軟件規(guī)劃我們的網(wǎng)絡(luò)已經(jīng)很長(zhǎng)時(shí)間了，SDN也與它們之間有什么不同?

 

確實(shí)，由分布式路由算法和管理協(xié)議等軟件決定轉(zhuǎn)發(fā)路徑和設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)已經(jīng)很長(zhǎng)時(shí)間了。盡管如此，這些工具被孤立于每個(gè)廠商的網(wǎng)絡(luò)生態(tài)和專利之外。SDN有幾個(gè)能夠改變這種局面的重要理念：集中化控制、編程接口以及與編配/自動(dòng)化工具整合。

 

為什么SDN比我們目前使用的傳統(tǒng)網(wǎng)絡(luò)要優(yōu)秀?

 

SDN在多大程度上提升你的網(wǎng)絡(luò)在很大程度上取決于你正在嘗試解決哪些問(wèn)題。通過(guò)在適當(dāng)?shù)牡胤讲渴疬m合的SDN解決方案，你能夠讓操作流程更為順暢，減少人為錯(cuò)誤，或是像公司獨(dú)特指標(biāo)所要求的那樣用非常規(guī)方式轉(zhuǎn)發(fā)流量。簡(jiǎn)而言之，它們可以讓你獲得更高的效率和更高的靈活性。

 

常見的使用案例是什么?

 

以下是兩個(gè)目前企業(yè)中常見的SDN使用案例。第一個(gè)是幫助網(wǎng)絡(luò)數(shù)據(jù)采集和網(wǎng)絡(luò)可視化。在這個(gè)使用案例中，感興趣的網(wǎng)絡(luò)流量將按軟件策略所定義那樣被拷貝至采集器中。在采集器中，這些流量可以被分析和直觀化。SDN控制器能夠在整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中插入虛擬網(wǎng)卡，并將來(lái)自任何地方的流量拷貝發(fā)送到分析引擎所在地。

 

第二個(gè)案例為創(chuàng)新性轉(zhuǎn)發(fā)。在這里，流量的轉(zhuǎn)發(fā)將橫跨一個(gè)工程化網(wǎng)絡(luò)路徑。這個(gè)工程化網(wǎng)絡(luò)路徑不同于OSPF 、BGP或MPLS等傳統(tǒng)轉(zhuǎn)發(fā)機(jī)制。常見的應(yīng)用為專門處理對(duì)延時(shí)或抖動(dòng)敏感的流量的應(yīng)用。它們能夠強(qiáng)迫所選擇的流量通過(guò)監(jiān)控設(shè)備以提高安全性，并且還能夠根據(jù)費(fèi)用選擇路由。它們可根據(jù)時(shí)間段或是鏈路利用率讓流量路由經(jīng)過(guò)對(duì)于公司來(lái)說(shuō)相比便宜的路徑。

 

為什么開放網(wǎng)絡(luò)基金會(huì)(ONF)采用一個(gè)封閉的方式運(yùn)行，而不像IETF或IEEE一樣?

 

創(chuàng)建ONF的部分初衷是為了促進(jìn)OpenFlow協(xié)議的快速發(fā)展。OpenFlow協(xié)議是一個(gè)獨(dú)立于廠商的協(xié)議。SDN控制器使用該協(xié)議為使用多種流量匹配條件和措施的網(wǎng)絡(luò)交換機(jī)編制轉(zhuǎn)發(fā)表單。速度將由一小組特定結(jié)果中既得利益成員控制。如果像IETF或IEEE那樣以開放的方式運(yùn)行，那么開發(fā)程序必然會(huì)被放緩，以便涵蓋所有的成員、使用案例以及可能涉及到的問(wèn)題。

 

目前已經(jīng)出現(xiàn)了一些關(guān)于在某一節(jié)點(diǎn)開放ONF議程的討論，以便讓一些規(guī)模較大的網(wǎng)絡(luò)社區(qū)可以對(duì)OpenFlow規(guī)范的討論進(jìn)行觀察。

 

OpenFlow能否成為在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)流量的新方式?

 

OpenFlow的前景目前還不確定。通過(guò)依托基于服務(wù)器的x86計(jì)算能力進(jìn)行必需的處理，OF已被證明在虛擬層網(wǎng)絡(luò)邊緣運(yùn)行的軟交換機(jī)中非常有用。盡管如此，若在傳統(tǒng)網(wǎng)絡(luò)硬件交換機(jī)中部署OF，那么OF的優(yōu)勢(shì)將取決于交換機(jī)芯片的性能，以及芯片在使用案例中處理大規(guī)模OpenFlow操作的能力。

 

網(wǎng)絡(luò)設(shè)計(jì)師在評(píng)估OpenFlow硬件時(shí)必須要仔細(xì)評(píng)估廠商，因?yàn)椴⒉皇撬械腛F交換機(jī)性能都相差無(wú)幾。OpenFlow最終將替代傳統(tǒng)轉(zhuǎn)發(fā)的另一個(gè)依據(jù)是，OF不必復(fù)制思科、瞻博和博通等ASIC(專用集成電路)設(shè)計(jì)公司芯片所具備的全部硬件功能。盡管這些廠商可能會(huì)支持OF作為一種充填轉(zhuǎn)發(fā)表單和策略的附屬手段，但是他們還是會(huì)大力推廣他們自己的API，宣傳這些API能夠充分發(fā)揮他們硬件的性能。

 

由于流條目有限以及轉(zhuǎn)出至控制器存在延時(shí)，有些人對(duì)OF的擴(kuò)展性提出了質(zhì)疑。這是真的嗎?

 

帶OF功能的網(wǎng)絡(luò)交換機(jī)最大流條目低于10K是真的。這一限制取決于使用案例和整個(gè)網(wǎng)絡(luò)設(shè)計(jì)。廠商指出，如果在網(wǎng)絡(luò)邊緣使用OF(與在核心使用OF截然相反)，幾千條流條目不太可能會(huì)達(dá)到上限，而簡(jiǎn)化的內(nèi)核(在這里邊緣租戶被覆蓋層所遮蓋)也能夠取得成功。

 

當(dāng)OpenFlow交換機(jī)的流條目與流量不匹配時(shí)，流量必須被轉(zhuǎn)出至控制器。這會(huì)產(chǎn)生幾十至幾百毫秒的延時(shí)。此外，OpenFlow交換機(jī)CPU僅進(jìn)行轉(zhuǎn)出速度非?？欤ǔ＾D(zhuǎn)出操作被限制在每秒最多1000次。盡管在習(xí)慣以太字節(jié)級(jí)線速轉(zhuǎn)發(fā)L2和L3流量的網(wǎng)絡(luò)設(shè)計(jì)師看來(lái)這一速度非常緩慢，但是廠商指出在典型部署中，由于控制器知道端點(diǎn)，因此流表可通過(guò)流條目被預(yù)先充填。這樣最大限度地降低了對(duì)轉(zhuǎn)出的需求。

一個(gè)SDN控制器不是一個(gè)單點(diǎn)故障嗎?

 

SDN的一個(gè)理念是集中化的控制器知道整個(gè)網(wǎng)絡(luò)的拓?fù)?，因而能夠用多種方式替代網(wǎng)絡(luò)，這點(diǎn)是分布式控制層所無(wú)法做到的。廠商已經(jīng)認(rèn)識(shí)到控制器的關(guān)鍵任務(wù)角色，常常會(huì)將控制器作為一個(gè)能夠象聚合工具一樣運(yùn)行的分布式應(yīng)用，或是作為一個(gè)能夠利用虛擬層高可靠性的虛擬機(jī)。此外，它們會(huì)不出現(xiàn)如果控制器發(fā)生故障，網(wǎng)絡(luò)也會(huì)跟著發(fā)生故障這種情況。雖然廠商會(huì)設(shè)計(jì)許多種架構(gòu)，但是合理的設(shè)想是，即使控制器不存在，網(wǎng)絡(luò)也將會(huì)繼續(xù)轉(zhuǎn)發(fā)流量(至少是一段時(shí)間內(nèi))。

 

我能夠在現(xiàn)有網(wǎng)絡(luò)旁邊安裝SDN嗎?

 

是的。針對(duì)在擴(kuò)建環(huán)境中部署的一個(gè)常見拓?fù)涫?ldquo;SDN孤島”。在這個(gè)孤島中，SDN域中的流量會(huì)通過(guò)網(wǎng)關(guān)設(shè)備流至遺留網(wǎng)絡(luò)。另一個(gè)拓?fù)涫腔旌辖粨Q，能夠處理OpenFlow和傳統(tǒng)網(wǎng)絡(luò)的交換機(jī)會(huì)在兩個(gè)域之間分配它們的端口。不同廠商會(huì)提供不同的混合功能。

 

覆蓋層是什么?為什么會(huì)有如此多的不同種類?

 

覆蓋層被用于創(chuàng)建虛擬網(wǎng)絡(luò)容器。盡管共享同一個(gè)基礎(chǔ)物理網(wǎng)絡(luò)，但是這些虛擬網(wǎng)絡(luò)容器在邏輯上彼此相互孤立。VXLAN(虛擬可擴(kuò)展局域網(wǎng))、使用通用路由封裝的網(wǎng)絡(luò)虛擬化(NVGRE)和無(wú)狀態(tài)傳輸隧道(STT)等技術(shù)幾乎是同時(shí)出現(xiàn)的。不同的廠商正在主導(dǎo)不同的技術(shù)。

 

用一句話概括，就是思科正在力推VXLAN，微軟正在推動(dòng)NVGRE，Nicira(目前已經(jīng)被VMware收購(gòu))支持STT。每一個(gè)覆蓋層都有一些相似的特點(diǎn)，但是在細(xì)節(jié)上存在區(qū)別，這使得它們彼此相似但又彼此不同。隨著時(shí)間的推移，VXLAN已經(jīng)獲得了一些行業(yè)巨頭的支持(有意思的是其中包括VMware)，但NVGRE和NVGRE還沒(méi)有明確被放棄，兩者目前仍然擁有支持者。此外，IETF NVO3工作組也正在致力于其它的覆蓋層，其封裝類型與現(xiàn)有的一種覆蓋層相似。

 

為什么會(huì)有如此多的不同類型控制器?

 

早期上市銷售SDN技術(shù)的廠商不得不將控制器作為整體解決這群的一部分。目前還沒(méi)有SDN控制器標(biāo)準(zhǔn)出臺(tái)。因此每家廠商都會(huì)推出滿足他們目標(biāo)市場(chǎng)需求的控制器。

 

出臺(tái)獲得行業(yè)認(rèn)同的SDN控制器標(biāo)準(zhǔn)不好嗎?

 

隨著OpenDaylight 項(xiàng)目的設(shè)立，行業(yè)貌似也是這么考慮的。OpenDaylight是一個(gè)由行業(yè)內(nèi)部為開源SDN貢獻(xiàn)代碼的廠商組成的聯(lián)盟。時(shí)間將告訴我們SDN控制器標(biāo)準(zhǔn)將如何進(jìn)入廠商產(chǎn)品當(dāng)中，以及它們對(duì)SDN消費(fèi)者意味著什么。

 

網(wǎng)絡(luò)工程師必須要成為程序員嗎?

 

熟悉腳本和編程的網(wǎng)絡(luò)工程師將具備利用SDN技術(shù)的能力。他們必須要這么做嗎?這還將有待觀察。我所看到的場(chǎng)景是，廠商將向公司提供帶有豐富網(wǎng)絡(luò)功能的軟件。部分工程師將使用這些軟件接口配置網(wǎng)絡(luò)，他們會(huì)對(duì)符合預(yù)期自己預(yù)期的網(wǎng)絡(luò)功能感到滿意。還有一部分工程師將使用廠商提供的軟件，并精通創(chuàng)建業(yè)務(wù)所需的獨(dú)特網(wǎng)絡(luò)應(yīng)用所要使用的語(yǔ)言。隨著這些網(wǎng)絡(luò)工程理由逐漸獲得編程技能，他們將維持這種能力，以更為高效地監(jiān)控和維護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

 

在評(píng)估SDN技術(shù)時(shí)，我應(yīng)當(dāng)考慮哪些關(guān)鍵性的東西?

 

需要搞清楚的一件最重要的事情是并不是所有的SDN解決方案都能解決相同的問(wèn)題。此外，終端用戶對(duì)不同的SDN技術(shù)有著不同的期望。盡管一些解決方案打算通過(guò)提供簡(jiǎn)單易用的解決方案過(guò)濾掉網(wǎng)絡(luò)和操作的復(fù)雜性，但是還有一些解決方案正在提供帶有更多工具的工具包，以便用戶能夠創(chuàng)建自己的應(yīng)用。因此，搞清楚自己正在嘗試解決的問(wèn)題處于什么層次的技術(shù)水平非常重要。越詳細(xì)地將自己的需求告之廠商，越清楚廠商的解決方案將如何滿足自己的需求。

 

SDN是不是為我的環(huán)境帶來(lái)了新的安全風(fēng)險(xiǎn)?

 

雖然很難說(shuō)SDN帶來(lái)了“新的”風(fēng)險(xiǎn)，但是事實(shí)表明通過(guò)編程接口暴露的網(wǎng)絡(luò)設(shè)備存在管理風(fēng)險(xiǎn)。也就是，SNMP大致類似于可編程的API，不過(guò)它們擁有一個(gè)詳細(xì)的風(fēng)險(xiǎn)消減策略。從在這個(gè)意義上說(shuō)，SDN并沒(méi)有帶來(lái)新風(fēng)險(xiǎn)。是的，SDN會(huì)帶來(lái)風(fēng)險(xiǎn)，但是IT部門已經(jīng)通過(guò)訪問(wèn)控制、信任、加密、深層數(shù)據(jù)包檢查等措施緩解了這些風(fēng)險(xiǎn)。

 

SDN倡導(dǎo)者指出，集中化控制的安全優(yōu)勢(shì)是減少了配置網(wǎng)絡(luò)時(shí)所需的人手。對(duì)于IT基礎(chǔ)設(shè)施來(lái)說(shuō)，人為錯(cuò)誤是最大的安全風(fēng)險(xiǎn)，SDN可能會(huì)被證明是它們實(shí)際上一種安全資產(chǎn)。