軟件規(guī)劃我們的網(wǎng)絡(luò)已經(jīng)很長時間了,，SDN也與它們之間有什么不同?

 

確實，由分布式路由算法和管理協(xié)議等軟件決定轉(zhuǎn)發(fā)路徑和設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)已經(jīng)很長時間了,。盡管如此,，這些工具被孤立于每個廠商的網(wǎng)絡(luò)生態(tài)和專利之外。SDN有幾個能夠改變這種局面的重要理念：集中化控制,、編程接口以及與編配/自動化工具整合,。

 

為什么SDN比我們目前使用的傳統(tǒng)網(wǎng)絡(luò)要優(yōu)秀?

 

SDN在多大程度上提升你的網(wǎng)絡(luò)在很大程度上取決于你正在嘗試解決哪些問題。通過在適當(dāng)?shù)牡胤讲渴疬m合的SDN解決方案,，你能夠讓操作流程更為順暢,，減少人為錯誤，或是像公司獨特指標所要求的那樣用非常規(guī)方式轉(zhuǎn)發(fā)流量,。簡而言之,，它們可以讓你獲得更高的效率和更高的靈活性。

 

常見的使用案例是什么?

 

以下是兩個目前企業(yè)中常見的SDN使用案例,。第一個是幫助網(wǎng)絡(luò)數(shù)據(jù)采集和網(wǎng)絡(luò)可視化,。在這個使用案例中，感興趣的網(wǎng)絡(luò)流量將按軟件策略所定義那樣被拷貝至采集器中,。在采集器中,，這些流量可以被分析和直觀化。SDN控制器能夠在整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施中插入虛擬網(wǎng)卡，并將來自任何地方的流量拷貝發(fā)送到分析引擎所在地,。

 

第二個案例為創(chuàng)新性轉(zhuǎn)發(fā),。在這里，流量的轉(zhuǎn)發(fā)將橫跨一個工程化網(wǎng)絡(luò)路徑,。這個工程化網(wǎng)絡(luò)路徑不同于OSPF ,、BGP或MPLS等傳統(tǒng)轉(zhuǎn)發(fā)機制。常見的應(yīng)用為專門處理對延時或抖動敏感的流量的應(yīng)用,。它們能夠強迫所選擇的流量通過監(jiān)控設(shè)備以提高安全性,，并且還能夠根據(jù)費用選擇路由。它們可根據(jù)時間段或是鏈路利用率讓流量路由經(jīng)過對于公司來說相比便宜的路徑,。

 

為什么開放網(wǎng)絡(luò)基金會(ONF)采用一個封閉的方式運行,，而不像IETF或IEEE一樣?

 

創(chuàng)建ONF的部分初衷是為了促進OpenFlow協(xié)議的快速發(fā)展。OpenFlow協(xié)議是一個獨立于廠商的協(xié)議,。SDN控制器使用該協(xié)議為使用多種流量匹配條件和措施的網(wǎng)絡(luò)交換機編制轉(zhuǎn)發(fā)表單,。速度將由一小組特定結(jié)果中既得利益成員控制。如果像IETF或IEEE那樣以開放的方式運行,，那么開發(fā)程序必然會被放緩,，以便涵蓋所有的成員、使用案例以及可能涉及到的問題,。

 

目前已經(jīng)出現(xiàn)了一些關(guān)于在某一節(jié)點開放ONF議程的討論,，以便讓一些規(guī)模較大的網(wǎng)絡(luò)社區(qū)可以對OpenFlow規(guī)范的討論進行觀察。

 

OpenFlow能否成為在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)流量的新方式?

 

OpenFlow的前景目前還不確定,。通過依托基于服務(wù)器的x86計算能力進行必需的處理,，OF已被證明在虛擬層網(wǎng)絡(luò)邊緣運行的軟交換機中非常有用。盡管如此,，若在傳統(tǒng)網(wǎng)絡(luò)硬件交換機中部署OF,，那么OF的優(yōu)勢將取決于交換機芯片的性能，以及芯片在使用案例中處理大規(guī)模OpenFlow操作的能力,。

 

網(wǎng)絡(luò)設(shè)計師在評估OpenFlow硬件時必須要仔細評估廠商,，因為并不是所有的OF交換機性能都相差無幾。OpenFlow最終將替代傳統(tǒng)轉(zhuǎn)發(fā)的另一個依據(jù)是,，OF不必復(fù)制思科,、瞻博和博通等ASIC(專用集成電路)設(shè)計公司芯片所具備的全部硬件功能。盡管這些廠商可能會支持OF作為一種充填轉(zhuǎn)發(fā)表單和策略的附屬手段,，但是他們還是會大力推廣他們自己的API，宣傳這些API能夠充分發(fā)揮他們硬件的性能,。

 

由于流條目有限以及轉(zhuǎn)出至控制器存在延時,，有些人對OF的擴展性提出了質(zhì)疑。這是真的嗎?

 

帶OF功能的網(wǎng)絡(luò)交換機最大流條目低于10K是真的,。這一限制取決于使用案例和整個網(wǎng)絡(luò)設(shè)計,。廠商指出,，如果在網(wǎng)絡(luò)邊緣使用OF(與在核心使用OF截然相反)，幾千條流條目不太可能會達到上限,，而簡化的內(nèi)核(在這里邊緣租戶被覆蓋層所遮蓋)也能夠取得成功,。

 

當(dāng)OpenFlow交換機的流條目與流量不匹配時，流量必須被轉(zhuǎn)出至控制器,。這會產(chǎn)生幾十至幾百毫秒的延時,。此外，OpenFlow交換機CPU僅進行轉(zhuǎn)出速度非?？?，但通常轉(zhuǎn)出操作被限制在每秒最多1000次。盡管在習(xí)慣以太字節(jié)級線速轉(zhuǎn)發(fā)L2和L3流量的網(wǎng)絡(luò)設(shè)計師看來這一速度非常緩慢,，但是廠商指出在典型部署中,，由于控制器知道端點，因此流表可通過流條目被預(yù)先充填,。這樣最大限度地降低了對轉(zhuǎn)出的需求,。

一個SDN控制器不是一個單點故障嗎?

 

SDN的一個理念是集中化的控制器知道整個網(wǎng)絡(luò)的拓撲，因而能夠用多種方式替代網(wǎng)絡(luò),，這點是分布式控制層所無法做到的,。廠商已經(jīng)認識到控制器的關(guān)鍵任務(wù)角色，常常會將控制器作為一個能夠象聚合工具一樣運行的分布式應(yīng)用,，或是作為一個能夠利用虛擬層高可靠性的虛擬機,。此外，它們會不出現(xiàn)如果控制器發(fā)生故障,，網(wǎng)絡(luò)也會跟著發(fā)生故障這種情況,。雖然廠商會設(shè)計許多種架構(gòu)，但是合理的設(shè)想是,，即使控制器不存在,，網(wǎng)絡(luò)也將會繼續(xù)轉(zhuǎn)發(fā)流量(至少是一段時間內(nèi))。

 

我能夠在現(xiàn)有網(wǎng)絡(luò)旁邊安裝SDN嗎?

 

是的,。針對在擴建環(huán)境中部署的一個常見拓撲是“SDN孤島”,。在這個孤島中，SDN域中的流量會通過網(wǎng)關(guān)設(shè)備流至遺留網(wǎng)絡(luò),。另一個拓撲是混合交換,，能夠處理OpenFlow和傳統(tǒng)網(wǎng)絡(luò)的交換機會在兩個域之間分配它們的端口。不同廠商會提供不同的混合功能,。

 

覆蓋層是什么?為什么會有如此多的不同種類?

 

覆蓋層被用于創(chuàng)建虛擬網(wǎng)絡(luò)容器,。盡管共享同一個基礎(chǔ)物理網(wǎng)絡(luò)，但是這些虛擬網(wǎng)絡(luò)容器在邏輯上彼此相互孤立。VXLAN(虛擬可擴展局域網(wǎng)),、使用通用路由封裝的網(wǎng)絡(luò)虛擬化(NVGRE)和無狀態(tài)傳輸隧道(STT)等技術(shù)幾乎是同時出現(xiàn)的,。不同的廠商正在主導(dǎo)不同的技術(shù)。

 

用一句話概括,，就是思科正在力推VXLAN,，微軟正在推動NVGRE，Nicira(目前已經(jīng)被VMware收購)支持STT,。每一個覆蓋層都有一些相似的特點,，但是在細節(jié)上存在區(qū)別，這使得它們彼此相似但又彼此不同,。隨著時間的推移,，VXLAN已經(jīng)獲得了一些行業(yè)巨頭的支持(有意思的是其中包括VMware)，但NVGRE和NVGRE還沒有明確被放棄,，兩者目前仍然擁有支持者,。此外，IETF NVO3工作組也正在致力于其它的覆蓋層,，其封裝類型與現(xiàn)有的一種覆蓋層相似,。

 

為什么會有如此多的不同類型控制器?

 

早期上市銷售SDN技術(shù)的廠商不得不將控制器作為整體解決這群的一部分。目前還沒有SDN控制器標準出臺,。因此每家廠商都會推出滿足他們目標市場需求的控制器,。

 

出臺獲得行業(yè)認同的SDN控制器標準不好嗎?

 

隨著OpenDaylight 項目的設(shè)立，行業(yè)貌似也是這么考慮的,。OpenDaylight是一個由行業(yè)內(nèi)部為開源SDN貢獻代碼的廠商組成的聯(lián)盟,。時間將告訴我們SDN控制器標準將如何進入廠商產(chǎn)品當(dāng)中，以及它們對SDN消費者意味著什么,。

 

網(wǎng)絡(luò)工程師必須要成為程序員嗎?

 

熟悉腳本和編程的網(wǎng)絡(luò)工程師將具備利用SDN技術(shù)的能力,。他們必須要這么做嗎?這還將有待觀察。我所看到的場景是,，廠商將向公司提供帶有豐富網(wǎng)絡(luò)功能的軟件,。部分工程師將使用這些軟件接口配置網(wǎng)絡(luò)，他們會對符合預(yù)期自己預(yù)期的網(wǎng)絡(luò)功能感到滿意,。還有一部分工程師將使用廠商提供的軟件,，并精通創(chuàng)建業(yè)務(wù)所需的獨特網(wǎng)絡(luò)應(yīng)用所要使用的語言。隨著這些網(wǎng)絡(luò)工程理由逐漸獲得編程技能,，他們將維持這種能力,，以更為高效地監(jiān)控和維護網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

 

在評估SDN技術(shù)時,，我應(yīng)當(dāng)考慮哪些關(guān)鍵性的東西?

 

需要搞清楚的一件最重要的事情是并不是所有的SDN解決方案都能解決相同的問題,。此外,，終端用戶對不同的SDN技術(shù)有著不同的期望。盡管一些解決方案打算通過提供簡單易用的解決方案過濾掉網(wǎng)絡(luò)和操作的復(fù)雜性,，但是還有一些解決方案正在提供帶有更多工具的工具包，以便用戶能夠創(chuàng)建自己的應(yīng)用,。因此,，搞清楚自己正在嘗試解決的問題處于什么層次的技術(shù)水平非常重要。越詳細地將自己的需求告之廠商,，越清楚廠商的解決方案將如何滿足自己的需求,。

 

SDN是不是為我的環(huán)境帶來了新的安全風(fēng)險?

 

雖然很難說SDN帶來了“新的”風(fēng)險，但是事實表明通過編程接口暴露的網(wǎng)絡(luò)設(shè)備存在管理風(fēng)險,。也就是,，SNMP大致類似于可編程的API，不過它們擁有一個詳細的風(fēng)險消減策略,。從在這個意義上說,，SDN并沒有帶來新風(fēng)險。是的,，SDN會帶來風(fēng)險,，但是IT部門已經(jīng)通過訪問控制、信任,、加密,、深層數(shù)據(jù)包檢查等措施緩解了這些風(fēng)險。

 

SDN倡導(dǎo)者指出,，集中化控制的安全優(yōu)勢是減少了配置網(wǎng)絡(luò)時所需的人手,。對于IT基礎(chǔ)設(shè)施來說，人為錯誤是最大的安全風(fēng)險,，SDN可能會被證明是它們實際上一種安全資產(chǎn),。