1.SDN提出的背景及其概念

　　近幾年，隨著移動互聯網?電子商務?大數據等服務的興起和發展，以及虛擬化、云計算技術的快速發展，傳統網絡技術及架構已經越來越不能滿足快速配置、按需調用、自動負載均衡的要求。基于這種背景，SDN(Software Defined Networking)軟件定義的網絡被提出并作為軟件定義數據中心的重要一部分。SDN是一種新型的網絡架構，它的設計理念是將網絡的控制平面與數據轉發平面進行分離，支持集中化的網絡狀態控制，實現底層網絡設施對上層應用的透明。SDN具有靈活的編程能力，使得網絡的自動化管理和控制能力獲得空前的提升，能夠有效地解決當前網絡所面臨的資源規模擴展受限，組網靈活性差，難以快速滿足業務需求等問題。

　　2.SDN 研究機構及其參考架構

　　目前業界主要有以下幾種SDN定義參考架構，分別是目前基于領導地位的ONF架構，和由IT巨頭思科、Juniper、IBM、微軟參與的OpenDaylight開源項目提出的OpenDaylight架構,以及ETSI ISG及其參考架構。

　　2.1 ONF 及其架構定義

　　成立于2011年3月份的開放網絡基金會ONF(Open Networking Foundation)主要致力于推動SDN架構、技術的規范和發展工作。是目前SND標準化技術的引領者，其提出并倡導的以Openflow為基礎的網絡架構首次系統的闡述了SDN架構以及一些應用場景，為SDN的發展奠定了重要基礎。

圖1 ONF提出的SDN架構

　　如圖1所示，ONF提出的SDN的典型架構分為三層：分為最上層的應用層?中間的控制層和最下層的基礎設施層。 應用層包括各種不同的業務和應用，根據業務和應用的需求可以通過API(按照接口和控制層的關系，此API稱作北向接口)管理和控制網絡的轉發/處理的策略，通過北向接口也支持對網絡屬性的配置實現提升網絡利用率、保障特定應用的安全和服務質量;控制層主要負責處理數據轉發資源的抽象信息，支持網絡拓撲、狀態信息的匯總和維護，并基于業務和應用的控制來調用不同的轉發面的資源;基礎設施層負責基于業務的流表的數據處理、轉發和狀態收集。介于控制器和基礎設施層之間的接口被稱作南向接口，ONF在南向接口上定義了開放的OpenFlow標準，而在北向接口上還沒有做統一要求。ONF將SDN網絡架構劃分為應用層？控制層？基礎設施層，改變了傳統網絡中設備的轉發與控制平面精密耦合關系。Openflow作為控制數據平面接口協議，目前已從1.0升級到1.3版本，已有思科、Juniper、Dell、HP等眾多廠商的設備支持。Openflow是目前SDN體系架構中標準化程度最高，產品最接近商用的技術，在一些領域甚至成為了SDN的代名詞。

    2.2 OpenDaylight項目及其架構定義

　　2013年4月8日，OpenDaylight開源項目被推出，其參與者主要來自業界主要的大牌的硬件廠商和傳統的IT巨頭，包括思科、Juniper、IBM、微軟、VMware等。

圖2 Opendaylight提出的SDN架構

　　從圖2可以看出，Opendaylight提出的SDN架構跟ONF SDN架構類似，主要包括最下層數據平面層包括虛擬交換機，物理設備接口等。支持Openflow等協議的南向接口；中間控制層平臺和相應的基于REST的API北向接口；與ONF應用層對應的網絡應用和服務層。相比于ONF SDN架構以OpenFlow 協議為基礎，并將其作為架構中的唯一的南向接口協議，OpenDaylight開源項目，在南向接口方面除了OpenFlow之外還有更豐富的選擇。

　　2.3 ETSI NFV 介紹

　　歐洲電信標準協會(ETSI)(European Telecommunications Standards Institute)是由歐共體1988年批準成立的一個非盈利的電信標準化組織。 ETSI于2012年11月成立了專門用于討論NFV(Network Function Virtualization)網絡功能虛擬化的ISG(Industry Specification Group，行業規范小組)。 

    從圖3可以看出，ESTI NFV架構跟ONF SDN架構類似，實現了數據轉發平面和控制平面的分離，并在控制平面之上提出了編排系統層。 相比于ONF SDN架構，NFV定義架構增加了E2E(End to End)網絡控制層，能夠對多數據中心不同技術進行融合。 ETSI NFV的重點是網絡功能的虛擬化，NFV的目標主要是希望通過廣泛采用標準化的IT虛擬化技術，采用業界標準的大容量服務器、存儲和交換機承載各種各樣的網絡軟件功能，實現軟件的靈活加載，實現在數據中心、網絡節點和用戶端等各個位置靈活的部署配置，從而加快網絡部署和調整的速度，降低業務部署的復雜度，提高網絡設備的統一化、通用化、適配性等，最終降低網絡的投資和運營成本。

    3.SDN主要的特點

　　從上面幾個架構中可以看出，SDN目前在業界普遍認可的有以下幾大特征：

　　1.控制平面與數據平面的分離，使得分布式系統得到集中控制。邏輯上集中的控制能夠支持獲得網絡資源的全局信息并根據業務需求進行資源的全局調配和優化。同時集中控制無須對物理設備進行現場配置，提升網絡控制的便捷性。

　　2.開放的數據平面控制協議，使得交換設備商品化，避免廠商鎖定，屏蔽了底層物理轉發設備的差異。

　　3.開放的控制平面管理接口，通過開放的南向和北向接口，能夠實現網絡和具體應用的無縫集成，使得網絡實時動態的滿足應用的需求成為可能。另外基于開放接口通過自行開發網絡業務，加快新業務的上線周期。

　　4.SDN解決方案

　　隨著SDN的提出和各種標準的建立，各大廠商也開始推出他們的SDN解決方案。專注于虛擬化的VMware在2012年斥資12億美元收購了Nicira隨之推出了它的NSX解決方案;網絡巨頭思科也推出了ACI 以支持其開放式網絡環境(ONE)策略。而正在實施戰略轉型，希望完成從硬件制作到服務業轉型，成為一體化行業解決方案服務商的IBM，在SDN方面也有著深厚的積累。2011年IBM就已經開始開發他的分布式疊加虛擬以太網(DOVE)解決方案。在DOVE架構的基礎之上，2013年3月IBM推出了“用于虛擬環境的IBM 軟件定義網絡”(IBM SDN VE)解決方案。IBM SDN VE 是采用Opendaylight項目提出的參考架構的實現。

　　讓我們基于IBM SDN VE來了解一下一個具有代表性的SDN解決方案。

    4.1 IBM SDN VE解決方案總覽

　　IBM SDN VE是一種分布式的疊加型虛擬網絡，它可以利用現有的物理網絡，而無需對物理網絡基礎架構進行任何更改。此解決方案可用于VMware環境，也可用于KVM環境。可以使用IBM SDN VE的KVM版構建開源的云計算方案中的SDN網絡。

圖4 IBM SDN VE總覽圖

　　圖4是IBM SDN VE的總覽圖，中間的菱形框內是SDN VE的虛擬網絡環境，在這個虛擬網絡環境中可以創建多個虛擬網絡。虛擬網絡之間的通信由SDN VE網關負責轉發。網關同時負責跨IDC的相同虛擬網絡之間的流量轉發，這個過程可以理解為在一端的網關將虛擬網絡的分組先以一定格式封裝(通常是VXLAN封裝)，然后再通過傳統的IP網絡向對端傳送，對端以相應方式解開封裝并且轉發到相應的虛擬網絡內。SDN VE通過RESTful和Neutron的標準提供了北向接口以提供給OpenStack等應用程序來控制和定義虛擬網絡。

　　4.2 IBM SDN的構成部件

　　IBM SDN VE通過一些分離的部件來完成軟件定義網絡的原則和構想，這些部件對傳統的交換機控制平面和數據轉發平面在虛擬的疊加網絡環境中進行了仿真。

　　圖5表示了IBM SDN VE各部件之間的邏輯關系，同時說明了這些部件是如何與“底層網絡”即現有的物理網絡之間產生關系。畫面中心的“DOVE Overlay”網絡是整個解決方案的基礎，它實現了虛擬機(VM)之間實現透明的通信而不需要關心虛擬機之間的“底層網絡”基礎設施，同時它的存在也實現了可以不對“底層網絡”做任何的修改就可以以疊加的方式實現SDN。

圖5 IBM SDN VE部件關系圖

    在這里，我們不需要關心我們是使用VMware平臺還是KVM虛擬化平臺，在不同的平臺之上這些IBM SDN VE部件的功能是相似的。

    IBM SDN VE解決方案使用了4個軟件部件協同工作來提供高效率的網絡虛擬化。

　　DOVE管理控制臺

　　DOVE管理控制臺(DMC)是用于控制IBM SDN VE配置的中心點。它配置各個虛擬網絡、進行策略控制并且向各個虛擬交換機分發策略。它同時也可以幫助管理員對某個虛擬網絡進行管理。DOVE管理控制臺作為一個虛擬應用器件運行。

　　分布式連通性服務

　　分布式連通性服務(DCS)將虛擬機的地址分發到所有參與到SDN VE虛擬網絡中的虛擬交換機。分布式連通性服務會配置對應的虛擬網絡、進行策略控制并且向各個虛擬交換機分發策略。DCS服務作為一個虛擬應用器件的集群進行部署，從而提供比傳統網絡控制平臺更高的伸縮性和可靠性。

　　DOVE網關

　　DOVE網關是一種特殊的應用器件，它將SDN VE疊加層網絡環境與非SDN VE疊加層網絡環境連接起來。這包括了將SDN VE上的虛擬機與公共網絡連接，也包括了使SDN VE環境與遺留在非疊加層的傳統網絡上運行的硬件和軟件進行交互，比如說一些不能被遷移到SDN VE環境中的物理主機、管理工具和物理防火墻等網絡器件。

　　SDN VE提供了2種網關：分布式VLAN網關和分布式外部網關。

　　分布式VLAN網關負責在疊加網絡上不同的2層網絡(VLAN)之間進行數據轉發。

　　分布式外部網關使SDN VE域中的虛擬機可以與外部非SDN VE/DOVE的系統進行通信，也可以使用外部系統能夠訪問SDN VE內部的虛擬機，同時也可以使在策略分配上位于不同SDN VE域的虛擬機之間實現通信。

　　目前DOVE網關也是以軟件方式發布，基于硬件交換機的DOVE網關已經在計劃之中。

　　5000V主機模塊

　　5000V主機模塊是運行在VMware hypervisor之上的軟件，是5000V分布式虛擬交換機的組成部分。它基于UDP VXLAN疊加層提供了2層和3層的網絡虛擬化，實現了虛擬網絡的數據通路。虛擬交換機同時也處理一些控制平臺的功能來支持虛擬機地址的自動發現，虛擬機遷移及網絡策略配置。

　　KVM不使用5000V主機模塊，取而代之的是一個運行在每一臺hypervisor上的DOVE代理進程，這個代理進程直接偵聽分布式連通性服務(DCS)，同時也負責創建獨立的橋接接口，這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。

　　4.3 統一控制器

　　統一控制器(Unified Controller)是一個網絡業務流程平臺，它向應用層抽象了一個網絡的整體視圖，通過該視圖可基于軟件獲取網絡能力和其它服務。

　　統一控制器是SDN VE新加入的一個特性，之所以稱之為“統一”，是因為它可以控制SDN VE的各種版本，包括VMware版本和KVM版本，還包括未來可以控制Openflow硬件交換機的Openflow版本，統一控制器提供了以下的服務：

　　1.提供了管理員界面DOVE管理控制臺(DMC)的可視化和控制操作。

　　2.靜態的DOVE配置，如：域的配置、虛擬網絡的配置、策略的配置等。

　　3.向應用層提供北向API接口。

　　4.網關的配置和管理。

　　5.為控制器和第三方管理軟件的通信提供了外部接口，為控制器和SDN VE各部件間的通信提供了接口。

　　在當前的數據中心，越來越多的服務提供者已經不僅僅只依賴網絡拓撲、網絡狀態和策略了，他們還依賴于運行于物理主機內的hypervisor軟件。管理員需要定義靈活的、具有安全策略的、位置無關的和其它復雜的模式以用于多層的、可擴展的及高密度的基礎架構。這就需要一種服務能夠輔助他們快速地部署新的網絡功能并且管理和控制它們。

　　統一控制器的目的就在于在SDN VE內提供一個統一的網絡業務流程平臺，同時提供豐富的API，這些API可以用來操作統一控制器。圖6顯示了統一控制器的概覽。

圖6 統一控制器概覽

　　統一控制器從每個SDN VE vSwitch、分布式連通性服務(DCS)和DOVE網關收集日志和統計信息，因此它是整個SDN VE部署環境的日志的狀態信息的中心。

　　由于SDN VE環境是一個大型的分布式系統，統一控制器為虛擬化管理員提供了獲取整個系統統計信息的功能。比如說：與物理交換機一樣可以取得包計數和錯誤計數等。

    4.4 VXLAN溝通底層網絡與疊加網絡

　　之前說明過，使用疊加網絡方案的好處就是可以在不修改現有的物理網絡架構(底層網絡)的情況之下提供網絡虛擬化服務。疊加網絡和底層網絡之間的通信依賴于某種封裝協議，IBM SDN VE采用了VXLAN來實現。圖7是SDN VE解決方案中使用的VXLAN幀結構圖。

圖7 SDN VE解決方案中使用的VXLAN幀結構

　　VNID是一個24位的標識符用以標識源IP子網，和傳統的VLAN使用12位的標識符只能支持4096個網段相比，VXLAN可以支持到最多1600萬個網段。當一個VM發送了一個幀，用VNID封裝這個幀之后就可以在傳統的三層網絡上創建一個穿越第三層的隧道將這個幀傳輸出去。在圖4-4中藍色部分的外部UDP頭中包含了VTEP(VXLAN隧道端點)源端口和目標端口，外部IP頭中包含了VTEP的IP，外部以太網頭部中包含了源VTEP的源MAC地址和目標VTEP的目標MAC地址。圖中綠色部分是內部以太網幀，這是最初由VM發出的包含VM的MAC地址和IP源地址和目標地址的幀，正是這個幀被封裝起來在VXLAN隧道中傳輸。

　　5.SDN的應用和展望

　　5.1 IBM SDN VE在Openstack中的應用

　　IBM SDN VE KVM版提供了OpenStack Neutron插件，所以使用KVM作為hypervisor的基于OpenStack的云計算解決方案可以使用IBM SDN VE作為網絡虛擬化方案以提供極大的網絡靈活性和自動化。

圖8 IBM SDN VE在OpenStack中的應用框圖

　　通過本方案，結合OpenStack的Neutron部件，用戶可以直接在Web Portal中進行創建多層網絡應用的操作。用戶對創建或者修改虛擬網絡的操作通過Neutron插件對DOVE管理控制臺(DMC)北向API的調用而反映到SDN VE環境中。這時DMC經過一系列的對虛擬網絡的配置、策略控制和向各個相關虛擬交換機分發策略來實施這些用戶操作，從而達到以軟件獲取網絡能力的目標。

　　由于SDN VE提供了完善統一的日志信息和統計信息，可以通過這些信息根據網絡使用量等數據實現“按需付費”。

　　疊加層網絡實現過程簡介

　　在每個KVM中，都有一個DOVE代理進程，這個代理進程直接偵聽分布式連通性服務(DCS)，同時也負責創建獨立的橋接接口，這個橋接接口最終會顯示給virt-manager或者虛擬機管理器。每個VM都可以創建1個或者多個虛擬網絡接口，這些虛擬網絡接口將VM與虛擬交換機相連接。

　　同一KVM內的VM之間需要通信時，只需要根據流表在這臺KVM上的虛擬交換機內進行數據交換。不同KVM上的VM之間需要通信時，則會由虛擬交換機將從VM虛擬網絡接口上收到的網絡包進行VxLAN封裝，封裝后的包在底層IP網絡上發送給目標VM所在的KVM，經過VxLAN的解封裝，最終由源VM發出的網絡包被交換到目標VM上。

　　如果VM要和遺留在底層網絡上的物理機進行通信，則可以將VxLAN包發送到DOVE網關，由網關進行解封裝并且發送到目標主機。物理機到VM的通信可以由相反的過程完成。

　　DOVE網關也用于疊加層網段中的廣播。從疊加層網絡的設計可以了解到分布于不同KVM中的同網段VM之間要實現廣播必須借助于一些特別的設計。分布式連通性服務(DCS)保持了一個VM的地址表，通過這張地址表可以了解到某一疊加層網段內所有VM所對應的KVM。當網段內某一VM發出廣播包時，DOVE網關會將這個廣播包轉發到所有需要的KVM中。

　　創建多層網絡應用

　　用戶可以通過OpenStack的用戶界面向Neutron部件發出創建新網段的指令，這個指令由IBM SDN VE KVM版OpenStack Neutron插件轉發到DOVE管理控制臺(DMC)，DOVE管理控制臺向各個虛擬交換機分發策略，以創建這個網段。

　　用戶創建多個這樣的網段，然后通過OpenStack將各個VM和諸如路由器、防火墻等應用器件連接到各個網段，可以快速創建出一個多層網絡應用。

圖9 用戶在OpenStack上創建多層網絡應用

    5.2 SDN在網絡安全等方面的應用展望

　　SDN不但提供了快速的網絡部署，用戶可以快速部署自己的多層應用網絡拓撲，還可以獲取豐富的作為虛擬應用器件運行的網絡服務，而這些網絡服務都是可以按照“按需付費”的方式提供給用戶在線訂購。

　　比較典型的如網絡安全服務、入侵檢測、垃圾郵件過濾及負載均衡等。

圖10 SDN網絡安全服務

　　圖10示意了IBM的一種網絡安全服務的部署模型。Security Service組件提供了網絡安全服務，它可以檢測流經它2個網絡接口的流量并且檢測到威脅的連接將之斷開從而保護目標VM。

　　當用戶訂購了該服務之后，SDN的控制器就會向虛擬交換機發送配置更新，將指定的VM的流量導向該安全服務應用器件。比如原先外部流量是直接流向VM的，用戶訂購服務之后就會先流向安全服務應用器件，經過安全過濾之后再流向VM。這種服務同樣可以保護來自環境內部其它VM的威脅。

　　總之，有了SDN這種可以由軟件定義而獲取的網絡能力之后，將會有更多的應用值得展望，這種由軟件控制快速改變網絡結構的能力的確是當前云計算非常需要的能力。有了這種能力，用戶可以快速部署應用的網絡結構，訂購虛擬網絡設備和服務，實現“按需付費”。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：SDN技術及其在云計算中的應用

本文網址：http://m.guhuozai8.cn/html/consultation/10839416292.html