sdn,nfv和sd-wan携手共进
网络是一种由大量的协同行为聚集的集合,因此我们所面对的关键网络技术“革命”间存在关联关系也就不足为奇了。然而这些关键网络技术之间的关系却不怎么明朗。软件定义网络(sdn)、网络功能虚拟化(nfv)以及软件定义广域网(sd-wan),它们共享着一些技术元素,并且它们也可能存在相关联的商机。实际上这些关联关系可能很关键,因此我们需要进一步对其进行深入考虑。
sdn,如果我们采纳纯概念的受openflow协议控制的白盒交换机或虚拟交换机,则是真正意义上的使用集中控制器定义网络中的路由。每个设备被告知如何基于报文头部来处理对应的报文,并结合处理指令创建转发流量的路由。
可以看出sdn是和路由相关的,即和网络连通性相关的。如果你“拥有”个网络,无论是局域网(lan)还是广域网(wan),都能使用sdn。因为sdn即可应用于真实物理设施所创建的网络,也可应用于隧道所创建的网络,因此并不需要你一定要有光纤、微波等诸如此类的东西。你也不一定要有白盒设备。许多遗留的交换机/路由器也能接受openflow协议,并且也可以使用虚拟交换机或路由器。你一定需要有交换机/路由器作为网元。目前最大的sdn应用是在云中,在数据中心中sdn被用于连接云组件。
nfv是与使用的软件特性相关的,托管于一些东西中从而替代使用特定的设备来提供一些网络特性集。所谓nfv,作为标准规范,描述了如何部署、连接和管理这些网络特性。有哪些特性了?通常nfv的目标是高层网络特性,像防火墙,加密或vpn封装。其也能够被用于部署像dns和dhcp之类的服务,甚至可用于部署虚拟交换机和路由器的实例。
nfv与服务特性/元素相关。于是你可以使用nfv来部署sdn元素,如果你考虑这么做,也就意味着sdn能够用于连接那些被部署在像服务器之上的nfv元素。在nfv应用程序中,你也能够几乎在任何需要连接的地方使用sdn。nfv是源自哪里呢?nfv是为那些需要部署含有复杂特性的服务的网络运营商而设计的。理论上nfv能够被企业所用,我们将在下文进一步对其探讨。
sd-wan是三者中的先驱者,可能也是三者中最难以真正理解的。sd-wan的基本原理可以理解为在一个或多个的不同物理网络或网络服务之上建立一个“虚拟网络”,只要能做好虚拟和物理间的映射工作。对于虚拟网络内外的事物无需知道使用的是什么技术。因此,你可以通过mpls vpn服务和其它连接网络的隧道在站点间连接并建立vpn,或者你也可以在部分或所有站点间混合使用两种服务,利用它们互相备份或彼此扩展,或者用于不同类型的流量中。
不像sdn和nfv是通过某些方式在网络中加如一些东西。sd-wan是依赖于网络结构边缘的东西。正是sd-wan边缘的元素创建了虚拟网络,管理如何连接用户/站点,并将其映射到可用的物理连接上。sd-wan不仅包括了流量与虚拟-物理网络间的映射,也包括了网络服务选项的管理,所以虚拟网络的用户不需要介入到管道的管理工作中。
有趣的是,对于企业,sd-wan可能比sdn更能实践sdn的原理。来自nicira的最原始的sdn概念,是一个无论是二层或三层网络,都不需要对用于连接的基础设施做任何改变的叠加网络(overlay network)。overlay网络让用户能够独立于传输来管理连通性,分割的网络不存在操作处罚,并且适应多种服务选择。sd-wan将这些都编纂在了一起。
下面将介绍三种技术间的“基本”关系,但是我们实际上是围绕一些会创建更密切关系的变化来说的。我们通过一些技术的视角来看这些变化,但是我会将继续使用sd-wan作为框架,因为我希望能够讲解的更清楚明了。
正如上文所述,sd-wan是一种网络结构边缘的技术。可以通过现在被称为“服务链(service chaining)”和“虚拟cpe(vcpe)”的nfv技术来部署。其想法是如果你需要部署sd-wan,可以将那些特性和其它安全技术一起加入到边缘设备。这些不需要花费太多的时间,在我看来这是部署vcpe最好的方式,因为当前的企业站点已经有在cpe中实现了像安全工具之类的基本网络,其中少数的也已经采用了sd-wan。
另一个运营商会喜欢用sd-wan作为vcpe方案的原因是,sd-wan创建vpn服务不需要将它们绑定到特定的实现上。你可以使用当前mpls的方式创建vpn,或使用internet叠加网,或通过sdn和嵌入的虚拟路由器,凡是你能想到的都行。这对于运营商来说非常有用,在一些范围内他们不得不与存在的多种访问方式或访问方式的演化作斗争。范围外它也是关键的,因为你能够为mpls(或其它的vpn模型)提供网络扩展性。
sdn也能够为sd-wan中的设备设定转发过程,正如已经建立的虚拟交换机。正如上文所述,你可以将sdn作为sd-wan中的服务项,这让运营商的业务服务能够在基于sdn的和传统实现进行连接。部分运营商会将这种对接视为风险,因为客户会采纳sd-wan的方案从而摆脱基于mpls的vpn,这也可能是为什么我们没有看到sd-wan在nfv vcpe中崭露头角的原因吧。
从长远来看,我认为sd-wan还需要进一步的自调整。虚拟叠加网的sd-wan本质被隐藏在了许多sd-wan的产品定位中。可能是因为供应商害怕其它的实现方式越来越多的取代了传统vcpe vpn的j9九游会登录的解决方案。这种贸易保护带来的问题,我相信,虚拟叠加网终究会得到进一步的发展,我们将朝着新的基于虚拟链路、虚拟交换机/路由器的商业网络前进。sd-wan厂商现在开始考虑进入该领域将是明智的选择。
实际上sd-wan与sdn和nfv的关系还没发展的很成熟,目前为止技术还不是问题,但是另一方面反射出来的复杂商业问题更为明显。网络运营商和现在主要的网络设备供应商都类似的害怕采纳sd-wan,因为将会稀释当前在传统vpn或vpn相关设备上的花费。现在在没有能够为其做宣传和提供分析报告的大玩家作为后端,很难拉动一个技术概念得以发展。我们确有很多可靠的sd-wan方案,因此,如果一些厂商能够与sdn和nfv进行关联,他们就能够推动这个球前进。
