淺談軟件定義網絡（SDN)技術

□漆鴻波

?

淺談軟件定義網絡（SDN)技術

□漆鴻波

從當今網絡行業的發展來看，雖然我們從虛擬云中受益匪淺，但是服務器和存儲網絡一直保持靜態的硬件綁定的模式，且已經成為了目前云計算發展道路上的主要障礙。為了解決云計算環境里的諸多問題，軟件定義網絡(Software Defined Network, SDN)擔負著網絡變革的使命。在InfoWorld于2011年11月公布的可能影響未來十年的十項新技術中，軟件定義網絡技術僅次于私有云而排名第二；Google宣布已成功在全球10個IDC網絡中部署了SDN，SDN技術正越來越廣泛地受到業界的關注。

一、SDN的概念

軟件定義網絡(Software Defined Network, SDN )誕生于學院派環境，它起源于斯坦福大學所組織的“Clean Slate”網絡數據轉發項目組。Clean Slate項目組的設計理念是將網絡的控制平面與數據轉發平面進行分離，從而使得網絡的靈活性大大加強；通過控制器中的軟件模塊去實現可編程化控制底層硬件，實現對網絡資源的按需分配。在SDN網絡中，當控制平面判斷轉發路徑時，除了考慮下一跳的方向還會全盤衡量當前全網鏈路的狀況。如果網絡中某一臺設備出現過載，控制器可以提前好幾跳就在交換機的Flow Table中作出調整，讓流量繞過這個隱患節點。

SDN架構相對于普通網絡的優點可以總結為以下三點。

第一，設備硬件只需關注轉發與存儲能力，降低了商用設備的價格；

第二，無需改變原有的網絡架構，很容易部署；

第三，對業務的需求反應更快，并可以定制多種網絡參數（如策略、路由、QoS等），縮短具體業務的時間。

普通網絡和軟件定義網絡（SDN）的區別，可以用一名要從香港飛去倫敦的旅客的航線來解釋。由于航班不可以從香港直飛倫敦，它需要中途轉機一次。依照傳統的方式，旅客要自己找中轉機場，銜接兩個航班的時間；現在有了集中的控制平面（即SDN架構），航空公司可以自動在系統里找到銜接的機票，訂票后把旅客信息下發到中轉的機場，在轉機的時候航空公司的工作人員就指示旅客趕上下一班飛機；如果出現航班延誤的情況，航空公司（集中控制平面）會馬上找到其他換乘方案，確保旅客能順利的到達目的地倫敦。

二、SDN使用案列

本案例是某數據中心服務提供商運用SDN技術在整個數據中心的入口路由器和自治域（AS）邊界的路由器邊上都掛載了一臺SDN交換機作為旁路設備，配合原有的網絡設備以防范DDoS（分布式拒絕服務）的攻擊。

當入侵分析檢測服務器（數據中心入口路由器會通過SFlow將部分報文發送到檢測服務器進行檢測）檢測到數據中心中某臺設備正在被攻擊之后，會進行分析，哪些源是非法的，哪些源是合法的。然后該檢測服務器作為Controller的一個應用，通過Controller去配置路由器的BGP協議，讓它把所有發往受害者設備的報文都轉發到旁路掛載的SDN交換機上。同時去配置SDN交換機，在SDN交換機上將所有發過來的報文，根據IP五元組來匹配，將攻擊報文丟掉，非攻擊報文的目的IP改掉（改掉IP是為了防止路由器再把這個報文送回來，形成環），再送回邊界路由器。

本案例使用SDN的方式進行防范DDos的攻擊，筆者認為主要有如下四點好處。

（一）網絡的簡單化。使用SDN的方式，當檢測到入侵之后，入侵檢測服務器只需要跟控制器聯系，不再需要在入侵檢測服務器上去跟所有設備打交道。

（二）網絡可靠性高。通過可編程的方式控制所有相關的OpenFlow交換機，大大提高了網絡的穩定性和可靠程度，實現了全自動的防范DDoS攻擊。

（三）整個方案很容易部署。原有的網絡架構并沒有因為SDN交換機的加入而改變。

（四）無須專用流量清洗設備，成本降低。

三、結語

運用SDN技術，網絡將突破制約業務上線和云計算效率的瓶頸；通過部署SDN，我們可以把“軟件”從“硬件”平臺中解放出來，實現人們對網絡的更高要求。

目前，SDN技術還不夠成熟，一方面人們認識和接受SDN技術尚需一段時間，另一方面SDN技術也存在著一些缺陷，還需要不斷改善。也許要達到SDN技術的廣泛使用還要很長的時間，但是這個大趨勢已經不可逆轉，SDN技術的發展前景值得期待。

參考文獻：

1.徐立冰.騰云：云計算和大數據時代網絡技術揭秘[M].人民郵電出版社，2013.

（作者單位：廣西廣電網絡公司）