SDN距離實(shí)際應(yīng)用還有多遠(yuǎn)?　

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前很多SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))的解決方案還主要集中在高校、ONF組織、運(yùn)營(yíng)商及設(shè)備廠商中進(jìn)行探索研究，多停留在分析討論、實(shí)驗(yàn)階段，很少在國(guó)內(nèi)企業(yè)中得到實(shí)際的應(yīng)用。鑒于此種情況，也有一些廠商并沒(méi)有受到這方面的局限性影響，而是從另外的角度切入SDN，比如網(wǎng)絡(luò)虛擬化[注]的應(yīng)用，其實(shí)SDN與網(wǎng)絡(luò)虛擬化的核心是一致的，在SDN領(lǐng)域有很多技術(shù)實(shí)現(xiàn)是通過(guò)虛擬化來(lái)完成的，同時(shí)SDN又賦予了網(wǎng)絡(luò)虛擬化新的發(fā)展空間。例如被VMware收購(gòu)的Nicira的控制器就采用了虛擬化Overlay隧道封裝來(lái)分離數(shù)據(jù)平面和控制平面。國(guó)內(nèi)一些運(yùn)營(yíng)商(中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通)也開(kāi)始進(jìn)入SDN的實(shí)質(zhì)性研究階段，對(duì)網(wǎng)絡(luò)流量的感知，提升網(wǎng)絡(luò)的可管理性。將網(wǎng)絡(luò)虛擬化技術(shù)作為SDN的一種應(yīng)用方式進(jìn)行研究。此外，需要注意的是SDN有別于網(wǎng)絡(luò)虛擬化，只不過(guò)網(wǎng)絡(luò)虛擬化在應(yīng)用層面已經(jīng)先行一步，離我們?cè)絹?lái)越近了。

SDN有別于網(wǎng)絡(luò)虛擬化

SDN是一種新型的開(kāi)放網(wǎng)絡(luò)創(chuàng)新架構(gòu)。最初是由美國(guó)斯坦福大學(xué)研究組提出，借助OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái)，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)，包括OpenFlow控制器和OpenFlow交換機(jī)。但是在發(fā)展的過(guò)程中，SDN逐漸從OpenFlow擴(kuò)展開(kāi)來(lái)，一些定制化的編程方式，通過(guò)開(kāi)放的API接口或其他開(kāi)放協(xié)議，實(shí)現(xiàn)轉(zhuǎn)發(fā)層跟控制層的分離和管理的一致性;以及一些通過(guò)Overlay的技術(shù)實(shí)現(xiàn)軟件對(duì)硬件的控制的方式也被認(rèn)為是SDN。

OpenFlow是SDN控制器間通信和控制分支環(huán)境中兼容OpenFlow網(wǎng)絡(luò)設(shè)備的標(biāo)準(zhǔn)方式。網(wǎng)絡(luò)控制平面通過(guò)SDN從數(shù)據(jù)平面中分離出來(lái)。這意味著網(wǎng)絡(luò)控制權(quán)將從轉(zhuǎn)發(fā)數(shù)據(jù)包的設(shè)備中剝離出來(lái)，并集中放在服務(wù)器上被稱為控制器的軟件上。

網(wǎng)絡(luò)虛擬化是能夠?qū)崿F(xiàn)網(wǎng)絡(luò)資源動(dòng)態(tài)調(diào)配、動(dòng)態(tài)管理的技術(shù)?；旧戏殖蓛蓚€(gè)部分：其一是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身的虛擬化，比如原來(lái)單一的網(wǎng)絡(luò)可以虛擬化成多個(gè)網(wǎng)絡(luò)，原來(lái)多個(gè)單一的網(wǎng)絡(luò)單元也可以虛擬成單一網(wǎng)絡(luò)。其二是網(wǎng)絡(luò)提供與虛擬化服務(wù)器、儲(chǔ)存等數(shù)據(jù)中心環(huán)境適配的特性，這些特性包含與虛擬機(jī)的互動(dòng)、虛擬機(jī)的識(shí)別等。與服務(wù)器虛擬化和存儲(chǔ)虛擬化[注]類似，多個(gè)虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)在同一個(gè)物理網(wǎng)絡(luò)上運(yùn)行(可能有重疊的 IP 地址)，而且每個(gè)虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的運(yùn)作就好像只有這一個(gè)虛擬網(wǎng)絡(luò)在此共享的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上運(yùn)作。

總體而言，網(wǎng)絡(luò)虛擬化負(fù)責(zé)在物理網(wǎng)絡(luò)基礎(chǔ)上建立虛擬通道并添加虛擬功能，而SDN則用于調(diào)整物理網(wǎng)絡(luò)，因此后者對(duì)于網(wǎng)絡(luò)體系的配置及管理來(lái)說(shuō)屬于真正的全新外部手段。舉例來(lái)說(shuō)，我們可以將頗具規(guī)模的“大型傳輸流”由1G端口遷移至10G端口，或者將大量“小型傳輸流”匯聚在同一個(gè)1G端口處。SDN依靠網(wǎng)絡(luò)交換機(jī)作為實(shí)現(xiàn)載體，而不像前者那樣借助x86服務(wù)器的參與。這兩類技術(shù)方案的設(shè)計(jì)目的都是為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的移動(dòng)性與敏捷性。我們需要對(duì)網(wǎng)絡(luò)體系進(jìn)行編程的途徑，而實(shí)現(xiàn)該目的的手段除了網(wǎng)絡(luò)虛擬化以及軟件定義網(wǎng)絡(luò)之外還有網(wǎng)絡(luò)功能虛擬化[注]。網(wǎng)絡(luò)虛擬化與網(wǎng)絡(luò)功能虛擬化能夠直接作用于現(xiàn)有網(wǎng)絡(luò)，因?yàn)樗鼈兊倪\(yùn)行基礎(chǔ)是服務(wù)器以及與之相交互的“經(jīng)過(guò)處理”的流量;軟件定義網(wǎng)絡(luò)則要求采用全新的網(wǎng)絡(luò)結(jié)構(gòu)，其中數(shù)據(jù)與控制平臺(tái)必須加以劃分。

應(yīng)用環(huán)節(jié)，SDN還需突破傳統(tǒng)網(wǎng)絡(luò)的局限性

SDN對(duì)企業(yè)的上網(wǎng)行為人士來(lái)說(shuō)既提供了重大的機(jī)遇，也提出了巨大的挑戰(zhàn)。SDN有希望讓網(wǎng)絡(luò)更加靈活，縮短配置網(wǎng)絡(luò)的時(shí)間，改善服務(wù)質(zhì)量，降低運(yùn)營(yíng)成本，并且可以讓網(wǎng)絡(luò)更安全。但對(duì)國(guó)內(nèi)大多數(shù)應(yīng)用企業(yè)而言，對(duì)這項(xiàng)新技術(shù)仍不敢過(guò)多嘗試，往往停留在調(diào)查研究與評(píng)估階段。目前，SDN的主要用戶群仍停留在運(yùn)營(yíng)商、互聯(lián)網(wǎng)數(shù)據(jù)中心和研究機(jī)構(gòu)。

實(shí)施SDN之前，首先要考慮傳統(tǒng)網(wǎng)絡(luò)遇到了哪些難題，SDN技術(shù)會(huì)給企業(yè)帶來(lái)哪些好處，是否能解決傳統(tǒng)網(wǎng)絡(luò)遇到的瓶頸，同時(shí)對(duì)遺留的網(wǎng)絡(luò)基礎(chǔ)設(shè)施會(huì)產(chǎn)生什么樣的影響?要搞清楚這些問(wèn)題，而不能盲目的追求新技術(shù)，要追尋SDN技術(shù)背后給企業(yè)帶來(lái)的益處。

從概念上講，SDN帶來(lái)的益處顯而易見(jiàn)：其不必觸及每個(gè)交換機(jī)和路由器，OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái)，便可實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制。

從長(zhǎng)遠(yuǎn)看，大多數(shù)機(jī)構(gòu)在遷移到SDN應(yīng)用的同時(shí)將堅(jiān)持他們對(duì)傳統(tǒng)設(shè)備的投資。事實(shí)上，SDN到目前為止還主要用于高等教育領(lǐng)域和大型網(wǎng)絡(luò)企業(yè)。而主流的企業(yè)應(yīng)用SDN還將需要更多的增強(qiáng)功能和標(biāo)準(zhǔn)化。

SDN未來(lái)的發(fā)展，需要將SDN和傳統(tǒng)的網(wǎng)絡(luò)進(jìn)行協(xié)同發(fā)展。SDN的基礎(chǔ)網(wǎng)絡(luò)原理都來(lái)源于傳統(tǒng)網(wǎng)絡(luò)，并沒(méi)有對(duì)網(wǎng)絡(luò)原理提出更多的創(chuàng)新(+本站微信networkworldweixin)，熟悉傳統(tǒng)網(wǎng)絡(luò)，將傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)的協(xié)作過(guò)程及需要的標(biāo)準(zhǔn)、產(chǎn)品、工具做好，也必定能促進(jìn)SDN的發(fā)展。同時(shí)需要不斷研究SDN的不足，找出SDN技術(shù)不適用的領(lǐng)域，就可以避開(kāi)SDN 的死角?？紤]到傳統(tǒng)網(wǎng)絡(luò)目前的現(xiàn)狀，實(shí)現(xiàn)SDN仍須時(shí)日。目前可能實(shí)現(xiàn)的目標(biāo)是網(wǎng)絡(luò)虛擬化，其方式是在虛擬機(jī)管理程序之上建立一個(gè)軟件控制的疊加網(wǎng)絡(luò)，以將所有的虛擬服務(wù)器資產(chǎn)整合在一起。在SDN的廣闊應(yīng)用前景中，包括物理與虛擬資源在內(nèi)的所有資源將在軟件控制的世界當(dāng)中協(xié)同工作。

SDN應(yīng)用的安全顧慮

SDN本身也會(huì)存在漏洞，特別是復(fù)雜的SDN的控制器。數(shù)據(jù)平面和控制平面的分離主要是由控制器實(shí)現(xiàn)的，控制器需要應(yīng)對(duì)各種動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)?，解析各種類型的數(shù)據(jù)包，接收上層應(yīng)用的信息，并控制底層網(wǎng)絡(luò)設(shè)備的行為，所以功能實(shí)現(xiàn)將會(huì)非常復(fù)雜，也就可能存在不少漏洞。

當(dāng)攻擊者攻破控制器，就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令，很容易癱瘓整個(gè)網(wǎng)絡(luò)，或?qū)⒛承?shù)據(jù)流重定向到惡意VM(虛擬機(jī))，造成敏感信息的泄露。攻擊者只要通過(guò)高級(jí)持續(xù)攻擊獲得對(duì)SDN控制器的控制權(quán)，就可能導(dǎo)致整個(gè)網(wǎng)絡(luò)“淪陷”。作為直接與網(wǎng)絡(luò)設(shè)備通信的應(yīng)用程序系統(tǒng)，SDN控制器是在所有組件直接建立通信的軟件系統(tǒng)。也正因?yàn)槿绱?，目前企業(yè)選擇SDN就意味著要選擇承受來(lái)自網(wǎng)絡(luò)安全的威脅，而一直以來(lái)，SDN概念中并沒(méi)有過(guò)多的去考慮安全因素。這也是造成企業(yè)在選擇SDN時(shí)猶豫不決，無(wú)法進(jìn)行規(guī)模部署的原因之一。因此，企業(yè)需如何將安全系統(tǒng)融入SDN網(wǎng)絡(luò)是未來(lái)應(yīng)用SDN的關(guān)鍵。

未來(lái)，SDN也許會(huì)在企業(yè)中普遍應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)的可編程性，使上層的軟件應(yīng)用與下層的硬件徹底剝離。企業(yè)可以在SDN的網(wǎng)絡(luò)中，開(kāi)發(fā)適合企業(yè)自身所需的功能，降低硬件投入，簡(jiǎn)化管理水平，降低企業(yè)上網(wǎng)行為部門(mén)的人員成本。但是在硬件成本降低的同時(shí)，是否意味著軟件或網(wǎng)絡(luò)服務(wù)成本提高?還需要根據(jù)企業(yè)自身的特點(diǎn)進(jìn)一步評(píng)估，但相信不久的將來(lái)，SDN會(huì)像網(wǎng)絡(luò)虛擬化一樣，離我們?cè)絹?lái)越近。

【推薦閱讀】

◆上網(wǎng)行為運(yùn)維管理專區(qū)

◆上網(wǎng)行為運(yùn)維管理者如何在DT時(shí)代玩轉(zhuǎn)數(shù)據(jù)分析

◆如何完成遠(yuǎn)程排除網(wǎng)絡(luò)故障

◆孫永杰：本土軟件企業(yè)的對(duì)手不是“老外”

◆網(wǎng)管軟件專區(qū)