03月04日 綜合消息:
先講一個(gè)冷笑話,我心目中的SDN交換機(jī):
在我心目中,SDN交換機(jī)是這樣的:
一個(gè)機(jī)框,
插上接口卡,可以做高性能數(shù)據(jù)交換;
插上控制卡,可以做網(wǎng)絡(luò)層路由轉(zhuǎn)發(fā);
插上業(yè)務(wù)卡,可以做應(yīng)用層流量管理、負(fù)載均衡、網(wǎng)絡(luò)控制、用戶管理、VPN……
多插業(yè)務(wù)卡,可以變成刀片服務(wù)器提升應(yīng)用處理能力;
多插硬盤,可以變成網(wǎng)絡(luò)存儲(chǔ);
多個(gè)機(jī)框之間可以采用全網(wǎng)狀、fabric互聯(lián);
全網(wǎng)統(tǒng)一集中式管理。
但總覺(jué)得這個(gè)東西很早我就見(jiàn)過(guò),一回頭,我看到了——機(jī)柜!
也談SDN
軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN)這個(gè)概念在近期被炒的很火爆,但是很長(zhǎng)一段時(shí)間內(nèi),并沒(méi)有引發(fā)我的過(guò)多關(guān)注。原因很簡(jiǎn)單,大家都很閑嗎?可以有事沒(méi)事就對(duì)網(wǎng)絡(luò)流量節(jié)構(gòu)進(jìn)行修改? 況且自打Windows時(shí)代開(kāi)始,系統(tǒng)編程再也不是一個(gè)獨(dú)行俠可以解決的問(wèn)題。沒(méi)有一個(gè)研發(fā)團(tuán)隊(duì)的支持,網(wǎng)絡(luò)流量的系統(tǒng)管理控制就會(huì)成為天方夜譚!開(kāi)源軟 件是好,可是依靠一兩個(gè)未經(jīng)廣泛驗(yàn)證的開(kāi)源軟件就可以解決用戶網(wǎng)絡(luò)應(yīng)用管理的諸多問(wèn)題嗎?恐怕沒(méi)有一個(gè)網(wǎng)絡(luò)管理員敢把賭注壓在這個(gè)上面。
然而去年對(duì)下一代防火墻的研究測(cè)試,給于了我新的啟發(fā)。實(shí)際上下一代防火墻并未采用過(guò)多的全新技術(shù),直白的說(shuō)它就是一個(gè)應(yīng)用流量控制與IPS、傳統(tǒng) 防火墻的高性能統(tǒng)一集合體。但卻在短時(shí)間內(nèi)迅速獲得了廣大用戶的認(rèn)同,得到了飛速的發(fā)展。為什么會(huì)出現(xiàn)這種情況?究其原因有兩點(diǎn):網(wǎng)絡(luò)應(yīng)用的安全與管理。 了解網(wǎng)絡(luò)中應(yīng)用是否安全并對(duì)其進(jìn)行可靠的管理這兩點(diǎn)正是目前網(wǎng)絡(luò)用戶所迫切需要的。切中這兩個(gè)關(guān)鍵點(diǎn),即可解決目前網(wǎng)絡(luò)用戶所需要解決的主要問(wèn)題,自然也 就可以快速獲得廣大用戶對(duì)產(chǎn)品的認(rèn)同。
既然下一代防火墻就可以解決用戶的網(wǎng)絡(luò)應(yīng)用問(wèn)題,那為什么還要談SDN?這就要從下一代防火墻與生具來(lái)無(wú)法解決的問(wèn)題談起。下一代防火墻無(wú)論性能如 何提升,目前為止它都是一款網(wǎng)關(guān)類的安全產(chǎn)品。而目前,大規(guī)模(大型企業(yè)或電信級(jí))的網(wǎng)絡(luò)用戶希望在網(wǎng)絡(luò)的核心層同樣實(shí)現(xiàn)這樣的功能。在保障網(wǎng)絡(luò)核心安全 的同時(shí),通過(guò)核心層的管理可以更有效的對(duì)網(wǎng)絡(luò)應(yīng)用流量進(jìn)行控制。出于這種原因,我又把目光重新轉(zhuǎn)向了SDN。
要解決核心層的網(wǎng)絡(luò)應(yīng)用流量安全及管理控制問(wèn)題最終還得需要SDN。OpenFlow雖然實(shí)現(xiàn)了基于數(shù)據(jù)流的路徑轉(zhuǎn)發(fā),但基畢竟還僅是基于網(wǎng)絡(luò)層進(jìn) 行處理,無(wú)法在應(yīng)用層上對(duì)數(shù)據(jù)流的內(nèi)容進(jìn)行過(guò)多的分析判斷。要想實(shí)現(xiàn)應(yīng)用層的網(wǎng)絡(luò)安全管控,還得要看SDN的!再通過(guò)去年對(duì)路由、交換類產(chǎn)品新技術(shù)的了 解,于是我構(gòu)想出了文章最初冷笑話中的SDN交換機(jī)……
有人會(huì)問(wèn),SDN功能實(shí)現(xiàn)主要是依靠SDN控制器,而對(duì)交換機(jī)的SDN功能進(jìn)行研究是否是本末倒置?對(duì)于這一點(diǎn)我個(gè)人是從這個(gè)角度來(lái)考慮的:SDN 控制器無(wú)論是做為一個(gè)功能模塊集成于交換機(jī)內(nèi)部,還是做為一個(gè)獨(dú)立硬件產(chǎn)品放置于交換機(jī)之外,均需要對(duì)整網(wǎng)的應(yīng)用流量進(jìn)行管理與控制。SDN控制器的整體 性能取決于交換機(jī)SDN功能的處理能力。因此對(duì)交換機(jī)SDN功能的評(píng)估,也就從本質(zhì)上反映出了SDN控制器的管理控制能力。
SDN 前行?踏步?!
如何對(duì)產(chǎn)品進(jìn)行評(píng)估,測(cè)試無(wú)疑是最有效的方法。于是春節(jié)前我做了一個(gè)小功課,向各大廠商征詢了一下廠商各自對(duì)交換機(jī)SDN功能的測(cè)試方法。由于離放 假時(shí)間比較近,并未收取到所有廠商的回復(fù)。然而,從目前收集到的結(jié)果來(lái)看,讓我不由得感到一些失望。大部份廠商給予的回復(fù)是基于OpenFlow技術(shù)規(guī)范 要求進(jìn)行測(cè)試,并留有API接口……
OpenFlow并不是不好,技術(shù)規(guī)范的制定解決了不同品牌交換機(jī)在虛擬網(wǎng)絡(luò)架構(gòu)下的數(shù)據(jù)流互通問(wèn)題,同時(shí)也可以完成虛擬機(jī)全網(wǎng)遷移的功能,協(xié)助用 戶更好的進(jìn)行云計(jì)算應(yīng)用的實(shí)施。從云計(jì)算的角度來(lái)講,OpenFlow確實(shí)是現(xiàn)在虛擬化網(wǎng)絡(luò)的穩(wěn)固基石,為虛機(jī)遷移提供了一個(gè)可靠的解決方案。然而用戶在 網(wǎng)絡(luò)應(yīng)用中,并非僅有云計(jì)算這一種網(wǎng)絡(luò)應(yīng)用需求,SDN其它網(wǎng)絡(luò)應(yīng)用管控功能全是未知,更無(wú)法了解到其SDN功能是否可以滿足用戶應(yīng)用管控的實(shí)際需求。這 樣的產(chǎn)品是否可以放心選擇,實(shí)在是令我難以判斷。
難道SDN就是在云計(jì)算的臺(tái)階上原地踏步嗎?如果真是那樣SDN也就不會(huì)引發(fā)我的過(guò)多關(guān)注了。我的SDN功能暢想啟蒙于兩個(gè)廠商:思科與迪普。思科 給我的啟迪是在2013年初的一次6500交換機(jī)測(cè)試?yán)铮?500雖然是一款老機(jī)型,但思科為其提供了一個(gè)當(dāng)時(shí)最新可以實(shí)現(xiàn)Nexus所有功能的引擎。在 當(dāng)時(shí),那款引擎上已經(jīng)提供了對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行深度內(nèi)容分析的API接口,再利用思科的與UCS結(jié)合的網(wǎng)絡(luò)應(yīng)用管理軟件即可實(shí)現(xiàn)基于網(wǎng)絡(luò)應(yīng)用的流量管理功能。 當(dāng)時(shí),我就開(kāi)始有一種交換機(jī)將與下一代防火墻相融合的初步設(shè)想。在去年年中,迪普發(fā)布那個(gè)不知應(yīng)該叫交換機(jī)還是其他什么的可以基于應(yīng)用進(jìn)行負(fù)載均衡、特征 分析具備強(qiáng)大應(yīng)用層處理能力的DPX19000時(shí),在我心目中對(duì)交換機(jī)的定義已經(jīng)混亂了。當(dāng)我把思維重新整理清楚后,我心目中的SDN交換機(jī)也就隨之誕生 了。同時(shí)我也堅(jiān)定的認(rèn)為,這將是網(wǎng)絡(luò)核心交換產(chǎn)品未來(lái)的發(fā)展方向。
產(chǎn)品?功能?指標(biāo)?評(píng)估?
產(chǎn)品
目標(biāo)明確了,那么在現(xiàn)在交換機(jī)廠商中,是否可以通過(guò)已有的產(chǎn)品對(duì)其功能進(jìn)行實(shí)現(xiàn)呢?可能通過(guò)什么樣的交換產(chǎn)品來(lái)實(shí)現(xiàn)這個(gè)目標(biāo),SDN是否僅能存在于核心交換產(chǎn)品中,架頂式產(chǎn)品是否也可也完成同樣的任務(wù)?但在交換產(chǎn)品廠商已有的公開(kāi)發(fā)布產(chǎn)品中很難獲取相關(guān)信息。
博科到是明確表標(biāo)了在其現(xiàn)有的博科的MLXe系列交換路由器和Brocade NetIron CES和CER邊緣平臺(tái)上優(yōu)先進(jìn)行了OpenFlow開(kāi)發(fā),但相關(guān)SDN功能性的指標(biāo)還不是十分明確。
在迪普的網(wǎng)站上到是可以了解到DPX19000的各類技術(shù)指標(biāo),但其并未明確表明這是一款SDN交換產(chǎn)品,而是以“新一代去級(jí)業(yè)務(wù)核心平臺(tái)”來(lái)為其產(chǎn)品命名……
由于存在著這些疑問(wèn),下一步我們還需要再進(jìn)一步對(duì)廠商的SDN交換產(chǎn)品進(jìn)行更深入的逐一了解。
功能
用戶關(guān)注SDN交換機(jī)是為了獲得更好的應(yīng)用體驗(yàn),而更好的應(yīng)用體驗(yàn)需要在應(yīng)用功能上進(jìn)地實(shí)現(xiàn),那么SDN交換目前及將來(lái)可以帶來(lái)什么樣的新功能呢?我們?cè)谙旅嬖囍鴣?lái)總結(jié)一下。
1、網(wǎng)絡(luò)功能
SDN交換機(jī)的網(wǎng)絡(luò)功能基本上可以通過(guò)OpenFlow相關(guān)標(biāo)準(zhǔn)協(xié)議來(lái)進(jìn)行實(shí)現(xiàn)。目前可提供功能主要有以下幾項(xiàng):
(1)大流量網(wǎng)絡(luò)數(shù)據(jù)傳輸
當(dāng)前遵循OpenFlow協(xié)議標(biāo)準(zhǔn)的不同廠商SDN交換機(jī)之間可以做到數(shù)據(jù)流的互聯(lián)互通。為高性能網(wǎng)絡(luò)數(shù)據(jù)傳輸提供了相關(guān)的技術(shù)保障。
(2)用戶認(rèn)證、流量管理、 VPN
由于OpenFlow是基于數(shù)據(jù)流的路徑轉(zhuǎn)發(fā),先天帶有了用戶認(rèn)證、流量管理方面的技術(shù)優(yōu)勢(shì)。再通過(guò)MPLS等加密隧道進(jìn)行數(shù)據(jù)傳輸,可以很方便的實(shí)現(xiàn)虛擬機(jī)遷移、BYOD接入控制等多方面的網(wǎng)絡(luò)數(shù)據(jù)傳輸管理工作。
2、應(yīng)用功能
上述SDN交換設(shè)備的網(wǎng)絡(luò)功能在幾年前的云計(jì)算網(wǎng)絡(luò)產(chǎn)品中就已經(jīng)可以實(shí)現(xiàn),OpenFlow只不過(guò)是通過(guò)一個(gè)統(tǒng)一的技術(shù)規(guī)范來(lái)使各廠商產(chǎn)品之間數(shù)據(jù) 流可以進(jìn)行互聯(lián)互通。然而這種互通還僅限于數(shù)據(jù)層面,在控制層面,不同廠商網(wǎng)絡(luò)產(chǎn)品間統(tǒng)一進(jìn)行管理目前尚未得以實(shí)現(xiàn)。因此如果用戶采用不同廠商SDN網(wǎng)絡(luò) 交換產(chǎn)品,在集中管理控制上還存在相當(dāng)多的問(wèn)題。這也是用戶不敢貿(mào)然采用SDN技術(shù)的原因之一。況且,即便不采用SDN技術(shù),在各廠商的網(wǎng)絡(luò)解決方案中, 也有對(duì)相關(guān)功能的全面解決方法。無(wú)非是以后需要統(tǒng)一采用同一廠商的網(wǎng)絡(luò)核心及接入設(shè)備而已。因此,如果SDN交換設(shè)備的產(chǎn)品功能僅能提供基于網(wǎng)絡(luò)層相關(guān)功 能,那SDN的發(fā)展,前景堪憂。
因此SDN交換設(shè)備要相獲得大多用戶的認(rèn)同,勢(shì)必需要向網(wǎng)絡(luò)應(yīng)用功能方向進(jìn)行發(fā)展。然而目前所獲得的SDN應(yīng)用功能還僅限一句空洞的“可以向第三方提供API接口”。這讓人不由得產(chǎn)生一種想住七層的房子,但開(kāi)發(fā)商告訴你只能建到三層,剩下你只能私搭自建的郁悶感。
但這并不能阻擋我對(duì)SDN網(wǎng)絡(luò)應(yīng)用功能的期望。于是我依據(jù)現(xiàn)有網(wǎng)絡(luò)產(chǎn)品可提供的網(wǎng)絡(luò)應(yīng)用處理功能試著羅列了一下
(1)網(wǎng)絡(luò)應(yīng)用可視化
網(wǎng)絡(luò)應(yīng)用分析,這是目前用戶關(guān)注的熱點(diǎn),只有知道網(wǎng)絡(luò)中具體在跑那些應(yīng)用,才可以有針對(duì)性的去進(jìn)行進(jìn)一步管理。
(2)應(yīng)用流量管理
應(yīng)用分析后自然需要進(jìn)行管理,這自然也是SDN今后必然需要提供的一項(xiàng)功能
(3)深度文件內(nèi)容分析
無(wú)論何種企業(yè)在網(wǎng)絡(luò)應(yīng)用中,網(wǎng)絡(luò)安全問(wèn)題始終在對(duì)用戶進(jìn)行著困擾。深度文件內(nèi)容分析不但可以做為網(wǎng)絡(luò)安全防泄密的最后一道防線,還可以協(xié)助用戶更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全等級(jí)保護(hù)。因此,此項(xiàng)工作在未來(lái)SDN網(wǎng)絡(luò)應(yīng)用中也將必不可少。
(4)網(wǎng)絡(luò)應(yīng)用安全
這項(xiàng)功能實(shí)際上是從深度文件內(nèi)容分析引申出來(lái)的,在可以進(jìn)行文件內(nèi)容深度分析后,自然可以通過(guò)一系統(tǒng)數(shù)據(jù)對(duì)比,將IPS、AV等網(wǎng)絡(luò)安全功能也加載進(jìn)去,但這種功能確實(shí)可以由第三方安全廠商來(lái)提供,沒(méi)有十分的必要讓網(wǎng)絡(luò)廠商再親力親為了。
在這里,我不由得想起了華為在13年中發(fā)布的AR G3企業(yè)應(yīng)用路由器,這款產(chǎn)品通過(guò)華為提供的OSP開(kāi)放業(yè)務(wù)平臺(tái),為用戶提供集成多種業(yè)務(wù)和應(yīng)用的開(kāi)放式一體化解決方案。AR G3就好像一個(gè)智能手機(jī)一樣,提供一套開(kāi)放的系統(tǒng)平臺(tái),用戶需要什么應(yīng)用,就可以自行在上面添加。從而滿足用戶在語(yǔ)音、安全、管理和網(wǎng)絡(luò)優(yōu)化等方面的不同 需求。我想未來(lái)的SDN交換系統(tǒng)可能也會(huì)采用同樣的架構(gòu),提供相應(yīng)的軟、硬件系統(tǒng)平臺(tái),讓用戶自由選擇所需的應(yīng)用功能,自行搭建可以滿足自身應(yīng)用需求的應(yīng) 用網(wǎng)絡(luò)系統(tǒng)。就好像建好了七層的毛坯房后,讓用戶自己選擇如何去裝修,而不是讓用戶自己去建房子了。
指標(biāo)與評(píng)估
光有功能是不行的,我們還需要理智的對(duì)產(chǎn)品去進(jìn)行分析與判斷。判斷問(wèn)題要講方法明需求。OpenFlow的相關(guān)技術(shù)規(guī)范,可以令我們了解交換機(jī)在網(wǎng) 絡(luò)層數(shù)據(jù)轉(zhuǎn)發(fā)的處理性能。然而在我設(shè)想的SDN交換機(jī)中,還有許多網(wǎng)絡(luò)應(yīng)用功能,這是需要對(duì)網(wǎng)絡(luò)應(yīng)用流量處理性能進(jìn)行了解的。這是OpenFlow測(cè)試所 不能提供的。如何解決這個(gè)問(wèn)題??峙逻€是需要借鑒目前已相對(duì)成熟的網(wǎng)絡(luò)應(yīng)用性能測(cè)試指標(biāo)。那么哪些指標(biāo)需要我們?nèi)ミM(jìn)行關(guān)注呢?下面我試著羅列了一下:
基本性能指標(biāo):吞吐量、時(shí)延
雖然OpenFlow實(shí)現(xiàn)了基于數(shù)據(jù)流的路徑轉(zhuǎn)發(fā),但其基礎(chǔ)的網(wǎng)絡(luò)傳輸性能還是要靠吞吐量和時(shí)延去進(jìn)行判定
但是在去年的下一代防火墻測(cè)試中,發(fā)現(xiàn)了一個(gè)問(wèn)題,那就是在吞吐量測(cè)試中,64Byte的小包吞吐量是否需要達(dá)到100%?得益于流量分析及應(yīng)用可 視化技術(shù)的發(fā)展,我們現(xiàn)在可以清晰的對(duì)網(wǎng)絡(luò)中流量數(shù)據(jù)進(jìn)行分析,在分析過(guò)程中我們發(fā)現(xiàn)64Byte的小數(shù)據(jù)包在網(wǎng)絡(luò)數(shù)據(jù)傳輸中所占比例基本上未達(dá)到1%, 不同網(wǎng)絡(luò)應(yīng)用模式下的平均數(shù)據(jù)包長(zhǎng)度在600Byte-700Byte之間(不同網(wǎng)絡(luò)應(yīng)用平均數(shù)據(jù)包大小會(huì)有差異),也就是說(shuō)在吞吐量性能在64Byte 可以達(dá)到線速的情況下,實(shí)際應(yīng)用中有90%的處理性能是被空置的。這就產(chǎn)生了一個(gè)問(wèn)題,我們需不需要因?yàn)檫@“1%(64Byte線速吞吐量)”而浪費(fèi)那 90%的處理性能?這個(gè)問(wèn)題希望在后面的測(cè)試評(píng)估中再進(jìn)一步進(jìn)行一下分析。
可以提一下的是,為了避免性能浪費(fèi),在去年下一代防火墻性能測(cè)試中我們?cè)O(shè)置一個(gè)網(wǎng)絡(luò)性能的及格線:64Byte吞吐量10%、512Byte吞吐量 90%、1518吞吐量100%。由于SDN交換機(jī)是基于數(shù)據(jù)流進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),必然會(huì)在數(shù)據(jù)包中加一些識(shí)別標(biāo)記,這樣可能在吞吐量測(cè)試中會(huì)無(wú)法達(dá)到 100%的傳輸速率,這時(shí)吞吐量應(yīng)如何統(tǒng)計(jì)?這個(gè)問(wèn)題我想還需要在下一步的實(shí)際測(cè)試中再進(jìn)一步研究一下。
OpenFlow性能測(cè)試指標(biāo):
OpenFlow的性能測(cè)試指標(biāo)目前常見(jiàn)的有OpenFlow協(xié)議握手(兼容性:例如OpenDaylight、Floodlight、NOX 等)、流表下發(fā)、報(bào)文傳輸、流表容量功能驗(yàn)證等幾種,雖然上述指標(biāo)可以在基本性能指標(biāo)的吞吐量、時(shí)延中也能得以體現(xiàn),但利用最大流表進(jìn)行相關(guān) OpenFlow的滿流量測(cè)試,我們可以更好的對(duì)有關(guān)交換機(jī)OpenFlow數(shù)據(jù)傳輸時(shí)的性能進(jìn)行分析。
SDN應(yīng)用處理性能:
雖然目前SDN交換機(jī)還沒(méi)有提供十分詳盡的應(yīng)用層處理功能,只是提供了相關(guān)的API接口,但沒(méi)有應(yīng)用處理能力進(jìn)行支持的話,SDN交換產(chǎn)品也就會(huì)僅局限于為云計(jì)算應(yīng)用提供支持,這樣SDN交換的應(yīng)用范圍也會(huì)隨之急劇變小。
要想對(duì)SDN交換機(jī)應(yīng)用處理性能進(jìn)行評(píng)估,還要對(duì)SDN控制器的應(yīng)用處理性能進(jìn)行測(cè)試。這里,不妨借鑒一下網(wǎng)絡(luò)應(yīng)用處理的性能指標(biāo):新建連接速率、并發(fā)連接數(shù)以及應(yīng)用層吞吐量(應(yīng)用流量)這三個(gè)指標(biāo)。
有關(guān)這三個(gè)性能指標(biāo),在去年的下一代防火墻測(cè)試中,我們也進(jìn)行了一下研究,并試驗(yàn)著也劃出一個(gè)及格線,這里也來(lái)簡(jiǎn)單介紹一下:
新建連接:每兆帶寬、每IP、每秒8個(gè)連接
并發(fā)連接:每兆帶寬、每IP、200連接
應(yīng)用流量:64KB、512KB、1024KB文件大小下,帶寬的95%
簡(jiǎn)單說(shuō)明一下:這個(gè)及格線的標(biāo)準(zhǔn)實(shí)際上定的并不低,通過(guò)以往應(yīng)用性能統(tǒng)計(jì)我們可以了解,在實(shí)際應(yīng)用中,用戶實(shí)際用到的新建連接速率平均下來(lái),也就在 每兆帶寬每秒4個(gè)連接左右。而并發(fā)連接,每個(gè)用戶同時(shí)用到的連接數(shù)不會(huì)超過(guò)100個(gè)連接。而應(yīng)用流量,如果用戶的網(wǎng)絡(luò)流量使用率在70%以上,用戶首先想 到的就是網(wǎng)絡(luò)擴(kuò)容了。因此,這個(gè)及格線已經(jīng)為用戶網(wǎng)絡(luò)發(fā)生異常留下了一定的冗余空間。當(dāng)然如果碰到12306春運(yùn)時(shí)的網(wǎng)絡(luò)應(yīng)用狀態(tài),這個(gè)及格線可能就會(huì)不 夠了……