SDN自出現(xiàn)以來，最為活躍的領(lǐng)域首推數(shù)據(jù)中心：開放式API、統(tǒng)一運維、Overlay SDN……各種概念層出不窮，各廠商也紛紛推出各具特色的設(shè)備和方案，百舸爭流。在廣域網(wǎng)領(lǐng)域，以Google為首率先應(yīng)用SDN進行廣域帶寬優(yōu)化，緊跟著各大型互聯(lián)網(wǎng)廠商紛紛受到鼓舞而摩拳擦掌，準備試水。園區(qū)領(lǐng)域雖然目前表面波瀾不驚，但實質(zhì)上已暗流涌動，客戶訴求已經(jīng)比較迫切和聚焦，只是苦于傳統(tǒng)關(guān)鍵技術(shù)方案仍存在瓶頸。一旦有所突破，這個現(xiàn)網(wǎng)每年100多億美元的市場將發(fā)生翻天覆地的變化，必將成為未來SDN變化最為劇烈的市場。

園區(qū)網(wǎng)的兩大難題

隨著園區(qū)在傳統(tǒng)辦公網(wǎng)絡(luò)上不斷地疊加視頻智真、網(wǎng)絡(luò)存儲、VDI等越來越多的新業(yè)務(wù)，客戶也越來越多地開始面對共同的兩類最大的園區(qū)業(yè)務(wù)困惑：

(1)如何避免為了嚴格保障抖動、延時等高可靠性要求的各種新業(yè)務(wù)，被迫建設(shè)多張分離的煙囪型物理業(yè)務(wù)網(wǎng)絡(luò)?是否可以在同一張網(wǎng)中保障所有業(yè)務(wù)正常運行并能做到業(yè)務(wù)隔離?如何建設(shè)一張可平滑兼容任何未來新業(yè)務(wù)的園區(qū)網(wǎng)絡(luò)，而避免不斷進行網(wǎng)絡(luò)的非平滑升級?

(2)隨著BYOD等無線辦公應(yīng)用的普及，面對大量無線和有線用戶的融合網(wǎng)絡(luò)，定義用戶的要素已經(jīng)不再僅僅是用戶名和密碼，而是將融入終端信息、位置信息、時間信息等更多維度，企業(yè)如何能夠?qū)⑷绱藦?fù)雜維度的固定業(yè)務(wù)和移動業(yè)務(wù)進行統(tǒng)一策略管理和部署?隨著802.11ac時代的即將來臨，以及現(xiàn)有的固定網(wǎng)絡(luò)由百兆升級到千兆接入，如何能夠在保證無線有線的統(tǒng)一大流量線速轉(zhuǎn)發(fā)的同時，進行必要的業(yè)務(wù)識別和統(tǒng)一策略控制?

業(yè)界目前普遍認為SDN將是比較好的解決上述園區(qū)業(yè)務(wù)難題的最終答案，但是由于現(xiàn)有的基于ASIC的園區(qū)SDN方案存在種種技術(shù)限制，園區(qū)SDN一直只是存在小范圍科研市場，沒能實現(xiàn)突破性地規(guī)模商用部署。華為公司企業(yè)網(wǎng)絡(luò)根據(jù)多年網(wǎng)絡(luò)部署經(jīng)驗，和對未來園區(qū)多業(yè)務(wù)虛擬網(wǎng)絡(luò)承載和有線無線網(wǎng)絡(luò)的發(fā)展趨勢的判斷，基于可編程的第4代園區(qū)交換機，在可編程網(wǎng)絡(luò)和統(tǒng)一策略控制Campus Controller兩大核心技術(shù)的基礎(chǔ)上，推出了“可編程Hybrid SDN”和“無線有線融合統(tǒng)一策略控制”兩大園區(qū)SDN方案，突破了園區(qū)SDN的發(fā)展瓶頸，為企業(yè)平滑地向下一代園區(qū)網(wǎng)演進提供全面支持。

“可編程”Hybrid SDN園區(qū)網(wǎng)方案

普通的Hybrid SDN概念在園區(qū)網(wǎng)市場已經(jīng)提出了一段時間，主要是希望采用OpenFlow和傳統(tǒng)路由的雙平面來進行不同的轉(zhuǎn)發(fā)控制，但是卻一直局限在教育和科研領(lǐng)域而遲遲不能規(guī)模商用，究其原因主要有兩大缺陷：(1)基于商業(yè)或自研的ASIC芯片的OpenFlow流表資源還在K級別，而真正在園區(qū)物理網(wǎng)絡(luò)上實現(xiàn)多個可靠隔離的虛擬業(yè)務(wù)網(wǎng)絡(luò)的規(guī)模商用部署則需要M級別的OpenFlow流表資源才能得以保障實現(xiàn)。(2)基于ASIC的Hybrid SDN只能實現(xiàn)ASIC固化支持的已知類型流的轉(zhuǎn)發(fā)，而無法通過靈活編程在已有的OpenFlow管道上疊加更多的業(yè)務(wù)識別、安全加密等增值功能，更不用說識別和支持未來未知流的轉(zhuǎn)發(fā)和虛擬業(yè)務(wù)網(wǎng)絡(luò)部署了。

基于第4代可編程交換機的華為新一代Hybrid SDN園區(qū)解決方案則聚焦在“可規(guī)模商業(yè)部署的可編程園區(qū)網(wǎng)絡(luò)”上，主要具備3大特點：

在一張物理園區(qū)網(wǎng)上同時支持幾百~幾千個大型虛擬業(yè)務(wù)網(wǎng)絡(luò)的能力

基于可編程交換機的新型Hybrid SDN網(wǎng)絡(luò)可以提供最大16M的OpenFlow流表資源，可以在保證大路由轉(zhuǎn)發(fā)的同時，任意構(gòu)建幾百或幾千個大型虛擬的安全隔離的業(yè)務(wù)網(wǎng)絡(luò)，并可虛擬網(wǎng)絡(luò)中建立大量的虛擬備份路徑實現(xiàn)負載均衡或是高可靠路徑保障。

可編程POF協(xié)議無關(guān)轉(zhuǎn)發(fā)，適應(yīng)任何新業(yè)務(wù)部署，保障用戶的網(wǎng)絡(luò)長期投資

基于華為獨有的可編程交換機POF(Protocol Oblivious Forwarding，協(xié)議無關(guān)轉(zhuǎn)發(fā))技術(shù)，網(wǎng)絡(luò)行為完全由控制面負責(zé)定義，企業(yè)可以自定義靈活策略實現(xiàn)新業(yè)務(wù)報文識別，針對新興業(yè)務(wù)適配不需改動已經(jīng)建設(shè)好的物理網(wǎng)絡(luò)，更好地保護企業(yè)用戶的已有網(wǎng)絡(luò)投資。

業(yè)務(wù)流的可編程隨流故障檢測模式，提供全網(wǎng)視角網(wǎng)絡(luò)故障檢測和定位能力

依賴交換機內(nèi)置的可編程能力，針對全網(wǎng)的業(yè)務(wù)流插入故障檢測標識，可以隨任意或全網(wǎng)業(yè)務(wù)流進行故障檢測和定位，檢測全網(wǎng)業(yè)務(wù)劣化以及實現(xiàn)全網(wǎng)的故障監(jiān)察能力。

“可編程”Hybrid SDN園區(qū)網(wǎng)方案應(yīng)用

智真和視頻高質(zhì)量園區(qū)虛擬網(wǎng)絡(luò)

智真和視頻業(yè)務(wù)是企業(yè)的核心業(yè)務(wù)之一，由于使用場景都是企業(yè)重要會議，業(yè)務(wù)質(zhì)量直接受到領(lǐng)導(dǎo)層關(guān)注。目前由于企業(yè)廣域網(wǎng)一般租用運營商鏈路，都會簽署SLA保證，恰恰是園區(qū)網(wǎng)的收斂較大，節(jié)點擁塞、設(shè)備能力不足等問題導(dǎo)致突發(fā)丟包而使視頻體驗變差，如華為IT為了保障智真和視頻業(yè)務(wù)的質(zhì)量，只能單獨建一張物理網(wǎng)絡(luò)，智真終端接入交換機不經(jīng)過園區(qū)辦公網(wǎng)直拉到企業(yè)出口以解決視頻丟包問題。

基于可編程交換機的Hybrid SDN園區(qū)方案，可以根據(jù)智真和視頻的業(yè)務(wù)需要選擇帶寬和可靠性高的園區(qū)鏈路，并調(diào)整低優(yōu)先級業(yè)務(wù)到其它路徑，構(gòu)建一張高可靠的視頻虛擬網(wǎng)絡(luò)，同時由于所有路徑可知，結(jié)合SDN按照指定路徑并提供硬件級的NQA故障檢測能力，可以根據(jù)檢測的故障結(jié)果立即調(diào)整業(yè)務(wù)路徑，優(yōu)化視頻體驗。

自動適應(yīng)部門組織變化的虛擬化園區(qū)網(wǎng)

企業(yè)基于安全需要，通常會考慮按照部門或業(yè)務(wù)劃分隔離區(qū)，對于大型園區(qū)每一次的業(yè)務(wù)重新隔離和網(wǎng)絡(luò)調(diào)整都涉及到數(shù)以萬計的配置策略調(diào)整，非常難以維護并容易出錯。以東軟研發(fā)基地為例，東軟客戶希望其研發(fā)網(wǎng)絡(luò)能夠靈活地按照開發(fā)項目來劃分網(wǎng)絡(luò)隔離區(qū)，但大量軟件項目的成立和完成都是IT無法事先統(tǒng)一規(guī)劃和控制的，辦公小組可能今天屬于A項目，明天屬于B項目，導(dǎo)致網(wǎng)絡(luò)的配置(VLAN、ACL)頻繁變動，維護工作量巨大。華為的可編程Hybrid SDN園區(qū)方案通過Campus Controller控制器和可編程交換機提供大規(guī)模虛擬網(wǎng)絡(luò)能力，可以靈活批量對大量的虛擬網(wǎng)絡(luò)進行增加、刪除和修改，極大地提高運維效率，快速滿足客戶靈活業(yè)務(wù)隔離部署訴求。

全網(wǎng)業(yè)務(wù)級故障檢測和統(tǒng)計的iPCM方案

在網(wǎng)絡(luò)IP化時代，企業(yè)園區(qū)網(wǎng)需要承載視頻、語音、數(shù)據(jù)、VPN等多種業(yè)務(wù)，隨著客戶體驗要求和實時性業(yè)務(wù)的增多，對于網(wǎng)絡(luò)丟包、時延、抖動的故障檢測要求越來越高。傳統(tǒng)的檢測方法比如Y.1731等都是間接測量方式，通過插入測試報文來間接模擬業(yè)務(wù)，不是真實業(yè)務(wù)測量，既影響現(xiàn)有業(yè)務(wù)，測試結(jié)果誤差又大，無法在園區(qū)網(wǎng)真正部署。華為公司可編程Hybrid SDN園區(qū)方案基于可編程網(wǎng)絡(luò)架構(gòu)推出實時業(yè)務(wù)性能測量方案iPCM(Packet Conservation Monitoring for Internet)，即對實時業(yè)務(wù)報文直接進行標識和檢測測量，直接針對不同的業(yè)務(wù)流插入檢測標識，設(shè)備分布式測量點，統(tǒng)一匯總進行性能計算。方案具備3大優(yōu)勢：(1)即時測量，不需要模擬報文，不影響現(xiàn)有業(yè)務(wù);(2)分布式架構(gòu)，測量和統(tǒng)計解耦;(3)借助網(wǎng)絡(luò)同步協(xié)議，周期性精確統(tǒng)計丟包和時延等網(wǎng)絡(luò)指標。

有線無線融合的策略集中控制SDN方案

有線無線深度融合的高速轉(zhuǎn)發(fā)網(wǎng)絡(luò)

大中型園區(qū)的無線部署方案普遍采用瘦AP方案，AP到AC之間的流量采用CAPWAP隧道匯集到AC，集中轉(zhuǎn)發(fā)的網(wǎng)絡(luò)架構(gòu)，使得AC成為無線網(wǎng)絡(luò)的關(guān)鍵瓶頸。隨著WLAN技術(shù)從802.11a/b發(fā)展到802.11n以及802.11ac，無線接入帶寬也從幾十M提高到1G，再加上有線接入也提升到千兆，以及部分的業(yè)務(wù)識別能力要求，流量轉(zhuǎn)發(fā)瓶頸問題更加嚴重。

華為有線無線融合的SDN方案依賴具有可編程能力的新4代交換機，通過轉(zhuǎn)發(fā)面編程，在傳統(tǒng)有線轉(zhuǎn)發(fā)的基礎(chǔ)上融合了包括CAPWAP隧道終結(jié)在內(nèi)的無線AC轉(zhuǎn)發(fā)功能，AP成為現(xiàn)有交換機接入端口的延伸，流量瓶頸不復(fù)存在。有線和無線業(yè)務(wù)都在同一個路徑上進行策略的統(tǒng)一處理和轉(zhuǎn)發(fā)，實現(xiàn)了有線和無線業(yè)務(wù)真正的深度融合。

基于Campus Controller策略集中控制，自動部署和運維

移動辦公大規(guī)模部署首要解決的前提是安全問題，包括訪客身份識別和權(quán)限控制、智能終端的類型識別和權(quán)限控制、用戶之間的互訪控制等，網(wǎng)絡(luò)之上的安全策略控制是網(wǎng)絡(luò)更好地支撐企業(yè)信息安全的關(guān)鍵點。

首先，多點分布的策略控制點導(dǎo)致策略管理和配置復(fù)雜，無線的融入使得該問題更加突出。有線網(wǎng)絡(luò)中的接入/匯聚交換機都是潛在的策略控制點，運維人員需要花費大量工作對其進行配置，包括用戶組策略建立、認證參數(shù)配置等。部署無線后，由于AC單獨作為無線用戶策略控制點，新增加了額外配置工作量。目前很多企業(yè)鑒于配置管理方便的需求，會考慮把匯聚或者核心層設(shè)備作為統(tǒng)一策略控制點，這導(dǎo)致下層網(wǎng)絡(luò)對用戶完全開放，非法用戶也可以與正常用戶互訪，很容易發(fā)生潛在的信息泄露和惡意攻擊，員工的移動性及智能終端的網(wǎng)絡(luò)接入，將使上述安全問題更加突出。移動辦公時代，網(wǎng)絡(luò)的策略控制務(wù)必延伸到接入邊界，那么數(shù)量眾多的接入設(shè)備將使原本復(fù)雜的策略管理和網(wǎng)絡(luò)配置雪上加霜。

其次，策略由單一屬性演變?yōu)槎鄬傩?。目前大多?shù)企業(yè)的策略控制都是根據(jù)用戶身份這一單一屬性，如：市場、研發(fā)、財務(wù)員工等。移動性使得策略屬性多樣化，如：同一用戶，使用PC或者PAD時，權(quán)限不同;采用筆記本電腦應(yīng)用有線或者無線接入時，權(quán)限不同;訪客在既有身份權(quán)限的基礎(chǔ)上，需要加入時間限制。安全策略的控制需要考慮用戶的多種接入屬性。

華為有線無線融合的策略集中控制SDN方案，通過統(tǒng)一的策略控制器Campus Controller，自動感知用戶多種維度的屬性，在用戶接入網(wǎng)絡(luò)后自動下發(fā)精細化控制策略，同時依賴可編程交換機實現(xiàn)有線無線一體化接入方案，原本零散分布在現(xiàn)有交換機和AC上的策略控制點也將實現(xiàn)融合，同時借鑒無線AP/AC的集中管理模式，融合的策略控制點可以與邊緣接入交換機進行聯(lián)動控制，本來需要直接下發(fā)到邊緣設(shè)備上的策略可以統(tǒng)一下發(fā)，策略控制點數(shù)量大幅縮減，極大簡化了運維工作量。

園區(qū)SDN愿景

基于第4代可編程交換機的華為園區(qū)SDN方案，使網(wǎng)絡(luò)資源變得空前靈活，從容應(yīng)對新業(yè)務(wù)部署帶來的諸多問題。隨著可編程Hybrid SDN園區(qū)方案與企業(yè)業(yè)務(wù)的深入結(jié)合，包括企業(yè)生產(chǎn)在內(nèi)的核心業(yè)務(wù)都將融入到傳統(tǒng)園區(qū)中統(tǒng)一承載，結(jié)束企業(yè)網(wǎng)絡(luò)多網(wǎng)并存的局面，而基于Campus Controller的統(tǒng)一策略控制能力，也將成為網(wǎng)絡(luò)更好地進行業(yè)務(wù)精細化控制的核心能力。