《Sx700系列交换机OpenFlow详版彩页.docx》由会员分享,可在线阅读,更多相关《Sx700系列交换机OpenFlow详版彩页.docx(9页珍藏版)》请在课桌文档上搜索。
1、文档版本02发布日期2015-07-30Sx700系列交换机OpenFlow详版彩页网络面临的挑战传统网络的架构越来越不能满足市场的需求了。对大部分企业和组织来说,IT是成本,并不能直接带来业务,特别是这几年,经济不够景气,企业更是减少对IT的投资;与此同时,企业又想方设法提高己有IT设备和人员的利用率,用来提高公司IT支撑能力,进而增进企业的竞争力。电信运营商也面临着同样的挑战,一方面,无休止的网络扩容以应对移动终端和接入带宽的爆炸性增长,另一方面,企业的利润又被设备投资和维护无情的吞噬,体现在净利润逐年下滑。具体来说,现有网络架构存在下列问题:网络越来越复杂现在的网络技术很大程度上是由一个
2、个分裂的协议组成,这些协议就是机器之间沟通的“语言”。利用这些语言,通信设备间无论距离多远,无论什么速率的链路,都可以组成任意的网络拓扑。为了满足业务和技术的需求,业界各大标准组织,如IEEE.IETF.3GPP等等,制定出各种各样的组网协议用以提高网络带宽、保证通信更可靠、更安全。大部分情况下,这些协议都是为了解决特定问题的,协议之间相互独立。日积月累,导致了现在的网络越来越复杂,在2014年3月的ONS(OPenNetworkSUmmit)大会上,与会者展示了一个统计,在一个具有16个机架的中小型数据中心,需要人工输入8万行命令,用于配置数据中心纷繁复杂的协议。以在网络增加或移除一个设备为
3、例,IT人员需要对交换机、路由器、防火墙、Web认证服务器做调整,需要更新ACL、VLAN和QOS等。与此同时,IT人员所利用工具大多是针对一个个独立的网络设备,而且要充分考虑各厂家交换机的型号、软件版本和当前拓扑。也正是由于这些复杂性,现在的网络大多是静态的,因为IT人员不想因变动网络而导致业务中断。“树欲静而风不止”,服务器虚拟化之“风”正急剧地撼动着网络这颗静态的“树”。一个物理的服务器可以虚拟化成数个或数十个虚拟机(VirtUaIMachine),每个虚拟机都可以独立的接入到网络中。在没有虚拟化之前,应用程序一般驻留在一个单独的物理服务器中,应用的流量模型相对固定;虚拟化之后,应用程序
4、分布在各个虚拟机中,而且虚拟机可能要动态迁移,用以满足负载均衡或节省能源。从网络角度来看,某虚拟机时而从一个端口接入,时而从另一个端口接入,虚拟机迁移对网络提出了很多挑战,从地址分配方案到VLAN、网段划分等等。现在大部分企业都部署了一张基于IP技术的融合网,语音、视频、数据都利用这同一张网,客观上要求部署QoSo尽管各个厂商都宣称支持标准的Diff-SerVe模型QoS,但实现上千差万别。IT人员要手工单独配置不同厂家的设备,调整带宽以及各种QOS参数。这种静态的、依赖手工配置的Q。S部署方式,制约了网络可以动态地适应变化的流量、应用和用户需求。策略不一致IT人员可能需要配置成百上千的设备,
5、来执行一个网络调整的策略。比如说,现在越来越多的企业采用云桌面,每次安装一个虚拟桌面时,IT人员可能要花数小时,甚至数天的时间来重新配置ACLo网络的复杂性让IT人员很难部署一致的接入控制、应用安全、QoS等策略,这让企业面临着运营不合规、安全无保证的风险。厂家依赖性物联网、云计算、BYOD快速发展,这要求设备制造商能迅速作出响应。但现有设备的生命周期却不能很好的满足这种需求。如果一个业务需求需要通过修改ASIC来实现,一般要用两到三年;如果这个业务需要软件更新来实现,一个新的版本也要半年左右的时间。缺乏标准、开放的编程接口,也限制了网络适应各种应用环境的能力。综上所述,市场需求和网络能力之间
6、的矛盾已经到了非解决不可的程度,一种新型的更灵活的网络架构应运而生一一SDN软件定义网络架构。SDN应运而生SDN这个原始概念可以追溯到上世纪90年代,其中,AT&T一个项目GeoPIeX利用网络提供的编程接口,实现了中间件网络。2008年,加州大学伯克利分校和斯坦福大学正式推出了SDN架构。SDN核心思想是网络的控制平面和转发平面(或称数据平面)分离,且提供网络编程接口。传统的网络中,每个交换机都有一套完整的控制系统,收集网络状态并自主的决定转发行为:SDN架构要求所有交换机将控制能力分离出来,并集中到通用的服务器上,另一方面,交换机的转发能力被重新抽象,并可以用标准的接口去利用转发能力。由
7、于网络的所有控制能力被集中到服务器,也就是说,服务器中有一个完整的控制能力视图;对应用来说,网络就是“一个”虚拟实体,不用关心“成百上千”物理交换机的差异性。如下图所示,SDN架构是由转发层、控制层和应用层组成。转发层是由系列交换机和路由器组成,由于控制功能被剥离,所以这些SDN能力的交换机/路由器就可以做到更加专业,也即,只关注高QoS、可靠、安全的数据转发,而不用理解成百上千的协议。不同SDN的实现方式对转发层作了不同的抽象,比如,IETF12RS(InterfacetoRoutingSyStem)工作组将转发层抽象为RIB(RoutingInformationBase)FIB(Forwa
8、rdingInformationBase),SDN控制器通过标准的I2RS接l和协议操作RIB/FIB,继而定义出不同的转发行为;又比如,以OPenFIoW为基础的SDN实现中,转发层被抽象成一系列的流表以及对应的动作,SDN控制器通过OPenFIoW协议给转发层下发不同的流表和动作,来动态地编排报文的转发行为。控制层是SDN的核心,一般是由基于通用服务器的控制器群组成,这些SDN控制器集中了网络的智能(也就是控制能力),维护了一个完整的网络视图,包括网络的组成、拓扑、设备的能力等等。控制层对应用层提供一整套网络服务的开放API,包括路由、组播、安全性、接入控制、带宽管理、流量工程、QoS、转
9、发设备处理器和存储的优化、节能控制、以及各种形式的策略管理。应用可以利用这些开放接口,迅速地定制出网络转发行为、开发出各种网络应用。比如说,SDN架构可以很容易在有线无线共存的园区,定义和实施一致的策略。应用层是网络价值的集中体现,这些应用可以是统一通信系统如华为eSpace,可以是高清视频会议系统,也可以是网络性能监控、访问策略控制等等。利用控制层提供的标准开放的编程接口,IT人员可进行编程,轻松地改变网络的行为,实时地部署网络应用,而不象现在,必须等待设备厂商将特性内置到封闭的转发设备软件中去才行。SDN架构让网络不用过于“应用感知”,也让应用不过于“网络感知”。通过抽象和标准化接口的方式
10、,简化了转发面的设计,提升了控制面的灵活性,大大加速了应用层的业务创新。OpenFlow是SDN的一种实现OpenFlow演进路线2009.12作为斯坦福大学CleanSIate”项目成果的一部分,OpenFIoWLO发布了,该协议只支持1级流表,流的匹配项共有11个,能实现L2转发、IPv4转发基本功能。2011.2OpenFlowlJo转发面是由多级流表组成,增力口了对MPLS、VLAN、组播和ECMP的支持。2011.3ONF(OPenNetWorkFOUndation)成立,该组织推动业界采用以OPenFIoW为核心的SDN架构。2011.12OpenFlowl.2o增加了IPV6的支
11、持,通过多控制器的方案来提升控制器和交换机会话的可靠性。2012.4OpenFlowl.3.0o定义了用于QoS控制的MeIer表,增加了正EE802.Iah,也即PBB(ProviderBackboneBridgeS)的支持。2013.04OpenFlow1.3.2。完整的支持39个流表匹配项。2013.10OpenFlow1.4。支持41个流表匹配项,除此之外,还增加了一些小功能,如当交换机流表项满时,按照预先设置的方式,在控制器无需干预的情况,删除老的流表项;将OpenFlow的动作作为一组来执行,如果其中一个动作执行失败,全部回滚。OpenFlow交换机组成和处理流程OponFlowP
12、rotooolOpenFIowSwitch如图所示,OPenFIOW交换机是有若干个流表和一个组表组成,这些表用来执行报文查找和转发;SeCUreChanneI是用来和外在的控制器交互的,交换机通过OPenFIoW协议和控制器通信。利用OpenFk)W协议,交换机要么通过“交换机请求一控制器反应”的方式,要么通过“控制器主动控制而无需交换机请求”的方式,对流表的表项进行增加、更新和删除。每个流表由一个个表项组成;每个表项由报文匹配域,计数器及处理指令组成。报文匹配过程是从编号最小的流表开始,根据控制器的编排,可以用一个流表或相互串接的多个流表来完成一个报文转发任务。在同一个流表中,流表项的安排
13、也是有次序的,优先级最高的表项放在最前面。当报文匹配到某个表项时,这个表项中的指令就会被执行;如果报文匹配不到任何表项,根据是否配置了table-miss表项,交换机要么采用将此报文通过OPenFloW协议上送到控制器,或者将此报文丢弃,或者交给下一级流表进行处理。流表中的指令有两个不同的类型:其一,动作指令包含处理报文的一个个具体动作,其二,流水线指令改变报文处理流程。这些动作指令描述了对报文转发、报文修改、以及组表的操作;流水线型指令则是用来将报文送到下一级流表,以及在流表之间传递一些用于报文处理的元数据,当指令中不再包含下一个流表时,处理流水线就结束了,此时,数据报文被修改或转发。在流表
14、项中,一个报文可以要求转发到一个端口。这个端口通常是一个交换机的物理端口,但这个端口也可能是一个逻辑端口或保留端口。逻辑端口通常指汇聚端口(Trunk)、隧道或环回接口。保留端其实代表了一种转发行为,比如说,将报文送给控制器,将报文泛洪到所有物理端口,或者,用一种传统交换机方法而不是OPenFk)W方法来处理报文。在报文转发过程中,该报文可能被指向一个组表。组表一般用于组播/广播泛洪,或者其他一些复杂的转发行为,比如说,ECMP(EqualCostMulti-Path),FRR(FastRe-Route)以及链路聚合。组表的另一个作用是将共同的输出进行聚合,比如说,很多报文被转发到一个公共的下
15、一跳,相关的流表项都指向一个公共的组表表项,该表项来完成下一跳的处理动作,这种抽象的最大好处是可以有效地改变下一跳,而没必要改变每个流表项。实现原理及特点如下图所示是一个传统交换机转发流程:入口处理芯片(IngreSSChip)、交换网(SWitChFabric).出口处理芯片(EgreSSehip)。在入口处理包括:/报文解析模块:根据数据报文头进行协议分析,并通过查找L2L3ACL等表项,来确定报文从那个端口转发出去;/内存管理单元:用以对报文进行缓存,并根据优先级进行调度;/报文修改模块:根据需要来对报文进行修改。交换网的作用是将报文在入口处理芯片和出口处理芯片之间进行传输。出口芯片的处
16、理模块和入口芯片的类似。在OPenFk)W架构中,交换机的转发行为是由控制器通过对交换机下发系列的流表来决定。OpenFIow流表结构与上述交换机预先定义表是完全不同的。下例是连接到一个OpenFiow网络的两台PC进行相互Ping操作,控制器是Opendaylight开源社区开发的Hydrogen.mo 1.11ta012Mi9za.TableEntryPriWATCHntruetkMU-avxr110|mtcn日俗1?怕dsfo以Pooutr.tnfefb乂35D三SwrhO衿1H乂J=!020II.nhlyr-nx(DOtfclinchctfJst=O0Cd8:4:75c;1.:H.(C
17、1H111DU-SX1I?ifi164P=Iy231/.马XnXfMoBpc,ate三opo三j*,D俎:!i|X:ly;i::l!.sn.l(l)i)i九:IrMkrMR5E352c三avxr.2DOyf)DIS11trsilcliMI1S1-1931.1.571Eoc=Dx8Wi(:ly;i::l!.s(i三,r:!r!三R55,aply:te-(0Lpcr-I5p三9LMr.3)-c-tv0Sl-19:1.2.3即“oe三u8m叩P忸配IH(MPWAI5%题:192.(1.1.2这种OPenFlOW下发的逻辑表,需要做适配处理,映射成交换机所支持实际的转发表,华为技术为此设计了DPAL(
18、DataPathAbStraCtLayer)软件模块。DPAL的核心思想是:通过业务路径对交换机的能力进行抽象,解耦OPenFk)W协议层和硬件层。从本质上来说,无论是OPenFloW还是ASIC交换机,其定义的转发规则都可以抽象成匹配域和动作集。DPAL对控制器下发的流表项进行分析和聚合,抽象出匹配域和动作集,再与业务路径进行比较,最后用交换机ASlC具体的表项来组合完成。这种以DPAL为核心OpenFlow方案具有以下特点:超强的兼容性:OPenFk)W标准不成熟,各个厂商支持的流表差异很大,针对这种情况,DPAL采用了多级流表全匹配域和动作集设计,可以很好地与业界各种控制器进行对接,比如
19、说,OpcndaylightsRYU和Fk)Odlight等等。完备的协议一致性:OFTest是验证OPenFk)W协议一致性的测试框架和套件,华为在OFTest1.2的基础上,开发了OFTeSU.3,共419个用例,所有OPenFIoW交换机100%通过这些测试用例,覆盖IPV4、IPV6、MPLS组播、QoS等等。卓越的转发性能:DPAL设计充分地利用了交换机ASlC的转发能力,所以,在提供SDN业务灵活性的同时,继承了交换机卓越的转发性能。产品和主要规格项目说明OpcnFlow主要规格支持多控制器支持高达9级流表支持高达256K流表支持Meter支持OPCnFlow1.3标准支持产品S5
20、720系列交换机(S5720-SI系列、S5720-EI系列、S5720-HI系列)S6720-EI系列交换机项目说明E600教育网系列交换机S7700系列交换机S9700系列交换机S12700系列敏捷交换机注:框式交换机不同板卡支持情况有差异,具体请参见销售策略指导书。路标和远景SDN在发展,OPenFIoW在完善,华为交换机规划以下特性,以支撑未来OPenFloW的规模商用。OF-Config协议:如上图所示,一个具有OPenFIoW能力的交换机可以虚拟化出多个OPenFIOW逻辑交换机,为了让这些逻辑交换机和OPenFk)W控制器能够正常工作,OPenFloW配置点(OPenFIOWCo
21、nfigUrationPOint)需要利用OF-Config协议对交换机进行以下配置:/配置一个或多个OPenFIOW控制器地址实际部署时,可能是一种混合OPenFloW的方式,即交换机同时支持传统转发模式(比如说L2/L3/ACL等等),同时也支持OPenFIOW转发。这要求对物理交换机的资源,如端口、队列,进行配置/根据需要,对逻辑OPenFloW的端口进行关闭/使能操作/为了确保OPenFIoW交换机和Controller进行安全通信,需要配置通信双方的安全证书/如果OPenFloW交换机用到一些特殊隧道,如IP-in-GRE,NV-GRE,VxLAN,需要对隧道进行相应的配置NDM&T
22、TPOpenFlow1.3协议规定OPenFlOW交换机要支持39个匹配域,包括入端口、源MAC、目的MAC、源IP、目的IP、IPDSCP域、协议号等等。理论上来说,SDN控制器可以下发流表,包含任意匹配域的组合;而实际上,OPenFk)W交换机的能力是有限的,特别是那些基于ASIC的交换机,这样会导致控制器和交换机无法很好的互通。针对这个情况,ONF正在开发NDM(NegotiabIeDataPathMode1s),在OPenFIoW1.x版本,NDM又成为TTP(TableTypePatterns)oOPenFIOW2.0&POF业界正在讨论OPenFIoW2.0,其交换机抽象模型如下,
23、一个非常重要的增强是协议分析器部分,如黄色所示。协议分析处理是交换机对数据报文进行分析,在传统ASIC交换机或OPenFIoWLX交换机中,协议分析器只能解析出已知的协议,当出现一个新的协议时,假设说,IPv8报文,由于协议分析器无法理解,所以该报文将被丢弃。OPenFk)W2.0定义了一个可编程协议分析器,交换机将无法理解的报文上送给控制器,控制器进行分析,利用分析结果对协议分析器进行编程,这样后续的报文将能被交换机正确处理。PoF(PrOtoCoLObliVOUSFOrWarding)是华为公司对C)PenFlOW的种发展,其可编程协议分析思想被业界广泛接受,并有望被集成到将来发布的OPe
24、nFk)W2.0中。OpenFlow应用举例SmartTE,路径自动调优所有的交换机通过一个管理交换机和OPenFk)W控制器进行通信,四台OPenFk)W交换机组网,两台测试仪同时给对方发送数据。控制器对网络具有全局视图,当一条链路的负荷过重时,OpenFlow控制器将流量切换到负荷轻的链路上。 与传统IP网络无缝对接ASlOO传统网络向SDN过渡是一个长期过程,所以SDN网络和传统IP网络的互通是必须的。在上图中,OPenFIoW交换机与非OPenFloW路由器通过BGP、OSPFRSVP-TE对接,所有的协议处理部分由控制来完成。 可编程和定制化的网络SDN数据平面和控制平面的分离使企业能够更为简单的规模化地改变其网络,同时能够对其网络进行定制,以适应特定应用程序的需要。如在金融服务应用程序中,网络流量可以需要按照具体的应用标准,动态地重新分配。更多信息,敬请访问华为网站httD:enterr)或联系华为当地销售机构。
