電子發燒友App
校園網
在校園中部署 OpenFlow 網絡,是OpenFlow 設計之初應用較多的場所,它為學校的科研人員構建了一個可以部署網絡新協議和新算法的創新平臺,并實現了基本的網絡管理和安全控制功能。目前已經有包括斯坦福大學、清華大學在內的多所高校部署了OpenFlow 網絡,并搭建了一些應用環境。
圖4 清華大學基于OpenFlow的LiveSec網絡安全系統
數據中心互聯
大型企業的數據中心往往不止一個,為了容災備份或其它一些需求,這些分布在異地的數據中心通常會租用運營商的VPN專線進行互聯。由于數據中心之間的業務流量具有不確定性,為了保證數據中心間傳輸的性能,企業通常按照峰值帶寬來租用WAN鏈路,然而由于大部分時間這些WAN鏈路都處于低利用率狀態,因此造成資源的極大浪費。Google創造性地利用OpenFlow技術有效的解決了這個問題。
Google的廣域網由兩張骨干網平面組成,即外網和內網。外網用于承載用戶流量,稱為I-scale網絡,而內網則用于承載數據中心之間的流量,稱為G-scale網絡,這兩張網絡的需求差別性很大,流量特性也存在著很大的差別。如今Google已經在G-scale網絡中大規模的部署了SDN解決方案, Google基于OpenFlow的全球數據中心互聯如圖5所示。
根據G-scale網絡的需求和流量特性,Google利用Openflow協議,自己開發了網絡交換機,并基于OpenFlow開發了開放的路由協議棧。每個數據中心站點部署了多臺交換機設備,保證可擴展性(高達T比特的帶寬)和高容錯率,站點之間通過多個OpenFlow控制器實現網絡調度。在這個廣域網矩陣中,Google建立了一個集中的流量工程模型,可以實時計算和選擇最佳路徑。到2012年初,Google數據中心全部骨干連接已經都采用這種架構,WAN鏈路利用率提升到95%。
圖5 Google基于OpenFlow的全球數據中心互聯
4.2 發展方向
由于SDN的靈活性、開放性和可編程性,其未來的發展前景將更加廣闊,目前可以看到的潛在應用領域還包括云數據中心內部網絡互聯、基于SDN的無線通信運營商網絡、未來互聯網架構等。
云數據中心網絡
隨著云計算模式和數據中心的發展,數據中心的數據流量驟增,交換機層次的管理結構復雜,服務器和虛擬機需要快速配置和數據遷移。如果不能在龐大的服務器機群中進行高效的尋址和數據傳輸,很容易造成網絡擁塞和性能瓶頸。
SDN 控制轉發分離的技術特點滿足了數據中心密集型服務器需要集中管控的需求,增加了數據中心實際配置和操作的靈活性。將OpenFlow交換機部署到數據中心網絡,可以實現高效尋址、優化傳輸路徑、負載均衡等功能,從而進一步提高數據交換的效率,增加數據中心的可控性。Google 在其數據中心全面采用基于OpenFlow 的SDN 技術,大幅度提高其數據中心之間鏈路利用率,起到了很好的示范作用。同時,針對數據中心動態路由、負載均衡和能量管理等方面的研究也有相關實例部署,將成為基于OpenFlow 的SDN 技術近年的研究熱點。
運營商網絡
運營商架構的傳統電信網絡,有著過度復雜和封閉的特性,沉淀了大量不必要的功能和性能。這些網絡由大量單一功能的網絡節點和昂貴的硬件設備構成,造成網絡成本高居不下,業務收入增長無力的被動局面。
而SDN的提出很好的解決了上述問題,與此同時,SDN將對運營商的網絡建設、組網架構和運維模式帶來一定挑戰,特別是對于已經構建了大量基于硬件控制網絡的電信運營商而言,SDN既是一個新挑戰,也是一個新機遇,但從封閉的黑盒網絡走向開放的可編程軟網絡是整個網絡發展的必然趨勢。
目前,美國運營商AT&T和Verizon等均將SDN應用于云計算數據中心組網。德國電信、法國電信、意大利電信等運營商也開始開發和部署SDN技術。我國的電信運營商也紛紛投入大量的資源建設大型數據中心,與設備廠商開展合作,對SDN和相關技術進行實驗研究,后續還將根據技術和設備成熟情況開展測試和部署工作。據了解,中國移動在南方基地建造了眾多數據中心,計劃今年底就實際引入SDN進行現網部署。中國電信也以國家項目為基礎,在數據中心、城域網控制面進行設備和組網方案驗證。
未來互聯網
當前,傳統互聯網的網絡設備使用著封閉、專有的內部接口,運行著大量的分布式協議。在這種復雜的網絡環境中,封閉的網絡設備使網絡面臨著諸多問題與挑戰,如安全性、健壯性、可管理性及移動性等,而且由于網絡管理需要大量的人工配置、設備兼容等問題,網絡維護成本一直居高不下。
由于傳統IP網絡基礎設施的大量部署,未來互聯網不可能一夜之間廢棄傳統基于IPv4的互聯網,而SDN的虛擬化功能則正好滿足這一點。利用SDN的虛擬化技術,實現了傳統業務流量與實驗流量的隔離;同時,SDN提供的編程能力為研究人員提供了極大的便利,研究人員能夠基于開放接口,研究和開發新型的互聯網架構和相關關鍵技術。
目前,美國的GENI計劃已經基于OpenFlow技術構建了一套針對未來互聯網創新和研究的實驗網絡。國內中科院計算機網絡信息中心目前也已經開展了相關的工作,擬在中科院系統內部搭建一套基于OpenFlow的實驗網,為中科院系統的科學研究工作提供支撐。
5. SDN及安全思考
在網絡領域,SDN思想和OpenFlow技術解決了下述一些問題:
靈活的網絡基礎架構虛擬化
L2和L3的 VPN 不再需要完全取決于 MAC 和 IP 地址,而是可以基于任何包頭字段進行VPN的劃分,具有極大的靈活性。
動態靈活的網絡負載均衡
OpenFlow 維護統計數據作為其實施的組成部分,這允許動態、快速地平衡網絡流量,OpenFlow 交換機可以動態地監視流量并根據需要平衡和引導負載。
二三層環路問題
由于避免了分布式的動態路由協議和MAC學習,可以根本上解決二三層環路問題,而且能夠利用冗余鏈路提供路徑備份和帶寬擴展。
路徑最優化
由于控制平面具有全網的全局視圖,因此能夠提供最優化的路徑決策。
帶寬動態分配
允許針對特殊、短期的網絡活動安排帶寬,然后自動重新分配或回收。
安全問題是網絡技術研究的一個永恒課題,SDN網絡的安全也不例外。我們將SDN與安全之間的關系概括為三個層次,如圖6所示:
SDN自身的安全性問題,即Security of SDN
Security of SDN是指SDN交換機的安全性、SDN控制器的安全性以及SDN控制器上運行的各種網絡應用模塊的安全性等。
用SDN技術來實現安全服務,即Security to SDN
Security to SDN是指用SDN技術來實現安全服務功能的推送。利用SDN靈活的流量控制與路由選擇機制,實現安全業務的動態和靈活推送,通過在控制器平臺上實現安全應用,來為用戶提供相應的安全服務。
用SDN技術來解決現網中的安全問題,即Security by SDN
Security by SDN是指利用SDN的一些技術特點來解決或簡化現網中傳統安全解決方案的實現。一個典型的例子是在網絡入口利用SDN進行簡單的流分類,由于SDN是基于硬件的流轉發,因此可以達到線速流分類,相比之下,性能優于傳統的DPI設備。另外,還可以在網絡中的一些骨干節點上部署SDN,實現業務流量的重定向,能夠提供安全服務設備的靈活部署。
圖6 SDN與安全三層關系圖示
由于SDN網絡尚未大面積部署,SDN安全的方向現階段主要集中在用SDN技術來解決現網中的安全問題和用SDN技術來實現安全服務,對于SDN網絡自身的安全問題研究也會隨著SDN網絡的普及和應用而深入展開。
工商網監
評論