軟件定義網(wǎng)絡(luò)示意圖

軟件定義網(wǎng)絡(luò)實際上核心技術(shù)本身并沒有什么創(chuàng)新，傳統(tǒng)交換或路由設(shè)備也都有獨立轉(zhuǎn)發(fā)平面或強大控制平面，只不過傳統(tǒng)模式轉(zhuǎn)發(fā)平面是通過在同一個機箱的不同接口模塊去完成，控制平面由機箱的路由交換控制模塊完成，缺點當然是開放性不夠、及時響應(yīng)動態(tài)變化能力有限，原因是比如設(shè)備無法做到第三方編程自動化集成，每個設(shè)備需要單獨維護自己的地址表，有限CPU和內(nèi)存卻需要全網(wǎng)實時計算和動態(tài)處理。傳統(tǒng)網(wǎng)絡(luò)每個設(shè)備有點智能，但是非常有限，它們只能根據(jù)本節(jié)點進出數(shù)據(jù)流做出被動響應(yīng)，無法知道其他節(jié)點動態(tài)狀況。各個網(wǎng)絡(luò)節(jié)點離散式自我控制，只見個別樹木或樹葉，沒有大家統(tǒng)一協(xié)調(diào)的控制平面，不見整個網(wǎng)絡(luò)森林，所以對整個網(wǎng)絡(luò)來講，盡管實現(xiàn)了動態(tài)路由協(xié)議，其架構(gòu)基本是靜態(tài)的。傳統(tǒng)網(wǎng)絡(luò)所謂動態(tài)調(diào)度實現(xiàn)基礎(chǔ)也就是二層和三層的實現(xiàn)鏈路資源動態(tài)分配，而對于四到七層與二三層是否匹配和諧而調(diào)度，則心有余而力不足。即便有折中解決方案，也只是需要處在固定位置的昂貴負載均衡或安全設(shè)備協(xié)助完成。

理想的軟件定義網(wǎng)絡(luò)模式下，獨立的離散式智能從分支節(jié)點上收到中央控制節(jié)點，中央樞紐保持全網(wǎng)流量監(jiān)視和控制，從OSI 2層到7層實時把握網(wǎng)絡(luò)整體狀況，即時控制和調(diào)度，建立強大中央智能，對全網(wǎng)和100%垂直完整做出有效反應(yīng)。在軟件定義網(wǎng)絡(luò)環(huán)境下，中央控制節(jié)點可以根據(jù)相應(yīng)算法、邏輯、分析和規(guī)則，以軟件定義規(guī)范方式將配置信息推到交換和路由節(jié)點，完成路由或交換從中央控制節(jié)點接受特定格式指令規(guī)則過程，交換和路由節(jié)點更新數(shù)據(jù)轉(zhuǎn)發(fā)平面落地規(guī)則，完成數(shù)據(jù)轉(zhuǎn)發(fā)。中央控制節(jié)點針對每個細分的網(wǎng)絡(luò)路徑，按照一條條“信息流”細分，每個“信息流”數(shù)據(jù)落地轉(zhuǎn)發(fā)由每個特定交換或路由節(jié)點完成。當計算或存儲資源變化時，中央控制節(jié)點根據(jù)分析結(jié)果重新調(diào)整節(jié)點配置規(guī)則，這樣就實現(xiàn)虛擬化和云計算網(wǎng)絡(luò)所需要的自動化和精細化動態(tài)配置管理。

常見專有軟件定義網(wǎng)絡(luò)

軟件定義網(wǎng)絡(luò)——vSphere之VNetwork體系架構(gòu)

VMware vShpere可以通過虛擬化交換機控制平面管理VLAN、QoS策略和ACL，vNetwork API提供了標準接口，網(wǎng)絡(luò)廠家根據(jù)接口開發(fā)與專有固件互動功能。網(wǎng)絡(luò)廠家在虛擬化控制臺安裝控制插件，當虛擬機移動或變化時，對應(yīng)指令從vSphere API上層發(fā)出，插件被調(diào)用，指揮網(wǎng)絡(luò)節(jié)點調(diào)度物理交換資源，自然而然vShpere成為了虛擬化交換網(wǎng)絡(luò)的控制平面代理。Cisco Nexus 1000v就是一種基于VMware體系架構(gòu)的專用實現(xiàn)，它不但兼容了VSphere標準API，而且提供了標準Cisco IOS命令行方式。

vSphere的軟件定義網(wǎng)絡(luò)架構(gòu)

Dell Force10新一代數(shù)據(jù)中心架構(gòu)支持虛擬化感知軟件定義網(wǎng)絡(luò)。Dell Force10邊緣交換機FTOS可以安裝虛擬管理器插件到虛擬操作系統(tǒng)包括VMware和Citrix，當虛擬控制平臺移動虛擬機時，通知插件以 Hyperlink方式在目的交換機FTOS上運行配置腳本，自動配置與虛擬機所匹配的網(wǎng)絡(luò)資源，而后移動虛擬機。

Dell Force10 集成自動化及虛擬感知網(wǎng)絡(luò)架構(gòu)

軟件定義網(wǎng)絡(luò)——無線局域網(wǎng)

其實無線網(wǎng)絡(luò)控制器與無線接入點組成的無線網(wǎng)絡(luò)某種程度上也算軟件定義網(wǎng)絡(luò)應(yīng)用。以戴爾公司PowerConnect-W無線解決方案為例，無線接入點 AP92/93系列提供無線接入轉(zhuǎn)發(fā)平面，無線控制器W650系列實現(xiàn)同一用戶認證，基于用戶服務(wù)質(zhì)量服務(wù)定義，集中管理加密信息，控制器分發(fā)控制策略到轉(zhuǎn)發(fā)平面接入點，控制器與接入點之間信息加密傳輸，組成完整、安全和可定義的無線網(wǎng)絡(luò)。

無線網(wǎng)絡(luò)軟件定義架構(gòu)

軟件定義網(wǎng)絡(luò)——Juniper QFabric

Juniper定義了專有的下一代網(wǎng)絡(luò)基礎(chǔ)架構(gòu)QFabric。QFabric是全新數(shù)據(jù)轉(zhuǎn)發(fā)平面和控制平面交換體系架構(gòu)，從邊緣交換到核心交換都采用了新型交換架構(gòu)，支持大規(guī)模節(jié)點接入。數(shù)據(jù)轉(zhuǎn)發(fā)平面有QF/Interconnect核心節(jié)點、QF/Node作為邊緣節(jié)點，控制平面由QF /Director組成?？刂破矫鍽F/Director由冗余x86物理服務(wù)器集群組成，通過雙千兆鏈接控制每個網(wǎng)絡(luò)節(jié)點，控制鏈路獨立于數(shù)據(jù)轉(zhuǎn)發(fā)平面鏈路，控制平面節(jié)點就是我們說軟件定義網(wǎng)絡(luò)的中央控制節(jié)點。

瞻博QFabric系統(tǒng)架構(gòu)圖

OpenFlow軟件定義網(wǎng)絡(luò)與應(yīng)用

開源軟件定義網(wǎng)絡(luò)OpenFlow架構(gòu)

Open Networking Foundation (ONF)開放式網(wǎng)絡(luò)基金會今年成立以來，OpenFlow規(guī)范得到主流網(wǎng)絡(luò)廠家追捧，尤其是最近在Las Vegas Interop 2011舉行網(wǎng)絡(luò)大會，OpenFlow大出風(fēng)頭。究其原因，其背后基本理念是軟件定義網(wǎng)絡(luò)(Software-Defined Network)。OpenFlow規(guī)范實際上是一整套軟件應(yīng)用程序接口，控制網(wǎng)絡(luò)數(shù)據(jù)如何轉(zhuǎn)發(fā)，可基于硬件實現(xiàn)，OpenFlow增加了定制轉(zhuǎn)發(fā)數(shù)據(jù)的控制程度，減少了支撐復(fù)雜控制所需的硬件成本。OpenFlow網(wǎng)絡(luò)控制節(jié)點可以通過規(guī)范與支持OpenFlow的交換節(jié)點溝通配置信息，決定數(shù)據(jù)轉(zhuǎn)發(fā)平面的轉(zhuǎn)發(fā)表，控制器與轉(zhuǎn)發(fā)節(jié)點間通過SSL加密傳輸。OpenFlow支持定義的“信息流”主要是從1層到4層的關(guān)鍵信息包括端口號、VLAN、MAC、以太網(wǎng)包頭、IP地址、 IP協(xié)議號、TCP端口號等。配置信息通常包括“信息流”和與之對于的動作。每個“信息流”有符合某種特征的數(shù)據(jù)包及動作組成，比如源IP/源Port，目的IP/目的Port，5種不同轉(zhuǎn)發(fā)動作。

OpenFLow的架構(gòu)圖

OpenFlow“信息流”定義

用戶可以通過OpenFlow預(yù)設(shè)通用規(guī)則，每種不同網(wǎng)絡(luò)節(jié)點可以根據(jù)設(shè)備特點更新轉(zhuǎn)發(fā)平面規(guī)則，比如轉(zhuǎn)發(fā)交換機更新MAC地址轉(zhuǎn)發(fā)表、VLAN端口轉(zhuǎn)發(fā)表、1到4層轉(zhuǎn)發(fā)表，路由器修改訪問控制IP列表，防火墻修改進出端口規(guī)則等。

不同網(wǎng)絡(luò)節(jié)點應(yīng)用不同網(wǎng)絡(luò)“信息流”規(guī)則

OpenFlow它增加了網(wǎng)絡(luò)靈活控制能力，分布式節(jié)點智能通過OpenFlow指令得以實現(xiàn)，外部OpenFlow控制管理節(jié)點的實時控制，集中統(tǒng)一中央智能。OpenFlow根據(jù)運行實況實時控制分布式節(jié)點，分布式節(jié)點生成快速轉(zhuǎn)發(fā)表，無須進行復(fù)雜智能分析計算，只要執(zhí)行網(wǎng)絡(luò)轉(zhuǎn)發(fā)平面功能。當新轉(zhuǎn)發(fā)節(jié)點加入到OpenFlow網(wǎng)絡(luò)時，自動從中央控制節(jié)點得的最新網(wǎng)絡(luò)配置信息，完成網(wǎng)絡(luò)自動化感知。而中央控制節(jié)點基于x86標準服務(wù)器架構(gòu)，強大計算能力和橫向擴展特性保證了控制平面擴展性和經(jīng)濟性。

OpenFlow獨立控制平面出現(xiàn)，TRILL或Shortest Path Bridging協(xié)議變得不是那么重要，因為OpenFlow控制器可以擁有有全網(wǎng)視圖，所以動態(tài)防止環(huán)路發(fā)生。OpenFlow不但增加了傳統(tǒng)轉(zhuǎn)發(fā)平面的效率，在提供高級網(wǎng)絡(luò)服務(wù)方面還可以展現(xiàn)獨特價值，比如多對一的網(wǎng)絡(luò)虛擬化，分布式負載均衡和分布式防火墻或入侵檢測，非常不同于傳統(tǒng)模式的一對多網(wǎng)絡(luò)虛擬化模式。每一類分布式網(wǎng)絡(luò)資源服務(wù)與單獨云租戶對應(yīng)，每個云租戶都有獨立的跨物理節(jié)點的虛擬化網(wǎng)絡(luò)，比如不同虛擬端口交換機，對租戶管理員來物理網(wǎng)絡(luò)端口透明，邏輯化網(wǎng)絡(luò)派生于在物理網(wǎng)絡(luò)資源上抽象出的網(wǎng)絡(luò)虛擬資源池。虛擬機移動后，當虛擬機相應(yīng)“信息流”的第一個數(shù)據(jù)包到達移動后的本地交換機節(jié)點，如果本地交換機節(jié)點沒有發(fā)現(xiàn)匹配的轉(zhuǎn)發(fā)規(guī)則，整個數(shù)據(jù)報文會被送到中央管理節(jié)點，中央管理節(jié)點根據(jù)定義規(guī)則邏輯設(shè)定本地規(guī)則，并應(yīng)用到本地交換機的轉(zhuǎn)發(fā)表建立新的匹配項，之后的“信息流”不再通過管理節(jié)點，由轉(zhuǎn)發(fā)節(jié)點直接完成。

OpenFlow在虛擬化軟件交換機Open vSwitch應(yīng)用

Open vSwitch是多層虛擬化軟件交換機，它遵循Apache 2.0開源代碼版權(quán)協(xié)議，可用于生產(chǎn)環(huán)境，支持跨物理服務(wù)器分布式管理、擴展編程、大規(guī)模網(wǎng)絡(luò)自動化和標準化接口，實現(xiàn)了和大多數(shù)商業(yè)閉源交換機功能類似的軟件交換機。 OpenSwitch分離快速數(shù)據(jù)轉(zhuǎn)發(fā)平面，OpenFlow作為新型控制平面，不同物理主機的虛擬化交換機通過OpenFlow控制，集群組成分布式虛擬化交換機，還可以實現(xiàn)不同租戶虛擬機和虛擬網(wǎng)絡(luò)隔離。正是由于Open vSwitch對OpenFlow支持，推動了OpenFlow在開源虛擬化領(lǐng)域的應(yīng)用和發(fā)展。

軟件定義網(wǎng)絡(luò)商業(yè)價值應(yīng)用展望

軟件定義網(wǎng)絡(luò)OpenFlow在超大規(guī)模Web 2.0 網(wǎng)絡(luò)應(yīng)用

Web 2.0用戶如Google、Facebook的服務(wù)器臺數(shù)近百萬臺，單數(shù)據(jù)中心服務(wù)器數(shù)目也超過十萬臺，國內(nèi)公司如Tencent、Aliababa和 Baidu安裝服務(wù)器數(shù)估計也超過數(shù)十萬臺。在這些超大規(guī)模服務(wù)器群的網(wǎng)絡(luò)設(shè)計與實現(xiàn)尤為重要，穩(wěn)定、可靠和高性能的網(wǎng)絡(luò)是Web 2.0業(yè)務(wù)的生命線。一方面在核心層實現(xiàn)高可靠性和高性能，另一方面是大量的服務(wù)器接入需要內(nèi)網(wǎng)、外網(wǎng)和管理網(wǎng)接口，3倍以上端口數(shù)目，大量接入層設(shè)備成本成為是基礎(chǔ)架構(gòu)成本的重要組成。為了進一步降低服務(wù)器成本，集中、整合與開源虛擬化是下一代Web 2.0架構(gòu)的發(fā)展趨勢，單一數(shù)據(jù)中心虛擬機數(shù)目將部署到上十萬臺，這種環(huán)境下的公共云虛擬化移動性比我們之前說私有云移動性來得技術(shù)更加復(fù)雜、管理更加困難，傳統(tǒng)網(wǎng)絡(luò)廠家設(shè)備非常難以滿足超大規(guī)模的“信息流”要求。

從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)遷移到軟件定義網(wǎng)絡(luò)將是一個艱難的旅程。網(wǎng)絡(luò)技術(shù)應(yīng)用演變過程有兩種方式，一種是先邊緣后核心，另外一種是先中心后邊緣，不過從客戶心理學(xué)來看，先邊緣后核心是更容易接受的應(yīng)用方式，所以我們可以預(yù)計 OpenFlow應(yīng)用過程也將是從邊緣到核心的應(yīng)用過程。具體方式是用戶在接入層采用支持OpenFlow交換機，建立獨立管理網(wǎng)，安裝獨立開發(fā)的或商用控制平臺軟件，測試和完善控制平臺軟件，從類OpenFlow交換機采集數(shù)據(jù)流量模式和優(yōu)化定義規(guī)則，并同時至頂向下從應(yīng)用角度分析，兩種分析方式結(jié)合抽象出網(wǎng)絡(luò)數(shù)據(jù)模型，這就是軟件定義網(wǎng)絡(luò)的規(guī)則基礎(chǔ)，從是什么推進到應(yīng)該是什么，再到如何是什么。

目前主流交換機廠家都還沒有推出 OpenFlow交換機，NEC公司是第一個推出支持OpenFlow交換機的公司，產(chǎn)品型號是PF5240，帶有48個千兆和4個萬兆上聯(lián)端口，NEC 還開發(fā)了OpenFlow控制器軟件支持PF5240或其它第三方OpenFlow兼容交換機。

OpenFlow基于3層網(wǎng)絡(luò)建立2層虛擬化轉(zhuǎn)發(fā)路徑

如上圖所示，OpenFlow在數(shù)據(jù)中心網(wǎng)絡(luò)里建立從一臺虛擬機到另外一臺虛擬機的轉(zhuǎn)發(fā)路徑，虛擬機與虛擬機之間的三層網(wǎng)絡(luò)基礎(chǔ)上建立了二層廣播域—— 虛擬以太網(wǎng)交換機，OpenFlow擴展了三層相對靜態(tài)功能，根據(jù)數(shù)據(jù)流動態(tài)建立負載均衡決策路徑，并依據(jù)虛擬化交換網(wǎng)絡(luò)配置改變最優(yōu)化的轉(zhuǎn)發(fā)路徑，從而簡化了大型數(shù)據(jù)中心3層網(wǎng)絡(luò)適應(yīng)2層虛擬機移動性要求。

軟件定義網(wǎng)絡(luò)OpenFlow在電信運營商網(wǎng)絡(luò)應(yīng)用

在傳統(tǒng)電信運營商網(wǎng)絡(luò)里，IP層網(wǎng)絡(luò)和傳輸網(wǎng)絡(luò)獨立分離的，它們分別單獨管理，IP網(wǎng)和傳輸網(wǎng)之間沒有交互，IP鏈路靜態(tài)配置，傳輸層電路或放大器也是靜態(tài)的，導(dǎo)致不同層次功能和資源重復(fù)，增加用戶采購成本和運營成本負擔(dān)。傳統(tǒng)網(wǎng)絡(luò)電路交換更無法自動感知報文交換要求，自動化控制平面操作，只是被動地依賴網(wǎng)管平臺手工操作，服務(wù)交付時間長達幾天，運營商只能是成為網(wǎng)絡(luò)帶寬銷售者。尤其在云計算環(huán)境下，需要跨越數(shù)據(jù)中心的資源管理，需要上層資源與物理鏈路層調(diào)度的匹配與自動化，每個租戶在數(shù)據(jù)中心之外需要建立虛擬網(wǎng)絡(luò)服務(wù)和實現(xiàn)自助管理。這樣用戶趨勢就是報文交換網(wǎng)絡(luò)與電路交換網(wǎng)絡(luò)融合，在同一平臺下管理和運維，報文交換和電路交換之間互動，實現(xiàn)不同層次間動態(tài)調(diào)度。但是問題是報文和電路融合非常困難，因為IP網(wǎng)絡(luò)和傳輸網(wǎng)絡(luò)架構(gòu)非常不一樣，整合運維非常困難，傳輸網(wǎng)絡(luò)保持不變，結(jié)果會造成融合更加膨脹，最后導(dǎo)致網(wǎng)絡(luò)不可用，所以有專家說了架構(gòu)融合才是真正融合。哪什么才是最佳控制和管理方式呢?可不可以基于1層到4層建立 “信息流”的控制方式呢?可以，解決思路是按光纖、放大器、時隙和報文內(nèi)容細分，從電路交換和報文交換抽象映射到2到4層信息流交換層，實現(xiàn)基于廣域網(wǎng)的網(wǎng)絡(luò)虛擬化。斯坦福大學(xué)的有關(guān)專家正在積極研究將報文交換和電路交換集成,，合并起來統(tǒng)一抽象并管理和控制，實現(xiàn)基于“信息流”網(wǎng)絡(luò)服務(wù)架構(gòu)，基于不同流量和應(yīng)用模型建立端對端網(wǎng)絡(luò)虛擬化，這些研究為OpenFlow在運營商網(wǎng)絡(luò)應(yīng)用提供無限的可能性。

運營商基于”流”統(tǒng)一控制管理網(wǎng)絡(luò)

軟件定義網(wǎng)絡(luò)發(fā)展挑戰(zhàn)

盡管軟件定義網(wǎng)絡(luò)發(fā)展可以幫助我們解決云計算網(wǎng)絡(luò)的管理和經(jīng)濟問題，前途是非常光明的，但從目前發(fā)展階段來看還是需要較長時間的發(fā)展和普及過程，從技術(shù)本身到管理和市場方面都有不少的挑戰(zhàn)。

第一點，每個控制節(jié)點和轉(zhuǎn)發(fā)節(jié)點需要維護大量“信息流”表，控制節(jié)點或轉(zhuǎn)發(fā)節(jié)點的內(nèi)存及其他資源需要相應(yīng)提高，大量突發(fā)的第一次“信息流”建立可能會導(dǎo)致新的“信息流”瓶頸問題。而且如果控制點故障，大量“信息流”需要在轉(zhuǎn)發(fā)節(jié)點重建，突發(fā)“信息流”配置對網(wǎng)絡(luò)性能和魯棒性都會有潛在的巨大影響。

第二點，OpenFlow成熟度問題，目前OpenFlow還只應(yīng)用于科學(xué)實驗和校園內(nèi)部網(wǎng)。沒有大規(guī)模產(chǎn)品化，量產(chǎn)之前的成本優(yōu)勢還是很大疑問。網(wǎng)絡(luò)供應(yīng)商選擇不多，沒有供應(yīng)商與供應(yīng)商橫向比較，企業(yè)難以通過市場競爭方式獲取新技術(shù)并最優(yōu)成本的產(chǎn)品。除了轉(zhuǎn)發(fā)節(jié)點成熟度問題外，因為目前并沒有商業(yè)化的控制平臺，如何實現(xiàn)控制節(jié)點軟件開發(fā)、如何維護升級也是大問題。OpenFlow產(chǎn)業(yè)的先行者還需要對企業(yè)用戶進行更多初期普及、培育、培訓(xùn)工作，幫助他們了解、測試和小規(guī)模測試軟件定義網(wǎng)絡(luò)新技術(shù)產(chǎn)品。

第三點，和大多數(shù)開源項目一樣，目前OpenFlow等項目無法像商業(yè)解決方案一樣有獨立的商業(yè)機構(gòu)為客戶提供專業(yè)從咨詢、、分析、設(shè)計、部署和運維管理服務(wù)，保證客戶網(wǎng)絡(luò)與IT系統(tǒng)運行。用戶需要更多更高水平的有經(jīng)驗的網(wǎng)絡(luò)維護人員，非一站式解決方案將導(dǎo)致學(xué)習(xí)成本比較高昂。盡管很多大公司參與OpenFlow項目，但是開發(fā)驅(qū)動力和技術(shù)支持主要來自社區(qū)自由軟件編程人員。所以成熟的閉源軟件定義網(wǎng)絡(luò)將繼續(xù)在普通企業(yè)應(yīng)用尤其是私有云起主導(dǎo)作用。

第四點，軟件定義網(wǎng)絡(luò)天生的安全風(fēng)險問題。集中智能雖然可以給運營管理帶來全網(wǎng)視圖和優(yōu)化，以簡化管理提高效率的好處，但是也帶來而外的管理風(fēng)險，中央中樞如果損壞或被黑客侵入怎么辦?(基于x86軟件系統(tǒng)顯然比私有嵌入架構(gòu)容易受到黑客攻擊，尤其是開源社區(qū)提供豐富源代碼)，結(jié)果會導(dǎo)致全網(wǎng)癱瘓或變成僵尸網(wǎng)絡(luò)，變成又聾又啞或失去控制的龐大網(wǎng)絡(luò)怪物?網(wǎng)絡(luò)攻擊將從單點網(wǎng)絡(luò)節(jié)點直接上升為集中網(wǎng)絡(luò)控制器，后果將更加嚴重。

zhangcun