Иначе говоря, обещанные новой технологией преимущества вполне можно получить без революционной замены всего имеющегося оборудования.

 

Прошло уже почти три года с момента публикации нами первого анализа ситуации в области SDN (см. статью «SDN: кому и зачем это надо?» в декабрьском номере «Журнала сетевых решений» за 2012 год). С тех пор отрасль так и не пришла к единому мнению относительно того, как переводить термин «software defined» на русский язык. Между тем на рынке появилось довольно большое число продуктов, вписывающихся в концепцию SDN, а заказчики всерьез стали изучать вопрос целесообразности развертывания SDN и постепенного перехода к программируемым сетям — именно так мы предлагаем именовать SDN.

Мы посчитали, что пора проанализировать конкретные решения SDN, дабы помочь заказчикам в их выборе. Как нам представляется, наилучший способ сделать это — сформулировать типовую (если, конечно, понятие «типовая» применимо к такой инновационной области, как SDN) задачу и попросить ведущих поставщиков предложить для нее решение. Далее даются краткое описание и анализ полученных решений, полностью они будут опубликованы на нашем веб-сайте.

Эффектной и одновременно эффективной возможностью многих решений SDN является визуализация трафика в физической и логических сетях, что позволяет  упростить эксплуатацию, ускорить обнаружение и устранение неисправностей, упростить мониторинг SLA
Эффектной и одновременно эффективной возможностью многих решений SDN является визуализация трафика в физической и логических сетях, что позволяет  упростить эксплуатацию, ускорить обнаружение и устранение неисправностей, упростить мониторинг SLA

 

Итак, вымышленный заказчик — крупная компания с территориально распределенной структурой. Один из сегментов своей сети передачи данных, которая построена на основе традиционной архитектуры, он решил перевести на технологию SDN. Заказчик рассчитывает, что внедрение SDN позволит ему автоматизировать ряд важных процедур, связанных с эксплуатацией сети. В их число входят управление списками контроля доступа, блокировка трафика определенных приложений, пользователей и их групп в соответствии с принятой политикой безопасности, а также настройка алгоритмов приоритизации и обеспечения качества обслуживания (QoS), конфигурирование новых сетевых устройств. (Более подробно — см. врезку «Задача».)

 

Задача

Заказчик — крупная компания с территориально распределенной структурой — использует сеть передачи данных, построенную на основе традиционной архитектуры. Один из ее сегментов решено перевести на технологию SDN. Этот сегмент относительно автономен. Используемое в нем сетевое оборудование морально устарело, поэтому планируется его полная замена.

Модернизируемый сегмент охватывает один крупный региональный офис (300 сетевых портов) и четыре филиала (по 50 портов) в каждом. Проложенная СКС обеспечивает каналы со скоростью 1 Гбит/c до рабочих мест (90% подключений) и 10 Гбит/c (10% подключений) до серверов и для передачи данных в ядре локальной сети. Связь между удаленными офисами осуществляется через Интернет по VPN, канал доступа каждого офиса к Интернету имеет пропускную способность 1 Гбит/c.

Заказчик просит предложить решение для построения указанного сегмента сети на основе технологии SDN.

1. Контроллер SDN. Контроллер должен представлять собой отказоустойчивую систему, предпочтительно с территориальным разделением резервирующих устройств. Желательно, чтобы на «южном» интерфейсе контроллера SDN использовался стандартный протокол OpenFlow (если поставщик рекомендует другой протокол, просьба обосновать).

2. Коммутаторы. Заказчик просит поставщика рассмотреть возможность использования в проекте коммутаторов без предустановленной ОС (так называемые Bare Metal Switch). Если этот вариант по мнению поставщика нежелателен, просьба объяснить причину.

3. Функциональность. Заказчик рассчитывает, что решения SDN позволят ему автоматизировать следующие процедуры:

• управление списками контроля доступа на сетевых устройствах;

• блокировка определенных приложений, пользователей и их групп в соответствии с заданными правилами безопасности;

• настройка алгоритмов приоритизации и обеспечения качества обслуживания (QoS) для существующих и новых приложений;

* Новые приложения классифицируются, им назначается класс обслуживания, затем политики QoS применяются ко всей сети, а не к отдельному устройству.

• настройка новых сетевых устройств.

* Контроллер самостоятельно обнаруживает вновь подключенное устройство (коммутатор) и конфигурирует его.

Пожалуйста, уточните, поддерживается ли необходимая функциональность в предлагаемом вами решении и какова специфика реализации перечисленных задач.

4. SDN-приложения и сетевые сервисы. Какие дополнительные SDN-приложения и сетевые сервисы предоставляет предложенное решение?

5. Преимущества. Какие еще преимущества может обеспечить предложенное вами решение SDN?

6. Интеграция с традиционной сетью. Каким образом возможна интеграция сегмента SDN с сегментами сети, построенными по традиционной архитектуре?

 

Заказчик получил семь решений (см. таблицу), и в целом все они отвечают его основным требованиям. Детали — ниже.

Основные элементы и особенности предложенных решений
Основные элементы и особенности предложенных решений

 

«СЕРДЦЕ» SDN

Главным элементом любого решения SDN, безусловно, является контроллер. С сетевой инфраструктурой контроллер взаимодействует через «южные» интерфейсы, основной из них — OpenFlow. Шесть из семи представленных контроллеров поддерживают указанный протокол. Исключение составляет только контроллер APIC-EM компании Cisco. На момент подготовки материала в качестве «южного» API на этом контроллере был доступен только Cisco CLI (соответственно, и работать он мог только с коммутаторами и маршрутизаторами Cisco). Однако уже в следующих версиях ПО APIC-EM запланирована поддержка оборудования других производителей или коммутаторов без предустановленной ОС (bare-metal switch) за счет использования OpenFlow и Cisco OnePK.

Общий подход Cisco состоит в разделении сети заказчика на логические домены (ЦОД, WAN, кампус, сервисная инфраструктура и т. д.) и использовании для каждого домена (или групп доменов) специализированного SDN-контроллера, наиболее эффективно решающего стандартные для выбранного домена задачи. Для обеспечения сквозного сервиса, требующего взаимодействия нескольких инфраструктурных доменов, Cisco поставляет решение по оркестрации (Network Service Orchestrator, NSO). Для поставленной задачи Cisco предложила контроллер APIC-EM (Application Policy Infrastructure Controller — Enterprise Module), специально разработанный для корпоративных кампусных и распределенных (WAN) сетей. Это идеологический и технологический наследник контроллера APIC, используемого в рамках архитектуры Cisco Application Centric Infrastructure (ACI) для управления инфраструктурой ЦОДа.

Контроллер APIC-EM реализует функциональность управления сетевыми элементами, оставляя все остальные задачи внешним системам управления и сторонним приложениям, взаимодействующим с APIC-EM через «северный» программный интерфейс REST.

В отличие от Cisco, компания NEC является ярым приверженцем стандартизованного подхода на основе OpenFlow. Представители NEC называют свой контроллер «лидером по соответствию стандартам OpenFlow и совместимости с коммутаторами других производителей», что ежегодно подтверждается большим числом тестов. На «северной» стороне контроллер NEC поддерживает JSON, XML и SOAP.

Само собой разумеющейся считают поддержку протокола OpenFlow и в компании Huawei. При этом Huawei создала расширение стандарта OpenFlow — технологию Protocol Oblivious Forwarding (POF), обратно совместимую с OpenFlow. Этот подход обеспечивает возможность использовать как OpenFlow, так и традиционные механизмы маршрутизации для передачи и управления трафиком. Таким образом, заказчик может осуществить плавный переход к SDN. Подобную миграцию предлагают и другие компании (см. ниже).

Для управления SDN-оборудованием контроллер HP VAN SDN Controller, помимо OpenFlow 1.0 и 1.3.1, также поддерживает SNMP и NetConf. На «северной» стороне он предоставляет открытые программные интерфейсы на Java и REST API для запуска приложений SDN и их интеграции с внешними системами (например, с системами управления и оркестрации). Кроме того, решение HP поддерживает динамическую загрузку и запуск приложений SDN непосредственно на самом контроллере за счет использования открытой архитектуры на базе OSGi.

Компании Brocade и Extreme Neworks предложили заказчику контроллеры на базе систем с открытым исходным кодом OpenDaylight. Как отмечают в компании Extreme Neworks, в своем решении One Controller они улучшили защиту и расширили функциональность платформы OpenDaylight. На «южном» интерфейсе используется стандартный протокол OpenFlow v.1.3. ПО OneFabric Control Center и OneFabric Connect обеспечивают API на «северном» интерфейсе для поддержки дополнительной, расширенной функциональности, в частности, с использованием компонентов управления сетью — Netsight, унифицированного доступа к сети — NAC, мониторинга работы приложений в сети — Purview.

Коммерческая версия контроллера OpenDayLight от компании Brocade — Brocade SDN Controller (BSC) — на «южной» стороне, помимо OpenFlow 1.0/1.3, поддерживает NETCONF, OVSDB, BGP-LS, PCEP. На «северном» интерфейсе BSC имеет веб-сервисный RESTful API, для работы с которым могут использоваться высокоуровневые языки программирования Python, Ruby, Perl.

Заказчик получил и решение на основе отечественного контроллера Runos, отличительными особенностями которого, по утверждению представителей ЦПИКС, являются высокая производительность (пропускная способность 8 млн событий в секунду, задержка на обработку одного запроса 30 мкс) и удобство разработки. Проект Runos находится в открытом доступе (http://arccn.github.io/runos/) на условиях лицензии Apache 2.0, что должно способствовать широкому распространению контроллера, его развитию и доработке сторонними разработчиками. В открытом доступе находятся ядро контроллера, базовый набор сервисов и приложений (определение топологии, построение маршрута, статистика и мониторинг, интерфейс REST, графический интерфейс). В коммерческой версии контроллер Runos обладает механизмами резервирования, масштабируемости и распределенного управления.

Важным моментом является резервирование контроллера. Не зря в своей задаче заказчик особо оговорил необходимость отказоустойчивой схемы. И все поставщики обеспечили ее — подробности ниже в разделах, посвященных конкретным решениям.

ВЫБОР КОММУТАТОРОВ

Несмотря на то что заказчик настойчиво интересовался возможностью использования в проекте коммутаторов без предустановленной ОС (так называемые bare metal switch или white box), большинство поставщиков предпочли традиционные сетевые устройства, но с поддержкой SDN.

Объясняя причину того, что Huawei не предлагает в своих решениях коммутаторы класса bare metal, Сергей Аксенов, менеджер по продукции этой компании, указал, что при внедрении SDN важно обеспечить преемственность архитектуры и сохранить работоспособность имеющихся приложений, а существующие сервисы и протоколы ориентированы на традиционные сетевые средства.

Представляя свои SDN-решения в целом, компания HP отметила возможность построения сетевой инфраструктуры с коммутаторами на базе открытой платформы (white box), но рекомендовала их использование в ЦОДах больших масштабов — от 200 ToR-коммутаторов или от 10 000 портов. Такие инфраструктуры можно реализовывать на базе коммутаторов HP серии Altoline. По мнению специалистов HP, они наиболее эффективны для ЦОДов, в которых в основном используются приложения Open Source, облачные платформы OpenStack/CloudStack, решения HPC на базе Hadoop, базы данных NoSQL (Cassandra/HBase) и т. п. Очевидно, что это не случай нашего заказчика.

Хотя большинство поставщиков рекомендовали заказчику свои же коммутаторы, две компании, Extreme Networks и NEC, не стали ограничивать его выбор, указав возможности установки коммутаторов других производителей — главное, чтобы они поддерживали стандарты OpenFlow.

В части выбора коммутаторов на фоне остальных выделяется предложение ЦПИКС. Специалисты этой компании рекомендовали дополнить свой контроллер Runos коммутаторами класса white box или коммутаторами, построенными на основе серверов x86. В первом случае на коммутаторы устанавливается система Open Networking Linux с разработанным в ЦПИКС агентом OpenFlow 1.3. Такие устройства поддерживают до 48 портов 1GbE, а также четыре порта 10GbE. Во втором случае используются традиционные серверы Intel с большим числом сетевых интерфейсов. Коммутация осуществляется специальным ПО за счет ресурсов центрального процессора. Такие коммутаторы способны поддерживать до 24 портов 1GbE и до 12 портов 10 GbE c суммарной гарантированной пропускной способностью 60 GbE на устройство.

Как отмечают специалисты ЦПИКС, важным отличием коммутаторов на базе серверов x86 от коммутаторов white box является полная поддержка возможностей протокола OpenFlow 1.3. В коммутаторах white box, как правило, используются стандартные наборы микросхем от Broadcom, которые на аппаратном уровне не поддерживают зачастую необходимую функциональность OpenFlow, например перезапись IP-адресов.

ПРИЛОЖЕНИЯ SDN

Одно из важных преимуществ SDN — возможность использования широкого набора приложений, реализующих различные сетевые сервисы и функции. Такие приложения создаются в том числе сторонними разработчиками и зачастую предоставляются заказчикам бесплатно.

Большинство компаний для продвижения решений SDN стремятся сформировать экосистему SDN, важной частью которой являются разработчики приложения. Отметим предлагаемый HP онлайн-магазин SDN-приложений HP SDN App Store (см. врезку «SDN-приложения из магазина»). Как утверждают в HP, пользователи могут буквально одним кликом мышки загружать SDN-приложения из магазина на контроллер, сразу же их запускать и использовать.

 

SDN-приложения из магазина

  • Hyperglance — приложение 3D-визуализации сетевой топологии. Оно позволяет производить мониторинг потоков трафика в режиме реального времени, а также гибко манипулировать ими (перенаправлять, фильтровать, оптимизировать утилизацию каналов и т. п.) из удобного графического интерфейса.
  • SDN Privatizer — бесплатное приложение, которое реализует функциональность Private VLAN в масштабах всей сети, что позволяет изолировать друг от друга разные группы пользователей, в том числе, подключенных к разным коммутаторам или даже располагающихся в разных сегментах сети.
  • BlueCat DNS Director — бесплатное приложение, которое перехватывает DNS-запрос пользователя и, какой бы IP-адрес сервера в нем ни был указан, заменяет его на заданный администратором адрес корпоративного DNS, тем самым обеспечивая дополнительный уровень безопасности ИТ-инфраструктуры.

 

В NEC также подчеркивают наличие широкого спектра SDN-приложений от компаний-партнеров. Эти приложения решают вопросы оптимизации сети (балансировка нагрузки, WAN-оптимизация), анализа ее производительности, фильтрации и управления правами доступа (DPI), безопасности (МСЭ, защита от DDoS и зловредного ПО), оптимизации трафика и т. д. Со списком интегрированных с SDN-контроллером NEC приложений P-Flow можно ознакомиться, зарегистрировавшись в экосистеме NEC SDN Partner Space. В рамках данной инициативы также осуществляются проверка на совместимость и тестирование коммутаторов OpenFlow других производителей, которые в дальнейшем могут использоваться в сетях SDN под управлением контроллера NEC.

Специалисты NEC обращают внимание на преимущества концепции сервисных цепочек (Service Chaining), когда различные необходимые пользователю функции могут выбираться и комбинироваться из общего пула для конкретной виртуальной сети VTN (см. рис. 1). Это могут быть классические для IP-сетей L2/L3 функции контроля доступа, приоритизации трафика, управления политиками QoS и т. д., а реализованы они могут быть как в виде отдельного SDN-приложения, так и на базе аппаратного компонента. Такой подход позволяет владельцу сети SDN создать набор VTN, архитектурно и функционально оптимизированных в соответствии с требованиями пользователей, а также динамически реагировать на штатные и нештатные ситуации. Например, система защиты от DDoS-атаки или устройство фильтрации трафика могут включаться в структуру сети и задействоваться только в случае обнаружения угрозы.

Рис. 1. Примеры сервисных цепочек —Service Chaining
Рис. 1. Примеры сервисных цепочек —Service Chaining

 

ОСОБЕННОСТИ ПРОЕКТОВ

ЦПИКС

Проект ЦПИКС, как уже говорилось, выделяется выбором коммутаторов (устройства white box или на основе серверов x86), в плане же архитектуры он более-менее типичен. В центральном офисе конечные пользователи подключаются к шести граничным коммутаторам, каждый из которых с целью резервирования подсоединяется к двум центральным коммутаторам 10G (см. рис. 2). На серверной фабрике функционируют необходимые заказчику сетевые сервисы, включая контроллер Runos. Последний запускается в двух экземплярах в режиме Active/Standby: в случае «падения» первого экземпляра управление передается на резервный контроллер.

Рис. 2. Структура сети центрального офиса (а) и филиала (б) в проекте ЦПИКС
Рис. 2. Структура сети центрального офиса (а) и филиала (б) в проекте ЦПИКС

 

В отличие от центрального офиса, в филиалах не требуется большого числа конечных портов, поэтому там достаточно двух коммутаторов. Вместо серверной фабрики развертывается один сервер виртуальных машин, на котором и будут работать требуемые сетевые сервисы.

Приложение SDEnterprise для контроллера Runos обеспечит необходимую функциональность, включая взаимодействие с сервисами VPN, МСЭ и DPI, с интернет-провайдером (BGP, MPLS), управление списками контроля доступа ACL и др.

В центральном офисе и филиалах работают свои экземпляры контроллеров SDN. В случае потери канала к центральному офису сеть филиала продолжит функционировать автономно.

Среди дополнительных возможностей, которые предоставляет решение ЦПИКС, — интеграция с контроллером Wi-Fi для бесшовного роуминга и возможность работы по протоколу dot1x для аутентификации пользователей без жесткой привязки к порту коммутатора. Последняя функция позволяет пользователям мигрировать между сетевыми устройствами (включая точки доступа Wi-Fi), при этом сеть будет автоматически подстраиваться под новое расположение пользователя.

BROCADE

Для решения задачи специалисты Brocade предложили использовать L3-коммутаторы семейства ICX 7000, программный маршрутизатор Brocade vRouter 5600 и контроллер Brocade SDN Controller (далее BSC). В крупном офисе предполагается развернуть двухуровневую сеть, в ядре которой установить пару высокопроизводительных коммутаторов ICX 7750 (они же могут использоваться для подключения серверов), связанных твинаксиальными кабелями на скорости nx40G. Уровень доступа реализуется на базе ICX 7250. Средства управления всей сетью (включая порты доступа) консолидированы на уровне ядра (архитектура SwitchPort Extender) — вся локальная сеть, по сути, представляет собой один коммутатор («распределенное шасси»). На границе сети устанавливается отказоустойчивая пара маршрутизаторов vRouter 5600, а в филиалах — vRouter 5600 и 48-портовый ICX 7250.

Среди преимуществ коммутаторов Brocade ICX с ОС FastIron (по сравнению с коммутаторами white box, а также устройствами ряда других производителей) специалисты Brocade назвали поддержку уже упомянутой архитектуры Switch Port Extender и гибридных портов — один и тот же порт можно использовать как для традиционной коммутации/маршрутизации, так и для передачи трафика в соответствии с определяемыми контроллером правилами. Коммутаторы можно объединить в стек посредством стандартных интерфейсов 1/10/40G Ethernet, причем такой стек может быть распределенным (до 10 км). Используемая в коммутаторах технология PoE+/PoH позволяет дистанционно (по локальной сети) подавать электропитание мощностью до 90 Вт.

На базе BSC можно построить отказоустойчивый кластер из трех территориально распределенных узлов. В качестве варианта возможно создание пула контроллеров, скрытых за одним виртуальным IP-адресом (VIP).

В качестве опции в проект может быть включен продукт Brocade Flow Optimizer, который совместно с BSC используется для интеллектуального управления потоками данных, выявления аномалий и защиты от различных атак. В графическом интерфейсе FlowOptimizer определяютcя профили трафика и применяемые к ним правила, заданные настройки автоматически трансформируются в правила OpenFlow и посредством контроллера в динамическом режиме передаются на сетевые устройства.

CISCO

Для коммутации в сетях центрального и удаленных офисов Cisco предложила коммутаторы серии 2960 с поддержкой PoE/UPoE или серий 3650/3850, включающие также функции контроллера беспроводного доступа. В центральном офисе следует предусмотреть от 8 до 20 коммутаторов (по 24 или 48 клиентских портов) — выбор, тип и количество устройств определяются топологией СКС, наличием ЦОДа и требований по поддержке беспроводной сети. В удаленных офисах предлагается установить два-три коммутатора указанных серий.

Связность центрального и удаленных офисов обеспечат маршрутизаторы серии ISR 4000. В центральном офисе предлагается установить отказоустойчивую пару маршрутизаторов Cisco ISR 4451, а в удаленных офисах (в зависимости от требований отказоустойчивости и возможностей каналов глобальной сети) — один или два маршрутизатора ISR 4431.

Для обеспечения отказоустойчивости Cisco рекомендовала разместить контроллер APIC-EM на нескольких виртуальных машинах, причем те, в свою очередь, должны выполняться на территориально разнесенных серверных платформах. Потребуются серверные платформы x86 с гипервизором VMware ESXi.

Для составления правил, управления жизненным циклом элементов и контроля изменений предлагается программный продукт Prime Infrastructure (PI). Для обеспечения идентификации и контроля прав доступа — Identity Service Engine (ISE).

Среди дополнительных возможностей, предоставляемых решением на базе APIC-EM, представители Cisco выделили автоматическое обнаружение и настройку новых сетевых устройств (для этого используются протоколы CDP/LLDP, а также функционал PnP-сервера со стороны APIC-EM и PnP-клиента со стороны коммутатора или маршрутизатора), взаимодействие с системами унифицированных коммуникаций (телефония, видео, конференции), автоматизированное обеспечение Call Admission Control (CAC), автоматизацию сетевой безопасности (при интеграции с внешними системами). Решение Cisco обеспечивает визуализацию топологии и сервисов, а также применение и визуализацию настроек QoS, ACL, индивидуальных правил для каждого клиента.

Cisco планирует поставлять APIC-EM бесплатно с набором встроенных сетевых приложений (за новые специализированные приложения будет, вероятно, взиматься дополнительная плата). Окончательно лицензионная политика Cisco в отношении APIC-EM станет ясна до конца 2015 года.

EXTREME NETWORKS

Предложенный Extreme Neworks SDN-контроллер One Controller, как уже говорилось, построен на базе платформы с открытым исходным кодом OpenDaylight. Компания не конкретизировала модели коммутаторов, рекомендовав лишь свои продукты семейств Summit и Black Diamond, которые используют сетевую ОС EXOS с поддержкой OpenFlow v.1.3. Кроме того, в предложенном решении возможно использование любых коммутаторов с поддержкой протокола OpenFlow v.1.0 и выше, что, естественно, расширяет «свободу маневра» заказчика.

Специалисты компании отмечают широкие возможности платформы SDN на базе контроллера OneController, в частности, поддержку открытого и стандартизованного механизма групповых политик, а также интеграцию OpenDaylight с платформой унифицированных коммуникаций Microsoft Skype for Business.

Помимо запрошенного заказчиком функционала, предложенное решение позволяет реализовать ряд дополнительных SDN-приложений и сервисов, включая автоматизацию создания виртуальных сетей, графический интерфейс управления трафиком, инжиниринг трафика для бизнес-приложений, работу систем безопасности на терабитных скоростях и др. Динамическому внедрению новых сервисов поможет возможность гибкого перенаправления трафика (выборочных потоков) на различные компоненты сетевой инфраструктуры, такие как система аналитики и мониторинга приложений Purview, Captive-порталы беспроводных сетей Wi-Fi, системы записи IP-телефонии. Кроме того, Extreme предлагает «SDN для Wireless»: полная поддержка концепции SDN и интеграции сторонних приложений с беспроводными сетями Wi-Fi от Extreme Networks — IdentiFi (в том числе приоритизация трафика VоIP, интеграция с решениями MDM, BYOD).

HP

Компания прислала самый подробный ответ, где была описана ее общая стратегия в части SDN, представлен весь портфель продуктов SDN и, конечно, детализировано решение конкретной задачи. Согласно предложению HP, ядро регионального офиса составят два модульных коммутатора HP 5406R zl2, которые обеспечат подключение коммутаторов доступа (по 10G), а также коммутаторов ЦОДа, граничных маршрутизаторов и опционального Wi-Fi-контроллера HP Aruba. Для уровня доступа — подключения конечных устройств (ПК, ноутбуков, телефонов, опциональных Wi-Fi-точек HP Aruba) — предназначаются семь 48-портовых коммутаторов HP 3800 с поддержкой PoE+, а для ЦОДа — подключения серверов и СХД (по 10GbE/FCoE/iSCSI или 4/8G FC) — два конвергентных коммутатора HP 5900CP (см. рис. 3).

Рис. 3. Структурная схема SDN-решения HP для заказчика
Рис. 3. Структурная схема SDN-решения HP для заказчика

 

Для филиалов специалисты HP проработали два варианта. Первый предусматривает установку стека из двух 48-портовых коммутаторов HP 2920, второй — двух модульных коммутаторов HP 5406R zl2. Во втором случае в коммутаторы устанавливается сервисный модуль HP Advanced Services v2 zl Module с системой виртуализации VMware vSphere, а локальный контроллер SDN в виде виртуальной машины с ПО HP VAN SDN Controller инсталлируется непосредственно на этот модуль.

Для формирования территориально распределенной сети предложено использовать маршрутизаторы HP MSR3044 (в региональном офисе) и HP MSR3012 (в филиалах). Они обеспечивают контроль доступа и фильтрацию трафика на границе сети с помощью встроенного межсетевого экрана. Для организации VPN-подключения рекомендована технология HP ADVPN.

Отказоустойчивый кластер SDN-контроллеров HP VAN SDN Controller в центре HP предложила реализовать на базе серверов HP ProLiant DL360/380 Gen9 — поверх ОС Linux (Ubuntu или RHEL) или на платформе виртуализации VMware. Можно использовать и сторонние серверы, однако в этом случае HP не может гарантировать заявленные характеристики производительности контроллера SDN, которые были протестированы на серверах HP ProLiant. Кластер контроллеров обеспечит резервное управление SDN-инфраструктурой филиалов в случае отказа локальных контроллеров в филиале.

В качестве основных HP предложила три SDN-приложения: HP Network Protector обеспечивает безопасность в локальной сети; HP Network Optimizer — управление QoS в ЛВС; HP Network Visualizer — мониторинг и диагностику ЛВС. Помимо перечисленных, можно использовать дополнительные приложения из HP SDN App Store (см. «SDN-приложения из магазина»).

HUAWEI

Ядром сети регионального офиса заказчика, по замыслу архитекторов Huawei, должен стать модульный коммутатор S7706 с установленными интерфейсными платами с портами 10 Гбит/с (для подключения серверов и коммутаторов доступа) и 1 Гбит/с (для подключения рабочих мест). Для уровня доступа предложены коммутаторы S5700-X-LI. Сети филиалов будут строиться на базе коммутаторов S5720-HI.

Важным программным компонентом решения является Super Virtual Fabric (SVF). SVF — это технология виртуализации сетевой инфраструктуры и унифицированного управления сетевыми элементами, пользователями и приложениями. Благодаря SVF сетевая инфраструктура будет представлена в виде единого виртуального коммутатора с централизованным управлением конфигурациями, QoS, правилами контроля доступа и аутентификацией пользователей (причем как для головного офиса, так и филиалов). Помимо проводной инфраструктуры, SVF позволяет виртуализировать и беспроводную сеть, при этом обработка трафика и аутентификация будут производиться в соответствии с общими правилами. Коммутатор S7706 выступает в качестве головного управляющего коммутатора SVF-Parent, а коммутаторы S5700-X-LI и S5720-HI — в качестве управляемых SVF-Client, поэтому для последних не требуются индивидуальные конфигурация и управление.

Для подключения к территориально распределенной сети, построения туннелей и шифрования трафика, обеспечения безопасности и предоставления голосовых сервисов в региональном офисе устанавливаются маршрутизаторы AR2240, а в филиалах — AR1220E. В ближайшее время, согласно концепции Agile Branch, маршрутизаторами удаленных офисов также станет возможно управлять с централизованного контроллера (изначально заявлена работа через контроллер Open Daylight, наряду с собственным), так что их не нужно будет конфигурировать отдельно.

Разрабатывая свой контроллер SDN, Huawei предусмотрела поддержку кластеризации и модульную структуру ПО для обеспечения отказоустойчивости и высокой доступности. Agile Controller имеет иерархическую структуру с несколькими компонентами (Management Center (MC), Service Manager (SM), Service Controller (SC)) плюс внешние базы данных. Каждый из компонентов может быть зарезервирован, а распределенный дизайн позволяет разместить часть компонентов непосредственно в филиалах.

Помимо обеспечения запрошенных заказчиком базовых функций, Huawei предложила ряд дополнительных возможностей. Так, благодаря функции Free Mobility пользователь получит единые политики безопасности, обслуживания и выделения ресурсов, а также сервисные политики, то есть обслуживание будет одинаковым вне зависимости от места, времени, типа терминала или порта доступа. А технология iPCA позволит обеспечить сквозной контроль качества на реальных потоках трафика и определить оптимальные пути передачи трафика.

NEC

Для построения SDN-сетей NEC предлагает платформу NEC ProgrammаbleFlow, включающую контроллер NEC PF6800 и линейку коммутаторов P-Flow. Отказоустойчивый контроллер PF6800 представляет собой ПО, исполняемое на кластере, который организован на базе двух отдельных физических серверов или виртуальных машинах (см. рис. 4). Как отмечают в NEC, ее платформа SDN интегрирована с открытыми платформами SDN/NFV, развиваемыми в рамках проектов OpenStack и OpenDayLight.

Рис. 4. Архитектура сети SDN на базе решения NEC ProgrammableFlow

Так как коммутаторы NEC P-Flow являются гибридными (обладают возможностью настройки портов для работы как в режиме IP, так и в режиме OpenFlow), сеть управления может быть совмещена с сетью управления OpenFlow и сконфигурирована с использованием части портов контроллера PFS, переключенных в режим IP. При этом сеть управления все равно использует выделенные физические каналы, что  позволяет значительно повысить безопасность и защищенность сети.

Рис. 4. Архитектура сети SDN на базе решения NEC ProgrammableFlow

 

Для построения сети SDN под управлением контроллера NEC PF6800 могут использоваться коммутаторы NEC или других производителей, соответствующие стандартам OpenFlow 1.0 и/или OpenFlow 1.3 (для построения коммерческих решений специалисты NEC рекомендуют коммутаторы с поддержкой OpenFlow 1.3). В линейку коммутаторов NEC P-Flow входят устройства серий PF52xx, PF53xx и PF54xx различной емкости и производительности. Кроме того, следует отметить, что NEC регулярно проводит тестирование своего контроллера на совместимость с коммутаторами других производителей.

Основой SDN-решения NEC является виртуализация сети VTN: в облаке коммутаторов OpenFlow создается множество независимых сетей L2/L3 IPv4/IPv6, работа которых поддерживается автоматически при изменениях в физической сети. Пользователь может создавать VTN, динамически изменять конфигурацию VTN в процессе эксплуатации и применять сетевые политики независимо от других VTN. При этом для создания своих VTN он может как воспользоваться пулом сетевых ресурсов, предлагаемых оператором сети SDN и уже интегрированных с контроллером SDN, так и задействовать свои уникальные физические устройства или виртуализованные (VNF) компоненты.

Среди преимуществ предложенной сети SDN специалисты NEC называют повышение производительности сети (стабильная работа обеспечивается даже при 100-процентной загрузке каналов), возможность перестройки физической сети без прерывания обслуживания в виртуальных сетях, повышение безопасности за счет полной изоляции виртуальных сетей другу от друга, увеличение надежности сети благодаря самовосстановлению и автоматическому перераспределению потоков трафика в соответствии с правилами. Эффектной и одновременно эффективной является визуализация трафика в физической и логических сетях, что позволяет упростить эксплуатацию, ускорить обнаружение и устранение неисправностей, упростить мониторинг SLA.

МИГРАЦИЯ (ГИБРИДНЫЕ СЕТИ)

Ни один поставщик не предлагает одним махом заменить традиционную сеть на инфраструктуру SDN. Все подготовили сценарии постепенной миграции и/или построения гибридный сетей.

Как отмечает Алексей Стребулаев, менеджер по маркетингу и развитию бизнеса «NEC Нева коммуникационные системы», внедрение SDN не требует полной замены существующей IP-инфраструктуры, а большинство преимуществ SDN становятся доступны при полной или даже частичной замене ядра сети либо уровня агрегации. Предложенное NEC решение SDN может интегрироваться с IP-сетями на уровнях L2 (MCLAG) и L3 (VRRP/HSRP). При этом один сегмент SDN может иметь несколько подключений уровня L2 и/или L3 к сетям IP, и для всех подключений может использоваться единый пул сетевых сервисов (МСЭ, балансировщик, DPI, Proxy и др.), что значительно упрощает задачи администрирования. Для интеграции нескольких сегментов SDN специалист NEC рекомендует организовать L2 VPN в существующих сетях передачи данных.

Как указано в ответе компании Huawei, «немедленный переход к SDN может привести к потере инвестиций, часть имеющихся функций может быть утрачена или существенно упрощена (например, функции балансировщика или оптимизатора трафика)». Поэтому ее коммутаторы Agile предоставляют возможность именно миграции на SDN, а не радикального перехода к этой технологии. Они способны параллельно поддерживать два режима работы: традиционная коммутация/маршрутизация и SDN (см. рис. 5).

Рис. 5. Коммутаторы Agile способны параллельно поддерживать два режима работы: традиционная коммутация/маршрутизация и SDN
Рис. 5. Коммутаторы Agile способны параллельно поддерживать два режима работы: традиционная коммутация/маршрутизация и SDN

 

Специалисты Huawei особо отмечают то, что в ее коммутаторах Agile используются сетевые процессоры собственной разработки (Ethernet Network Processor, ENP). Традиционные ASIC обрабатывают данные только предопределенных протоколов, а внедрение новых сервисов (например, с нестандартной инкапсуляцией) влечет аппаратные изменения (редизайн микросхем). В отличие от ASIC, процессоры ENP полностью программируемы, поэтому заказчики могут уже сейчас начать фрагментарно внедрять «готовые к SDN» устройства в существующую инфраструктуру и в дальнейшем, просто обновив прошивку, поддерживать будущие новые протоколы и сервисы.

По данным Cisco, в случае выбора ее решения интеграция с традиционной сетью осуществляется прозрачно и без применения каких-либо дополнительных технологий. Подключение к существующей сети рекомендуется производить через два опорных маршрутизатора Cisco ISR 4451, расположенных в центральном офисе. Несмотря на то что эти маршрутизаторы находятся под контролем APIC-EM, для взаимодействия с традиционной частью сети используются стандартные механизмы — протоколы канального уровня (в зависимости от типа линий связи) и протоколы коммутации/маршрутизации в соответствии с корпоративным стандартом.

В решении HP для реализации гибридной инфраструктуры SDN используется стандартная функциональность протокола OpenFlow, а именно инструкции NORMAL и FLOOD, которые позволяют после анализа трафика в таблицах OpenFlow на сетевом устройстве передать его для последующей обработки в традиционный сетевой стек протоколов, настроенных на этом же устройстве.

В целом, благодаря гибридной архитектуре, можно поэтапно внедрять решения SDN в существующих сетях, при этом данные решения будут тесно интегрироваться и взаимодействовать с оборудованием, не поддерживающим SDN и протокол OpenFlow. Это, в частности, позволяет использовать преимущества, которые предоставляют SDN-приложения, без необходимости полной замены всего оборудования в сети.

Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.