網路可說是IT基礎架構中最底層、也是最基本的組成元件,因此一直以來關注的重點皆落在效能與穩定性。隨著雲端運算等應用的興起,業者開始轉向思考如何打破既有網路架構的僵化,增加更多可調整的彈性,來提昇運作效率,而軟體定義網路(Software Defined Network,SDN)可說是眾家網路設備商一致的方向。
由於SDN概念的本意是能採用應用程式定義網路上的各種行為模式,從這個方向來看,目前市場上出現可實作的方式,包括由ONF(Open Networking Foundation)推廣的OpenFlow通訊協定、既有網路設備開放API,以及偏向虛擬化伺服器應用環境的網路虛擬化(Virtual Networking)等。
SDN實作模式
實作模式中最多廠商支持的即是以OpenFlow為核心所發展的架構,已加入支援行列包括Facebook、Google、Microsoft、Yahoo等國際知名大廠,總數超過八十家。就OpenFlow通訊協定所架構的SDN來看,主要是將原本在交換器中的控制功能(Control plane)抽離,統一交由外部的控制端(Controller)來指揮,在交換器中僅留下處理封包與傳輸能力(Data plane)。
各家設備大廠除了推出支援OpenFlow的交換器外,同時也陸續開始提供控制端軟體,例如Cisco、HP、IBM等;甚至是伺服器虛擬化技術平台,如VMware(Nicira)、Microsoft,也各自擁有控制端技術,以網路虛擬化來架構SDN;至於現有的設備開放API,讓既有網路變得可程式化操控的則有Cisco、HP。
 |
| ▲控制端(Controller)經由OpenFlow通訊協定與交換器溝通,並且透過安全存取通道(Secure Channel)來操控Flow Table。(資料來源:www.opennetworking.org) |
可程式化控制光纖
以Cisco來看開放API的部分,台灣思科技術事業處客戶解決方案架構師錢小山說明,主要是針對IOS XE、IOS XR、NX-OS三大作業系統,包含程式語言與函式庫,以OnePK(One Platform Kit)套裝工具提供,讓系統整合商或開發人員,能夠透過這些API來撰寫SDN中控制端的應用程式,提供網路環境的屬性配置與管理。
針對OpenFlow的支援,是在這三大作業系統中加入代理程式,使其得以依據控制端指示行動。至於Overlay的架構,也就是VMware Nicira目前在談的虛擬化網路,主要是基於TCP/IP網路環境,建立隧道(Tunnel)讓虛擬主機得以藉此串聯,對此Cisco也有推出Nexus 1000V可支援。
現在多數有支援OpenFlow的交換器廠商已陸續開始提供控制端,Cisco也不例外。但SDN的運作環境終究是由軟體來定義,關鍵在於整體架構的整合,錢小山舉例,若想要視訊服務擁有更好的傳輸品質,就可利用API來開發出可運行的路徑,並配置較多的頻寬。
Cisco開放核心系統的API,不僅能讓路由器、交換器等網路設備變得可程式化,連同實體傳輸層也可做到。錢小山解釋,可程式化控制的部分不僅在Layer 2與Layer 3之間,還可包含光介面的網路,也就是說可以讓實體的光纖訊號透過程式來控制,例如微調光訊號、頻譜的顏色與強度等方面。
「市場上目前還沒出現提供光介面設備且開放API的廠商,而Cisco今年就會開始推出,可供細部調整採光的強弱,並利用高密度分波多工器(Dense Wavelength Division Multiplexing,DWDM)所架構的光纖網路,可能是Mesh或三角形拓撲,經由程式控制即可指定流量傳輸的路線,讓光纜的利用率提高。」錢小山說。
提供SDN分析平台
在SDN解決方案提供者中,衛信科技可說是少數本土廠商之一,而且不僅是代理可支援OpenFlow標準的Pica8交換器,並搭配開放的Ryu控制端來提供SDN架構,其終極目標是為了提供企業端到端的解決方案。
衛信科技資深研發經理簡元育談到,衛信是一家新成立的軟體公司,研發工程師佔多數,核心的專業是作網路訊務(Traffic)分析,因此懂得掌握每個封包的內容,可應用的範圍也較廣。比方說從資訊安全的角度來看,則是監看資料流是否有出現異常,例如伺服器遭受DDoS攻擊,或是企業內部被植入惡意程式正在對外發動攻擊。衛信即可利用訊務分析技術,提供一個可供多數企業應用的雲端服務。
 |
| ▲衛信科技實現Big Data分析平台的基礎架構。(資料來源:衛信科技) |
簡元育指出,利用OpenFlow來實作SDN,其實網路七層架構並沒有因此改變,只是資料交換的行為被重新定義,讓封包可抓取的內容更多,現在至少有四十個欄位資訊可供統計與控制。因為網路封包內容並沒有改變,一旦控制器具備辨識能力,就可以利用監看交換器方式,來發現在控制器中所定義的異常行為,並且及時控制。當然要解決攻擊行為還是得仰賴資安解決方案來處理,但至少可在第一時間發現並控制,減少可能帶來的資安風險。
「近期衛信主要發展的解決方案會朝向資安方面,採用DPI(Deep Packet Inspection,深度封包檢測)方法,透過衛信的技術,把OpenFlow網路封包變成可分析的資訊,所以我們準備在2013年推出一個Big Data平台,來搜集網路上各種資料來進行分析,除了可分析網路安全行為,也提供行銷資訊等應用。」簡元育說。
企業應用SDN架構比傳統網路模式更有效率、更省費用,要實現網路虛擬化、負載平衡、防火牆等傳統網路架構下皆相當昂貴的建設,如今利用OpenFlow皆可達成,這才是SDN對企業而言的意義。
其實可以觀察研究單位在討論OpenFlow技術,主要即是著重在應用面。但至今台灣尚未出現採用OpenFlow的原因,即在於不知道該如何應用。傳統管理網路的網管工程師,多數沒有程式開發背景,如今用軟體定義網路,又如何能期待提出一項新型態的標準技術後,就能夠在企業端出現各種應用場景。
簡元育不諱言,這確實是目前OpenFlow發展所遇到的障礙。但他也認為這個障礙勢必會被突破,因為絕對會有人會把寫程式這件事,在控制端設計成圖形化介面,可以很直覺來達成。就如同現在網路設備的設定模式,也是從艱澀難懂的文字指令設定,轉換成圖形介面來拖拉配置,如此一來,企業端的應用就會大量浮現。