斯坦福大學研究人員當初提出Openflow時有兩個初衷,一是因為需要進行創(chuàng)新性網絡研究��,希望把網絡設備控制層功能從物理設備中分離出來����,以便根據需要通過編程方式控制和修改網絡設備的行為;二是希望構建一個全新的通用的網絡數據轉發(fā)平面,以應對未來網絡發(fā)展的要求�����,Openflow引入的流表轉發(fā)模式完全脫離了傳統(tǒng)網絡的L2/L3數據轉發(fā)方式�����,通過統(tǒng)一的“流表匹配/執(zhí)行動作”方式處理網絡數據包的轉發(fā)�����。
Openflow協(xié)議發(fā)布后因其革命性的網絡架構立即引起業(yè)內眾多廠商和用戶的廣泛關注�,紛紛在網絡產品和應用中進行基于openflow的SDN部署和實施。之后openflow協(xié)議由ONF組織負責進一步的發(fā)展和推廣�,近幾年經過不斷完善,已經進化到最新的1.4版本�����。OF-config是ONF發(fā)布的openflow配套協(xié)議�,也是連接網絡設備的南向接口協(xié)議,提供開放接口遠程管理openflow交換機����,通過OF-config協(xié)議可以對網絡中openflow交換機屬性進行配置和調整,包括配置交換機與控制器的連接參數���,配置物理端口屬性����,配置端口隊列屬性��,配置邏輯端口屬性(如IP-GRE�����,VXLAN���,NVGRE)���,與openflow協(xié)議一起合作實現對openflow交換機的自動化部署。
任何網絡新技術只有能夠解決現實網絡中用現有技術難以解決的問題才有生存發(fā)展的價值����。Openflow區(qū)別傳統(tǒng)網絡技術的顯著不同點是����,處理網絡數據包轉發(fā)時不像傳統(tǒng)網絡設備一樣僅僅依賴目的MAC或目的IP地址來進行尋徑�,openflow流表匹配的數據包字段要豐富得多,這樣就可以根據流表規(guī)則中多樣化的匹配字段組合實現比傳統(tǒng)網路技術更靈活的轉發(fā)策略���,實現用戶多樣化的流量控制需求��。再結合OF-config協(xié)議���,openflow協(xié)議可以方便實現設備中動態(tài)網絡資源分配,動態(tài)網絡功能指定�����,動態(tài)網絡路徑調整�����,動態(tài)鏈路帶寬調整和快速網絡故障診斷���,而這些特征正是目前在云數據中心等網絡環(huán)境中迫切需要的�����。下面我們針對目前一些典型使用環(huán)境說明openflow交換機的具體應用���。
科研院校網絡是openflow的原始發(fā)源地,也是openflow被廣泛應用的網絡環(huán)境�����。研究人員在進行下一代互聯網創(chuàng)新性研究時��,可能會有全新設計的網絡控制協(xié)議和數據轉發(fā)技術需要驗證�,這樣他們希望有一個平臺能幫助他們把網絡控制軟件獨立出來擺脫硬件黑盒設備的束縛,同時其數據平面功能又足夠通用��,以便能在這樣平臺上自由驗證他們的研究工作��,基于openflow的網絡結構正好可以滿足他們的愿望���。當然因為研究內容的不確定性�,目前在openflow設備上具體驗證創(chuàng)新網絡技術時可能還是需要設備進行一定量的定制化開發(fā)工作�。
云數據中心是openflow得以發(fā)揚光大的地方,openflow在數據中心的應用有兩個主要場景�,一是數據中心內網絡虛擬化的部署要求�,二是異地數據中心之間流量傳輸的鏈路調度需求���。云數據中心是云服務提供商的基礎IT環(huán)境�����,部署時存在多租戶資源動態(tài)創(chuàng)建��,多租戶流量隔離以及租戶虛擬機動態(tài)遷移等虛擬化需求��,openflow交換機與云管理軟件平臺,如openstack的neutron網絡組件可以深度集成�,配合云管理平臺實現網絡資源的動態(tài)分配和網絡流量的按需傳輸,實現云服務的網絡虛擬化需求并可以明顯改善其網絡性能����。其次在數據中心之間流量傳輸量很大,而連接各數據中心的鏈路傳輸使用率往往又不均衡����,流量調度不當將會給服務商帶來嚴重的鏈路帶寬擴容壓力,提高其運營成本���。如果在數據中心間部署openflow交換機�����,可以動態(tài)獲取各鏈路的流量傳輸情況���,動態(tài)下發(fā)openflow流表規(guī)則把流量在各鏈路間進行均衡調度,最大化提高鏈路使用率����,降低鏈路擴容需求。openflow交換機甚至還可以根據云租戶的不同服務級別在流表規(guī)則里設定不同服務質量動作實現有區(qū)別的流量傳輸����。
Openflow交換機現在也開始被用來滿足網絡安全領域流量識別和管控的需求,這種情況openflow交換機一般是以透明方式作為中間過路設備插入到現有網絡中���,不會改變原來網絡的運行模式�。使用SDN/openflow方式識別和管控網絡流量的好處是���,目前網絡新應用層出不窮����,使用現有網絡安全設備無法對新型網絡應用或用戶環(huán)境特有網絡應用進行識別,部署openflow交換機后�����,可以先把網絡流量鏡像或采樣(也可以在監(jiān)控到鏈路流量異常時動態(tài)牽引)送往控制器應用進行識別����,然后針對識別出來的特定流量下發(fā)規(guī)則,或者丟棄����,或者限制其傳輸帶寬,或牽引到其它傳輸端口����。控制器應用作為獨立的軟件服務形式可以動態(tài)更新網絡特征����,快速響應網絡應用變化需求,克服專有設備軟件功能固化的缺陷���。另外Openflow設備也可以充當服務器集群的負載均衡設備����,它可以根據后臺服務器的運行情況制定更靈活的請求調度策略,快速響應服務器集群規(guī)模的變化��,省去專用昂貴的負載均衡設備的采購費用�。
在園區(qū)網絡中可以使用openflow方式對接入層設備進行有效的管控�����,接入層設備的特點是設備量大管理運維開銷比較高����,直接連接用戶流量管控需求大并且問題發(fā)生率高����,但設備功能和流量策略相對簡單��。如果接入設備改為使用openflow交換機�����,在中央控制器上可以集中統(tǒng)一對接入設備進行配置下發(fā)��,軟件升級與網絡監(jiān)控等維護工作�����,在要求用戶身份認證的場合可以把認證流量引導到控制器上的認證管理軟件�����,在驗證用戶身份合法后再下發(fā)準入規(guī)則到用戶連接的交換機端口上�,在控制器檢測到特定網絡端口或特定用戶流量異常(如有廣播風暴���,或下載流量過大)�����,可以通過在中央控制器下發(fā)規(guī)則關停設備端口���,或限制特定流量,快速恢復網絡故障���,提高網絡運行可靠性和網絡易用性���。
Openflow交換機的應用并不限于以上場合,對于希望對網絡進行集中管控或對網絡行為進行動態(tài)管理的網絡環(huán)境都可以部署openflow交換機實現其需求�����。
神州數碼網絡公司(DCN)在2011年就開始openFlow交換機的研發(fā),目前全線交換產品支持openFlow協(xié)議���,產品既有基于商業(yè)ASIC交換芯片��,也有基于高速NP處理器的實現方式���,既可以實現商用SDN網絡的部署,也可以滿足科研院校定制化SDN網絡特征的需求��,目前已配合國內多家高����?蒲袡C構����,電信運營商和互聯網公司進行了openFlow科研和商用網絡的實施。雖然SDN實現方式多種多樣�,但基于openflow的SDN仍然是目前部署SDN的主流形式,DCN公司今后會繼續(xù)投入研發(fā)力量完善openflow交換機的產品特征��,積極與各界合作�����,促進SDN網絡的廣泛應用�����。
