SDN分析

WHY

一切来自于不同需求

l 网络设计人员及对网络不熟悉IT人员的烦恼，已经有太多的网络协议，5400多篇RFC和成千上万的代码，复杂，非网络的业内人士无从下手。

l 提升企业网的网络安全性，降低网络管理的复杂度。目前网络设备只能通过CLI、SNMP方式做有限管理（很多MIB还是厂商私有，而且功能有限）。

l 高校研究者的网络创新可以在校园网上实验而不必求助于设备提供商。目前各个网络设备厂商提供的系统封闭，网络系统不可扩展。

l 大型网络如数据中心对网络需求日新月异。比如传统网络是南北走向，不适应于东西走向。又比如TRILL协议标准化用了7年。用户希望能网络特性增加能和自己修改软件特性一样快捷。

总之，现有网络不灵活，没有弹性。Yahoo的CTO RaymieStata曾把复杂的电脑网路比喻为类似华容道的游戏，玩家必须在一个只容16片板子的方形框架内将15片能够滑动的板子移动到定位。Stata表示，当使用者变更网路时，经常会遇到一定要把硬件设备本身重新配置部署的情况。

SDN

SDN(SoftwareDefined Network)软件定义网络是指控制面和转发面解耦合的并可编程的网络架构。动态，可扩展，不改变现有硬件。另外一种说法是，SDN是网络设备与控制他们软件之间关系的一种重构，相当于把模块化应用到网络上。

l 应用层：指用控制器实现安全、管理和其他特殊功能的程序。例如，负责建设软件定义网络的网络架构师可以在控制器上部署虚拟负载均衡、虚拟入侵防御系统(IDS)或虚拟防火墙等应用程序。

l 控制层：通过转发流量的网络设备了解容量和需求等企业信息，它们启动和中止流量。类似于智能手机的操作系统。目前控制器有BigSwitch的Floodlight，这是开源的控制器；还有就是 Nicira，使用OpenFlow协议，但基本上属于封闭的。尚不清楚未来这两家谁会一统江湖，或者不是会有新的竞争者脱颖而出。

l 基础设施层：指物理网络设备，包括以太网交换机和路由器。

通过SDN

l 网络管理员和用户可以实现对“控制面”的远程访问，特别是为了在网络控制面上提供安全访问可以使用“基于角色的访问系统”（RBAC）。

l 研究者可以将网络设备的转发行为原语化，全部交由外部的计算机控制，研究者可以在基于通用操作系统的计算机上编程实现新的网络协议和转发行为，而不必修改转发面设备本身。

l 工程师可以自己编程实现任何想要的网络特性，而不必去走提需求、标准化、测试、入网的冗长流程。完成了网络从“可配置”到“可编程”的转变。

l 可以对整个网络进行编程，将储存及应用等新业务紧密绑定到网络设备上。

l 在规模上限不是很大规模的情况下，通过SDN而实现的集中控制的系统简单而高效，比如企业网、数据中心、局部接入网络。

OpenFlow

OpenFlow是SDN体系下第一个控制面与数据面之间的标准通讯接口，目前已经发展到1.3版本, 该阵营包括了HP、IBM、NEC等。

每个OpenFlow交换机（switch）都有一张流表，进行包查找和转发。交换机可以通过 OpenFlow协议经一个安全通道连接到外部控制器（controller），对流表进行查询和管理。下图展示了这一过程。

按C/S架构理解，交换机设备就相当于作为OpenFlow client，控制器相当于OpenFlow的server。该协议的本质就是实现一个流表原语，类似于ACL，根据通配符表项来决定一个流的行为（如交换、路由、丢弃、修改，送控制面）。

这种控制和转发分离的架构对于L2交换设备而言，意味着MAC地址的学习由Controller来实现，V-LAN和基本的L3路由配置也由Controller下发给交换机。对于L3设备，各类IGP/EGP路由运行在Controller之上，Controller根据需要下发给相应的路由器。流表的下发可以是主动的，也可以是被动的，主动模式下，Controller将自己收集的流表信息主动下发给网络设备，随后网络设备可以直接根据流表进行转发；被动模式是指网络设备收到一个报文没有匹配的流表（FlowTable）记录时，将该报文转发给Controller，由后者进行决策该如何转发，并下发相应的流表。OpenFlow的流表形式如下图所示

优点：粒度小，可以细化到诸如L4端口级别；安全，使用SSL。

缺点：实际操作难度还是比较大，全分布式算法复杂。如何减少FlowTable尺寸也将是OpenFlow体系面临的一个极大问题，此外，TCAM体系下FlowTable记录的动态插入算法将更为复杂。连接及流表建立速度受到controller影响。

目前已经出来的产品有IBM RackSwitch G8264（原BLADE），OpenFlow 版本1.0.0，可以配合控制面NEC pFlow, BigSwitchFloodlight。芯片厂商们也开始认真地支持OpenFlow，包括国内芯片厂商盛科。

OpenFlow软件工程列表

http://yuba.stanford.edu/~casado/of-sw.html

一个实际模拟环境

http://www.openflow.org/wk/index.php/OpenFlow_Tutorial

Cisco

思科投入1亿美元于一个内部创业公司Insieme，专注于SDN产品研发。知情人士透露Nexus 1000v虚拟交换机将可能是思科SDN控制器产品的第一炮。

有分析认为思科试图在构建自己的SDN，其中ConnectedApps团队正在开发SDK，它似乎是此类API接口的基础，并且看起来会有OpenFlow和 SDN版本。思科也在试图为第三方开发者提供IOS和NX-OS的编程接口。

另外一方面，思科认为不是所有人都喜欢可编程性，Network不是消费类产业，对人类社会而言不是承载最终使用价值的功能性产品，没有消费者会去关心网络的App，而在产业圈子里，集中管理和订制化能力将是SDN的竞争优势，不会有Network的通用AppStore。

其他的想法及评论

ForCES

Forwarding andControl Element Separation的简称，致力于转发件和控制件的分离，ForCES协议对转发和控制面的信息交互进行了标准化。ForCES的目标是打破网络件的封闭性。分离转发和控制件，自然就要定义他们的开放的通信接口。使用ForCES网络设备的控制件（CE）和转发件（FE）可以独立发展，只要它们支持ForCES协议。这样，网络设备的发展将会加快。

对应标准见：http://tools.ietf.org/html/rfc5810

为什么SDN没有选择ForCES？

1． ForCES设计初衷在于设备的转发控制分离，侧重于现有功能的建模，而不是用来创造新的网络特性。

2．推进者的力量不同，ForCES由Intel发起，但是随后其卖出了NP，再无推进的决心。

DVNI

2012年4月，Nicira Networks发布了一种新型网络虚拟化架构和软件，宣布将复制VMware在服务器领域的成功。

Nicira的分布式虚拟网络基础架构（DVNI）是一种网络虚拟化解决方案，它的智能部分位于网络边缘。它通过软件定义网络进行控制，允许创建与硬件完全独立的逻辑网络。OpenFlow解决方案也在尝试模拟相同的事情，但是它们必须使用OpenFlow硬件。

Open vSwitch是智能边缘的核心组成。Nicira是Open vSwitch的主要推动者。这种智能可以在服务器的Open vSwitch中，也可以在顶级机架上。

Open vSwitch主要针对的是虚拟机上服务器（虽然也可以嵌入在交换机中），并且要看EVB标准化形势，和硬件交换机孰优孰劣还没定论。

Netscape创始人马克·安德森(Marc Andreessen)，在《软件正在吞噬整个世界》中称，当今的软件应用无所不在并且正在吞噬整个世界。

ZK Research的首席分析师Zeus Kerravala说：“我现在还不确定，单纯使用OpenFlow，能够实现什么样不同的结果。软件定义网络的大多数功能都可以通过其他方法实现。思科有FabricPath，Arista也有相应的产品。我还不确定OpenFlow是否就是解决问题的正确方法。”

Russellw（网名，中国，公司不明，参加过2次open networksummit）：SDN凭借在DC的成功，可能会慢慢蚕食边缘交换机&路由器市场，这里市场份额达到两位数包括Cisco、Juniper、Alu、华为，如果其它公司的以太网产品可以凭借SDN改善解决方案的可运营管理特性，搭载No.1的SDN NOS，那么这个市场将完全可能重新洗牌。