基于SDN技術的VPC實現分析

李遜

（杭州華三通信技術有限公司，杭州 310052）

1 SDN技術

狹義的SDN是實現控制平面與數據平面的分離，通過經典的Openflow流表，由集中化的控制器對網絡設備進行可定義的轉發(fā)控制。這種經典的SDN也有不足，比如Openflow更多關注于控制層面而對于管理、OAM等方面是有較大缺失的，并且市場上的非專門Openflow交換機在對流表的支持能力上也有較大的限制，從一定層面上限制Openflow這種技術應用場景和規(guī)模。

廣義的SDN是指具備上層應用開放資源接口，可實現軟件程序化控制的網絡架構，至于控制集中與否、控制和轉發(fā)分離與否則并不作嚴格限定，與ONF組織定義的軟件定義網絡有更廣泛的外延。SDN也可認為是一種網絡虛擬化技術，通過抽象出網絡操作系統(tǒng)平臺，屏蔽底層網絡設備物理細節(jié)差異，并向上層提供統(tǒng)一的管理和編程接口，以網絡操作系統(tǒng)平臺為基礎開發(fā)出應用程序，通過軟件來定義網絡拓撲、資源分配和處理機制等。

2 泛SDN技術的融合

目前實際應用中SDN較多的與Overlay技術（虛擬化疊加網絡）和NFV（網絡功能虛擬化）緊密結合在一起。這也是SDN、Overlay和NFV等技術所具有的軟件化、虛擬化、可定義化等特點決定的，Overlay和NFV都可以看做“泛SDN”技術。

常說的SDN其實是這種“泛SDN”理念的實現，是SDN、Overlay、NFV三者的有機融合。本文SDN特指這種融合了SDN、Overlay、NFV等技術的“泛SDN”。

3 SDN的技術流派和技術對比

SDN的美好前景吸引著眾多廠商的熱情參與，其中既有傳統(tǒng)網絡廠商如華為、華三、思科、阿朗、博科、瞻博等，也有虛擬化軟件廠商如威睿，還有其他新興專門做SDN廠商如Nicira（已被威睿收購）等。

對于SDN Overlay控制平面可以是設備間通過協議分布式交互的方式，也可以采用控制器集中式控制的實現方案。對于后者更加易于對云業(yè)務進行全流程的編排部署，也更利于運營集中化和可視化。另外更好的方式是同時支持集中式控制和分布式控制，以集中式為主用，以分布式為備用。

4 SDN方案重要技術的實現和考慮

運營商現網中硬件和軟件廠商、型號較多，十分強調兼容性；建設規(guī)模也較大，特別是近年建設的大型云項目，物理服務器從上千臺至幾萬臺，對性能和擴展能力提出很高要求；運營商對系統(tǒng)的安全性、可用性有嚴格要求，一旦發(fā)生問題不僅對運營商造成經濟損失，對企業(yè)聲譽也會造成不利影響，因此在SDN的建設中要特別關注一些關鍵技術。

4.1 SDN控制器集群技術

SDN網絡中所有網元控制平面由控制器統(tǒng)一控制，傳統(tǒng)網絡單一設備故障影響面可能較小，但SDN網絡中控制器故障可能引發(fā)更大面積甚至全網癱瘓。因此控制器務必采用高可靠集群。控制器集群提供統(tǒng)一的北向IP與上層平臺交互，并在不同的控制器間進行負載分擔。保障集群內對任何網元的控制節(jié)點在兩個以上，控制器采用1+1熱備的方式，保證故障倒換的無損性，并且具有自動選擇新的控制器節(jié)點。將眾多設備的控制平面集中在控制器上，對控制器的性能要求也很高，另外在網元節(jié)點較多時，控制器集群分配不同的控制器管理不超過一定數量的網元可以保證管理的效率和實時性。控制器集群可線性擴展，保證大規(guī)模計算節(jié)點接入SDN網絡中。

4.2 軟硬混合式SDN Overlay兼容組網技術

在云數據中心中，除了虛機計算節(jié)點，還可能有一定數量的物理服務器（如一些重載業(yè)務服務器或無法虛擬化的業(yè)務平臺）。如何使兩種不同形態(tài)的計算資源同時納入到SDN網絡中？對于虛機，可以將其Hypervisor中的vSwitch更換為支持vxlan特性的VTEP；對于物理服務器沒有vSwitch這個概念，因此需要通過vxlan網關代理加入到Overlay網絡中去，同樣可以選用支持vxlan特性的TOR交換機既做Underlay網絡的接入交換機也作為Overlay網絡的VTEP。另外在需要高性能的場景，用硬件VTEP的性能超過軟VTEP的1～3數量級，并且vSwitch在重載情況下需要消耗更多的CPU性能，甚至是得不償失的。這種硬件VTEP代理對于兼容各種第三方設備也是不可或缺的。

在SDN組網的兼容性方面，還需考慮Underlay物理網絡和Overlay虛擬網絡的統(tǒng)一管理問題。在云計算中心中要考慮多種Hypervisor共存時的兼容性。

4.3 服務鏈技術

我們把網絡中存在著的防火墻、負載均衡、入侵檢測等設備功能稱為服務節(jié)點。傳統(tǒng)組網中各個設備間邊界清晰，源與目的間數據報文轉發(fā)經過服務節(jié)點的路徑和物理設備是緊耦合容易確定的。虛擬網絡中應用與物理設備解耦邊界似乎不夠清晰。這時源與目的間的報文按照業(yè)務邏輯所要求的既定的路徑次序經過這些業(yè)務點，這就是服務鏈（Service Chain）。實際是控制器對有安全類服務需求的報文進行引流的邏輯路徑。

由SDN控制器解析用戶配置的策略，下發(fā)配置的策略給服務節(jié)點網關，引導服務鏈流量至相關業(yè)務節(jié)點處理。vSwitch作為Overlay Access部件，基于租戶識別虛機流量所屬服務鏈，并將其通過vxlan網絡轉發(fā)至租戶正確的服務鏈上。服務鏈業(yè)務節(jié)點放在一個資源池內統(tǒng)一部署，實現資源池內安全業(yè)務的負載分擔。服務鏈支持防火墻、負載均衡等功能在單一服務節(jié)點一次完成，或各個安全業(yè)務在各自獨立的服務節(jié)點實現。SDN控制器將其串起來完成整個服務鏈功能，并可以基于租戶提供獨立完全隔離的東西向服務鏈功能。服務節(jié)點可以通過vxlan網關代理進入服務鏈中，如圖1所示。

4.4 分布式vSwitch虛擬交換機技術

SDN的控制平面和轉發(fā)平面雖然是分離，也是統(tǒng)一協調工作的。vSwitch間通信需要發(fā)ARP請求目的端的MAC地址，vxlan規(guī)模較大，大量的ARP廣播會消耗網絡帶寬。為了使vSwitch專注于轉發(fā)，對于轉發(fā)表的學習和計算都交由SDN控制器。SDN控制器存有全局轉發(fā)信息，vSwitch的ARP請求以單播形式發(fā)給控制器，由控制做ARP代答回送給vSwitch。

多個vSwitch通過控制器的集中控制可邏輯成一個分布式三層網關，可實現東西向流量的跨vxlan轉發(fā)，實現跨網段最短路徑轉發(fā)。

圖1 東西向服務鏈

以上所述的幾項重要技術是對于保證SDN網絡在多種復雜場景下的穩(wěn)定、高效運營的保證。

5 運營商市場SDN進展和意義

據國際權威咨詢機構Infonetics Research調查和預測：從2013～2014年已經有大量的SDN POC試驗，并且運營商已經開始在某些領域試商用；2015年SDN部署步伐會大大加快，在眾多的領域開始商用和試商用；2016年可能在全球范圍內得到廣泛部署；2017年后SDN將成為網絡基礎架構，并經歷一個長期的演進和轉型過程。

在國內市場也可看到SDN發(fā)展的加速，特別是中國電信、中國移動、中國聯通等運營商已經在2014年進行了集團級的SDN VPC（SDN虛擬專享云）測試，2015年上半年陸續(xù)會有新建的大型SDN云數據中心項目，預計還會在下半年出臺相關建設指導意見和規(guī)劃。很多省市公司在云數據中心中開始廣泛的研究和試點。也有將SDN在城域網、WLAN等領域的應用結合。

SDN在運營商云數據中心領域的應用對其有著重要的意義。能大大加快業(yè)務部署的速度，實現業(yè)務與資源更靈活的適配。通過SDN VPC引進將企業(yè)的計算、網絡、存儲等基礎設施資源拉通建設、管理、運維，在保持CT能力優(yōu)勢的同時，加快IT能力的提升。變對IT基礎設施的需求為對IT服務的需求，這是建設和運營理念上的一種革新。同時，對原有組織、規(guī)范、流程，對新IT的使用者和運營者也帶來新的挑戰(zhàn)。

6 應用實踐

早在2013年，華三的Openflow SDN就已成功應用于中國聯通沃云網絡的建設上，通過集中的SDN控制器實現虛機遷移的網絡策略自動跟隨。并在2014年底參加國內三大運營商SDN VPC測試。2015年3月在巴塞羅那舉辦的世界移動通信大會（MWC）上，中國移動展示了SDN VPC方案，該方案正是Openflow SDN在江西移動業(yè)支中心商用方案展示。