根据一些供应商、分析师、权威人士和赞助商发言人的说法,OpenFlow和sdn通常是第二个到来的。根据相同的人群,它们的属性包括:
- 降低网络成本的数量级
- 打破垄断供应商的网络霸权
- 支持真正的虚拟化,具有跨地理边界的全工作负载迁移
- 简化拓扑和现代化分割
- 提供可扩展的、机器可读的api
- 让您编写自己的协议
- 通过动态路由“大象流”,基于流的路由具有更好的链路利用率
这样的例子不胜枚举……而且它切面包的效果也比深夜电视购物里的人参好。
很久以前,在“内容网络”时代,我学到了一个教训,那就是相信你自己的炒作,相信你自己的公关,不要对新技术采取合理务实的观点。我认为,当加上DNS Anycasting和基于http的流检查时,DNS技巧将成为网络架构的主要组成部分[我甚至从它那里获得了一些毫无价值的专利,没有人应该去实现它!我记得当“面向应用的网络”将彻底改变我们构建网络的方式时,网络将具有真正的应用层智能和消息路由集成- [是的,发生了).我记得“基于身份的网络”(Identity-based Networking),那时每台设备都将迅速采用802.1x,策略将绑定到你的802.1x身份验证,网络将动态地适应你的用户配置文件[那是一个赢家,我们与NAC合作,创造了另一个带内设备的市场].“工作组计算”为我们提供了校园范围内的生成树,因为,当然,工作组需要在相同的地址结构上,对吗?[辉煌……导致了我见过的最糟糕的网络设计——很高兴Geoff Haviland的论文在98年开始纠正这些错误.]
因此,每隔几年,网络行业就会发明一些新的术语,其主要目的是激发IT采购商的思维,给他们一个新的口号来产生预算,希望推动一些更新的安装基础,以便我们的供应商能够实现我们的季度预定目标。有时,这些的网络模因有价值,有时没有:目前正在运行的两个是“Fabric”和“Software Defined Networking/OpenFlow”。(SDN/OpenFlow是一个树/苹果的声明——所有的苹果都长在树上,不是所有的树都长苹果。OpenFlow是SDN的一种形式,但OpenFlow并不是SDN的唯一形式——它只是被谈论最多、被问及最多的一种形式,也是目前舞会上最漂亮的一种形式,所以我将在接下来的文章中使用它。)广义上说,SDN是指利用软件可编程api来控制网络软件系统中主要存在的功能,如拓扑结构、地址学习和分配、访问控制和安全等。
我不是一个反对新技术的人。熟悉我的人都知道,我可以比皮克斯电影《飞屋飞屋》(up)里的小狗道格(Dug the Dog)更快地投入到下一个大事件中,并指出一个“松鼠!!”但每隔一段时间,它确实有助于把你从悬崖上拉回来,环顾四周,并问自己,如果今天的技术能够真正解决什么问题?当前的路线图是什么样子的?它会让我们解决哪些新问题?它们值得解决吗?我们目前所处的轨道在战术和战略上对客户的影响最大吗?
有时,一些东西通过了测试,应该继续投资。有时他们不。我不认为我在这一点上对SDN/OpenFlow有个人的判断,但我想暂停一秒钟来看看它,并分享我自己的观察。
用例是需要考虑的一个重要因素。我能找到的OpenFlow的最佳使用案例是那些正在申请GENI研究基金来做OpenFlow研究的人,他们需要它作为使用OpenFlow资助他们的项目的正式要求。[是的,这听起来像家庭聚会上的闪电约会。]
我所看到的最常见的非学术性/娱乐性用例是,通过大量交换机识别一些被窥探的大量数据,然后通过探针复制或重定向该流以进行进一步分析。这减少了对昂贵的边缘探测/嗅探器的需求,并允许您以一种相当好的方式管理这类部署的成本。它还将OpenFlow控制器设置为策略分发点(Policy Distribution Point)的形式,并使每个启用/控制的开关都成为策略实施点(Policy Enforcement Point),因为标识感兴趣的流并将其重定向或复制为策略实施的形式。[这比用SPAN、acl、VLAN Flooding、GRE Encaps和策略路由以及其他我们传统网络CLI成员声称能够支持的方式来人工处理要好得多]。如果我可以查看一些流量,点击一个看起来很漂亮的流量,然后通过一些出现在我的嗅探器上的软件魔法,通过3到5个网络跳转,而不会到处泛滥,那么我就会感到非常高兴。
我听说过其他的用例,但大多数情况下,这些用例需要对当前的OpenFlow 1.0/1.1规范进行某种形式的供应商扩展(在未完成的1.2规范中可能会解决,也可能不会解决)。这些包括:
- 建立一个大型的平面网络,并让OpenFlow控制器设置拓扑结构,控制整个网络的所有MAC和ARP学习。
- 通过识别较大的“象流”,然后将它们移动到不会与其他延迟敏感流量竞争的路径,从而在链路聚合组之间实现更有效的负载平衡和共享。
- 通过MAC学习、ARP表响应和GRE隧道等有趣的应用,为所有MAC和IP学习提供集中控制平面,并在不影响底层拓扑的情况下启用分布式分段控制。
我看到了上面建议的用例的一些挑战(但不是分布式嗅探器的挑战,它在我看来很合理):
1)一家供应商最近宣布对他们的交换机提供OpenFlow支持,但在成本上没有任何差异。是的,我们这里需要一个简单的现实检查:OpenFlow开关的成本并不比非OpenFlow开关低。商品的硬件成本是相同的。你仍然需要一个控制平面CPU,一些DRAM和NVRAM,一个PCB来填充它们,以及你选择的开关硅,物理,电源等等。因此,从资本支出的角度来看,OpenFlow网络的成本并不比传统网络低。
2)另一家供应商最近宣布,他们的Openflow开关测试了大约80到10万流量。对您来说,这可能听起来是一个很大的数字,实际上,对于结构化环境中的许多实现来说,这并不坏。但让我们看看这个现实:今天的模块化交换机每秒可以转发超过50亿个包,[是的,用大写B表示的10亿个包]。单个10GbE端口承载运行VDI的虚拟服务器可以占用1000到2000个流,单个web服务器可以超过10k的活动,单个服务器负载平衡器可以占用大约100万个流,10GbE防火墙也是如此。基于flash的ssd正在迅速克服IOPS瓶颈,我们曾经处理过这个瓶颈,它将大多数数据中心网络的性能控制在每台主机几百/几千个流量,并迅速推动我们在主机上超过NxGbE。2020欧洲杯预赛再加上英特尔Romley芯片组,你就有了熔化的配方,马上就缺少流动表格。当流量缓存被填满时,供应商特定的行为可能会有所不同,但最常见的是圣经式的泛洪包,或在控制平面转发[是的,1.2兆位/秒ToR交换机上的控制平面最多1-2Gb,不太好]。
3)另一家供应商告诉我,为了给网络上的转发表编程序,它在两层到三层网络上的流量设置速度现在降到了250毫秒,这听起来不算太糟。但是在这四分之一秒内,当你收到第一个包(假设它是一个UDP流在5Gbps在10Gb链路),你将收到625MB/秒/端口,你将不得不缓冲156.25 MB的数据。缓冲区的成本往往很高,这就是为什么我们在大多数供应商的成本优化的10Gb ToR交换机上看不到大的缓冲区(2MB到9MB是目前的标准,有一两个更深入,但价格也相应)。事实上,大多数为主干/主干设计的模块化交换机也没有缓冲容量来支持保存这么多数据。
一个带有64个10GbE端口的ToR交换机有9MB的缓冲区:如果10%的端口有一个以50%的线速开始的流,它将在前250ms中生成937MB的数据。在流设置之前,开关将丢弃99.04%的数据。一旦设置好流,它们就会转发,正确地假设交换机上的流表可以处理基础设施中可见的流的总数。看看上面的第2点,然后问自己:“当SQL Slammer来袭时,我的边缘切换发生了什么?”是的,我又和自己约会了一点,但是SQL slammer填充了大多数供应商交换机上的流缓存,导致他们然后把所有的流量推到控制平面,然后急剧上升,导致交换机崩溃。这在整个网络中串联起来。当时,Cisco Catalyst 6500 Supervisor是为数不多的拥有m- try拓扑派生缓存的设备之一,能够在不消耗流表的情况下转发。因为它没有进行流跟踪。带有512k流量表和1M流量表的开关熔化了。(注:大多数供应商交换机今天确实使用TCAM和拓扑派生的缓存系统,其中TCAM是预先填充基于路由表、连接路由和学到的IP主机表的转发信息的——他们使用这个的原因很简单负载下的确定性性能)
4)扁平化网络使您可以在任何地方的任何服务器上放置任何工作负载的概念在视觉上很有吸引力,特别是对服务器和虚拟化管理员来说。今天,他们被捆绑到由网络团队指定的非常静态和不灵活的IP寻址体系结构中。是的,我在这里说得有点精干,但双方都有一个观点——我们这些网络人在自动化我们的工具包、使机器对机器接口成为可能的编程接口以及远离我们喜爱的带有VT100仿真的80x24字符终端方面都不是最好的。我们喜欢自己作为巫医的身份,在那个叫做网络的奇怪黑盒子上工作,它能做一些疯狂的巫毒事,但让所有东西都能说话。与此同时,我们也花了过去15年的时间试图获得预算来重新构建我们的网络,使它最终稳定下来,不会经常崩溃。就在我们有时间喘息的时候,一些新兴的虚拟化人士突然出现,说我们需要重新开始,因为他想把虚拟机转移到整个创建过程中。
这个问题正从多个角度受到攻击,而不是通过判断哪个是最好的,因为这就像试图选出明年的超级碗冠军一样武断,现在让我们列出一些竞争者:
-OTV:覆盖传输虚拟化
-位置/识别分离协议
-VXLAN:虚拟可扩展LAN,
-NVGRE:网络虚拟化GRE
-OpenFlow与供应商支持的属性和隧道(通常是GRE或GRE派生),
-H-VPLS等等。
其中大多数都不是设计成协同工作的,通常提供“另一种标记格式”供您筛选,并可能在您的基础设施中引入另一个单点故障。时间会告诉我们。我敢打赌,最终那些最容易设置、对基础设施(无论是VM/Server端还是网络端)需求最少的公司将会胜出,但这只是因为历史证明了这一点。
5)最后一个挑战是“炒作工厂”本身。控制你的关系网:无与伦比的灵活性,为大象流提供路径,确定路线和桥接路径,以避免标准L2/3控制平面的不稳定性,将自己从供应商的束缚中解放出来,利用商品交换机的成本效益,从一个点管理整个网络,所有这些都有一个10元组匹配引擎,支持可能4000个流,在您的10太比特的数据中心环境中,流设置速率可能是每秒几千个,有数百万个流,这已经不够用了。2020欧洲杯预赛但等着我告诉你这些流是通过一个遥控器编程的,这个遥控器还不存在,它连接到被控制的网络中的带内交换机,这显然不会起作用,或者通过一个完全独立的管理网络,这可能会导致您从未见过的大规模停电,就好像您的控制网络中的一个故障交换机可以导致数十或数百个生产交换机故障一样。足够地说...