校園網(wǎng)
在校園中部署 OpenFlow 網(wǎng)絡(luò)，是OpenFlow 設(shè)計(jì)之初應(yīng)用較多的場(chǎng)所，它為學(xué)校的科研人員構(gòu)建了一個(gè)可以部署網(wǎng)絡(luò)新協(xié)議和新算法的創(chuàng)新平臺(tái)，并實(shí)現(xiàn)了基本的網(wǎng)絡(luò)管理和安全控制功能。目前已經(jīng)有包括斯坦福大學(xué)、清華大學(xué)在內(nèi)的多所高校部署了OpenFlow 網(wǎng)絡(luò)，并搭建了一些應(yīng)用環(huán)境。

圖4 清華大學(xué)基于OpenFlow的LiveSec網(wǎng)絡(luò)安全系統(tǒng)

數(shù)據(jù)中心互聯(lián)
大型企業(yè)的數(shù)據(jù)中心往往不止一個(gè)，為了容災(zāi)備份或其它一些需求，這些分布在異地的數(shù)據(jù)中心通常會(huì)租用運(yùn)營(yíng)商的VPN專(zhuān)線進(jìn)行互聯(lián)。由于數(shù)據(jù)中心之間的業(yè)務(wù)流量具有不確定性，為了保證數(shù)據(jù)中心間傳輸?shù)男阅?，企業(yè)通常按照峰值帶寬來(lái)租用WAN鏈路，然而由于大部分時(shí)間這些WAN鏈路都處于低利用率狀態(tài)，因此造成資源的極大浪費(fèi)。Google創(chuàng)造性地利用OpenFlow技術(shù)有效的解決了這個(gè)問(wèn)題。

Google的廣域網(wǎng)由兩張骨干網(wǎng)平面組成，即外網(wǎng)和內(nèi)網(wǎng)。外網(wǎng)用于承載用戶流量，稱(chēng)為I-scale網(wǎng)絡(luò)，而內(nèi)網(wǎng)則用于承載數(shù)據(jù)中心之間的流量，稱(chēng)為G-scale網(wǎng)絡(luò)，這兩張網(wǎng)絡(luò)的需求差別性很大，流量特性也存在著很大的差別。如今Google已經(jīng)在G-scale網(wǎng)絡(luò)中大規(guī)模的部署了SDN解決方案， Google基于OpenFlow的全球數(shù)據(jù)中心互聯(lián)如圖5所示。

根據(jù)G-scale網(wǎng)絡(luò)的需求和流量特性，Google利用Openflow協(xié)議，自己開(kāi)發(fā)了網(wǎng)絡(luò)交換機(jī)，并基于OpenFlow開(kāi)發(fā)了開(kāi)放的路由協(xié)議棧。每個(gè)數(shù)據(jù)中心站點(diǎn)部署了多臺(tái)交換機(jī)設(shè)備，保證可擴(kuò)展性(高達(dá)T比特的帶寬)和高容錯(cuò)率，站點(diǎn)之間通過(guò)多個(gè)OpenFlow控制器實(shí)現(xiàn)網(wǎng)絡(luò)調(diào)度。在這個(gè)廣域網(wǎng)矩陣中，Google建立了一個(gè)集中的流量工程模型，可以實(shí)時(shí)計(jì)算和選擇最佳路徑。到2012年初，Google數(shù)據(jù)中心全部骨干連接已經(jīng)都采用這種架構(gòu)，WAN鏈路利用率提升到95%。

圖5 Google基于OpenFlow的全球數(shù)據(jù)中心互聯(lián)

4.2 發(fā)展方向
由于SDN的靈活性、開(kāi)放性和可編程性，其未來(lái)的發(fā)展前景將更加廣闊，目前可以看到的潛在應(yīng)用領(lǐng)域還包括云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)互聯(lián)、基于SDN的無(wú)線通信運(yùn)營(yíng)商網(wǎng)絡(luò)、未來(lái)互聯(lián)網(wǎng)架構(gòu)等。

云數(shù)據(jù)中心網(wǎng)絡(luò)
隨著云計(jì)算模式和數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的數(shù)據(jù)流量驟增，交換機(jī)層次的管理結(jié)構(gòu)復(fù)雜，服務(wù)器和虛擬機(jī)需要快速配置和數(shù)據(jù)遷移。如果不能在龐大的服務(wù)器機(jī)群中進(jìn)行高效的尋址和數(shù)據(jù)傳輸，很容易造成網(wǎng)絡(luò)擁塞和性能瓶頸。

SDN 控制轉(zhuǎn)發(fā)分離的技術(shù)特點(diǎn)滿足了數(shù)據(jù)中心密集型服務(wù)器需要集中管控的需求，增加了數(shù)據(jù)中心實(shí)際配置和操作的靈活性。將OpenFlow交換機(jī)部署到數(shù)據(jù)中心網(wǎng)絡(luò)，可以實(shí)現(xiàn)高效尋址、優(yōu)化傳輸路徑、負(fù)載均衡等功能，從而進(jìn)一步提高數(shù)據(jù)交換的效率，增加數(shù)據(jù)中心的可控性。Google 在其數(shù)據(jù)中心全面采用基于OpenFlow 的SDN 技術(shù)，大幅度提高其數(shù)據(jù)中心之間鏈路利用率，起到了很好的示范作用。同時(shí)，針對(duì)數(shù)據(jù)中心動(dòng)態(tài)路由、負(fù)載均衡和能量管理等方面的研究也有相關(guān)實(shí)例部署，將成為基于OpenFlow 的SDN 技術(shù)近年的研究熱點(diǎn)。

運(yùn)營(yíng)商網(wǎng)絡(luò)
運(yùn)營(yíng)商架構(gòu)的傳統(tǒng)電信網(wǎng)絡(luò)，有著過(guò)度復(fù)雜和封閉的特性，沉淀了大量不必要的功能和性能。這些網(wǎng)絡(luò)由大量單一功能的網(wǎng)絡(luò)節(jié)點(diǎn)和昂貴的硬件設(shè)備構(gòu)成，造成網(wǎng)絡(luò)成本高居不下，業(yè)務(wù)收入增長(zhǎng)無(wú)力的被動(dòng)局面。

而SDN的提出很好的解決了上述問(wèn)題，與此同時(shí)，SDN將對(duì)運(yùn)營(yíng)商的網(wǎng)絡(luò)建設(shè)、組網(wǎng)架構(gòu)和運(yùn)維模式帶來(lái)一定挑戰(zhàn)，特別是對(duì)于已經(jīng)構(gòu)建了大量基于硬件控制網(wǎng)絡(luò)的電信運(yùn)營(yíng)商而言，SDN既是一個(gè)新挑戰(zhàn)，也是一個(gè)新機(jī)遇，但從封閉的黑盒網(wǎng)絡(luò)走向開(kāi)放的可編程軟網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)。

目前，美國(guó)運(yùn)營(yíng)商AT&T和Verizon等均將SDN應(yīng)用于云計(jì)算數(shù)據(jù)中心組網(wǎng)。德國(guó)電信、法國(guó)電信、意大利電信等運(yùn)營(yíng)商也開(kāi)始開(kāi)發(fā)和部署SDN技術(shù)。我國(guó)的電信運(yùn)營(yíng)商也紛紛投入大量的資源建設(shè)大型數(shù)據(jù)中心，與設(shè)備廠商開(kāi)展合作，對(duì)SDN和相關(guān)技術(shù)進(jìn)行實(shí)驗(yàn)研究，后續(xù)還將根據(jù)技術(shù)和設(shè)備成熟情況開(kāi)展測(cè)試和部署工作。據(jù)了解，中國(guó)移動(dòng)在南方基地建造了眾多數(shù)據(jù)中心，計(jì)劃今年底就實(shí)際引入SDN進(jìn)行現(xiàn)網(wǎng)部署。中國(guó)電信也以國(guó)家項(xiàng)目為基礎(chǔ)，在數(shù)據(jù)中心、城域網(wǎng)控制面進(jìn)行設(shè)備和組網(wǎng)方案驗(yàn)證。

未來(lái)互聯(lián)網(wǎng)
當(dāng)前，傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備使用著封閉、專(zhuān)有的內(nèi)部接口，運(yùn)行著大量的分布式協(xié)議。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，封閉的網(wǎng)絡(luò)設(shè)備使網(wǎng)絡(luò)面臨著諸多問(wèn)題與挑戰(zhàn)，如安全性、健壯性、可管理性及移動(dòng)性等，而且由于網(wǎng)絡(luò)管理需要大量的人工配置、設(shè)備兼容等問(wèn)題，網(wǎng)絡(luò)維護(hù)成本一直居高不下。

由于傳統(tǒng)IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的大量部署，未來(lái)互聯(lián)網(wǎng)不可能一夜之間廢棄傳統(tǒng)基于IPv4的互聯(lián)網(wǎng)，而SDN的虛擬化功能則正好滿足這一點(diǎn)。利用SDN的虛擬化技術(shù)，實(shí)現(xiàn)了傳統(tǒng)業(yè)務(wù)流量與實(shí)驗(yàn)流量的隔離；同時(shí)，SDN提供的編程能力為研究人員提供了極大的便利，研究人員能夠基于開(kāi)放接口，研究和開(kāi)發(fā)新型的互聯(lián)網(wǎng)架構(gòu)和相關(guān)關(guān)鍵技術(shù)。

目前，美國(guó)的GENI計(jì)劃已經(jīng)基于OpenFlow技術(shù)構(gòu)建了一套針對(duì)未來(lái)互聯(lián)網(wǎng)創(chuàng)新和研究的實(shí)驗(yàn)網(wǎng)絡(luò)。國(guó)內(nèi)中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心目前也已經(jīng)開(kāi)展了相關(guān)的工作，擬在中科院系統(tǒng)內(nèi)部搭建一套基于OpenFlow的實(shí)驗(yàn)網(wǎng)，為中科院系統(tǒng)的科學(xué)研究工作提供支撐。

5. SDN及安全思考

在網(wǎng)絡(luò)領(lǐng)域，SDN思想和OpenFlow技術(shù)解決了下述一些問(wèn)題：

靈活的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)虛擬化
L2和L3的 VPN 不再需要完全取決于 MAC 和 IP 地址，而是可以基于任何包頭字段進(jìn)行VPN的劃分，具有極大的靈活性。

動(dòng)態(tài)靈活的網(wǎng)絡(luò)負(fù)載均衡
OpenFlow 維護(hù)統(tǒng)計(jì)數(shù)據(jù)作為其實(shí)施的組成部分，這允許動(dòng)態(tài)、快速地平衡網(wǎng)絡(luò)流量，OpenFlow 交換機(jī)可以動(dòng)態(tài)地監(jiān)視流量并根據(jù)需要平衡和引導(dǎo)負(fù)載。

二三層環(huán)路問(wèn)題
由于避免了分布式的動(dòng)態(tài)路由協(xié)議和MAC學(xué)習(xí)，可以根本上解決二三層環(huán)路問(wèn)題，而且能夠利用冗余鏈路提供路徑備份和帶寬擴(kuò)展。

路徑最優(yōu)化
由于控制平面具有全網(wǎng)的全局視圖，因此能夠提供最優(yōu)化的路徑?jīng)Q策。

帶寬動(dòng)態(tài)分配
允許針對(duì)特殊、短期的網(wǎng)絡(luò)活動(dòng)安排帶寬，然后自動(dòng)重新分配或回收。

安全問(wèn)題是網(wǎng)絡(luò)技術(shù)研究的一個(gè)永恒課題，SDN網(wǎng)絡(luò)的安全也不例外。我們將SDN與安全之間的關(guān)系概括為三個(gè)層次，如圖6所示：

SDN自身的安全性問(wèn)題，即Security of SDN
Security of SDN是指SDN交換機(jī)的安全性、SDN控制器的安全性以及SDN控制器上運(yùn)行的各種網(wǎng)絡(luò)應(yīng)用模塊的安全性等。

用SDN技術(shù)來(lái)實(shí)現(xiàn)安全服務(wù)，即Security to SDN
Security to SDN是指用SDN技術(shù)來(lái)實(shí)現(xiàn)安全服務(wù)功能的推送。利用SDN靈活的流量控制與路由選擇機(jī)制，實(shí)現(xiàn)安全業(yè)務(wù)的動(dòng)態(tài)和靈活推送，通過(guò)在控制器平臺(tái)上實(shí)現(xiàn)安全應(yīng)用，來(lái)為用戶提供相應(yīng)的安全服務(wù)。

用SDN技術(shù)來(lái)解決現(xiàn)網(wǎng)中的安全問(wèn)題，即Security by SDN
Security by SDN是指利用SDN的一些技術(shù)特點(diǎn)來(lái)解決或簡(jiǎn)化現(xiàn)網(wǎng)中傳統(tǒng)安全解決方案的實(shí)現(xiàn)。一個(gè)典型的例子是在網(wǎng)絡(luò)入口利用SDN進(jìn)行簡(jiǎn)單的流分類(lèi)，由于SDN是基于硬件的流轉(zhuǎn)發(fā)，因此可以達(dá)到線速流分類(lèi)，相比之下，性能優(yōu)于傳統(tǒng)的DPI設(shè)備。另外，還可以在網(wǎng)絡(luò)中的一些骨干節(jié)點(diǎn)上部署SDN，實(shí)現(xiàn)業(yè)務(wù)流量的重定向，能夠提供安全服務(wù)設(shè)備的靈活部署。

圖6 SDN與安全三層關(guān)系圖示

由于SDN網(wǎng)絡(luò)尚未大面積部署，SDN安全的方向現(xiàn)階段主要集中在用SDN技術(shù)來(lái)解決現(xiàn)網(wǎng)中的安全問(wèn)題和用SDN技術(shù)來(lái)實(shí)現(xiàn)安全服務(wù)，對(duì)于SDN網(wǎng)絡(luò)自身的安全問(wèn)題研究也會(huì)隨著SDN網(wǎng)絡(luò)的普及和應(yīng)用而深入展開(kāi)。