去年下半年，思科隆重推出了他們的秘密武器ACI（Application Centric Infrastructure），你說他是用ACI來對抗SDN也好，或者是擁抱SDN也好，反正他們自己宣稱是既不同于VMware NSX，又不同于ONF OpenFlow的有思科特色的SDN。一時之間ACI成了一個大熱的話題，眾說紛紜，吸引了足夠的眼球。

最近思科又聯合IBM、Citrix、微軟等向IETF提交了一個新的draft，名字叫OpFlex，號稱是要取代OpenFlow（不知道是第三方的人這么講的還是思科自己講的）。但是跟ACI相比，算是低調多了，國內外討論的人都比較少。甚至都看不到一篇正兒八經分析的文章。去年大張旗鼓推出硬的ACI，今年低調地推出軟的OpFlex，兩者之間有什么關系嗎？

OpFlex這個draft篇幅不長，一共只有21頁，去掉一些標題，引用之類的之后，有效頁數不超過16頁。如果你之前從來都不了解ACI，來讀這篇draft的話，我相信就算你是個資深網絡技術人員也會覺得不知所云，不是看不明白每一句話，而是不明白它的目的是什么，要解決什么問題。但是如果之前比較深入地了解過ACI，再看這個draft就會明白了，OpFlex其實就是ACI內部的策略控制協議，現在思科把它給標準化了。所謂的用OpFlex替代OpenFlow云云，本質上還是用ACI這種SDN去跟OpenFlow以及Vmware的NSX之類架構去競爭。這里要順便吐槽一下，OpFlex這個draft寫得真是坑爹，一般RFC都會把背景情況，來龍去脈交代的一清二楚，而OpFlex這個draft很多背景都直接省略掉了，因為它是基于一個已經存在的東西，作者潛意識里面覺得背景已經很清楚了。

這里簡單分析一下ACI和OpFlex，我們先看看ACI的架構。

ACI是把數據中心中的物理網絡視為一個封閉的Fabric系統，對用戶來說是個黑盒，用戶不需要關心里面是運行了什么協議，如何連接。這個封閉的Fabric系統就是ACI（Application Centric Infrastructure）。那如何對這個封閉系統進行控制呢？這里的控制分為兩部分，一部分是配置傳統路由交換功能，使得ACI中的各個物理設備彼此可達，這個時候是靠傳統方式去配置的，而且這種配置通常是一次性的，配好之后就不用再動了。另外一部分則是用戶業務的策略控制（比如基于ACI部署云計算網絡），這部分不是靠傳統網管，而是靠一個SDN控制器，這個控制器也有個名字，叫APIC（Application Policy Infrastructure Controller）。

APIC向上通過開放的Restful API跟各個第三方的系統或者工具進行集成，這些工具可以通過APIC來控制整個物理網絡，應用策略，進而達到控制所有接入到該網絡中的其它設備的目的。向下，APIC可以去控制整個ACI中的物理交換機（Spine/Leaf節點），不包括連接到這個物理網絡中的其它設備（計算、存儲、安全或者其它ACI之外的交換路由設備）。如上圖中最下面那部分，外圍的那一圈設備就不屬于ACI的范疇，在APIC的架構中，這些接入到該Fabric中的用戶設備，稱為Endpoint(EP)，相同類型的Endpoint組成一個Endpoint Group(EPG)，比如所有的計算節點可以是一個EPG，或者所有具有相同Vlan的設備也可以是一個EPG，APIC并不規定EPG如何定義。

APIC如何來控制ACI中的設備呢？它所采用的協議就是OpFlex（當然，不清楚思科是否把ACI所用到的所有細則都寫到OpFlex標準中去了）。那接下來我們就分析一下OpFlex，看它如何應用于ACI。

OpFlex協議中有AD(administrative Domain)、PR(Policy Repository）、PE(Policy Element)、EP(Endpoint)和 EPR(Endpoint Registry)這幾個概念。它提到AD就是一個所有支持OpFlex的設備組成的管理域（該draft舉例說，比如一個數據中心的物理Fabric網絡就是一個AD）；PR是在一個全局集中的地方，負責存放Policy；EPR也是在一個全局集中的地方，負責管理Endpoint的注冊，PE則位于ACI中每一臺需要管理的設備上（是一個邏輯功能組件），它負責向上通告Endpoint的注冊、變更，并應用來自APIC的Policy。而EP就是接入到該管理域的用戶設備。顯而易見，PR和EPR都（邏輯的或物理的）位于APIC上。

上面這段文字可能比較抽象，我們換個更直白的說法，它的工作原理大概是這樣的：用戶在APIC上配置了一堆的Policy，比如“如果某個用戶設備的Mac是位于某地址段，就把它們劃分到Compute Node EPG，統一應用策略A”；“如果某用戶設備發出來的報文Vlan是10，就把它劃分到Tenant1，統一應用策略B”等等。當ACI中的邊界節點檢測到某臺用戶設備接入的時候（具體檢測方式并沒有提到，估計是用戶自定義，由APIC通過策略告知所有的邊界設備），就把這個EP的信息主動上報，注意它并不是直接報給APIC，而是先報給上一級設備（Spine節點），如此層層上報，最終到達APIC。之所以要層層上報而不是直接報給APIC，是因為中間的設備也需要了解這些信息。舉個例子說，如果檢測到Vlan 10接入了，那就需要通知上聯設備把相應的端口上使能Vlan 10。報給APIC之后，APIC分析接入的設備信息，決定它屬于哪個策略組（EPG），然后把該EPG所對應的Policy下發給所有的相關設備，這些設備就在本地應用這些Policy。當然，也可能是APIC預先把這些Policy下發給這些設備了，這取決于應用場景。

ACI帶來的好處就是業務的自動化部署，設備即插即用。你可以想象成你買了一個USB的設備，插到電腦上之后自動安裝驅動和應用程序。當然ACI要做到這一點并不是那么容易，以上都是理論分析，實際網絡要復雜得多，未必都能做到。

OpFlex詳細定義了各種消息格式（都是基于JSON），以及每種消息的通信主體。它試圖把OpFlex盡量定義得更通用，不僅僅局限于數據中心云計算網絡，而是任何適合需要自動化網絡業務部署的場所。

ACI和OpFlex技術本身的分析到此結束了，下面我們來分析一下思科的SDN思路。

首先，ACI和OpFlex算不算是SDN？絕對算。當然我知道有人不同意，說明明他們的設備上都運行了傳統協議，怎么能算SDN呢？但是你要明白，交換機上不運行路由協議，只是OpenFlow的要求（甚至就算是OpenFlow，都定義了output to normal這種動作，也就是說走完OpenFlow流程后再走傳統轉發流程），不是SDN的要求，SDN只是說軟件參與到網絡控制中。在ACI的這個架構中，最上層的應用和各種工具通過開放的Restful API來控制Controller，Controller則通過開放的OpFlex API來控制轉發設備，用戶通過Policy幾乎可以控制一切。有人說，ACI設備之間的數據報文通信，還是要靠路由協議，用戶無法直接控制。但問題是，用戶為什么需要控制這個？能帶來什么價值？SDN并不意味著用戶需要控制一切，而是讓用戶可以控制他需要控制的東西。所以，盡管我不是思科的粉絲，但是我這個SDN的堅定支持者也必須承認ACI是SDN。

其次，思科為什么要將OpFlex標準化？很顯然，這是它整個戰略中重要的一步。我不清楚他們是不是開始的時候就已經想好了這一步，但是很顯然，ACI被很多人批評的一點就是它是一個完全私有、完全封閉的東西，不僅跟其他廠商設備不兼容，連跟自己之前的設備都不兼容，這是它最大的一個弊端?，F在它希望通過開放并標準化它的控制協議來規避這個問題。雖然OpFlex這個draft上列了好幾個公司的作者，但是明眼人很容易看出來，那幾個公司的作者都是打醬油的，都屬于思科的戰友，來幫思科撐場子的，表示這個協議不是思科一家支持。

最后，最關鍵的問題，思科的意圖能達到嗎？

一方面，它感受到了SDN的威脅，想反擊。但是另外一方面，它沒辦法阻擋這個潮流，只能也宣稱擁抱SDN，但是擁抱的是最有利于自己的一種SDN實現方式。我個人的觀點是，這個技術確實有很多亮點，但是要讓其它設備商都跟進很難。第一，這個標準跟硬件設備能力強相關，思科為了這個ACI，專門開發了自己的芯片，別的廠商如果直接用商業芯片，某些功能做不到，所以就算支持OpFlex，功能上也不如思科強大。

第二，OpFlex代表思科的利益，其他設備商都看得很清楚，誰會愿意跟進？OpFlex作者列表中的那些公司，都是搞軟件的。

第三，OpFlex這個協議從網絡框架來說，相比較OpenFlow過于復雜了一些，小公司很難玩得轉。而我們知道，技術從來都不是商業勝出的唯一要素，實現和部署的復雜性會影響它的推廣，ATM與Ethernet（以太網）的戰爭就是一個很好的例子。當然OpenFlow也未必就會贏，OpenFlow的問題也很多。

歸根結底一句話，ACI/OpFlex也許會叫好，但是極有可能不叫座……就像失敗的FabricPath和QFabric一樣？