唐雅璇　李麗娟

摘要：SDN將數(shù)據(jù)層面和控制層面解耦合，簡化了網(wǎng)絡(luò)管理。該文從SDN的發(fā)展背景入手，結(jié)合目前數(shù)據(jù)中心邏輯網(wǎng)絡(luò)和物理網(wǎng)絡(luò)緊耦合的問題，提出了使用SDN的方式讓網(wǎng)絡(luò)出口變得更靈活、更具有彈性。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；網(wǎng)絡(luò)出口解決方案；服務(wù)鏈

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）31-0022-03

1 概述

1.1 SDN簡介

軟件定義網(wǎng)絡(luò)（software defined networking：SDN）[1]起源于2006年美國斯坦福大學Clean Slate的研究課題，SDN是將網(wǎng)絡(luò)的數(shù)據(jù)層與控制層分離的一種新型網(wǎng)絡(luò)架構(gòu)，通過集中化控制和提供開放控制接口，簡化網(wǎng)絡(luò)管理，支持網(wǎng)絡(luò)服務(wù)的動態(tài)應(yīng)用程序控制。其中網(wǎng)絡(luò)控制解耦于轉(zhuǎn)發(fā)，且網(wǎng)絡(luò)控制是直接可編程的。SDN實現(xiàn)了網(wǎng)絡(luò)資源池化并作為服務(wù)提供，釋放了網(wǎng)絡(luò)的靈活性、開放性和創(chuàng)新性。

1.2 Service Chain簡介

服務(wù)鏈（Service Chain）是報文在網(wǎng)絡(luò)中傳遞時，按照業(yè)務(wù)邏輯要求的順序經(jīng)過各種各樣的服務(wù)節(jié)點（服務(wù)節(jié)點主要包括防火墻、入侵檢測、負載均衡等），保證網(wǎng)絡(luò)能夠按照設(shè)計要求提供給用戶安全、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)。

傳統(tǒng)網(wǎng)絡(luò)的服務(wù)鏈和網(wǎng)絡(luò)拓撲有緊密的耦合，部署較復雜，在服務(wù)鏈變更、擴容時，都需要改動網(wǎng)絡(luò)拓撲，重新修訂網(wǎng)絡(luò)設(shè)備的配置，無法滿足目前數(shù)據(jù)中心的需求。

面對這個問題，在數(shù)據(jù)中心網(wǎng)絡(luò)提出了利用服務(wù)器承載虛擬防火墻/負載均衡器等新型網(wǎng)絡(luò)設(shè)備（其實就是NFV（網(wǎng)絡(luò)功能虛擬化）的一種形態(tài)），并將這些虛擬防火墻/負載均衡器部署在邏輯網(wǎng)絡(luò)的邊緣，通過一些特殊的調(diào)度方式將對應(yīng)的數(shù)據(jù)流引向這些網(wǎng)絡(luò)設(shè)備進而實現(xiàn)按需部署防火墻以及按用戶需求完成引流操作。還有就是通過部署物理防火墻，通過一些隧道的方式將用戶數(shù)據(jù)流引導這些物理設(shè)備上，經(jīng)過防火墻處理后再通過隧道方式引回來繼續(xù)走原路徑。

2 Service Chain方案技術(shù)原理

2.1 技術(shù)原理

在整體的解決方案中，除了一些必要的設(shè)備端配置外，基本整個服務(wù)鏈的創(chuàng)建、維護都是通過SDN控制器完成。

2.1.1 服務(wù)鏈創(chuàng)建

2.1.1.1控制器、設(shè)備的初始配置及設(shè)備發(fā)現(xiàn)

控制器：配置控制器的IP地址，完成高級組件Service chain的安裝。

交換設(shè)備：配置控制器的IP地址及管理通道IP地址，使得設(shè)備控制器之間管理通路可達。

Service Chain：節(jié)電設(shè)備物理連接在具體交換機的某些端口上。

在完成基礎(chǔ)配置后，控制器和設(shè)備之間會建立Openflow連接握手過程?？刂破骱驮O(shè)備端建立TCP連接后，開始OpenFlow協(xié)議交互（OpenFlow協(xié)議基于TCP），首先雙方完成Hello握手，交換雙方的OpenFlow協(xié)議版本信息，然后通過控制器發(fā)送Feature request消息去獲取設(shè)備端的設(shè)備類型、流表能力、端口形態(tài)/數(shù)量等信息，從而完成對這臺設(shè)備的發(fā)現(xiàn)過程。

2.1.1.2創(chuàng)建Service Chain節(jié)點

在控制器上完成支撐Service Chain核心交換設(shè)備的發(fā)現(xiàn)過程，并且在控制器的WEB界面上可呈現(xiàn)對應(yīng)設(shè)備以及端口。管理員可以指定交換設(shè)備哪些端口連接著Service Chain節(jié)點，并設(shè)定節(jié)點的工作模式——透明模式還是路由模式。

當管理員在控制器上完成這些配置后，控制器會將對應(yīng)的端口配置轉(zhuǎn)換成設(shè)備支持的CLI（CLI只是可能的一種形式）通過預先配置好的管理通道完成對設(shè)備端相關(guān)端口的配置。

完成這個步驟后就可以在控制器上看到對應(yīng)的Service Chain節(jié)點，并知曉這些節(jié)點的工作模式和關(guān)聯(lián)的交換端口。并且對應(yīng)的交換設(shè)備也完成相關(guān)的配置處于待工作狀態(tài)。

2.1.1.3服務(wù)鏈設(shè)置

在控制器上創(chuàng)建服務(wù)鏈需要完成以下幾個步驟：

完成這個設(shè)置后控制器會生成相關(guān)流表并通過OpenFlow協(xié)議下發(fā)流表到交換設(shè)備上完成后續(xù)的引流操作，從而實現(xiàn)將指定流按需轉(zhuǎn)發(fā)到各個Service Chain節(jié)點并最終形成Service Chain功能。

2.1.2 引流

本節(jié)簡單介紹，在管理員創(chuàng)建了服務(wù)鏈之后，控制器如何下發(fā)相關(guān)的OpenFlow流表。

目前Service Chain節(jié)點通常支持路由模式和透明模式，可能同時支持，也可能支持其中一種，即使兩種模式都支持，在工作時也只能處于其中一種模式，因此下文將具體分這兩種模式進行介紹。

2.1.2.1路由模式

路由模式指的是Service Chain節(jié)點本身具備三層轉(zhuǎn)發(fā)功能，其與交換設(shè)備之間互聯(lián)通道需要配置ip地址，交換設(shè)備發(fā)送報文到這些節(jié)點是通過三層路由的方式到達，報文在這些節(jié)點返回交換設(shè)備時也是通過三層路由的方式到達。

以下圖作為路由模式下的引流模型來進行闡述：

為案例覆蓋方便，設(shè)定：

P1、P2屬于SVI下的兩個成員口；

P7屬于路由口；

P3、P4、P5、P6屬于路由口分別與對應(yīng)的FW和WAF互聯(lián)。

MGMT口與控制器互聯(lián)，用于傳遞配置命令和OpenFlow流表。

2.1.2.2透明模式

透明模式指的是Service Chain節(jié)點本身具備透明傳輸功能，即原報文進原報文出，其與交換設(shè)備之間互聯(lián)通道無需配置ip地址，雙方以Bridge（Trunk口）方式互聯(lián)。交換設(shè)備和這些節(jié)點之間的報文交互都和報文從源口輸入時的內(nèi)容一致。這點有別于路由模式，路由模式下交換和這些節(jié)點之間的交互報文與輸入報文是不一致的，二層端口的源MAC/DMAC都已經(jīng)發(fā)生變化。

以下圖作為透明模式下的引流模型來進行闡述：

為案例覆蓋方便，設(shè)定：

P1、P2屬于SVI下的兩個成員口；

P7屬于路由口；

P3、P4、P5、P6屬于Uplink口分別與對應(yīng)的FW和WAF互聯(lián)。

MGMT口與控制器互聯(lián)，用于傳遞配置命令和OpenFlow流表。

2.2 部署

2.2.1 獨立交換部署

這種方式是使用一臺獨立的交換設(shè)備來承擔整個Service Chain功能，部署如下圖所示：

這種部署方式的好處是無需改動現(xiàn)網(wǎng)的整體配置，僅需額外增加一臺獨立的交換設(shè)備和控制器就可實現(xiàn)出口“糖葫蘆串”的整改。改動小同時能兼容現(xiàn)網(wǎng)的任意部署配置。

2.2.2 利用已有的核心交換部署

這種方式是使用現(xiàn)有的核心交換來承擔整個Service Chain功能，部署如圖5所示。

這種部署方式的好處是無需購買新設(shè)備保護就有投資，僅需額外增加一臺控制器就可實現(xiàn)出口“糖葫蘆串”的整改，同時通過適當?shù)囊骺梢詫崿F(xiàn)內(nèi)網(wǎng)流量的按需安全防護，提供了Service Chain節(jié)點的利用率。由于核心交換同時承擔整網(wǎng)的轉(zhuǎn)發(fā)行為和Service Chain節(jié)點，在網(wǎng)絡(luò)Service Chain的構(gòu)建上會更加復雜一些。同時核心交互通常都使用VSU的方式進行部署，而需要改造的“糖葫蘆串”通常一個出口都只有一套，因此就面臨著使用哪臺VSU主機來旁掛Service Chain節(jié)點的問題。掛在任意一臺設(shè)備上的話一旦這臺設(shè)備掛掉（核心本身有VSU防護，因此不影響整網(wǎng)轉(zhuǎn)發(fā)），Service Chain就會失效。

2.2.3 部署比較

如表1所示。

3 結(jié)束語

隨著數(shù)據(jù)中心的規(guī)模的增大，數(shù)據(jù)中心的網(wǎng)絡(luò)問題日益突出，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)已無法滿足計算數(shù)據(jù)中心的需要，基于SDN理念的網(wǎng)絡(luò)，通過解耦網(wǎng)絡(luò)設(shè)備軟硬件，釋放了網(wǎng)絡(luò)的靈活性、開放性及創(chuàng)新性，解決了數(shù)據(jù)中心在發(fā)展過程中遇到的瓶頸，實現(xiàn)了用戶在數(shù)據(jù)中心的靈活調(diào)配和優(yōu)化，提高業(yè)務(wù)服務(wù)質(zhì)量的同時也提升了用戶的服務(wù)體驗。

表1 部署比較

[部署方式 優(yōu)點 缺點 獨立交換部署 1.整網(wǎng)改動量小，幾乎可無縫切換。

2.設(shè)備獨立，并且承擔的功能很少因此相對來說非常穩(wěn)定。即使故障不影響內(nèi)網(wǎng)業(yè)務(wù)。 1.額外投資購買一臺交換

2.無法針對內(nèi)網(wǎng)流量進行安全防護 核心交換部署 1.保護投資，不需要額外購買交換設(shè)備。

2.流經(jīng)核心的流量都可按需進行安全防護。 1.部署比較麻煩，需要更改核心配置并動態(tài)修改核心的流表，在Service Chain的建立上具有一定復雜度。

2.在核心是VSU部署的情況下，通常Service Chain節(jié)點只能部署在其中一臺核心交換上，與VSU特性不吻合。 ]

參考文獻：

[1] McKEOWN N，ANDERSON T，BALAKRISHNAN H，et al.OpenFlow： enabling innovation in campus networks[J]. ACM SIGCOMMComputer Communication Review，2008，38（2）：69-7.