網(wǎng)絡(luò)設(shè)備/SDN周邊新聞
長(zhǎng)期以來(lái),網(wǎng)絡(luò)領(lǐng)域研究和產(chǎn)品的主流關(guān)注,都集中在網(wǎng)包(packet)的轉(zhuǎn)發(fā)(forwarding)上,其中交換(switching)和路由(routing)是核心功能。當(dāng)今,以交換機(jī)和路由器為主建立起來(lái)的網(wǎng)絡(luò)連接和拓?fù)湟呀?jīng)構(gòu)成相當(dāng)完善的信息基礎(chǔ)設(shè)施,安全和隱私方面的挑戰(zhàn)更加突顯,差異化提供網(wǎng)絡(luò)個(gè)性服務(wù)的呼聲更加強(qiáng)烈,智能化提升網(wǎng)絡(luò)綜合品質(zhì)的要求更加迫切,關(guān)于“中間設(shè)備”(middlebox)的研究和開(kāi)發(fā)必然成為熱點(diǎn)。
轉(zhuǎn)發(fā)設(shè)備 vs 中間設(shè)備
伴隨著網(wǎng)絡(luò)虛擬化和動(dòng)態(tài)化的不斷增強(qiáng),傳統(tǒng)的轉(zhuǎn)發(fā)設(shè)備無(wú)法滿足網(wǎng)絡(luò)安全和優(yōu)化的需求,網(wǎng)絡(luò)中間設(shè)備與傳統(tǒng)轉(zhuǎn)發(fā)設(shè)備并駕齊驅(qū),發(fā)揮著越來(lái)越重要的作用,成為網(wǎng)絡(luò)技術(shù)與系統(tǒng)的核心內(nèi)容之一。Justine Sherry等人發(fā)表于SIGCOMM 2012的文章指出,在實(shí)際網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)中間設(shè)備與網(wǎng)絡(luò)交換設(shè)備在數(shù)量上旗鼓相當(dāng),如圖1所示。
圖1、網(wǎng)絡(luò)轉(zhuǎn)發(fā)與中間設(shè)備數(shù)量對(duì)比
以交換機(jī)和路由器為代表的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備,根據(jù)包頭(header)信息對(duì)網(wǎng)包逐個(gè)加以處理,主要承擔(dān)將網(wǎng)包接力送達(dá)的簡(jiǎn)單任務(wù)。因其處理功能通?;诰W(wǎng)包,只需關(guān)注包頭中的目的標(biāo)識(shí)(地址、端口等),所以也只要掌握與相鄰轉(zhuǎn)發(fā)設(shè)備相關(guān)的轉(zhuǎn)發(fā)策略。最初的軟件定義網(wǎng)絡(luò)(SDN,Software Defined Networking)無(wú)非是將基于局域拓?fù)渲R(shí)生成轉(zhuǎn)發(fā)策略的機(jī)制,替換為基于廣域知識(shí)做出轉(zhuǎn)發(fā)決策,從而使得智能優(yōu)化和全局調(diào)度成為可能,極大地釋放了網(wǎng)絡(luò)的活力。
圖2、網(wǎng)絡(luò)轉(zhuǎn)發(fā)與中間設(shè)備特點(diǎn)對(duì)比
相對(duì)于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備,網(wǎng)絡(luò)中間設(shè)備的任務(wù)繁雜得多,包括了網(wǎng)包轉(zhuǎn)發(fā)之外的各種處理,既有對(duì)載荷(payload)的關(guān)注,如入侵監(jiān)控和病毒清除,也有對(duì)網(wǎng)包的處理,如NAT修改包頭、VPN加密網(wǎng)包,還有防火墻、負(fù)載均衡和流量控制等。這些中間設(shè)備的一個(gè)重要特點(diǎn),即其處理功能無(wú)論粒度粗細(xì),大多是基于網(wǎng)流的。
由于各種中間設(shè)備發(fā)展不均衡,相關(guān)研究一直以來(lái)也較為分散,長(zhǎng)期未能形成統(tǒng)一的技術(shù)體系。2013年,ACM CoNEXT首次組織了HotMiddlebox,將中間設(shè)備作為一個(gè)熱門(mén)主題專門(mén)加以研討,是全球網(wǎng)絡(luò)界發(fā)起集中攻關(guān)的重要里程碑。
中間設(shè)備 vs 軟件定義
業(yè)界普遍認(rèn)為,目前的中間設(shè)備大多為專用硬件產(chǎn)品,成本居高不下,功能更新困難,是造成網(wǎng)絡(luò)僵化從而難以適應(yīng)流量需求變化的罪魁禍?zhǔn)字?。將中間設(shè)備的高級(jí)處理功能遷移到可以通過(guò)虛擬化實(shí)現(xiàn)共享的通用硬件平臺(tái)上,使之成為由軟件定義的網(wǎng)絡(luò)服務(wù),實(shí)現(xiàn)按照需求在適當(dāng)時(shí)間和位置的部署,也符合網(wǎng)絡(luò)功能虛擬化(NFV,Network FunctionsVirtualization)的大趨勢(shì)。
最初由斯坦福的Nick McKeown和伯克利的Scott Shenker等人提出的SDN概念,聚焦于將轉(zhuǎn)發(fā)設(shè)備的控制平面從數(shù)據(jù)平面分離出來(lái),以實(shí)現(xiàn)標(biāo)準(zhǔn)的數(shù)據(jù)平面和集中的控制平面,從而打破專用硬件轉(zhuǎn)發(fā)設(shè)備的壟斷,使能統(tǒng)一、智能的網(wǎng)絡(luò)資源優(yōu)化。但是,他們當(dāng)時(shí)顯然忽視或低估了中間設(shè)備的存在和復(fù)雜,SDN產(chǎn)業(yè)化也因而遇到一個(gè)必須面對(duì)的難題。Scott Shenker等人在闡釋“SDNv2”的設(shè)想時(shí),也明確提出整合中間設(shè)備是SDN新架構(gòu)中的三大變革之首。然而,盡管SDNv2的構(gòu)思將中間設(shè)備的功能推向網(wǎng)絡(luò)邊界(edge),而在網(wǎng)絡(luò)中心(core)只做轉(zhuǎn)發(fā),但網(wǎng)絡(luò)服務(wù)的演進(jìn)將會(huì)面對(duì)數(shù)據(jù)、內(nèi)容處理越來(lái)越強(qiáng)烈的需求,中間設(shè)備注定是SDN繞不開(kāi)的問(wèn)題。
所以,SDN只有擁抱NFV,才能完善自己。沒(méi)有NFV,SDN停留在網(wǎng)絡(luò)拓?fù)浜涂刂茮Q策層面,沒(méi)有靈活的資源可供調(diào)度,至少中間設(shè)備的功能會(huì)成為絆腳石;沒(méi)有SDN,NFV停留在軟件化和虛擬化層面,無(wú)法靈活地按需提供服務(wù)。把軟件定義轉(zhuǎn)發(fā)與軟件定義監(jiān)控(此處暫且以監(jiān)控代指中間設(shè)備的功能)結(jié)合起來(lái),NFV的功能更加豐富,SDN的控制更顯強(qiáng)大,網(wǎng)絡(luò)才能真正“活”了,也才可能變得更有智慧,最終使網(wǎng)絡(luò)成為服務(wù)。
中間設(shè)備 vs 網(wǎng)流監(jiān)控
“中間設(shè)備middlebox”是個(gè)很特別的專業(yè)網(wǎng)絡(luò)術(shù)語(yǔ),當(dāng)轉(zhuǎn)發(fā)之外的網(wǎng)絡(luò)處理功能由軟件虛擬化實(shí)現(xiàn)后,“設(shè)備 box”的說(shuō)法已經(jīng)詞不達(dá)意??紤]到中間設(shè)備的功能以網(wǎng)流處理和監(jiān)控(monitoring/inspection& control/management)應(yīng)用為突出特點(diǎn),不妨將它們歸類為網(wǎng)流監(jiān)控,以便與網(wǎng)包轉(zhuǎn)發(fā)對(duì)應(yīng),盡管其中會(huì)有一些交疊或模糊之處。
中間設(shè)備是網(wǎng)流監(jiān)控的物理載體,而網(wǎng)流監(jiān)控是提供網(wǎng)絡(luò)高級(jí)處理服務(wù)的基礎(chǔ),尤其是保障網(wǎng)絡(luò)安全的核心技術(shù)手段。在網(wǎng)流監(jiān)控方面,重要的研究包括:在網(wǎng)絡(luò)架構(gòu)方面,網(wǎng)絡(luò)服務(wù)功能的靈活組合與便捷控制;網(wǎng)絡(luò)構(gòu)件方面,網(wǎng)絡(luò)功能模塊的高效算法與優(yōu)化配置(包括與硬件平臺(tái)的適配);網(wǎng)絡(luò)安全方面,網(wǎng)絡(luò)安全區(qū)域的嚴(yán)密隔離和接口管控。
目前,網(wǎng)流監(jiān)控的功能的部署只是接近毫秒級(jí)別,處理能力也還僅在10Gbps左右。隨著網(wǎng)絡(luò)帶寬的不斷提升,網(wǎng)流監(jiān)控的算法性能、負(fù)載調(diào)度與策略管理將受到極大的挑戰(zhàn)。由于中間設(shè)備功能的本質(zhì)是在網(wǎng)流粒度上將策略應(yīng)用于網(wǎng)絡(luò)流量,策略的表達(dá)、分布和下發(fā)成為網(wǎng)流監(jiān)控研究的核心和難點(diǎn),迫切需要建立策略表達(dá)的標(biāo)準(zhǔn)語(yǔ)言和策略分析的通用方法,根據(jù)網(wǎng)絡(luò)拓?fù)浜土髁俊⒎?wù)能力和狀態(tài)等啟發(fā)信息,結(jié)合流量調(diào)度優(yōu)化策略分布,并利用策略和流量的局部性(locality),綜合預(yù)取和緩存機(jī)制,提升策略下發(fā)效率,實(shí)現(xiàn)最大處理能力。
總之,中間設(shè)備在網(wǎng)絡(luò)運(yùn)行和進(jìn)化中與轉(zhuǎn)發(fā)設(shè)備同等重要,并將在以數(shù)據(jù)和內(nèi)容為中心的網(wǎng)絡(luò)服務(wù)中成為關(guān)注的焦點(diǎn)。2015年,HotMiddlebox將移師更為顯赫的ACM SIGCOMM殿堂,不禁讓人更加期待網(wǎng)流監(jiān)控技術(shù)的突破,特別是在高效的載荷過(guò)濾算法和敏捷的策略管理機(jī)制等方面。(原文作者為清華大學(xué)信息技術(shù)研究院院長(zhǎng)、清華信息國(guó)家實(shí)驗(yàn)室常務(wù)副主任 李軍)