务的关联性、适配性不够,运维系统对业务系统缺乏检测手段、难以主动预测故障,网络无法“自证清白”,定位与处理效率很难达到政务部门的期望。
根据国家、省市的要求,政务部门的部分业务专网逐步并入政务外网,推动了政务外网整体业务量持续增长,带宽需求加大。视频监控、融合指挥、视频会议等实时高清视频类业务需求增大,对政务外网的带宽和时延等性能指标要求更高。随着政务云、政务大数据规模扩大以及数据中心灾备等级提升,未来政务数据中心将走向分布式多中心架构。信息系统整合上云,业务由本地流量变为纵向广域网流量,对政务外网的带宽需求增大。政务外网接入点规模的不断扩大和运行在政务外网上的各类业务系统对网络承载能力要求的不断提高,传统IPv4技术下软件定义网络快速开通新业务、关键业务的重点保障、网络的智能分析快速排障都存在一定难点,急需引入新技术提升电子政务外网能力。
南京市利用现有电子政务基础网络资源,推动各区、各部门业务专网分别与市电子政务外网对接及应用迁移,建设新一代电子政务外网。经调研规划设计,本次外网提升项目的目标为建设全市政务服务一张网,打通各级各部门之间的信息孤岛使得信息共享融会贯通,未来将承载众多非涉密性电子政务的业务,进一步提升承载业务专网的网络能力。打造一个“网络可管、用户可信、业务可控、质量可靠、安全可防、容量可扩”的新一代南京市电子政务外网,并具备管理、技术、运营、合规监管的网络安全体系。
为了从根本上解决上述制约网络扩展、业务识别、运维管控的问题,同时全面向IPv6+技术演进。引入业界主流的Segment Routing、SRv6 技术大大简化广域网的协议栈,提升网络跨域能力和可编程能力;引入网络切片、确定时延网络等新技术,为SLA高要求的高清视频、VR等业务以及数据敏感的专网业务承载提供端到端的带宽保障和硬隔离特性;通过广域SDN技术实现流量动态调优、VPN业务自动发放、按需带宽等,大大提升带宽利用率,进一步保障用户体验;采用F5G技术建设OTN系统解决溧水、高淳等偏远区县40KM以上长距离传输,网络带宽具备持续扩容能力。下面简要分析下使用分段路由、在线业务流测量、网络切片这三个关键技术的优势及如何解决相关问题。
传统的MPLS有以下缺点:LDP和IGP之间交付复杂,LDP不支持流量工程。RSVP-TE隧道源、宿、中间节点都需要维护自己的邻居、链路状态,控制面复杂,负载分担支持不好。为了满足新一代网络的要求,SR(Segment Routing) 应运而生。SR是基于源路由理念而设计的在网络上转发数据包的一种协议。它将网络路径分成一个个段,为这些段和网络中的转发节点分配段标识ID。通过对段和网络节点进行有序排列,就可以得到一条转发路径
【2】。SR将代表转发路径的段序列编码在数据包头部,随数据包传输,接收端收到数据包后对段序列进行解析。
SRv6(Segment Routing IPv6)是基于源路由理念而设计的在网络上转发数据包的一种协议。基于IPv6转发面的SRv6,通过在IPv6报文中插入一个路由扩展头SRH(Segment Routing Header),在SRH中压入一个显式的IPv6地址栈,通过中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发【2】。SRv6与SR MPLS的区别是:SR MPLS用MPLS表示段ID(SID),SRv6采用IPv6地址表示SID。
SRV6在SR MPLS的基础上,还具有如下优势:
去MPLS,协议简化。SRv6彻底去标签化,隧道及业务均通过SRv6 SID统一承载。
无缝部署IPv6业务。SRv6完全融入IPv6,只需在ingress PE和egress PE部署VPN业务,中间设备只要保证IPv6可达即可。利用IPv6的路由可达性的天然优势,易于大规模、跨网络端到端部署业务。MPLS网络,如果要建立E2E隧道时,需要整网支持MPLS。对于SRv6,只需要支持IPv6就可以建立端到端的SRv6-BE隧道;对于SRv6-TE隧道,只要指定的SRv6 SID不包括不支持SRv6-TE的节点/链路,也可以建立端到端的SRv6-TE隧道。
可编程能力强。通过SRH list可以实现网络路径可编程,通过function字段可以实现业务可编程。
目前网络侧已存在的OAM性能检测技术比较丰富,按照测量类型不同,可分为直接测量与间接测量。直接测量如CFM(Y.1731)、MPLS-TP OAM等,直接测量法采样精度较低,只支持L2业务/MPLS管道,无法实现业务端到端的检测。间接测量如TWAMP、Y.1564等,间接测量法影响业务同时精度低,难以代表真实业务的质量。
IFIT(in-band Flow Information Telemetry 随路检测)性能检测方案针对目前OAM检测技术存在的不足的问题,为网络性能监控提供了更佳的方案。IFIT具有如下优势:IFIT功能提供了随流检测功能,可以实时真正的检测用户流的时延,丢包。同时用可视化界面展示性能数据,并具备快速发现故障点的能力。
检测技术 | 检测原理 | 检测报文封装 | 主要功能 |
Ping | ICMP | 基于IP转发 | IP层检测技术、通断检测 |
Traceroute | UDP+ICMP TTL expire | 基于IP转发 | IP层检测技术、路径发现、RTT时间测量 |
TWAMP | TWAMP | 基于IP转发 | IP层检测技术、性能统计(丢包、时延、抖动)、通断检测、故障定位 |
Eth OAM | Y.1731 | 基于Eth二层转发 | 以太层检测技术、差错管理(连通检测、自动保护倒换APS、远端故障)、性能检测(丢包检测、时延检测、通量检测) |
MPLS-TP OAM | Y.1731、G.8113.1 | 基于MPLS转发 | MPLS-TP 检测技术、差错管理(连通检测、自动保护倒换APS、远端故障)、性能检测(丢包检测、时延检测、通量检测) |
IFIT | 逐包随路携带采集指令,逐跳上报数据。基于逐包测量 | 支持MPLS封装, IP封装,L2 MAC封装 | 单/双向时延/抖动、丢包率、实时流量、路径追踪/验证、网元状态、队列状态等,可支持扩展。 |
Ping、Traceroute、TWAMP都属于间接测量方法,间接测量终究检测的不是真实业务,性能检测结果无法让人信服,无法自证清白,检测报文可能和业务路径不一致,误差较大。同时发送的测试报文,会消耗网络资源。Eth OAM及MPLS-TP OAM属于直接测量方法,但缺点也很明显,仅支持二层业务,没有IP级的方案,同时对网络中存在ECMP场景时导致的报文乱序支持的不好,会有误差。
IFIT作为一种新型直接测量方法,支持L2VPN/L3VPN/MPLS/IPV4/IPV6/SR-MPLS、ECMP/LAG等丰富场景,并且基于逐包测量,检测结果信息量大,部署简单,只需要首尾节点部署,中间节点不关心,同时可扩展性好,对设备的转发性能影响较小等优势。
IP网络切片Slicing技术简单的形容就是“可以把一个万兆IP物理端口切成10个千兆端口或者100个百兆端口使用”,通过对网络资源分割满足低时延、大带宽、海联连接数等不同类型业务的SLA需求。它在5G移动承载网络中是一个广泛采用的关键技术,即“在一个物理网络中,将相关的业务功能、网络资源组织在一起,形成一个完整、自治、独立运维的逻辑网络,满足特定的用户和业务需求”【3】。
各个切片网络的管理层、控制层各自独立,转发面采用Flex-E以及信道化子接口技术可实现各切片业务的硬隔离和严格带宽保证。FlexE技术通过在IEEE802.3基础上引入FlexE Shim层实现了MAC与PHY层解耦,从而实现了灵活的速率匹配【3】。Flex-E目前可以做到1G粒度切片,信道化子接口技术基于增强的HQOS能力,目前可以做到10M粒度切片。如下大概表示了三种网络实现业务隔离情况及相关建设运营成本比较:烟囱式专网、MPLS VPN融合承载、IPv6+网络切片。
项目 | “烟囱式”专网专用 | 多业务混合承载 | “乐高式”按需切片 |
---|---|---|---|
CAPEX | 多种流量模型,多张网络 | 多种流量模型,一张网络 | 多种流量模型, 一网多平面,SLA切片 |
OPEX | QoS DiffServ机制,运维简单 | HQoS多级调度,流量工程规划复杂 | 切片内 QoS DiffServ机制,运维简单 |
TTM | 新业务上线周期长,需新建网络,试错成本高 | 新业务快速上线,流量模型差异,对现网业务影响不可控,试错成本高 | 新业务新切片按需快速上线,弹性扩展 转发资源隔离,管理分权分域,试错成本低 |
从上图技术示意图和技术对比我们发现采用网络切片技术,可以实现一网多平面,简化运维,有利于新业务快速上线。网络切片技术可以帮助电子政务外网实现“类专网”的服务,通过在电子政务外网上划分不同的网络切片,为特殊敏感类业务提供独立的硬隔离带宽和业务调度队列,业务报文在专用的网络切片中调度转发,与其他网络切片中的业务相互隔离,不受其他网络切片中业务状态的影响,当出现流量突发、链路拥塞时,专用网络切片中的业务可不受影响的快速转发,从而获得确定性的业务质量保障。类似于生活中在道路上划分公交车专用通道,来保障公交车的通勤体验,当早晚高峰道路车流量大出现拥塞时,公交车依然可以快速、顺畅的到达目的地。
本次项目实践从通用业务类型、部门专网规范要求两个方面整体考虑专网整合的切片规划设计建设成南京新一代电子政务外网,可根据部门业务系统是否迁移到政务云采用不同的专网整合方案。达到如下效果:
兼容现网,业务不断:行业应用系统和政务专网分步迁移,SRv6部署在骨干侧,原有用户IP地址和VPN可以保留不变,做到业务无中断。
数据融合,节约投资:公共VPN统一承载互通数据流量,打破烟囱式专网。使用FlexE等网络切片技术将多张网融合成一张网,支持M级带宽粒度,K级切片性能,做到真正按需切片,不浪费带宽,减少重复建设,节约投资。
品质服务体验,效率联接:作为网络服务提供者,统一运维管理,综合使用网络切片、SDN、IFIT等技术,为整合后的政务专网带来更为优质的服务体验和网络联接效率,满足专网各种SLA诉求。
IPv6智简网络,面向未来:基础网络基于SRv6承载,匹配国家IPv6演进战略,享受IPv6+技术带来的应用和服务创新体验;双栈能力满足部分专网业务分批分阶段IPv6改造诉求,并保障原有IPv4业务体验。
本文分析了电子政务外网传统建设方案中遇到的问题,通过IPv6+相关方案设计可以很好的解决,并对关键技术分段路由SR、在线业务流测量IFIT、网络切片进行了阐述。
参考文献:
[1]省政府办公厅关于加快推进全省电子政务外网建设的意见[J]. 江苏省人民政府公报, 2017(1):80-84.
[2]祖立军, 袁航. 金融骨干网的SRv6 Policy研究与应用[J]. 电信科学, 2020, 36(8):13.
[3]朱琳, 王光全, 王海军,等. 面向5G承载的IP RAN增强技术研究[J]. 信息通信技术与政策, 2020, No.311(05):15-20.
3