伴隨著互聯(lián)網(wǎng)和云計算的高速發(fā)展，面對各種實時業(yè)務(wù)如視頻語音、移動業(yè)務(wù)和云數(shù)據(jù)中心快速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)盡管體系完善但也難以招架陳出不窮的需求問題。隨著軟件定義網(wǎng)絡(luò)SDN的橫空出世，開放的全新網(wǎng)絡(luò)架構(gòu)推出，沉寂多年的網(wǎng)絡(luò)終于煥發(fā)生機。在SDN的理念中，目前網(wǎng)絡(luò)設(shè)備軟硬件一體的架構(gòu)將被打破，軟硬件徹底解耦，網(wǎng)絡(luò)設(shè)備只負(fù)責(zé)高速轉(zhuǎn)發(fā)，要標(biāo)準(zhǔn)化、通用化、低廉化；網(wǎng)絡(luò)的智能則由控制器的軟件實現(xiàn)，網(wǎng)絡(luò)設(shè)備的高附加值和高利潤轉(zhuǎn)移到了軟件領(lǐng)域；而基于控制器的開放性和豐富的APP應(yīng)用程序也為用戶帶來了快速業(yè)務(wù)創(chuàng)新和高速增長。

西麥科技的SDN整體解決方案以SDN控制器為核心，以O(shè)penflow交換機和NFV網(wǎng)絡(luò)功能虛擬化為支撐，提供豐富的SDN APP，為用戶提供智能、動態(tài)、開放、自定義、快速創(chuàng)新的新一代網(wǎng)絡(luò)。這里是西麥科技SDN的十大落地解決方案。

由于虛擬機遷移的網(wǎng)絡(luò)屬性要求，當(dāng)從一個物理機上遷移到另一個物理機上，要求虛擬機不間斷業(yè)務(wù)，需要其IP地址、MAC地址等參數(shù)保持不變，如此則要求業(yè)務(wù)網(wǎng)絡(luò)是一個二層網(wǎng)絡(luò)。傳統(tǒng)的二層無法穿越中間的三層網(wǎng)絡(luò)，此外傳統(tǒng)的VLAN只能支持4K個VLAN，虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制，網(wǎng)絡(luò)隔離能力也同樣受到限制。

Overlay是在傳統(tǒng)網(wǎng)絡(luò)上虛擬出一個虛擬網(wǎng)絡(luò)，傳統(tǒng)網(wǎng)絡(luò)不需要再做任何改變。虛擬化后的業(yè)務(wù)網(wǎng)絡(luò)為Overlay，中間的傳統(tǒng)承載網(wǎng)絡(luò)為underlay。Overlay的技術(shù)路線，對物理設(shè)備的要求降至最低，業(yè)務(wù)完全定義在overlay網(wǎng)絡(luò)上。典型的overlay實現(xiàn)為VXLAN，是一種將二層報文用三層協(xié)議進行封裝的技術(shù)，可以對二層網(wǎng)絡(luò)在三層范圍進行擴展。它應(yīng)用于數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間，使虛擬機可以在互相連通的三層網(wǎng)絡(luò)范圍內(nèi)遷移，而不需要改變IP地址和MAC地址，保證業(yè)務(wù)的連續(xù)性。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識，使用戶可以創(chuàng)建16M相互隔離的虛擬網(wǎng)絡(luò)，突破了傳統(tǒng)VLAN所能表示的4K個隔離網(wǎng)絡(luò)的限制，這使得大規(guī)模多租戶的云環(huán)境中具有了充足的虛擬網(wǎng)絡(luò)分區(qū)。

虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的分離，讓數(shù)據(jù)中心網(wǎng)絡(luò)變得更加靈活，更具有可擴展性。而對虛擬網(wǎng)絡(luò)的控制，也僅僅需要集中在網(wǎng)絡(luò)邊緣即可。然而Overlay技術(shù)并沒有解決所有問題，數(shù)據(jù)中心中還有很多Middleware，如防火墻、負(fù)載均衡器等，這些設(shè)備都是基于用戶業(yè)務(wù)來處理的，如果通過隧道而穿越這些設(shè)備，顯然是不行的。特別是在VM遷移時，防火墻里面的基于Flow的Status其實并沒有遷移。同時，傳統(tǒng)的防火墻、負(fù)載均衡器的部署，都是與網(wǎng)絡(luò)拓?fù)渚o密相關(guān)，需要根據(jù)報文路徑來放置防火墻/負(fù)載均衡器。

我們把虛擬防火墻/負(fù)載均衡器/網(wǎng)關(guān)等業(yè)務(wù)處理功能，稱為Service Function，而流量經(jīng)過一系列的Service Function的處理，形成Service Function Chaining，即業(yè)務(wù)功能鏈。在這樣一個Service Function Chaining中，如何能夠?qū)⒘髁快`活的調(diào)配到某個Service Function進行處理，形成Service Function Chaining，傳統(tǒng)的SFC方案有基于源路由實現(xiàn)，和對MP-BGP進行擴展定義新的NLRI來改變傳統(tǒng)的路由下一跳行為。新型的云虛擬化環(huán)境下則采用NSH來實現(xiàn)。

傳統(tǒng)的管理方式如網(wǎng)管軟件、流量分析儀、安全設(shè)備等工具有很大的局限性。它們只能在有限的范圍內(nèi)實現(xiàn)有限的網(wǎng)絡(luò)監(jiān)控，而不能發(fā)現(xiàn)網(wǎng)絡(luò)的異常。

基于SDN的網(wǎng)絡(luò)流量可視化，幫助更快速有效的識別網(wǎng)絡(luò)流量、網(wǎng)絡(luò)負(fù)載、異常事件和網(wǎng)絡(luò)攻擊。將網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來，利用人們的視覺功能處理這些大量的數(shù)據(jù)信息，將可視化技術(shù)引入到網(wǎng)絡(luò)領(lǐng)域和安全領(lǐng)域。

SDN網(wǎng)絡(luò)流量可視化深度提取網(wǎng)絡(luò)2-7層信息，快速識別數(shù)據(jù)模式和數(shù)據(jù)差異，發(fā)現(xiàn)數(shù)據(jù)的異常值和錯誤。對當(dāng)前的網(wǎng)絡(luò)運行情況進行識別聚類，通過大數(shù)據(jù)分析，識別當(dāng)前網(wǎng)絡(luò)，并預(yù)知規(guī)劃未來網(wǎng)絡(luò)。此外，流量可視化還從中發(fā)現(xiàn)異常事件，發(fā)現(xiàn)安全威脅，做好安全防御。

DDOS的攻擊可謂是千變?nèi)f化。SDN技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上，由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。SDN安全策略支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡(luò)監(jiān)控和流量控制，對于防御網(wǎng)絡(luò)攻擊有很大作用。通過使用可編程的靈活SDN交換機，讓它們作為數(shù)據(jù)包攔截和重定向平臺，安全團隊就可以檢測和防御目前的各種常見攻擊。典型部署是，SDN交換機作為數(shù)據(jù)包提取、上報、和攔截設(shè)備，而控制器則作為監(jiān)控、分析、和策略下發(fā)設(shè)備。

隨著云的普及，有數(shù)據(jù)表明越來越多的安全威脅來自于云和網(wǎng)絡(luò)的內(nèi)部。分散的設(shè)備策略配置管理，對管理員安全技能要求高，手工配置和維護困難。物理安全設(shè)備對虛擬機東西向流量不可見，無法實施有效的安全策略管理。物理安全設(shè)備大都是封閉、固化的，不能動態(tài)伸縮。

基于Openflow的SDN天生就帶保護內(nèi)網(wǎng)的機制。采用內(nèi)網(wǎng)零信任安全機制，將傳統(tǒng)的連接網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榱阈湃伟踩Ｊ剑依^續(xù)保持基礎(chǔ)架構(gòu)的靈活性，達到基于主機級別的云數(shù)據(jù)中心安全防護和訪問控制。SDNJ基于流細力度管控，提供全局安全策略和自適應(yīng)安全策略。

面對OTT業(yè)務(wù)帶來的巨大壓力，vCPE為電信運營商帶來新的機遇。運營商在將x86這種具有更高計算能力和更標(biāo)準(zhǔn)靈活的硬件架構(gòu)引入到傳統(tǒng)城域網(wǎng)的業(yè)務(wù)邊緣層。通過部署x86架構(gòu)下的虛擬CPE（VCPE）、虛擬BRAS（VBRAS）和虛擬NAT（VCGN）等資源池，使得用戶接入控制能力得以靈活擴展。

承載傳送網(wǎng)的發(fā)展趨勢歷經(jīng)了SDN、MSTP、T-MPLS/PBT、PTN/MPLS-TP的發(fā)展階段。PTN繼承了MPLS的轉(zhuǎn)發(fā)機制和多業(yè)務(wù)承載能力(PW)，繼承了傳送網(wǎng)的OAM和保護能力，去除了IP的復(fù)雜的路由協(xié)議和面向非連接的特性，支持分組交換、QoS和統(tǒng)計復(fù)用能力（IP化），采用面向連接技術(shù)，保障業(yè)務(wù)端到端性能保證。

使用基于SDN的SPTN則將承載網(wǎng)帶入下一個智能化管道時代，SPTN提供集中控制能力的智能管道、業(yè)務(wù)快速開通和帶寬按需實時調(diào)整。

SD-WAN是軟件定義廣域網(wǎng)。對于企業(yè)來說，網(wǎng)絡(luò)及其可用性至關(guān)重要。如果網(wǎng)絡(luò)出現(xiàn)故障，業(yè)務(wù)將陷于癱瘓。而維護廣域網(wǎng)的費用非常昂貴，特別是大部分時候都閑置的網(wǎng)絡(luò)。

SD-WAN具有全局網(wǎng)絡(luò)的可視性。企業(yè)可在SDN中央控制器系統(tǒng)創(chuàng)建流量轉(zhuǎn)發(fā)策略，并下發(fā)到所有SD-WAN設(shè)備。這些策略可以是基于IP、端口號、時間、QoS等。SD-WAN集中控制器可以獲取實時的動態(tài)鏈路信息包括鏈路帶寬利用率、延遲、丟包等，并且根據(jù)這些信息動態(tài)的流量轉(zhuǎn)發(fā)和策略，智能路徑控制和選擇。

在高密度場景的wifi接入，經(jīng)常會出現(xiàn)明明布了很多AP，但是終端接入慢的情況。由于SDN控制器擁有全局的無線網(wǎng)絡(luò)使用情況，我們可以通過SDN控制器來進行動態(tài)的網(wǎng)絡(luò)資源切片和資源分配，帶來更好的用戶體驗。此外，SDN還可根據(jù)wifi的負(fù)載情況，將AP打開或是關(guān)閉，從而節(jié)省功耗。還可以通過集中的控制器對無線作接入、認(rèn)證、統(tǒng)計、訪問控制等。

數(shù)據(jù)中心第一代解決方案為vPC+VRRP+L3 OSPF+BGP。第一代方案使用的協(xié)議復(fù)雜，可擴展性差，為了解決這些問題，出現(xiàn)了第二代解決方案L3 CLOS，L3 CLOS使用了BGP+ECMP，協(xié)議簡單，橫向擴展能力高，完成了從scale-up到scale-out的轉(zhuǎn)變。但第二代的缺陷是龐大數(shù)量TOR交換機的管理工作量太大。

SDN的引入完美解決了前兩代的問題。第三代數(shù)據(jù)中心解決方案SDN Fabric以SDN控制器為核心，以SDN交換機為支撐，提供豐富的SDN APP，以高可靠服務(wù)為保障的全方位解決方案。為用戶構(gòu)建智能、動態(tài)、開放、自定義、快速創(chuàng)新的新一代網(wǎng)絡(luò)。并且由于SDN控制器的集中管理，使用TOR集群替代傳統(tǒng)大而笨重的核心交換機也已成為可能。

作者介紹：
王志雄，西麥科技研發(fā)總監(jiān)，帶領(lǐng)設(shè)計、研發(fā)了西麥科技的SDN/NFV系列產(chǎn)品，包括SDN控制器、Openflow交換機、SDN APP、NFV。

王志雄專注在網(wǎng)絡(luò)及SDN研發(fā)領(lǐng)域，15年行業(yè)經(jīng)驗。曾在IBM、華為、中興工作，從事研發(fā)及部門管理，在IBM時任研發(fā)部門經(jīng)理。