SDN初探

樊勇兵，馮 明，陳 楠，何曉武

（1.中國電信股份有限公司廣州研究院 廣州510630；2.中國電信集團公司 北京100032）

1 SDN的產生及其概念

2006年，在斯坦福大學主導的Clean-Slate Design for the Internet項目中，Martin Casado博士及其團隊成員提出了Ethane架構，被認為是軟件定義網絡（software-defined networking，SDN）概念和技術的發展源頭。在此基礎上，2007年，Martin聯 合McKeown N教 授 （斯 坦 福 大 學）、Shenker教授（加州大學伯克利分校），共同創建了致力于網絡虛擬化的Nicira公司，并提出了SDN的概念。但是，也有人說，SDN的概念最早是由Greene K于2009年在Technology Review網站上評選年度十大前沿技術時提出的。2008年，Nick等 人 發 表 文 章“OpenFlow：Enabling Innovation in Campus Networks”[1]，完整地提出了實現SDN的OpenFlow框 架。2011年，開 放 網 絡 基 金 會（Open Networking Foundation，ONF）在Nick等人的推動下成立，專門負責OpenFlow規范的維護和發展。在此過程中，隨著互聯網公司的介入，尤其是Google的成功實踐，OpenFlow幾乎成為SDN和下一代網絡的代名詞。

2012年，Nicira被VMware收購。有趣的是，被收購后的Nicira很快將其研發方向從基于OpenFlow的SDN轉向了基于Overlay的SDN。至于其原因，按Martin的說法，“前者更適合于流量工程，后者更適合于數據中心網絡”。筆者分析，這其中隱藏的一個重要原因也許是VMware需要構建和強化一個以服務器虛擬化為核心的、端到端的生態鏈，擺脫對傳統網絡設備廠商的依賴。

為了迎接新的技術挑戰，代表互聯網設備廠商的最重要標準組織IETF也在2011年的第82次會議上設立了SDN BoF。不 過 此SDN不 是 彼SDN，這 里 的SDN是software-driven networking的縮寫。與OpenFlow強調控制與轉發物理分離不同的是，software-driven networking的目標是通過在應用與網絡控制層之間引入一個通信框架，使現有控制平面變得更靈活并且允許快速可靠的配置更改。該BoF結束后IETF于2012年5月、11月分別設立了與SDN相關的網絡虛擬化疊加 （network virtualization overlay，NVO3）、路由系統接口（interface to the routing system，I2RS）工作組。從NVO3和I2RS所面向的問題域來看，后者更像是上述BoF的繼承產物。同年，IRTF設立了SDN研究組（這里的SDN又恢復了software-defined networking的拼寫，但從該研究組發布的草案draft-sin-sdnrg-sdn-approach-03[2]和I2RS的已有工作看，它仍然在沿著software-driven networking所定義的目標前進）。其實，IETF歷史上的某些工作，也有與SDN在理念上有相通之處的，如早在2001年即已成立的轉發與控制元素分離 （forwarding and control element separation，ForCES）工作組。

作為基礎網絡的最大玩家，運營商也在ETSI的旗幟下聚集，成立了 “網絡功能虛擬化”的行業規范組（“Network Functions Virtualization”Industry Specifications Group，NFV ISG），并于2012年10月發布了NFV白皮書[3]，描述了遇到的問題以及初步解決方案。NFV沒有使用SDN這個字眼，但通常被認為是運營商的SDN。NFV與OpenFlow、I2RS等有明顯不同的訴求。

綜上所述，SDN還是一個新生兒，流派眾多，流派之間差異巨大，對它進行統一定義很困難。這里選取幾個有代表性的定義。

ONF對SDN的定義[4]：SDN是一種網絡控制層與轉發層分離、并可直接編程控制的新興的網絡架構。這種架構將控制層從網絡設備轉移到了計算設備，使得底層的基礎設施對于應用和網絡服務而言是透明抽象的，網絡可被視為一個邏輯或虛擬實體。

IETF對SDN的定義[2]：SDN是一類技術的集合，這些技術以確定、動態、可擴展地方式，使得網絡服務的設計、交付和運行更加便利。這樣的定義假設在整體服務交付和運行過程中高層次、自動化地引入。因為網絡本質上是軟件驅動（software-driven）的，此定義并不強調貼上SDN標簽的那些解決方案所宣稱的“軟件定義”（software-defined）屬性。

ETSI的NFV對SDN的定義[3]：NFV的目的是以不斷發展的標準IT虛擬化技術，將許多網絡設備類型（它們可能位于數據中心、網絡節點或最終用戶的前端）整合到工業標準的高容量服務器、交換機和存儲中，以轉換網絡運營商的網絡架構方式。它涉及網絡功能的軟件實現，這些實現可以運行在工業標準的服務器硬件上，可以按需在不同位置間移動，或在不同位置進行實例化，而不必安裝新設備。NFV與SDN的關系是互不依賴，互為補充。

2 SDN的幾種主要技術實現

2.1 基于OpenFlow的SDN

正如Nick在參考文獻[1]中所感嘆的，互聯網的極大成功，一方面使網絡研究者的工作顯得越發重要，另一方面又使這些研究者對網絡施加影響的機會愈加遙遠，這是因為生產網絡環境中那些商業解決方案封閉、昂貴、不靈活，整個產業鏈的創新周期漫長。因此，OpenFlow提出的初始目標是單一而單純的：作為研究者，如何在園區網中運行實驗？隨著OpenFlow的前期成功，4年之后，ONF在參考文獻[4]中高調地將SDN稱為“網絡的新范式”，并將其用例擴展到園區、數據中心、云環境、運營商和SP網絡，問題域也擴展到現行互聯網產業鏈的更多方面。

OpenFlow的思路很簡單：整個系統由OpenFlow交換機（OF switch）和控制器（OF controller）組成，二者通過安全通道（如SSL）以OpenFlow協議進行交互?？刂破髫撠熒?、維護和下發流表（flow table），交換機接收流表并且只按照流表進行轉發。流表由匹配域（match field）、指令集和計數器3部分組成，匹配域規定匹配輸入報文的字段，指令集決定匹配后的報文如何轉發，計數器管理所需。最基本的轉發行為包括轉發給交換機的某個端口、封裝改寫報文后轉發給控制器以及丟棄。OpenFlow概念架構如圖1所示。

圖1 OpenFlow概念架構

OpenFlow 1.0定義的流表，其匹配域包含了10個關鍵字（如圖2所示），并且支持通配符；OpenFlow 1.1增加了對MPLS以及UDP等協議的支持，同時引入了多級流表，并增加分組策略功能。通配符的采用使網絡運營商可以根據不同字段聚合不同粒度和屬性的流；多級流表有效改善了原始流表設計開銷過大的情況。隨著版本的演進，流表支持的關鍵字和功能越來越多。

圖2 OpenFlow 1.0流表結構

上述架構對于二層交換設備而言，意味著MAC地址的學習、VLAN和基本的3層路由配置都由控制器實現并以流表的形式下發給交換機；對于3層路由設備，各類IGP/EGP也是運行在控制器之上并以流表的形式將路由表下發給相應的路由器。簡言之，理想情況下，所有網絡設備都抽象成了邏輯上等價的、按流表轉發的通用交換機。

OpenFlow架構的特性可以簡單總結如下：軟件與硬件分離；控制與轉發分離；邏輯集中的控制器擁有全網視圖和控制；物理分布的交換機根據控制器下發的流表進行轉發；理想情況下交換機是系列化、標準化的，其與控制器之間的交互協議是開放、標準的。因此，流表處理器和控制器軟件系統將成為該架構的兩個最核心組件，交換機不可避免地低值化。

2.2 IETF的SDN

（1）I2RS[5]

I2RS是一種機制，該機制通過一個外部控制平面，以開放接口與傳統路由系統的分布式控制平面中的單個設備進行交互，從而對分布式控制平面進行加強。這是一種介乎傳統方式和完全取代分布式控制平面而直接配置設備之間的折中方案。

路由系統包括了控制平面協議和用于為報文計算路由和路徑的進程，不管這些協議和進程在何處實現。

I2RS通過基于協議的控制或管理的接口集，促進與路由系統的實時或事件驅動的交互，這使得信息、策略和操作參數能被注入路由系統中，也可以從路由系統中讀取這些信息。I2RS接口也將支持與現有的配置管理系統及其接口共存。I2RS接口的用戶可以是管理應用程序、網絡控制器和在網絡上實現特定需求的用戶應用程序。

I2RS的關鍵用例包括如下幾項。

·與RIB（routing information base，路由信息數據庫）的交互。允許對RIB的讀寫訪問，但不允許直接訪問FIB（forwarding information base，轉發信息數據庫）。

·BGP操作的控制和分析，包括相關策略的設置和啟用。

·基于由動態控制平面所提供的更多信息的控制、優化和流量出口選擇。

·針對網絡攻擊的分布式響應，通過快速修改控制平面行為，對流量進行重路由。

（2）VXLAN[6]

疊加（overlay）方案有多種，VXLAN是目前最新、商業支持較多、針對性較強、影響力也比較大的一種。

服務器虛擬化的出現對物理網絡提出了新的要求，原有網絡技術或設備出現了嚴重的不適應：單一管理域內將出現更多的MAC地址；ToR交換機的表容量不足；多租戶場景下可能產生私有MAC地址、私有VLAN編址空間的沖突；傳統網絡隔離手段VLAN所支持的4 096個VLAN ID嚴重不足，實現無環拓撲的STP有重大缺陷；需要在3層網絡上維持虛擬機間的二層通信模型等。以上就是VXLAN試圖解決的問題。

VXLAN的基本原理是建立基于UDP的隧道：隧道端點稱為VTEP，源VTEP將源VM發出的原始二層以太幀以VXLAN分組頭格式封裝在UDP報文中，發送給目的VTEP，VXLAN分組頭中的24 bit VNI用于標識一個被封裝的二層網絡。VTEP可以位于物理服務器的VMM、物理服務器中，也可以位于物理交換機中；VTEP可以通過軟件實現，也可以通過硬件實現。

控制信息（內層源VM MAC到外層源VTEP IP的映射）的建立有3種方式：通過數據平面進行學習（類似于普通以太網）；push方式（某個中心目錄將這種映射推送到VTEP上）；pull方式（每個VTEP主動到一個中心目錄上查找）。

如通過數據平面學習控制信息，VXLAN底層物理網絡需要支持多播，因為VXLAN網段內部的廣播通過多播實現。每個VNI對應一個多播組，這需要一個VNI到IP多播組的映射，該映射通過管理通道提供給每個VTEP。VTEP得到該配置后通過與上游交換機（或路由器）交互IGMP成員報告消息來動態加入或離開相關的多播組。

特點：通過24 bit的VNI，極大地擴展了傳統VLAN的地址空間；不同VNI域的MAC地址空間可重疊；通過VNI內部的VLAN可進一步支持同一租戶內的隔離；外層VLAN亦可與VNI協同工作，一個用例是所有VXLAN流量都運行在底層網絡的同一VLAN中，以達到VXLAN流量與傳統流量的隔離；基于IP的封裝，使底層網絡可以是二層的，也可以是3層的；基于UDP的封裝，通過UDP源端口號可以實現更細粒度的負載均衡；VNI到其對應多播組的映射需要通過管理平面配置，如通過數據平面學習控制信息，需要底層網絡支持多播；如通過其他方式得到控制信息，多播、廣播只能通過源端復制實現。

（3）ForCES[7]

早在2001年，Intel和IBM就在IETF推動下成立了ForCES工作組。ForCES的核心理念與OpenFlow頗有相似之處，如圖3所示。整個網絡稱為網元（network element，NE），由 控 制 元 素 （control element，CE）和 轉 發 元 素（forwarding element，FE）組成，一個CE可以控制多個FE，一個FE可以從屬于多個CE；CE由CE管理器（CE manager）管理，FE由FE管理器（FE manager）管理；每個組件都是邏輯概念，物理實現上可以有多種形態；各組件之間通過參考點連接，整個NE通過Fi/f接口與其他NE連接。

圖3 ForCES架構

圖4 NFV架構示意

參考點說明：Fp，CE-FE接口；Fi，FE-FE接口；Fr，CE-CE接口；Fc，CE管理器接口；Ff，FE管理器-FE接口；Fl，CE管理器-FE管理器接口；Fi/f，FE外部接口。ForCES起源很早，此后沉寂多年，并且商業上沒有成功案例。隨著SDN概念的興起，該工作組又開始活躍起來。

2.3 運營商主導的NFV[3]

NFV所針對的問題域如下。

NFV的思想是基于海量的、歸一化的工業標準服務器、交換機和存儲設備，利用標準的IT虛擬化技術，通過軟件實現多種多樣的網絡功能，如虛擬的運營級NAT、虛擬的廣域網加速、虛擬的企業接入路由器，以此達到降低成本、加快業務成熟周期、資源彈性伸縮、構建創新生態鏈的目的。

如圖4所示，網絡功能以軟件形式實現，并運行在符合工業標準的服務器硬件上，可以根據需要被移動到或實例化到網絡中不同的位置，免除新設備安裝的工作。

NFV的典型用例如下。

·交換元件：BNG，CG-NAT，路由器；

·移 動 網 絡 節 點：HLR/HSS，MME，SGSN，GGSN/PDN-GW；

·隧道網管元件：IPSec/SSL VPN網關；

·流量分析：DPI，QoE測量；

·安全功能：防火墻，病毒掃描器，入侵檢測系統。

NFV面臨以下技術挑戰：

對于絕大多數人來說，晚餐并不是可有可無，好好吃飯，身體才能健康。但也有這么三類人是可以不吃晚餐的。對于他們來說，不吃晚餐反而“更健康”。

·提供能夠滿足服務提供商的性能、可靠性和可用性要求的，基于標準的，高度可擴展的COTS服務器和高可用性的中間件；

·實現NFV與傳統網絡元素的互操作；

·NFV應用程序的管理和業務流程功能的自動化；

·確保網絡的安全性不受NFV技術引入的影響。

3 不同SDN實現的關系及運營商策略

3.1 不同SDN實現的關系

綜上所述，SDN技術流派眾多，彼此差異巨大。

基于OpenFlow的SDN是對目前TCP/IP網絡架構的一個顛覆：它強調網絡層面的控制與轉發分離，流表每跳下發。在OpenFlow的發展初期，由于其簡單、清晰而強烈的需求，加上互聯網巨頭（如Google等）的成功商用，在業界掀起了一股SDN熱潮?？梢灶A見，OpenFlow必將朝大規模復雜應用場景前進。OpenFlow的主導者是學術界、互聯網界和IT業者，其出現的行業大背景是傳統網絡設備產業鏈的封閉、遲鈍已經嚴重阻礙了互聯網發展。由于OpenFlow的未來發展將面臨算法、架構、轉發芯片等方面的極大挑戰，學術界一定會在其中繼續發揮重要作用。

NFV的核心是網絡設備實現形態的標準化、虛擬化、軟件化，并不涉及網絡架構和控制。它反映了運營商對網絡設備低成本、高適應、快部署的訴求。NFV面臨多方面挑戰。正如曾經提到的，NFV與SDN的關系是互不依賴、互為補充。SDN更像是人為強加給NFV的“一頂帽子”。

IETF是網絡設備廠商的大本營，它的SDN呈現出對傳統網絡更多的繼承性。

I2RS的基本思路是維持現有路由體系，但在單路由設備的控制平面引入一定的開放性，使用戶可以做一些設備級的局部控制。這可以視為設備廠商對用戶的某種妥協。

VXLAN是基于現有網絡架構的疊加方案，和其他VPN、隧道技術沒有本質區別，但針對虛擬化、多租戶場景等提出了針對性解決方案，其控制信息建立的push和pull方式被廠商宣稱為SDN。當然，這與IETF關于SDN的定義是吻合的。

ForCES是IETF中的一個異類，它在理念上與OpenFlow最接近，出現的時間早很多，并且更為理想化——試圖改變轉發芯片而不僅僅是轉發設備。從事后的觀點看，ForCES當時面臨的需求動力不足非常明顯，生態環境（如芯片、軟件、最終用戶）不完善，技術目標太理想，其主導者——Intel和IBM既非網絡大玩家（這也許解釋了IETF中為什么會出現ForCES這樣的異類），也沒有持續投入。即使到了今天，如果ForCES想有進一步發展，也必須做出某些修正。

盡管存在上述巨大差異，從網絡總體的角度看，不同技術流派的關系卻是有跡可循的：OpenFlow和ForCES強調的是新型網絡架構（從而必然對網元產生重大影響）；NFV強調的是新型網元（并且更側重于業務網元，如防火墻等）；I2RS強調的是現有網元在設備級控制平面的開放性（明顯不同于傳統網管）；疊加強調的是在現有基礎設施靈活的租戶網絡上構建。它們分別面向網絡的不同方面，互不依賴，互有競爭，互相補充。

3.2 運營商策略

運營商在不同SDN間處于相對超然的位置，基本策略應該是樂見其成，借勢借力，按需取用。尤其對于大型綜合網絡運營商，手中掌握骨干網、城域網、接入網、無線網、IDC，不僅提供公眾網絡服務，也提供企業網絡服務，多廠商混合環境始終是技術互操作和工程可實施的難點，基本上每個環節都可以或多或少地發現某種場景可以使用上述某種技術。從中短期的業務部署角度看，運營商應該更加關注Overlay和I2RS；從長期的競爭角度看，運營商應該更加關注OpenFlow和NFV。

OpenFlow中短期內在小規模、特定場景（如流量工程）下的可行性是已經被證明的，盡管它的商品化水平有待提高；在可見的未來，規模應用于數據中心、接入網、無線網也是可以期待的。尤其是數據中心，它已經成為IT界和CT界應用OpenFlow技術的交集場景，運營商可以聯合IT共同推動OpenFlow與IP/MPLS骨干在云邊緣的互通，提供虛擬私有云服務；在大規模復雜場景的應用還有漫長的路要走，但這不是不可能的。一旦真的實現了大規模網絡應用，必將大大降低網絡建設和運營門檻，徹底顛覆網絡建設和運營模式——如果說互聯網對運營商的沖擊更多是在業務層面，未來的SDN對運營商的沖擊將在基礎設施層面。真到了那一天，能夠挽救運營商命運的除了牌照，恐怕只能自我革命了。

NFV的適用場景和挑戰前文已有涉及，這里不贅述。理想的NFV，結合其他技術，將極大地降低IDC運營商、云服務提供商、網絡增值服務提供商的門檻，而這也將對網絡運營商的同類業務提出更高要求。

4 結束語

SDN正在成為一個營銷詞匯，用于包裝各種不同技術，如果僅看名字而不了解其內涵，將什么也得不到；SDN的每種實現方式都針對特定的問題域，互不依賴，互有競爭，互相補充，各有其潛在價值；目前幾乎所有實現方式都處在發展早期，但它們在中短期內商品化的可能性有很大不同；類OpenFlow的技術可能會對現有網絡架構形成顛覆性的影響；眾多實現方式的涌現是產業鏈博弈的反映；運營商總體應對策略應該是超然、開放、為我所用的，但需要未雨綢繆，準備應對網絡架構的巨變。以上是本文期望傳遞給讀者的信息。

1 McKeown N,Anderson T,Balakrishnan H,et al.OpenFlow：enabling innovation in campus networks.ACM SIGCOMM Computer Communication Review,2008,38(2)

2 Boucadair M.Draft-sin-sdnrg-sdn-approach-03.Software-Defined Networking:a Service Provider’s Perspective,2013

3 Chiosi M.Network Functions Virtualization—Introductory White Paper,2012

4 ONF白 皮 書.Software-Defined Networking：the New Norm for Networks,2012

5 White R.Draft-white-i2rs-use-case-00.Use Cases for an Interface to the Routing System,2013

6 Kreeger L.Draft-mahalingam-dutt-dcops-vxlan-04.VXLAN：a Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks,2013

7 Yang L.Forwarding and Control Element Separation（ForCES）Framework,RFC 3746.2004