@ fnii.cn

登录邮箱

朱国平 SDN在中国的商用

发表日期:2014年12月08日      共浏览 1063 次      编辑:

尊敬的各位专家、各位领导,听了前面各位专家的演讲非常受启发。未来网络离我们还有多远呢?SDN在中国实际落地的情况是怎么样呢?我今天上午愿意跟大家一起交流一下我们华三通信在实际项目中,在SDN拓展中遇到的一些问题,以及相应的解决方案。分享一下我们在这个方面的体会。

SDN在中国的现状,国内的主流厂商,应该说现在都已经支持ONF1.3协议了,SDN的设备类型也已经逐步的从交换机扩展到路由器,从物理的设备扩展到虚拟设备,控制器的形态也从最初单个控制器到分布式的集群,APP应用从原先关注发现ALL3基础转发的这些网络最原始的基础应用,拓展到关注业务的应用,包括虚拟私有网络,软件定义安全等关注业务的应用,以及与NFV的深度融合,SDN解决方案在市场各个领域都开始商用了。我们华三通信在实际市场中部署了多个案例。国内SDN产业联盟已经成立,国内SDN生态体系在逐步的成熟过程之中。我们在中国商用过程中,总结出商用领域和核心技术主要是下面这些,涉及到了核心技术有大规模分布式控制器技术,基于SDN的OVERLAY技术,主要有虚拟化网络方案,数据中心方案运营商的方案和云安全的服务方案。

我首先介绍一下SDN的商用技术,为什么我们一定需要大规模的控制性集群呢?因为在一个典型的场景中,数据中心的服务器本来数量庞大,然后虚拟化以后,虚拟的服务器和虚拟交换机的数量更大庞大,导致网络的规模成倍增长,另外由于采用了ONF的技术,大量的首包处理也需要消耗一些服务器的性能。大规模的网络设备在控制器之间的负载平衡也需要做集群。同时我们为了实现高复合性,保障控制平面的可靠性,这一些都需要我们去实现大规模的集群技术。SDN大规模的分布式控制与集群技术可以分为两个层次。第一个就是集群,要高可靠性,高一致,高并发性。集群之上集群的联盟。联邦同步一些全局信息,集群内部要同步运行的运行信息,这些技术都是建立在分布式数据库,分布式集群管理的基础之上的。下面是SDN和NFV的融合设计,对物理网络和虚拟网络进行统一控制,通过实现云化的形式,实现了NFV设备的云化,实现了NFV的设备可以运行在计算的虚拟化平台,也可以运行在最流行容器里面,NFV实现资源池化以后可以实现按需部署,最终实现了网络及服务所见即所得,从物理网络向云和虚拟化的深度延伸,能够使我们虚拟网络摆脱物理网络的限制。这个技术可以消除网络的限制,我们前期有各种各样大而全的技术。在实际的部署中,我们基本统一到基于overlay的技术,一个数据中心内要实现单中心的迁移,同时多核数据中心是目前普遍采用的,跨数据中心迁移,也是现在成为一个基本要求,IP地址灵活分配。业务变动无须改动物理网络。同时通过隔离可以解决云平台安全的问题。对传统一些非常的服务器设备是非常有必要的,用于服务器全虚拟化的场景,物理网络无需变动。主网灵活,可以充分发挥硬件网关的高性能和业务的灵活性。另外一个核心技术就是基于FDN核心链的技术,在网络中传输时,需要经过各种各样的安全的节点,给用户安全自定义的网络,有入侵检测,VPN网关等等。通过SDN控制器对网络进行逻辑抽象自定义编排,经过一组抽象网络的业务处理节点,完成对业务的处理。下面的图中我们可以看到,通过从VM1到目的VM3的流量,我们可以通过编排实现灵活自定义的服务链,让它通过内嵌的安全,通过防火墙的安全,通过IPS的处理,最终的安全,然后实现用户自定义对一个流量灵活的控制。我们通过NFV提供虚拟安全的服务节点,可以支持状态防火墙的嵌入式安全,通过SDN最终体现服务链统一的自定义和编排,最终实现可视化。

现在我介绍一下SDN商用的解决方案。SDNVP3,数据中心的多租户网络虚拟化方案,是当前比较多的解决方案,通过服务链,实现网络的灵活自定义,网络所见即所得,同时利用硬件的物理网关和虚拟业务的灵活性,充分发挥物理网络的性能优势,同时也发挥虚拟设备业务的灵活性。通过SDN实现逻辑的抽象和集中,然后实现资源池化和云化,实现弹性扩展。同时,设备因为有了SDN这样一个集中的控制平面,设备可以即插即所用,终端可以临时接入,接入的时候我们就可以对设备进行安全检测。

当前的数据中心的解决方案,在每一个数据中心,多的数据中心组成联盟,促进信息的统一。这样保证每一个多活统一网络资源的池化,能够实现VM的跨数据中心的迁移。这样,多个数据中心的运维,可以采用统一的界面,实现集中式管理分散控制。下面一个解决方案是基于SDN运营商的解决方案,在这个解决方案中呢,传统的贝司,无线的AC,CTE都可以与NFV的设备形态实现。通过SDN的控制器实现业务大规模的弹性部署,这个主要也是因为实现了这些NFV设备的池化。把多种NFV的业务融合在一个驰援池中,可以根据业务的实际情况去实现资源的分配和承载。另外就是前面一些专家,包括刘院士也提到的安全的问题。下面这个就是软件定义安全的解决方案。传统网源级的安全是孤立的,基于连接的,在这么多离散安全设备处理起来,安全的部署都是很难操作的。我们基于SDN的架构,可以实现面向对象的可自定义的安全体系。因为有了SDN这样一个控制整个网络全局的控制平面,所以SDN解决了传统网络部署时候依赖发现的问题,是从一个全局视野来进行统一的安全策略的部署。NFV设备提供了安全设备的弹性扩展,以及快速交互的能力,可以实现针对不同用户,针对不同时段,随时随地的安全防护。安全的APP提供了对安全设备包括物理的安全设备,以及整网设备的安全的检测,和统一的控制功能。安全一定是面向场景的,我们安全的app面向不同的场景,会有不同的版本。比如在数据中心和园区里面临的问题是不一样的,虽然我们下面安全的设备是一样的,但是安全的APP会根据场景的不同,会提供不同的版本。这样可以实现不同的控制策略。同时我们有了SDN和NFV技术,我们最大的优点是解决了以前基于传统的设备不能解决的,或者很难以解决的问题。我们有了软件可编程的接口,大数据的分析和统一安全策略管理这些结合起来,实现灵活云的安全。

最后我介绍一下SDN在中国商用案例。华三在SDN市场拓展之中陆续积累了一些商用案例,下面是比较典型的实际部署的案例。第一个是互联网SDN的案例,这是华三和中国顶级互联网公司合作开发的SDN商用案例,客户方本身已经具有了云管理的系统和计算虚拟化的以及采用的服务都是第三方的。我们华三主要提供了集群,提供了硬件网关,然后提供了NFV的VPN。这样通过一种弹性的部署方式,最后实现了对用户的虚拟网络这样的一个有效控制,可以帮助用户提升业务的快速部署。下面是一个浙江政务云商用案例,采用了华三的全部解决方案,图中所有软件站和硬件的设备都是华三的,应该说华三提供了一个全站的解决方案。在这个方案中实现了一个INAS的部署,集成了计算、网络、储存和安全,政府不需要再去单独的购买硬件设备了,通过INS统一的界面,实现按需这样的一个配置和部署。大大的提高了政府部署IT的效率。这是一个园区的解决方案,这是在武汉的中南财经大学部署的方案。中南财经大学有两个园区,用户最终是选择了华三的VPC的解决方案,通过SDN的解决方案,实现了两个校区中心的统一控制,实现了对两个园区资源统一的管理。我分享的内容就是这些,谢谢大家!