OpenFlow技術及應用模式發展分析
OpenFlow揚帆起航
OpenFlow技術最早由斯坦福大學提出,旨在基于現有TCP/IP技術條件,以創新的網絡互聯理念解決當前網絡面對新業務產生的種種瓶頸,已被享有聲望的《麻省理工科技評論》雜志評為十大未來技術。它的核心思想很簡單,就是將原本完全由交換機/路由器控制的數據包轉發過程,轉化為由OpenFlow交換機(OpenFlow Switch)和控制服務器(Controller)分別完成的獨立過程。轉變背后進行的實際上是控制權的更迭:傳統網絡中數據包的流向是人為指定的,雖然交換機、路由器擁有控制權,卻沒有數據流的概念,只進行數據包級別的交換;而在OpenFlow網絡中,統一的控制服務器取代路由,決定了所有數據包在網絡中傳輸路徑。OpenFlow交換機會在本地維護一個與轉發表不同的流表(Flow Table),如果要轉發的數據包在流表中有對應項,則直接進行快速轉發;若流表中沒有此項,數據包就會被發送到控制服務器進行傳輸路徑的確認,再根據下發結果進行轉發。
OpenFlow網絡的這個處理流程,有點類似于狀態檢測防火墻中的快速路徑與慢速路徑的處理,只不過轉發與控制層面在物理上完全分離。這也意味著,OpenFlow網絡中的設備能夠分布部署、集中管控,使網絡變為軟件可定義的形態。在OpenFlow網絡中部署一種新的路由協議或安全算法,往往僅需要在控制服務器上撰寫數百行代碼。加州大學伯克利分校的Scott Shenker教授對此有著很到位的評價:“OpenFlow并不能讓你做你以前在網絡上不能做的一切事情,但它提供了一個可編程的接口,讓你決定如何路由數據包、如何實現負載均衡或是如何進行訪問控制。因此,它的這種通用性確實會促進發展。”
在得到學術界的普遍認可后,工業界也開始對這項新技術表達出濃厚的興趣。OpenFlow已經在美國斯坦福大學、Internet2、日本的JGN2plus等多個科研機構中得到部署,網絡設備生產商思科、惠普、Juniper、NEC等巨頭也紛紛推出了支持OpenFlow的有線和無線交換設備,而谷歌、思杰等網絡應用和業務廠商則已將OpenFlow技術用于其不同的產品中。就在半個月前,以OpenFlow為產品核心設計理念的初創企業Big Switch Networks成功完成了總額1375萬美元的第一輪融資,標志著資本市場對這項新技術及其發展前景的充分認可。目前,OpenFlow的推廣組織開放網絡基金會(Open Networking Foundation)的成員基本涵蓋了所有網絡及互聯網領域的巨頭。#p#
好用才是硬道理
使用新技術的代價往往十分高昂,好在OpenFlow具有足夠的開放性,給在傳統網絡中的融合實現帶來可能。清華大學信息技術研究院網絡安全實驗室在本屆INFOCOM大會上現場展示的部署在清華大學信息樓內的LiveSec網絡安全系統,就是一個非常好的范本。該系統在傳統的以太網之上,通過無線接入技術和虛擬化技術引入了基于OpenFlow協議的控制層,顯著降低了構建成本。
LiveSec網絡安全系統包含三層架構:
以太網交換層: LiveSec基于傳統的以太網絡進行物理交換,所有的執行OpenFlow協議的接入設備通過傳統以太網互聯。
OpenFlow控制層: LiveSec使用支持OpenFlow協議的虛擬交換機(Open vSwitch)和無線路由器構成接入網絡層。OpenFlow控制層構成LiveSec的邏輯拓撲,并由LiveSec控制器進行集中控制。
網絡用戶和服務節點: 網絡用戶通過無線路由器接入,服務節點通過虛擬交換機接入。所有接入流量在接入層受到LiveSec控制器的全局策略控制。
基于上述架構,LiveSec相對傳統的安全部署模型具有多重優勢。首先,該系統解決了安全設備的可擴展問題。通過全局細粒度的負載均衡,LiveSec支持安全設備在網絡的任意位置進行增量式部署。新部署的節點會按照OpenFlow協議自行入網,并自動將控制權交由LiveSec控制器。所有的用戶和服務節點均可在LiveSec網絡內動態遷移,包括無線接入和虛擬機的無縫遷移。記者在展示現場嘗試進行了基于虛擬機的服務節點動態加入網絡的實驗,當具有安全檢測能力的虛擬機加入網絡中時,LiveSec的可視化界面會顯示出該虛擬機在網絡中的拓撲及其具備的業務能力(如殺毒功能,協議識別功能等)。LiveSec控制器會依據新增節點的處理能力將需要安全處理的網絡流量均衡到新的節點上,從可視化界面中也可以看到新增節點引起的鏈路流量變化。
傳統網絡中,安全設備一般被部署在邊緣,對進出流量進行訪問控制。這種方式雖然成熟有效,對內網中的安全問題卻無能為力。LiveSec創新的交互式訪問控制特性則能很好地解決這一難題,由于系統提供了安全節點到控制器的信息交換通路,并針對安全事件設計了一套信息交換協議,LiveSec可以根據安全節點傳來的安全事件,在用戶接入層實施訪問控制。這意味著,該系統做到了全網的點到點安全控制,任何攻擊流量在不離開接入交換機的情況下就被扼殺在萌芽狀態,內網安全的頑疾可以從根本上得到解決。
在OpenFlow網絡中,控制服務器管控著所有的數據流,又能實時感知其他節點的狀態,為可視化提供了足夠的基礎。記者在展示中看到,LiveSec結合OpenFlow協議以及應用層業務識別服務節點,將網絡中所有的拓撲、流量、應用、安全變化都按照統一格式寫入中央數據庫,并在動態界面中實現了包括當前狀態及歷史事件回放在內的全網業務可視化。當使用無線設備的用戶通過OpenFlow無線路由器接入后,立即會顯示在系統的可視化界面中。該用戶上網所涉及的應用層協議,也會實時顯示在用戶圖標一側。當用戶訪問不良網站或者進行攻擊時,圖標上會出現紅色警示,LiveSec也會依據安全策略在用戶接入端實時阻止用戶的部分或所有流量。歷史回放功能也相當實用,可以回放特定時間段內LiveSec的所有事件,攻擊發起者包括地理位置在內的所有信息均可以通過數據庫查找獲取。#p#
商業模式定成敗
雖然OpenFlow網絡從根本上解決了傳統網絡存在的很多問題,卻也因標準化過程剛剛起步,缺乏大眾化的、實用的落地方案,至今仍然多被用于各類實驗性質的網絡。在其發展的道路上,勢必還要經歷擴大用戶規模和商業模式創新兩大階段。而縱觀近年來IT行業巨頭們的發展情況,締造一個成功的商業模式,其重要性顯然遠遠超過了技術創新。
在記者看來,LiveSec在某些技術以外環節上的創新,對OpenFlow的推廣有著十分積極的意義。該系統將傳統安全網關的數據平面拓展到整個網絡之中,以全網內的OpenFlow交換設備作為數據轉發平面。并且為了保證可擴展性并降低成本,保留了傳統的以太網交換設備,僅通過引入支持OpenFlow協議的接入層網絡來實現邏輯拓撲的全網可控。這意味著,有著一定研發能力的用戶可以利用廉價的硬件平臺和開源軟件,自行搭建低成本的OpenFlow網絡。據LiveSec團隊負責人亓亞烜博士介紹,該校信息樓內實驗網絡的建設大量采用了傳統的以太網交換機和無線接入點,OpenFlow控制層則由運行著開源的Open vSwitch模塊的電腦和支持OpenFlow協議的第三方無線接入點固件DD-WRT實現,從而建立了一個低成本、高性能的OpenFlow網絡。
未來的數據中心網絡越來越趨向于由虛擬機和服務器群所組成,數據中心的交換架構則趨向扁平,使用高性能交換機群組或clos 網絡甚至可以支持百萬個節點的無阻塞互聯。在這種情況下,網絡服務質量及高可用性成為用戶最為關心的問題。以LiveSec為代表的基于OpenFlow的網絡操作系統支持網絡設備的分布式部署,有效避免了單點失效問題。控制服務器的分布式部署,則可以利用分布式哈希技術同步全網拓撲和策略。當網絡出現局部故障時,系統可以利用OpenFlow協議迅速構建全新的互聯拓撲,甚至可以為不同的業務和應用分別構建不同的拓撲,以滿足安全和服務質量的需求。這又是新的商業機會,試想一下,在OpenFlow網絡的支持下,IaaS提供商可以為用戶交付一個獨一無二的網絡,用戶甚至可以自行設定數據流在本網內的路徑和安全策略,而不僅僅是幾個虛擬設備的控制權。
從系統實現模式的角度看,LiveSec的模式是構建網絡操作系統(基于開源項目Nox),這個發展方向已經被許多業內人士所認同。不管對象是桌面還是網絡,操作系統存在的根本意義都是管理設備和提供編程接口。眾所周知,想發揮一塊高性能顯卡的處理能力,必須先安裝該硬件的驅動。基于OpenFlow的網絡操作系統也是如此,仍以LiveSec為例,所有OpenFlow交換設備和安全服務節點都可看作網絡系統中的硬件設備,安全業務的實現則通過服務節點上的軟件完成。當新的服務節點加入網絡時,LiveSec控制器首先要知道這個節點能處理什么業務,以及如何與設備建立通信機制,才能讓安全處理的執行者和決策者有效地互動起來。出于商業層面的考慮,這種機制的建立往往由服務提供者主動告知控制器,需要一個與電腦安裝硬件驅動十分相似的過程。對網絡管理者來說,這個步驟簡化了部署及使用難度;而對設備制造商而言,這種方式也有利于將現有針對傳統網絡的產品快速移植到OpenFlow網絡中。
受當前流行的運營模式影響,基于OpenFlow的網絡操作系統也在加入更多的應用發行元素。當用戶在控制臺中添加服務如同在App Store獲取應用般便捷時,OpenFlow網絡的建設必然會步入高速發展階段。實際上,這種發行模式與當前許多云安全服務的商務模式是可以無縫對接的,為云安全的落地提供了絕佳的渠道。以抗DDoS需求為例,在用戶購買對象大量地由專用設備轉向清洗服務的今天,供應商可以通過系統內置的發行體系為用戶提供自助服務,然后按次數或處理能力收取費用;用戶完全不必考慮現實中令人頭疼的部署問題,只需通過“軟件商店”下載安裝相應服務,就能為OpenFlow網絡添加抗DDoS的能力。
