目前很多SDN(Software Defined Network�����,軟件定義網(wǎng)絡(luò))的解決方案還主要集中在高校�、ONF組織、運營商及設(shè)備廠商中進行探索研究����,多停留在分析討論、實驗階段����,很少在國內(nèi)企業(yè)中得到實際的應(yīng)用。鑒于此種情況���,也有一些廠商并沒有受到這方面的局限性影響���,而是從另外的角度切入SDN,比如網(wǎng)絡(luò)虛擬化[注]的應(yīng)用�,其實SDN與網(wǎng)絡(luò)虛擬化的核心是一致的,在SDN領(lǐng)域有很多技術(shù)實現(xiàn)是通過虛擬化來完成的���,同時SDN又賦予了網(wǎng)絡(luò)虛擬化新的發(fā)展空間�����。例如被VMware收購的Nicira的控制器就采用了虛擬化Overlay隧道封裝來分離數(shù)據(jù)平面和控制平面�����。國內(nèi)一些運營商(中國電信���、中國移動、中國聯(lián)通)也開始進入SDN的實質(zhì)性研究階段���,對網(wǎng)絡(luò)流量的感知�,提升網(wǎng)絡(luò)的可管理性�。將網(wǎng)絡(luò)虛擬化技術(shù)作為SDN的一種應(yīng)用方式進行研究。此外���,需要注意的是SDN有別于網(wǎng)絡(luò)虛擬化����,只不過網(wǎng)絡(luò)虛擬化在應(yīng)用層面已經(jīng)先行一步����,離我們越來越近了。
SDN有別于網(wǎng)絡(luò)虛擬化
SDN是一種新型的開放網(wǎng)絡(luò)創(chuàng)新架構(gòu)�。最初是由美國斯坦福大學(xué)研究組提出�����,借助OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來�,從而實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制���,為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺�����,包括OpenFlow控制器和OpenFlow交換機���。但是在發(fā)展的過程中,SDN逐漸從OpenFlow擴展開來�,一些定制化的編程方式,通過開放的API接口或其他開放協(xié)議���,實現(xiàn)轉(zhuǎn)發(fā)層跟控制層的分離和管理的一致性;以及一些通過Overlay的技術(shù)實現(xiàn)軟件對硬件的控制的方式也被認(rèn)為是SDN����。
OpenFlow是SDN控制器間通信和控制分支環(huán)境中兼容OpenFlow網(wǎng)絡(luò)設(shè)備的標(biāo)準(zhǔn)方式���。網(wǎng)絡(luò)控制平面通過SDN從數(shù)據(jù)平面中分離出來���。這意味著網(wǎng)絡(luò)控制權(quán)將從轉(zhuǎn)發(fā)數(shù)據(jù)包的設(shè)備中剝離出來��,并集中放在服務(wù)器上被稱為控制器的軟件上��。
網(wǎng)絡(luò)虛擬化是能夠?qū)崿F(xiàn)網(wǎng)絡(luò)資源動態(tài)調(diào)配、動態(tài)管理的技術(shù)��?;旧戏殖蓛蓚€部分:其一是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身的虛擬化,比如原來單一的網(wǎng)絡(luò)可以虛擬化成多個網(wǎng)絡(luò)����,原來多個單一的網(wǎng)絡(luò)單元也可以虛擬成單一網(wǎng)絡(luò)。其二是網(wǎng)絡(luò)提供與虛擬化服務(wù)器���、儲存等數(shù)據(jù)中心環(huán)境適配的特性����,這些特性包含與虛擬機的互動��、虛擬機的識別等��。與服務(wù)器虛擬化和存儲虛擬化[注]類似�����,多個虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)在同一個物理網(wǎng)絡(luò)上運行(可能有重疊的 IP 地址),而且每個虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的運作就好像只有這一個虛擬網(wǎng)絡(luò)在此共享的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上運作�����。
總體而言��,網(wǎng)絡(luò)虛擬化負(fù)責(zé)在物理網(wǎng)絡(luò)基礎(chǔ)上建立虛擬通道并添加虛擬功能���,而SDN則用于調(diào)整物理網(wǎng)絡(luò)����,因此后者對于網(wǎng)絡(luò)體系的配置及管理來說屬于真正的全新外部手段�����。舉例來說��,我們可以將頗具規(guī)模的“大型傳輸流”由1G端口遷移至10G端口����,或者將大量“小型傳輸流”匯聚在同一個1G端口處。SDN依靠網(wǎng)絡(luò)交換機作為實現(xiàn)載體,而不像前者那樣借助x86服務(wù)器的參與���。這兩類技術(shù)方案的設(shè)計目的都是為了實現(xiàn)網(wǎng)絡(luò)環(huán)境的移動性與敏捷性����。我們需要對網(wǎng)絡(luò)體系進行編程的途徑�,而實現(xiàn)該目的的手段除了網(wǎng)絡(luò)虛擬化以及軟件定義網(wǎng)絡(luò)之外還有網(wǎng)絡(luò)功能虛擬化[注]。網(wǎng)絡(luò)虛擬化與網(wǎng)絡(luò)功能虛擬化能夠直接作用于現(xiàn)有網(wǎng)絡(luò)�����,因為它們的運行基礎(chǔ)是服務(wù)器以及與之相交互的“經(jīng)過處理”的流量;軟件定義網(wǎng)絡(luò)則要求采用全新的網(wǎng)絡(luò)結(jié)構(gòu)���,其中數(shù)據(jù)與控制平臺必須加以劃分。
應(yīng)用環(huán)節(jié)��,SDN還需突破傳統(tǒng)網(wǎng)絡(luò)的局限性
SDN對企業(yè)的IT人士來說既提供了重大的機遇����,也提出了巨大的挑戰(zhàn)。SDN有希望讓網(wǎng)絡(luò)更加靈活����,縮短配置網(wǎng)絡(luò)的時間,改善服務(wù)質(zhì)量,降低運營成本��,并且可以讓網(wǎng)絡(luò)更安全��。但對國內(nèi)大多數(shù)應(yīng)用企業(yè)而言�,對這項新技術(shù)仍不敢過多嘗試,往往停留在調(diào)查研究與評估階段�����。目前�����,SDN的主要用戶群仍停留在運營商�、互聯(lián)網(wǎng)數(shù)據(jù)中心和研究機構(gòu)。
實施SDN之前�����,首先要考慮傳統(tǒng)網(wǎng)絡(luò)遇到了哪些難題�����,SDN技術(shù)會給企業(yè)帶來哪些好處�,是否能解決傳統(tǒng)網(wǎng)絡(luò)遇到的瓶頸�����,同時對遺留的網(wǎng)絡(luò)基礎(chǔ)設(shè)施會產(chǎn)生什么樣的影響?要搞清楚這些問題����,而不能盲目的追求新技術(shù)��,要追尋SDN技術(shù)背后給企業(yè)帶來的益處�����。
從概念上講�,SDN帶來的益處顯而易見:其不必觸及每個交換機和路由器,OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來��,便可實現(xiàn)網(wǎng)絡(luò)流量的靈活控制����。
從長遠(yuǎn)看�,大多數(shù)機構(gòu)在遷移到SDN應(yīng)用的同時將堅持他們對傳統(tǒng)設(shè)備的投資。事實上�����,SDN到目前為止還主要用于高等教育領(lǐng)域和大型網(wǎng)絡(luò)企業(yè)。而主流的企業(yè)應(yīng)用SDN還將需要更多的增強功能和標(biāo)準(zhǔn)化��。
SDN未來的發(fā)展���,需要將SDN和傳統(tǒng)的網(wǎng)絡(luò)進行協(xié)同發(fā)展�����。SDN的基礎(chǔ)網(wǎng)絡(luò)原理都來源于傳統(tǒng)網(wǎng)絡(luò)��,并沒有對網(wǎng)絡(luò)原理提出更多的創(chuàng)新(+本站微信networkworldweixin)�,熟悉傳統(tǒng)網(wǎng)絡(luò)��,將傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)的協(xié)作過程及需要的標(biāo)準(zhǔn)�����、產(chǎn)品���、工具做好�,也必定能促進SDN的發(fā)展����。同時需要不斷研究SDN的不足��,找出SDN技術(shù)不適用的領(lǐng)域����,就可以避開SDN 的死角���?����?紤]到傳統(tǒng)網(wǎng)絡(luò)目前的現(xiàn)狀��,實現(xiàn)SDN仍須時日�。目前可能實現(xiàn)的目標(biāo)是網(wǎng)絡(luò)虛擬化�,其方式是在虛擬機管理程序之上建立一個軟件控制的疊加網(wǎng)絡(luò),以將所有的虛擬服務(wù)器資產(chǎn)整合在一起��。在SDN的廣闊應(yīng)用前景中���,包括物理與虛擬資源在內(nèi)的所有資源將在軟件控制的世界當(dāng)中協(xié)同工作。
SDN應(yīng)用的安全顧慮
SDN本身也會存在漏洞��,特別是復(fù)雜的SDN的控制器�����。數(shù)據(jù)平面和控制平面的分離主要是由控制器實現(xiàn)的,控制器需要應(yīng)對各種動態(tài)的網(wǎng)絡(luò)拓?fù)?��,解析各種類型的數(shù)據(jù)包�����,接收上層應(yīng)用的信息�,并控制底層網(wǎng)絡(luò)設(shè)備的行為���,所以功能實現(xiàn)將會非常復(fù)雜�,也就可能存在不少漏洞����。
當(dāng)攻擊者攻破控制器,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令�,很容易癱瘓整個網(wǎng)絡(luò),或?qū)⒛承?shù)據(jù)流重定向到惡意VM(虛擬機)�����,造成敏感信息的泄露��。攻擊者只要通過高級持續(xù)攻擊獲得對SDN控制器的控制權(quán),就可能導(dǎo)致整個網(wǎng)絡(luò)“淪陷”��。作為直接與網(wǎng)絡(luò)設(shè)備通信的應(yīng)用程序系統(tǒng)�,SDN控制器是在所有組件直接建立通信的軟件系統(tǒng)。也正因為如此�,目前企業(yè)選擇SDN就意味著要選擇承受來自網(wǎng)絡(luò)安全的威脅,而一直以來����,SDN概念中并沒有過多的去考慮安全因素。這也是造成企業(yè)在選擇SDN時猶豫不決�,無法進行規(guī)模部署的原因之一。因此��,企業(yè)需如何將安全系統(tǒng)融入SDN網(wǎng)絡(luò)是未來應(yīng)用SDN的關(guān)鍵�。
未來,SDN也許會在企業(yè)中普遍應(yīng)用���,實現(xiàn)網(wǎng)絡(luò)的可編程性���,使上層的軟件應(yīng)用與下層的硬件徹底剝離。企業(yè)可以在SDN的網(wǎng)絡(luò)中�,開發(fā)適合企業(yè)自身所需的功能��,降低硬件投入,簡化管理水平����,降低企業(yè)IT部門的人員成本。但是在硬件成本降低的同時��,是否意味著軟件或網(wǎng)絡(luò)服務(wù)成本提高?還需要根據(jù)企業(yè)自身的特點進一步評估���,但相信不久的將來�����,SDN會像網(wǎng)絡(luò)虛擬化一樣�����,離我們越來越近�����。
