校园网
在校园中部署 OpenFlow 网络,是OpenFlow 设计之初应用较多的场所,它为学校的科研人员构建了一个可以部署网络新协议和新算法的创新平台,并实现了基本的网络管理和安全控制功能。目前已经有包括斯坦福大学、清华大学在内的多所高校部署了OpenFlow 网络,并搭建了一些应用环境。
图4 清华大学基于OpenFlow的LiveSec网络安全系统
数据中心互联
大型企业的数据中心往往不止一个,为了容灾备份或其它一些需求,这些分布在异地的数据中心通常会租用运营商的VPN专线进行互联。由于数据中心之间的业务流量具有不确定性,为了保证数据中心间传输的性能,企业通常按照峰值带宽来租用WAN链路,然而由于大部分时间这些WAN链路都处于低利用率状态,因此造成资源的极大浪费。Google创造性地利用OpenFlow技术有效的解决了这个问题。
Google的广域网由两张骨干网平面组成,即外网和内网。外网用于承载用户流量,称为I-scale网络,而内网则用于承载数据中心之间的流量,称为G-scale网络,这两张网络的需求差别性很大,流量特性也存在着很大的差别。如今Google已经在G-scale网络中大规模的部署了SDN解决方案, Google基于OpenFlow的全球数据中心互联如图5所示。
根据G-scale网络的需求和流量特性,Google利用Openflow协议,自己开发了网络交换机,并基于OpenFlow开发了开放的路由协议栈。每个数据中心站点部署了多台交换机设备,保证可扩展性(高达T比特的带宽)和高容错率,站点之间通过多个OpenFlow控制器实现网络调度。在这个广域网矩阵中,Google建立了一个集中的流量工程模型,可以实时计算和选择最佳路径。到2012年初,Google数据中心全部骨干连接已经都采用这种架构,WAN链路利用率提升到95%。
图5 Google基于OpenFlow的全球数据中心互联
4.2 发展方向
由于SDN的灵活性、开放性和可编程性,其未来的发展前景将更加广阔,目前可以看到的潜在应用领域还包括云数据中心内部网络互联、基于SDN的无线通信运营商网络、未来互联网架构等。
云数据中心网络
随着云计算模式和数据中心的发展,数据中心的数据流量骤增,交换机层次的管理结构复杂,服务器和虚拟机需要快速配置和数据迁移。如果不能在庞大的服务器机群中进行高效的寻址和数据传输,很容易造成网络拥塞和性能瓶颈。
SDN 控制转发分离的技术特点满足了数据中心密集型服务器需要集中管控的需求,增加了数据中心实际配置和操作的灵活性。将OpenFlow交换机部署到数据中心网络,可以实现高效寻址、优化传输路径、负载均衡等功能,从而进一步提高数据交换的效率,增加数据中心的可控性。Google 在其数据中心全面采用基于OpenFlow 的SDN 技术,大幅度提高其数据中心之间链路利用率,起到了很好的示范作用。同时,针对数据中心动态路由、负载均衡和能量管理等方面的研究也有相关实例部署,将成为基于OpenFlow 的SDN 技术近年的研究热点。
运营商网络
运营商架构的传统电信网络,有着过度复杂和封闭的特性,沉淀了大量不必要的功能和性能。这些网络由大量单一功能的网络节点和昂贵的硬件设备构成,造成网络成本高居不下,业务收入增长无力的被动局面。
而SDN的提出很好的解决了上述问题,与此同时,SDN将对运营商的网络建设、组网架构和运维模式带来一定挑战,特别是对于已经构建了大量基于硬件控制网络的电信运营商而言,SDN既是一个新挑战,也是一个新机遇,但从封闭的黑盒网络走向开放的可编程软网络是整个网络发展的必然趋势。
目前,美国运营商AT&T和Verizon等均将SDN应用于云计算数据中心组网。德国电信、法国电信、意大利电信等运营商也开始开发和部署SDN技术。我国的电信运营商也纷纷投入大量的资源建设大型数据中心,与设备厂商开展合作,对SDN和相关技术进行实验研究,后续还将根据技术和设备成熟情况开展测试和部署工作。据了解,中国移动在南方基地建造了众多数据中心,计划今年底就实际引入SDN进行现网部署。中国电信也以国家项目为基础,在数据中心、城域网控制面进行设备和组网方案验证。
未来互联网
当前,传统互联网的网络设备使用着封闭、专有的内部接口,运行着大量的分布式协议。在这种复杂的网络环境中,封闭的网络设备使网络面临着诸多问题与挑战,如安全性、健壮性、可管理性及移动性等,而且由于网络管理需要大量的人工配置、设备兼容等问题,网络维护成本一直居高不下。
由于传统IP网络基础设施的大量部署,未来互联网不可能一夜之间废弃传统基于IPv4的互联网,而SDN的虚拟化功能则正好满足这一点。利用SDN的虚拟化技术,实现了传统业务流量与实验流量的隔离;同时,SDN提供的编程能力为研究人员提供了极大的便利,研究人员能够基于开放接口,研究和开发新型的互联网架构和相关关键技术。
目前,美国的GENI计划已经基于OpenFlow技术构建了一套针对未来互联网创新和研究的实验网络。国内中科院计算机网络信息中心目前也已经开展了相关的工作,拟在中科院系统内部搭建一套基于OpenFlow的实验网,为中科院系统的科学研究工作提供支撑。
5. SDN及安全思考
在网络领域,SDN思想和OpenFlow技术解决了下述一些问题:
灵活的网络基础架构虚拟化
L2和L3的 VPN 不再需要完全取决于 MAC 和 IP 地址,而是可以基于任何包头字段进行VPN的划分,具有极大的灵活性。
动态灵活的网络负载均衡
OpenFlow 维护统计数据作为其实施的组成部分,这允许动态、快速地平衡网络流量,OpenFlow 交换机可以动态地监视流量并根据需要平衡和引导负载。
二三层环路问题
由于避免了分布式的动态路由协议和MAC学习,可以根本上解决二三层环路问题,而且能够利用冗余链路提供路径备份和带宽扩展。
路径最优化
由于控制平面具有全网的全局视图,因此能够提供最优化的路径决策。
带宽动态分配
允许针对特殊、短期的网络活动安排带宽,然后自动重新分配或回收。
安全问题是网络技术研究的一个永恒课题,SDN网络的安全也不例外。我们将SDN与安全之间的关系概括为三个层次,如图6所示:
SDN自身的安全性问题,即Security of SDN
Security of SDN是指SDN交换机的安全性、SDN控制器的安全性以及SDN控制器上运行的各种网络应用模块的安全性等。
用SDN技术来实现安全服务,即Security to SDN
Security to SDN是指用SDN技术来实现安全服务功能的推送。利用SDN灵活的流量控制与路由选择机制,实现安全业务的动态和灵活推送,通过在控制器平台上实现安全应用,来为用户提供相应的安全服务。
用SDN技术来解决现网中的安全问题,即Security by SDN
Security by SDN是指利用SDN的一些技术特点来解决或简化现网中传统安全解决方案的实现。一个典型的例子是在网络入口利用SDN进行简单的流分类,由于SDN是基于硬件的流转发,因此可以达到线速流分类,相比之下,性能优于传统的DPI设备。另外,还可以在网络中的一些骨干节点上部署SDN,实现业务流量的重定向,能够提供安全服务设备的灵活部署。
图6 SDN与安全三层关系图示
由于SDN网络尚未大面积部署,SDN安全的方向现阶段主要集中在用SDN技术来解决现网中的安全问题和用SDN技术来实现安全服务,对于SDN网络自身的安全问题研究也会随着SDN网络的普及和应用而深入展开。
评论
查看更多