2013年02月07日
淺談SDN
文章來源:懇懋科技 技術部副總 Richard ChiangSDN ( Software Defined Networking ) 是最近炒的火熱話題之一,用軟體定義的網路?聽起來有些玄念。在介紹 SDN 本質內容前,我們先看一下目前的網路環境,各個網路元件 ( 如Router / Switch ) 都有其自家的硬體,自家私有的網路作業系統,藉此平台上開發出各式各樣的網路機能(如防火牆、入侵偵測或動態路由…等等 ) ,最後形成各網路元件唯一溝通的管道只有在 TCP / IP 為主的各項傳輸協定,共通管理的界面也只有簡易的 SNMP,而且標準的 SNMP 管理物件則相當有限,目前基本網路元件內部組成如下圖所示:
在 TCP / IP 網路使用的數十年來,在核心技術及傳送方式並没有太大的變化;相對地,在行動裝置上 App Store 的興起,形成了在開放的作業平台下,誰都可以貢獻自己的程式及創意,大大超越並豐富了行動裝置原生的能力,以致在電腦及網頁應用服務上皆參考此一 App Store 的模式,開放平台讓全世界的人都可以參與,也造就了使用者,程式開發商及系統平台業者三贏的局面。另外,因在傳統網路上的硬體封閉,也造成網路的演進緩慢。
有鑑於此,美國史丹佛大學在 2008 年的未來網路研究計畫中提出了一項以 OpenFlow 為基底,而建造出了一個軟體定義網路 ( SDN ) 的雛型。後來也被 Google 廣泛運用來打造內部資料中心的 SDN 架構,將原本只有 30 ~ 40% 的網路頻寬使用率,大幅提升了近三倍,高達95% 的使用率,換句話說,Google 就算使用相同的網路設備和線路,可以承載的網路流量也變成了 3 倍。因此,Google 還計畫要將承載使用者流量的骨幹網路,也轉換成這個全新的 SDN 網路架構。
OpenFlow 的基礎網路示意如下圖所示,
Controller 與 Flow Switch 之間需先建立安全通道連接,通道之間以 SSL 加密技術加密,確保傳送之間的安全。網路管制端可藉由 OpenFlow 協定所提供的開放原始碼與交換器硬體溝通, 經由 OpenFlow 路由表的設定來決定封包的傳送路徑。OpenFlow 的轉送表格與一般 Routing Table 相仿,但增強了許多欄位以作為處理之用,其本架構如下所示:
各網路節點的交換判斷的功能皆經由 OpenFlow 傳送需求給 Controller ,由 Controller 來決定應該如何處理並轉送此封包。因此整個網路的智能皆在 Controller 上,網路節點只有一般封包進入及轉送的功能,因此只要在 Controller 上創建不同的應用程式,則能自動地告訴網路節點所產生不同的網路機能,如 Firewall、IPS、Router、Load Balancer 等等。
因此非常容易達成或擴充任何其它網路機能,更重要的是只要網路元件支援 OpenFlow,任何元件皆能被統一納管,成為整體網路服務的一部份,因為與硬體無關,進而也不會被單一的網路元件廠商綁住。卻可以用更經濟實惠的價格,輕鬆擁有各式各樣豐富的網路機能。
此一 OpenFlow 的概念並非創舉,在電信網路的領域早有此一作法,將控制流 ( signaling ) 與資料流 ( media ) 分開,形成了信令網路及媒體網路兩大網域,示意圖如下所示:
目前各家網路 ( Cisco、Juniper、Extreme、Alcatel-Lucent 等等 ) 及虛擬化業者 ( Vmware 併購Nicira ) 皆在往支援 OpenFlow 的道路上。而 Google 已經最早使用的 SDN 為基底的商用雲端服務中心,可預期的未來會有愈來愈多的雲端計算服務中心及大型網路採用 SDN。當 IP 基礎建設大一統後,每個企業或服務供應商要推展新的服務,就會像目前購置APP一樣容易。電信網路目前雖然仍是電路交換為主,但 VoIP 已是不可擋的趨勢,故也可以大膽推測未來的電信核心網路也將是 SDN 網路。
因為 SDN 網路的架構與服務流程皆與傳統網路大不相同,因此要讓 SDN 網路管理良善, 相對應的 OAM & P( Operation、Administration、Maintenance & Provisioning ) 維運方法,也要跟上,同時相關的 SDN 安全議題也需妥善解決,如此才能讓大家輕鬆又放心地享受 SDN 所帶給我們的便捷。
|
|