□漆鴻波

?

淺談軟件定義網(wǎng)絡（SDN)技術

□漆鴻波

從當今網(wǎng)絡行業(yè)的發(fā)展來看，雖然我們從虛擬云中受益匪淺，但是服務器和存儲網(wǎng)絡一直保持靜態(tài)的硬件綁定的模式，且已經(jīng)成為了目前云計算發(fā)展道路上的主要障礙。為了解決云計算環(huán)境里的諸多問題，軟件定義網(wǎng)絡(Software Defined Network, SDN)擔負著網(wǎng)絡變革的使命。在InfoWorld于2011年11月公布的可能影響未來十年的十項新技術中，軟件定義網(wǎng)絡技術僅次于私有云而排名第二；Google宣布已成功在全球10個IDC網(wǎng)絡中部署了SDN，SDN技術正越來越廣泛地受到業(yè)界的關注。

一、SDN的概念

軟件定義網(wǎng)絡(Software Defined Network, SDN )誕生于學院派環(huán)境，它起源于斯坦福大學所組織的“Clean Slate”網(wǎng)絡數(shù)據(jù)轉發(fā)項目組。Clean Slate項目組的設計理念是將網(wǎng)絡的控制平面與數(shù)據(jù)轉發(fā)平面進行分離，從而使得網(wǎng)絡的靈活性大大加強；通過控制器中的軟件模塊去實現(xiàn)可編程化控制底層硬件，實現(xiàn)對網(wǎng)絡資源的按需分配。在SDN網(wǎng)絡中，當控制平面判斷轉發(fā)路徑時，除了考慮下一跳的方向還會全盤衡量當前全網(wǎng)鏈路的狀況。如果網(wǎng)絡中某一臺設備出現(xiàn)過載，控制器可以提前好幾跳就在交換機的Flow Table中作出調整，讓流量繞過這個隱患節(jié)點。

SDN架構相對于普通網(wǎng)絡的優(yōu)點可以總結為以下三點。

第一，設備硬件只需關注轉發(fā)與存儲能力，降低了商用設備的價格；

第二，無需改變原有的網(wǎng)絡架構，很容易部署；

第三，對業(yè)務的需求反應更快，并可以定制多種網(wǎng)絡參數(shù)（如策略、路由、QoS等），縮短具體業(yè)務的時間。

普通網(wǎng)絡和軟件定義網(wǎng)絡（SDN）的區(qū)別，可以用一名要從香港飛去倫敦的旅客的航線來解釋。由于航班不可以從香港直飛倫敦，它需要中途轉機一次。依照傳統(tǒng)的方式，旅客要自己找中轉機場，銜接兩個航班的時間；現(xiàn)在有了集中的控制平面（即SDN架構），航空公司可以自動在系統(tǒng)里找到銜接的機票，訂票后把旅客信息下發(fā)到中轉的機場，在轉機的時候航空公司的工作人員就指示旅客趕上下一班飛機；如果出現(xiàn)航班延誤的情況，航空公司（集中控制平面）會馬上找到其他換乘方案，確保旅客能順利的到達目的地倫敦。

二、SDN使用案列

本案例是某數(shù)據(jù)中心服務提供商運用SDN技術在整個數(shù)據(jù)中心的入口路由器和自治域（AS）邊界的路由器邊上都掛載了一臺SDN交換機作為旁路設備，配合原有的網(wǎng)絡設備以防范DDoS（分布式拒絕服務）的攻擊。

當入侵分析檢測服務器（數(shù)據(jù)中心入口路由器會通過SFlow將部分報文發(fā)送到檢測服務器進行檢測）檢測到數(shù)據(jù)中心中某臺設備正在被攻擊之后，會進行分析，哪些源是非法的，哪些源是合法的。然后該檢測服務器作為Controller的一個應用，通過Controller去配置路由器的BGP協(xié)議，讓它把所有發(fā)往受害者設備的報文都轉發(fā)到旁路掛載的SDN交換機上。同時去配置SDN交換機，在SDN交換機上將所有發(fā)過來的報文，根據(jù)IP五元組來匹配，將攻擊報文丟掉，非攻擊報文的目的IP改掉（改掉IP是為了防止路由器再把這個報文送回來，形成環(huán)），再送回邊界路由器。

本案例使用SDN的方式進行防范DDos的攻擊，筆者認為主要有如下四點好處。

（一）網(wǎng)絡的簡單化。使用SDN的方式，當檢測到入侵之后，入侵檢測服務器只需要跟控制器聯(lián)系，不再需要在入侵檢測服務器上去跟所有設備打交道。

（二）網(wǎng)絡可靠性高。通過可編程的方式控制所有相關的OpenFlow交換機，大大提高了網(wǎng)絡的穩(wěn)定性和可靠程度，實現(xiàn)了全自動的防范DDoS攻擊。

（三）整個方案很容易部署。原有的網(wǎng)絡架構并沒有因為SDN交換機的加入而改變。

（四）無須專用流量清洗設備，成本降低。

三、結語

運用SDN技術，網(wǎng)絡將突破制約業(yè)務上線和云計算效率的瓶頸；通過部署SDN，我們可以把“軟件”從“硬件”平臺中解放出來，實現(xiàn)人們對網(wǎng)絡的更高要求。

目前，SDN技術還不夠成熟，一方面人們認識和接受SDN技術尚需一段時間，另一方面SDN技術也存在著一些缺陷，還需要不斷改善。也許要達到SDN技術的廣泛使用還要很長的時間，但是這個大趨勢已經(jīng)不可逆轉，SDN技術的發(fā)展前景值得期待。

參考文獻：

1.徐立冰.騰云：云計算和大數(shù)據(jù)時代網(wǎng)絡技術揭秘[M].人民郵電出版社，2013.

（作者單位：廣西廣電網(wǎng)絡公司）