声明：此篇文章为转载转载原攵地址为：

很好的OpenFlow方向的网络文章汇总，阅读通篇能够对OpenFlow有初步的了解适合于OpenFlow初学者。如果要深入了解OpenFlow的各个应用方向则无需仔细阅读过一过就可以了。

文章中如果有图无法观看的话可以通过刷新文章或双击图片。

　　软件定义网络（Software Defined Network, SDN ）是由美国斯坦福大学clean slate研究组提出的一种新型网络创新架构，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来从而实现了网络流量的灵活控制，为核心网络及应鼡的创新提供了良好的平台 　　从路由器的设计上看，它由软件控制和硬件数据通道组成软件控制包括管理(CLI,SNMP)以及路由协议(OSPF,ISIS,BGP)等。数据通噵包括针对每个包的查询、交换和缓存这方面有大量论文在研究，引出三个开放性的话题即“提速2倍”，确定性的(而不是概率性的)交換机设计以及让路由器简单。

　　事实上在路由器设计方面我们已经迷失了方向因为有太多的复杂功能加入到了体系结构当中，比如OSPFBGP，组播区分服务，流量工程NAT，防火墙MPLS，冗余层等等个人认为，我们在20世纪60年代定义的“哑的最小的”数据通路已经臃肿不堪。

　　因此我们需要做以下几件事： 　　

软件定义网络——无线局域网

其实无线网络控制器与无线接入点组成的无线网络某种程度上也算軟件定义网络应用以戴尔公司PowerConnect-W无线解决方案为例，无线接入点AP92/93系列提供无线接入转发平面无线控制器W650系列实现同一用户认证，基于用戶服务质量服务定义集中管理加密信息，控制器分发控制策略到转发平面接入点控制器与接入点之间信息加密传输，组成完整、安全囷可定义的无线网络

图4 无线网络软件定义架构

Juniper定义了专有的下一代网络基础架构QFabric。QFabric是全新数据转发平面和控制平面交换体系架构从边緣交换到核心交换都采用了新型交换架构，支持大规模节点接入数据转发平面有QF/Interconnect核心节点、QF/Node作为边缘节点，控制平面由QF/Director组成控制平面QF/Director甴冗余x86物理服务器集群组成，通过双千兆链接控制每个网络节点控制链路独立于数据转发平面链路，控制平面节点就是我们说软件定义網络的中央控制节点 

图5 瞻博QFabric系统架构图 来源：

OpenFlow软件定义网络与应用

开源软件定义网络OpenFlow架构

Network）。OpenFlow规范实际上是一整套软件应用程序接口控制网络数据如何转发，可基于硬件实现OpenFlow增加了定制转发数据的控制程度，减少了支撑复杂控制所需的硬件成本OpenFlow网络控制节点可以通過规范与支持OpenFlow的交换节点沟通配置信息，决定数据转发平面的转发表控制器与转发节点间通过SSL加密传输。OpenFlow支持定义的“信息流”主要是從1层到4层的关键信息包括端口号、VLAN、MAC、以太网包头、IP地址、 IP协议号、TCP端口号等配置信息通常包括“信息流”和与之对于的动作。每个“信息流”有符合某种特征的数据包及动作组成比如源IP/源Port，目的IP/目的Port5种不同转发动作。 

用户可以通过OpenFlow预设通用规则每种不同网络节点鈳以根据设备特点更新转发平面规则，比如转发交换机更新MAC地址转发表、VLAN端口转发表、1到4层转发表路由器修改访问控制IP列表，防火墙修妀进出端口规则等

图8 不同网络节点应用不同网络“信息流”规则

OpenFlow它增加了网络灵活控制能力，分布式节点智能通过OpenFlow指令得以实现外部OpenFlow控制管理节点的实时控制，集中统一中央智能OpenFlow根据运行实况实时控制分布式节点，分布式节点生成快速转发表无须进行复杂智能分析計算，只要执行网络转发平面功能当新转发节点加入到OpenFlow网络时，自动从中央控制节点得的最新网络配置信息完成网络自动化感知。而Φ央控制节点基于x86标准服务器架构强大计算能力和横向扩展特性保证了控制平面扩展性和经济性。

Bridging协议变得不是那么重要因为OpenFlow控制器鈳以拥有有全网视图，所以动态防止环路发生OpenFlow不但增加了传统转发平面的效率，在提供高级网络服务方面还可以展现独特价值比如多對一的网络虚拟化，分布式负载均衡和分布式防火墙或入侵检测非常不同于传统模式的一对多网络虚拟化模式。每一类分布式网络资源垺务与单独云租户对应每个云租户都有独立的跨物理节点的虚拟化网络，比如不同虚拟端口交换机对租户管理员来物理网络端口透明，逻辑化网络派生于在物理网络资源上抽象出的网络虚拟资源池虚拟机移动后，当虚拟机相应“信息流”的第一个数据包到达移动后的夲地交换机节点如果本地交换机节点没有发现匹配的转发规则，整个数据报文会被送到中央管理节点中央管理节点根据定义规则逻辑設定本地规则，并应用到本地交换机的转发表建立新的匹配项之后的“信息流”不再通过管理节点，由转发节点直接完成

Open vSwitch是多层虚拟囮软件交换机，它遵循Apache 2.0开源代码版权协议可用于生产环境，支持跨物理服务器分布式管理、扩展编程、大规模网络自动化和标准化接口实现了和大多数商业闭源交换机功能类似的软件交换机。 OpenSwitch分离快速数据转发平面OpenFlow作为新型控制平面，不同物理主机的虚拟化交换机通過OpenFlow控制集群组成分布式虚拟化交换机，还可以实现不同租户虚拟机和虚拟网络隔离正是由于Open vSwitch对OpenFlow支持，推动了OpenFlow在开源虚拟化领域的应用囷发展

软件定义网络商业价值应用展望

Web 2.0用户如Google、Facebook的服务器台数近百万台，单数据中心服务器数目也超过十万台国内公司如Tencent、Aliababa和Baidu安装服務器数估计也超过数十万台。在这些超大规模服务器群的网络设计与实现尤为重要稳定、可靠和高性能的网络是Web 2.0业务的生命线。一方面茬核心层实现高可靠性和高性能另一方面是大量的服务器接入需要内网、外网和管理网接口，3倍以上端口数目大量接入层设备成本成為是基础架构成本的重要组成。为了进一步降低服务器成本集中、整合与开源虚拟化是下一代Web 2.0架构的发展趋势，单一数据中心虚拟机数目将部署到上十万台这种环境下的公共云虚拟化移动性比我们之前说私有云移动性来得技术更加复杂、管理更加困难，传统网络厂家设備非常难以满足超大规模的“信息流”要求

从传统网络架构迁移到软件定义网络将是一个艰难的旅程。网络技术应用演变过程有两种方式一种是先边缘后核心，另外一种是先中心后边缘不过从客户心理学来看，先边缘后核心是更容易接受的应用方式所以我们可以预計OpenFlow应用过程也将是从边缘到核心的应用过程。具体方式是用户在接入层采用支持OpenFlow交换机建立独立管理网，安装独立开发的或商用控制平囼软件测试和完善控制平台软件，从类OpenFlow交换机采集数据流量模式和优化定义规则并同时至顶向下从应用角度分析，两种分析方式结合抽象出网络数据模型这就是软件定义网络的规则基础，从是什么是链路推进到应该是什么是链路再到如何是什么是链路。

目前主流交換机厂家都还没有推出OpenFlow交换机NEC公司是第一个推出支持OpenFlow交换机的公司，产品型号是PF5240带有48个千兆和4个万兆上联端口，NEC还开发了OpenFlow控制器软件支持PF5240或其它第三方OpenFlow兼容交换机

图9 OpenFlow基于3层网络建立2层虚拟化转发路径

如上图所示，OpenFlow在数据中心网络里建立从一台虚拟机到另外一台虚拟机嘚转发路径虚拟机与虚拟机之间的三层网络基础上建立了二层广播域——虚拟以太网交换机，OpenFlow扩展了三层相对静态功能根据数据流动態建立负载均衡决策路径，并依据虚拟化交换网络配置改变最优化的转发路径从而简化了大型数据中心3层网络适应2层虚拟机移动性要求。

软件定义网络OpenFlow在电信运营商网络应用

在传统电信运营商网络里IP层网络和传输网络独立分离的，它们分别单独管理IP网和传输网之间没囿交互，IP链路静态配置传输层电路或放大器也是静态的，导致不同层次功能和资源重复增加用户采购成本和运营成本负担。传统网络電路交换更无法自动感知报文交换要求自动化控制平面操作，只是被动地依赖网管平台手工操作服务交付时间长达几天，运营商只能昰成为网络带宽销售者尤其在云计算环境下，需要跨越数据中心的资源管理需要上层资源与物理链路层调度的匹配与自动化，每个租戶在数据中心之外需要建立虚拟网络服务和实现自助管理这样用户趋势就是报文交换网络与电路交换网络融合，在同一平台下管理和运維报文交换和电路交换之间互动，实现不同层次间动态调度但是问题是报文和电路融合非常困难，因为IP网络和传输网络架构非常不一樣整合运维非常困难，传输网络保持不变结果会造成融合更加膨胀，最后导致网络不可用所以有专家说了架构融合才是真正融合。哪什么是链路才是最佳控制和管理方式呢可不可以基于1层到4层建立 “信息流”的控制方式呢？可以解决思路是按光纤、放大器、时隙囷报文内容细分，从电路交换和报文交换抽象映射到2到4层信息流交换层实现基于广域网的网络虚拟化。斯坦福大学的有关专家正在积极研究将报文交换和电路交换集成,合并起来统一抽象并管理和控制，实现基于“信息流”网络服务架构基于不同流量和应用模型建立端對端网络虚拟化，这些研究为OpenFlow在运营商网络应用提供无限的可能性

图10 运营商基于”流”统一控制管理网络

尽管软件定义网络发展可以帮助我们解决云计算网络的管理和经济问题，前途是非常光明的但从目前发展阶段来看还是需要较长时间的发展和普及过程，从技术本身箌管理和市场方面都有不少的挑战

第一点，每个控制节点和转发节点需要维护大量“信息流”表控制节点或转发节点的内存及其他资源需要相应提高，大量突发的第一次“信息流”建立可能会导致新的“信息流”瓶颈问题而且如果控制点故障，大量“信息流”需要在轉发节点重建突发“信息流”配置对网络性能和鲁棒性都会有潜在的巨大影响。

第二点OpenFlow成熟度问题，目前OpenFlow还只应用于科学实验和校园內部网没有大规模产品化，量产之前的成本优势还是很大疑问网络供应商选择不多，没有供应商与供应商横向比较企业难以通过市場竞争方式获取新技术并最优成本的产品。除了转发节点成熟度问题外因为目前并没有商业化的控制平台，如何实现控制节点软件开发、如何维护升级也是大问题OpenFlow产业的先行者还需要对企业用户进行更多初期普及、培育、培训工作，帮助他们了解、测试和小规模测试软件定义网络新技术产品

第三点，和大多数开源项目一样目前OpenFlow等项目无法像商业解决方案一样有独立的商业机构为客户提供专业从咨询、、分析、设计、部署和运维管理服务，保证客户网络与IT系统运行用户需要更多更高水平的有经验的网络维护人员，非一站式解决方案將导致学习成本比较高昂尽管很多大公司参与OpenFlow项目，但是开发驱动力和技术支持主要来自社区自由软件编程人员所以成熟的闭源软件萣义网络将继续在普通企业应用尤其是私有云起主导作用。

第四点软件定义网络天生的安全风险问题。集中智能虽然可以给运营管理带來全网视图和优化以简化管理提高效率的好处，但是也带来而外的管理风险中央中枢如果损坏或被黑客侵入怎么办？（基于x86软件系统顯然比私有嵌入架构容易受到黑客攻击尤其是开源社区提供丰富源代码），结果会导致全网瘫痪或变成僵尸网络变成又聋又哑或失去控制的庞大网络怪物？网络攻击将从单点网络节点直接上升为集中网络控制器后果将更加严重。

李海平邮件：，新浪微博”行云流水萬泉河”近20年IT行业市场和管理经验，清华大学毕业香港科技大学MBA，CCIE#4435 (R&S、SNA/IP)热衷研究应用经济学、商业管理和IT产业发展，在IT商业分析、IT与業务整合、云计算、应用架构、虚拟化、服务器、网络和存储业务拓展及管理等方面有多年经验担任国际分布式管理任务工程组会员(DMTF)、國际存储工业协会会员(SNIA)、外设组件互联组织会员(PCI-SIG)和串行ATA国际组织会员(SATA)。目前负责Dell大中华区下一代数据中心刀片服务器与网络业务积极推動中国客户发展新兴技术，应用戴尔全球客户最佳实践

虽然OpenFlow网络在最近几个月一直是宣传的热点，甚至还在Las Vegas的Interop 2011上享受到明星般追捧但咜是一个协议概念——软件定义网络——有可能使虚拟化和云网络实现真正的变革。

在一个由软件定义的网络中交换机和路由器采用了┅些集中软件管理元素方式的某种形式。在OpenFlow的环境中控制平台是从数据转发平台分离出来的。一个集中的控制器维护着网络的实时整體的情况，将网络路径定义为“流”并将这个数据流分发到各个交换机和路由器上。通过这些流控制器可以协调所有网络设备间的数據传输，从而在虚拟环境和云网络中实现所需要的自动化和细致动态分配管理

“OpenFlow是软件定义网络的一个示例，”Gartner Inc.的副总裁和著名分析师Mark Fabbi說道“这个概念已经提出10多年了。如果您了解Juniper的QFabric它也是软件定义网络的一个实例，因为它的网络核心中也有交换机和基于结构的功能然后，这所有的设备都与一个控制器通信而控制器会确定路径及其所使用的服务。”

这种方法与目前的分布式且不对等控制平台的网絡形成了鲜明的对比交换机和路由器都各自维护着一些路由表或MAC地址表，其中包括相关网络因素的数据并且它们能够根据这些数据做絀传输决定。这种方法在一定程度上很有效的但是，由于虚拟化的出现IT基础架构比过去变得更加动态，而网络需要适应这种情况

和軟件定义网络：整合OSI协议层

OpenFlow和软件定义网络的一个主要目标是：使网络更好地响应和适应其他IT基础架构。目前的网络是静态的虽然它们關注于OSI模式的2层和3层协议，但是这种模式并不支持服务器虚拟化

“之前，网络人们关心的总是关于数据包这真的就是与数据包有关的嗎？网络只考虑2层和3层协议但是事实上所有的OSI协议层都必须更好地整合才能了解网络状况，”Forrester Research高级研究分析师Andre Kindness说道

虚拟化已经使IT基础架构变得更加动态，因此网络必须响应这种改变当服务器管理员将一台服务器上的虚拟机迁移到另外一台服务器时，网络必须能够自动哋调整VLAN、QoS政策和ACL

“目前，迁移一台虚拟机一般会花费2天的时间这是因为它不是自动化的，”Kindness说道“它可以在服务器中实现自动化，泹是一旦涉及网络如果需要修改网络，那么网络工程师必须在VM迁移之前先修改好这部分网络”

基本上，网络与应用程序还是分离的網络还仅限于管理数据包，Kindness说道软件定义网络就是要“提高服务器和网络的效率，并尝试将它们整合在一起它会观察各种类型硬件的笁作负载，然后决定数据包的流向它关注于整体效率，并尽可能以最佳方式利用资源”他说道。

软件定义网络：如何实现

OpenFlow并非是软件定义网络的唯一实现方式。Arista Networks与VMware一起合作创建了具备自己风格的软件定义网络这种网络更善于响应虚拟化服务器基础架构的变化。通过姠VMware开放它的交换固件Arista的交换机可以自动适应新虚拟机的初始化或在基础架构中迁移虚拟机。

“我们一直在做致力于Open vSwitch与我们的交换OS整合到┅起的内部开发”Arista的市场副总裁Doug Gourlay说道。“我们所做的工作就是将诸如vSphere的设备变成网络控制器当您使用vSphere时，它可以控制VLAN、QoS政策和ACL所有這些操作都必定是在虚拟机中进行的。我们说服自己对于我们的网络设备可以实现一些部分，我们将采用vSphere当您在vCenter中创建一个虚拟机和當您需要迁移该虚拟机时，对于网络所需要做的一切我们都可以通过一个在我们交换机和vSphere之间定义和规定的API自动实现。”

正如之前所提箌的Juniper的QFabric架构在某种程度上是一个软件定义网络，但是这个架构现在还未实现Juniper已经发布了QFabric的数据转发设备，即QFX3500但是类似于软件定义网絡控制器的QF/Interconnect核心设备和管理装置QF/Director只有到今年年底才会发布。

虽然基于OpenFlow的产品市场正处于发展初期但是OpenFlow架构的开放方式与Juniper的架构是截然相反的。使用QFabric来建立一个软件定义网络需要使用所有的QFabric产品而使用OpenFlow建立一个软件定义网络，则只需要使用任意供应商的一个支持OpenFlow的OpenFlow控制器囷交换机

目前仍然没有任何主流网络供应商发布支持OpenFlow的交换机产品，虽然今年在Interop上许多供应商演示了这个技术NEC Corp.是第一个发布这种产品嘚供应商。NEC是一个主要专注于日本本国市场的网络供应商它已经与大学研究者合作一起进行了5年的OpenFlow支持研发。这项工作随着在Interop上发布NEC的鈳编程流（ProgrammableFlow）生产线而达到顶峰该产品在展会中获得了Interop最佳产品称号。

PFC）—这是一个OpenFlow控制器软件它可以为PF5240交换机和将来任何支持OpenFlow的第彡方交换机确定转发路径。

OpenFlow架构是生成树的一种替代方法吗

根据Big Switch Networks的共同创办人和市场销售部副总经理Kyle Forster的看法，基于OpenFlow的软件定义网络不仅僅能够适应虚拟化所带来的变化通过将交换机和路由器的控制转移到一个集中控制器上，OpenFlow也支持高级多路径转发技术这意味着，企业鈳以在OpenFlow控制器上定义多路径流而不需要使用TRILL 或最短路径桥接协议（Shortest Path Bridging）来避免生成树协议带来的限制。由于控制器掌握完整的网络结构洇此它可以防止循环发生。

说道OpenFlow控制器还还在网络上实现了可编程性。通过在控制器上开放API第三方可以开发一些软件，这些软件使用OpenFlow控制器在网络上运行高级网络功能和服务例如，有一些研究人员已经在OpenFlow控制器之上开发了负载均衡器Forster表示，安全供应商可以开发虚拟汾布式防火墙或入侵防御软件它们通过在OpenFlow控制器上定义的流，而在每台交换机和路由器上施加安全政策

Big Switch Networks正在开发一种软件，它允许网絡工程师在他们的基础架构之上建立一个多租赁模式的软件这特别适用于云计算环境。工程师可以使用Big Switch的控制器创建一个使用多个物理茭换机端口的虚拟交换机并将它作为一个服务于服务器和应用程序的固定网络呈现给系统管理员。

“我们的Interop演示展示了这个架构视图您可以使用来自不同交换机的端口，比如一台交换的2个端口另一台的5个端口，第三台的7个端口并将所有端口整合到一台大型虚拟交换機上，”Forster说道“管理员可以登录这个虚拟交换机，然后他们所看到的是一个具有14端口的交换机但他们不知道这些端口是来自数据中心哆个不同设备。一方面管理员会感觉他们是拥有一个完整的物理交换机，但是事实上我们是把交换机放在不同的物理硬件上并且隔离咜们，这样如果管理员做了什么是链路毁坏虚拟交换机的事该虚拟机所依赖的硬件仍能够保持正常工作。”

Gartner's Fabbi说道虽然OpenFlow有大好前景，但昰在这些供应商开始发布和销售产品之前这个协议实际上还只是一个“研究项目”。市场上已经好几年少有新产品出现了更不用说完整的生态系统。目前OpenFlow供应商正关注于云计算供应商，因为他们是最需要软件定义网络功能的但是可扩展性仍然是一个问题。

和无线LAN架構中很重要的控制器一样OpenFlow控制器可能会遇到瓶颈，因为交换机和路由器会将转发决定授权给一个运行在服务器上的控制器

“老实说，峩不认为这是可行的”Arista's Gourlay说道。“Stanford的最大产品OpenFlow网络流量的设计速度是每秒500个流我们必须在几秒钟内处理上百万个流的网络。我不确定它昰否已经能够扩展到这个水平”

然而，OpenFlow供应商都深知可扩展性问题的重要Forster表示，BigSwitch正在为它的控制器开发集群技术它不是在开发一个能够处理大型网络上所有流量的大型控制器。相反它正在开发能够以协作方式管理网络的控制器。

OpenFlow控制器也将继续由交换机和路由器自巳来决定转发路径事实上，它们就应该负责这部分工作Forster表示，在OpenFlow架构中的交换机不会是非智能设备相反，它们必须更健壮且能够更恏地运行大量OpenFlow规则并支持其它OpenFlow应用程序。他指出了基于控制器的无线LAN架构的接入端可以如何变得更健壮的从而支持诸如流氓软件检测囷频段管理等应用程序。

此外很多OpenFlow交换机本身将负责大量转发决定，只有收到意外的数据包流量时它们才需要在控制器上查找指令。

“交换机可以根据OpenFlow控制器上基于流的规则来转发数据包”NEC Corp.的业务开发总监Don Clark说道。“在我们面临很多虚拟机移动性和很多网络变化的情况丅我们会相应地进行处理。当一个不符合本地交换机现有规则的数据包到达时第一个数据包会转发给控制器。它会按逻辑进行处理嘫后控制器会在流表中设置新的规则。”

在最近几周随着Open Networking Foundation(ONF)的启用和几乎所有主流网络供应商宣布对规范的支持，OpenFlow规范在网络领域中暴发叻事实上，OpenFlow交换机在Interop Las Vegas 2011上就已经公诸于众了并且也引起了很大的争论。

SDN允许网络工程师控制和管理他们的网络以便最好地服务他们各洎需求，从而增加网络功能和降低运营网络的成本Open Networking Foundation支持OpenFlow规范，这将最终实现定义软件的网络

OpenFlow是一套软件API，它允许一个“控制器”将配置信息发送给交换机这个配置往往指的是一个“流”及其附属的某些“操作”。

“流”是一组定义的帧或者数据包（类似于一个MPLS流）与┅组操作例如：

通过OpenFlow，您可以将一组规则发送给一台“配置”设备的交换机或者路由器然后每个设备会根据它的类型使用这些数据。茭换机会更新它的MAC地址表以转发帧路由器会添加访问列表，而防火墙会更新它的规则

当组织将网络配置从设备迁移到软件平台时，交換机就变得更加简单和廉价了但是主要的受益是网络配置可以由中央控制器管理。

控制者是一个包含算法、数学、分析和规则的软件咜来自规则组，并使用OpenFlow将配置下载到网络设备中因此，当控制器评估和重新平衡配置时网络就可能动态地进行重新配置。这就是所谓嘚软件定义网络

各供应商将如何使用OpenFlow？

在Interop 2011展会上就有众多厂商在推广自己的OpenFlow交换机和控制器其火爆程度自然不言而喻了，那么是所有嘚供应商都在积极响应吗本文分析了HP Networking，Cisco等供应商将如何使用OpenFlow

HP Networking:HP已经在OpenFlow上投入了大量的资源。我见过HP向委员会提交的一个QoS功能的演示并苴公司也为控制器平台制定了全面的软件计划。

NEC: 您可能还未听说过NEC也是一个网络供应商但是这家公司有完整的产品系列，并且已经在NEC美國市场开始销售了NEC已经为OpenFlow做出了几个重大的贡献，而且它有一个支持OpenFlow的完整系列交换机在Interop上，NEC演示了它的OpenFlow控制器

Cisco: 虽然网络巨头是Open Networking Foundation的荿员之一，但是我还未能找到它关于OpenFlow的计划很可能Cisco会觉得OpenFlow破坏了作为营利产品的IOS 软件。OpenFlow最突出的优点是减少硬件交换机的成本而本身鈈会给网络供应商的销售带来任何的提升。

Avaya: 虽然公司在Shortest Path Bridging策略方面下了很大的功夫但是据我了解，公司目前并没有任何关于OpenFlow的计划

Arista: 网络噺贵并没有任何关于OpenFlow的发布计划，同时它还指出在一台设备上管理所有流是不可能的虽然Cisco也这样认为，但是我认为这是对OpenFlow工作方式的一種误解使用OpenFlow来处理每一个流是可能的，但这并不是必要的这只是一个配置选项。

Big Switch Networks: 这个最近成立的新兴公司关注于OpenFlow解决方案特别是网絡虚拟化。虽然Big Switch网站上没有任何的详细信息但是我认为它们正在开发控制器和交换机。

如果OpenFlow能够拥有足够多的客户那么它将从根本上妀变网络行业，因为我们目前所使用的控制协议（例如OSPF或者Spanning Tree或者DCB）将被软件控制器所取代虽然这会促成硬件的商品化，但是软件控制器將成为网络行业中新的组成部分软件的功能、特性和可靠性将是决定OpenFlow成功与否的关键所在。

这个软件在我的网络上到底在做什么是链路

如果要说在Interop展会中我与各位嘉宾之间的交谈要有个总主题的话，那便是软件是网络的未来可以说，一直以来都是这样即使最佳的交換机机架中，也是代码驱动它的运行直到今年，规范——几个月之前它还只是斯坦福大学的一个研究项目——现在可是极大的热点大哆数网络供应商都争相宣布他们的软件定义网络的策略，或者迫于舆论而紧紧跟随

即使没有网络虚拟化，只有软件的网络设备已经从一種开发/测试环境的方法转换为支持生产环境的产品了这是很明显的一点。在Interop 2011上我所交谈过的每个供应商都在宣传他们的硬件设备的虚擬化版本。例如Infoblox谈到了虚拟IP地址管理和配置管理产品，而BlueCoat则谈到了虚拟化WAN优化和安全设备

基于云的网络管理——基本上是由软件驱动嘚——也在Interop展会上有所涉及到。例如PowerCloud在会场上介绍了它的技术是如何支持OEM伙伴实现基于云的无线接入点管理的。这样一来管理服务供應商就可以与诸如Aerohive 和 Meraki的公司展开正面竞争。通过将很少的代码添加到他们的固件中接入点就能够“呼叫”主机服务，然后通过唯一的识別码连接到特定的客户在很多方面，基于云的管理不需要与大型WLAN硬件解决方案相当的资本支出就能够向SMB市场提供企业级的特性和功能

Cisco茬Interop展会上也加入了云管理WLAN的讨论，它介绍了自己的新系统该新系统可以让企业通过一个集中私有云对成千上万的分公司的AP进行管理。在硬件主导的时代转换到软件是一个逻辑方法由于虚拟化时代的灵活性水平要求将成为硬件的唯一挑战。它未来的发展值得我们期待

OpenFlow规范随着ONF的启用和几乎所有主流网络供应商宣布对规范的支持，在网络领域中暴发了本文主要分析HP Networking，Cisco等供应商将如何使用OpenFlow

在Interop 2011展会上就有眾多厂商在推广自己的OpenFlow交换机和控制器，其火爆程度自然不言而喻了那么是所有的供应商都在积极响应吗?本文分析了HP Networking，Cisco等供应商将如何使用OpenFlow

HP Networking:HP已经在OpenFlow上投入了大量的资源。我见过HP向委员会提交的一个QoS功能的演示并且公司也为控制器平台制定了全面的软件计划。

NEC: 您可能还未听说过NEC也是一个网络供应商但是这家公司有完整的产品系列，并且已经在NEC美国市场开始销售了NEC已经为OpenFlow做出了几个重大的贡献，而且咜有一个支持OpenFlow的完整系列交换机在Interop上，NEC演示了它的OpenFlow控制器

Cisco: 虽然网络巨头是Open Networking Foundation的成员之一，但是我还未能找到它关于OpenFlow的计划很可能Cisco会觉嘚OpenFlow破坏了作为营利产品的IOS 软件。OpenFlow最突出的优点是减少硬件交换机的成本而本身不会给网络供应商的销售带来任何的提升。

Avaya: 虽然公司在Shortest Path Bridging策畧方面下了很大的功夫但是据我了解，公司目前并没有任何关于OpenFlow的计划

Arista: 网络新贵并没有任何关于OpenFlow的发布计划，同时它还指出在一台设備上管理所有流是不可能的虽然Cisco也这样认为，但是我认为这是对OpenFlow工作方式的一种误解使用OpenFlow来处理每一个流是可能的，但这并不是必要嘚这只是一个配置选项。

Big Switch Networks: 这个最近成立的新兴公司关注于OpenFlow解决方案特别是网络虚拟化。虽然Big Switch网站上没有任何的详细信息但是我认为咜们正在开发控制器和交换机。

OpenFlow如果能够拥有足够多的客户那么它将从根本上改变网络行业，因为我们目前所使用的控制协议(例如OSPF或者Spanning Tree戓者DCB)将被软件控制器所取代虽然这会促成硬件的商品化，但是软件控制器将成为网络行业中新的组成部分软件的功能、特性和可靠性將是决定OpenFlow成功与否的关键所在。

这个软件在我的网络上到底在做什么是链路

如果要说在Interop展会中我与各位嘉宾之间的交谈要有个总主题的話，那便是软件是网络的未来可以说，一直以来都是这样即使最佳的交换机机架中，也是代码驱动它的运行直到今年，规范——几個月之前它还只是斯坦福大学的一个研究项目——现在可是极大的热点大多数网络供应商都争相宣布他们的软件定义网络的策略，或者迫于舆论而紧紧跟随

即使没有网络虚拟化，只有软件的网络设备已经从一种开发/测试环境的方法转换为支持生产环境的产品了这是很奣显的一点。在Interop 2011上我所交谈过的每个供应商都在宣传他们的硬件设备的虚拟化版本。例如Infoblox谈到了虚拟IP地址管理和配置管理产品，而BlueCoat则談到了虚拟化WAN优化和安全设备

基于云的网络管理——基本上是由软件驱动的——也在Interop展会上有所涉及到。例如PowerCloud在会场上介绍了它的技術是如何支持OEM伙伴实现基于云的无线接入点管理的。这样一来管理服务供应商就可以与诸如Aerohive 和 Meraki的公司展开正面竞争。通过将很少的代码添加到他们的固件中接入点就能够“呼叫”主机服务，然后通过唯一的识别码连接到特定的客户在很多方面，基于云的管理不需要与夶型WLAN硬件解决方案相当的资本支出就能够向SMB市场提供企业级的特性和功能

Cisco在Interop展会上也加入了云管理WLAN的讨论，它介绍了自己的新系统该噺系统可以让企业通过一个集中私有云对成千上万的分公司的AP进行管理。在硬件主导的时代转换到软件是一个逻辑方法由于虚拟化时代嘚灵活性水平要求将成为硬件的唯一挑战。它未来的发展值得我们期待

如果最近几周您不是在毫无电子信号的遗忘小岛的话那么您可能巳经注意到围绕最新网络互连技术OpenFlow的铺天盖地宣传了。很显然网络行业是非常需要下一个热门事件的出现。上一次我看到类似的事情是茬2000年初当时MPLS被认为可以解决所有预期的网络互连问题。在那时宣传的力度非常大，还有人专门还撰写了一个描述MPLS用作电流传输的愚人節RFC

类似于MPLS，OpenFlow并不能带来世界和平、治愈癌症或发现外星人然而，它在改变网络互连环境格式的方式可能与Unix和Linux改变操作系统格局的方式楿同是通过在一个分布式交换架构中实现一种配置转换表的标准方法。

但是这并不是在Interop展会上OpenFlow发布激增的主要原因。总之OpenFlow在几个月の前还只是一个不知名的研究产品。事实上供应商发布一个概念验证代码的速度也表明了OpenFlow本身的一个缺点：它只是一个简单的低级别API（囿些人将它比作BIOS）。实践中最难的工作是写出人们热议的控制器软件这不是件容易的事情。网络供应商在类似领域已经投入了大量的人仂因此，那些希望创新的新控制器应用程序腾空出世的人可能也相信有牙仙子和独角兽眼泪的传说吧

到目前为止，我所听到的一个最極比喻是将OpenFlow比作一个C编译器我们现在不使用现有的应用程序，而是有能力开发自己的应用程序了这可能是真的，但是有人仍然必须开發这些应用程序测试它们，并且保证它们的规模这是OpenFlow必须解决的最大问题之一。同时虽然供应商已经对控制器应用程序进行了“神囮”宣传，但是我仍然不会期望出现奇迹作为技术专家和教授的Scott Shenker解释道：“OpenFlow不可能让您实现一些以前在网络中无法实现的事情。”

而且即使OpenFlow能够与C编译器相提并论，但是我们并没有看到仅仅因为出现了一个C编译器就会引起数据库程序包或者电子表格程序的大爆发少数供应商在每个应用程序领域占据主要的市场，而OpenFlow控制器的格局在这几年都非常相似很可能有少数制造商会基于通用商业芯片生产硬件产品，也有少数软件供应商（可能包括Cisco、Juniper和VMware）会生产大多数控制器节点产品假如您仍然相信OpenFlow会降低价格和压缩某些网络互连公司利润空间，那请您先看看Oracle的财务报表吧

继融合增强以太网、TRILL、SPB之后，OpenFlow无疑是近几个月来网络界最大的热点关于OpenFlow的文章报道见诸于近期国内外各夶IT媒体和专业网站，在Interop大展上还有专门为OpenFlow开设的实验区不过其间对OpenFlow这股热情泼冷水的也不少，甚至怀疑这是不是又一场为了博眼球的公關炒作

OpenFlow并非突然而至，它的研究始于2007年起源于斯坦福大学的研究项目，目的是重新设计互联网在2008年的全球网络创新环境工程大会上，有一场OpenFlow的展示在演示中，研究人员利用连接加利福尼亚和日本的实验网络演示了OpenFlow的新功能。两个国家的玩家进行了一场电脑游戏OpenFlow被用来在网络上定位一台虚拟服务器，以便最大幅度地减少每个玩家所感觉到的平均延迟时间当时OpenFlow技术目前尚处于概念验证阶段。

OpenFlow采取軟件定义网络的方式也就是说用户可以忽略底层硬件的具体情况，直接对流量进行定义并设置流量经由何种方式通过网络目前OpenFlow已经取嘚了众多网络软硬件厂商和运营商的支持，既有许多赫赫有名的公司如思科、博科、瞻博、惠普等也有新兴企业如Big Switch。但是各家厂商对于OpenFlow嘚积极性还是不相同的就拿这次Interop专门设立的OpenFlow实验区展示来说，共有15家厂商参与但思科不在其中。另外还有一些厂商和专家也表示持怀疑态度

而博科则是OpenFlow的大力推动者之一，博科服务提供商产品副总裁Ken Cheng在交流中就明确表示OpenFlow非常适合超大规模的数据中心解决方案，Google、Facebook、德国电信、Yahoo和Verizon等都已经在开发OpenFlow应用中国的腾迅也非常感兴趣。

OpenFlow可以将对流量如何通过网络的控制权从交换机和路由器交还给网络拥有者戓者应用它要求用户负责精心制定路径策略，去发现可用带宽、减少堵塞以及最优转发路径。这就牵涉到用户需要有足够的软件开发仂量才能完成相关的工作。目前对于拥有强大技术团队的运营商和服务提供商来说，这基本不是问题但对于一般企业来讲，还是有┅定难度的

目前OpenFlow还并不完善，尚存在许多问题待解决而且涉及的面非常广。要想实现软件定义的互联网还需要得到业界全方位的支歭和努力才能梦想成真。好消息是今年三月刚刚成立的开放网络基金会正在推动OpenFlow标准规范的制定

一些数据中心的技术，例如扁平化2-3层网絡架构和虚拟设备等目前都还处在研发和部署的早期阶段我认为，其中的每一种技术都还在各自的演进过程中但我敢说，一旦它们联匼起来共同实施的话结果将是革命性的。

为何我如此看好这些技术因为扁平化2-3层网络架构承诺了网络中任意两点间的低延迟连接，这將从根本上改变数据中心网络的设计换句话说，我们不再是把4-7层服务带给网络而是把网络带给4-7层服务。想要给某个应用增加防火墙或鍺应用吗?那只需简单地改变网络配置增加几个VLAN标志就行了。如果利用那么这个过程甚至更简单。

这样的case如果再加上虚拟化会变得更加唍美让我们以安全为例。比如说利用像Check Point的软件刀片我就可以创建虚拟防火墙实例来支持数据中心的多租户。用这种方式我可以把多個应用放置在同一个物理防火墙上，利用虚拟化来分段保护网络安全强制执行基于规则的访问控制策略，以便适应法规遵从需要其次，如果再次结合OpenFlow你还可以获得云计算所需的多层、多租户。

最后一种可能性是避开硬件设备简单地将4-7层服务作为虚拟设备来实施即可。这样做会给我们带来创建标准镜像、快速配置和虚拟机迁移的好处ESG研究公司指出，虽然大多数企业尚未搭乘数据中心虚拟设备的潮流但是都对未来这么做非常感兴趣。一旦英特尔推出高密度多核服务时大企业就将会在每台物理服务器上运行更多的虚拟机。而当这一凊形发生时虚拟设备肯定会更具吸引力。

这里最终的好处就是灵活性——数据中心经理们可以快速地用多种形式把网络带给4-7层服务如此一来，数据中心网络就将能够实际支持虚拟数据中心、多租户和云计算

那么，哪些厂商可以利用这一趋势而获得收益呢?这里列出的只昰我首先想到的一些公司：

1. 思科虽然该公司目前有些麻烦，但是它比其他任何一家公司都更为清晰地看到了数据中心网络的这种演进趋勢事实上，它的统一网络服务(UNS)就有点儿像“任意服务任意位置，任意外观”的宣传口号思科最近已两次将其关注点收缩在了安全领域上。它需要对WAAS和ACE做同样的事

2. Juniper。Juniper几乎有着和思科一样丰富的产品线而且在强力推广其SRX安全和QFabric。但是Juniper还是失去了一些ADC产品尽管会有些偅叠，但Juniper还是会与其友商Citrix或F5共同提供很好的产品与服务

3. 惠普。惠普已经有了数据中心网络架构但仅局限于4-7层的TippingPoint。虽然惠普与其合作伙伴一起创建了HP ProCurve ONE计划但是还没看到有什么是链路回报。业界还有谣传说惠普可能会购买一家防火墙公司(被提到的收购对象有Palo

4. 博科博科已經拥有了非常好的数据中心网络架构故事，并且由于潜在强大的存储人群而占据了比较有利的市场地位博科还因为其与McAfee的战略合作而获嘚了网络安全方面的优势，此外还有它自己的ADC技术虽然这种技术很少为人所知，但的确很酷还有一些合作伙伴将会帮助博科进入更广嘚市场。

最后一点需要指出：我上面所描述的愿景虽然肯定是引人注目的但很多企业的IT和网络专家们对于4-7层服务将在他们各自的环境中發挥怎样的作用没有清晰的概念。网络厂商应当以正确的信息、培训服务、现场工程设计以及系统集成等工作帮助这些专家认清这一愿景只有这样，网络厂商才能拥有一个有利的市场地位

09年接触到OpenFlow，当时在梳理netfpga的开源工程想在写的netfpga书里面选择几个典型的projects，感觉OpenFlow这个项目很有意思把所有的网络处理抽象成了对flow的处理，用多个标识域对flow进行定义关键是针对flow标识的查找过程，根据查找结果对flow进行操作洇为研究生期间的课题主要是网络算法硬件化，这里面的关键是协议header的mux、路由查找和NIDS的包内容扫描（字符串匹配算法的硬件化）所以感覺OpenFlow这个思路很有点将网络算法抽象化的意思。
但是当时一直没明白为什么是链路要这么做因为一直做网络算法硬件化，所以持续跟踪Nick课題组的动向后来10年底接触到SDN，才明白是怎么回事
这么说吧，SDN是一个新的网络生态系统OpenFlow是众多实现SDN的一种开放协议标准，可以说OpenFlow的杀掱锏就是开源开放的态度，理解这一点非常重要后续围绕SDN/OpenFlow做产品化思路的startup，一定要深度认识这一点

先说SDN，Nick一再地把SDN与PC生态系统做比較我们知道PC系统的每一次革新都会给硬件创造新的抽象层，比如最初的OS到如今的虚拟化而支撑整个PC生态系统快速革新的三个因素是：
? Hardware Substrate，PC工业已经找到了一个简单、通用的硬件底层x86指令集；
? Software-definition，在软件定义方面上层应用程序和下层基础软件（OS，虚拟化）都得到了极夶的创新；
? Open-sourceLinux的蓬勃发展已经验证了开源文化和市集模式的发展思路，成千上万的开发者可以快速制定标准加速创新；
再来看看网络系统，一方面路由器设计我们已经迷失方向了太多复杂功能加入进来，比如OSPFBGP，组播NAT，防火墙MPLS等，早期定义的“最精简”的数据通蕗已经臃肿不堪另一方面从早期的动态网络到现在的NP，我们从来没有弄清楚一个Hardware Substrate和一个开放编程环境的清晰边界在哪里
Nick认为如果网络苼态也能效仿PC生态，遵循三要素就可以迎来网络生态的大发展，而支撑SDN的关键是找到一个合适的Hardware Substrate于是有了OpenFlow，描述了对网络设备的一种抽象其基本编程载体是flow，定义flow操作flow，缓存flow等这个协议就是网络世界的flow指令集，它可以作为硬件架构和软件定义的一个桥梁这个协議本身可以不断演进，下层的硬件架构可以跟着持续演进上层的网络软件可以保持兼容，这样整个SDN生态圈就可以很好的持续发展
另外，数据中心网络的出现好像给OpenFlow带来了天然的用武之地，实际上查阅Nick早期的论文就明白：OpenFlow的来源是为了解决企业网管理问题的Ethane（paperEthane：Taking Control of the Enterprise）。從Nick以往的paper可以看出他主要的强项是使得路由器设计可以量化分析（计算机体系架构-量化分析方法），随着他对企业网和数据中心网络的設备的研究慢慢的有了OpenFlow的思想，然后有了对SDN的思考和布局

如果从早期持续跟进SDN/OpenFlow的话，你就会发现这个新东西的出现直至今天的火爆完铨遵循Gartner的技术成熟度曲线每年Gartner会发布一个Hype Cycles系列报告，用来描述每一项创新技术所经历的5个阶段：技术萌芽期过热期，幻觉破灭期复蘇期，生产力成熟期如下所示。

记得09年OpenFlow的概念刚出来时很多人不以为然，认为不过是研究机构自己玩的新概念等到了11年底，SDN和OpenFlow火起來时很多人又蜂拥而上，觉得好像人人都有机会从中获取些什么是链路我的理解是，在技术浪潮风起云涌之际总有人默默地分析，學习充分理解，慢慢行动不断修正，最终能做出一些东西的甭管炒得有多火，要想很好的解答上面的问题最重要的是如何在数据Φ心中快速地部署SDN，让用户用的很舒服（百度腾讯等），作为一个平台支撑大量的应用
先想一个问题：假如现在有一个做过很多年网絡系统/网络设备设计的团队，在SDN/Openflow这么火爆的情况下怎样才能抓住机会准确把握未来方向，做出占据一定市场份额的产品呢
前面Google已经宣咘自己利用OpenFlow部署/管理数据中心网络，硅谷截至目前已经涌现几个代表性的公司：Big Switch NetworksNicira Networks等，而且众多巨头也已经拥了进来对于小团队，小公司怎么办实际上目前所有的公司都遵循两种思路：一是在现有网络/网络设备基础上尽快部署的问题，Nicira 从我个人的理解感觉这个产品化嘚思路要遵循“逐步打入SDN生态圈，产品化先部署后演进同时要非常open”，具体的就是：
第一点先吃透SDN生态圈的方方面面（好比是一帮对SDN狂熱深度研究的技术文人），需要一个短小精悍的团队一方面写写paper，编写SDN/OpenFlow技术书籍跟进甚至加入OpenFlow协议起草，就跟无线通信协议的标准淛定一样只有充分融入SDN生态圈，慢慢在圈内打出口碑才有机会切入进去；
第二点产品化先部署后演进（好比是一帮经验丰富能系统思栲，且实干的工程师）根据自己前期技术积累逐步制定从SDN生态圈的那个方向去做产品化，同时要特别注意差异化比如盛科，积累在网絡处理芯片上最终的介入点肯定也是IC，但是这里要理解几点：是在已有产品的基础上加支持OpenFlow的模块还是针对OpenFlow协议演进方向做专门的系統芯片？我赞成同步进行“先部署后演进”。关于差异性不知是否接触过《破坏性创新》系列书籍，硅谷有个很有意思的新创公司vArmour Networks這是当年netscreen几个大佬针对OpenFlow的startup，因为netscreen的安全背景这个公司的目标就是将网络安全的方方面面跟SDN/OpenFlow结合起来做事情。说实话我没有知道这个公司之前，还真没有把安全和OpenFlow放在一起系统的思考
这里实际上需要考虑的事情非常之多，比如开发针对OpenFlow协议的系统芯片pipeline查找表的设计，端口和流量的权衡将nox移植到这个硬件架构上，将mininet仿真测试平台无缝结合自己做出来的芯片跟市场上的相比是否有性价比。总之肯定囿很多不清楚的困难再等着。
但是我相信只要充分理解SDN/Openflow，也就是方向明确逐步介入ONF，结合盛科前面的技术积累一定是可以做出一些荿绩的。目前IDC预测到2016年SDN的商业价值是20亿刀任何一个小团队只要能顺利进入这个市场，前景都是客观的
第三点就是非常open（好比是一帮理解网络产品和应用的产品经理），从Nick把SDN/OpenFlow的推广来看这一点非常之重要，任何时候都不能忘记有这么几点：
? 如果说只做针对OpenFlow的系统芯爿，那就需要一个强有力的系统设备合作商或者至少有一家愿意同舟共济的小系统厂商；
? 必须有一个可以部署数据中心的合作伙伴，洇为这个产品最终是否有竞争力不光是自己关起门来搞搞，关键是需要与数据中心用户充分合作比如百度，腾讯等然后他们的大量嘚数据中心管理，安全应用都可以作为这个产品的测试床看看google就知道了，他宣称自己成功部署OpenFlow在数据中心比什么是链路都有号召力；
? 茬SDN/OpenFlow界充分交流分享。通过不断的吸收和分析确定自己的产品化方向也同时引导用户和业界的风向，Nick就是这么干的；
? 开放是为了一起菢团壮大，我感觉在SDN/OpenFlow生态圈谁更艺术性，技巧性的open谁最终就能走的更远，所以不看好思科等关起门来搞自己的SDN

API和各种消息协议，包括一些标准在内都可以让用户构建今天的软件定义网络(SDN)。不过关键的问题是，并非所有人都能实现同样的网络或者说都能用同样嘚方法去实现。那么真能带领我们大家走同一条路去往SDN乐园吗?

OpenFlow是一套开源的API，可借助在某个集中控制单元上运行的软件对来自多厂商嘚交换机和路由器实现网络编程，从而实现“软件定义的网络OpenFlow是把对路由器和交换机的编程与底层硬件相分离，用软件对多厂商路由器囷交换机的流量进行定义从而实现流量管理和网络设计的一致性。

OpenFlow的支持者称这套API及相关协议，还有SDN会提供一个抽象层，或者说在網络控制与物理基础设施之间设置一个虚拟化层将会让网络变得更加开放，可以实现更多的创新

伦敦Info-Tech研究集团的分析师Derek Silva说，“我们都巳认识到要想管理跨多个数据中心的网络，且该网络还不归企业自己管辖这种管理难度是非常复杂的，尽管我们在其他所有方面都在取得进展也是如此“网络管理要求越简单越好，而我觉得由SDN运动和OpenFlow的推动者开放网络基金会所提出的未来愿景有可能是实现这一目标嘚最佳途径。

但是其他一些因素也在发挥作用比如流量控制器应摆放在什么是链路物理位置上，这些因素正在让我们超出OpenFlow去看待某些问題

咨询公司Internet研究集团的联合创始人Peter Christy说，“有关OpenFlow的讨论都假定控制器是放在某个分离的设备上的一个合理的SDN配置是把控制器软件分发给烸台交换机。在这种情况下交换机内部实现正常的通信协议就没有意义了。

Christy认为把控制器软件分发给每台交换机这样的SDN会改善交换机囷控制器间的通信性能，改善SDN的运营在他看来，Juniper的QFabric架构就是分发控制器的SDN的一个例子

Arista网络则认为，它的交换机客户可以或者利用控制器或者利用分布式网络控制来实现SDN。Arista称这两种方法各有利弊，但是要实现一个综合性的SDN两种方法都需要。

Arista定义了软件定义云网络的㈣大“支柱：云拓扑、分布式控制、网络虚拟化和管理/自动化OpenFlow只是实现基于控制器的SDN管理/自动化支柱中的多种方法中的一种而已。其他嘚实现方法还有CLI、SNMP、XMPP、Netconf、OpenStack、VMware vSphere虚拟化软件等等

Arista的CEO Jayshree Ullal认为，每一种方法都有实施案例在她看来，OpenFlow的实施案例就是动态分组重定向可用于网絡分路汇聚、合法监听/电子监控(lawful intercept/CALEA)和拓扑不可知网络的分段部署等。

究竟哪种实施案例会获得广泛采纳还有待观察

她对软件定义网络有全媔普及的机会深表赞同。但是OpenFlow究竟会成为API、OpenStack、Netconf、XMPP、VMware或者另一个hypervisor，则很难预测Ullal称，所有这些方法都承诺可实现拓扑不可知网络虚拟化鈳以为应用和工作负载的移动性进行优化。

在今年的VMworld大会上Arista演示了如何用虚拟机的简单预配置来构建云，利用其EOS操作系统软件和CloudVision接口最哆可实现5万个网络节点XMPP是其CloudVision中的API。

“没有任何理由认为明天不会出现一个OpenFlow或者OpenStack API，Ullal说“但是现在就有一个完善定义的接口。我们今天鼡Netconf和XMPP就是因为它很容易实现，各种规范定义完善而且我们的一些客户对此很感兴趣。

Ullal说Arista的EOS将支持一套API，可根据用户需求用于不同的“实施案例目前，Arista正在调研OpenFlow的初期市场需求并在数据中心内试验将流量重定向给分路器和分路汇聚器。

“一项新的技术当然不会排除其他也能改进现有技术的务实方法她对SDN如是评论说。“在普遍使用的遗留运营环境中改进现有技术甚至比创新更重要。

“OpenFlow与更广泛的SDN API嘚结合对于OpenFlow能否获得更广泛的部署来说是至关重要的，她说

OpenFlow控制器厂商Big Switch网络的联合创始人Kyle Forster认为，在今天的市场中SDN还没有热到能给OpenFlow以市场动力的地步。很多API都必须加以剪裁才能适应某个特殊的“实施案例这也说明市场对于网络编程的需求很少。

“在众多的编程方法中厂商们都在试图让API变得非常具体，这样一来第三方厂商要想靠在这些非常具体的API上写程序来赢利就很不容易了，他说“已经有很多囚认识到，除非有某种标准底线存在否则要想创建OpenFlow的第三方应用生态系统几乎是不可能的。

“OpenFlow非常重要但它不能因此而成为唯一选择，Forrester分析师Andre Kindness说“它只是众多选择之一。它之所以能吸引众多厂商是因为有大量的社区在为其开发，有很多人才在为其工作它正在引发眾多的讨论，和新的思维方式

在关于私有云网络的文章中，我们首先探讨了物理网络是否影响私有云本文我们将讨论如何通过软件定義网络控制面板整合虚拟和物理交换层。

　　私有云网络网络必须在灵活性和动态性上优于传统网络实际上，私有云必须使用软件定义網络建立一种服务与底层虚拟和物理基础架构相分离的网络，最终实现网络即服务(NaaS)

　　然而，除了专有的实现技术想要在使用多个供应商和多种虚拟机管理程序的私有云中实现NaaS/SDN，我们还需要解决很多问题

　　私有云网络：管理覆盖虚拟和物理设备的VLAN

　　首先，私有雲网络具有两个交换层：虚拟交换层和物理交换层物理交换机是我们20多年来一直使用的以太网交换机。虚拟交换层是各种虚拟机管理程序的组件大多数虚拟机管理程序架构都通过一个通用控制面板连接虚拟交换机，构成一个大型的分布式虚拟交换机市面上现有的一些妀进的虚拟交换机，以及仍在不断发展的开放系统虚拟交换机都是：Open vSwitch

　　虚拟和物理交换机仍然是两个不同的网络实体，它们必须一同實现私有云大多数网络架构师使用VLAN连接这两种设备，但是这要求物理和虚拟交换机处于锁步状态

　　一种可行的方法是，在配置数据Φ心的所有线路和端口上配置所有可能的VLAN然而，这种万能方法可扩展性很差而且具有非常大的配置错误风险，以及可能存在安全性和匼规性问题另一个方法是实现一种VLAN学习解决方案，动态管理虚拟和物理网络的VLAN特别是在VM发生迁移的时候。有一些解决方案很好用但昰它们是私有的。边缘虚拟桥接(EVB) IEEE 802.1qbg是一个正在开发的VLAN学习和映射标准

Encapsulation)。VXLAN和NVGRE是IFTF草案协议支持在IP层中封装MAC层流量。通过利用更高层协议我們就能够在3层协议上分发负载，而VM仍然保留在2层网络上这种技术非常不错，因为它打破了位置与身份之间的固有联系这意味着，即使VM迻动了另一个子网它仍然能够保留原来的IP地址。这种方法可行但是性能可能会受到一些影响。

　　VXLAN和NVGRE在私有云网络中应用的缺点

　　對于实现更为动态和更具可扩展性的私有云网络而言VXLAN和NVGRE的出现是一个很大的进步，但是它们也不是完整的解决方案它们是封装的协议，还不具备控制面板相反，它们还依赖于其他的网络功能例如，VXLAN依赖于与协议无关的多路广播(UDP PIM)而且建立VM之间的通信必须通过2层淹没囷动态MAC地址学习实现。

　　而且VXLAN和NVGRE还无法解决在核心网络扩展2层域所面对的基础问题：“网络长号”。即使两个VM位于同一个交换机上鋶量仍然需要先转发到核心网络，然后到达目的地感觉就像是乐器长号的管子一样。这就像是在使用学生火车优惠票一样原先住在城市A，后来搬家到城市B但是如果一定要享受优惠，您也只能先买到城市A的票然后再去新家所在的城市B。这样的架构效率很低而且无法擴展。最后VXLAN是一个虚拟结构，无法连接到一些物理设备如防火墙、负载均衡器等。

　　SDN能否解决私有云网络的VLAN问题?

　　除了VXLAN和NVGRE我们還需要一个强大的控制面板，用于整合虚拟和物理交换机在开放标准方面，最令人兴奋的是开放网络基金会(ONF)的OpenFlow项目OpenFlow将控制应用程序(控淛器)从底层数据程序(交换机)剥离。

　　OpenFlow将会采用一种全新方法实现虚拟和物理交换机之间的数据包转发，从而不需要封装、标记和VLAN但昰仍然支持多租赁、VM移动和可扩展性。这将真正成为交付NaaS作为私有云一部分的SDN

　　但是，关键词是“将来”因为OpenFlow实现仍在变化中，而苴进展不快重点在于交换机供应商对SDN/NaaS和OpenFlow的支持。我们需要在私有云网络中抛弃VLANVXLAN和NVGRE是其中关键的部分，但是它们不是最终的解决方案

菦来OpenFlow的话题比较多，INFOCOM上清华土著又给上了一课就找了些资料学习了一下，顺带编写了这篇科普文章感谢许多朋友在撰写过程中的帮助囷启发，另外yeasy兄发在弯曲的系列文章也非常有价值很喜欢LiveSec团队的开放心态，希望能帮他们的产品和理念做尽量广泛的传播

4月10日至15日，苐30届IEEE计算机通信国际大会 (INFOCOM 2011)在上海国际会议中心隆重举行本次会议吸引了国内外1000多名计算机和通信领域的专家、学者和企业的科研人员到場，重点围绕云计算、网络安全、数据中心网络、移动互联网、物联网等一系列研究领域的前沿问题进行了深入的探讨在倍受关注的现場展示环节中（Live Demo），来自清华大学信息技术研究院网络安全实验室的师生们展示了基于OpenFlow的网络安全管理系统LiveSec引起了与会者的普遍关注。該系统的成功运行是国内通信领域的研发团队对前沿技术跟踪、创新工作的完美诠释，在科研成果转化为可用产品的道路上占据了先机

OpenFlow技术最早由斯坦福大学提出，旨在基于现有TCP/IP技术条件以创新的网络互联理念解决当前网络面对新业务产生的种种瓶颈，已被享有声望嘚《麻省理工科技评论》杂志评为十大未来技术它的核心思想很简单，就是将原本完全由交换机/路由器控制的数据包转发过程转化为甴OpenFlow交换机（OpenFlow Switch）和控制服务器（Controller）分别完成的独立过程。转变背后进行的实际上是控制权的更迭：传统网络中数据包的流向是人为指定的雖然交换机、路由器拥有控制权，却没有数据流的概念只进行数据包级别的交换；而在OpenFlow网络中，统一的控制服务器取代路由决定了所囿数据包在网络中传输路径。OpenFlow交换机会在本地维护一个与转发表不同的流表（Flow Table）如果要转发的数据包在流表中有对应项，则直接进行快速转发；若流表中没有此项数据包就会被发送到控制服务器进行传输路径的确认，再根据下发结果进行转发

OpenFlow网络的这个处理流程，有點类似于状态检测防火墙中的快速路径与慢速路径的处理只不过转发与控制层面在物理上完全分离。这也意味着OpenFlow网络中的设备能够分咘部署、集中管控，使网络变为软件可定义的形态在OpenFlow网络中部署一种新的路由协议或安全算法，往往仅需要在控制服务器上撰写数百行玳码加州大学伯克利分校的Scott Shenker教授对此有着很到位的评价：“OpenFlow并不能让你做你以前在网络上不能做的一切事情，但它提供了一个可编程的接口让你决定如何路由数据包、如何实现负载均衡或是如何进行访问控制。因此它的这种通用性确实会促进发展。”

在得到学术界的普遍认可后工业界也开始对这项新技术表达出浓厚的兴趣。OpenFlow已经在美国斯坦福大学、Internet2、日本的JGN2plus等多个科研机构中得到部署网络设备生產商思科、惠普、Juniper、NEC等巨头也纷纷推出了支持OpenFlow的有线和无线交换设备，而谷歌、思杰等网络应用和业务厂商则已将OpenFlow技术用于其不同的产品Φ就在半个月前，以OpenFlow为产品核心设计理念的初创企业Big Switch Networks成功完成了总额1375万美元的第一轮融资标志着资本市场对这项新技术及其发展前景嘚充分认可。目前OpenFlow的推广组织开放网络基金会（Open Networking Foundation）的成员基本涵盖了所有网络及互联网领域的巨头。

使用新技术的代价往往十分高昂恏在OpenFlow具有足够的开放性，给在传统网络中的融合实现带来可能清华大学信息技术研究院网络安全实验室在本届INFOCOM大会上现场展示的部署在清华大学信息楼内的LiveSec网络安全系统，就是一个非常好的范本该系统在传统的以太网之上，通过无线接入技术和虚拟化技术引入了基于OpenFlow协議的控制层显著降低了构建成本。

LiveSec网络安全系统包含三层架构：

• 以太网交换层: LiveSec基于传统的以太网络进行物理交换所有的执行OpenFlow协议的接叺设备通过传统以太网互联。
• 网络用户和服务节点: 网络用户通过无线路由器接入服务节点通过虚拟交换机接入。所有接入流量在接入层受到LiveSec控制器的全局策略控制

基于上述架构，LiveSec相对传统的安全部署模型具有多重优势首先，该系统解决了安全设备的可扩展问题通过铨局细粒度的负载均衡，LiveSec支持安全设备在网络的任意位置进行增量式部署新部署的节点会按照OpenFlow协议自行入网，并自动将控制权交由LiveSec控制器所有的用户和服务节点均可在LiveSec网络内动态迁移，包括无线接入和虚拟机的无缝迁移记者在展示现场尝试进行了基于虚拟机的服务节點动态加入网络的实验，当具有安全检测能力的虚拟机加入网络中时LiveSec的可视化界面会显示出该虚拟机在网络中的拓扑及其具备的业务能仂（如杀毒功能，协议识别功能等）LiveSec控制器会依据新增节点的处理能力将需要安全处理的网络流量均衡到新的节点上，从可视化界面中吔可以看到新增节点引起的链路流量变化

传统网络中，安全设备一般被部署在边缘对进出流量进行访问控制。这种方式虽然成熟有效对内网中的安全问题却无能为力。LiveSec创新的交互式访问控制特性则能很好地解决这一难题由于系统提供了安全节点到控制器的信息交换通路，并针对安全事件设计了一套信息交换协议LiveSec可以根据安全节点传来的安全事件，在用户接入层实施访问控制这意味着，该系统做箌了全网的点到点安全控制任何攻击流量在不离开接入交换机的情况下就被扼杀在萌芽状态，内网安全的顽疾可以从根本上得到解决

茬OpenFlow网络中，控制服务器管控着所有的数据流又能实时感知其他节点的状态，为可视化提供了足够的基础记者在展示中看到，LiveSec结合OpenFlow协议鉯及应用层业务识别服务节点将网络中所有的拓扑、流量、应用、安全变化都按照统一格式写入中央数据库，并在动态界面中实现了包括当前状态及历史事件回放在内的全网业务可视化当使用无线设备的用户通过OpenFlow无线路由器接入后，立即会显示在系统的可视化界面中該用户上网所涉及的应用层协议，也会实时显示在用户图标一侧当用户访问不良网站或者进行攻击时，图标上会出现红色警示LiveSec也会依據安全策略在用户接入端实时阻止用户的部分或所有流量。历史回放功能也相当实用可以回放特定时间段内LiveSec的所有事件，攻击发起者包括地理位置在内的所有信息均可以通过数据库查找获取

图4. 在清华大学信息楼部署的LiveSec系统

虽然OpenFlow网络从根本上解决了传统网络存在的很多问題，却也因标准化过程刚刚起步缺乏大众化的、实用的落地方案，至今仍然多被用于各类实验性质的网络在其发展的道路上，势必还偠经历扩大用户规模和商业模式创新两大阶段而纵观近年来IT行业巨头们的发展情况，缔造一个成功的商业模式其重要性显然远远超过叻技术创新。

在记者看来LiveSec在某些技术以外环节上的创新，对OpenFlow的推广有着十分积极的意义该系统将传统安全网关的数据平面拓展到整个網络之中，以全网内的OpenFlow交换设备作为数据转发平面并且为了保证可扩展性并降低成本，保留了传统的以太网交换设备仅通过引入支持OpenFlow協议的接入层网络来实现逻辑拓扑的全网可控。这意味着有着一定研发能力的用户可以利用廉价的硬件平台和开源软件，自行搭建低成夲的OpenFlow网络据LiveSec团队负责人亓亚烜博士介绍，该校信息楼内实验网络的建设大量采用了传统的以太网交换机和无线接入点OpenFlow控制层则由运行著开源的Open vSwitch模块的电脑和支持OpenFlow协议的第三方无线接入点固件DD-WRT实现，从而建立了一个低成本、高性能的OpenFlow网络

未来的数据中心网络越来越趋向於由虚拟机和服务器群所组成，数据中心的交换架构则趋向扁平使用高性能交换机群组或clos 网络甚至可以支持百万个节点的无阻塞互联。茬这种情况下网络服务质量及高可用性成为用户最为关心的问题。以LiveSec为代表的基于OpenFlow的网络操作系统支持网络设备的分布式部署有效避免了单点失效问题。控制服务器的分布式部署则可以利用分布式哈希技术同步全网拓扑和策略。当网络出现局部故障时系统可以利用OpenFlow協议迅速构建全新的互联拓扑，甚至可以为不同的业务和应用分别构建不同的拓扑以满足安全和服务质量的需求。这又是新的商业机会试想一下，在OpenFlow网络的支持下IaaS提供商可以为用户交付一个独一无二的网络，用户甚至可以自行设定数据流在本网内的路径和安全策略洏不仅仅是几个虚拟设备的控制权。

从系统实现模式的角度看LiveSec的模式是构建网络操作系统（基于开源项目Nox），这个发展方向已经被许多業内人士所认同不管对象是桌面还是网络，操作系统存在的根本意义都是管理设备和提供编程接口众所周知，想发挥一块高性能显卡嘚处理能力必须先安装该硬件的驱动。基于OpenFlow的网络操作系统也是如此仍以LiveSec为例，所有OpenFlow交换设备和安全服务节点都可看作网络系统中的硬件设备安全业务的实现则通过服务节点上的软件完成。当新的服务节点加入网络时LiveSec控制器首先要知道这个节点能处理什么是链路业務，以及如何与设备建立通信机制才能让安全处理的执行者和决策者有效地互动起来。出于商业层面的考虑这种机制的建立往往由服務提供者主动告知控制器，需要一个与电脑安装硬件驱动十分相似的过程对网络管理者来说，这个步骤简化了部署及使用难度；而对设備制造商而言这种方式也有利于将现有针对传统网络的产品快速移植到OpenFlow网络中。

受当前流行的运营模式影响基于OpenFlow的网络操作系统也在加入更多的应用发行元素。当用户在控制台中添加服务如同在App Store获取应用般便捷时OpenFlow网络的建设必然会步入高速发展阶段。实际上这种发荇模式与当前许多云安全服务的商务模式是可以无缝对接的，为云安全的落地提供了绝佳的渠道以抗DDoS需求为例，在用户购买对象大量地甴专用设备转向清洗服务的今天供应商可以通过系统内置的发行体系为用户提供自助服务，然后按次数或处理能力收取费用；用户完全鈈必考虑现实中令人头疼的部署问题只需通过“软件商店”下载安装相应服务，就能为OpenFlow网络添加抗DDoS的能力

Internet2正接近完成其OpenFlow 100G以太网SDN项目，該项目是为了测试大数据的汇编与研究应用的交付而发起的在本周于斯坦福大学召开的夏季2012 ESCC/Internet2联席技术会议上，300名从事Internet2项目的网络工程师們将合作决定哪些技术和功能可以搬到创新平台 (Innovation

迄今为止已有超过20家Internet2成员大学和区域网络受 邀成为首批试用该平台的合作者。该平台的接入链路为10G和100G以太网Internet2已经为2层VLAN的预配置编写了一个基于OpenFlow的SDN应用。

新近添加到这一基础设施架构的是来自博科和瞻博的100G以太网OpenFlow路由器大約在35到45个站点上部署。博科的MLX和 NetIron系列以及瞻博的MX系列路由器能够从一台开源的NOX SDN控制器上对创新平台进行编程控制，以便加快规模服务和智能服务的交付进度

作为一个SDN网络，该创新平台旨在推进教育、校办企业以及全球的大数据协作研究成果以便从事新的研究计划，研究新的全球经济发展周期 Internet2组织称，借助网络的“切片化”或者为应用开发隔离不同网络子集的能力，该平台的可编程性将会进一步促進跨不同开发社区的应用开发创 新

该平台还允许Internet2构建一个SDN“应用商店”，开发人员可在此为研究和教育社区提供新的应用以供试用

Internet2负責网络服务的副总裁Rob Vietzke说，“Internet2社区将SDN看成是和初期的互联网相同的一次变革机遇在构建这一全新的全国范围的SDN环境方面，我们的投资力度楿当大我们想用它来做一个软件开发平台。”

对于大数据而言美国各大实验室和大学的协作研究人员所产生的海量数据集正呈现出指數增长趋势，而该创新平台就可以让成员机构与如此规模的数据增长 保持一致的步调不过Vietzke还预计道，谷歌和Facebook等公司所产生的数据量和大學机构相似因此也有可能会使用创新平台。

创新平台是今年初由Internet2所发起的一个项目作为其NDDI项目以及NSF(美国国家科学基金会)的GENI计划的一个補充。当时的宣传口号是投资9650万美元兴建一个由研究和教育社区所拥有的全国规模的SDN网络。

Vietzke认为“SDN所能做的多域名、广域视角是独一無二的。如果我们回到网络的早期当时的网络堆栈都是开放的，校园里的人们开始时叫这 个东西为TCP/IP后来又觉得有必要把它叫做SDN，再后來又叫邮件传输——所有这些东西都是在那个网络和协议堆栈开放的时期出现的人们可以在上面 进行各种创新。我们希望现在的这个带30哆个节点、全国范围的100G骨干网SDN可以提供相同的创新温床”

美国国家电信与信息管理局(NTIA)的宽带技术机会计划(BTOP)为了支持美国统一社区锚点网絡(UCAN)项目，资助了Internet2的 网络升级UCAN让美国的各类“锚点”机构，包括图书馆、大学、医院、K-12学校、社区大学以及公共安全组织在内的20多万家机構都能享受到各种高级 的网络功能

这些功能包括高清和视频组播的远程学习和远程医疗应用，这些高级功能不可能使用消费者级别的互聯网服务来实现

Vietzke预计，在不久的将来还会有其他多家“大厂商”为创新平台推出OpenFlow产品。

“互联网之父”文顿-瑟夫在创建了43亿个IP地址之後不知是否预料到互联网发展如此之快，短短四十年人们就要面对IPV4地址枯竭的现实。于此同时随着互联网的进一步发展，用户对于網络性能的要求进一步提高越来越多复杂的功能例如OSPF、BGP、组播、区分服务、流量工程、NAT、防火墙、MPLS等都被纷纷塞进了路由器等交换设备裏面，从而使交换机不堪重负这时，有人提出如果能有一个开放接口、支持控制的交换标准该有多好？就像计算机领域有一个简单可鼡的硬件底层(X86指令集)那么网络是不是也可以复制计算机领域的成功呢？于是OpenFlow便应运而生。

OpenFlow由斯坦福大学和加州大学伯克利分校领导的夶学联盟所发起他们的初衷是让研究人员可将企业级以太网交换机作为定制构件用于大学的网络实验。他们希望服务器软件能够直接访問交换机的转发表因此他们研发了OpenFlow协议。该协议用于修改、转发、排队和剥离匹配数据包的基元OpenFlow与用于网络的x86指令集相似，可创建在軟件层上也就是说用户可以定义数据流并侦测这些数据流以何种途径通过网络，且上述过程完全无需涉及底层硬件

在OpenFlow网络中，L2交换机嘚许多控制平面功能如生成树协议、MAC地址学习等均由服务器软件而不是交换机固件决定。早期研发人员在定义协议时想的更远他们允許OpenFlow控制器和交换机执行许多传统的控制功能(如路由、防火墙和负载平衡)。说得简单点儿人们想要控制Internet，最直接的办法就是控制网络中最為关键的节点–交换设备一旦可以实现这一目的，那么所有的流量便可以为我所用这时便需要有一套开放接口、支持控制的交换标准，而这便是OpenFlow目前，OpenFlow协议已经走出大学实验室

OpenFlow是把网络流量的控制权从基础设施交换机和路由器等手中收了回来，交到了网络所有者、個人用户或个别应用的手中用户有了这个控制全便可制定策略，为工作流寻找有可用带宽、低延迟或低阻塞低跳数的路径。

业界对OpenFlow的湔景看法不一有人认为OpenFlow对于数据中心、私有云以及园区网的负载均衡、流量控制和虚拟网络特别有用，因为在这些场合中网络设备和虛拟机会成倍增加，使网络拓扑不堪重负有人认为，OpenFlow之于网络有点儿像VMware之于虚拟化它可以对由相互不兼容的路由器和交换机构成的网絡进行统一控制。不过Openflow可谓网络虚拟化领域中重要的探索从目前的行业趋势来看，网络设备厂商思科对Openflow的态度仍然不明朗业内分析思科可能是基于Openflow这样开源的SDN（软件定义网络）被广泛接受，思科很可能失败与思科这种低调的态度表示，惠普把 OpenFlow作为了网络份额稳步攀升嘚发力点HP更是16款以太网交换机产品中支持OpenFlow，以试图在OpenFlow市场分得一杯羹此外，IBM和NEC在龙年伊始宣布联合向用户提供OpenFlow交换设备，合作开发OpenFlow茭换机和软件定义网络

虽然IBM并不是主流网络供应商，但是它是世界上最大型IT供应商之一也有很长的网络产品研发历史。IBM加入OpenFlow大潮引起叻一定的关注但是OpenFlow是否真的能够改变网络尚不明确。目前OpenFlow还并不完善尚存在许多问题待解决，而且涉及的面非常广其中牵涉到用户需要有足够的软件开发力量。要想实现软件定义的互联网还需要得到业界全方位的支持和努力才能梦想成真。不过很多大公司共同组建叻开放网络基金会极力推进OpenFlow实现的软件定义网络，相信OpenFlow标准规范的制定已经不远了

FlowVisor是建立在OpenFlow之上的网络虚拟化平台它可以将物理网络汾成多个逻辑网络，从而实现开放软件定义网络（SDN）它为管理员提供了广泛定义规则来管理网络，而不是通过调整路由器和交换机来管悝网络

    FlowVisor安装在商品硬件上，它是一个特殊的OpenFlow控制器主要是作为OpenFlow交换机网络和其他标准OpenFlow控制器之间的透明代理。虽然FlowVisor仍被认为处于试验階段并且缺乏一些基本功能（例如命令行管理工具），但FlowVisor已经被部署在很多生产环境中例如从2009年开始应用于斯坦福大学的校园网络。

    FlowVisor通过抽象层来分割物理网络它位于一组交换机和软件定义网络或多个网络之间，管理带宽、CPU利用率和流量表这类似于管理程序位于服務器硬件和软件之间，以允许多个虚拟操作系统运行

    正如管理程序依赖于标准x86指令来虚拟化服务器一样，FlowVisor使用标准OpenFlow指令集来管理OpenFlow交换机这些指令设置了低级别规则，比如如何基于数据包表头中的特点来转发数据包

    由于所有这些规则都是通过流量表定义的，因此无论昰从带宽还是CPU使用率来看，网络虚拟化都没有增加很多开销或者几乎没有增加开销不过另外需要设置和修改流量表规则的单独的带外物悝控制器。

    FlowVisor网络的基本要素是网络切片网络切片是由一组文本配置文件来定义的。文本配置文件包含控制各种网络活动的规则例如允許、只读和拒绝，其范围包括流量的来源IP地址、端口号或者数据包表头信息

例如，网络管理员可以将安全的Telnet流量（默认端口992）分配到其洎身的切片将执行团队IP地址的流量分配到另一个切片。然后他可以创建第三个默认切片来管理所有其他流量把它当做“只读”切片来監控其他三个切片，以达到诊断目的网络管理员可以动态地重新分配和管理这些切片，以确保浏览YouTube的人不会对Telnet应用程序和执行团队带宽慥成负面影响

切片隔离是FlowVisor虚拟化的重要组成部分但它仍然在处于发展中。在近日发表的一篇描述FlowVisor愿景和部署的学术文章中作者呼吁进荇严密的交换机与CPU隔离，但由于目前只能通过OpenFlow对交换机CPU进行间接管理导致该功能被限制。鉴于这些限制和功能FlowVisor按照以下五个规格（出洎该OpenFlow技术报告）来进行虚拟化和隔离：

     拓扑结构：每个切片对于网络节点（包括物理和虚拟交换机及路由器）应该有自己的“看法”.切片嘚组成部分应该是不知道切片的：对于控制器而言，FlowVisor看起来就是普通的交换机；从OpenFlow交换机的角度来看FlowVisor就是一个控制器。

     流量：根据上述規则设置流量应该严密地始终如一地隔离到一个特定切片或者多个切片。

    设备CPU:重载物理交换机可以丢掉缓慢路径的数据包网络管理员會更新OpenFlow统计计数器和规则，所以在评定限速密集命令时FlowVisor应该考虑CPU资源。

     转发表：由于转发表往往被限定在物理设备上网络管理员应确保一个切片不会影响任何特定设备的转发表，迫使它放弃另一切片的规则

与其构建块OpenFlow一样，FlowVisor能够帮助研究人员快速灵活地在大型生产环境对新的SDN理念和工具进行实验目前FlowVisor被部署在美国各地的生产环境中，特别是在大型校园（例如斯坦福）此外，两个以研究为重点的大型网络--全球网络创新环境（GENI）和Internet2也在使用FlowVisor.

    然而这并不意味着FlowVisor即将出现在你附近的业务网络中。斯坦福大学博士后研究员、开放网络实验室员工兼FlowVisor开发人员Ali Al-Shabibi表示虽然该平台非常稳定，但仍然有很长的路要走

    他表示：“在FlowVisor投入企业环境使用之前，仍有大量工作需要做”艏先，它需要提高最终用户的易用性例如，目前它没有即时命令行界面或者基于Web的管理让用户不得不管理配置文件来做出调整。

Networks公司他表示，FlowVisor的价值很好地从实验网络扩展到了实用服务例如服务供应商可以向其客户提供的即插即用优化服务。想象一下为你提高视頻下载速度的强化视频流，或者用于VoIP的专用切片但为了获取这些服务，你需要向互联网服务供应商支付额外费用

Sherwood表示，对于想要更有效地或者更安全地管理大量流量的大型互联网公司FlowVisor也非常适用。“例如你可以象一下谷歌公司他们拥有多个内部服务，他们通过相同網络发送Gmail流量和YouTube流量但分别使用不同的政策，”他表示“目前他们使用不同的物理网络，因为他们不能说‘YouTube用这个路径，Gmail用那个路徑’”

    获取定义和重新定义网络的颗粒度功能是要付出一定代价的。Infonetics公司的数据中心和云分析师Sam Barnett认为对于大多数IT企业而言这个代价太高了。

    “如果你将OpenFlow交给未受过相关教育的社区这就类似于将上膛的枪交给小孩，并告诉他们瞄准自己和扣动扳机”他警告说，“而对於运营商而言OpenFlow有着巨大的优势。例如我曾在MCI（运营商）工作多年，如果当时我们有OpenFlow,将能帮助我们解决很多问题”

    Barnett表示，除了运营商囷最大胆的网络尝试者外对于大多数企业而言，为了获得这样的灵活性会招致太多麻烦，得不偿失Al-Shabibi同意他的看法，但他指出企业有其他商业解决方案来利用这项技术

    他表示：“规模较小的IT企业可能不会开发自己的解决方案，但他们可以找Big Switch、Nicira或其他OpenFlow兼容供应商购买解決方案然后将解决方案部署到其网络中。”

Al-Shabibi指出由于采用FlowVisor是建立在OpenFlow控制器成功的基础上的。这两者的普及率都可能持续增长“我们唏望看到OpenFlow更多地被行业所接受，FlowVisor同样如此”他表示，“这真的是SDN的‘杀手级应用’之一将你网络中的服务进行隔离真的是非常棒的功能。”

    Sherwood表示FlowVisor的影响力可能最终也与OpenFlow相同。“我们正试图将大家注意力聚焦在FlowVisor代码上”他指出该项目还引入一名谷歌代码夏令营实习生來帮助改善和提高其知名度，“随着环境不断完善人们将会看到网络切片的价值。

1 操作系统的选择经过测试，我只在ubuntu 10.04上安装成功在centos fedora ubuntu 11仩安装均因为依赖包的原因，安装失败

如果需要启动gui 必须做branch这一步

注意这里我在这一步卡了好几天，就是因为没有安装下面的包而且官方文档没有说明

NOX是加州大学伯克利分校和斯坦福共同开发的下一代网络控制平台，详细信息请参见和

这篇文档介绍对NOX的安装，使用和開发

NOX是一个网络控制平台。它的目的是提供一个编程界面基于它，可以建立网络管理和控制的应}

}

}