伴隨著互聯(lián)網(wǎng)和云計(jì)算的高速發(fā)展，面對(duì)各種實(shí)時(shí)業(yè)務(wù)如視頻語音、移動(dòng)業(yè)務(wù)和云數(shù)據(jù)中心快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)盡管體系完善但也難以招架陳出不窮的需求問 題。隨著軟件定義網(wǎng)絡(luò)SDN的橫空出世，開放的全新網(wǎng)絡(luò)架構(gòu)推出，沉寂多年的網(wǎng)絡(luò)終于煥發(fā)生機(jī)。在SDN的理念中，目前網(wǎng)絡(luò)設(shè)備軟硬件一體的架構(gòu)將被打 破，軟硬件徹底解耦，網(wǎng)絡(luò)設(shè)備只負(fù)責(zé)高速轉(zhuǎn)發(fā)，要標(biāo)準(zhǔn)化、通用化、低廉化;網(wǎng)絡(luò)的智能則由控制器的軟件實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備的高附加值和高利潤(rùn)轉(zhuǎn)移到了軟件領(lǐng) 域;而基于控制器的開放性和豐富的APP應(yīng)用程序也為用戶帶來了快速業(yè)務(wù)創(chuàng)新和高速增長(zhǎng)。

　　西麥科技的SDN整體解決方案以SDN控制器為核心，以O(shè)penflow交換機(jī)和NFV網(wǎng)絡(luò)功能虛擬化為支撐，提供豐富的SDN APP，為用戶提供智能、動(dòng)態(tài)、開放、自定義、快速創(chuàng)新的新一代網(wǎng)絡(luò)。這里是西麥科技SDN的十大落地解決方案。

　　1、Overlay

　　由于虛擬機(jī)遷移的網(wǎng)絡(luò)屬性要求，當(dāng)從一個(gè)物理機(jī)上遷移到另一個(gè)物理機(jī)上，要求虛擬機(jī)不間斷業(yè)務(wù)，需要其IP地址、MAC地址等參數(shù)保持不變，如此則要 求業(yè)務(wù)網(wǎng)絡(luò)是一個(gè)二層網(wǎng)絡(luò)。傳統(tǒng)的二層無法穿越中間的三層網(wǎng)絡(luò)，此外傳統(tǒng)的VLAN只能支持4K個(gè)VLAN，虛擬機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制，網(wǎng)絡(luò)隔離能力也同 樣受到限制。

　　Overlay是在傳統(tǒng)網(wǎng)絡(luò)上虛擬出一個(gè)虛擬網(wǎng)絡(luò)，傳統(tǒng)網(wǎng)絡(luò)不需要再做任何改變。虛擬化后的業(yè)務(wù)網(wǎng)絡(luò)為Overlay，中間的傳統(tǒng)承載網(wǎng)絡(luò)為 underlay。Overlay的技術(shù)路線，對(duì)物理設(shè)備的要求降至最低，業(yè)務(wù)完全定義在overlay網(wǎng)絡(luò)上。典型的overlay實(shí)現(xiàn)為VXLAN， 是一種將二層報(bào)文用三層協(xié)議進(jìn)行封裝的技術(shù)，可以對(duì)二層網(wǎng)絡(luò)在三層范圍進(jìn)行擴(kuò)展。它應(yīng)用于數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間，使虛擬機(jī)可以在互相連通的三層網(wǎng) 絡(luò)范圍內(nèi)遷移，而不需要改變IP地址和MAC地址，保證業(yè)務(wù)的連續(xù)性。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識(shí)，使用戶可以創(chuàng)建16M相互隔離的虛擬網(wǎng)絡(luò)，突 破了傳統(tǒng)VLAN所能表示的4K個(gè)隔離網(wǎng)絡(luò)的限制，這使得大規(guī)模多租戶的云環(huán)境中具有了充足的虛擬網(wǎng)絡(luò)分區(qū)。

　　2、Service Function Chaining

　　虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的分離，讓數(shù)據(jù)中心網(wǎng)絡(luò)變得更加靈活，更具有可擴(kuò)展性。而對(duì)虛擬網(wǎng)絡(luò)的控制，也僅僅需要集中在網(wǎng)絡(luò)邊緣即可。然而Overlay技 術(shù)并沒有解決所有問題，數(shù)據(jù)中心中還有很多Middleware，如防火墻、負(fù)載均衡器等，這些設(shè)備都是基于用戶業(yè)務(wù)來處理的，如果通過隧道而穿越這些設(shè) 備，顯然是不行的。特別是在VM遷移時(shí)，防火墻里面的基于Flow的Status其實(shí)并沒有遷移。同時(shí)，傳統(tǒng)的防火墻、負(fù)載均衡器的部署，都是與網(wǎng)絡(luò)拓?fù)?緊密相關(guān)，需要根據(jù)報(bào)文路徑來放置防火墻/負(fù)載均衡器。

　　我們把虛擬防火墻/負(fù)載均衡器/網(wǎng)關(guān)等業(yè)務(wù)處理功能，稱為Service Function，而流量經(jīng)過一系列的Service Function的處理，形成Service Function Chaining，即業(yè)務(wù)功能鏈。在這樣一個(gè)Service Function Chaining中，如何能夠?qū)⒘髁快`活的調(diào)配到某個(gè)Service Function進(jìn)行處理，形成Service Function Chaining，傳統(tǒng)的SFC方案有基于源路由實(shí)現(xiàn)，和對(duì)MP-BGP進(jìn)行擴(kuò)展定義新的NLRI來改變傳統(tǒng)的路由下一跳行為。新型的云虛擬化環(huán)境下則采 用NSH來實(shí)現(xiàn)。

　　3、流量可視化

　　傳統(tǒng)的管理方式如網(wǎng)管軟件、流量分析儀、安全設(shè)備等工具有很大的局限性。它們只能在有限的范圍內(nèi)實(shí)現(xiàn)有限的網(wǎng)絡(luò)監(jiān)控，而不能發(fā)現(xiàn)網(wǎng)絡(luò)的異常。

　　基于SDN的網(wǎng)絡(luò)流量可視化，幫助更快速有效的識(shí)別網(wǎng)絡(luò)流量、網(wǎng)絡(luò)負(fù)載、異常事件和網(wǎng)絡(luò)攻擊。將網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來，利用人們的視覺功能處理這些大量的數(shù)據(jù)信息，將可視化技術(shù)引入到網(wǎng)絡(luò)領(lǐng)域和安全領(lǐng)域。

　　SDN網(wǎng)絡(luò)流量可視化深度提取網(wǎng)絡(luò)2-7層信息，快速識(shí)別數(shù)據(jù)模式和數(shù)據(jù)差異，發(fā)現(xiàn)數(shù)據(jù)的異常值和錯(cuò)誤。對(duì)當(dāng)前的網(wǎng)絡(luò)運(yùn)行情況進(jìn)行識(shí)別聚類，通過大數(shù)據(jù)分析，識(shí)別當(dāng)前網(wǎng)絡(luò)，并預(yù)知規(guī)劃未來網(wǎng)絡(luò)。此外，流量可視化還從中發(fā)現(xiàn)異常事件，發(fā)現(xiàn)安全威脅，做好安全防御。

　　4、防范DDOS

　　DDOS的攻擊可謂是千變?nèi)f化。SDN技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上，由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。SDN安全策略支 持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，對(duì)于防御網(wǎng)絡(luò)攻擊有很大作用。通過使用可編程的靈活SDN交換機(jī)，讓它們作為數(shù)據(jù)包攔截和重定向平臺(tái)，安全 團(tuán)隊(duì)就可以檢測(cè)和防御目前的各種常見攻擊。典型部署是，SDN交換機(jī)作為數(shù)據(jù)包提取、上報(bào)、和攔截設(shè)備，而控制器則作為監(jiān)控、分析、和策略下發(fā)設(shè)備。

　　5、云端安全

　　隨著云的普及，有數(shù)據(jù)表明越來越多的安全威脅來自于云和網(wǎng)絡(luò)的內(nèi)部。分散的設(shè)備策略配置管理，對(duì)管理員安全技能要求高，手工配置和維護(hù)困難。物理安全設(shè)備對(duì)虛擬機(jī)東西向流量不可見，無法實(shí)施有效的安全策略管理。物理安全設(shè)備大都是封閉、固化的，不能動(dòng)態(tài)伸縮。

　　基于Openflow的SDN天生就帶保護(hù)內(nèi)網(wǎng)的機(jī)制。采用內(nèi)網(wǎng)零信任安全機(jī)制，將傳統(tǒng)的連接網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榱阈湃伟踩Ｊ?，而且繼續(xù)保持基礎(chǔ)架構(gòu)的靈活 性，達(dá)到基于主機(jī)級(jí)別的云數(shù)據(jù)中心安全防護(hù)和訪問控制。SDNJ基于流細(xì)力度管控，提供全局安全策略和自適應(yīng)安全策略。

　　6、NFV vCPE

　　面對(duì)OTT業(yè)務(wù)帶來的巨大壓力，vCPE為電信運(yùn)營(yíng)商帶來新的機(jī)遇。運(yùn)營(yíng)商在將x86這種具有更高計(jì)算能力和更標(biāo)準(zhǔn)靈活的硬件架構(gòu)引入到傳統(tǒng)城域網(wǎng)的 業(yè)務(wù)邊緣層。通過部署x86架構(gòu)下的虛擬CPE(VCPE)、虛擬BRAS(VBRAS)和虛擬NAT(VCGN)等資源池，使得用戶接入控制能力得以靈 活擴(kuò)展。

　　7、SPTN

　　承載傳送網(wǎng)的發(fā)展趨勢(shì)歷經(jīng)了SDN、MSTP、T-MPLS/PBT、PTN/MPLS-TP的發(fā)展階段。PTN繼承了MPLS的轉(zhuǎn)發(fā)機(jī)制和多業(yè)務(wù)承 載能力(PW)，繼承了傳送網(wǎng)的OAM和保護(hù)能力，去除了IP的復(fù)雜的路由協(xié)議和面向非連接的特性，支持分組交換、QoS和統(tǒng)計(jì)復(fù)用能力(IP化)，采用 面向連接技術(shù)，保障業(yè)務(wù)端到端性能保證。

　　使用基于SDN的SPTN則將承載網(wǎng)帶入下一個(gè)智能化管道時(shí)代，SPTN提供集中控制能力的智能管道、業(yè)務(wù)快速開通和帶寬按需實(shí)時(shí)調(diào)整。

　　8、SD-WAN

　　SD-WAN是軟件定義廣域網(wǎng)。對(duì)于企業(yè)來說，網(wǎng)絡(luò)及其可用性至關(guān)重要。如果網(wǎng)絡(luò)出現(xiàn)故障，業(yè)務(wù)將陷于癱瘓。而維護(hù)廣域網(wǎng)的費(fèi)用非常昂貴，特別是大部分時(shí)候都閑置的網(wǎng)絡(luò)。

　　SD-WAN具有全局網(wǎng)絡(luò)的可視性。企業(yè)可在SDN中央控制器系統(tǒng)創(chuàng)建流量轉(zhuǎn)發(fā)策略，并下發(fā)到所有SD-WAN設(shè)備。這些策略可以是基于IP、端口 號(hào)、時(shí)間、QoS等。SD-WAN集中控制器可以獲取實(shí)時(shí)的動(dòng)態(tài)鏈路信息包括鏈路帶寬利用率、延遲、丟包等，并且根據(jù)這些信息動(dòng)態(tài)的流量轉(zhuǎn)發(fā)和策略，智能 路徑控制和選擇。

　　9、軟件定義WLAN

　　在高密度場(chǎng)景的wifi接入，經(jīng)常會(huì)出現(xiàn)明明布了很多AP，但是終端接入慢的情況。由于SDN控制器擁有全局的無線網(wǎng)絡(luò)使用情況，我們可以通過SDN 控制器來進(jìn)行動(dòng)態(tài)的網(wǎng)絡(luò)資源切片和資源分配，帶來更好的用戶體驗(yàn)。此外，SDN還可根據(jù)wifi的負(fù)載情況，將AP打開或是關(guān)閉，從而節(jié)省功耗。還可以通 過集中的控制器對(duì)無線作接入、認(rèn)證、統(tǒng)計(jì)、訪問控制等。

　　10、SDN Fabric

　　數(shù)據(jù)中心第一代解決方案為vPC+VRRP+L3 OSPF+BGP。第一代方案使用的協(xié)議復(fù)雜，可擴(kuò)展性差，為了解決這些問題，出現(xiàn)了第二代解決方案L3 CLOS，L3 CLOS使用了BGP+ECMP，協(xié)議簡(jiǎn)單，橫向擴(kuò)展能力高，完成了從scale-up到scale-out的轉(zhuǎn)變。但第二代的缺陷是龐大數(shù)量TOR交換 機(jī)的管理工作量太大。

　　SDN的引入完美解決了前兩代的問題。第三代數(shù)據(jù)中心解決方案SDN Fabric以SDN控制器為核心，以SDN交換機(jī)為支撐，提供豐富的SDN APP，以高可靠服務(wù)為保障的全方位解決方案。為用戶構(gòu)建智能、動(dòng)態(tài)、開放、自定義、快速創(chuàng)新的新一代網(wǎng)絡(luò)。并且由于SDN控制器的集中管理，使用TOR 集群替代傳統(tǒng)大而笨重的核心交換機(jī)也已成為可能。