作者：加州大學(xué)伯克利分校電氣工程與計(jì)算機(jī)科學(xué)系 Scott Shenker教授

　　當(dāng)前，SDN(Software-Defined Networking，軟件定義網(wǎng)絡(luò))正在成為整個(gè)ICT行業(yè)都在重點(diǎn)關(guān)注和津津樂(lè)道的話題，在本文中首先我想談?wù)剬?duì)SDN誕生的幾點(diǎn)思考，以及經(jīng)過(guò)5年研發(fā)后，我們現(xiàn)在對(duì)SDN的看法。

　　控制面抽象化

　　一直以來(lái)，“網(wǎng)絡(luò)管理難”都是我們不得不解決的問(wèn)題。比如，一臺(tái)交換機(jī)所需的系統(tǒng)管理員支持工作量比一個(gè)計(jì)算節(jié)點(diǎn)高一個(gè)數(shù)量級(jí)。相比其它計(jì)算機(jī)科學(xué)技術(shù)，很難通過(guò)新增功能來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)技術(shù)的演進(jìn)。要構(gòu)建高效的系統(tǒng)，就需要抽象化地將“網(wǎng)絡(luò)管理難”問(wèn)題分模塊處理。

　　數(shù)據(jù)面的運(yùn)行速度達(dá)到納秒級(jí)，而且完全是本地的?？刂泼尕?fù)責(zé)決定如何配置轉(zhuǎn)發(fā)狀態(tài)(包括算法或手工方式)。這個(gè)過(guò)程的處理時(shí)間從幾十毫秒到幾天不等，并且依賴于外部的信息輸入。因此，控制面從本質(zhì)上來(lái)說(shuō)是非本地的。

　　這種分層方式是互聯(lián)網(wǎng)取得如此巨大成功的原因，并且讓各層獨(dú)立創(chuàng)新成為現(xiàn)實(shí)。比如，在網(wǎng)絡(luò)中部署一項(xiàng)新的光學(xué)技術(shù)后，網(wǎng)絡(luò)堆棧中其它功能都將保持不變，無(wú)須重寫(xiě)整個(gè)網(wǎng)絡(luò)堆棧。這就是為什么互聯(lián)網(wǎng)可以在架構(gòu)幾乎不變的情況下，在速度、規(guī)模和使用多樣性方面提高了6～7個(gè)數(shù)量級(jí)。

　　作為SDN社區(qū)的成員，我們將數(shù)據(jù)面抽象化的做法是對(duì)的。另一方面，由于控制面只是基于各種協(xié)議，沒(méi)有可重用的抽象，因此對(duì)SDN的需求與日俱增。

　　在我們的定義中，SDN采用兩種控制面抽象化方式：(1)提供系統(tǒng)實(shí)施信息的網(wǎng)絡(luò)全局視圖;(2)采用OpenFlow等轉(zhuǎn)發(fā)模型的網(wǎng)絡(luò)操作系統(tǒng)(這些模型在網(wǎng)絡(luò)控制層的服務(wù)器上運(yùn)行)。這種定義帶來(lái)了重大變化，原因在于控制機(jī)制現(xiàn)在只不過(guò)是使用網(wǎng)絡(luò)操作系統(tǒng)API的圖算法。

　　如今，網(wǎng)絡(luò)管理和演進(jìn)變得越來(lái)越簡(jiǎn)單。數(shù)據(jù)面完全在交換機(jī)中進(jìn)行運(yùn)作，而控制面在使用商用硬件和第三方軟件的網(wǎng)絡(luò)服務(wù)器上運(yùn)作。此外，可以獨(dú)立對(duì)控制面進(jìn)行測(cè)試，無(wú)須依賴底層硬件。這讓網(wǎng)絡(luò)呈現(xiàn)IT化趨勢(shì)。

　　虛擬化：SDN的殺手級(jí)應(yīng)用

　　我們不斷探索新的、更高級(jí)的模塊化類型。我們?cè)J(rèn)為，控制程序?qū)⒂?jì)算出所有網(wǎng)絡(luò)交換機(jī)的轉(zhuǎn)發(fā)狀態(tài)配置數(shù)據(jù)。此外，我們還曾認(rèn)為數(shù)據(jù)面非常簡(jiǎn)單，而且交換機(jī)在角色和功能上變得趨同。

　　操作員通過(guò)控制程序下發(fā)網(wǎng)絡(luò)需求和策略。然而，控制程序不應(yīng)該負(fù)責(zé)實(shí)施這些需求。這是因?yàn)槟K化的目標(biāo)之一是使系統(tǒng)的可重用部分變得復(fù)雜化，并且讓每個(gè)應(yīng)用程序的待寫(xiě)內(nèi)容變得簡(jiǎn)單。

　　我們正在推出一種新的、純邏輯的虛擬拓?fù)涑橄蠛托碌腟DN層。操作員可以通過(guò)配置邏輯交換機(jī)來(lái)下發(fā)流表項(xiàng)需求和策略。SDN Hypervisor層將這些需求進(jìn)行轉(zhuǎn)化后，發(fā)送給物理交換機(jī)(可當(dāng)做虛擬拓?fù)涞木幾g器)。

　　我們已經(jīng)簡(jiǎn)化了控制程序的編寫(xiě)方式。同時(shí)，我們讓本來(lái)就很難的編譯器編寫(xiě)工作更加困難了。

　　新的SDN層就是指網(wǎng)絡(luò)Hypervisor及其虛擬拓?fù)洹Ｊ紫?，根?jù)拓?fù)浜痛瓿扇蝿?wù)來(lái)編寫(xiě)控制程序。然后網(wǎng)絡(luò)Hypervisor把虛擬拓?fù)涞膮R編信息融入物理網(wǎng)絡(luò)全局視圖。最后，網(wǎng)絡(luò)操作系統(tǒng)把全局視圖的配置信息下發(fā)給物理交換機(jī)。

　　實(shí)施網(wǎng)絡(luò)Hypervisor后，虛擬化成為SDN的殺手級(jí)應(yīng)用。多租戶云中心(如Rackspace、亞馬遜)的大量客戶正在把網(wǎng)絡(luò)遷移到云中。為確保數(shù)據(jù)中心能夠提供滿足策略和需求的虛擬拓?fù)?，網(wǎng)絡(luò)Hypervisor需匯編數(shù)千條底層配置信息，以滿足各租戶的需求。SDN出現(xiàn)以前，對(duì)數(shù)千個(gè)虛擬網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)更改是不可能的。通過(guò)簡(jiǎn)化網(wǎng)絡(luò)管理，虛擬化為我們帶來(lái)了增值，讓人們?cè)敢馔顿YSDN。

　　一般而言，虛擬拓?fù)鋬H僅是實(shí)施轉(zhuǎn)發(fā)的邏輯網(wǎng)絡(luò)。融入高級(jí)功能(如鑒權(quán))后，虛擬拓?fù)淠軅鬟_(dá)應(yīng)用層面的語(yǔ)義(比如，允許誰(shuí)和誰(shuí)通話)，并且允許網(wǎng)絡(luò)Hypervisor在網(wǎng)絡(luò)層面實(shí)施這些策略。

　　如今，操作員可以通過(guò)抽象方式下發(fā)需求，網(wǎng)絡(luò)Hypervisor可完全自行決定如何滿足這些需求。這一點(diǎn)非常重要。

　　起初，我們?cè)J(rèn)為交換機(jī)在角色和功能上是相似的。目前，網(wǎng)絡(luò)使用報(bào)文頭來(lái)讓主機(jī)與網(wǎng)絡(luò)通信，或者讓報(bào)文與路由器或交換機(jī)通信。收到報(bào)文后，交換機(jī)首先會(huì)問(wèn)：“主機(jī)需要我把這條報(bào)文發(fā)到哪里?”之后，各個(gè)交換機(jī)會(huì)說(shuō)：“根據(jù)上個(gè)問(wèn)題的答案來(lái)查找轉(zhuǎn)發(fā)站，決定下發(fā)路徑”。

　　SDN為操作員提供一個(gè)清晰的全可編程方式來(lái)控制網(wǎng)絡(luò)。然而，SDN不會(huì)分離主機(jī)網(wǎng)絡(luò)和報(bào)文路由器接口。報(bào)文頭仍用于查找路由器或交換機(jī)。

　　將MPLS融入SDN

　　多協(xié)議標(biāo)簽交換(MPLS)在區(qū)分網(wǎng)絡(luò)邊界和核心方面起到重要作用。報(bào)文到達(dá)第一個(gè)上層路由器時(shí)，邊界路由器會(huì)問(wèn)：“主機(jī)想干什么?”，然后在報(bào)文中加入標(biāo)簽，這個(gè)標(biāo)簽只有在本地網(wǎng)絡(luò)中有意義。網(wǎng)絡(luò)核心無(wú)須了解報(bào)文頭，只是說(shuō)：“從現(xiàn)在起，MPLS標(biāo)簽足以讓我了解如何轉(zhuǎn)發(fā)報(bào)文”。

　　早在5年前，我們就應(yīng)該把MPLS融入SDN，讓邊界路由器來(lái)讀取整個(gè)報(bào)文頭并將MPLS標(biāo)簽嵌入報(bào)文，讓核心路由器來(lái)讀取報(bào)文。我們目前正在努力將MPLS融入SDN。

　　融入MPLS后，整個(gè)網(wǎng)絡(luò)被分解成模塊。在模塊化網(wǎng)絡(luò)中，各項(xiàng)任務(wù)只執(zhí)行一次：網(wǎng)絡(luò)邊界完全負(fù)責(zé)主機(jī)接口;網(wǎng)絡(luò)核心通過(guò)標(biāo)簽管理報(bào)文路由器接口;SDN管理操作員接口。

　　我們提出分離網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)核心的理由之一，是讓網(wǎng)絡(luò)核心專注于報(bào)文發(fā)送，而訪問(wèn)控制和隔離功能則由網(wǎng)絡(luò)邊界來(lái)完成。顯然，網(wǎng)絡(luò)核心必須負(fù)責(zé)報(bào)文發(fā)送，包括組播和服務(wù)質(zhì)量(QoS)，而其它工作由網(wǎng)絡(luò)邊界來(lái)完成。

　　經(jīng)過(guò)簡(jiǎn)化后，網(wǎng)絡(luò)核心只用負(fù)責(zé)一項(xiàng)任務(wù)，即在網(wǎng)絡(luò)邊界之間發(fā)送報(bào)文。這樣一來(lái)，網(wǎng)絡(luò)核心的工作性能得到大幅提升。

　　試想一下，一旦分離了網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)核心，為什么不讓主機(jī)靠近網(wǎng)絡(luò)邊界呢?要實(shí)現(xiàn)這點(diǎn)，就得在主機(jī)上安裝可信的硬件和軟件(如主機(jī)網(wǎng)絡(luò)接口卡)以及大量分布式系統(tǒng)和安全措施。不過(guò)，我們可以想象把網(wǎng)絡(luò)部署在只看得見(jiàn)由主機(jī)生成的標(biāo)簽的位置。

　　過(guò)去，網(wǎng)絡(luò)完全由硬件交換機(jī)組成。如今，軟件交換機(jī)成為了常見(jiàn)的網(wǎng)絡(luò)組成部分。在部署包括邊界和核心部分的網(wǎng)絡(luò)時(shí)，所有邊界交換機(jī)都應(yīng)該是軟件交換機(jī)。這是我們的第二個(gè)激進(jìn)的觀點(diǎn)。

　　數(shù)據(jù)中心已經(jīng)在使用虛擬交換機(jī)和Hypervisor。Verizon、AT&T和德電等大型互聯(lián)網(wǎng)服務(wù)提供商的所有帶寬都經(jīng)過(guò)網(wǎng)絡(luò)邊界。為了轉(zhuǎn)發(fā)這些流量，他們要花多少錢才能買到足夠的網(wǎng)絡(luò)核心設(shè)備呢?答案是他們需要花15萬(wàn)美元，不及一臺(tái)中型路由器的價(jià)格?？v觀其他企業(yè)的網(wǎng)絡(luò)，我認(rèn)為在網(wǎng)絡(luò)邊界采用軟件轉(zhuǎn)發(fā)這種方式并非行不通。

　　當(dāng)然硬件轉(zhuǎn)發(fā)和軟件轉(zhuǎn)發(fā)在速度上存在兩個(gè)數(shù)量級(jí)的差別，我認(rèn)為可以用軟件來(lái)滿足邊界轉(zhuǎn)發(fā)需求，提高邊界軟件的靈活性讓我們受益；無(wú)需在網(wǎng)絡(luò)核心實(shí)施軟件交換，因?yàn)楹诵闹回?fù)責(zé)根據(jù)標(biāo)簽來(lái)進(jìn)行流量轉(zhuǎn)發(fā)，而硬件就能實(shí)現(xiàn)轉(zhuǎn)發(fā)。

　　邊界軟件轉(zhuǎn)發(fā)讓網(wǎng)絡(luò)架構(gòu)演進(jìn)和多樣化成為可能。整個(gè)網(wǎng)絡(luò)中，只有網(wǎng)絡(luò)邊界的軟件需要了解本領(lǐng)域的協(xié)議，其它網(wǎng)絡(luò)部分無(wú)須了解協(xié)議。只需更改SDN控制程序，就能實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)更新(如IPv4到IPv6)。一切就這么簡(jiǎn)單。

　　可以在一個(gè)域中并行運(yùn)行多個(gè)架構(gòu)。“在一個(gè)主機(jī)中并行支持多個(gè)架構(gòu)”這種想法看似很激進(jìn)，但所需要的改變都非常簡(jiǎn)單，都在我們的技術(shù)能力范圍內(nèi)。關(guān)鍵在于要說(shuō)服人們，讓他們覺(jué)得落實(shí)這個(gè)想法是值得的。

　　邊界軟件的中間件功能

　　最后我還要提一點(diǎn)。一直以來(lái)我們都認(rèn)為網(wǎng)絡(luò)數(shù)據(jù)面是平的，很簡(jiǎn)單。但現(xiàn)在我們應(yīng)該改變這種看法。

　　互聯(lián)網(wǎng)數(shù)據(jù)面只是實(shí)現(xiàn)“盡力而為”的數(shù)據(jù)轉(zhuǎn)發(fā)。而實(shí)際上，很多中間件或網(wǎng)絡(luò)設(shè)備都能擴(kuò)大數(shù)據(jù)面，讓數(shù)據(jù)面實(shí)現(xiàn)各種功能，如防火墻、LAN優(yōu)化、網(wǎng)關(guān)、VPN、負(fù)載均衡和入侵檢測(cè)。數(shù)據(jù)面一點(diǎn)也不簡(jiǎn)單。大中小型和超大型網(wǎng)絡(luò)中，中間件的數(shù)量比得上路由器和交換機(jī)的數(shù)量。

　　有4個(gè)重要的事實(shí)值得我們注意：第一，大多數(shù)報(bào)文是由多個(gè)中間件處理的，這些中間件檢查各個(gè)報(bào)文并作出決定，如“這個(gè)報(bào)文的內(nèi)容與我無(wú)關(guān)，要把它扔掉”、“需要檢查報(bào)文，明確是否有人在攻擊我”，或者“需要實(shí)施防火墻功能以控制鏈接”;第二，中間件通常部署在網(wǎng)絡(luò)邊界;第三，中間件通常使用x86處理架構(gòu)，但并非所有情況都如此;第四，中間件的報(bào)文處理流程比單純的報(bào)文轉(zhuǎn)發(fā)流程要復(fù)雜得多。

　　接受這4個(gè)事實(shí)后，還需要面對(duì)一個(gè)絕對(duì)無(wú)法回避的結(jié)論：SDN應(yīng)該加強(qiáng)邊界軟件的中間件功能。

　　邊界軟件代表了從硬件到軟件的徹底轉(zhuǎn)變。硬件網(wǎng)絡(luò)退化成為“啞管道”——當(dāng)初沒(méi)有中間件的時(shí)候，網(wǎng)絡(luò)就是啞管道。SDN控制下的邊界軟件帶來(lái)了有趣的轉(zhuǎn)變。

　　SDN的顛覆性本質(zhì)就體現(xiàn)在這個(gè)轉(zhuǎn)變中。

　　SDN對(duì)控制面實(shí)施精細(xì)的模塊化，讓交換機(jī)、網(wǎng)絡(luò)操作系統(tǒng)和控制程序各司其職。虛擬化讓控制程序和物理網(wǎng)絡(luò)實(shí)現(xiàn)解耦。作為虛擬拓?fù)洌琒DN平臺(tái)能完全控制實(shí)施需求的方式，如把功能放在網(wǎng)絡(luò)邊界，讓網(wǎng)絡(luò)核心進(jìn)行流量轉(zhuǎn)發(fā)。

　　軟件交換并非易事，無(wú)法一蹴而就。需要采取新的思維方式和方法來(lái)制定軟件架構(gòu)。新產(chǎn)品將會(huì)出現(xiàn)，如目前尚不存在的高端口密度軟件交換機(jī)。新的市場(chǎng)參與者將填補(bǔ)利基市場(chǎng)的空白。軟件交換正在進(jìn)行中。如果擔(dān)心時(shí)延問(wèn)題，你可以算算目前中間件導(dǎo)致的時(shí)延?？傊密浖粨Q這一趨勢(shì)來(lái)靈活定義功能——就像虛擬數(shù)據(jù)中心領(lǐng)域一樣。這場(chǎng)轉(zhuǎn)變正在改變網(wǎng)絡(luò)行業(yè)的性質(zhì)，促進(jìn)創(chuàng)新，強(qiáng)化競(jìng)爭(zhēng)并改善客戶體驗(yàn)。