上传时间:2011年12月7日
OpenFlow软件定义网络与应用开源软件定义网络OpenFlow架构  Open Networking Foundation (ONF)开放式网络基金会今年成立以来,OpenFlow规范得到主流网络厂家追捧,尤其是最近在Las Vegas Interop 2011举行网络大会,OpenFlow大出风头。究其原因,其背后基本理念是软件定义网络(Software-Defined Network)。OpenFlow规范实际上是一整套软件应用程序接口,控制网络数据如何转发,可基于硬件实现,OpenFlow增加了定制转发数据的控制程度,减少了支撑复杂控制所需的硬件成本。OpenFlow网络控制节点可以通过规范与支持OpenFlow的交换节点沟通配置信息,决定数据转发平面的转发表,控制器与转发节点间通过SSL加密传输。OpenFlow支持定义的“信息流”主要是从1层到4层的关键信息包括端口号、VLAN、MAC、以太网包头、IP地址、 IP协议号、TCP端口号等。配置信息通常包括“信息流”和与之对于的动作。每个“信息流”有符合某种特征的数据包及动作组成,比如源IP/源Port,目的IP/目的Port,5种不同转发动作。
图6
图6 OpenFLow的架构图
图7
图7 OpenFlow“信息流”定义
  用户可以通过OpenFlow预设通用规则,每种不同网络节点可以根据设备特点更新转发平面规则,比如转发交换机更新MAC地址转发表、VLAN端口转发表、1到4层转发表,路由器修改访问控制IP列表,防火墙修改进出端口规则等。
图8
图8 不同网络节点应用不同网络“信息流”规则
  OpenFlow它增加了网络灵活控制能力,分布式节点智能通过OpenFlow指令得以实现,外部OpenFlow控制管理节点的实时控制,集中统一中央智能。OpenFlow根据运行实况实时控制分布式节点,分布式节点生成快速转发表,无须进行复杂智能分析计算,只要执行网络转发平面功能。当新转发节点加入到OpenFlow网络时,自动从中央控制节点得的最新网络配置信息,完成网络自动化感知。而中央控制节点基于x86标准服务器架构,强大计算能力和横向扩展特性保证了控制平面扩展性和经济性。  OpenFlow独立控制平面出现,TRILL或Shortest Path Bridging协议变得不是那么重要,因为OpenFlow控制器可以拥有有全网视图,所以动态防止环路发生。OpenFlow不但增加了传统转发平面的效率,在提供高级网络服务方面还可以展现独特价值,比如多对一的网络虚拟化,分布式负载均衡和分布式防火墙或入侵检测,非常不同于传统模式的一对多网络虚拟化模式。每一类分布式网络资源服务与单独云租户对应,每个云租户都有独立的跨物理节点的虚拟化网络,比如不同虚拟端口交换机,对租户管理员来物理网络端口透明,逻辑化网络派生于在物理网络资源上抽象出的网络虚拟资源池。虚拟机移动后,当虚拟机相应“信息流”的第一个数据包到达移动后的本地交换机节点,如果本地交换机节点没有发现匹配的转发规则,整个数据报文会被送到中央管理节点,中央管理节点根据定义规则逻辑设定本地规则,并应用到本地交换机的转发表建立新的匹配项,之后的“信息流”不再通过管理节点,由转发节点直接完成。OpenFlow在虚拟化软件交换机Open vSwitch应用  Open vSwitch是多层虚拟化软件交换机,它遵循Apache 2.0开源代码版权协议,可用于生产环境,支持跨物理服务器分布式管理、扩展编程、大规模网络自动化和标准化接口,实现了和大多数商业闭源交换机功能类似的软件交换机。 OpenSwitch分离快速数据转发平面,OpenFlow作为新型控制平面,不同物理主机的虚拟化交换机通过OpenFlow控制,集群组成分布式虚拟化交换机,还可以实现不同租户虚拟机和虚拟网络隔离。正是由于Open vSwitch对OpenFlow支持,推动了OpenFlow在开源虚拟化领域的应用和发展。软件定义网络商业价值应用展望软件定义网络OpenFlow在超大规模Web 2.0 网络应用  Web 2.0用户如Google、Facebook的服务器台数近百万台,单数据中心服务器数目也超过十万台,国内公司如Tencent、Aliababa和Baidu安装服务器数估计也超过数十万台。在这些超大规模服务器群的网络设计与实现尤为重要,稳定、可靠和高性能的网络是Web 2.0业务的生命线。一方面在核心层实现高可靠性和高性能,另一方面是大量的服务器接入需要内网、外网和管理网接口,3倍以上端口数目,大量接入层设备成本成为是基础架构成本的重要组成。为了进一步降低服务器成本,集中、整合与开源虚拟化是下一代Web 2.0架构的发展趋势,单一数据中心虚拟机数目将部署到上十万台,这种环境下的公共云虚拟化移动性比我们之前说私有云移动性来得技术更加复杂、管理更加困难,传统网络厂家设备非常难以满足超大规模的“信息流”要求。  从传统网络架构迁移到软件定义网络将是一个艰难的旅程。网络技术应用演变过程有两种方式,一种是先边缘后核心,另外一种是先中心后边缘,不过从客户心理学来看,先边缘后核心是更容易接受的应用方式,所以我们可以预计OpenFlow应用过程也将是从边缘到核心的应用过程。具体方式是用户在接入层采用支持OpenFlow交换机,建立独立管理网,安装独立开发的或商用控制平台软件,测试和完善控制平台软件,从类OpenFlow交换机采集数据流量模式和优化定义规则,并同时至顶向下从应用角度分析,两种分析方式结合抽象出网络数据模型,这就是软件定义网络的规则基础,从是什么推进到应该是什么,再到如何是什么。  目前主流交换机厂家都还没有推出OpenFlow交换机,NEC公司是第一个推出支持OpenFlow交换机的公司,产品型号是PF5240,带有48个千兆和4个万兆上联端口,NEC还开发了OpenFlow控制器软件支持PF5240或其它第三方OpenFlow兼容交换机。
图9
图9 OpenFlow基于3层网络建立2层虚拟化转发路径
  如上图所示,OpenFlow在数据中心网络里建立从一台虚拟机到另外一台虚拟机的转发路径,虚拟机与虚拟机之间的三层网络基础上建立了二层广播域——虚拟以太网交换机,OpenFlow扩展了三层相对静态功能,根据数据流动态建立负载均衡决策路径,并依据虚拟化交换网络配置改变最优化的转发路径,从而简化了大型数据中心3层网络适应2层虚拟机移动性要求。软件定义网络OpenFlow在电信运营商网络应用  在传统电信运营商网络里,IP层网络和传输网络独立分离的,它们分别单独管理,IP网和传输网之间没有交互,IP链路静态配置,传输层电路或放大器也是静态的,导致不同层次功能和资源重复,增加用户采购成本和运营成本负担。传统网络电路交换更无法自动感知报文交换要求,自动化控制平面操作,只是被动地依赖网管平台手工操作,服务交付时间长达几天,运营商只能是成为网络带宽销售者。尤其在云计算环境下,需要跨越数据中心的资源管理,需要上层资源与物理链路层调度的匹配与自动化,每个租户在数据中心之外需要建立虚拟网络服务和实现自助管理。这样用户趋势就是报文交换网络与电路交换网络融合,在同一平台下管理和运维,报文交换和电路交换之间互动,实现不同层次间动态调度。但是问题是报文和电路融合非常困难,因为IP网络和传输网络架构非常不一样,整合运维非常困难,传输网络保持不变,结果会造成融合更加膨胀,最后导致网络不可用,所以有专家说了架构融合才是真正融合。哪什么才是最佳控制和管理方式呢?可不可以基于1层到4层建立 “信息流”的控制方式呢?可以,解决思路是按光纤、放大器、时隙和报文内容细分,从电路交换和报文交换抽象映射到2到4层信息流交换层,实现基于广域网的网络虚拟化。斯坦福大学的有关专家正在积极研究将报文交换和电路交换集成,,合并起来统一抽象并管理和控制,实现基于“信息流”网络服务架构,基于不同流量和应用模型建立端对端网络虚拟化,这些研究为OpenFlow在运营商网络应用提供无限的可能性。
图10
图10 运营商基于”流”统一控制管理网络
软件定义网络发展挑战  尽管软件定义网络发展可以帮助我们解决云计算网络的管理和经济问题,前途是非常光明的,但从目前发展阶段来看还是需要较长时间的发展和普及过程,从技术本身到管理和市场方面都有不少的挑战。  第一点,每个控制节点和转发节点需要维护大量“信息流”表,控制节点或转发节点的内存及其他资源需要相应提高,大量突发的第一次“信息流”建立可能会导致新的“信息流”瓶颈问题。而且如果控制点故障,大量“信息流”需要在转发节点重建,突发“信息流”配置对网络性能和鲁棒性都会有潜在的巨大影响。  第二点,OpenFlow成熟度问题,目前OpenFlow还只应用于科学实验和校园内部网。没有大规模产品化,量产之前的成本优势还是很大疑问。网络供应商选择不多,没有供应商与供应商横向比较,企业难以通过市场竞争方式获取新技术并最优成本的产品。除了转发节点成熟度问题外,因为目前并没有商业化的控制平台,如何实现控制节点软件开发、如何维护升级也是大问题。OpenFlow产业的先行者还需要对企业用户进行更多初期普及、培育、培训工作,帮助他们了解、测试和小规模测试软件定义网络新技术产品。  第三点,和大多数开源项目一样,目前OpenFlow等项目无法像商业解决方案一样有独立的商业机构为客户提供专业从咨询、、分析、设计、部署和运维管理服务,保证客户网络与IT系统运行。用户需要更多更高水平的有经验的网络维护人员,非一站式解决方案将导致学习成本比较高昂。尽管很多大公司参与OpenFlow项目,但是开发驱动力和技术支持主要来自社区自由软件编程人员。所以成熟的闭源软件定义网络将继续在普通企业应用尤其是私有云起主导作用。  第四点,软件定义网络天生的安全风险问题。集中智能虽然可以给运营管理带来全网视图和优化,以简化管理提高效率的好处,但是也带来而外的管理风险,中央中枢如果损坏或被黑客侵入怎么办?(基于x86软件系统显然比私有嵌入架构容易受到黑客攻击,尤其是开源社区提供丰富源代码),结果会导致全网瘫痪或变成僵尸网络,变成又聋又哑或失去控制的庞大网络怪物?网络攻击将从单点网络节点直接上升为集中网络控制器,后果将更加严重。

1    2   3