新知

    作者：

    4月10日至15日，第30屆IEEE計算機通信國際大會 （INFOCOM 2011）在上海國際會議中心隆重舉行。本次會議吸引了國內外1000多名計算機和通信領域的專家、學者和企業的科研人員到場，重點圍繞雲計算、網絡安全、數據中心網絡、移動互聯網、物聯網等一係列研究領域的前沿問題進行了深入的探討。在備受關注的現場展示環節中（Live Demo），來自清華大學信息技術研究院網絡安全實驗室的師生們展示了基於OpenFlow的網絡安全管理係統LiveSec，引起了與會者的普遍關注。該係統的成功運行，是國內通信領域的研發團隊對前沿技術跟蹤、創新工作的完美詮釋，在科研成果轉化為可用產品的道路上占據了先機。

    OpenFlow揚帆起航

    OpenFlow技術最早由斯坦福大學提出，旨在基於現有TCP/IP技術條件，以創新的網絡互聯理念解決當前網絡麵對新業務產生的種種瓶頸，已被享有聲望的《麻省理工科技評論》雜誌評為十大未來技術。它的核心思想很簡單，就是將原本完全由交換機/路由器控製的數據包轉發過程，轉化為由OpenFlow交換機（OpenFlow Switch）和控製服務器（Controller）分別完成的獨立過程。轉變背後進行的實際上是控製權的更迭：傳統網絡中數據包的流向是人為指定的，雖然交換機、路由器擁有控製權，卻沒有數據流的概念，隻進行數據包級別的交換；而在OpenFlow網絡中，統一的控製服務器取代的路由，決定了所有數據包在網絡中傳輸路徑。OpenFlow交換機會在本地維護一個與轉發表不同的流表（Flow Table），如果要轉發的數據包在流表中有對應項，則直接進行快速轉發；若流表中沒有此項，數據包就會被發送到控製服務器進行傳輸路徑的確認，再根據下發結果進行轉發。

    OpenFlow網絡的這個處理流程，有點類似於狀態檢測防火牆中的快速路徑與慢速路徑的處理，隻不過轉發與控製層麵在物理上完全分離。這也意味著，OpenFlow網絡中的設備能夠分布部署、集中管控，使網絡變為軟件可定義的形態。在OpenFlow網絡中部署一種新的路由協議或安全算法，往往僅需要在控製服務器上撰寫數百行代碼。加州大學伯克利分校的Scott Shenker教授對此有著很到位的評價：“OpenFlow並不能讓你做以前在網絡上不能做的事情，但它提供了一個可編程的接口，讓你決定如何路由數據包、如何實現負載均衡以及如何進行訪問控製。因此，它的這種通用性確實會促進發展。”

    在得到學術界的普遍認可後，工業界也開始對這項新技術表示出濃厚的興趣。OpenFlow已經在美國斯坦福大學、Internet2、日本的JGN2plus等多個科研機構中得到部署，網絡設備生產商思科、惠普、Juniper、NEC等巨頭也紛紛推出了支持OpenFlow的有線和無線交換設備，而穀歌、思傑等網絡應用和業務廠商則已將OpenFlow技術用於其不同的產品中。就在半個月前，以OpenFlow為產品核心設計理念的初創企業Big Switch Networks成功完成了總額1375萬美元的第一輪融資，標誌著資本市場對這項新技術及其發展前景的充分認可。目前，OpenFlow的推廣組織開放網絡基金會（Open Networking Foundation）的成員基本涵蓋了所有網絡及互聯網領域的巨頭。

    好用才是硬道理

    使用新技術的代價往往十分高昂，好在OpenFlow具有足夠的開放性，給在傳統網絡中的融合實現帶來可能。清華大學信息技術研究院網絡安全實驗室在本屆INFOCOM大會上現場展示的部署在清華大學信息樓內的LiveSec網絡安全係統，就是一個非常好的範本。該係統在傳統的以太網之上，通過無線接入技術和虛擬化技術引入了基於OpenFlow協議的控製層（見圖1），顯著降低了構建成本。

    LiveSec網絡安全係統包含三層架構：

    以太網交換層： LiveSec基於傳統的以太網絡進行物理交換，所有的執行OpenFlow協議的接入設備通過傳統以太網互聯。

    OpenFlow控製層： LiveSec使用支持OpenFlow協議的虛擬交換機（Open vSwitch）和無線路由器構成接入網絡層。OpenFlow控製層構成LiveSec的邏輯拓撲，並由LiveSec控製器進行集中控製。

    網絡用戶和服務節點： 網絡用戶通過無線路由器接入，服務節點通過虛擬交換機接入。所有接入流量在接入層受到LiveSec控製器的全局策略控製。