SDN已經(jīng)逐漸應(yīng)用于一些超大型企業(yè)��,因?yàn)檫@種類型的企業(yè)需要不惜任何代價(jià)來(lái)獲取高性能,但是�����,在其它普通的大中型企業(yè)中����,情況就不一樣了�。
雖然廠商正在積極生產(chǎn)SDN,但是分析師預(yù)測(cè)�����,到2016年之前SDN不會(huì)被正式采納�����,大多數(shù)企業(yè)的網(wǎng)絡(luò)工程師都表示�,他們還不準(zhǔn)備投資SDN,因?yàn)樗€有幾個(gè)關(guān)鍵問(wèn)題沒(méi)有解決��。
受訪的IT負(fù)責(zé)人對(duì)于SDN的顧慮也不盡相同�����,有的認(rèn)為其削弱了安全性,有的則認(rèn)為是缺乏SDN標(biāo)準(zhǔn)���,不管是因?yàn)槭裁丛?,都?dǎo)致他們不建議企業(yè)現(xiàn)在投資SDN�����,至少在短期內(nèi)是這樣��。
顧慮一:安全和監(jiān)控性能
IT管理人員首先也是最擔(dān)心的�,就是當(dāng)SDN堆棧同時(shí)遇到虛擬機(jī)管理程序和物理基礎(chǔ)設(shè)施時(shí)的安全監(jiān)控問(wèn)題。
Biotechnology Center of Oslo的高級(jí)系統(tǒng)工程師George Magklaras表示:“在SDN應(yīng)用于關(guān)鍵任務(wù)和安全環(huán)境之前�����,廠商需要努力研究SDN軟件堆棧是如何與云環(huán)境和虛擬層中的虛擬機(jī)管理程序聯(lián)系的�。”
如今���,當(dāng)IT管理人員使用Juniper公司的設(shè)備向網(wǎng)絡(luò)路徑發(fā)送一系列字節(jié)時(shí)�����,會(huì)進(jìn)行靜態(tài)檢查�,這樣可以防止攻擊者運(yùn)行惡意軟件來(lái)創(chuàng)建信息漏洞?���!暗牵褂迷贫褩:吞摂M機(jī)管理程序時(shí)�,就不是這樣了?����!?Magklaras表示�。
SDN環(huán)境下���,IDS/IPS有用嗎���?
Magklaras也是Steelcyber Scientific安全咨詢公司的首席顧問(wèn),他曾在該公司對(duì)一個(gè)大型金融機(jī)構(gòu)實(shí)施了一個(gè)SDN試點(diǎn)��,只是為了證明其安全性能會(huì)受到影響�,尤其是遇到IDS/IPS(入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng))。
Magklaras的團(tuán)隊(duì)在思科和惠普硬件配置的環(huán)境中放置了一個(gè)基于OpenDaylight的SDN控制器���。Magklaras說(shuō):“我們的責(zé)任是監(jiān)督這60個(gè)VLAN利用OpenStack私有云模式向OpenDayLight控制器遷移�。”
Magklaras表示�����,問(wèn)題出現(xiàn)在對(duì)入站和出站IDS/IPS系統(tǒng)的網(wǎng)絡(luò)監(jiān)控上���。IDS/IPS是通過(guò)竊聽(tīng)一組端口或一個(gè)特定端口來(lái)復(fù)制整個(gè)用來(lái)竊聽(tīng)的VLAN或網(wǎng)絡(luò)分段的流量��。傳統(tǒng)的交換機(jī)硬件和軟件會(huì)復(fù)制這個(gè)流量�����,然后再把它提供給IDS/IPS系統(tǒng)�。相反����,SDN是利用虛擬機(jī)管理程序和通用OS程序來(lái)復(fù)制該流量的。
Magklaras說(shuō):“我們對(duì)IDS/IPS系統(tǒng)所進(jìn)行的各種測(cè)試表明�,SDN可能會(huì)丟失大約25%到30%的攻擊事件。我們認(rèn)為導(dǎo)致這種結(jié)果的原因是SDN軟件堆棧在復(fù)制端口流量時(shí)比較慢���,同時(shí)會(huì)損失以太網(wǎng)幀或流量�����?�!?/p>
MAC地址追蹤問(wèn)題
Magklaras的團(tuán)隊(duì)還發(fā)現(xiàn)在追蹤連接到有線和無(wú)線網(wǎng)絡(luò)的設(shè)備的MAC地址有問(wèn)題�。Magklaras說(shuō):“根據(jù)在SDN軟件中的故障而記錄的MAC地址并不正確。SDN軟件在網(wǎng)段較擁擠的情況下會(huì)丟棄MAC地址(由于PXE引導(dǎo)問(wèn)題)�,SDN甚至?xí)茐钠滠浖?cè)表中的MAC地址?����!?/p>
虛擬機(jī)管理程序安全弱點(diǎn)
在測(cè)試過(guò)程中���,Magklaras還發(fā)現(xiàn),在某些情況下�,攻擊者甚至可以看到本不應(yīng)該暴漏的網(wǎng)絡(luò)流量。
他解釋說(shuō)����,一旦虛擬機(jī)管理程序的安全被攻破了,未授權(quán)的用戶就可以利用root管理權(quán)限來(lái)進(jìn)入VLAN�����。
包括VMware在內(nèi)的很多企業(yè)都在努力解決安全問(wèn)題,但是�����,這個(gè)漏洞仍然存在���,Magklaras解釋說(shuō)����。這也是為什么我們不向金融機(jī)構(gòu)和其他客戶推薦SDN堆棧的原因�。其實(shí)我們知道SDN最終會(huì)幫助企業(yè)節(jié)省成本,而且這也是一條必經(jīng)之路����,但是對(duì)于現(xiàn)在,我們必須謹(jǐn)慎�。
顧慮二:自動(dòng)化和DevOps工作
關(guān)于SDN比較吸引人的地方是它可以把基于策略的流量決策轉(zhuǎn)為基于源或目標(biāo)的集中控制點(diǎn)。
但是�,SDN還可以實(shí)現(xiàn)自動(dòng)化和動(dòng)態(tài)配置,這是網(wǎng)絡(luò)專業(yè)人士非常顧慮的問(wèn)題��。具體來(lái)說(shuō)就是��,網(wǎng)絡(luò)工程師希望可以利用SDN來(lái)進(jìn)行DevOps���,并且利用可以自動(dòng)關(guān)閉客戶服務(wù)的機(jī)器來(lái)創(chuàng)建一個(gè)可以將異構(gòu)廠商的硬件聯(lián)系在一起的框架�����。所以���,在SDN被證明可以完全實(shí)現(xiàn)之前����,他們不太可能會(huì)投資SDN���,Christian Teeft這樣表示����,他是云提供商Latisys公司的CTO�����。
Teeft說(shuō):“Latisys公司已經(jīng)利用Arista網(wǎng)絡(luò)的性能做了一些前期的編排和自動(dòng)化配置�。很多企業(yè)不這樣做是因?yàn)樗麄內(nèi)狈evOps資源來(lái)把他們現(xiàn)有的配置系統(tǒng)提升到這個(gè)水平���?!?/p>
顧慮三:不熟悉
網(wǎng)絡(luò)專業(yè)人員閱讀了大量的關(guān)于SDN的優(yōu)勢(shì)的資料,但是卻從來(lái)沒(méi)有看到過(guò)實(shí)際的動(dòng)態(tài)基礎(chǔ)架構(gòu)�����。同時(shí)�,他們現(xiàn)有的環(huán)境已經(jīng)可以了,工程師也建立了完成各種網(wǎng)絡(luò)任務(wù)的方法��。那些方法可能很耗時(shí)����,但確實(shí)可以解決問(wèn)題。
Magklaras說(shuō):“現(xiàn)在����,網(wǎng)絡(luò)工程師需要利用SDN來(lái)做他們以前利用熟悉的硬件和軟件所做的同樣的事情?����!?/p>
所以�,在他們熟練掌握SDN技術(shù)并在SDN可以實(shí)現(xiàn)他們的個(gè)性化需求工作之前,網(wǎng)絡(luò)專業(yè)人員是不會(huì)投資SDN的���。
Force3的客戶解決方案副總裁Jason Parry說(shuō):“我們的網(wǎng)絡(luò)工程師需要真正了解SDN是如何滿足他們的客戶的特定需求���?!?Jason Parry曾經(jīng)還是SafeNet公司的網(wǎng)絡(luò)工程部經(jīng)理�。
他還說(shuō):“SDN還很新。它也許會(huì)改變我們部署�、管理、支持以及配置網(wǎng)絡(luò)的方式����。SDN可以實(shí)現(xiàn)的是網(wǎng)絡(luò)自動(dòng)化、業(yè)務(wù)流程和效率的提升��。我們的網(wǎng)絡(luò)工程師需要看到SDN在引領(lǐng)這種‘時(shí)尚’中真正的價(jià)值�����?��!?/p>
顧慮四:SDN和相關(guān)技能沒(méi)有標(biāo)準(zhǔn)化
網(wǎng)絡(luò)工程師如果想深入了解SDN����,他們需要新的技能�,但是他們不知道從哪里開(kāi)始���,因?yàn)槟壳拔覀儾⒉恢滥姆NSDN策略會(huì)奏效�。
Parry說(shuō):“網(wǎng)絡(luò)工程師最想知道的是SDN是如何影響他們現(xiàn)有的技能的?���!?/p>
工程師們希望看到實(shí)現(xiàn)SDN的一些標(biāo)準(zhǔn),這樣他們就能知道如何鏈接到一個(gè)清晰的技能集�����,然后他們就知道如何適應(yīng)SDN 了��。兩年前���,人們還認(rèn)為OpenFlow是SDN的核心�����,但是現(xiàn)在對(duì)于很多廠商和行業(yè)組織來(lái)說(shuō)����,OpenFlow已經(jīng)“失寵”了��。
Parry表示�����,從這一點(diǎn)來(lái)說(shuō),工程師多少也要對(duì)SDN有所了解���,包括OpenFlow���。
顧慮五:CIO們還沒(méi)有做好準(zhǔn)備
無(wú)論網(wǎng)絡(luò)專業(yè)人員和IT管理人員如何喜歡SDN和它的優(yōu)勢(shì),他們還是要在投資之前說(shuō)服他們的上級(jí)領(lǐng)導(dǎo)�,但并不容易。
一家知名國(guó)際酒店的信息安全經(jīng)理Ben Rothke表示:“目前SDN還沒(méi)有普及�,這是因?yàn)樗枰罅繒r(shí)間、金錢(qián)和硬件支持���。觸及到這一長(zhǎng)期遠(yuǎn)景�����,很多CIO們還沒(méi)有做好準(zhǔn)備�?!?/p>
SDN是一個(gè)巨大的基礎(chǔ)設(shè)施重組工作。他說(shuō):“很多CIO們根本沒(méi)有時(shí)間��、人員和資金來(lái)支持它?����!彼€表示�����,它給人一種處理“另一種網(wǎng)絡(luò)方法”的感覺(jué)�����,這會(huì)嚇退很多人�。
如果有很多實(shí)際可用的SDN使用案例�����,這個(gè)技術(shù)也許就會(huì)更好賣一些���。
“SDN被定義為新興的架構(gòu)���。這里的關(guān)鍵詞是新興。也就是說(shuō)它正在發(fā)展���、趨向成熟�����,但是卻沒(méi)有大量的成功案例��?����!?Rothke表示���。
Rothke表示�,當(dāng)很多同行告訴他SDN可行的時(shí)候再考慮SDN投資���,感覺(jué)可能會(huì)更放心一點(diǎn)���。
他說(shuō):“我不需要企業(yè)白皮書(shū)、網(wǎng)絡(luò)座談會(huì)或者研討會(huì)之類的�。如果我們的同事和同行因?yàn)镾DN而爭(zhēng)論起來(lái),這也是了解該技術(shù)比較不錯(cuò)的一種方式�����。”
