什么是OpenFlow.doc_咨信网zixin.com.cn

资源描述

什么是OpenFlow OpenFlow技术最早由斯坦福大学提出，旨在基于现有TCP/IP技术条件，以创新的网络互联理念解决当前网络面对新业务产生的种种瓶颈，已被享有声望的《麻省理工科技评论》杂志评为十大未来技术。它的核心思想很简单，就是将原本完全由交换机/路由器控制的数据包转发过程，转化为由OpenFlow交换机（OpenFlow Switch）和控制服务器（Controller）分别完成的独立过程。转变背后进行的实际上是控制权的更迭：传统网络中数据包的流向是人为指定的，虽然交换机、路由器拥有控制权，却没有数据流的概念，只进行数据包级别的交换；而在OpenFlow网络中，统一的控制服务器取代路由，决定了所有数据包在网络中传输路径。 OpenFlow交换机会在本地维护一个与转发表不同的流表（Flow Table），如果要转发的数据包在流表中有对应项，则直接进行快速转发；若流表中没有此项，数据包就会被发送到控制服务器进行传输路径的确认，再根据下发结果进行转发。起源与发展随着互联网的发展，今天的互联网业务对互联网提出了越来越高的传输质量要求，如何修改互联网以满足新业务的需求，出现了改良派和改革派两种不同的做法。改良派认为可以在原有的基础设施上添加新的协议来解决问题，改革派则认为必须推到一切重来。改革派向自己提出这样的两个问题：“就自己目前掌握的知识，如果我从一个全新的开始设计互联网，我会怎么做”和“15年后的互联网应该是什么样子”。为此，改革派们开始了一系列新的设计方案，OpenFlow就是改革派提出的一种新型网络交换模型，与此相应的，他们还成立了0penFlow交换机论坛(The OpenFlow Switch Consorlium，后文简称0penFlow论坛)。与那些动辄成立多年的论坛相比，0penFlow论坛只是于2008年刚刚成立的新兴组织。0penFlow论坛起源于斯坦福大学的“Clean slate”计划(斯坦福大学的“Clean slate ”计划是一个致力于研究重新设计互联网的项目，这个计划目前支持了大约10个不同方向致力于重新设计互联网的项目)，最早的成员只有斯坦福大学的高性能网络研究组(The High Perfomance Networking Group)。随着论坛的发展，目前0penFlow论坛已经变成一个由大学的研究者和网络管理者共同组成的开放论坛，吸引了来自麻省理工学院、加州理工学院等著名高校的教授以及Deutsche Telekom这样的大型电信公司的网络一线工程师加盟。论坛欢迎任何希望对网络进行革新的人加入，但有一个前提是加入者不能为任何网络设备制造商工作。作为未来互联网的设计者之一，0penFlow论坛希望防止制造商的利益冲突被引入论坛。 0penFlow论坛主要解决的是重新设计互联网的实验环境问题。在纯的实验网上总难以有足够多的实际用户或者足够大的网络拓扑来测试新协议的性能和功能，最好的方法是将运行新协议的实验网络嵌入实际运营的网络，利用实际的网络环境来检验新协议的可行性和存在的问题。传统的解决方案有两种，要求设备制造商完全开放平台接口或实验者自行制造设备。设备制造商完全开放平台接口让研究者可以使用商用网络设备进行二次开发，寻找实验协议与传统协议并存的方法。但是，直接开放网络设备的开发接口对设备提供商而言是一场噩梦，一方面与商用平台的封闭性相冲突，开放开发的二次接口无疑会有暴露自身技术细节的风险，为竞争对手提供了机会，或者为新兴厂家提供了进入行业的门槛。 OpenFlow的特点开发者自行制造设备的方法一般是使用PC服务器或专用硬件搭建自己的交换路由设备，受限于主机能装备的网卡数量，这种方法不能获得足够大密度的端口(一般交换机很容易达到48或者更多的端口，而主机即使插上多块网卡也很难有这么多的端口)，而且研究设备的交换性能一般也远不如同价格的商用设备。在这种情况下，0penFlow论坛提出新的交换设备解决方案必须具有以下四点性质：第一，设备必须具有商用设备的高性能和低价格的特点；第二，设备必须能支持各种不同的研究范围；第三，设备必须能隔绝实验流量和运行流量；第四，设备必须满足设备制造商封闭平台的要求。 OpenFlow的发展由于OpenFlow对网络的创新发展起到了巨大的推动作用，因此受到了广泛的关注和支持。由美国科学基金会（NSF）支持的Global Environment for Network Investigations （GENI）计划对OpenFlow进行了资金支持并已开始实施“GENI Enterprise”计划。从07年提出到现在，OpenFlow已经在硬件和软件支持方面取得了长足的发展。从OpenFlow推出开始，日本NEC就对OpenFlow的相关硬件进行了跟进性的研发，NEC的IP8800/S3640-24T2XW和IP8800/S3640-48T2XW两款交换机是支持 OpenFlow的最成熟的交换机之一。CISCO，Junifer，Toroki，pronto也相继推出了支持OpenFlow的交换机、路由器、无线网络接入点（AP）等网络设备。此外，具有OpenFlow功能的AP也已在斯坦福大学进行了部署，标志着OpenFlow已不再局限于固网。2009 年12月，OpenFlow规范发布了具有里程碑意义的可用于商业化产品的1.0版本，而且支持规范1.0的软件indigo也已发布了Beta版本。 OpenFlow相应的支持软件，如OpenFlow在Wireshark抓包分析工具上的支持插件、OpenFlow的调试工具（ liboftrace ）、“OpenFlow虚拟计算机仿真”（OpenFlowVMS）等也已日趋成熟。 OpenFlow分别于2008年和2009年连续两年获得了SIGCOMM的最佳演示奖，并且享有声望的MIT Technology Review杂志把OpenFlow选为十大未来技术，认为其具有实力改变未来的日常生活。此外，乔治亚工学院、哥伦比亚大学、多伦多大学以及汉城国立大学分别以讲座和工程实践的方式开设了OpenFlow。目前，OpenFlow已经在美国斯坦福大学、Internet2、日本的JGN2plus以及其他的10-15个科研机构中部署，并将在国家科研骨干网以及其他科研和生产中应用。OpenFlow的国际覆盖已经包括日本、葡萄牙、意大利、西班牙、波兰和瑞典等。技术与应用 OpenFlow网络由OpenFlow交换机、Flow Visor和Controller三部分组成。 OpenFlow交换机进行数据层的转发；FlowVisor对网络进行虚拟化；Controller对网络进行集中控制，实现控制层的功能。OpenFlow网络的结构示意图如下： OpenFlow交换机 OpenFlow交换机是整个OpenFlow网络的核心部件，主要管理数据层的转发。OpenFlow交换机接收到数据包后，首先在本地的流表上查找转发目标端口，如果没有匹配，则把数据包转发给Controller，由控制层决定转发端口。 OpenFlow交换机的组成 OpenFlow交换机由流表、安全通道和OpenFlow协议三部分组成。安全通道是连接OpenFlow交换机到控制器的接口。控制器通过这个接口控制和管理交换机，同时控制器接收来自交换机的事件并向交换机发送数据包。交换机和控制器通过安全通道进行通信，而且所有的信息必须按照OpenFlow协议规定的格式来执行。 OpenFlow协议用来描述控制器和交换机之间交互所用信息的标准，以及控制器和交换机的接口标准。协议的核心部分是用于OpenFlow协议信息结构的集合。 OpenFlow协议支持三种信息类型：Controller-to-Switch，Asynchronous和Symmetric，每一个类型都有多个子类型。Controller-to-Switch信息由控制器发起并且直接用于检测交换机的状态。Asynchronous信息由交换机发起并通常用于更新控制器的网络事件和改变交换机的状态。Symmetric信息可以在没有请求的情况下由控制器或交换机发起。 OpenFlow交换机的分类按照对OpenFlow的支持程度，OpenFlow交换机可以分为两类：专用的OpenFlow交换机和支持OpenFlow的交换机。专用的OpenFlow交换机是专门为支持OpenFlow而设计的。它不支持现有的商用交换机上的正常处理流程，所有经过该交换机的数据都按照 OpenFlow的模式进行转发。专用的OpenFlow交换机中不再具有控制逻辑，因此专用的OpenFlow交换机是用来在端口间转发数据包的一个简单的路径部件。支持OpenFlow的交换机是在商业交换机的基础上添加流表、安全通道和OpenFlow协议来获得了OpenFlow特性的交换机。其既具有常用的商业交换机的转发模块，又具有OpenFlow的转发逻辑，因此支持OpenFlow的交换机可以采用两种不同的方式处理接收到的数据包。按照OpenFlow交换机的发展程度来分，OpenFlow交换机也可以分为两类：“Type0”交换机和“Type1”交换机。 “Type0”交换机仅仅支持十元组以及以下四个操作：转发这个流的数据包给一个给定的端口（或者几个端口）；压缩并转发这个流的数据包给控制器；丢弃这个流的数据包；通过交换机的正常处理流程来转发这个流的数据包。显然“Type0”交换机的这些功能是不能满足复杂试验要求的，因此我们将要定义“Type1”交换机来支持更多的功能，从而支持复杂的网络试验。“Type1”交换机将具有一个新的功能集合。支持网络虚拟化的FlowVisor 类比计算机的虚拟化，FlowVisor就是位于硬件结构元件和软件之间的网络虚拟层。FlowVisor允许多个控制同时控制一台 OpenFlow交换机，但是每个控制器仅仅可以控制经过这个OpenFlow交换机的某一个虚拟网络（即slice）。因此通过FlowVisor建立的试验平台可以在不影响商业流的转发速度的情况下，允许多个网络试验在不同的虚拟网络上同时进行。FlowVisor与一般的商用交换机是兼容的，而不需要使用FPGA和网络处理器等可编程硬件。 Controller OpenFlow实现了数据层和控制层的分离，其中OpenFlow交换机进行数据层的转发，而Controller实现了控制层的功能。 Controller通过OpenFlow协议这个标准接口对OpenFlow交换机中的流表进行控制，从而实现对整个网络进行集中控制。 Controller的这一切功能都要通过运行NOX来实现，因此NOX就像是OpenFlow网络的操作系统。此外，在NOX上还可以运行Plug- n-serve、OpenRoads以及OpenPipes等应用程序。 Plug-n-Serve 通过规定数据传输路径来控制网络以及服务器上的负载，从而使得负载均衡并降低响应时间。OpenRoads 是支持OpenFlow无线网络移动性研究的框架。OpenPipes 可以在网络系统中通过移动每个子模块来测试每个子模块，并可以决定如何划分设计单元。 OpenFlow的应用 OpenFlow的应用是很广泛的，这里我们只是列举五个比较典型的应用。 OpenFlow在校园网络中的应用。如果我们可以让校园网具有OpenFlow特征，则可以为学生和科研人员实现新协议和新算法提供一个试验平台。OpenFlow网络试验平台不仅更接近真实网络的复杂度，实验效果更好，而且可以节约实验费用。现在已经有包括斯坦福大学在内的几所高校部署了OpenFlow交换机，取得了很好的实验效果。 OpenFlow在广域网和移动网络中的应用。在广域网和移动网络中添加具有OpenFlow特征的节点，将带来众多的好处。例如，可以使得固网和移动网络实现无缝控制、使得VPN的管理更加灵活等。NEC 已经利用OpenFlow控制技术对快速、宽带的移动网络进行高效、灵活的网络管理，并解决了两个课题。首先，在多个移动通信方式实现动态切换。在移动通信混杂时以及通信环境恶化时，动态切换通信方式，将满足通信服务所需的服务品质，提供给终端用户。其次，移动回环网络的节能。在一天当中通信量相对较少的夜晚时段，可以汇集网络路径，关闭多余的中转基站的电源，从而节省能源。 OpenFlow在数据中心网络中的应用。在数据中心网络中使用OpenFlow交换机，可以使得网络和计算资源更加紧密的联系起来并实现有效的控制。数据中心的数据流量很大，如果不能合理分配传输路径很容易造成数据拥塞，从而影响数据中心的高效运行。若在数据中心网络中添加OpenFlow交换机，则可以实现路径优化以及负载均衡，从而使得数据交换更加迅速。 OpenFlow在网络管理和安全控制中的应用。如果网络是基于OpenFlow技术实现的，则经过 OpenFlow交换机的每个新的数据流都必须由控制器来做出转发决定。在控制器中可以对这些流按照预先制定的规则进行检查，然后由控制器指定数据流的传输路径以及流的处理策略，从而更好的控制网络。更为重要的是，在内部网络和外网的连接处应用OpenFlow交换机可以通过更改数据流的路径以及拒绝某些数据流来增强企业内网的安全性。基于OpenFlow实现SDN（Software Defined Network）。在SDN中，交换设备的数据转发层和控制层是分离的，因此网络协议和交换策略的升级只需要改动控制层。OpenFlow在OpenFlow交换机上实现数据转发，而在控制器上实现数据的转发控制，从而实现了数据转发层和控制层的分离。基于OpenFlow实现SDN，则在网络中实现了软硬件的分离以及底层硬件的虚拟化，从而为网络的发展提供了一个良好的发展平台。 OpenFlow扬帆起航 OpenFlow技术最早由斯坦福大学提出，旨在基于现有TCP/IP技术条件，以创新的网络互联理念解决当前网络面对新业务产生的种种瓶颈，已被享有声望的《麻省理工科技评论》杂志评为十大未来技术。它的核心思想很简单，就是将原本完全由交换机/路由器控制的数据包转发过程，转化为由 OpenFlow交换机（OpenFlow Switch）和控制服务器（Controller）分别完成的独立过程。转变背后进行的实际上是控制权的更迭：传统网络中数据包的流向是人为指定的，虽然交换机、路由器拥有控制权，却没有数据流的概念，只进行数据包级别的交换；而在OpenFlow网络中，统一的控制服务器取代路由，决定了所有数据包在网络中传输路径。OpenFlow交换机会在本地维护一个与转发表不同的流表（Flow Table），如果要转发的数据包在流表中有对应项，则直接进行快速转发；若流表中没有此项，数据包就会被发送到控制服务器进行传输路径的确认，再根据下发结果进行转发。 OpenFlow网络的这个处理流程，有点类似于状态检测防火墙中的快速路径与慢速路径的处理，只不过转发与控制层面在物理上完全分离。这也意味着，OpenFlow网络中的设备能够分布部署、集中管控，使网络变为软件可定义的形态。在OpenFlow网络中部署一种新的路由协议或安全算法，往往仅需要在控制服务器上撰写数百行代码。加州大学伯克利分校的Scott Shenker教授对此有着很到位的评价：“OpenFlow并不能让你做你以前在网络上不能做的一切事情，但它提供了一个可编程的接口，让你决定如何路由数据包、如何实现负载均衡或是如何进行访问控制。因此，它的这种通用性确实会促进发展。” 在得到学术界的普遍认可后，工业界也开始对这项新技术表达出浓厚的兴趣。OpenFlow已经在美国斯坦福大学、Internet2、日本的 JGN2plus等多个科研机构中得到部署，网络设备生产商思科、惠普、Juniper、NEC等巨头也纷纷推出了支持OpenFlow的有线和无线交换设备，而谷歌、思杰等网络应用和业务厂商则已将OpenFlow技术用于其不同的产品中。就在半个月前，以OpenFlow为产品核心设计理念的初创企业 Big Switch Networks成功完成了总额1375万美元的第一轮融资，标志着资本市场对这项新技术及其发展前景的充分认可。目前，OpenFlow的推广组织开放网络基金会（Open Networking Foundation）的成员基本涵盖了所有网络及互联网领域的巨头。好用才是硬道理使用新技术的代价往往十分高昂，好在OpenFlow具有足够的开放性，给在传统网络中的融合实现带来可能。清华大学信息技术研究院网络安全实验室在本届INFOCOM大会上现场展示的部署在清华大学信息楼内的LiveSec网络安全系统，就是一个非常好的范本。该系统在传统的以太网之上，通过无线接入技术和虚拟化技术引入了基于OpenFlow协议的控制层，显著降低了构建成本。 LiveSec网络安全系统包含三层架构：以太网交换层: LiveSec基于传统的以太网络进行物理交换，所有的执行OpenFlow协议的接入设备通过传统以太网互联。 OpenFlow控制层: LiveSec使用支持OpenFlow协议的虚拟交换机（Open vSwitch）和无线路由器构成接入网络层。OpenFlow控制层构成LiveSec的逻辑拓扑，并由LiveSec控制器进行集中控制。网络用户和服务节点: 网络用户通过无线路由器接入，服务节点通过虚拟交换机接入。所有接入流量在接入层受到LiveSec控制器的全局策略控制。基于上述架构，LiveSec相对传统的安全部署模型具有多重优势。首先，该系统解决了安全设备的可扩展问题。通过全局细粒度的负载均衡，LiveSec支持安全设备在网络的任意位置进行增量式部署。新部署的节点会按照OpenFlow协议自行入网，并自动将控制权交由LiveSec控制器。所有的用户和服务节点均可在LiveSec网络内动态迁移，包括无线接入和虚拟机的无缝迁移。记者在展示现场尝试进行了基于虚拟机的服务节点动态加入网络的实验，当具有安全检测能力的虚拟机加入网络中时，LiveSec的可视化界面会显示出该虚拟机在网络中的拓扑及其具备的业务能力（如杀毒功能，协议识别功能等）。LiveSec控制器会依据新增节点的处理能力将需要安全处理的网络流量均衡到新的节点上，从可视化界面中也可以看到新增节点引起的链路流量变化。传统网络中，安全设备一般被部署在边缘，对进出流量进行访问控制。这种方式虽然成熟有效，对内网中的安全问题却无能为力。LiveSec创新的交互式访问控制特性则能很好地解决这一难题，由于系统提供了安全节点到控制器的信息交换通路，并针对安全事件设计了一套信息交换协议，LiveSec可以根据安全节点传来的安全事件，在用户接入层实施访问控制。这意味着，该系统做到了全网的点到点安全控制，任何攻击流量在不离开接入交换机的情况下就被扼杀在萌芽状态，内网安全的顽疾可以从根本上得到解决。在OpenFlow网络中，控制服务器管控着所有的数据流，又能实时感知其他节点的状态，为可视化提供了足够的基础。记者在展示中看到，LiveSec结合OpenFlow协议以及应用层业务识别服务节点，将网络中所有的拓扑、流量、应用、安全变化都按照统一格式写入中央数据库，并在动态界面中实现了包括当前状态及历史事件回放在内的全网业务可视化。当使用无线设备的用户通过OpenFlow无线路由器接入后，立即会显示在系统的可视化界面中。该用户上网所涉及的应用层协议，也会实时显示在用户图标一侧。当用户访问不良网站或者进行攻击时，图标上会出现红色警示，LiveSec也会依据安全策略在用户接入端实时阻止用户的部分或所有流量。历史回放功能也相当实用，可以回放特定时间段内LiveSec的所有事件，攻击发起者包括地理位置在内的所有信息均可以通过数据库查找获取。商业模式定成败虽然OpenFlow网络从根本上解决了传统网络存在的很多问题，却也因标准化过程刚刚起步，缺乏大众化的、实用的落地方案，至今仍然多被用于各类实验性质的网络。在其发展的道路上，势必还要经历扩大用户规模和商业模式创新两大阶段。而纵观近年来IT行业巨头们的发展情况，缔造一个成功的商业模式，其重要性显然远远超过了技术创新。在记者看来，LiveSec在某些技术以外环节上的创新，对OpenFlow的推广有着十分积极的意义。该系统将传统安全网关的数据平面拓展到整个网络之中，以全网内的OpenFlow交换设备作为数据转发平面。并且为了保证可扩展性并降低成本，保留了传统的以太网交换设备，仅通过引入支持 OpenFlow协议的接入层网络来实现逻辑拓扑的全网可控。这意味着，有着一定研发能力的用户可以利用廉价的硬件平台和开源软件，自行搭建低成本的 OpenFlow网络。据LiveSec团队负责人亓亚烜博士介绍，该校信息楼内实验网络的建设大量采用了传统的以太网交换机和无线接入点，OpenFlow控制层则由运行着开源的Open vSwitch模块的电脑和支持OpenFlow协议的第三方无线接入点固件DD-WRT实现，从而建立了一个低成本、高性能的OpenFlow网络。未来的数据中心网络越来越趋向于由虚拟机和服务器群所组成，数据中心的交换架构则趋向扁平，使用高性能交换机群组或clos 网络甚至可以支持百万个节点的无阻塞互联。在这种情况下，网络服务质量及高可用性成为用户最为关心的问题。以LiveSec为代表的基于OpenFlow 的网络操作系统支持网络设备的分布式部署，有效避免了单点失效问题。控制服务器的分布式部署，则可以利用分布式哈希技术同步全网拓扑和策略。当网络出现局部故障时，系统可以利用OpenFlow协议迅速构建全新的互联拓扑，甚至可以为不同的业务和应用分别构建不同的拓扑，以满足安全和服务质量的需求。这又是新的商业机会，试想一下，在OpenFlow网络的支持下，IaaS提供商可以为用户交付一个独一无二的网络，用户甚至可以自行设定数据流在本网内的路径和安全策略，而不仅仅是几个虚拟设备的控制权。从系统实现模式的角度看，LiveSec的模式是构建网络操作系统（基于开源项目Nox），这个发展方向已经被许多业内人士所认同。不管对象是桌面还是网络，操作系统存在的根本意义都是管理设备和提供编程接口。众所周知，想发挥一块高性能显卡的处理能力，必须先安装该硬件的驱动。基于 OpenFlow的网络操作系统也是如此，仍以LiveSec为例，所有OpenFlow交换设备和安全服务节点都可看作网络系统中的硬件设备，安全业务的实现则通过服务节点上的软件完成。当新的服务节点加入网络时，LiveSec控制器首先要知道这个节点能处理什么业务，以及如何与设备建立通信机制，才能让安全处理的执行者和决策者有效地互动起来。出于商业层面的考虑，这种机制的建立往往由服务提供者主动告知控制器，需要一个与电脑安装硬件驱动十分相似的过程。对网络管理者来说，这个步骤简化了部署及使用难度；而对设备制造商而言，这种方式也有利于将现有针对传统网络的产品快速移植到OpenFlow网络中。受当前流行的运营模式影响，基于OpenFlow的网络操作系统也在加入更多的应用发行元素。当用户在控制台中添加服务如同在App Store获取应用般便捷时，OpenFlow网络的建设必然会步入高速发展阶段。实际上，这种发行模式与当前许多云安全服务的商务模式是可以无缝对接的，为云安全的落地提供了绝佳的渠道。以抗DDoS需求为例，在用户购买对象大量地由专用设备转向清洗服务的今天，供应商可以通过系统内置的发行体系为用户提供自助服务，然后按次数或处理能力收取费用；用户完全不必考虑现实中令人头疼的部署问题，只需通过“软件商店”下载安装相应服务，就能为 OpenFlow网络添加抗DDoS的能力。展望针对校园LAN的OpenFlow和软件定义网络虽然OpenFlow和软件定义网络（SDN）主要是关于数据中心或运营商网络，但这项技术可能对校园网络更有用，特别是对于改善和提高BYOD（自带设备）的安全性和管理。美国印第安纳大学首席网络架构师Matt Davy认为OpenFlow和软件定义网络可以改变他的10万端口网络，该网络有5000个无线接入点（AP）以及12万用户，这些用户大多数都希望使用个人移动设备来接入网络。现在，部署安全和访问政策简直是一个噩梦，校园环境就像是一个小城市，有运动场馆、医疗实验室、15000宿舍、餐馆以及水电设施。 “我们的网络很难根据物理空间来分组，如果我想在实验室安置防火墙，那么大堂的咖啡厅怎么办？”Davy表示。理想的情况是采用“相同的组系统，然后根据安全政策对它们进行管理”，即使它们位于不同的物理空间。这样的话，就可以使Davy的团队根据特定设备类型来选择安全规则。 Davy认为可以将其网络完全过渡到一个OpenFlow环境来实现这种理想状态。在这种情况下，他可以建立一个“虚拟接入层”来映射物理接入层，但同时通过中央SDN控制器来进行管理。然后，Davy的团队可以启动有线和无线网络中横跨组件的虚拟网段，使SSID可以为特定群体的设备进行设置。这意味着工程师可以控制哪些用户或者设备访问特定网段的特定应用程序。Davy还可以将入站流量推入特定设备，以指定监控类型或者提高不同设备的性能。目前市面上并不存在这样完善的解决方案，但Davy正在测试可用的OpenFlow或者SDN交换机和控制器。他已经安装了1700 OpenFlow友好型惠普交换机，该交换机可以同时运行OpenFlow和传统交换机，长期来看，这种交换机有助于完善软件定义校园局域网。但现在，这些交换机不能支持大规模OpenFlow环境。在此期间，Davy的团队正在尝试使用基于OpenFlow的入侵检测系统（IDS）集群。该系统映射来自网络各端口的信息，将信息路由到统一的地方。通过OpenFlow顶级机架交换机，数据在约30台IDS服务器组间进行负载平衡。Davy没有花费10万美元在整个网络中安装IDS设备，而是花 3万美元安装了一套实验系统，进行入侵检测。下一步就是将网络访问控制（NAC）整合到系统中，开始使用OpenFlow来阻止流量。是什么推动了在校园局域网使用OpenFlow和SDN？惠普网络全球产品营销经理Steve Brar在四月举行的开放网络峰会上表示，三个因素将会推动校园局域网中部署SDN：需要更好的服务质量（QoS）、提高安全性和以应用程序驱动的网络。 SDN部署好后，网络工程师可以用灵活的网络来替换不灵活的物理网络和静态政策，灵活的网络可以“为特定用户和不同应用程序动态地分配服务质量”。 Brar希望网络工程师使用SDN，将物理校园网络分成一系列逻辑网络，每个网络都有自己的政策。这种环境将会改变QoS，因为工程师可以更容易地在这些虚拟网络上优先处理特定应用程序，从而提高性能。 SDN还能够管理BYOD计划，因为网络管理人员将能够根据设备类型或者用户组来分配访问政策，然后优化特定应用程序，例如视频。 “有线和无线的用户体验不一样，而在今天的技术领域中不应该这样。”Brar表示，“也许通过更好的可编程性和更动态的网络，我们可以避免这个问题。” 在校园局域网采用SDN和OpenFlow的好处显而易见，不过真正的部署仍然在很大程度上取决于产品和应用程序开发，而这是一个缓慢而持续的过程。让传统网络工具黯然失色的OpenFlow 我听有人说软件定义网络和OpenFlow应用只是另一种网络解决方案，我理解他们的疑虑，毕竟，大多数网络监控和管理技术是彻底无效的。但是，OpenFlow不只是网络监控和管理工具，它还能纵观网络配置，甚至在虚拟环境中实现控制。OpenFlow不仅提供监控网络的平台和协议，而且它还在主动控制的环境中实现强大的网络配置，多路返回保证精确和可信。对此，没有一个传统网络监控管理工具能够做到。网络监控工具的缺点：以下是目前基本的网络监控/数据收集方法：简单网络管理协议（SNMP）、控制行界面（CLI）和系统日志（Syslog） SNMP：SNMP是为了远程控制，把信息传达给外部应用。这个技术能够让控制台捕捉设备状态。但是它有很多缺点，比如可以处理的信息种类有限，虽然厂商可以扩展SNMP OID，但这并不能解决问题。 CLI：CLI可以让一个厂商控制软件，而且CLI改变不多。但是CLI不可靠，它速度慢，而且不够强大。系统日志：所以有很多人转向系统日志，这使得近几年出现了很多有意思的软件，比如，Splunk和SolarWinds的，我用它们记录信息和状态，但是，日志有效信息仍然有限，而且还没有设备和状态的信息。 OpenFlow应用网络最大的问题可能是缺乏控制，或是设备自控制和管理能力有限，我们总想用配置来改变处理某个问题或者事件的方式，而OpenFlow就能让工程师做到这点。有了OpenFlow，就可以掌握网络配置，处理服务器迁移。SNMP和系统日志等老方法对静态网络中还可用，但是对动态网络，它们就不行了。不把OpenFlow和SDN当做另一种网络管理工具的公司或者工程师，他们没有花时间去研究，或是他们甚至可能希望OpenFlow不要发展起来，因为它会改变网络行业的根本。 OpenFlow并非实现网络变革的唯一途径 API和各种消息协议，包括一些标准在内，都可以让用户构建今天的软件定义网络(SDN)。不过，关键的问题是，并非所有人都能实现同样的网络，或者说都能用同样的方法去实现。那么，OpenFlow真能带领我们大家走同一条路去往SDN乐园吗? OpenFlow是一套开源的API，可借助在某个集中控制单元上运行的软件，对来自多厂商的交换机和路由器实现网络编程，从而实现“软件定义的网络。OpenFlow是把对路由器和交换机的编程与底层硬件相分离，用软件对多厂商路由器和交换机的流量进行定义，从而实现流量管理和网络设计的一致性。 OpenFlow的支持者称，这套API及相关协议，还有SDN，会提供一个抽象层，或者说在网络控制与物理基础设施之间设置一个虚拟化层，将会让网络变得更加开放，可以实现更多的创新。伦敦Info-Tech研究集团的分析师Derek Silva说，“我们都已认识到，要想管理跨多个数据中心的网络，且该网络还不归企业自己管辖，这种管理难度是非常复杂的，尽管我们在其他所有方面都在取得进展也是如此。“网络管理要求越简单越好，而我觉得由SDN运动和OpenFlow的推动者开放网络基金会所提出的未来愿景，有可能是实现这一目标的最佳途径。但是其他一些因素也在发挥作用，比如流量控制器应摆放在什么物理位置上，这些因素正在让我们超出OpenFlow去看待某些问题。咨询公司Internet研究集团的联合创始人Peter Christy说，“有关OpenFlow的讨论都假定控制器是放在某个分离的设备上的。一个合理的SDN配置是把控制器软件分发给每台交换机。在这种情况下，交换机内部实现正常的通信协议就没有意义了。 Christy认为，把控制器软件分发给每台交换机这样的SDN会改善交换机和控制器间的通信性能，改善SDN的运营。在他看来，Juniper的QFabric架构就是分发控制器的SDN的一个例子。 Arista网络则认为，它的交换机客户可以或者利用控制器，或者利用分布式网络控制来实现SDN。Arista称，这两种方法各有利弊，但是要实现一个综合性的SDN，两种方法都需要。 Arista定义了软件定义云网络的四大“支柱：云拓扑、分布式控制、网络虚拟化和管理/自动化。OpenFlow只是实现基于控制器的SDN管理 /自动化支柱中的多种方法中的一种而已。其他的实现方法还有CLI、SNMP、XMPP、Netconf、OpenStack、VMware vSphere虚拟化软件等等。 Arista的CEO Jayshree Ullal认为，每一种方法都有实施案例。在她看来，OpenFlow的实施案例就是动态分组重定向，可用于网络分路汇聚、合法监听/电子监控(lawful intercept/CALEA)和拓扑不可知网络的分段部署等。究竟哪种实施案例会获得广泛采纳还有待观察。她对软件定义网络有全面普及的机会深表赞同。但是OpenFlow究竟会成为API、OpenStack、Netconf、XMPP、 VMware，或者另一个hypervisor，则很难预测。Ullal称，所有这些方法都承诺可实现拓扑不可知网络虚拟化，可以为应用和工作负载的移动性进行优化。在今年的VMworld大会上，Arista演示了如何用虚拟机的简单预配置来构建云，利用其EOS操作系统软件和CloudVision接口最多可实现5万个网络节点。XMPP是其CloudVision中的API。 “没有任何理由认为，明天不会出现一个OpenFlow或者OpenStack API，Ullal说。“但是现在就有一个完善定义的接口。我们今天用Netconf和XMPP，就是因为它很容易实现，各种规范定义完善，而且我们的一些客户对此很感兴趣。 Ullal说，Arista的EOS将支持一套API，可根据用户需求用于不同的“实施案例。目前，Arista正在调研OpenFlow的初期市场需求，并在数据中心内试验将流量重定向给分路器和分路汇聚器。 “一项新的技术当然不会排除其他也能改进现有技术的务实方法，她对SDN如是评论说。“在普遍使用的遗留运营环境中，改进现有技术甚至比创新更重要。在Ullal看来，并非OpenFlow在推动SDN，而是SDN在推动OpenFlow。 “OpenFlow与更广泛的SDN API的结合，对于OpenFlow能否获得更广泛的部署来说是至关重要的，她说。 OpenFlow控制器厂商Big Switch网络的联合创始人Kyle Forster认为，在今天的市场中，SDN还没有热到能给OpenFlow以市场动力的地步。很多API都必须加以剪裁才能适应某个特殊的“实施案例，这也说明市场对于网络编程的需求很少。 “在众多的编程方法中，厂商们都在试图让API变得非常具体，这样一来，第三方厂商要想靠在这些非常具体的API上写程序来赢利就很不容易了，他说。“已经有很多人认识到，除非有某种标准底线存在，否则要想创建OpenFlow的第三方应用生态系统几乎是不可能的。 “OpenFlow非常重要，但它不能因此而成为唯一选择，Forrester分析师Andre Kindness说。“它只是众多选择之一。它之所以能吸引众多厂商，是因为有大量的社区在为其开发，有很多人才在为其工作。它正在引发众多的讨论，和新的思维方式。网络控制程序之争：OpenFlow vs 可编程ASIC 一个网络一般由多厂商的交换机和路由器组成，这些设备运行不同的操作系统、有不同的命令行接口和配置程序，我们能否对这个网络进行编程，让它管理工作流时能像演奏音乐一样和谐呢? OpenFlow告诉你，你能! OpenFlow是一个开源项目，诞生于斯坦福大学与加州伯克利大学六年前的一次合作。它的基础就是软件定义网络，也就是说，利用可编程接口和各种协议，用户可以用软件来定义工作流，决定工作流在网络中通过哪条路径，而无须去关心底层的硬件。可以这么说，OpenFlow是把网络流量的控制权从基础设施——交换机和路由器等——手中收了回来，交到了网络所有者、个人用户或个别应用的手中。有了这种权力，用户便可制定策略，为工作流寻找有可用带宽、低延迟或低阻塞，低跳数的路径。拥趸众多：很多大公司共同组建了开放网络基金会，极力推进OpenFlow实现的软件定义网络。这些

展开阅读全文