□漆鴻波
?
淺談軟件定義網(wǎng)絡(luò)(SDN)技術(shù)
□漆鴻波
從當(dāng)今網(wǎng)絡(luò)行業(yè)的發(fā)展來看,雖然我們從虛擬云中受益匪淺,但是服務(wù)器和存儲(chǔ)網(wǎng)絡(luò)一直保持靜態(tài)的硬件綁定的模式,且已經(jīng)成為了目前云計(jì)算發(fā)展道路上的主要障礙。為了解決云計(jì)算環(huán)境里的諸多問題,軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)擔(dān)負(fù)著網(wǎng)絡(luò)變革的使命。在InfoWorld于2011年11月公布的可能影響未來十年的十項(xiàng)新技術(shù)中,軟件定義網(wǎng)絡(luò)技術(shù)僅次于私有云而排名第二;Google宣布已成功在全球10個(gè)IDC網(wǎng)絡(luò)中部署了SDN,SDN技術(shù)正越來越廣泛地受到業(yè)界的關(guān)注。
軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN )誕生于學(xué)院派環(huán)境,它起源于斯坦福大學(xué)所組織的“Clean Slate”網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)項(xiàng)目組。Clean Slate項(xiàng)目組的設(shè)計(jì)理念是將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面進(jìn)行分離,從而使得網(wǎng)絡(luò)的靈活性大大加強(qiáng);通過控制器中的軟件模塊去實(shí)現(xiàn)可編程化控制底層硬件,實(shí)現(xiàn)對網(wǎng)絡(luò)資源的按需分配。在SDN網(wǎng)絡(luò)中,當(dāng)控制平面判斷轉(zhuǎn)發(fā)路徑時(shí),除了考慮下一跳的方向還會(huì)全盤衡量當(dāng)前全網(wǎng)鏈路的狀況。如果網(wǎng)絡(luò)中某一臺(tái)設(shè)備出現(xiàn)過載,控制器可以提前好幾跳就在交換機(jī)的Flow Table中作出調(diào)整,讓流量繞過這個(gè)隱患節(jié)點(diǎn)。
SDN架構(gòu)相對于普通網(wǎng)絡(luò)的優(yōu)點(diǎn)可以總結(jié)為以下三點(diǎn)。
第一,設(shè)備硬件只需關(guān)注轉(zhuǎn)發(fā)與存儲(chǔ)能力,降低了商用設(shè)備的價(jià)格;
第二,無需改變原有的網(wǎng)絡(luò)架構(gòu),很容易部署;
第三,對業(yè)務(wù)的需求反應(yīng)更快,并可以定制多種網(wǎng)絡(luò)參數(shù)(如策略、路由、QoS等),縮短具體業(yè)務(wù)的時(shí)間。
普通網(wǎng)絡(luò)和軟件定義網(wǎng)絡(luò)(SDN)的區(qū)別,可以用一名要從香港飛去倫敦的旅客的航線來解釋。由于航班不可以從香港直飛倫敦,它需要中途轉(zhuǎn)機(jī)一次。依照傳統(tǒng)的方式,旅客要自己找中轉(zhuǎn)機(jī)場,銜接兩個(gè)航班的時(shí)間;現(xiàn)在有了集中的控制平面(即SDN架構(gòu)),航空公司可以自動(dòng)在系統(tǒng)里找到銜接的機(jī)票,訂票后把旅客信息下發(fā)到中轉(zhuǎn)的機(jī)場,在轉(zhuǎn)機(jī)的時(shí)候航空公司的工作人員就指示旅客趕上下一班飛機(jī);如果出現(xiàn)航班延誤的情況,航空公司(集中控制平面)會(huì)馬上找到其他換乘方案,確保旅客能順利的到達(dá)目的地倫敦。
本案例是某數(shù)據(jù)中心服務(wù)提供商運(yùn)用SDN技術(shù)在整個(gè)數(shù)據(jù)中心的入口路由器和自治域(AS)邊界的路由器邊上都掛載了一臺(tái)SDN交換機(jī)作為旁路設(shè)備,配合原有的網(wǎng)絡(luò)設(shè)備以防范DDoS(分布式拒絕服務(wù))的攻擊。
當(dāng)入侵分析檢測服務(wù)器(數(shù)據(jù)中心入口路由器會(huì)通過SFlow將部分報(bào)文發(fā)送到檢測服務(wù)器進(jìn)行檢測)檢測到數(shù)據(jù)中心中某臺(tái)設(shè)備正在被攻擊之后,會(huì)進(jìn)行分析,哪些源是非法的,哪些源是合法的。然后該檢測服務(wù)器作為Controller的一個(gè)應(yīng)用,通過Controller去配置路由器的BGP協(xié)議,讓它把所有發(fā)往受害者設(shè)備的報(bào)文都轉(zhuǎn)發(fā)到旁路掛載的SDN交換機(jī)上。同時(shí)去配置SDN交換機(jī),在SDN交換機(jī)上將所有發(fā)過來的報(bào)文,根據(jù)IP五元組來匹配,將攻擊報(bào)文丟掉,非攻擊報(bào)文的目的IP改掉(改掉IP是為了防止路由器再把這個(gè)報(bào)文送回來,形成環(huán)),再送回邊界路由器。
本案例使用SDN的方式進(jìn)行防范DDos的攻擊,筆者認(rèn)為主要有如下四點(diǎn)好處。
(一)網(wǎng)絡(luò)的簡單化。使用SDN的方式,當(dāng)檢測到入侵之后,入侵檢測服務(wù)器只需要跟控制器聯(lián)系,不再需要在入侵檢測服務(wù)器上去跟所有設(shè)備打交道。
(二)網(wǎng)絡(luò)可靠性高。通過可編程的方式控制所有相關(guān)的OpenFlow交換機(jī),大大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠程度,實(shí)現(xiàn)了全自動(dòng)的防范DDoS攻擊。
(三)整個(gè)方案很容易部署。原有的網(wǎng)絡(luò)架構(gòu)并沒有因?yàn)镾DN交換機(jī)的加入而改變。
(四)無須專用流量清洗設(shè)備,成本降低。
運(yùn)用SDN技術(shù),網(wǎng)絡(luò)將突破制約業(yè)務(wù)上線和云計(jì)算效率的瓶頸;通過部署SDN,我們可以把“軟件”從“硬件”平臺(tái)中解放出來,實(shí)現(xiàn)人們對網(wǎng)絡(luò)的更高要求。
目前,SDN技術(shù)還不夠成熟,一方面人們認(rèn)識和接受SDN技術(shù)尚需一段時(shí)間,另一方面SDN技術(shù)也存在著一些缺陷,還需要不斷改善。也許要達(dá)到SDN技術(shù)的廣泛使用還要很長的時(shí)間,但是這個(gè)大趨勢已經(jīng)不可逆轉(zhuǎn),SDN技術(shù)的發(fā)展前景值得期待。
參考文獻(xiàn):
1.徐立冰.騰云:云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘[M].人民郵電出版社,2013.
(作者單位:廣西廣電網(wǎng)絡(luò)公司)