【51CTO.com原創(chuàng)稿件】采訪馬紹文是在全球網(wǎng)絡(luò)技術(shù)大會上。SDN專場的聽眾很多，座位坐滿了，很多聽眾就站著聽，聽到精彩的地方就舉起手機拍照，閃光燈此起彼伏，頗有幾分粉絲追星的味道。當時身為瞻博網(wǎng)絡(luò)亞太區(qū)資深產(chǎn)品總監(jiān)的他，剛剛在SDN專場結(jié)束了《云計算需要什么樣的 SDN 控制器》的演講。記者也隨后采訪了他，聽他聊聊瞻博網(wǎng)絡(luò)眼中的SDN發(fā)展之道。

全球網(wǎng)絡(luò)技術(shù)大會馬紹文發(fā)言現(xiàn)場

　　SDN：顛覆傳統(tǒng)帶來更多創(chuàng)新可能

　　馬紹文告訴記者，在人們傳統(tǒng)意識里，創(chuàng)業(yè)不僅僅需要投入大量人力物力，更意味著要經(jīng)得起時間的檢驗。對于一家創(chuàng)業(yè)公司來說，三五年的時間仍只是處于起步階段。然而云計算的出現(xiàn)顛覆了這一切。

　　越來越多的公司借助云平臺很快實現(xiàn)財富積累，日本有一家公司發(fā)布精靈寶貝游戲，采用云平臺搭建，很短的時間內(nèi)在全球被 1 億用戶下載，公司營收暴漲，這在沒有云平臺的時代簡直無法想象。

　　馬紹文指出，這樣的顛覆還出現(xiàn)在傳統(tǒng)電信運營商市場。在傳統(tǒng) Ops 運營模式下，運營商采購路由器、交換機，防火墻，一次配置之后，可能長達一年都不會再變動。但到了云運營模式時代，需要全網(wǎng)轉(zhuǎn)向DevOps模式才能適應(yīng)云計算。 DevOps 能幫助客戶在物理網(wǎng)絡(luò)之上創(chuàng)建一個虛擬化的網(wǎng)絡(luò)。如何去維護管理這個虛擬化的網(wǎng)絡(luò)，這時就離不開SDN控制器的幫忙。

　　云計算需要什么樣的 SDN 控制器?

　　他把業(yè)界常見的 SDN 控制器大致分為三類：

　　第一類是關(guān)注路由器WAN的控制器。這類控制器大約控制 100+路由器節(jié)點，采用標準路由協(xié)議 BGP/PCEP/Segment Routing etc;

　　第二類是關(guān)注數(shù)據(jù)中心交換機的控制器。這類控制器大約控制1000+路由器節(jié)點，通常在兩個 TOR 交換機之間創(chuàng)建 VTEP tunnel，采用 Openflow 等方式;

　　第三類是關(guān)注 Cloud 的控制器。這類控制器控制了10，000+虛擬路由器/虛擬交換機，最突出的特點是不再主要管理路由器/交換機，在 hypervisor 層面管控(vRouter/OVS)， 采用 BGP/XMPP/OVSDB，創(chuàng)建 vPE EVPN/L3VPN 網(wǎng)絡(luò)。

　　馬紹文重點講解了最重要的關(guān)注云的SDN控制器。Google 采用仙女座(Andromeda)控制器來進行網(wǎng)絡(luò)虛擬化，管理虛機和 Docker。“瞻博網(wǎng)絡(luò)的 Contrail 控制器也實現(xiàn)類似功能。”

　　他表示，Contrail 基本的設(shè)計思想是把每個數(shù)據(jù)中心 Server 的 Hypervisor 里面虛擬化出來一個 vRouter。多個 VM/Dockers 會連接到這個 vRouter 的不同的 Tenent VRF。同時 vRouter 之間采用 GRE/UDP/VXLAN做外層隧道, 采用內(nèi)層標簽來標識不同的VRF。 vRouter相當于傳統(tǒng)L3VPN 和 EVPN 的一個 vPE 功能。vPE 用戶側(cè)不再接入 CE 設(shè)備，而是為 VM/Docker 提供連接性。

　　簡單地說，如果客戶有一萬臺服務(wù)器，部署了瞻博網(wǎng)絡(luò)的 Contrail 之后，一萬臺服務(wù)器Server的vRouter變成了一個大的虛擬化的路由器, 為數(shù)萬的 VM/Docker提供多租戶隔離的類似VPN網(wǎng)絡(luò)的連通性。有了這個Contrail Cloud SDN控制器下的數(shù)據(jù)中心網(wǎng)絡(luò)?？蛻敉ㄟ^Openstack/Kubernets的 GUI創(chuàng)建的VM/Docker的IP地址，RT/RD信息網(wǎng)絡(luò)VRF信息被vRouter傳送回Contrail控制器，并且分發(fā)到其他的所有vRouter，實現(xiàn)數(shù)據(jù)中心之內(nèi)的互聯(lián)。并且Contrail可以通過BGP協(xié)議發(fā)送更新到MX DC GW路由器，剛剛創(chuàng)建的VM/Docker馬上會被客戶從外界Internet 訪問，從而實現(xiàn)大規(guī)模數(shù)據(jù)中心的云化部署。

　　馬紹文還談到，很多企業(yè)用戶網(wǎng)絡(luò)規(guī)模不大，業(yè)務(wù)模式簡單，不太想采用復(fù)雜的網(wǎng)絡(luò)SDN控制器，但是對云平臺仍有需求。對于這類需求客戶，瞻博網(wǎng)絡(luò)提供了另外一種簡化版本的無控制器的 Cloud 部署方式。“這種新的 Openstack EVPN/VXLAN 插件在2016年9月份已經(jīng)支持，同時我們還提供 Security GW 相應(yīng)的 Neutron 插件。我們有一些客戶已經(jīng)采用了這種方式來部署輕量級的云應(yīng)用。”

　　容器云乃大勢所趨

　　馬紹文還針對一些IT新技術(shù)表達了自己的態(tài)度。馬紹文表示Dockers一定是趨勢，現(xiàn)在非常多的大型Web客戶已經(jīng)采用Docker。隨著Kubernets和Openshift的逐漸成熟，歐美的中小客戶在2015/2016年，已經(jīng)開始采用Kubernets和Juniper的Contrail來部署一些容器云，比如TCP Cloud 、LITHIUM等。“國內(nèi)的客戶大概在2017年會越來越多支持。”

　　他還給記者舉了一個例子，瞻博網(wǎng)絡(luò)的一個客戶，TCPCloud在歐洲做了很多的智慧城市項目，它把很多的街燈，很多的停車場的充電站、變電站的那些感應(yīng)器連接起來。因為它的傳感器數(shù)量非常多，對于物聯(lián)網(wǎng)(IoT)應(yīng)用，如果采用虛擬機(virtual machine)的話，這對服務(wù)器的CPU/內(nèi)存容量要求非常大。對于這種情況，采用輕量級的容器云可以提供更好的優(yōu)化能力。

　　對于容器云的安全性，馬紹文表示眾人主要顧慮就是做微切分(micro segment)的時候容器云會存在一些安全性問題，或者不同Docker之間的安全保護沒有那么好。對此瞻博網(wǎng)絡(luò)的做法是采用Contrail和Kubernets一起，在容器之間通過虛擬路由器把它管理起來的，把商業(yè)規(guī)則(rules)、防火墻、深度包檢測(DPI)的功能串進服務(wù)鏈里面，從而提高容器的安全性。

　　“客戶之所以選擇Docker是因為能獲得輕量級的解決方案。因為同樣的一個服務(wù)器，過去客戶可能只能啟動10個虛擬機，但是如果用Docker，同樣的容量，同樣的CPU存儲器，我可以至少做100個Dockers。”馬紹文舉了一個例子，例如給某個自動駕駛汽車分配一個Dockers的應(yīng)用，如果基于現(xiàn)有的虛擬機，客戶點一下按鈕，虛機啟動可能要等10分鐘左右，但如果是Dockers，基本上是所見即所得，大大提升了客戶體驗。

　　自動化和機器學(xué)習的弄潮兒

　　對于目前大家都非常關(guān)注的IT運維，瞻博網(wǎng)絡(luò)也做了大量自動化的提升工作。馬紹文介紹到，美國六大OTT客戶中有五家都是瞻博網(wǎng)絡(luò)的客戶，像Google、Facebook、Twitter、亞馬遜、蘋果。瞻博網(wǎng)絡(luò)之所以獲得他們的認可，除了硬件性能非常出色之外，最大的好處就是自動化運維能力非常強。他告訴記者，由于 OTT客戶覺得瞻博網(wǎng)絡(luò)的自動化工具搭建的很好，所以他們把瞻博網(wǎng)絡(luò)的一些慣例(common practice)開放出來，要求其他廠家來實現(xiàn)類似開放配置協(xié)議(open config)、NETCONF這樣的基本功能。而這些自動化工具都早已被嵌入在瞻博網(wǎng)絡(luò)Junos OS里面的。

　　他舉例道，在一個大的數(shù)據(jù)中心，成千上萬個交換機，瞻博網(wǎng)絡(luò)供一個圖形界面Network Director GUI，不需要任何命令行配置，在GUI里面可以構(gòu)建三級或者是五級的CLOS架構(gòu)，實現(xiàn)自動IP地址配置、BGP配置、EVPN、VXLAN配置，并且可以監(jiān)控邊界網(wǎng)關(guān)協(xié)議(BGP)協(xié)議的運行情況。

　　不僅如此，瞻博網(wǎng)絡(luò)的機器學(xué)習也走在了市場的前面。當別人還在談?wù)摍C器學(xué)習時，瞻博網(wǎng)絡(luò)已經(jīng)把機器學(xué)習嵌入到兩個SDN控制器里面了。“open Contrail集成了一個大數(shù)據(jù)分析的引擎，然后做網(wǎng)絡(luò)的異常情況的處理，另一個是我們的NorthStar，廣域網(wǎng)的流量設(shè)計，馬上推出的版本也會有一個大數(shù)據(jù)分析。”馬紹文還透露，瞻博網(wǎng)絡(luò)的安全產(chǎn)品線，其中一個重點也是大數(shù)據(jù)分析，它可以把用戶的流量上送到亞馬遜AWS或者是阿里云做專門的處理，去清洗，去分析，分析之后它會知道客戶網(wǎng)絡(luò)中拓撲中的問題，可能屏蔽掉某個接口，這就是軟件定義安全網(wǎng)絡(luò)(SDSN)。

　　采訪中記者發(fā)現(xiàn)，瞻博網(wǎng)絡(luò)很多技術(shù)的研究都走在市場前面，瞻博網(wǎng)絡(luò)對市場的布局往往在悄無聲息中完成，等到某個技術(shù)熱點成為業(yè)界熱點的時候，瞻博網(wǎng)絡(luò)已經(jīng)開始收獲技術(shù)成果。讓記者嘆服的，也正是他們對技術(shù)的執(zhí)著，在浮躁的大環(huán)境下面可以沉寂下來默默耕耘，匠心難得，未來可待。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】