雖然OpenFlow和軟件定義網絡(SDN)主要是關于數據中心或運營商網絡,但這項技術可能對校園網絡更有用,特別是對于改善和提高BYOD(自帶設備)的安全性和管理。
美國印第安納大學首席網絡架構師Matt Davy認為OpenFlow和軟件定義網絡可以改變他的10萬端口網絡,該網絡有5000個無線接入點(AP)以及12萬用戶,這些用戶大多數都希望使用個人移動設備來接入網絡。現在,部署安全和訪問政策簡直是一個噩夢,校園環境就像是一個小城市,有運動場館、醫療實驗室、15000宿舍、餐館以及水電設施。
“我們的網絡很難根據物理空間來分組,如果我想在實驗室安置防火墻,那么大堂的咖啡廳怎么辦?”Davy表示。理想的情況是采用“相同的組系統,然后根據安全政策對它們進行管理”,即使它們位于不同的物理空間。這樣的話,就可以使Davy的團隊根據特定設備類型來選擇安全規則。
Davy認為可以將其網絡完全過渡到一個OpenFlow環境來實現這種理想狀態。在這種情況下,他可以建立一個“虛擬接入層”來映射物理接入層,但同時通過中央SDN控制器來進行管理。然后,Davy的團隊可以啟動有線和無線網絡中橫跨組件的虛擬網段,使SSID可以為特定群體的設備進行設置。這意味著工程師可以控制哪些用戶或者設備訪問特定網段的特定應用程序。Davy還可以將入站流量推入特定設備,以指定監控類型或者提高不同設備的性能。
目前市面上并不存在這樣完善的解決方案,但Davy正在測試可用的OpenFlow或者SDN交換機和控制器。他已經安裝了1700 OpenFlow友好型惠普交換機,該交換機可以同時運行OpenFlow和傳統交換機,長期來看,這種交換機有助于完善軟件定義校園局域網。但現在,這些交換機不能支持大規模OpenFlow環境。
在此期間,Davy的團隊正在嘗試使用基于OpenFlow的入侵檢測系統(IDS)集群。該系統映射來自網絡各端口的信息,將信息路由到統一的地方。通過OpenFlow頂級機架交換機,數據在約30臺IDS服務器組間進行負載平衡。Davy沒有花費10萬美元在整個網絡中安裝IDS設備,而是花3萬美元安裝了一套實驗系統,進行入侵檢測。下一步就是將網絡訪問控制(NAC)整合到系統中,開始使用OpenFlow來阻止流量。
是什么推動了在校園局域網使用OpenFlow和SDN?
惠普網絡全球產品營銷經理Steve Brar在四月舉行的開放網絡峰會上表示,三個因素將會推動校園局域網中部署SDN:需要更好的服務質量(QoS)、提高安全性和以應用程序驅動的網絡。
SDN部署好后,網絡工程師可以用靈活的網絡來替換不靈活的物理網絡和靜態政策,靈活的網絡可以“為特定用戶和不同應用程序動態地分配服務質量”。
Brar希望網絡工程師使用SDN,將物理校園網絡分成一系列邏輯網絡,每個網絡都有自己的政策。這種環境將會改變QoS,因為工程師可以更容易地在這些虛擬網絡上優先處理特定應用程序,從而提高性能。
SDN還能夠管理BYOD計劃,因為網絡管理人員將能夠根據設備類型或者用戶組來分配訪問政策,然后優化特定應用程序,例如視頻。
“有線和無線的用戶體驗不一樣,而在今天的技術領域中不應該這樣。”Brar表示,“也許通過更好的可編程性和更動態的網絡,我們可以避免這個問題。”
在校園局域網采用SDN和OpenFlow的好處顯而易見,不過真正的部署仍然在很大程度上取決于產品和應用程序開發,而這是一個緩慢而持續的過程。
京公網安備 11010502049343號