網(wǎng)絡(luò)設(shè)備/SDN周邊新聞

長期以來，網(wǎng)絡(luò)領(lǐng)域研究和產(chǎn)品的主流關(guān)注，都集中在網(wǎng)包(packet)的轉(zhuǎn)發(fā)(forwarding)上，其中交換(switching)和路由(routing)是核心功能。當(dāng)今，以交換機(jī)和路由器為主建立起來的網(wǎng)絡(luò)連接和拓?fù)湟呀?jīng)構(gòu)成相當(dāng)完善的信息基礎(chǔ)設(shè)施，安全和隱私方面的挑戰(zhàn)更加突顯，差異化提供網(wǎng)絡(luò)個性服務(wù)的呼聲更加強(qiáng)烈，智能化提升網(wǎng)絡(luò)綜合品質(zhì)的要求更加迫切，關(guān)于“中間設(shè)備”(middlebox)的研究和開發(fā)必然成為熱點。

[[127432]]

轉(zhuǎn)發(fā)設(shè)備 vs 中間設(shè)備

伴隨著網(wǎng)絡(luò)虛擬化和動態(tài)化的不斷增強(qiáng)，傳統(tǒng)的轉(zhuǎn)發(fā)設(shè)備無法滿足網(wǎng)絡(luò)安全和優(yōu)化的需求，網(wǎng)絡(luò)中間設(shè)備與傳統(tǒng)轉(zhuǎn)發(fā)設(shè)備并駕齊驅(qū)，發(fā)揮著越來越重要的作用，成為網(wǎng)絡(luò)技術(shù)與系統(tǒng)的核心內(nèi)容之一。Justine Sherry等人發(fā)表于SIGCOMM 2012的文章指出，在實際網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)中間設(shè)備與網(wǎng)絡(luò)交換設(shè)備在數(shù)量上旗鼓相當(dāng)，如圖1所示。

圖1、網(wǎng)絡(luò)轉(zhuǎn)發(fā)與中間設(shè)備數(shù)量對比

以交換機(jī)和路由器為代表的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備，根據(jù)包頭(header)信息對網(wǎng)包逐個加以處理，主要承擔(dān)將網(wǎng)包接力送達(dá)的簡單任務(wù)。因其處理功能通常基于網(wǎng)包，只需關(guān)注包頭中的目的標(biāo)識(地址、端口等)，所以也只要掌握與相鄰轉(zhuǎn)發(fā)設(shè)備相關(guān)的轉(zhuǎn)發(fā)策略。最初的軟件定義網(wǎng)絡(luò)(SDN，Software Defined Networking)無非是將基于局域拓?fù)渲R生成轉(zhuǎn)發(fā)策略的機(jī)制，替換為基于廣域知識做出轉(zhuǎn)發(fā)決策，從而使得智能優(yōu)化和全局調(diào)度成為可能，極大地釋放了網(wǎng)絡(luò)的活力。

圖2、網(wǎng)絡(luò)轉(zhuǎn)發(fā)與中間設(shè)備特點對比

相對于網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備，網(wǎng)絡(luò)中間設(shè)備的任務(wù)繁雜得多，包括了網(wǎng)包轉(zhuǎn)發(fā)之外的各種處理，既有對載荷(payload)的關(guān)注，如入侵監(jiān)控和病毒清除，也有對網(wǎng)包的處理，如NAT修改包頭、VPN加密網(wǎng)包，還有防火墻、負(fù)載均衡和流量控制等。這些中間設(shè)備的一個重要特點，即其處理功能無論粒度粗細(xì)，大多是基于網(wǎng)流的。

由于各種中間設(shè)備發(fā)展不均衡，相關(guān)研究一直以來也較為分散，長期未能形成統(tǒng)一的技術(shù)體系。2013年，ACM CoNEXT首次組織了HotMiddlebox，將中間設(shè)備作為一個熱門主題專門加以研討，是全球網(wǎng)絡(luò)界發(fā)起集中攻關(guān)的重要里程碑。

中間設(shè)備 vs 軟件定義

業(yè)界普遍認(rèn)為，目前的中間設(shè)備大多為專用硬件產(chǎn)品，成本居高不下，功能更新困難，是造成網(wǎng)絡(luò)僵化從而難以適應(yīng)流量需求變化的罪魁禍?zhǔn)字弧⒅虚g設(shè)備的高級處理功能遷移到可以通過虛擬化實現(xiàn)共享的通用硬件平臺上，使之成為由軟件定義的網(wǎng)絡(luò)服務(wù)，實現(xiàn)按照需求在適當(dāng)時間和位置的部署，也符合網(wǎng)絡(luò)功能虛擬化(NFV，Network FunctionsVirtualization)的大趨勢。

最初由斯坦福的Nick McKeown和伯克利的Scott Shenker等人提出的SDN概念，聚焦于將轉(zhuǎn)發(fā)設(shè)備的控制平面從數(shù)據(jù)平面分離出來，以實現(xiàn)標(biāo)準(zhǔn)的數(shù)據(jù)平面和集中的控制平面，從而打破專用硬件轉(zhuǎn)發(fā)設(shè)備的壟斷，使能統(tǒng)一、智能的網(wǎng)絡(luò)資源優(yōu)化。但是，他們當(dāng)時顯然忽視或低估了中間設(shè)備的存在和復(fù)雜，SDN產(chǎn)業(yè)化也因而遇到一個必須面對的難題。Scott Shenker等人在闡釋“SDNv2”的設(shè)想時，也明確提出整合中間設(shè)備是SDN新架構(gòu)中的三大變革之首。然而，盡管SDNv2的構(gòu)思將中間設(shè)備的功能推向網(wǎng)絡(luò)邊界(edge)，而在網(wǎng)絡(luò)中心(core)只做轉(zhuǎn)發(fā)，但網(wǎng)絡(luò)服務(wù)的演進(jìn)將會面對數(shù)據(jù)、內(nèi)容處理越來越強(qiáng)烈的需求，中間設(shè)備注定是SDN繞不開的問題。

所以，SDN只有擁抱NFV，才能完善自己。沒有NFV，SDN停留在網(wǎng)絡(luò)拓?fù)浜涂刂茮Q策層面，沒有靈活的資源可供調(diào)度，至少中間設(shè)備的功能會成為絆腳石;沒有SDN，NFV停留在軟件化和虛擬化層面，無法靈活地按需提供服務(wù)。把軟件定義轉(zhuǎn)發(fā)與軟件定義監(jiān)控(此處暫且以監(jiān)控代指中間設(shè)備的功能)結(jié)合起來，NFV的功能更加豐富，SDN的控制更顯強(qiáng)大，網(wǎng)絡(luò)才能真正“活”了，也才可能變得更有智慧，最終使網(wǎng)絡(luò)成為服務(wù)。

中間設(shè)備 vs 網(wǎng)流監(jiān)控

“中間設(shè)備middlebox”是個很特別的專業(yè)網(wǎng)絡(luò)術(shù)語，當(dāng)轉(zhuǎn)發(fā)之外的網(wǎng)絡(luò)處理功能由軟件虛擬化實現(xiàn)后，“設(shè)備 box”的說法已經(jīng)詞不達(dá)意?？紤]到中間設(shè)備的功能以網(wǎng)流處理和監(jiān)控(monitoring/inspection& control/management)應(yīng)用為突出特點，不妨將它們歸類為網(wǎng)流監(jiān)控，以便與網(wǎng)包轉(zhuǎn)發(fā)對應(yīng)，盡管其中會有一些交疊或模糊之處。

中間設(shè)備是網(wǎng)流監(jiān)控的物理載體，而網(wǎng)流監(jiān)控是提供網(wǎng)絡(luò)高級處理服務(wù)的基礎(chǔ)，尤其是保障網(wǎng)絡(luò)安全的核心技術(shù)手段。在網(wǎng)流監(jiān)控方面，重要的研究包括：在網(wǎng)絡(luò)架構(gòu)方面，網(wǎng)絡(luò)服務(wù)功能的靈活組合與便捷控制;網(wǎng)絡(luò)構(gòu)件方面，網(wǎng)絡(luò)功能模塊的高效算法與優(yōu)化配置(包括與硬件平臺的適配);網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)安全區(qū)域的嚴(yán)密隔離和接口管控。

目前，網(wǎng)流監(jiān)控的功能的部署只是接近毫秒級別，處理能力也還僅在10Gbps左右。隨著網(wǎng)絡(luò)帶寬的不斷提升，網(wǎng)流監(jiān)控的算法性能、負(fù)載調(diào)度與策略管理將受到極大的挑戰(zhàn)。由于中間設(shè)備功能的本質(zhì)是在網(wǎng)流粒度上將策略應(yīng)用于網(wǎng)絡(luò)流量，策略的表達(dá)、分布和下發(fā)成為網(wǎng)流監(jiān)控研究的核心和難點，迫切需要建立策略表達(dá)的標(biāo)準(zhǔn)語言和策略分析的通用方法，根據(jù)網(wǎng)絡(luò)拓?fù)浜土髁俊⒎?wù)能力和狀態(tài)等啟發(fā)信息，結(jié)合流量調(diào)度優(yōu)化策略分布，并利用策略和流量的局部性(locality)，綜合預(yù)取和緩存機(jī)制，提升策略下發(fā)效率，實現(xiàn)最大處理能力。

總之，中間設(shè)備在網(wǎng)絡(luò)運(yùn)行和進(jìn)化中與轉(zhuǎn)發(fā)設(shè)備同等重要，并將在以數(shù)據(jù)和內(nèi)容為中心的網(wǎng)絡(luò)服務(wù)中成為關(guān)注的焦點。2015年，HotMiddlebox將移師更為顯赫的ACM SIGCOMM殿堂，不禁讓人更加期待網(wǎng)流監(jiān)控技術(shù)的突破，特別是在高效的載荷過濾算法和敏捷的策略管理機(jī)制等方面。

(原文作者為清華大學(xué)信息技術(shù)研究院院長、清華信息國家實驗室常務(wù)副主任 李軍)