《企業(yè)網(wǎng)D1Net》1月9日訊
在虛擬化領(lǐng)域,SDN可以說是炙手可熱,圍繞SDN的一些技術(shù)改造也是勢在必行,一直以來,網(wǎng)絡(luò)中存在著一系列用于改善網(wǎng)絡(luò)服務(wù)的性能和體驗(yàn)的應(yīng)用,例如Web安全,訪問控制、負(fù)載均衡、應(yīng)用加速、WAN優(yōu)化、入侵檢測等。
它們在網(wǎng)絡(luò)的安全、管理等方面發(fā)揮了巨大的作用,是傳統(tǒng)網(wǎng)絡(luò)中保障應(yīng)用交付質(zhì)量的關(guān)鍵。隨著SDN技術(shù)的提出與成熟,在新型網(wǎng)絡(luò)架構(gòu)下,這些應(yīng)用勢必也需要進(jìn)行相應(yīng)的改造與完善。
在傳統(tǒng)網(wǎng)絡(luò)中,類似防火墻、負(fù)載均衡、入侵檢測等網(wǎng)絡(luò)應(yīng)用都是由專用的硬件設(shè)備實(shí)現(xiàn)的,在網(wǎng)絡(luò)運(yùn)行過程匯總,根據(jù)實(shí)際需要逐臺進(jìn)行配置以滿足數(shù)據(jù)傳輸要求。而在SDN網(wǎng)絡(luò)中,上述應(yīng)用將以軟件程序的方式存在,他們可以與控制器一起部署在通用服務(wù)器上,通過調(diào)用控制器的北向接口獲得其提供的流量模式、應(yīng)用數(shù)據(jù)等信息并對其進(jìn)行辨識和判斷,進(jìn)而驅(qū)動(dòng)控制器下發(fā)指令調(diào)整網(wǎng)絡(luò)配置。例如,當(dāng)基于SDN的入侵監(jiān)測應(yīng)用在控制器監(jiān)測的數(shù)據(jù)流中識別到惡意流量時(shí),它就可以自動(dòng)驅(qū)動(dòng)控制器設(shè)置相應(yīng)的流表項(xiàng)將這些數(shù)據(jù)包導(dǎo)向網(wǎng)絡(luò)中數(shù)的安全隔離設(shè)備,避免其對網(wǎng)絡(luò)的破壞。
雖然這些SDN應(yīng)用是利用軟件實(shí)現(xiàn)的,但他們的角色與傳統(tǒng)的硬件設(shè)備相同,相比而言,基于SDN傳統(tǒng)網(wǎng)絡(luò)應(yīng)用進(jìn)行改造的主要優(yōu)勢包括以下幾點(diǎn):
通過軟件實(shí)現(xiàn)的防火墻、負(fù)載均衡,降低系統(tǒng)的CAPEX/OPEX
實(shí)現(xiàn)網(wǎng)絡(luò)中各類網(wǎng)元的虛擬化和集中化控制
支持網(wǎng)絡(luò)系統(tǒng)的快速部署,在故障出現(xiàn)時(shí)能夠快速發(fā)現(xiàn)并解決問題
提供更高的智能,支持自動(dòng)化運(yùn)作,實(shí)現(xiàn)應(yīng)用可感知的網(wǎng)絡(luò)。
通過上述介紹和分析可知,基于具備集中化管控能力的SDN控制器提供的網(wǎng)絡(luò)資源調(diào)配能力,SDN應(yīng)用實(shí)際是將傳統(tǒng)的基于設(shè)備的應(yīng)用改造為一個(gè)真正面向全網(wǎng)范圍的應(yīng)用。
隨著SDN的應(yīng)用與推廣,傳統(tǒng)網(wǎng)絡(luò)應(yīng)用交付技術(shù)向SDN網(wǎng)絡(luò)的遷移已經(jīng)勢在必行,很多傳統(tǒng)領(lǐng)域的領(lǐng)導(dǎo)廠商已經(jīng)開始考慮這些問題。總體而言,面向SDN的網(wǎng)絡(luò)應(yīng)用交付技術(shù)的改造需要從以下四個(gè)方面進(jìn)行。
(1)改寫傳統(tǒng)的硬件應(yīng)用為軟件實(shí)現(xiàn)。和所有的網(wǎng)絡(luò)設(shè)備一樣,傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用考慮到數(shù)據(jù)處理性能的問題,普遍采用基于專用集成電路的硬件實(shí)現(xiàn),而隨著通用處理器性能的提升,采用軟件實(shí)現(xiàn)相關(guān)應(yīng)用的功能已經(jīng)能夠滿足數(shù)據(jù)處理的需求,同時(shí)在應(yīng)用的實(shí)現(xiàn)和部署時(shí)具有更好的靈活性和開放性。
(2)支持網(wǎng)絡(luò)應(yīng)用的虛擬化實(shí)現(xiàn)和部署。網(wǎng)絡(luò)應(yīng)用的虛擬化主要體現(xiàn)在支持多個(gè)租戶共享同一網(wǎng)絡(luò)應(yīng)用設(shè)施,同時(shí)各租戶間彼此隔離,具有相對獨(dú)立的應(yīng)用空間。虛擬化是實(shí)現(xiàn)資源池化的主要手段,只有實(shí)現(xiàn)了池化的網(wǎng)絡(luò)應(yīng)用,才能支持面向用戶的按需調(diào)配。在網(wǎng)絡(luò)應(yīng)用虛擬化實(shí)現(xiàn)中,多線程等技術(shù)可被應(yīng)用。
(3)基于控制器北向接口改造應(yīng)用。為了將網(wǎng)絡(luò)應(yīng)用納入SDN架構(gòu)中,從控制器獲得網(wǎng)絡(luò)信息并驅(qū)動(dòng)控制器調(diào)整網(wǎng)絡(luò)配置,網(wǎng)絡(luò)應(yīng)用必須要將相關(guān)的功能接口與控制器的北向接口對接,這其中既可以利用REST API等類型的接口,使網(wǎng)絡(luò)應(yīng)用仍舊相對獨(dú)立,也可以利用Java等類型的接口,將網(wǎng)絡(luò)應(yīng)用功能整合進(jìn)控制器中。
(4)開放編程接口支持創(chuàng)新業(yè)務(wù)開發(fā)。在網(wǎng)絡(luò)應(yīng)用經(jīng)過面向SDN網(wǎng)絡(luò)的改造后,秉承SDN的開放性,網(wǎng)絡(luò)應(yīng)用還需要在擴(kuò)展和封裝控制器北向接口的基礎(chǔ)上,提供功能完備、方便易用的編程接口對更上層的業(yè)務(wù)開放,推動(dòng)網(wǎng)絡(luò)業(yè)務(wù)的創(chuàng)新。
就當(dāng)前的業(yè)界進(jìn)展來看,傳統(tǒng)網(wǎng)絡(luò)應(yīng)用的主流廠商的技術(shù)產(chǎn)品普遍做到了前兩個(gè)方面,例如利用虛擬機(jī)部署負(fù)載均衡軟件、在Hypervisor中繼承安全防護(hù)功能等,而這也是前文提到的NFV(網(wǎng)絡(luò)功能虛擬化)期望達(dá)到的目標(biāo)。但是,受到當(dāng)前SDN架構(gòu)中缺少統(tǒng)一的北向接口定義的限制,網(wǎng)絡(luò)應(yīng)用廠商之能夠根據(jù)某幾款特定的控制器接口進(jìn)行應(yīng)用改造,從而增加了開發(fā)工作量,并導(dǎo)致了更高的風(fēng)險(xiǎn)。
將傳統(tǒng)網(wǎng)絡(luò)中四至七層的應(yīng)用部署在SDN網(wǎng)絡(luò)上能夠獲得很多優(yōu)勢,例如基于控制器對網(wǎng)絡(luò)全局視圖的把握,能夠開展更合理的負(fù)載均衡,制定更全面的安全策略,從而提升網(wǎng)絡(luò)應(yīng)用的效能。但是,基于SDN實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)應(yīng)用也存在巨大的挑戰(zhàn),例如當(dāng)前現(xiàn)有的網(wǎng)絡(luò)應(yīng)用過于豐富,有大量的廠商參與其中,其方案各有特色并且相對封閉,使得對網(wǎng)絡(luò)應(yīng)用的整合化與集中化存在非常大的困難。另外更關(guān)鍵的一點(diǎn)是,如果應(yīng)用依賴于控制器對應(yīng)用要處理的數(shù)據(jù)包進(jìn)行采樣和識別,就意味這控制器可能會(huì)不僅僅監(jiān)控?cái)?shù)據(jù)包的二、三層狀態(tài),還必須對其四至七層信息進(jìn)行解析,這將會(huì)大大增加控制器的工作量,進(jìn)而影響網(wǎng)絡(luò)應(yīng)用乃至SDN全網(wǎng)的性能。
D1Net評論;
SDN技術(shù)猶如眾星捧月一般,很多機(jī)遇SDN的技術(shù)改造,都要根據(jù)SDN實(shí)際出發(fā),面向SDN的網(wǎng)絡(luò)應(yīng)用交付技術(shù)的改造也同樣如此,需要綜合考慮以上幾個(gè)方面,這樣才能成功完成改造。
京公網(wǎng)安備 11010502049343號