扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET安全频道 08月02日 综合消息: SDN自出现以来,最为活跃的领域首推数据中心:开放式API、统一运维、Overlay SDN……各种概念层出不穷,各厂商也纷纷推出各具特色的设备和方案,百舸争流。在广域网领域,以Google为首率先应用SDN进行广域带宽优化,紧跟着各大型互联网厂商纷纷受到鼓舞而摩拳擦掌,准备试水。园区领域虽然目前表面波澜不惊,但实质上已暗流涌动,客户诉求已经比较迫切和聚焦,只是苦于传统关键技术方案仍存在瓶颈。一旦有所突破,这个现网每年100多亿美元的市场将发生翻天覆地的变化,必将成为未来SDN变化最为剧烈的市场。
园区网的两大难题
随着园区在传统办公网络上不断地叠加视频智真、网络存储、VDI等越来越多的新业务,客户也越来越多地开始面对共同的两类最大的园区业务困惑:
(1)如何避免为了严格保障抖动、延时等高可靠性要求的各种新业务,被迫建设多张分离的烟囱型物理业务网络?是否可以在同一张网中保障所有业务正常运行并能做到业务隔离?如何建设一张可平滑兼容任何未来新业务的园区网络,而避免不断进行网络的非平滑升级?
(2)随着BYOD等无线办公应用的普及,面对大量无线和有线用户的融合网络,定义用户的要素已经不再仅仅是用户名和密码,而是将融入终端信息、位置信息、时间信息等更多维度,企业如何能够将如此复杂维度的固定业务和移动业务进行统一策略管理和部署?随着802.11ac时代的即将来临,以及现有的固定网络由百兆升级到千兆接入,如何能够在保证无线有线的统一大流量线速转发的同时,进行必要的业务识别和统一策略控制?
业界目前普遍认为SDN将是比较好的解决上述园区业务难题的最终答案,但是由于现有的基于ASIC的园区SDN方案存在种种技术限制,园区SDN一直只是存在小范围科研市场,没能实现突破性地规模商用部署。华为公司企业网络根据多年网络部署经验,和对未来园区多业务虚拟网络承载和有线无线网络的发展趋势的判断,基于可编程的第4代园区交换机,在可编程网络和统一策略控制Campus Controller两大核心技术的基础上,推出了“可编程Hybrid SDN”和“无线有线融合统一策略控制”两大园区SDN方案,突破了园区SDN的发展瓶颈,为企业平滑地向下一代园区网演进提供全面支持。
“可编程”Hybrid SDN园区网方案
普通的Hybrid SDN概念在园区网市场已经提出了一段时间,主要是希望采用OpenFlow和传统路由的双平面来进行不同的转发控制,但是却一直局限在教育和科研领域而迟迟不能规模商用,究其原因主要有两大缺陷:(1)基于商业或自研的ASIC芯片的OpenFlow流表资源还在K级别,而真正在园区物理网络上实现多个可靠隔离的虚拟业务网络的规模商用部署则需要M级别的OpenFlow流表资源才能得以保障实现。(2)基于ASIC的Hybrid SDN只能实现ASIC固化支持的已知类型流的转发,而无法通过灵活编程在已有的OpenFlow管道上叠加更多的业务识别、安全加密等增值功能,更不用说识别和支持未来未知流的转发和虚拟业务网络部署了。
基于第4代可编程交换机的华为新一代Hybrid SDN园区解决方案则聚焦在“可规模商业部署的可编程园区网络”上,主要具备3大特点:
基于可编程交换机的新型Hybrid SDN网络可以提供最大16M的OpenFlow流表资源,可以在保证大路由转发的同时,任意构建几百或几千个大型虚拟的安全隔离的业务网络,并可虚拟网络中建立大量的虚拟备份路径实现负载均衡或是高可靠路径保障。
基于华为独有的可编程交换机POF(Protocol Oblivious Forwarding,协议无关转发)技术,网络行为完全由控制面负责定义,企业可以自定义灵活策略实现新业务报文识别,针对新兴业务适配不需改动已经建设好的物理网络,更好地保护企业用户的已有网络投资。
依赖交换机内置的可编程能力,针对全网的业务流插入故障检测标识,可以随任意或全网业务流进行故障检测和定位,检测全网业务劣化以及实现全网的故障监察能力。
“可编程”Hybrid SDN园区网方案应用
智真和视频高质量园区虚拟网络
智真和视频业务是企业的核心业务之一,由于使用场景都是企业重要会议,业务质量直接受到领导层关注。目前由于企业广域网一般租用运营商链路,都会签署SLA保证,恰恰是园区网的收敛较大,节点拥塞、设备能力不足等问题导致突发丢包而使视频体验变差,如华为IT为了保障智真和视频业务的质量,只能单独建一张物理网络,智真终端接入交换机不经过园区办公网直拉到企业出口以解决视频丢包问题。
基于可编程交换机的Hybrid SDN园区方案,可以根据智真和视频的业务需要选择带宽和可靠性高的园区链路,并调整低优先级业务到其它路径,构建一张高可靠的视频虚拟网络,同时由于所有路径可知,结合SDN按照指定路径并提供硬件级的NQA故障检测能力,可以根据检测的故障结果立即调整业务路径,优化视频体验。
自动适应部门组织变化的虚拟化园区网
企业基于安全需要,通常会考虑按照部门或业务划分隔离区,对于大型园区每一次的业务重新隔离和网络调整都涉及到数以万计的配置策略调整,非常难以维护并容易出错。以东软研发基地为例,东软客户希望其研发网络能够灵活地按照开发项目来划分网络隔离区,但大量软件项目的成立和完成都是IT无法事先统一规划和控制的,办公小组可能今天属于A项目,明天属于B项目,导致网络的配置(VLAN、ACL)频繁变动,维护工作量巨大。华为的可编程Hybrid SDN园区方案通过Campus Controller控制器和可编程交换机提供大规模虚拟网络能力,可以灵活批量对大量的虚拟网络进行增加、删除和修改,极大地提高运维效率,快速满足客户灵活业务隔离部署诉求。
全网业务级故障检测和统计的iPCM方案
在网络IP化时代,企业园区网需要承载视频、语音、数据、VPN等多种业务,随着客户体验要求和实时性业务的增多,对于网络丢包、时延、抖动的故障检测要求越来越高。传统的检测方法比如Y.1731等都是间接测量方式,通过插入测试报文来间接模拟业务,不是真实业务测量,既影响现有业务,测试结果误差又大,无法在园区网真正部署。华为公司可编程Hybrid SDN园区方案基于可编程网络架构推出实时业务性能测量方案iPCM(Packet Conservation Monitoring for Internet),即对实时业务报文直接进行标识和检测测量,直接针对不同的业务流插入检测标识,设备分布式测量点,统一汇总进行性能计算。方案具备3大优势:(1)即时测量,不需要模拟报文,不影响现有业务;(2)分布式架构,测量和统计解耦;(3)借助网络同步协议,周期性精确统计丢包和时延等网络指标。
有线无线融合的策略集中控制SDN方案
有线无线深度融合的高速转发网络
大中型园区的无线部署方案普遍采用瘦AP方案,AP到AC之间的流量采用CAPWAP隧道汇集到AC,集中转发的网络架构,使得AC成为无线网络的关键瓶颈。随着WLAN技术从802.11a/b发展到802.11n以及802.11ac,无线接入带宽也从几十M提高到1G,再加上有线接入也提升到千兆,以及部分的业务识别能力要求,流量转发瓶颈问题更加严重。
华为有线无线融合的SDN方案依赖具有可编程能力的新4代交换机,通过转发面编程,在传统有线转发的基础上融合了包括CAPWAP隧道终结在内的无线AC转发功能,AP成为现有交换机接入端口的延伸,流量瓶颈不复存在。有线和无线业务都在同一个路径上进行策略的统一处理和转发,实现了有线和无线业务真正的深度融合。
基于Campus Controller策略集中控制,自动部署和运维
移动办公大规模部署首要解决的前提是安全问题,包括访客身份识别和权限控制、智能终端的类型识别和权限控制、用户之间的互访控制等,网络之上的安全策略控制是网络更好地支撑企业信息安全的关键点。
首先,多点分布的策略控制点导致策略管理和配置复杂,无线的融入使得该问题更加突出。有线网络中的接入/汇聚交换机都是潜在的策略控制点,运维人员需要花费大量工作对其进行配置,包括用户组策略建立、认证参数配置等。部署无线后,由于AC单独作为无线用户策略控制点,新增加了额外配置工作量。目前很多企业鉴于配置管理方便的需求,会考虑把汇聚或者核心层设备作为统一策略控制点,这导致下层网络对用户完全开放,非法用户也可以与正常用户互访,很容易发生潜在的信息泄露和恶意攻击,员工的移动性及智能终端的网络接入,将使上述安全问题更加突出。移动办公时代,网络的策略控制务必延伸到接入边界,那么数量众多的接入设备将使原本复杂的策略管理和网络配置雪上加霜。
其次,策略由单一属性演变为多属性。目前大多数企业的策略控制都是根据用户身份这一单一属性,如:市场、研发、财务员工等。移动性使得策略属性多样化,如:同一用户,使用PC或者PAD时,权限不同;采用笔记本电脑应用有线或者无线接入时,权限不同;访客在既有身份权限的基础上,需要加入时间限制。安全策略的控制需要考虑用户的多种接入属性。
华为有线无线融合的策略集中控制SDN方案,通过统一的策略控制器Campus Controller,自动感知用户多种维度的属性,在用户接入网络后自动下发精细化控制策略,同时依赖可编程交换机实现有线无线一体化接入方案,原本零散分布在现有交换机和AC上的策略控制点也将实现融合,同时借鉴无线AP/AC的集中管理模式,融合的策略控制点可以与边缘接入交换机进行联动控制,本来需要直接下发到边缘设备上的策略可以统一下发,策略控制点数量大幅缩减,极大简化了运维工作量。
园区SDN愿景
基于第4代可编程交换机的华为园区SDN方案,使网络资源变得空前灵活,从容应对新业务部署带来的诸多问题。随着可编程Hybrid SDN园区方案与企业业务的深入结合,包括企业生产在内的核心业务都将融入到传统园区中统一承载,结束企业网络多网并存的局面,而基于Campus Controller的统一策略控制能力,也将成为网络更好地进行业务精细化控制的核心能力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者