Программно-определяемые сети – сравнительно новая ИТ-технология. Первый коммерческий проект по построению программно-определяемой сети реализовала в 2007 г. компания Nicira – ее клиентами вскоре стали такие известные бренды, как NTT docomo, AT&T, EBay и Rackspace. Еще каких-то пару лет назад можно было натолкнуться на дискуссию «Нужны ли нам вообще SDN?». Но сегодня подобные вопросы остались в прошлом – пожалуй, ни у кого уже нет никаких сомнений в необходимости внедрения SDN. Вопрос лишь в том, где и при каких условиях подобные решения могут продемонстрировать максимальную эффективность.
В сети сейчас множество определений того, что такое программно-определяемая сеть (Software-Defined Networking – SDN). Первоначальное и наиболее точное определение SDN дал консорциум Open Networking Foundation (ONF), целью деятельности которого как раз и являются развитие программно-определяемых сетей, стандартизация протокола OpenFlow и сопутствующих технологий. Итак, SDN – это физическое разделение уровня управления и уровня передачи данных, при котором единый уровень управления работает с несколькими устройствами уровня передачи данных.
Чтобы понять настоящее определение, попробуем разобраться, что такое уровень управления и уровень инфраструктуры. Фактически любая сеть может быть представлена в виде трех уровней: приложения, управления и инфраструктуры (рис.1).
Рис. 1
Например, протоколы маршрутизации – это уровень приложения, а физические коммутаторы – уровень инфраструктуры. Операционная система, которая связывает эти два уровня и унифицирует формат обмена данных между ними, находится на уровне управления.
Традиционный подход
При традиционном подходе на каждом сетевом устройстве имеются все три уровня, и они работают независимо от других сетевых устройств. Например, если рассматривать сеть на базе протокола OSPF (Open Shortest Path First – протокол динамической маршрутизации), то одинаковая база LSDB (Locus-Specific Data Base) хранится на каждом коммутаторе одной зоны и каждое устройство запускает алгоритм Дейкстры независимо.
Такой подход приводит к увеличению затрат на организацию сети, поскольку приходится платить за программное обеспечение и набор лицензий для каждого отдельного устройства. Кроме того, возрастают затраты на настройку и обслуживание большого количества независимых устройств. В примере с OSPF приходится платить за лицензию OSPF, оперативную память для хранения базы OSPF LSDB и процессорную мощность для работы протокола Дейкстры каждого устройства. К тому же настройки, например тип OSPF Area, должны быть продублированы на все устройства сети.
Ситуация ухудшается, когда используется оборудование нескольких производителей с разными синтаксисами команд.
Идея SDN заключается в отделении уровня приложения и управления от самих передающих устройств, таких как коммутаторы (рис. 2). Это означает, что вся логика, связанная с определением потоков данных, выносится из сетевых устройств. Точкой управления является приложение, которое определяет, куда и как передавать трафик. Контроллер и приложения запускаются на x86-сервере и управляют всеми устройствами сети.
Рис. 2
Контроллер нужен для трансляции результатов работы приложений в язык правил потоков данных, который понимают устройства передачи данных. Такие правила передаются при помощи протокола OpenFlow.
Плюсы данного подхода:
- снижение стоимости устройств вследствие централизации управляющих потоками данных функций;
- ускорение развертывания новых ИТ-сервисов;
- сокращение затрат на обслуживание за счет централизованного управления и автоматизации;
- расширение сетевых функциональных возможностей.
Протокол OpenFlow
Стандарт OpenFlow используется для управления потоками данных на сетевых устройствах. Это управление заменяет или дополняет работающую на коммутаторе (маршрутизаторе) встроенную программу, осуществляющую построение карты потоков данных (рис. 3).
Рис. 3
Когда устройство передает все управление потоками данных на сторону контроллера/приложения, оно называется чистым openflow-устройством (OpenFlow-only).
Многие производители сетевого оборудования, например HPE, применяют другой подход: устройство может отдать контроллеру часть управления потоками данных, а часть логики оставить себе. В этом случае устройство называется гибридным (hybrid). Такой подход позволяет дополнять функциональные возможности сетевого устройства централизованными функциями. Например, на коммутаторе можно перехватывать только DNS-пакеты от рабочих станций и направлять их через контроллер на централизованную IDS (Intrusion Detection System – система обнаружения вторжений), которая, в свою очередь, проверяет пакеты на наличие вредоносных запросов. При этом весь остальной сетевой трафик пересылается стандартными средствами коммутатора, не прибегая к отправке на IDS. Если на рабочей станции содержится вредоносное ПО, она помещается в карантинную сеть.
Будущее OpenFlow
Даже при OpenFlow-only-подходе не вся логика переходит в контроллер и приложение. Устройство должно транслировать OpenFlow-команды и правила потоков данных на аппаратный уровень, который у каждого коммутатора может быть свой. Кроме того, для подключения OpenFlow-only-устройства к контроллеру необходима IP-связанность, которая должна быть настроена заранее, как и данные для управления и мониторинга самого устройства. Названные функциональные возможности находятся уже за пределами текущей версии OpenFlow и реализуются сторонними протоколами, такими как netconf и Yang. На сегодняшний день последняя версия протокола – OpenFlow 1.5.1 (она вышла 26 марта 2015 г.).
Сейчас консорциум Open Networking Foundation (ONF) сосредоточился на разработке нового проекта, который во многом связан с желанием Google создать программируемые коммутаторы без операционной системы (так называемые WhiteBox), которые были бы легко взаимозаменяемы. Проект под рабочим названием Stratum с открытым исходным кодом должен создать эталонную платформу для действительно программно-определяемой плоскости данных (SDN). Его цель – вывести на рынок WhiteBox-коммутаторы и открытую операционную систему, что в отличие от гибридного подхода снижает стоимость сети.
«Главным драйвером этого проекта был Google, – сказал Тимон Слоун, вице-президент по маркетингу в ONF. – Он управляет самой большой сетью SDN в мире и поддерживает четверть мирового трафика. Но не так просто подобрать новую сетевую коробку для поставщика: необходимо сделать множество проверок и настроек, чтобы это заработало».
Помимо Google к проекту Stratum присоединяется еще один облачный провайдер – Tencent. Другими членами-учредителями Stratum являются:
- телекоммуникационные компании – China Unicom, NTT, Turk Telekom;
- сетевые производители – Big Switch Networks, Juniper, VMware;
- производители WhiteBox – Delta, Edgecore Networks, QCT;
- производители микросхем – Barefoot, Broadcom, Cavium, Mellanox, Xilinx.
В деятельность Stratum также вовлечены Open Source-проекты, в частности CORD (Central Office Re-architected as a Datacenter), OVS (Open vSwitch) и ONOS (Open Networking Operating System).
Предполагается, что в результате работы проекта протокол OpenFlow эволюционирует и устранит недостатки, связанные с невозможностью конфигурирования сетевых устройств.
Состояние рынка коробочных SDN-решений
Основная масса участников проекта Stratum являются либо гигантами провайдерского рынка, либо поставщиками оборудования для этих провайдеров.
Сетевые производители оборудования для предприятий пошли другим путем. Сейчас большинство производителей сетевого оборудования, например Cisco, подразумевают под SDN автоматизацию и централизованное управление.
Ни для кого не секрет, что аппаратная стоимость коммутатора сегодня определяется ценой ASIC-микросхем. Производителей сетевых микросхем мало, большую долю рынка занимает Broadcom. Если бы вся индустрия пошла по пути WhiteBox-коммутаторов, то все основные сетевые игроки просто потеряли бы часть прибыли и конкурировали между собой в ценах. Понятно, что такой сценарий не устраивает крупных сетевых производителей, конкурирующих за счет уникальных программных преимуществ.
Вторым важным фактором, тормозящим развитие нативного SDN, является то, что большинство контроллеров на базе OpenFlow требуют доработки под конкретные нужды покупателя и не являются коробочным продуктом, что затрудняет их внедрение.
Области применения коробочных SDN:
- сети ЦОД;
- кампусные сети;
- сети для WAN (SD-WAN).
SDN для ЦОД
Это самая первая ветка развития SDN. Лидерами в этой отрасли являются продукты Cisco ACI и VMware NSX.
В основе решения Cisco ACI – кластер контроллеров APIC, управляющий сетевыми устройствами, и коммутаторы линейки Nexus 9000. Подключиться напрямую к отдельному сетевому коммутатору все еще возможно, но настройки доступны только через APIC. При этом контроллер является лишь точкой управления и преобразования политик администратора в конкретные номера VXLAN, VRF и VLAN. Сами сетевые приложения, такие как протоколы маршрутизации ISIS и BGP, по-прежнему работают на сетевых устройствах, хотя их настройки скрыты логикой контроллера.
Интеграцию с Cisco ACI поддерживают A10, Avi networks, Citrix, Check Point, F5, Fortinet, Microsoft, Radware и ряд других компаний. Одной из ключевых особенностей решения является то, что Cisco ACI интегрируется с большинством типов гипервизоров, позволяя централизованно управлять всей сетью ЦОД.
Другой продукт для создания программно-определяемых сетей для ЦОД – VMware NSX, часть концепции программно-определяемого ЦОД (Software-Defined Datacenter). В настоящий момент VMware NSX представлен на рынке двумя продуктами – VMware NSX-T и VMware NSX-V.
VMware NSX-T предлагает управление сетью и безопасностью для инфраструктуры на базе, отличной от VMware vSphere, например на основе KVM и сред OpenStack. Кроме того, VMware NSX-T поддерживает Bare-Metal сервера на базе RHEL, CentOS и Ubuntu за счет интеграции с Open vSwitch.
VMware NSX-V предлагает управление сетью и безопасностью для сред на базе VMware vSphere. Отметим основные преимущества продукта:
- тесная интеграция с гипервизором VMware ESXi за счет установки в него дополнительных VIB-пакетов;
- независимость от нижележащего слоя инфраструктуры сети – необходима лишь IP-связанность между узлами;
- большое количество встроенных сетевых сервисов: распределенный коммутатор, маршрутизатор, межсетевой экран с возможностью микросегментации, L2VPN, SSL VPN и т. д.
SDN для кампусных сетей
В настоящий момент лидер этого рынка – продукт Cisco Software-Defined Access (SDA), который входит в архитектуру Cisco Digital Network Architecture (DNA) (рис. 4). Основным компонентом Cisco SDA является Cisco DNA Center, обеспечивающий единую панель управления сетью. Кроме возможности управления решение Cisco SDA направлено на аналитику происходящего в сети и обеспечение ее безопасности. Для этого в состав решения включены Cisco Identity Services Engine (ISE) и Network Data Platform (NDP).
Рис. 4
Сеть на основе SDA функционирует как единая программируемая сетевая фабрика, которая помимо стандартных требований, предъявляемых к LAN, обеспечивает эффективную микро- и макросегментацию на основе фактических ролей пользователей и приложений, а не IP-адресов, и централизованно определяемой политики, а не распределенных списков доступа IP.
SDN для сетей WAN
SD-WAN позиционируется как замена традиционного подхода для организации распределенных сетей и позволяет:
- снизить стоимость конечных сетевых устройств за счет разделения уровня передачи данных и уровня управления;
- уменьшить стоимость эксплуатации сети (центральная точка управления, автоматизация настройки и изменений, применение централизованных политик и шаблонов оборудования);
- ускорить подключение новых филиалов благодаря возможности автоматического развертывания нового сайта;
- повысить качество работы бизнес-приложений (балансировка приложений по каналам на основе Deep Packet Inspection).
В указанном сегменте рынка лидируют два игрока – Cisco и VMware. В 2017 г. Cisco приобрела компанию-стартап Viptela, специализирующуюся на решениях SD-WAN, и создала продукт Cisco SD-WAN.
Отличительные характеристики решения Cisco SD-WAN:
- поддержка multitenancy на уровне заказчика;
- использование частного протокол OMP (Overlay Multicast Protocol);
- разделение уровня управления и уровня передачи данных;
- расширенный QoS, SLA и динамическая маршрутизация на их основе;
- балансировка приложений между каналами на основе DPI;
- расширенные функции безопасности (IPS, URL filtering);
- поддержка автоматического развертывания нового сайта.
В свою очередь, VMware в 2018 г. приобрела компанию VeloCloud, специализирующуюся на SD-WAN. Используя ее разработки, она вывела на рынок продукт VMware SD-WAN, основными характеристиками которого являются:
- поддержка многоуровневой multitenancy (операторы – партнеры – заказчики);
- использование частного протокола DMPO (Dynamic Multi-Path Optimization);
- динамическое перенаправление без разрыва сессий, балансировка одной сессии между каналами;
- автоматическое улучшение качества даже для одного канала;
- балансировка приложений между каналами на основе DPI;
- поддержка автоматического развертывания нового сайта.
Будущее SDN
В настоящее время SDN активно развивается. Это касается как нативного подхода, так и коробочных решений от сетевых производителей, хотя разрыв по области применения между ними становится все больше. Многие компании сегодня переходят к моделям предоставления ИТ-услуг PaaS и SaaS, что требует автоматизации работы с сетями ЦОД. Это с легкостью реализуется путем использования существующих коробочных решений. Вторым по востребованности направлением является SD-WAN, что сегодня активно используется в западных компаниях. На российском рынке также наблюдается увеличение интереса к этому направлению. В любом случае ожидаемая коммерческая выгода от внедрения SDN должна просчитываться заранее, иначе это будет SDN ради красивого названия.
