楊敬巍 張立成 李佳記

一、SDN技術(shù)的發(fā)展

（一）數(shù)據(jù)中心的發(fā)展

云計算技術(shù)能將網(wǎng)絡(luò)上分布的計算、存儲、服務(wù)構(gòu)建、網(wǎng)絡(luò)軟件等各種網(wǎng)絡(luò)資源和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施統(tǒng)籌起來，基于資源虛擬化的方式，為用戶提供通過網(wǎng)絡(luò)訪問定制IT資源共享池能力（IT資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用、服務(wù)），實現(xiàn)資源按需提供服務(wù)，并通過規(guī)模運營降低消耗。在這種計算模式下，計算開始向網(wǎng)絡(luò)的中心遷移，傳統(tǒng)的計算、存儲一體的方式轉(zhuǎn)變成計算、存儲功能分離的集群系統(tǒng)。

網(wǎng)絡(luò)的發(fā)展與計算系統(tǒng)的發(fā)展彼此影響并相互聯(lián)系，計算系統(tǒng)主要在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)功能和網(wǎng)絡(luò)體系3個方面影響著網(wǎng)絡(luò)的發(fā)展。適應(yīng)計算系統(tǒng)虛擬化進程的網(wǎng)絡(luò)體系結(jié)構(gòu)的新設(shè)計和新想法不斷提出，網(wǎng)絡(luò)虛擬化是一個重要方向，在方案選優(yōu)的過程中有很多因素都將影響其發(fā)展，這其中有兩個關(guān)鍵問題必須回答：為什么網(wǎng)絡(luò)虛擬化是必須的；為什么傳統(tǒng)網(wǎng)絡(luò)方法不能很好的支持虛擬化。

（二）傳統(tǒng)網(wǎng)絡(luò)技術(shù)在云計算數(shù)據(jù)中心的局限性

由于數(shù)據(jù)中心在傳統(tǒng)物理網(wǎng)絡(luò)與操作系統(tǒng)之間的緊耦合關(guān)系，構(gòu)建多租戶云數(shù)據(jù)中心時，受限于多種網(wǎng)絡(luò)技術(shù)之間復(fù)雜的相互影響和作用，使用傳統(tǒng)網(wǎng)絡(luò)設(shè)計達到完全虛擬化的數(shù)據(jù)中心是非常困難的，經(jīng)常有一些網(wǎng)絡(luò)限制能采用局部方案處理，但同時會在架構(gòu)的其他地方產(chǎn)生不利影響。如在某些場景下，移動性管理可以通過在虛擬機VM上運行路由器來處理，單這會減少單個虛擬機的吞吐量，在很多場景下這是不切實際的。在使用傳統(tǒng)方法構(gòu)建虛擬化數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時，公認的障礙及實施難點包括以下幾點：不支持地址空間虛擬化。一般情況下，虛擬機使用與物理網(wǎng)絡(luò)相同的地址空間。如虛擬機VM的第一跳網(wǎng)關(guān)被配置為網(wǎng)絡(luò)上的一個物理路由器，同一L2網(wǎng)絡(luò)中，負荷分擔的虛擬機VM被限制在該物理子網(wǎng)中，限制了移動性和VM部署點。在很多大型虛擬數(shù)據(jù)中心，由于無法在數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間任意部署虛擬機VM，因此很難接納日益增長的多租戶。難以支持同一租戶所有的VM在相同IP子網(wǎng)以及對同一租戶擴展性的限制，所有虛擬機VM必須在同一子網(wǎng)空間內(nèi)移動限制，都會引起計算資源的中斷運行和碎片化。

（三）數(shù)據(jù)中心規(guī)模

虛擬化對傳統(tǒng)網(wǎng)絡(luò)的處理規(guī)模提出了更高要求，這方面的權(quán)威例子是VLAN。傳統(tǒng)VLAN被限制在4096個獨立段內(nèi)。很多大型云計算中心遠超過4096個，要求采用多個、支持自有VLAN空間的非疊加網(wǎng)絡(luò)來進行隔離。除VLAN外，傳統(tǒng)網(wǎng)絡(luò)技術(shù)還有其他限制不能滿足現(xiàn)代數(shù)據(jù)中心的規(guī)模需求。

（四）整合網(wǎng)絡(luò)層業(yè)務(wù)

負載均衡、防火墻等是網(wǎng)絡(luò)層的主要業(yè)務(wù)，虛擬數(shù)據(jù)中心中，此類業(yè)務(wù)也是主要的網(wǎng)絡(luò)負載。在虛擬數(shù)據(jù)中心集成這些虛擬業(yè)務(wù)時，要確保流量路由到合適的業(yè)務(wù)。虛擬化數(shù)據(jù)中心運營商通過虛擬機遷移來有效的使用服務(wù)器。由于虛擬機的移動，負載均衡器需要追蹤它們的位置并請求發(fā)送到它們新的正確位置。通常用VLAN來處理，要求虛擬機VM和中間節(jié)點之間的二層鄰接提供這種業(yè)務(wù)。虛擬網(wǎng)絡(luò)需要匹配網(wǎng)絡(luò)帶寬和業(yè)務(wù)容量。由虛擬應(yīng)用負責負載均衡時，如果虛擬網(wǎng)絡(luò)流量路由到某個瓶頸點，可能出現(xiàn)帶寬需求超過了該處容量的情況，在這種情況下就要求網(wǎng)絡(luò)層業(yè)務(wù)本身必須虛擬化，實現(xiàn)網(wǎng)絡(luò)與虛擬機間的快速協(xié)同。但現(xiàn)有網(wǎng)絡(luò)無法支持虛擬私有云的客戶定制化網(wǎng)絡(luò)配置實時生效，不能實現(xiàn)多層網(wǎng)絡(luò)間的協(xié)同，難以按需調(diào)整帶寬。

（五）服務(wù)開通依賴硬件

隨著計算虛擬化的發(fā)展，任何虛擬機VM可以運行在標準服務(wù)器上，也可以完全自動的實現(xiàn)服務(wù)開通和虛擬機管理。然后，為虛擬機VM創(chuàng)造一個獨立網(wǎng)絡(luò)（及它們關(guān)聯(lián)的網(wǎng)絡(luò)策略）需要手動實現(xiàn)硬件配置。這種方式面臨幾個問題：數(shù)據(jù)中心運營主體與特定硬件供應(yīng)商綁定，如果是手動配置，容易出錯；另外，如果部署某種網(wǎng)絡(luò)策略，不引起混亂而實現(xiàn)升級或者替換網(wǎng)絡(luò)設(shè)備是很困難的。

（六）網(wǎng)絡(luò)業(yè)務(wù)的提供能力與硬件設(shè)計周期相關(guān)聯(lián)

增加新業(yè)務(wù)的能力受限于新硬件的提供時間和部署周期。由于部署周期過長，大型虛擬數(shù)據(jù)中心運營實體不依賴物理硬件來開通虛擬網(wǎng)絡(luò)業(yè)務(wù)或者提供虛擬網(wǎng)絡(luò)服務(wù)。為了能夠快速通過軟件開發(fā)來提供新業(yè)務(wù)，多數(shù)大型數(shù)據(jù)中心會在網(wǎng)絡(luò)邊緣提供基于軟件的服務(wù)。

（七）網(wǎng)絡(luò)虛擬化的特點

通過把操作系統(tǒng)與底層硬件相耦合，為計算虛擬化提供了極其靈活的虛擬機運作模式，讓IT把一系列服務(wù)器看成是通用資源池，計算虛擬化已經(jīng)改變了IT業(yè)界關(guān)于成本、效率、新應(yīng)用和服務(wù)的推出速度等方面的預(yù)期設(shè)想。與此同時，計算虛擬化為如何更寬泛地考慮IT基礎(chǔ)架構(gòu)提供了一個樣板。也就是說，所有的數(shù)據(jù)中心基礎(chǔ)架構(gòu)，包括基礎(chǔ)網(wǎng)絡(luò)在內(nèi)，應(yīng)該供一個與計算虛擬化類似的屬性。計算系統(tǒng)經(jīng)歷了從大型機封閉系統(tǒng)到客戶端——服務(wù)器水平擴展的演化過程，一旦基礎(chǔ)架構(gòu)完全虛擬化，應(yīng)用軟件不再受限于物理設(shè)備，任何應(yīng)用軟件將可以運行在任何物理設(shè)備上；通過自動化部署統(tǒng)一和幾種控制以節(jié)約資本。

網(wǎng)絡(luò)虛擬化可以在邏輯上把一個物理的網(wǎng)絡(luò)劃分成多個邏輯網(wǎng)絡(luò)，同時提供一種強有力的方式使多個網(wǎng)絡(luò)體系結(jié)構(gòu)同時運行（可以是不通的網(wǎng)絡(luò)體系結(jié)構(gòu)）在一共享物理設(shè)施上。最常見的虛擬化技術(shù)有VLAN、VPN等。

目前，實現(xiàn)多個網(wǎng)絡(luò)體系結(jié)構(gòu)的共存仍然需要考慮多方面的因素，如系統(tǒng)的穩(wěn)定性、安全性、資源管理（資源計算、資源隔離）等。同時，應(yīng)注意一下幾個主要問題：支持多種體系結(jié)構(gòu)并存；支持非IP體系結(jié)構(gòu)；異質(zhì)體系結(jié)構(gòu)間的數(shù)據(jù)通信、交互。

二、業(yè)務(wù)支撐互聯(lián)網(wǎng)接口域現(xiàn)狀

當前電子渠道部署在A中心，業(yè)務(wù)連續(xù)性存在較高風險，主要問題包括：該接口區(qū)域內(nèi)不同類型業(yè)務(wù)間不具備安全隔離能力，無法滿足集團云計算網(wǎng)絡(luò)安全域-互聯(lián)網(wǎng)接口安全規(guī)范規(guī)定；傳統(tǒng)方式每個業(yè)務(wù)系統(tǒng)需一對獨立物理防火墻隔離，資源復(fù)用度不高，增加投資成本；域內(nèi)各業(yè)務(wù)主機間無法控制跳轉(zhuǎn)登錄訪問，出現(xiàn)病毒或攻擊時在域內(nèi)各主機間無法進行有效隔離。

三、 SDN技術(shù)構(gòu)建業(yè)務(wù)支撐互聯(lián)網(wǎng)域數(shù)據(jù)中心虛擬網(wǎng)絡(luò)

（一）部署方案

在A局址與B局址互聯(lián)網(wǎng)接口部署SDN網(wǎng)絡(luò)系統(tǒng)，通過統(tǒng)一的物理資源建設(shè)，承載多套不同安全等級的業(yè)務(wù)系統(tǒng)綜合接入，實現(xiàn)域內(nèi)各業(yè)務(wù)系統(tǒng)間邏輯安全防護，節(jié)省硬件設(shè)備投資成本。

通過SDN對雙數(shù)據(jù)中心互聯(lián)網(wǎng)接口域的邏輯統(tǒng)一組網(wǎng)與資源池融合，實現(xiàn)業(yè)務(wù)間主機、網(wǎng)絡(luò)及負載等資源靈活分配。

實現(xiàn)業(yè)務(wù)的安全保障，對門戶網(wǎng)站、手機旗艦店及自有業(yè)務(wù)平臺等業(yè)務(wù)進行安全隔離，業(yè)務(wù)系統(tǒng)間故障互不干擾。

（二）技術(shù)方案

軟件定義網(wǎng)絡(luò)（SDN）采用OpenFlow協(xié)議構(gòu)成一個控制/轉(zhuǎn)發(fā)分離的網(wǎng)絡(luò)，開發(fā)者/用戶可以很容易的在控制器上編程控制網(wǎng)絡(luò)的轉(zhuǎn)發(fā)行為，而轉(zhuǎn)發(fā)面是一個完全按照Flowtable流表規(guī)則進行轉(zhuǎn)發(fā)的簡單硬件設(shè)備。

轉(zhuǎn)發(fā)面和控制面分開承載，數(shù)據(jù)轉(zhuǎn)發(fā)和控制信息可共用物理網(wǎng)，但邏輯上可以使用不同的路由協(xié)議分開承載；

集中控制，集中控制是簡化網(wǎng)絡(luò)管理的關(guān)鍵，是實現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)可編程的基礎(chǔ)；

控制和轉(zhuǎn)發(fā)的開發(fā)接口OpenFlow是網(wǎng)絡(luò)邁向開放的“橋頭堡”。

1、業(yè)務(wù)即軟件，實現(xiàn)完全虛擬化地址

控制面、轉(zhuǎn)發(fā)面分別演進，轉(zhuǎn)發(fā)面不感知任何業(yè)務(wù)邏輯，只是機械地按照流表中的指令集進行轉(zhuǎn)發(fā)，從而實現(xiàn)數(shù)通設(shè)備轉(zhuǎn)發(fā)面與控制面的解耦，使數(shù)據(jù)中心網(wǎng)絡(luò)擺脫網(wǎng)絡(luò)硬件的束縛，只關(guān)注對網(wǎng)絡(luò)的功能需求，徹底解放了軟件的創(chuàng)造力，無需手動配置或者重新布線基礎(chǔ)設(shè)置，業(yè)務(wù)實施可以動態(tài)添加、擴展和配置。

2、集中控制面，易管理

與數(shù)據(jù)中心分散的管理數(shù)十臺乃至數(shù)百臺交換機相比，一個集中的管理點無疑大大的降低了管理的復(fù)雜度。

Openflow的集中控制能力使得全局、動態(tài)轉(zhuǎn)發(fā)策略非常容易維護，實現(xiàn)一次配置、處處生效。如基于MAC的VLAN，只要在控制器中配置后，無論該主機接入哪個交換機，對應(yīng)的VLAN均會生效。

新的轉(zhuǎn)發(fā)規(guī)則、拓撲算法無需改動交換機硬件，只要在控制器中實現(xiàn)一個軟件模塊或編寫一段腳本即可?？刂破鞅旧砘谏嫌梅?wù)器、操作系統(tǒng)，安裝、開發(fā)、部署網(wǎng)絡(luò)應(yīng)用模塊非常容易。

可以對數(shù)據(jù)中心計算系統(tǒng)提供接口，實現(xiàn)計算和網(wǎng)絡(luò)的聯(lián)動調(diào)度。如在虛擬機VM集中管理器創(chuàng)建VM時，可以通知OpenFlow控制器創(chuàng)建網(wǎng)絡(luò)VLAN資源以及負載均衡、安全等策略。

通過網(wǎng)絡(luò)設(shè)備虛擬化，實現(xiàn)獨立的安全策略管理；獨立的硬件資源享用；獨立的日志報表呈現(xiàn)；安全特性的獨享。支持大量相互隔離的租戶網(wǎng)絡(luò)。租戶通過自服務(wù)門戶分配虛擬數(shù)據(jù)中心，資源按需分配。

數(shù)據(jù)中心采用網(wǎng)絡(luò)虛擬化，通過SDN的集中控制模式完全控制整個數(shù)據(jù)中心，可以最大化地發(fā)揮軟件定義網(wǎng)絡(luò)優(yōu)勢。從運營管理角度來說，SDN的集中管控架構(gòu)恰好與IaaS的需求是一致的。通過SDN控制器與虛擬機管理器的聯(lián)動，不僅可以降低管理的復(fù)雜度，也使得Iaas的運營、業(yè)務(wù)開通更高效、快捷。

虛擬化時代的數(shù)據(jù)中心網(wǎng)絡(luò)，引入SDN技術(shù)賦予了數(shù)據(jù)中心網(wǎng)絡(luò)更靈活的能力，以降低網(wǎng)絡(luò)開發(fā)維護成本，有利于推動設(shè)備側(cè)/網(wǎng)絡(luò)層新協(xié)議、新功能、新業(yè)務(wù)在網(wǎng)絡(luò)上快速實現(xiàn)和部署。