【51CTO.com原創(chuàng)稿件】采訪馬紹文是在全球網(wǎng)絡(luò)技術(shù)大會(huì)上。SDN專(zhuān)場(chǎng)的聽(tīng)眾很多，座位坐滿了，很多聽(tīng)眾就站著聽(tīng)，聽(tīng)到精彩的地方就舉起手機(jī)拍照，閃光燈此起彼伏，頗有幾分粉絲追星的味道。當(dāng)時(shí)身為瞻博網(wǎng)絡(luò)亞太區(qū)資深產(chǎn)品總監(jiān)的他，剛剛在SDN專(zhuān)場(chǎng)結(jié)束了《云計(jì)算需要什么樣的 SDN 控制器》的演講。記者也隨后采訪了他，聽(tīng)他聊聊瞻博網(wǎng)絡(luò)眼中的SDN發(fā)展之道。

全球網(wǎng)絡(luò)技術(shù)大會(huì)馬紹文發(fā)言現(xiàn)場(chǎng)

　　SDN：顛覆傳統(tǒng)帶來(lái)更多創(chuàng)新可能

　　馬紹文告訴記者，在人們傳統(tǒng)意識(shí)里，創(chuàng)業(yè)不僅僅需要投入大量人力物力，更意味著要經(jīng)得起時(shí)間的檢驗(yàn)。對(duì)于一家創(chuàng)業(yè)公司來(lái)說(shuō)，三五年的時(shí)間仍只是處于起步階段。然而云計(jì)算的出現(xiàn)顛覆了這一切。

　　越來(lái)越多的公司借助云平臺(tái)很快實(shí)現(xiàn)財(cái)富積累，日本有一家公司發(fā)布精靈寶貝游戲，采用云平臺(tái)搭建，很短的時(shí)間內(nèi)在全球被 1 億用戶下載，公司營(yíng)收暴漲，這在沒(méi)有云平臺(tái)的時(shí)代簡(jiǎn)直無(wú)法想象。

　　馬紹文指出，這樣的顛覆還出現(xiàn)在傳統(tǒng)電信運(yùn)營(yíng)商市場(chǎng)。在傳統(tǒng) Ops 運(yùn)營(yíng)模式下，運(yùn)營(yíng)商采購(gòu)路由器、交換機(jī)，防火墻，一次配置之后，可能長(zhǎng)達(dá)一年都不會(huì)再變動(dòng)。但到了云運(yùn)營(yíng)模式時(shí)代，需要全網(wǎng)轉(zhuǎn)向DevOps模式才能適應(yīng)云計(jì)算。 DevOps 能幫助客戶在物理網(wǎng)絡(luò)之上創(chuàng)建一個(gè)虛擬化的網(wǎng)絡(luò)。如何去維護(hù)管理這個(gè)虛擬化的網(wǎng)絡(luò)，這時(shí)就離不開(kāi)SDN控制器的幫忙。

　　云計(jì)算需要什么樣的 SDN 控制器?

　　他把業(yè)界常見(jiàn)的 SDN 控制器大致分為三類(lèi)：

　　第一類(lèi)是關(guān)注路由器WAN的控制器。這類(lèi)控制器大約控制 100+路由器節(jié)點(diǎn)，采用標(biāo)準(zhǔn)路由協(xié)議 BGP/PCEP/Segment Routing etc;

　　第二類(lèi)是關(guān)注數(shù)據(jù)中心交換機(jī)的控制器。這類(lèi)控制器大約控制1000+路由器節(jié)點(diǎn)，通常在兩個(gè) TOR 交換機(jī)之間創(chuàng)建 VTEP tunnel，采用 Openflow 等方式;

　　第三類(lèi)是關(guān)注 Cloud 的控制器。這類(lèi)控制器控制了10，000+虛擬路由器/虛擬交換機(jī)，最突出的特點(diǎn)是不再主要管理路由器/交換機(jī)，在 hypervisor 層面管控(vRouter/OVS)， 采用 BGP/XMPP/OVSDB，創(chuàng)建 vPE EVPN/L3VPN 網(wǎng)絡(luò)。

　　馬紹文重點(diǎn)講解了最重要的關(guān)注云的SDN控制器。Google 采用仙女座(Andromeda)控制器來(lái)進(jìn)行網(wǎng)絡(luò)虛擬化，管理虛機(jī)和 Docker。“瞻博網(wǎng)絡(luò)的 Contrail 控制器也實(shí)現(xiàn)類(lèi)似功能。”

　　他表示，Contrail 基本的設(shè)計(jì)思想是把每個(gè)數(shù)據(jù)中心 Server 的 Hypervisor 里面虛擬化出來(lái)一個(gè) vRouter。多個(gè) VM/Dockers 會(huì)連接到這個(gè) vRouter 的不同的 Tenent VRF。同時(shí) vRouter 之間采用 GRE/UDP/VXLAN做外層隧道, 采用內(nèi)層標(biāo)簽來(lái)標(biāo)識(shí)不同的VRF。 vRouter相當(dāng)于傳統(tǒng)L3VPN 和 EVPN 的一個(gè) vPE 功能。vPE 用戶側(cè)不再接入 CE 設(shè)備，而是為 VM/Docker 提供連接性。

　　簡(jiǎn)單地說(shuō)，如果客戶有一萬(wàn)臺(tái)服務(wù)器，部署了瞻博網(wǎng)絡(luò)的 Contrail 之后，一萬(wàn)臺(tái)服務(wù)器Server的vRouter變成了一個(gè)大的虛擬化的路由器, 為數(shù)萬(wàn)的 VM/Docker提供多租戶隔離的類(lèi)似VPN網(wǎng)絡(luò)的連通性。有了這個(gè)Contrail Cloud SDN控制器下的數(shù)據(jù)中心網(wǎng)絡(luò)?？蛻敉ㄟ^(guò)Openstack/Kubernets的 GUI創(chuàng)建的VM/Docker的IP地址，RT/RD信息網(wǎng)絡(luò)VRF信息被vRouter傳送回Contrail控制器，并且分發(fā)到其他的所有vRouter，實(shí)現(xiàn)數(shù)據(jù)中心之內(nèi)的互聯(lián)。并且Contrail可以通過(guò)BGP協(xié)議發(fā)送更新到MX DC GW路由器，剛剛創(chuàng)建的VM/Docker馬上會(huì)被客戶從外界Internet 訪問(wèn)，從而實(shí)現(xiàn)大規(guī)模數(shù)據(jù)中心的云化部署。

　　馬紹文還談到，很多企業(yè)用戶網(wǎng)絡(luò)規(guī)模不大，業(yè)務(wù)模式簡(jiǎn)單，不太想采用復(fù)雜的網(wǎng)絡(luò)SDN控制器，但是對(duì)云平臺(tái)仍有需求。對(duì)于這類(lèi)需求客戶，瞻博網(wǎng)絡(luò)提供了另外一種簡(jiǎn)化版本的無(wú)控制器的 Cloud 部署方式。“這種新的 Openstack EVPN/VXLAN 插件在2016年9月份已經(jīng)支持，同時(shí)我們還提供 Security GW 相應(yīng)的 Neutron 插件。我們有一些客戶已經(jīng)采用了這種方式來(lái)部署輕量級(jí)的云應(yīng)用。”

　　容器云乃大勢(shì)所趨

　　馬紹文還針對(duì)一些IT新技術(shù)表達(dá)了自己的態(tài)度。馬紹文表示Dockers一定是趨勢(shì)，現(xiàn)在非常多的大型Web客戶已經(jīng)采用Docker。隨著Kubernets和Openshift的逐漸成熟，歐美的中小客戶在2015/2016年，已經(jīng)開(kāi)始采用Kubernets和Juniper的Contrail來(lái)部署一些容器云，比如TCP Cloud 、LITHIUM等。“國(guó)內(nèi)的客戶大概在2017年會(huì)越來(lái)越多支持。”

　　他還給記者舉了一個(gè)例子，瞻博網(wǎng)絡(luò)的一個(gè)客戶，TCPCloud在歐洲做了很多的智慧城市項(xiàng)目，它把很多的街燈，很多的停車(chē)場(chǎng)的充電站、變電站的那些感應(yīng)器連接起來(lái)。因?yàn)樗膫鞲衅鲾?shù)量非常多，對(duì)于物聯(lián)網(wǎng)(IoT)應(yīng)用，如果采用虛擬機(jī)(virtual machine)的話，這對(duì)服務(wù)器的CPU/內(nèi)存容量要求非常大。對(duì)于這種情況，采用輕量級(jí)的容器云可以提供更好的優(yōu)化能力。

　　對(duì)于容器云的安全性，馬紹文表示眾人主要顧慮就是做微切分(micro segment)的時(shí)候容器云會(huì)存在一些安全性問(wèn)題，或者不同Docker之間的安全保護(hù)沒(méi)有那么好。對(duì)此瞻博網(wǎng)絡(luò)的做法是采用Contrail和Kubernets一起，在容器之間通過(guò)虛擬路由器把它管理起來(lái)的，把商業(yè)規(guī)則(rules)、防火墻、深度包檢測(cè)(DPI)的功能串進(jìn)服務(wù)鏈里面，從而提高容器的安全性。

　　“客戶之所以選擇Docker是因?yàn)槟塬@得輕量級(jí)的解決方案。因?yàn)橥瑯拥囊粋€(gè)服務(wù)器，過(guò)去客戶可能只能啟動(dòng)10個(gè)虛擬機(jī)，但是如果用Docker，同樣的容量，同樣的CPU存儲(chǔ)器，我可以至少做100個(gè)Dockers。”馬紹文舉了一個(gè)例子，例如給某個(gè)自動(dòng)駕駛汽車(chē)分配一個(gè)Dockers的應(yīng)用，如果基于現(xiàn)有的虛擬機(jī)，客戶點(diǎn)一下按鈕，虛機(jī)啟動(dòng)可能要等10分鐘左右，但如果是Dockers，基本上是所見(jiàn)即所得，大大提升了客戶體驗(yàn)。

　　自動(dòng)化和機(jī)器學(xué)習(xí)的弄潮兒

　　對(duì)于目前大家都非常關(guān)注的IT運(yùn)維，瞻博網(wǎng)絡(luò)也做了大量自動(dòng)化的提升工作。馬紹文介紹到，美國(guó)六大OTT客戶中有五家都是瞻博網(wǎng)絡(luò)的客戶，像Google、Facebook、Twitter、亞馬遜、蘋(píng)果。瞻博網(wǎng)絡(luò)之所以獲得他們的認(rèn)可，除了硬件性能非常出色之外，最大的好處就是自動(dòng)化運(yùn)維能力非常強(qiáng)。他告訴記者，由于 OTT客戶覺(jué)得瞻博網(wǎng)絡(luò)的自動(dòng)化工具搭建的很好，所以他們把瞻博網(wǎng)絡(luò)的一些慣例(common practice)開(kāi)放出來(lái)，要求其他廠家來(lái)實(shí)現(xiàn)類(lèi)似開(kāi)放配置協(xié)議(open config)、NETCONF這樣的基本功能。而這些自動(dòng)化工具都早已被嵌入在瞻博網(wǎng)絡(luò)Junos OS里面的。

　　他舉例道，在一個(gè)大的數(shù)據(jù)中心，成千上萬(wàn)個(gè)交換機(jī)，瞻博網(wǎng)絡(luò)供一個(gè)圖形界面Network Director GUI，不需要任何命令行配置，在GUI里面可以構(gòu)建三級(jí)或者是五級(jí)的CLOS架構(gòu)，實(shí)現(xiàn)自動(dòng)IP地址配置、BGP配置、EVPN、VXLAN配置，并且可以監(jiān)控邊界網(wǎng)關(guān)協(xié)議(BGP)協(xié)議的運(yùn)行情況。

　　不僅如此，瞻博網(wǎng)絡(luò)的機(jī)器學(xué)習(xí)也走在了市場(chǎng)的前面。當(dāng)別人還在談?wù)摍C(jī)器學(xué)習(xí)時(shí)，瞻博網(wǎng)絡(luò)已經(jīng)把機(jī)器學(xué)習(xí)嵌入到兩個(gè)SDN控制器里面了。“open Contrail集成了一個(gè)大數(shù)據(jù)分析的引擎，然后做網(wǎng)絡(luò)的異常情況的處理，另一個(gè)是我們的NorthStar，廣域網(wǎng)的流量設(shè)計(jì)，馬上推出的版本也會(huì)有一個(gè)大數(shù)據(jù)分析。”馬紹文還透露，瞻博網(wǎng)絡(luò)的安全產(chǎn)品線，其中一個(gè)重點(diǎn)也是大數(shù)據(jù)分析，它可以把用戶的流量上送到亞馬遜AWS或者是阿里云做專(zhuān)門(mén)的處理，去清洗，去分析，分析之后它會(huì)知道客戶網(wǎng)絡(luò)中拓?fù)渲械膯?wèn)題，可能屏蔽掉某個(gè)接口，這就是軟件定義安全網(wǎng)絡(luò)(SDSN)。

　　采訪中記者發(fā)現(xiàn)，瞻博網(wǎng)絡(luò)很多技術(shù)的研究都走在市場(chǎng)前面，瞻博網(wǎng)絡(luò)對(duì)市場(chǎng)的布局往往在悄無(wú)聲息中完成，等到某個(gè)技術(shù)熱點(diǎn)成為業(yè)界熱點(diǎn)的時(shí)候，瞻博網(wǎng)絡(luò)已經(jīng)開(kāi)始收獲技術(shù)成果。讓記者嘆服的，也正是他們對(duì)技術(shù)的執(zhí)著，在浮躁的大環(huán)境下面可以沉寂下來(lái)默默耕耘，匠心難得，未來(lái)可待。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】