OpenFlow技术及应用模式发展分析.docVIP

OpenFlow技术及应用模式发展分析 　　4月10日至15日，第30届IEEE计算机通信国际大会 (INFOCOM 2011)在上海国际会议中心隆重举行。本次会议吸引了国内外1000多名计算机和通信领域的专家、学者和企业的科研人员到场，重点围绕云计算、网络安全、数据中心网络、移动互联网、物联网等一系列研究领域的前沿问题进行了深入的探讨。在备受关注的现场展示环节中（Live Demo），来自清华大学信息技术研究院网络安全实验室的师生们展示了基于OpenFlow的网络安全管理系统LiveSec，引起了与会者的普遍关注。该系统的成功运行，是国内通信领域的研发团队对前沿技术跟踪、创新工作的完美诠释，在科研成果转化为可用产品的道路上占据了先机。 　　 　　OpenFlow扬帆起航 　　 　　OpenFlow技术最早由斯坦福大学提出，旨在基于现有TCP/IP技术条件，以创新的网络互联理念解决当前网络面对新业务产生的种种瓶颈，已被享有声望的《麻省理工科技评论》杂志评为十大未来技术。它的核心思想很简单，就是将原本完全由交换机/路由器控制的数据包转发过程，转化为由OpenFlow交换机（OpenFlow Switch）和控制服务器（Controller）分别完成的独立过程。转变背后进行的实际上是控制权的更迭：传统网络中数据包的流向是人为指定的，虽然交换机、路由器拥有控制权，却没有数据流的概念，只进行数据包级别的交换；而在OpenFlow网络中，统一的控制服务器取代的路由，决定了所有数据包在网络中传输路径。OpenFlow交换机会在本地维护一个与转发表不同的流表（Flow Table），如果要转发的数据包在流表中有对应项，则直接进行快速转发；若流表中没有此项，数据包就会被发送到控制服务器进行传输路径的确认，再根据下发结果进行转发。 　　OpenFlow网络的这个处理流程，有点类似于状态检测防火墙中的快速路径与慢速路径的处理，只不过转发与控制层面在物理上完全分离。这也意味着，OpenFlow网络中的设备能够分布部署、集中管控，使网络变为软件可定义的形态。在OpenFlow网络中部署一种新的路由协议或安全算法，往往仅需要在控制服务器上撰写数百行代码。加州大学伯克利分校的Scott Shenker教授对此有着很到位的评价：“OpenFlow并不能让你做以前在网络上不能做的事情，但它提供了一个可编程的接口，让你决定如何路由数据包、如何实现负载均衡以及如何进行访问控制。因此，它的这种通用性确实会促进发展。” 　　在得到学术界的普遍认可后，工业界也开始对这项新技术表示出浓厚的兴趣。OpenFlow已经在美国斯坦福大学、Internet2、日本的JGN2plus等多个科研机构中得到部署，网络设备生产商思科、惠普、Juniper、NEC等巨头也纷纷推出了支持OpenFlow的有线和无线交换设备，而谷歌、思杰等网络应用和业务厂商则已将OpenFlow技术用于其不同的产品中。就在半个月前，以OpenFlow为产品核心设计理念的初创企业Big Switch Networks成功完成了总额1375万美元的第一轮融资，标志着资本市场对这项新技术及其发展前景的充分认可。目前，OpenFlow的推广组织开放网络基金会（Open Networking Foundation）的成员基本涵盖了所有网络及互联网领域的巨头。 　　 　　好用才是硬道理 　　 　　使用新技术的代价往往十分高昂，好在OpenFlow具有足够的开放性，给在传统网络中的融合实现带来可能。清华大学信息技术研究院网络安全实验室在本届INFOCOM大会上现场展示的部署在清华大学信息楼内的LiveSec网络安全系统，就是一个非常好的范本。该系统在传统的以太网之上，通过无线接入技术和虚拟化技术引入了基于OpenFlow协议的控制层（见图1），显著降低了构建成本。 　　LiveSec网络安全系统包含三层架构： 　　#8226; 以太网交换层: LiveSec基于传统的以太网络进行物理交换，所有的执行OpenFlow协议的接入设备通过传统以太网互联。 　　#8226; OpenFlow控制层: LiveSec使用支持OpenFlow协议的虚拟交换机（Open vSwitch）和无线路由器构成接入网络层。OpenFlow控制层构成LiveSec的逻辑拓扑，并由LiveSec控制器进行集中控制。 　　#8226; 网络用户和服务节点: 网络用户通过无线路由器接入，服务节点通过虚拟交换机接入。所有接入流量在接入层受到LiveSec控制器的全局策略控制。 　　基于上述架构，LiveSec相对传统的安全部署模型具有多重优势。首先，该系统解决了安全设备的可扩展问题。通过全局细粒度的负载均衡，LiveS