在“2015全球未來網絡暨SDN技術大會”上,華三通信新網絡解決方案部總工遇惠君講到,”今天非常高興能有這個機會來跟各位進行這樣一個分享,分享一下我們華三通信對SDN新網絡技術的理解和產品、解決方案,同時包括我們的案例。”
首先,我想聊的一點,這個SDN大會我也參加了好多屆,最近有一個趨勢,我們在之前可能更多的運營商的人,包括我們廠商的人上來更多的還是在跟大家說SDN應該是一個方向,大家應該往這個方向走。但是我看到從去年開始,包括今年,其實從今天大家的一些演講來看,其實大家現在對這個方向基本已經沒有什么疑問了,大家現在更多考慮的都是我應該做什么,應該怎么做,所以我覺得這是最大的變化。我印象在兩年之前,我去一個傳統企業的用戶,跟他講SDN,然后他聽了之后會說,你如果把網絡做的這么自動化,這么智能,那我負責網絡部門運維的人是不是就沒有價值了呢?所以他當時對這個理念并不認可。
在今年早些的時候,他又來找我,說他現在運維的人已經跟不上了,尤其上了云計算、大數據的業務,他認為SDN是一個必要的東西,你過來幫我們講一講,是不是有合適的方案,我們進行這樣一個應用。我們看到比較好的一點,可能我們今天不會特別去講,我們是不是要去上SDN,為什么上SDN。因為大家看了很多現代IT的技術,它從傳統的提高效率,它承載了我們更多的商業邏輯的這樣一個創新,目前華三通信對網絡新技術的理解是這樣的,他講的SDN,包括還有其他的像PCEP,很多南向的接口可以實現控制與轉發的分離,能夠實現我的網絡系統如何與業務系統這樣一個軟件層面接口的對接。我們順時針來看,NFV有一個工作組,它希望將網絡設備和形態進行網絡化。因為我們知道硬件形態設備,我們買了多少放在這里,它的計算能力是固定的。我們需要的時候它沒有辦法進行更多的擴展,它的量是固定的,但是我們不用的時候,他也放在那兒,占用我們的空間。所以NFV將專有的硬件設備進行軟件化,來提高我們IT資源的利用率,和提供這種彈性。第三個是網絡虛擬化的這樣一個技術,現在也有幾種協議已經是成稿,當然還有STT可能看的少一些。它希望在一個非常復雜的物理網絡當中,我通過這種隧道來創建這樣一個虛擬化的通道,來大大的減化我們用戶的業務,它所看到的真實的這樣一個網絡。下面來談一下華三通信新網絡的戰略思考。
我們認為在經典的網絡里面包含了路由交換、安全、無線等硬件的設備。現在我們看到在網絡之上,我們有云計算,這樣一些應用,大數據很多的服務。隨著上層業務系統發展的非常快,我們的網絡發展速度并沒有跟上,這個時候我們傳統的經典的網絡之外增加了外延,希望讓我的網絡系統和上層的業務、應用系統更加貼近。這邊我們的產品布局主要有華三通信自研的控制器,還有網源的設備。同時我們在傳統的這種經典網絡的這些設備里面,我們也是逐漸地融入,這兩個界面現在沒有這么分明,其實在我們的硬件設備里面也開始支持,像OSDB,像這樣一些南向的接口。
下面是我們整體的新網絡的架構,這個架構我們從下到上是我們的基礎架構層,是網絡抽象,上層的SDN的控制器,再上層有SDN的APP,最上面是云的管理系統。對于網絡這一層,我們在左邊有這樣一個物理的網絡,同時在右邊是我們的虛擬的網絡,它里邊包括我們各種各樣的NFV的設備。在上層我們會針對不同的場景和用戶開發出一系列的APP和應用,這整個的架構每個層次都是非常開放的,我們用戶可以非常靈活的,根據自身的條件來選擇不同的組合。下面我來介紹一下,我們在這幾個核心組件,第一個就是SDN控制器,而且我們的控制器是一個控制器的集群。因為我們知道隨著SDN理念,這種集中控制我們確實收獲了很多好處。但實際的網絡運維當中,網絡不出故障這也是非常重要的一點,如果我們引入了一個SDN控制器,實際上在網絡中引入了新的故障點。
如果一個網絡只有一臺控制器,如果它當掉的話,整個網絡是不受控的狀態。我們華三通信可以做控制器的集群,我們目前最大的可以支持32臺的集群,來保證我的高可靠性,同時也可以進行負載分擔,提高我控制器的處理的性能。另一方面,如果我們的網絡距離的非常遠。我們知道遠距離的同步是非常不可靠的,這個時候我們華三通信也創新提出了控制器聯盟的這種思路。我覺得這個跟我們社會的群體也非常類似,多個群體可能很難有一個集中的組織,比如說聯合國,其實聯合國很多時候,這個不提了。這個控制器集群,聯邦它其實各個遠程的節點是自愿的加入聯邦,可以共享信息。如果某個聯邦之一出了某種問題,這個時候可以選擇斷開,但是它不會導致我這個聯邦出現問題,會導致整個的聯邦也進入混亂的狀態。這是我們這樣一個SDN控制器。
下面是我們華三通信全系列的設備,我們所有網絡設備的特性,軟件運行的穩定性全靠這個操作系統進行保障。之前我們這個操作系統是安裝在自己制作的小盒子里面。現在我們做了一些變化,我們將這個軟件進行抽象,把它灌裝在標準化的服務器里面,這個時候它完全可以通過軟件的方式,可以變身為任何用戶所需要的模式,比如說可以變成路由器,也可以變成防火墻,也可以變成無線的控制器,包括這樣一些設備。同時我們對于第三方的網源,我們可以集成在整個的NFV的體系架構當中。
第三個產品就是介紹一下我們的Vswitch,大家知道這種計算的虛擬化,可以提高我計算資源的利用率。這個時候我們其實會引入一些新的問題,就是我的計算里面它也是需要有網絡的,我的服務器變成一臺虛機,這個時候我的網絡如何處理,我的一臺服務器里面可能有多臺虛機,它們之間也需要進行網絡的溝通和隔離。目前我們華三通信所做的Vswitch,它引入了最新的一些協議的支持,也包括這樣一個狀態防火墻。后面我會講到安全方面的考慮,我們所有的安全處理也是分布式的,因為這個虛機會到處跑,我們很難找到一個固定的安全的邊界。另外,我們對流量的可視化也有一些實現。同時還有一點比較重要,就是我們華三通信目前也是支持,應該說業界最多的支持虛擬化平臺的這樣一個商業化的產品。
結合以上的這些產品,我們在每一個產品上都進行了接口的開放。包括跟上層的云管理平臺進行對接,南向包括一系列的接口。這個包括我們在控制器上進行一些應用開發,我們也會給有能力或者希望做一些開發的用戶使用,這個系統也是非常開放的。
剛才我也聽到電信的趙院提,我們現在到底是先有標準還是先去做?我們從上一頁來看,其實我們現在已經遵循很多標準化的接口,但是它相對來說還是比較零散的,功能太復雜了,我們的用戶被壓抑太久了。我們以前想做什么事情,廠商只能說不行。現在我們一下子開放了這么多接口,用戶開始也是拒絕的,現在我們上面看開發了很多API,所以我現在看到有兩類客戶,一類客戶愿意說我去嘗試,我用這些API自己搭建,另一類客戶說我的網絡只是我業務的承載層,我更多的開發和運維實力還是在業務層面,希望網絡為我們提供一些標準化。華三通信也是將這些技術進行融合,同時我們面向用戶的需求,和面向一些典型的應用場景,我們提供一些成熟的商用的解決方案,包括場景化。我們總結為大互聯、云計算和大安全。
下面我給各位匯報一下,我們針對每一個場景的方案和相關的理念。第一個是大互聯,因為我們知道網絡的存在更多的目的就是為了讓人與人之間進行溝通,人與服務器進行溝通。我們從這個圖,從下面我們可以看到幾個元素,最左邊的終端,最右邊的云端,如果云端和終端需要進行訪問,我們中間一定需要有這樣一個網絡,或者說我的終端之間訪問也需要這樣一個網絡。目前我們華三通信基于傳統的網絡做了長久的積累,在我們的控制器之上通過開放的API引入了很多端與端或者端與云相連的業務,比如說終端接入,如何對海量的終端,它在任何位置都有可能接入,我如何對它進行管理。包括云如何進行復雜的調度,我的網絡策略是不是能夠繼續保持。我們在這些領域都有相應的SDN的APP,給用戶在網絡之間直接使用。
另外多數據中心,云與云之間。我們的內部控制器已經和所有的網絡設備進行管理,現在我們如果遇到跨廣域網的,我們認為這個廣域網可能是不太可靠的,我們通過建立聯盟,建立控制器聯盟的方式,如果大家網絡都OK,狀態都OK的話,信息是可以進行共享的。另外一個場景就是這種桌面虛擬化和移動辦公,這個大家比較熟悉的字眼就是BIOD,帶著自己的設備去工作。我們知道現在的企業或者園區里面,大量的無線和有線的設備都是混在一起的,如果員工拿自己的設備進行辦公可以提高他工作的效率。這個時候我們在網絡上的要求也會非常高,比如說能不能接入,我這個個人的設備接入園區里了,園區能不能識別我,我是不是可信的用戶,一旦我接入進來以后,我可以在任何位置接入。我權限如何控制,我現在有了SDN控制器,可以對網絡的變化可以做到全局的掌控,任何一個終端任何一個位置接入網絡,我可以從上層的應用系統對接,去了解這個新接入的用戶是不是有這個權限,如果有權限接入的話,他的權限有多大,我可以用SDN全局控制的優勢,可以全局把這個策略進行實時的下發。
下面來匯報一下新網絡在云計算方面的工作。因為我們現在看到云計算,現在也是非常火,包括公有云、私有云很多人都在建。云計算我們知道,它對網絡的需求還是有一定要求的,比如說公有云很多租戶在上面,但是租戶肯定不希望我放在云里面的資料被隔壁的老王看到,所以安全隔離需要做好。另外IP地址隔離,我很多租戶上去,我們就是想把原來的IP系統搬到云里面,這樣運維的習慣和改變是最小的。如果有兩個企業用的私網地址是相同的,這個時候是沖突的,我們通過SDN來解決他們不同的地址空間重疊的問題。包括網絡虛擬化,包括業務如何靈活的自定義,我的云里面可能除了虛機還要有LB和防火墻,我的業務和位置是不是吻合,我租的虛機是不是都在北京的機房,我可以到其他的地方租一個。資源是隨需而動的,用戶想要什么東西不需要系統管理員手工的審批和申請,所有的業務都是自動化的,我申請了一些,后臺應該是可以幫我自動化來進行申請。目前來看,業界對于解決云計算,比較流行的技術就是Ovrelay,我所有的這樣的隧道都是在硬件的網關設備上來做,在中間的這種,我可以將網關延伸到虛擬化的服務器里面。當你知道,可能不是所有的設備都有虛擬化,可能存在一些虛擬化,就出現了一個折中或者融合,同時我可以在我的虛擬化的服務器里面做這樣一個隧道。目前華三通信對這三種場景都可以來支持。
下面是華三通信整個的這樣一個虛擬化,網絡虛擬化的解決方案。圖不知道大家能不能看清,一個是我們對于我們的硬件的交換機,另外有一個SDN的控制器,這個控制器不僅僅和上層的云平臺進行對接,進行云平臺和底層的設備進行吻合的工作,同時和虛擬設備還可以進行統一的管理。另外一個方案是我們的云POP,這個方案也是很有意思的。POP就是業務提供點,我們如果在家里上寬待,這個數據上行到運營商的POP點,它需要進行認證和計費的處理。傳統的機房只有一些設備進行認證和工作。這個設備傳統都是硬件的設備,是不能夠進行彈性擴容的,一般我根據小區的容量購買容量,但是如果小區一旦蓋了新樓可能就要去購買。以北京來說,以天通苑或者回龍觀人口很密集,白天人們都出來上班了,晚上的時候大家都回家,都上網了,這個時候容量可能會比較擁塞,處理能力會大大的降低的。我們華三通信希望在POP點里面,我們把硬件變成軟件的。另一點,我們希望改變運營商的運營的這么一個方式或者是說思維。因為運營商一直提被管道化,我理解它在POP點其實更多的提供用戶認證,具體里面跑的什么互聯網的增值的業務,他不知道,他就是記你的時長,很多增值的東西他沒有做。所以這塊我們希望他能夠做數據中心化,將接入的位置做一個數據中心化,將里面放入大量的服務器。一方面這個服務器在我們使用的時候,我們可以放虛擬化的網絡設備來進行處理。另一方面,對于空余的計算資源可以放一些增值的服務,比如放一些云網盤,或者IPS的用戶對安全性的要求,我們可以非常靈活的放一些增值的服務,為運營商來進行創收。
我們第三個場景就是大安全。其實從國家的層面來說,對信息安全的要求是達到一個非常高的高度,無論對企業還是我們很多個人也越來越注重這種安全。我們看到現在的安全也確實是越來越不好做了,因為防不勝防。因為現在很多虛擬化的引入,導致安全的邊界變得非常模糊,有的時候我不知道你的攻擊會從什么地方來,或者我的虛機漂來漂去,很難用固定的物理的網關進行隔離。同時我的安全處理能力到底放多大,安全流量一定不是恒定不變的。我們華三通信對于安全這邊我們是最底層的有虛擬化的彈性解決,比如嵌入一式的插卡,然后在上面增加了SDN控制器,來對整體的安全資源池進行集中化的管理。在管理之上可以定做安全的APP,可以幫助用戶通過集中化的方式解決安全問題。在上面我們對安全的數據,其實更多的是很多數據其實非常有價值,但我們傳統的安全往往是把它處理過,就把數據丟掉了。這個時候我們其實可以將這些數據放入我們的大數據安全的中心,我們去分析某些事件可能不僅僅是一個獨立的這樣一個場景,它很有可能是一系列的事件,是有關聯的。我們通過大數據的分析來制定更高層面的安全的策略。我們核心理念其實就是價值來提供這種安全控制,它可以非常靈活,其實我們就是通過服務鏈的方式,對大數據進行處理。
時間關系,我快一些。核心技術,我原來看到業務鏈,我們所有的安全都是基于路徑的安全。我提前必須設計好,然后所有的路徑都設計好,經過防火墻還是IPS。我們今天看到,我們每個用戶是有個性化的需求,不同的用戶是不一樣的,這個時候用到服務鏈這樣的功能。這個圖是我們服務鏈的實現的原則,我們是通過統一的SDN的全局的控制器從全局的角度控制,來引導這個流量進行服務鏈的穿行。同時也能夠控制我們虛擬化的NFV的資源池,這里也有物理的設備,進行統一的控制。同時我們的控制器也可以向上開放接口,給云管理平臺或者第三方的管理平臺。
這樣通過這些手段,我們可以提供多層次的安全防護體系,包括SDN設備,包括插卡,還有嵌入式,狀態防火墻的功能。下面簡單介紹一下幾個案例,第一個在互聯網公司做的Overlay的網絡,這個已經達到了上萬臺服務器的規模,有可能在全球是最大的數據中心。
另外,我們跟騰訊進行了一個VPC虛擬私有云的。我們現在可以將我們華三通信的私有云和騰訊的公有云做一個無縫的連接,用戶對一些需要在本地運行的業務可以到私有云,一旦業務爆發,可以無縫的將業務推送到公有云,保證業務不受中斷。
第三個是在高校,中南財經它有兩個校區,每個校區都自建有數據中心,它管理上是有麻煩的,業務很難兩邊靈活調度。我們通過我們的SDN加上Overlay進行一個拉通,幫助它實現兩邊資源統一的調度和統一的管理。
最后,我再提一下,剛才我們也提到,我們華三通信目前對于很多的新網絡相關的技術都有成熟的產品和商用的產品,同時對于大互聯、云計算,我們也有一些針對場景化的解決方案。如果大家想在新的領域進行一些合作和探討,也可以找我們華三通信,或者對我們一些比較成熟的商業方案,我們可以直接在系統里面進行測試和應用。今天我要講的就是這些。
京公網安備 11010502049343號