2024年5月10日发(作者:)
1、 SDN提出背景
大型企业网络信息化主要包括网络、安全、数据中心、备份中心和运维管理
中心等几个部分,通过传统路由器、交换机、服务器和终端构成,主要采用 IPv4通信协
议,实现了企业内部的信息交互,但在开展企业内部协同设计和协同试验过程中还存在一些
问题,主要表现在以下几个方面:
1.1通信网络部署问题
企业网络链路大部分租用电信 SDH 线路,静态路由,拓扑不可变,缺乏动态的资源接纳
控制及机动控制能力。新业务应用可能基于 NGN 的技术体制,实现多业务、宽带化、分组
化、开放性、移动性、兼容性、安全性、可管理的网络需求,采用分组技术的综合开放的网
络架构。
由于业务和网络分离,大型企业网络的配置是通过命令行等方法进行人工配置的,其本
身是个静态网络,固定之后不能经常按照用户需求改变,当需要在企业网上开展系统试验时,
会经常需要网络及时做出调整,就显得非常低效,也有可能无法实现。
1.2安全管理问题
随着企业应用的深入与变化,对企业网络的安全要求越来越高。现有的安全保密措施已
逐渐落后,安全管理流程复杂、处理性能不足,难以实现资源的安全、灵活、有效分配,无法
满足企业对资源可信、可控、可管的要求,以及在大容量、高带宽、多业务的协同设计和协
同试验的安全保障需求。
其主要问题如下:
1)支持安全接入的方式不灵活,不能实现动态资源的动态分配和调整。
2)远程传输加密开销过大,远程传输采用双层加密措施,存在效率低下、故障不易
定位等问题,无法满足新业务应用的多应用、多协议、高带宽、多种接入方式
的要求。
3)安全防护的灵活性不足,与企业网络配合的安全管理审批流程复杂、灵活性不
足,不能满足协同试验验证的接入、退出、变更的灵活性的要求。
4)安全防护的整体调度能力不足,无法实现各种安全资源的统一配置。
1.3运维管理效率低
面对大型企业大量不同年代、不同厂家、不同设备的采购、设计、集成、部署、维护
运行、升级改造,其运行维护成本高、效率低。
大型企业网络主要包括基础网络系统、安全保密系统、数据中心、灾备中心及运维管
理中心几个组成部分,这些由大量的路由器、交换机、服务器等构成,对于故障定位是一件非
常困难的事情,且很多故障或错误是由人的误操作导致的,因此需要大型企业网络能够具有
智能管理手段。尤其是网络管理被普遍认为是当前所面临的最严峻的挑战之一,网络管理的
根源都是相同的,即需要维持路由器和交换机等的物理和逻辑配置的一致性。
1.4资源利用率低
大型企业很多情况下由传统网络、安全保密系统、数据中心、灾备中心及运维管理系
统等几部分构成,但目前传统网络无法支持云的定制网络实时生效,难以形成多层网络的协
同沟通,难以根据业务需求自动调整网络带宽,以致网络资源利用率比较低,难以满足大型产
品的协同设计及大型系统的协同测试试验验证等
2、 SDN概念、架构、特点
软件定义网络(SDN)是一种软件集中控制、网络开放的三层体系架构,如图(1)
所示。应用层实现对网络业务的呈现和网络模型的抽象;控制层实现网络操作系统功能,
集中管理网络资源;转发层实现分组交换功能。应用层与控制层之问的北向接口是网络开
放的核心,控制层的产生实现了控制面与转发面的分离,是集中控制的基础。
图(1) SDN网络架构
SDN最主要的特征就是数据转发和控制分离,同时还具有网络虚拟化和开放接口等特
征。
数据转发和控制分离:将基础硬件与业务实现分离,其硬件仅负责数据转发和存储,因此
可以采用相对廉价的通用设备构建网络基础设施。且将控制与转发分离后,更利于网络的
集中控制,使得控制层获得网络资源的全局信息,并根据业务需求进行资源的全局调配和
优化,例如流量工程、负载均衡等。同时,集中控制还使得,整个网络可在逻辑上,被视
作是一台设备进行运行和维护,无需对物理设备进行现场配置,从而提升了网络控制的便
捷性
网络虚拟化:通过南向接口的统一和开放,屏蔽了底层物理转发设备的差异,实现了
底层网络对上层应用的透明化。逻辑网络和物理网络分离后,逻辑网络可以根据业务需要
进行配置、迁移,不再受具体设备物理位置的限制。
开放接口:通过开放的南向和北向接口,能够实现应用和网络的无缝集成,使得应用
能告知网络如何运行,才能更好的满足应用的需求,比如网络的带宽、时延需求,计费对
路由的影响等。另外,支持用户基于开放接口,自行开发网络业务并调用资源,加快新业
务的上线周期。
SDN带来的最大价值是提高了全网资源使用效率,提升了网络虚拟化能力并加速了网
络创新。集中部署的控制层可完成拓扑管理、资源统计、路由计算、配置下发等功能,获
得全网资源使用情况,隔离不同用户问的虚拟网络。应用层通过开放的北向接口获取网络
信息,采用软件算法优化、网络资源调度,提高全网的使用率和网络质量,同时将虚拟网
络配置的能力开放给用户。满足用户按需调整网络的需求,实现网络服务虚拟化。分层的
架构加速了各层分别进行创新。
理解
从本质上来说,SDN的提出,是为了应对当前网络中面临的扩展困难,灵活性不够等
发展瓶颈问题,其主要目的是简化网络配置、管理,促进网络向动态灵活的方向演化,而
并非主要是为了网络性能的提升,甚至在对网络进行高度抽象、虚拟化后,会带来部分性
能的下降。从很大程度上来说,目前人们对网络的需求,传统的网络不是不能满足,只是
时间、资金问题而已,但这样代价太大,而且发展缓慢,为了摆脱这一困境,SDN应运而
生。
如前所述,SDN带来的是网络配置、管理的简化,和更加灵活高效的发展方向,新的
管控策略可以迅速得到实施,就像在电脑或者手机上安装应用程序一样,方便快捷。因此,
如果有好的更加有效的管控策略,在SDN网络中可以很容易进行部署;而当用户对网络提
出新的需求时,也可以很快的部署相应的应用。因为这一切都是软件定义的,用户甚至可
以利用网络资源,去构建自己所需要的应用,而不必受厂商的束缚。
3、 SDN校园网架构,应用场景(可加入有线、无线的融合,以及NFV、网络虚拟
化,物联网、车联网、传感网等概念)
一般地,校园网从结构上看,可分为三层:核心交换层、汇聚层和接入层,如图(2)
所示,通过各层的交换机和路由器组成整个网络。校园网具有有线、无线共存,无线网中
WLAN、2G/3G/4G、及adhoc网络普遍存在等特点,故而是一个异构网络,由于接入方
式不同、运行着不同的协议,无法进行统一管理,且各个部门、场所对网络的需求不同,
使得管理复杂,运维成本较高,而且难于扩展,灵活性不够高。表现在,改变网络配置需
要花费冗长的时间,对每个网络设备进行单独配置,在配置时还往往需要使用专门的配置
软件,或者命令行接口(CLI);而如果需要对设备本身进行更改,来支持客户自己开发的
协议,几乎是不可能的,因为各个厂商的设备是不开源的,这就需要设备厂商根据客户需
求来定制设备,这也会花费大量时间。
当前一些组织、公司已经开始研究新的WLAN控制器(AC)、无线接入点(AP)、VLANs
(用于2层隔离)、虚拟路由转发(VRF)(用于3层隔离)等,以期能够解决目前校园网
中面临的问题,这些方法、技术或许能够针对某些特定场景,进行改进提升,但扩展性和
灵活性不足。
图(2)校园网典型架构
而将SDN技术引入校园网,可以很好地解决流量隔离和统一管理等问题,通过将控制、
管理、和服务从数据平面分离出来,OpenFlow可以简化校园网络配置,并增加其灵活性,
如:
快速的业务部署和关闭:通过网络虚拟化技术,可以做到新业务的快速部署,和被淘
汰业务的关闭,而且不会影响到其他的逻辑网络。
增强业务的健壮性:由于控制层面拥有全局视图,可以很容易为某一业务计算出备用
链路,或者应急策略,这使得当网络拓扑变化时,业务能很快的响应。
逻辑网络的业务隔离:通过对逻辑网络的分片隔离,SDN网络能很好地在2层和3层
对虚拟网络进行隔离,从而提高网络的安全性。
优化资源分配:由于管理、服务和应用都被虚拟化了,通过对虚拟化的资源进行统一
分配管理,可以最大化资源(计算、存储、带宽等)利用率,同时最小化空间、能量消耗
率。
通过将校园网虚拟化成网络分片,控制器可以对流表或组表,进行细粒度的控制。例
如,可以针对不同的部门,不同的接入方式(有线、无线)设置不同的接入控制策略,而
且,这些策略可以很容易进行强化。
SDN校园网架构如图(3)所示,整个校园网分为三层:应用层、控制层、基础设施
层。整个校区部署多台SDN云平台,用于运行各种应用(如存储、计算等),并协调各个
控制器的工作。各个部门(或楼区)部署两台以上控制器(留一台用做备份),控制器通过
南向接口(如OpenFlow),获取全网视图、和各个SDN交换机(有线、无线SDN交换
机)的状态,并经过虚拟映射后,通过北向接口向应用层提供资源,同时控制器还负责整
个网络的管理、监控。RADIUS服务器和Portal服务器,负责用户接入网络时进行认证。
各部门(楼区)之间通过SDN汇聚交换机连接,并根据需要连接到Internet(某些
部门由于特殊原因,如保密单位,是不需要接入Internet的),各控制器之间通过东西向
接口进行连接,以交换各自网络状态和信息,实现跨域协作(如不同的校区之间,或楼区
之间),从而为用户提供一个无缝的网络服务。
应用层
SDN云平台
(OpenStack)
SDN控制器
(Floodlight)
控制层
RADIUS
服务器
Portal
服务器
SDN控制器
(Floodlight)
Portal
服务器
RADIUS
服务器
SDN汇聚交换机
基础设施层
SDN交换机
SDN汇聚交换机
Internet
SDN交换机
宽带网关
(BNG)
SDN无线交换机
SDN无线交换机
USER
USER
图(3)SDN校园网架构
用例一:智能校园网
SDN网络对网络策略和业务负载的变化是动态调整的,不需要网管进行手动配置,具
有很好的灵活性和扩展性,而且,通过将物联网、车联网、传感网等引入SDN校园网,可
将人与物、物与物相联,实现信息化、远程管理控制和智能化的网络(注:这几个概念互
有重叠,但侧重点不同)。
注:目前对SDN在物联网、车联网、传感网中的应用都有人在研究,这方面调研不
多,还需深入调研。
用例二:无缝接入
目前,校园网由于本身为异构的,且设备多样,很难为用户提供无缝服务体验(无缝
接入、切换),实现用户不论使用何种接入方式,都能获得统一的服务体验,也很难做到对
业务内容进行感知。
通常,为了保证安全并限制外来人员接入校园网,校园网在设计时,都会采用相应的
认证机制(如802.1x),老师和学生使用拿到的账号密码,通过认证后接入网络。在认证
时,有线端通常使用专门的认证客户端(如inode或者锐捷等),无线端一般是利用portal
服务器推送认证界面,用户输入正确的账号密码后,完成认证。该方法较为繁琐,用户每
次上网前都必须手动进行认证,对于用户来说,是比较无聊的。而无缝接入的目的,一是
使得用户随时随地都能享受到较好的网络体验,而不需要去进行频繁的认证;二是在移动
环境下,用户使用移动设备时,也能进行“无缝漫游”,使用户不论使用何种接入方式,都
能获得统一的上网体验。
用例三:业务流量隔离
一般来说,校园网需要为不同的人群提供服务,如老师、学生、医疗人员、图书管理
员、保卫人员等等。由于上网需求不同,业务类型不同,需要为这些用户制定不同的流量
策略,而为了保证这些策略不会相互干扰(如当学生接入到财务处的网络时,要保证其拥
有与工作人员不同的访问权限,从而不会干扰工作人员办公,并确保安全),就需要对不同
的用户人群设定不同的策略,从逻辑上将其隔离。
目前,通过MPLS和VRF技术,可以将校园网从逻辑上,划分为不同的逻辑网络,然
而其配置过程十分繁杂,耗时较长,而且其配置是静态的,难以动态调整。而利用SDN技
术,可以在控制器端,很便捷的将网络划分为,逻辑上互相隔离的子网,而这一过程可能
只需花费数分钟的时间。并且,通过强化SDN交换机上的安全策略,可以有效地限制各个
逻辑子网之间的通信。
更多用例:如负载均衡、流量工程、校园网安全策略、应用感知、简化管理、业务卸
载等
4、 SDN企业级WLAN网络架构,应用:移动性管理(其中无缝切换研究最多)、
干扰管理、负载均衡、功率控制等研究
由于移动设备入网方便,移动业务迅速发展,人们对无线接入的需求持续增
长,目前的WLAN网络为了保证服务质量(QoS),需要部署大量的无线接入点(APs),
WLAN控制器(ACs),网络管理系统,以及各种服务。这些服务包括接入控制、移动性管
理、负载均衡、动态信道配置等等。目前,各大厂家对于这些服务,都有相应的解决方案,
但这些方案大多数使用专有设备、是封闭的、而且价格昂贵,从而限制了网络的灵活性,
和扩展性。而随着用户规模的迅速扩大,业务类型和业务数据的爆炸式增长,以及各种新
应用的不断出现,现在的WLAN网络,尤其是企业级WLAN网络,必须进行创新和改进。
如前所述,目前WLAN网络中面临的问题,大多数利用传统的技术可以得到解决,但
不够灵活,扩展性不高,不利于网络的升级。为了更加有效的配置、管理WLAN网络,使
网络向灵活高效的方向发展,我们将SDN技术引入企业级WLAN网络,以期能够更加灵
活地为用户提供更好的服务。
图(4)“AC+AP”模式的WLAN网络架构
图(4)所示为典型的“AC+AP”模式的WLAN网络架构,该架构下,AP通过有线
网相互连接,网络中分布有多个AC,用以管控这些AP,如果添加新的业务,就需要对所
有的AP进行升级改造,这是十分繁琐,而且开销较大。
而且,当前的WLAN网络并未考虑APs与有线网的协同,尽管AC通常是嵌入到交
换机或者路由器中,充当APs与外网的“网关”,但控制AP的功能与网关的功能(如交换、
路由)是单独实现的,ACs也无法做到对其他路由器、交换机的控制(也就是除了APs之
外的其他网元设备)。
SDN企业级WLAN类似于前面所说校园网架构,此处从略,下面重点说明无线SDN
的概念。
所谓SDN,就是用软件来定义网络的行为,其特点是网络虚拟化、可编程、控制转发
分离,对应到无线网络(此处只针对WLAN网络),需要额外考虑无线信道这一因素,将
其拉入软件定义的范畴。无线SDN的目标就是能集中地、动态的、实时地对无线信道进行
监控、管理,充分利用信道资源。
为了使控制器能实时获得各个AP的信道状态,就需要对传统的AP进行改造,一方面,
要使其支持OpenFlow协议,另一方面,还需要使其能实时与控制器进行交互,及时上报
本机状态,这一点可通过扩展OpenFlow协议实现,也可通过使用传统协议(如RPC)来
实现。
OVS
有线网卡
虚拟网桥
openWRT
无线网卡
图(5)SDNAP结构图
图(5)所示,为适用于无线SDN网络中的AP的构成图,openWRT是一款开源的
嵌入式Linux系统,支持自由定制各种所需软件,在此作为AP的操作系统;OVS
(openvswitch的简称)是一款支持OpenFlow协议的虚拟交换机,将OVS编译到
openWRT中,即可使AP支持OpenFlow协议;而通过将AP的有线、无线网卡挂载到
OVS虚拟出来的网桥上,就可将AP配置成SDN无线交换机(简称SDNAP)。
OpenFlow协议中规定,控制器可以通过下发获取配置消息,来获得交换机的状态(如
端口状态),而在SDN无线网中,由于OpenFlow协议并未针对无线网设置相关匹配项和
条目,控制器无法直接对无线网卡进行配置,及获取其状态信息,这就需要增加OpenFlow
流表条目,或者另外开辟一条通道,用于控制器对无线网卡进行配置,并获取其状态信息。
第一种方案,需要将无线网卡的发射功率、信道数、开关状态等信息加入到流表的匹
配项中,形成SDN无线流表,同时需要在openWRT中,添加转换接口,把控制器下发
的流表解析成openWRT中可识别指令,从而获取、改变无线网卡的工作状态。该方案需
要对openWRT作深入开发,同时需要修改openflow流表项。
第二种方案,不需要对OpenFlow流表做任何改动,只需要在控制器和AP之间另建
一条通道,用于控制器获取、配置无线网卡信息,如目前采用的RPC方式,通过在AP中
开启RPC服务,控制器可以在远端获取并配置无线网卡。
以上两种方案各有千秋,前者岁开发难度较大,但更为方便,只需要简单的下发流表,
就可对AP的无线网卡进行配置、管理;后者,更像是一个叠加的策略,控制端进行配置
管理时会麻烦一些,而且会额外的占用较多带宽资源
发布评论