編者按：筆者從SDN的研究現(xiàn)狀入手，簡單敘述了國內(nèi)SDN的研究現(xiàn)狀蛾茉。接著矾柜，從SDN與網(wǎng)絡(luò)虛擬化的區(qū)別切入詳細(xì)論述“何為SDN”登淘。然后多層次谬哀、全方位介紹SDN的應(yīng)用黍析、安全等等，表明SDN走向?qū)嶋H應(yīng)用是必然键思，但仍然需要一些時日础爬。

目前很多SDN(Software Defined Network，軟件定義網(wǎng)絡(luò))的解決方案還主要集中在高校吼鳞、ONF組織看蚜、運(yùn)營商及設(shè)備廠商中進(jìn)行探索研究，多停留在分析討論赔桌、實(shí)驗(yàn)階段失乾，很少在國內(nèi)企業(yè)中得到實(shí)際的應(yīng)用。鑒于此種情況纬乍，也有一些廠商并沒有受到這方面的局限性影響碱茁，而是從另外的角度切入SDN，比如網(wǎng)絡(luò)虛擬化的應(yīng)用仿贬，其實(shí)SDN平安城市視頻監(jiān)控運(yùn)維與網(wǎng)絡(luò)虛擬化的核心是一致的纽竣，在SDN領(lǐng)域有很多技術(shù)實(shí)現(xiàn)是通過虛擬化來完成的，同時SDN又賦予了網(wǎng)絡(luò)虛擬化新的發(fā)展空間茧泪。例如被VMware收購的Nicira的控制器就采用了虛擬化Overlay隧道封裝來分離數(shù)據(jù)平面和控制平面蜓氨。國內(nèi)一些運(yùn)營商(中國電信、中國移動队伟、中國聯(lián)通)也開始進(jìn)入SDN的實(shí)質(zhì)性研究階段穴吹，對網(wǎng)絡(luò)流量的感知，提升網(wǎng)絡(luò)的可管理性嗜侮。將網(wǎng)絡(luò)虛擬化技術(shù)作為SDN的一種應(yīng)用方式進(jìn)行研究港令。此外，需要注意的是SDN有別于網(wǎng)絡(luò)虛擬化锈颗，只不過網(wǎng)絡(luò)虛擬化在應(yīng)用層面已經(jīng)先行一步顷霹，離我們越來越近了。

SDN有別于網(wǎng)絡(luò)虛擬化击吱，SDN是一種新型的開放網(wǎng)絡(luò)創(chuàng)新架構(gòu)淋淀。最初是由美國斯坦福大學(xué)研究組提出，借助OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來覆醇，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制朵纷，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺炭臭，包括OpenFlow控制器和OpenFlow交換機(jī)。但是在發(fā)展的過程中袍辞，SDN逐漸從OpenFlow擴(kuò)展開來徽缚，?網(wǎng)絡(luò)運(yùn)維管理一些?定制化的編程方式，通過開放的API接口或其他開放協(xié)議革屠，實(shí)現(xiàn)轉(zhuǎn)發(fā)層跟控制層的分離和管理的一致性;以及一些通過Overlay的技術(shù)實(shí)現(xiàn)軟件對硬件的控制的方式也被認(rèn)為是SDN。OpenFlow是SDN控制器間通信和控制分支環(huán)境中兼容OpenFlow網(wǎng)絡(luò)設(shè)備的標(biāo)準(zhǔn)方式排宰。網(wǎng)絡(luò)控制平面通過SDN從數(shù)據(jù)平面中分離出來似芝。這意味著網(wǎng)絡(luò)控制權(quán)將從轉(zhuǎn)發(fā)數(shù)據(jù)包的設(shè)備中剝離出來，并集中放在服務(wù)器上被稱為控制器的軟件上板甘。

網(wǎng)絡(luò)虛擬化是能夠?qū)崿F(xiàn)網(wǎng)絡(luò)資源動態(tài)調(diào)配党瓮、動態(tài)管理的技術(shù)⊙卫啵基本上分成兩個部分：其一是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身的虛擬化寞奸，比如原來單一的網(wǎng)絡(luò)可以虛擬化成多個網(wǎng)絡(luò)，原來多個單一的網(wǎng)絡(luò)單元也可以虛擬成單一網(wǎng)絡(luò)在跳。其二是網(wǎng)絡(luò)提供與虛擬化服務(wù)器枪萄、儲存等數(shù)據(jù)中心環(huán)境適配的特性，這些特性包含與虛擬機(jī)的互動猫妙、虛擬機(jī)的識別等瓷翻。與服務(wù)器虛擬化和存儲虛擬化類似，多個虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)在同一個物理網(wǎng)絡(luò)上運(yùn)行(可能有重疊的IP地址)割坠，而且每個虛擬網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的運(yùn)作就好像只有這網(wǎng)絡(luò)運(yùn)維管理一個虛擬網(wǎng)絡(luò)在此共享的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上運(yùn)作齐帚。

總體而言，網(wǎng)絡(luò)虛擬化負(fù)責(zé)在物理網(wǎng)絡(luò)基礎(chǔ)上建立虛擬通道并添加虛擬功能彼哼，而SDN則用于調(diào)整物理網(wǎng)絡(luò)对妄，因此后者對于網(wǎng)絡(luò)體系的配置及管理來說屬于真正的全新外部手段。舉例來說敢朱，我們可以將頗具規(guī)模的“大型傳輸流”由1G端口遷移至10G端口剪菱，或者將大量“小型傳輸流”匯聚在同一個1G端口處。SDN依靠網(wǎng)絡(luò)交換機(jī)作為實(shí)現(xiàn)載體拴签，而不像前者那樣借助x86服務(wù)器的參與琅豆。這兩類技術(shù)方案的設(shè)計(jì)目的都是為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的移動性與敏捷性。我們需要對網(wǎng)絡(luò)體系進(jìn)行編程的途徑篓吁，而實(shí)現(xiàn)該目的的手段除了網(wǎng)絡(luò)虛擬化以及軟件定義網(wǎng)絡(luò)之外還有網(wǎng)絡(luò)功能虛擬化茫因。網(wǎng)絡(luò)虛擬化與網(wǎng)絡(luò)功能虛擬化能夠直接作用于現(xiàn)有網(wǎng)絡(luò)，因?yàn)樗鼈兊倪\(yùn)行基礎(chǔ)是服務(wù)器以及與之相交互的“經(jīng)過處理”的流量;軟件定義網(wǎng)絡(luò)則要求采用全新的網(wǎng)絡(luò)結(jié)構(gòu)杖剪，其中數(shù)據(jù)與控制平臺必須加以劃分冻押。

應(yīng)用環(huán)節(jié)驰贷，SDN還需突破傳統(tǒng)網(wǎng)絡(luò)的局限性，SDN對企業(yè)的IT人士來說既提供了重大的機(jī)遇洛巢，也提出了巨大的挑戰(zhàn)括袒。SDN有希望讓網(wǎng)絡(luò)更加靈活，縮短配絡(luò)的時間稿茉，改善服務(wù)質(zhì)量锹锰，降低運(yùn)營成本，并且可以讓網(wǎng)絡(luò)更安全漓库。但對國內(nèi)大多數(shù)應(yīng)用企業(yè)而言恃慧，對這項(xiàng)新技術(shù)仍不敢過多嘗試，往往停留在調(diào)查研究與評估階段渺蒿。目前痢士，SDN的主要用戶群仍停留在運(yùn)營商、?平安城市視頻監(jiān)控運(yùn)維互聯(lián)網(wǎng)數(shù)據(jù)中心和研究機(jī)構(gòu)實(shí)施SDN之前茂装，首先要考慮傳統(tǒng)網(wǎng)絡(luò)遇到了哪些難題怠蹂，SDN技術(shù)會給企業(yè)帶來哪些好處，是否能解決傳統(tǒng)網(wǎng)絡(luò)遇到的瓶頸少态，同時對遺留的網(wǎng)絡(luò)基礎(chǔ)設(shè)施會產(chǎn)生什么樣的影響?要搞清楚這些問題城侧，而不能盲目的追求新技術(shù)，要追尋SDN技術(shù)背后給企業(yè)帶來的益處彼妻。

從概念上講赞庶，SDN帶來的益處顯而易見：其不必觸及每個交換機(jī)和路由器，OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來澳骤，便可實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制從長遠(yuǎn)看歧强，大多數(shù)機(jī)構(gòu)在遷移到SDN應(yīng)用的同時將堅(jiān)持他們對傳統(tǒng)設(shè)備的投資。事實(shí)上为肮，SDN到目前為止還主要用于高等教育領(lǐng)域和大型網(wǎng)絡(luò)企業(yè)摊册。而主流的企業(yè)應(yīng)用SDN還將需要更多的增強(qiáng)功能和標(biāo)準(zhǔn)化。

SDN未來的發(fā)展颊艳，需要將SDN和傳統(tǒng)的網(wǎng)絡(luò)進(jìn)行協(xié)同發(fā)展茅特。SDN的基礎(chǔ)網(wǎng)絡(luò)原理都來源于傳統(tǒng)網(wǎng)絡(luò)，并沒有對網(wǎng)絡(luò)原理提出更多的創(chuàng)新棋枕，熟悉傳統(tǒng)網(wǎng)絡(luò)白修，將傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)的協(xié)作過程及需要的標(biāo)準(zhǔn)、?產(chǎn)品重斑、工具做好兵睛，也必定能促進(jìn)SDN的發(fā)展。同時需要不斷研究SDN的不足，找出SDN技術(shù)不適用的領(lǐng)域祖很，就可以避開SDN的死角笛丙。考慮到傳統(tǒng)網(wǎng)絡(luò)目前的現(xiàn)狀假颇，實(shí)現(xiàn)SDN仍須時日胚鸯。目前可能實(shí)現(xiàn)的目標(biāo)是網(wǎng)絡(luò)虛擬化，其方式是在虛擬機(jī)管理程序之上建立一個軟件控制的疊加網(wǎng)絡(luò)笨鸡，以將所有的虛擬服務(wù)器資產(chǎn)整合在一起姜钳。在SDN的廣闊應(yīng)用前景中，包括物理與虛擬資源在內(nèi)的所有資源將在軟件控制的世界當(dāng)中協(xié)同工作形耗。

SDN應(yīng)用的安全哥桥，SDN本身也會存在漏洞，特別是復(fù)雜的SDN的控制器趟脂。數(shù)據(jù)平面和控制平面的分離主要是由控制器實(shí)現(xiàn)的，控制器需要應(yīng)對各種動態(tài)的網(wǎng)絡(luò)拓?fù)淅埽馕龈鞣N類型的數(shù)據(jù)包昔期，接收上層應(yīng)用的信息，并控制底層網(wǎng)絡(luò)設(shè)備的行為佛玄，所以功能實(shí)現(xiàn)將會非常復(fù)雜硼一，也就可能存在不少漏洞。

當(dāng)攻擊者攻破控制器梦抢，就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令般贼，很容易癱瘓整個網(wǎng)絡(luò)，或?qū)⒛承?shù)據(jù)流重定向到惡意VM(虛擬機(jī))奥吩，造成敏感信息的泄露哼蛆。攻擊者只要通過高級持續(xù)攻擊獲得對SDN控制器的控制權(quán)，就可能導(dǎo)致整個網(wǎng)絡(luò)“淪陷”霞赫。作為直接與網(wǎng)絡(luò)設(shè)備通信的應(yīng)用程序系統(tǒng)腮介，SDN控制器是在所有組件直接建立通信的軟件系統(tǒng)。也正因?yàn)槿绱硕怂ィ壳捌髽I(yè)選擇SDN就意味著要選擇承受來自網(wǎng)絡(luò)安全的威脅叠洗，而一直以來，SDN概念中并沒有過多的去考慮安全因素旅东。這也是造成企業(yè)在選擇SDN時猶豫不決灭抑，無法進(jìn)行規(guī)模部署的原因之一。因此抵代，企業(yè)需如何將安全系統(tǒng)融入SDN網(wǎng)絡(luò)是未來應(yīng)用SDN的關(guān)鍵腾节。

未來，SDN也許會在企業(yè)中普遍應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)的可編程性禀倔，使上層的軟件應(yīng)用與下層的硬件徹底剝離榄融。企業(yè)可以在SDN的網(wǎng)絡(luò)中，開發(fā)適合企業(yè)自身所需的功能救湖，降低硬件投入愧杯，簡化管理水平，降低企業(yè)IT部門的人員成本鞋既。但是在硬件成本降低的同時力九，是否意味著軟件或網(wǎng)絡(luò)服務(wù)成本提高?還需要根據(jù)企業(yè)自身的特點(diǎn)進(jìn)一步評估，但相信不久的將來邑闺，SDN會像網(wǎng)絡(luò)虛擬化一樣跌前，離我們越來越近。

轉(zhuǎn)載自：點(diǎn)點(diǎn)網(wǎng)