Extreme石奇海:SDN并不會加深安全威脅
原創作為一種新型的網絡架構,SDN從誕生之日起便吸引了眾多網絡設備商、軟件服務商、運營商等的目光。其核心理念是使網絡軟硬件分離,控制與轉發分離,通過軟件對網絡架構進行集中控制與修改,讓網絡能夠像軟件一樣便捷、靈活,大大提高網絡的創新和服務能力。
對企業用戶而言,SDN給用戶帶來怎樣的意義?軟件在SDN中發揮怎樣的作用?SDN會不會帶來新的安全威脅?企業該如何升級自己的網絡架構?帶著這些疑問,51CTO記者獨家專訪了Extreme中國區技術總監石奇海。
軟件組件在SDN中發揮重要作用
石奇海表示,SDN對用戶的意義在于提高網絡效率,支持網絡擴展。但企業若要真正從 SDN 中獲益,必須首先明確一個重要的問題-----“我們到底要解決什么問題?”因為SDN為網絡管理和部署提供大量應用程序并提高效率,可以實現網絡虛擬化、網絡配置、安全和網絡監控等服務。從長遠來看,部署SDN將影響企業的整個網絡架構,因此企業尤其要清楚了解SDN對企業的傳統網絡基礎設施的影響,評估SDN帶來的好處。
圍繞 SDN 部署中的網絡設備商品化可能性,業內已展開了諸多討論。隨著 SDN 的持續發展,有一點正逐漸變得清晰:那就是,軟件組件實際上遠遠不只是局限于控制平面。而且,在網絡中,除了扮演設備級控制器的角色外,它還發揮著重要作用。
為了網絡交換機能夠大規模運行,且具有網絡和數據中心所需的所有可靠性,設備層必須具有某些功能,必須在設備層處理無中斷切換、鏈路聚合、自我修復式自動過程重啟等功能,而且,所有這些功能和屬性都必須受軟件支持。簡言之,所有的網絡環境都由軟件動態配置,以適應不斷變化的業務需求。
石奇海表示,通過利用經行業驗證的、集開放性與模塊化于一體ExtremeXOS 網絡操作系統,網絡運營商和用戶可獲得 SDN 的全部優勢,同時還可確保其轉發平面按照當今最為苛刻的應用程序要求的性能水平運行。
SDN并不會加深安全威脅
任何事物都有兩面性,SDN在簡化網絡,實現智能管理的同時,也帶來了相應的挑戰,這就好比數據服務器、以太網交換機等所有獨立設備間的 IP 連接都會帶來網絡安全和用戶策略方面的挑戰一樣。
但石奇海表示,SDN決不會使安全問題變得更糟。網絡安全的關鍵首先是使用資源邏輯分段訪問,使用正確級別的加密、網絡密碼和其他策略(MAC 地址等)了解有可能發生數據泄露的位置、為用戶和設備定義一致的安全策略、關停未經授權的用戶對網絡設置和配置的訪問,并確保敏感信息始終得到保護。
時至 2013 年,SDN 沒有過多改變安全性方面的考慮因素,無論是目前的以太網部署還是將來以 SDN 協議為特征的網絡部署,都要考慮這些因素。設備間的通訊和流量以及黑客攻擊和拒絕服務等異常網絡行為仍然必須受到動態監控,策略也必須落實且執行到位,所有用戶和設備在加入網絡前必須進行身份驗證(無論是否涉及 SDN 技術)。
在筆者看來,SDN架構不同于傳統的網絡,在部署時就需要比傳統方式更高級的身份認證,更靈活的加密來確保傳統網絡的安全。同時由于其在靈活的集中控制方面的優勢,通過在控制器端增加關鍵的安全應用,能比傳統網絡更好應對安全挑戰。
石奇海介紹到,在安全方面,Extreme Network 視圖可始終確保安全層通過我們的 CLEAR-flow 技術嵌入到操作系統中。從 SDN 內部應用程序監控和虛擬化的角度來看,Extreme Networks XNV™ 解決方案有助于提供可見性并可確保無論該方案部署位置所在的虛擬機是否發生移動,為特定應用程序設定的策略都會始終得到遵守。
如何讓SDN架構與現有架構融合?
顯而易見,企業要實現傳統網絡向SDN網絡的平滑升級,并不是一蹴而就的工程,必須循序漸進,逐步將SDN輕松部署到現有架構。石奇海建議試圖評估 SDN 部署的企業在進入SDN前應該首先明確他們試圖解決的問題,他表示,不明確實際問題就進行部署采購和部署SDN有可能導致令人失望的結果。
部署很大程度上取決于當前所考慮的具體使用情況和應用程序。那些具有使用 SDN 解決問題的清晰策略的企業更可能傾向于利用 OpenFlow 和 OpenStack 等新技術整合現有(傳統)網絡基礎架構。關鍵的一步是評估現有網絡組件是否支持標準協議,是否可編程,同時仔細評估SDN實施方面的挑戰,考察整個應用生態系統情況。
而Extreme Networks可以提供支持 OpenFlow,并支持在其交換機上進行混合式運行,實現傳統網絡與SDN的融合,加速傳統網絡向SDN 的遷移。
石奇海強調,SDN的核心是互操作性、靈活性以及開放性,為保證目前和未來在 SDN 生態系統中的不同參與者的互操作性和可集成性,Extreme Networks致力于實現開放標準和互操作性,不僅在所有部署的網絡中踐行這一原則,而且在SDN 領域與 NEC(通過其 ProgrammableFlow Controller)、BigSwitch Networks(通過其大型虛擬交換機和 Big Tap 應用程序)等功能性合作伙伴共同踐行這一原則。例如其旗艦產品--BlackDiamond® X8交換機,就能支持Big Switch Networks公司基于OpenFLow標準的SDN應用,實現網絡流量監控和網絡虛擬化。
SDN普及驅動力不足 但前景可期
我們也看到,雖然SDN概念火熱,用戶接受程度也在不斷提高,但普及仍遭遇挑戰。這主要是因為SDN是一種革命性的網絡架構,其優勢來源于網絡與應用的深度融合,借助應用讓網絡變得簡單智能,而目前相關應用程序優勢的顯現尚需時日,且應用程序彼此割裂,難以實現與網絡的融合。
另外,供應商是否愿意保持開放狀態,推出不依賴任何一種控制器的軟件和交換機?這些問題,都導致SDN引入的驅動力不足,離規模普及還有一段距離。
在談到SDN行業組織OpenDaylight時,石奇海表示,這無疑是一個積極的信號,雖然目前不清楚OpenDaylight 選擇什么軟件及朝著哪個確切方向發展,但顯而易見,整個行業正在共同致力于開發利用SDN的通用技術,因此未來還有很多工作要做。
可以預見的是,在需求的不斷驅動下,SDN最終將普及推廣。
記者觀察:隨著應用需求的不斷增加,網絡數據和流量管理正變得日益復雜,也給數據中心網絡架構帶來更大的挑戰,如何更加靈活敏捷地實現端到端網絡資源調度響應? 在SDN架構下,用戶可借助SDN控制器讓設備變得靈活、可控,實現按需調配資源,并精細控制,為數據中心帶來變革。
雖然目前關于SDN標準,OpenFlow、思科ONE和Vmware等三支分歧的力量一直在博弈,但在數據中心領域SDN正大行其道。在需求的帶動和產業鏈的不斷努力下,SDN應用將不斷呈現,并實現與網絡的深度融合,SDN也將漸行漸近,逐漸普及。
