軟體定義網路（SDN）和網路功能虛擬化（NFV）有望在新服務引入速度、可程式設計性和可重構性、資源效率和安全態勢方面帶來前所未有的提升，從而徹底改變網路。本文討論了在美陸軍戰術網背景下SDN/NFV的潛在優勢和挑戰，並研究了可以應對這些挑戰並同時提供可程式設計性、效率和安全性方面預期收益的一系列 SDN 控制器架構。

1 引言

控制平面和資料平面分離允許將所有低階網路基礎設施表示為駐留在SDN控制器中的高階控制和管理功能的抽象，從而允許在不知道底層基礎設施具體技術的情況下引入新服務。其結果是可實現高度可程式設計性，從而實現快速服務開發和部署，更易實現網路重構，並能實現不同網路之間的互操作性。事實上，許多人認為這種可程式設計性才是SDN的定義特徵，而不是轉發和控制面分離。使用NFV，虛擬機器和每個虛擬機器的可用資源都是動態定義的。此外，虛擬機器或其功能之一可以從一個硬體平臺快速遷移到另一平臺。總的來說，它們具有快速重構能力和適應能力，能夠提高資源效率、可擴充套件性、冗餘性和安全性。

SDN控制器根據網路基礎設施狀態做出控制決策，然後傳達給基礎設施節點以採取行動。因此，標準SDN有效執行需要在SDN控制器和網路基礎設施之間傳輸大量資訊，並且這種資訊傳輸需要以最小增量延遲安全進行。因此，高可用性、低延遲和安全通訊非常關鍵。

美陸軍戰術網（ATN）表現出一些獨特的特徵：它是一種強層次結構，模仿了部隊結構中的層次結構；在層次結構的某些層中存在多跳對等無線通訊網路（MANET）；在層次結構的較低層，資料速率通常較慢，並且連線不可預測；多種裝置電源供電能力有限；裝置可能沒有物理防護措施，並在敵方地域執行。敵方可能會捕獲該裝置，從而讓惡意行為者獲得授權訪問能力；部隊任務重組（UTR）經常發生，需要支援多種密級；通常使用虛擬專用網（VPN），但需要人工配置。那麼SDN在這種環境下到底價值如何呢？

除了上述優勢之外，SDN還有助於實現VPN建立、UTR執行及安全證書和補丁分發的自動化。它還可以改進網路態勢感知和策略部署能力。另一方面，連線不可預知及資料速率低可能是在美陸軍戰術網中部署標準SDN面臨的最大挑戰，因為標準SDN依賴於SDN控制器和網路裝置之間的頻繁通訊和資訊傳輸。其他重大挑戰包括其高度集中的架構，這使得SDN控制器易發生單點故障，也易成為網路攻擊目標。

2 軟體定義網路（SDN）和網路功能虛擬化（NFV）

SDN支援在SDN控制器（SDNC）中抽象網路基礎設施和資料平面，因此多技術、多供應商基礎設施將作為統一網路以標準格式呈現給更高層應用和管理功能。NFV允許在一個通用硬體平臺上建立多個虛擬實體。可使用虛擬機器技術或輕量級容器技術實現虛擬實體。SDN基本架構如圖1所示。如前所述，本文將使用“SDN”同時指代SDN和NFV。

SDN的上述特性使SDNC中網路可實現“軟體化”和“虛擬化”。以下是其主要優勢:

· 應用程式的快速開發和部署；

· 網路硬體和軟體業務分離；

· 高度網路可程式設計性和可重構性；

· 可能增強網路安全態勢；

· 控制和管理的可擴充套件性；

· 高效利用網路資源；

· 更廣泛態勢感知和對事件更快速反應；

· 更易於部署雲計算和其他集中化措施；

· 更有效利用資訊科技專家，這是戰術環境中非常寶貴的資源。

圖1 SDN基本架構

總體而言，SDN可以為網路基礎設施提供主機虛擬化為計算基礎設施帶來的便利，也就是說可使複雜的網路拓撲和架構獨立於供應商，使之更易於監控和管理，並且高效執行。雖然南向介面（SDNC和網路基礎設施之間）已經標準化（OpenFlow和其他解決方案），但北向介面（SDNC和應用程式之間）標準定義工作仍在進行。這樣，應用程式開發和部署、網路管理及配置可以變得更簡單、更快捷，成本也更低。南北向介面的結合還將有助於開發通用態勢感知、網路管理策略規範和部署、實現分散式防火牆以及深度防禦。

當然，SDN會帶來集中控制相關問題，可能導致單點故障，成為網路攻擊的目標和流量瓶頸。特別是，標準SDN架構有效性依賴於網路基礎設施裝置和SDNC之間安全可靠的高速連線。

當涉及多個網路域時，可能涉及多個所有權，需要多個SDN控制器。國際網際網路技術和標準組織（IETF）正在研究SDN域控制器協議（SDNi）。透過SDNi通訊的多個SDN控制器也將提供一定的可擴充套件性、SDN增量部署以及對多種策略的支援。

3 美陸軍戰術網特性

圖2顯示了美陸軍戰術網架構示意圖。美陸軍戰術網反映了美陸軍部隊結構的層級制度，從士兵個人到班、排、連、營、旅、師和軍。更高階陸軍戰術網可連線到企業網路。美陸軍戰術網分為低階戰術網際網路（LTI）、中級戰術網際網路（MTTI）和高階戰術網際網路（UTI）。在較低階的每個層中，視距連線通常由網狀網外連線能力很有限的分散式無線網狀網（MANET）提供。在一個給定級別中，可能存在多個MANET。MANET間超視距連線可由衛星通訊或其他通訊中繼提供。在更高層級，採用地面無線、衛星通訊和有線連線組合方案。除了為人與人之間通訊、態勢感知和指控設計的網路之外，還有火力支援、後勤、醫療等專用網路。

在陸軍戰術網一個層級中，可用資料速率通常較低，尤其是在低階戰術網際網路和中級戰術網際網路中，大概在100kbps到2~5Mbps之間。提供超視距連線的戰術衛星通訊資料速率也很低（100kbps~1Mbps）。此外，無線電個體是移動的，整個MANET也可能在移動中。這種移動性會導致射頻環境不斷變化，連線和資料速率不可預測。敵方干擾更是會增加射頻鏈路的不可預測性。考慮到使用者裝置也可能是網路交換機和路由器，網路拓撲由使用者任務決定，而不是由最佳射頻鏈路所需佈局決定，因此也會增加不可預測性。一支部隊可能與其他部隊物理分離，並且與對等部隊或更高階部隊的連線非常有限。

美陸軍戰術網中廣泛使用虛擬專用網，但人工設定耗費時間和資源。在美陸軍戰術環境中，隨著使命和任務的變化，可能會把作戰人員重新分配到不同單位。這種部隊任務重組（UTR）相當頻繁。重配置需要耗費大量時間。

美陸軍戰術網需支援多種密級通訊。網路基礎設施的某些部分可以在不同密級之間共享，而其他部分則是隔離的。某些隔離發生在物理層，另一些則是使用虛擬專用網、多協議標籤交換（MPLS）和其他邏輯隔離機制的邏輯隔離。

圖2美陸軍戰術分層結構及相應網路

4 可能的美陸軍戰術網SDN架構

考慮到美陸軍戰術網的任務關鍵性，在任何情況下，採用一個單一SDN控制器控制整個戰術網路中的所有網路功能（比如說，整個旅）都不是理想解決方案。這將成為整個網路的單一故障點，也很容易成為動能和/或網路攻擊的潛在目標。網路裝置和SDN控制器之間通訊不可靠且資料速率低加大了集中式SDN控制器為大量使用者提供時間關鍵控制功能的難度。多級分類使其變得更為困難。

另一方面，除了上述所有SDN優勢之外，SDN概念可能為陸軍戰術網提供的關鍵優勢包括:

· 實現了包括目前繁瑣人工處理在內的幾個非常重要功能的自動化：在新地點設定網路、UTR、VPN架設和維護、公鑰基礎設施證書管理和補丁部署；

· 高效利用網路資源和頻譜、檢測網路攻擊、並透過提高態勢感知對這類攻擊做出適當響應；

· 實現多種突破效能力，如動態頻譜分配、認知網路和移動目標網路防禦；

· 促進策略部署（用於網路管理、服務質量、優先順序、網路防禦等）；

· 最小化使用者與控制平面的互動可能會降低對手使用網路攻擊造成重大損害的能力。

這些潛在優勢促使研究人員開發能夠利用關鍵概念同時減輕上述關注問題的SDN架構。

圖3是為支援美陸軍戰術網而提出的SDN架構系列的簡化描述。這裡研究了一種SDNC金字塔結構。每個SDNC被分配至少主要負責一個網路域，並使用標準南向介面協議（如OpenFlow）與該網路域中的網路裝置進行通訊。SDN控制器和網路域之間的這種關係如圖1所示。一個網路域可以跨越陸軍戰術網層次結構的一層或多層。對等SDN控制器負責對等網路域。這些對等SDN控制器之間使用新興SDNi協議進行通訊。位於金字塔較高層級的SDN控制器控制陸軍戰術網層次結構的較高層級。各層級之間的SDN控制器也可以使用SDNi進行通訊，但內容可能會反映層級結構。一個SDN控制器除了對一個網路域負有主要責任之外，還充當該SDN控制器對向SDN控制器樹的高階間接控制器。圖4說明了SDN控制器的直接和間接控制域。

圖3 分層分散式SDN控制器系列

圖4 SDNC2直接控制ND2，間接控制ND1

現在重點介紹這種SDN架構系列的幾個重要特性。

（1）每個SDNC在物理上都靠近它所控制的網路域，當網路域在物理上彼此分離時，SDNC也是如此。

（2）金字塔結構限制了SDNC直接控制的網路域的大小，並減少了網路域中裝置不能與控制該網路域的SDNC通訊的時間比例。

（3）與標準SDN不同，不要求一個網路域的所有控制平面功能都由其SDNC處理。就像目前所做的那樣，重要的架構決策是保持與資料平面緊耦合並透過分散式控制進行管理的一組控制平面功能。基於以上討論，可能不會將對資料和控制平面之間通訊時間要求非常苛刻的功能放到SDNC。對不同網路域的決策可能不同，尤其是對不同層級的網路域。

（4）像標準SDNC一樣，每個SDNC都會建立它直接控制網路域的抽象，並將這一軟體抽象呈現給應用程式和管理。然而，如圖4所示，更高層級的SDNC為SDNC樹所控制的網路域提供間接控制。除了直接控制的網路域抽象外，該高層SDNC還應具有其間接控制的整個網路域樹的抽象。在執行過程中，它還應該有整個網路域樹的態勢感知，並利用態勢感知做出決策，其決策的影響比低階SDNC做出的決策更廣。下文介紹與之相關的一組問題：

· 第一組問題是SDNC應該為間接控制的網路域承載的網路基礎設施和態勢感知的粒度，以及這些抽象的生成方式。對於高階SDN來說，獲得其間接受控網路域的彙總檢視是有意義的，可以更加關注網路域間連線能力和透過網路域的邊緣到邊緣業務行為。直接控制一個網路域的SDNC可以準備該網路域當前狀態的概要，並將其傳送給間接控制該網路域的下一高階SDNC。高階SDNC可以準備關於這些多個網路域概要的概要，並將其傳送到下一高階SDNC。隨著沿陸軍戰術網層級結構中向上移動，這種方法可建立越來越廣泛、粒度越來越粗的網路抽象。如果遵循類似方法在陸軍戰術網的層次結構中向上傳播態勢感知，同樣的方法也適用於態勢感知。

· 類似的問題出現在從高階SDNC到低階SDNC，再到網路域的控制流上。高階SDNC可以使用其更廣泛的態勢感知來選擇效果，最佳化其直接或間接控制的所有網路域的網路行為。對於直接控制的網路域，這些效果被對映到與網路域裝置通訊的動作/控制中。對於間接控制的網路域，選定效果將被傳遞給低一級SDNC。該級別的每個SDNC新增其更詳細的網路域知識，以獲得由該SDNC直接控制的網路域動作或對下一個較低級別的更詳細效果，以此類推。以下是在高層級上選擇效果的一些示例：在沒有足夠通訊容量的兩個分離部隊之間需要連線或額外容量（這可能被對映為在較低層級上部署通訊中繼的動作）；跨多個部隊進行 UTR需要增加和刪除；關聯來自多個低階SDNC的資訊後對識別的網路攻擊做出響應。

上文反映了任務指揮哲學在美陸軍戰術網控制和管理中的應用。也就是說，在更高層級上，態勢感知範圍更廣，但粒度更粗。另一方面，在更高層級上選擇的意圖和期望的效果被對映成更接近要實現效果之處的更詳細行動和控制。這對網路和人力資源的可擴充套件性至關重要。當層級之間的連線不可預測時，這一點也非常重要，SNDC需要能夠根據其網路域的狀態以及更高層級的指導和意圖採取本地行動。

SDNC/ND網路的金字塔結構要求更高層級具有更強處理能力和更快資料速率，這些要求很容易滿足，因為在美陸軍戰術網的層級結構中越往上，移動性會降低，網路資料速率和裝置處理能力會提高。這種架構還支援分層分散式防火牆，隨著在陸軍戰術網和SDNC層次結構中層次的提升，複雜性也在不斷增加。這樣的安排有利於實現縱深防禦。

SDNC的金字塔架構允許同一層級的SDNC之間的對等級連線和相鄰層級的SDNC之間的跨級連線。這種更為豐富的連線可以用來減輕對控制集中化、處理過載、單點故障和網路攻擊的擔憂。如圖5所示，可以使用多個對等SDNC來控制一個網路域，其中一個SDNC是主要控制者，其他作為備份。這些備份對於其他網路域來說則是主要控制器。

圖5 主要和備份SDNC

圖3中SDNC金字塔結構用於密文（黑色）網路在各種明文（紅色）飛地之間傳輸加密業務。明文（紅色）飛地可能存在於陸軍戰術網層級結構的所有層級，並具有不同的密級。來自一個紅色飛地的業務通常不會到達紅色網路中完全不同層級的紅色飛地。黑色網路連線成對紅色飛地。一個或多個紅色飛地可以一起形成一個由紅色SDNC管理的紅色網路域。如果業務沒有加密，SDNC層次結構適用於整個戰術網路。

5 一種實驗性SDN架構及原型實現

· 策略傳播和實施：例如，節點可以充當分散式防火牆，向SDNC傳送可疑資料包以採取進一步行動。SDNC傳播識別可疑資料包的規則；

· 節點監控和重新配置：例如，SDNC可以根據UTR策略重新配置節點；

· 網路中閘道器功能具有多級安全：SDNC可以使用虛擬化技術提供跨域解決方案；

· 強插本地計算路由：路由強插的一個例子是當SDNC決定將一個節點列入黑名單，並指示網路域中所有受影響節點相應修改它們的路由表；

· 路由引數的修改：SDNC可能會透過修改其網路域中路由計算所使用的鏈路成本來間接影響路由。

這裡網路域使用多鏈路透明互聯（TRILL） 進行本地路由。使用IS-IS路由協議，TRILL使移動節點能夠在鏈路層充當路由網橋，從而結合了網橋和路由器的優勢。TRILL具有以下優勢:

· 收斂時間短；

· 鏈路層操作導致的最小配置；

· 具有生存時間（TTL）標記的強大環路緩解和/或預防措施；

· 可擴充套件到大量MAC地址；

· 等成本多路徑（ECMP）:多路徑間的負載分擔；

· 多播業務的多路徑支援；

· 原生支援虛擬區域網。

控制平面由本地執行的IS-IS協議和由SDNC傳遞的基於策略的指令組合組成。流表項由IS-IS協議和SDNC策略更新。SDNC對流表的更新比IS-IS更新慢。當IS-IS更新和SDNC更新之間存在衝突時，出於穩定性約束，SDNC更新通常會覆蓋前者。

目前研究工作正對這種混合能力進行定製，支援基於網路上強加的新任務要求自動重構無線節點的場景（IP地址、頻譜、金鑰等）。

6 需要解決的一系列問題

（1）建立所需最低信任的基本網路安全功能。

（3）對以上定義的分層分散式SDNC網路中的備選方案進行比較，開發一種定量方法，針對給定的一組網路引數選擇最佳備選方案。特別是：

· 定義網路域和相應直接控制SDNC。更多但更小型的網路域會建立更多的SDNC，並實現更多冗餘，但也會增加通訊需求，並可能導致使用功能較弱的SDNC。

· 選擇用做某一SDNC備份的對等SDNC數量。數量越多，駐留在SDNC中的控制功能的可用性越高，純自主模式時間越少。然後，透過在SDNC平臺之間移動單個功能，可以提供更大的靈活性和網路韌性。然而，SDNC數量越多也將導致需要在更多SDNC中維護網路域抽象。決策中需要考慮由此導致的記憶體和同步負擔增加。

· SDNC網路中層次結構的層數。

· 根據SDNC和網路域之間的預期連線和可用資料速率、SDNC上的額外負擔以及兩種選擇的安全配置，選擇高階SDNC或對等SDNC作為SDNC的備份。

（4）開發直接控制SDNC和間接控制SDNC的網路抽象方法。後者將需要聚合邏輯和演算法。一個相關的問題是用於網路管理的網路態勢感知。網路態勢感知對一個戰術電臺使用者意味著什麼？對一個戰術單位的指揮官意味著什麼？對旅指揮官參謀意味著什麼？如何分層構建這種態勢感知？

（5）適當使用由分層分散式SDNC提供的移動目標防禦和其他敏捷和欺騙機制。這可能涉及SDNC集中化，以協調網路中旨在提供移動攻擊面的各種變化。它還可能涉及將功能從受損平臺、虛擬機器或容器中移出。

（6）使用虛擬機器與容器來實現虛擬環境。容器更為輕量，因此平臺上可以容納更多容器。但是，一個平臺中的容器會共享作業系統軟體，因此需要考慮安全影響。

（7）使用SDNC幫助設定和管理虛擬專用網。

（8）使用SDNC促進UTR。

（9）SDNC之間的跨域解決方案。

（10）整體安全架構。

（11）SDN和非SDN混合執行架構。

7 結語

本文對美陸軍戰術網（ATN）背景下的SDN/NFV進行了定性分析，揭示了其巨大潛力，但也發現了標準SDN/NFV在此類應用方面的嚴重缺陷。本文中提出的系列架構可應對上述挑戰，並將與高度集中SDN架構相關的可靠性和安全性風險降至最低。文中簡要討論了一種與此框架一致的原型創新SDN架構，其中一個SDN控制器控制一個網路域。本文還討論了向該架構新增細節，將設計引數與網路引數相關聯，實現關鍵元件原型，並提供早期驗證所需的工作。