Openflow交换机的应用模式探讨

斯坦福大学研究人员当初提出Openflow时有两个初衷,一是因为需要进行创新性网络研究,希望把网络设备控制层功能从物理设备中分离出来,以便根据需要通过编程方式控制和修改网络设备的行为;二是希望构建一个全新的通用的网络数据转发平面,以应对未来网络发展的要求,Openflow引入的流表转发模式完全脱离了传统网络的L2/L3数据转发方式,通过统一的“流表匹配/执行动作”方式处理网络数据包的转发。

Openflow协议发布后因其革命性的网络架构立即引起业内众多厂商和用户的广泛关注,纷纷在网络产品和应用中进行基于openflow的SDN部署和实施。之后openflow协议由ONF组织负责进一步的发展和推广,近几年经过不断完善,已经进化到最新的1.4版本。OF-config是ONF发布的openflow配套协议,也是连接网络设备的南向接口协议,提供开放接口远程管理openflow交换机,通过OF-config协议可以对网络中openflow交换机属性进行配置和调整,包括配置交换机与控制器的连接参数,配置物理端口属性,配置端口队列属性,配置逻辑端口属性(如IP-GRE,VXLAN,NVGRE),与openflow协议一起合作实现对openflow交换机的自动化部署。

任何网络新技术只有能够解决现实网络中用现有技术难以解决的问题才有生存发展的价值。Openflow区别传统网络技术的显著不同点是,处理网络数据包转发时不像传统网络设备一样仅仅依赖目的MAC或目的IP地址来进行寻径,openflow流表匹配的数据包字段要丰富得多,这样就可以根据流表规则中多样化的匹配字段组合实现比传统网路技术更灵活的转发策略,实现用户多样化的流量控制需求。再结合OF-config协议,openflow协议可以方便实现设备中动态网络资源分配,动态网络功能指定,动态网络路径调整,动态链路带宽调整和快速网络故障诊断,而这些特征正是目前在云数据中心等网络环境中迫切需要的。下面我们针对目前一些典型使用环境说明openflow交换机的具体应用。

科研院校网络是openflow的原始发源地,也是openflow被广泛应用的网络环境。研究人员在进行下一代互联网创新性研究时,可能会有全新设计的网络控制协议和数据转发技术需要验证,这样他们希望有一个平台能帮助他们把网络控制软件独立出来摆脱硬件黑盒设备的束缚,同时其数据平面功能又足够通用,以便能在这样平台上自由验证他们的研究工作,基于openflow的网络结构正好可以满足他们的愿望。当然因为研究内容的不确定性,目前在openflow设备上具体验证创新网络技术时可能还是需要设备进行一定量的定制化开发工作。

云数据中心是openflow得以发扬光大的地方,openflow在数据中心的应用有两个主要场景,一是数据中心内网络虚拟化的部署要求,二是异地数据中心之间流量传输的链路调度需求。云数据中心是云服务提供商的基础IT环境,部署时存在多租户资源动态创建,多租户流量隔离以及租户虚拟机动态迁移等虚拟化需求,openflow交换机与云管理软件平台,如openstack的neutron网络组件可以深度集成,配合云管理平台实现网络资源的动态分配和网络流量的按需传输,实现云服务的网络虚拟化需求并可以明显改善其网络性能。其次在数据中心之间流量传输量很大,而连接各数据中心的链路传输使用率往往又不均衡,流量调度不当将会给服务商带来严重的链路带宽扩容压力,提高其运营成本。如果在数据中心间部署openflow交换机,可以动态获取各链路的流量传输情况,动态下发openflow流表规则把流量在各链路间进行均衡调度,最大化提高链路使用率,降低链路扩容需求。openflow交换机甚至还可以根据云租户的不同服务级别在流表规则里设定不同服务质量动作实现有区别的流量传输。

Openflow交换机现在也开始被用来满足网络安全领域流量识别和管控的需求,这种情况openflow交换机一般是以透明方式作为中间过路设备插入到现有网络中,不会改变原来网络的运行模式。使用SDN/openflow方式识别和管控网络流量的好处是,目前网络新应用层出不穷,使用现有网络安全设备无法对新型网络应用或用户环境特有网络应用进行识别,部署openflow交换机后,可以先把网络流量镜像或采样(也可以在监控到链路流量异常时动态牵引)送往控制器应用进行识别,然后针对识别出来的特定流量下发规则,或者丢弃,或者限制其传输带宽,或牵引到其它传输端口。控制器应用作为独立的软件服务形式可以动态更新网络特征,快速响应网络应用变化需求,克服专有设备软件功能固化的缺陷。另外Openflow设备也可以充当服务器集群的负载均衡设备,它可以根据后台服务器的运行情况制定更灵活的请求调度策略,快速响应服务器集群规模的变化,省去专用昂贵的负载均衡设备的采购费用。

在园区网络中可以使用openflow方式对接入层设备进行有效的管控,接入层设备的特点是设备量大管理运维开销比较高,直接连接用户流量管控需求大并且问题发生率高,但设备功能和流量策略相对简单。如果接入设备改为使用openflow交换机,在中央控制器上可以集中统一对接入设备进行配置下发,软件升级与网络监控等维护工作,在要求用户身份认证的场合可以把认证流量引导到控制器上的认证管理软件,在验证用户身份合法后再下发准入规则到用户连接的交换机端口上,在控制器检测到特定网络端口或特定用户流量异常(如有广播风暴,或下载流量过大),可以通过在中央控制器下发规则关停设备端口,或限制特定流量,快速恢复网络故障,提高网络运行可靠性和网络易用性。

Openflow交换机的应用并不限于以上场合,对于希望对网络进行集中管控或对网络行为进行动态管理的网络环境都可以部署openflow交换机实现其需求。

 

神州数码网络公司(DCN)在2011年就开始openFlow交换机的研发,目前全线交换产品支持openFlow协议,产品既有基于商业ASIC交换芯片,也有基于高速NP处理器的实现方式,既可以实现商用SDN网络的部署,也可以满足科研院校定制化SDN网络特征的需求,目前已配合国内多家高校科研机构,电信运营商和互联网公司进行了openFlow科研和商用网络的实施。虽然SDN实现方式多种多样,但基于openflow的SDN仍然是目前部署SDN的主流形式,DCN公司今后会继续投入研发力量完善openflow交换机的产品特征,积极与各界合作,促进SDN网络的广泛应用。