淺談軟件定義網(wǎng)絡(luò)（SDN)技術(shù)

□漆鴻波

?

淺談軟件定義網(wǎng)絡(luò)（SDN)技術(shù)

□漆鴻波

從當(dāng)今網(wǎng)絡(luò)行業(yè)的發(fā)展來(lái)看，雖然我們從虛擬云中受益匪淺，但是服務(wù)器和存儲(chǔ)網(wǎng)絡(luò)一直保持靜態(tài)的硬件綁定的模式，且已經(jīng)成為了目前云計(jì)算發(fā)展道路上的主要障礙。為了解決云計(jì)算環(huán)境里的諸多問(wèn)題，軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)擔(dān)負(fù)著網(wǎng)絡(luò)變革的使命。在InfoWorld于2011年11月公布的可能影響未來(lái)十年的十項(xiàng)新技術(shù)中，軟件定義網(wǎng)絡(luò)技術(shù)僅次于私有云而排名第二；Google宣布已成功在全球10個(gè)IDC網(wǎng)絡(luò)中部署了SDN，SDN技術(shù)正越來(lái)越廣泛地受到業(yè)界的關(guān)注。

一、SDN的概念

軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN )誕生于學(xué)院派環(huán)境，它起源于斯坦福大學(xué)所組織的“Clean Slate”網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)項(xiàng)目組。Clean Slate項(xiàng)目組的設(shè)計(jì)理念是將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面進(jìn)行分離，從而使得網(wǎng)絡(luò)的靈活性大大加強(qiáng)；通過(guò)控制器中的軟件模塊去實(shí)現(xiàn)可編程化控制底層硬件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的按需分配。在SDN網(wǎng)絡(luò)中，當(dāng)控制平面判斷轉(zhuǎn)發(fā)路徑時(shí)，除了考慮下一跳的方向還會(huì)全盤(pán)衡量當(dāng)前全網(wǎng)鏈路的狀況。如果網(wǎng)絡(luò)中某一臺(tái)設(shè)備出現(xiàn)過(guò)載，控制器可以提前好幾跳就在交換機(jī)的Flow Table中作出調(diào)整，讓流量繞過(guò)這個(gè)隱患節(jié)點(diǎn)。

SDN架構(gòu)相對(duì)于普通網(wǎng)絡(luò)的優(yōu)點(diǎn)可以總結(jié)為以下三點(diǎn)。

第一，設(shè)備硬件只需關(guān)注轉(zhuǎn)發(fā)與存儲(chǔ)能力，降低了商用設(shè)備的價(jià)格；

第二，無(wú)需改變?cè)械木W(wǎng)絡(luò)架構(gòu)，很容易部署；

第三，對(duì)業(yè)務(wù)的需求反應(yīng)更快，并可以定制多種網(wǎng)絡(luò)參數(shù)（如策略、路由、QoS等），縮短具體業(yè)務(wù)的時(shí)間。

普通網(wǎng)絡(luò)和軟件定義網(wǎng)絡(luò)（SDN）的區(qū)別，可以用一名要從香港飛去倫敦的旅客的航線來(lái)解釋。由于航班不可以從香港直飛倫敦，它需要中途轉(zhuǎn)機(jī)一次。依照傳統(tǒng)的方式，旅客要自己找中轉(zhuǎn)機(jī)場(chǎng)，銜接兩個(gè)航班的時(shí)間；現(xiàn)在有了集中的控制平面（即SDN架構(gòu)），航空公司可以自動(dòng)在系統(tǒng)里找到銜接的機(jī)票，訂票后把旅客信息下發(fā)到中轉(zhuǎn)的機(jī)場(chǎng)，在轉(zhuǎn)機(jī)的時(shí)候航空公司的工作人員就指示旅客趕上下一班飛機(jī)；如果出現(xiàn)航班延誤的情況，航空公司（集中控制平面）會(huì)馬上找到其他換乘方案，確保旅客能順利的到達(dá)目的地倫敦。

二、SDN使用案列

本案例是某數(shù)據(jù)中心服務(wù)提供商運(yùn)用SDN技術(shù)在整個(gè)數(shù)據(jù)中心的入口路由器和自治域（AS）邊界的路由器邊上都掛載了一臺(tái)SDN交換機(jī)作為旁路設(shè)備，配合原有的網(wǎng)絡(luò)設(shè)備以防范DDoS（分布式拒絕服務(wù)）的攻擊。

當(dāng)入侵分析檢測(cè)服務(wù)器（數(shù)據(jù)中心入口路由器會(huì)通過(guò)SFlow將部分報(bào)文發(fā)送到檢測(cè)服務(wù)器進(jìn)行檢測(cè)）檢測(cè)到數(shù)據(jù)中心中某臺(tái)設(shè)備正在被攻擊之后，會(huì)進(jìn)行分析，哪些源是非法的，哪些源是合法的。然后該檢測(cè)服務(wù)器作為Controller的一個(gè)應(yīng)用，通過(guò)Controller去配置路由器的BGP協(xié)議，讓它把所有發(fā)往受害者設(shè)備的報(bào)文都轉(zhuǎn)發(fā)到旁路掛載的SDN交換機(jī)上。同時(shí)去配置SDN交換機(jī)，在SDN交換機(jī)上將所有發(fā)過(guò)來(lái)的報(bào)文，根據(jù)IP五元組來(lái)匹配，將攻擊報(bào)文丟掉，非攻擊報(bào)文的目的IP改掉（改掉IP是為了防止路由器再把這個(gè)報(bào)文送回來(lái)，形成環(huán)），再送回邊界路由器。

本案例使用SDN的方式進(jìn)行防范DDos的攻擊，筆者認(rèn)為主要有如下四點(diǎn)好處。

（一）網(wǎng)絡(luò)的簡(jiǎn)單化。使用SDN的方式，當(dāng)檢測(cè)到入侵之后，入侵檢測(cè)服務(wù)器只需要跟控制器聯(lián)系，不再需要在入侵檢測(cè)服務(wù)器上去跟所有設(shè)備打交道。

（二）網(wǎng)絡(luò)可靠性高。通過(guò)可編程的方式控制所有相關(guān)的OpenFlow交換機(jī)，大大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠程度，實(shí)現(xiàn)了全自動(dòng)的防范DDoS攻擊。

（三）整個(gè)方案很容易部署。原有的網(wǎng)絡(luò)架構(gòu)并沒(méi)有因?yàn)镾DN交換機(jī)的加入而改變。

（四）無(wú)須專(zhuān)用流量清洗設(shè)備，成本降低。

三、結(jié)語(yǔ)

運(yùn)用SDN技術(shù)，網(wǎng)絡(luò)將突破制約業(yè)務(wù)上線和云計(jì)算效率的瓶頸；通過(guò)部署SDN，我們可以把“軟件”從“硬件”平臺(tái)中解放出來(lái)，實(shí)現(xiàn)人們對(duì)網(wǎng)絡(luò)的更高要求。

目前，SDN技術(shù)還不夠成熟，一方面人們認(rèn)識(shí)和接受SDN技術(shù)尚需一段時(shí)間，另一方面SDN技術(shù)也存在著一些缺陷，還需要不斷改善。也許要達(dá)到SDN技術(shù)的廣泛使用還要很長(zhǎng)的時(shí)間，但是這個(gè)大趨勢(shì)已經(jīng)不可逆轉(zhuǎn)，SDN技術(shù)的發(fā)展前景值得期待。

參考文獻(xiàn)：

1.徐立冰.騰云：云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘[M].人民郵電出版社，2013.

（作者單位：廣西廣電網(wǎng)絡(luò)公司）