領導：「請在今晚進行網路系統升級」

「請在今晚進行網路系統升級」

臨近下班，

林工收到了信息部主任的微信

隨手轉給了老婆並附上：

「晚上不用等我回家吃飯了」

5秒後，林工的妻子回了信息——

多年的婚姻已讓兩人配合得十分默契，以前的林工還要解釋為什麼加班要這麼長時間，生怕妻子胡思亂想，現在打個招呼就可以了。

「一遍遍地和她解釋其實也挺好，」林工的心裡有些懷念從前，「現在的日子越過越平淡了，真希望哪天不加班給她一個大驚喜

。」

然而時間不容他多想，網路升級的一道道步驟已經浮現在他眼前。流量分離-斷網-上設備-鏈路測試-流量測試-系統健康檢查-試運行，每個步驟都會花費大量時間，如果出現故障，所有人都會非常緊張，要不要進行系統回滾。

作為區政務信息中心工程師，林工多年來任勞任怨，信息中心的規模在他的手下逐步擴大。為了保障網路鏈路安全，避免外部入侵，出口區串聯了大量的安全設備，包括防火牆、IPD、IDS、負載均衡等設備。這樣的部署方式，在安全上有比較大的保障，但也造成了構架與管理的複雜。一旦出現問題，就需要大量時間進行排查，不僅耗費了時間，也對網路速率也會造成影響。

市場上解決方案如此之多，難道就沒有一套能解決加班的解決方案嗎？

當然有！戴爾易安信軟體定義網路解決方案讓數據中心網路更簡單！

1

SDN解決方案

多！快！好！省！

現代數據中心內，虛擬化、雲計算和大數據等新興應用有著廣泛應用，客戶機/伺服器計算模式向雲計算模式的轉變，使得數據中心內部（東西流量）和外部（南北流量）的流量模型以及跨數據中心的流量模型發生了巨大的變化。

SDN（軟體定義網路）是一個新興的網路體系架構，在這種體系架構中網路的控制平面與數據（轉發）平面分離，並且控制平面可編程化。之前網路設備的控制平面和與個體網路設備緊耦合，將控制平面遷移到可訪問的計算設備上，使得網路平台可為應用系統和網路服務被邏輯抽象出來，形成一個邏輯或者虛擬的實體。為了改善這一狀況，擬採用新型的SDN（軟體定義網路）技術來部署數據中心出口區域網路，將安全設備的連接方式由傳統的串聯方式改造為旁入方式。

我們看到在虛擬化的基礎架構中，SDN架構和傳統網路架構的各項對比如下:

通過軟體定義網路能夠像伺服器系統的軟硬體解耦合和虛擬化一樣帶來如下的好處：

• 可編程性、自動化、業務的彈性和敏捷性
• 開放簡單
• 網路即服務
• 降低總體擁有成本

2

BMF雙工模式

網路運維360°無死角

BigSwitch產品的體系架構是典型的控制器+開放式網路交換機，其方案分為兩套：Big Cloud Fabric（BCF）和Big Monitoring Fabric（BMF）。BCF用於網路自動化，BMF用於DMZ與網路可視化。

BMF是BigSwitch SDN網路安全組網架構的解決方案。BMF有Out-of-band和Inline兩種工作模式。Out-of-band模式，實現了生產網路流量的全面可見性，BMF可篩選流量，選擇性地將流量推送給多個流量監控工具（安全監控，性能監控等）。

如下圖：中藍色部分為BCF，BCF左側的為Inline BMF，實現數據中心入口處的流量安全，BCF右側為Out-of-Band BMF，實現BCF（或者其它生產網路）的流量可視化。

BMF Inline主要面向的場景是在DMZ區域部署服務鏈，以實現數據中心入口處的流量策略。與Out-of-Band需要額外TAP/SPAN把流量引到帶外不同，Inline直接將開放式網路交換機串在外網和數據中心入口設備之間，通過BMF Controller識別某些流量並執行服務鏈的引流，當然也可以把這台開放式網路交換機也把流量SPAN到BMF Out-of-Band上去，進行更進一步的分析與審計。

3

BMF Inline

和加班揮手告別

BMF動態服務鏈是將用戶DC出口的網路功能設備加入服務鏈。可靈活增加／減少鏈條上的功能設備，調整流量的流經順序，按需篩選流量推送到鏈條的功能設備上。同時可輕鬆解決傳統網路數據中心出口Active-Standby，實現Active-Active架構。如上圖所示，傳統的數據中心鏈路從外網的非信任區域到內網的信任區域，一般會經過防火牆，IPS，Web Proxy等設備，這些設備昂貴，配置複雜，而且設備串聯在一條數據鏈路上，單點故障就會造成數據鏈路中斷。

>>>>

如果要向現有網路中割接一台網路設備(防火牆，IPS或Web Proxy等)，一般情況下，會花費幾個小時的時間。割接工作一般是在晚上或凌晨業務非繁忙時間，如果割接不成功，需要回退，準備再一次的割接。如果採用BMF動態服務鏈，那麼防火牆，IPS或WebProxy等網路設備是旁路部署在BMF控制器上，任何一台網路設備的故障不會造成數據鏈路的中斷；同時配置工作在BMF控制器上完成，不影響原有網路設備和數據鏈路的正常工作，然後按計劃推送配置和網路策略給這些網路設備，整個割接工作只需要幾分鐘。

由於配置、自動化以及大部分故障排除工作均通過控制器完成，因此在配置新物理容量或新邏輯應用程序的過程中所用的管理控制台數量大幅減少。得益於此，可以節省大量的時間、降低錯誤率並簡化自動化設計。

在規劃和部署網路設備時，我們常遇到從入口的防火牆，到IPS， Web Proxy等設備，需要採用同樣帶寬和類型的網路埠，比如都是千兆或萬兆，才能互聯互通。如果採用BMF動態服務鏈，情況就不一樣了，這些網路設備即使網路埠帶寬和類型不一樣，也能通過在BMF控制器上面配置使設備間互聯互通。

不僅如此，在防火牆，IPS和Web Proxy都是HA成對配置的情況下，BMF控制器能打通從untrusted到trusted區域，讓前端網路設備到後端網路設備建立起跨設備的Port Channel，這樣的好處是HA成對配置的防火牆，IPS和Web Proxy設備實現了鏈路的負載均衡，充分利用了鏈路帶寬，提升網路質量的同時，節省了成本。

>>>>

那麼BMF控制器這麼重要，它要是宕機！後果會很嚴重？其實不然。BMF控制器即使停止工作，數據鏈路上的這些設備也會按照BMF控制器停止工作前推送的配置和網路策略繼續正常工作。當BMF控制器恢復正常後，又可以配置和推送新的網路策略。當然，想要讓BMF成對配置也是完全沒有問題的。且BMF控制器不佔用生產IP地址，僅使用網管IP，在安全上非常有保障。

4

BMF Out-of-Band

解決運維難題

上圖是BMF Out-of-Band模式，實現生產網路流量的全面可見性，BMF可篩選流量，選擇性地將流量推送給多個流量監控工具（安全監控，性能監控等）。 一些OpenFlow白盒組成一個Monitoring Fabric，兩側分別連接生產網路和第三方的網路可視化軟體，BMFController通過OpenFlow對生產網路產生的Tap/SPAN流量部署一些策略，如過濾、聚合、分流等等，然後再有針對性地轉發給網路可視化軟體，以提高網路可視化軟體的處理效率。

實際上，這些功能傳統的NPB（Network Packet Broker）就可以實現，不過傳統NPB都是一些專用的Chassis，這些Chassis雖然功能和性能強大，但是價格昂貴而且可擴展性較差。BMF Out-of-Band的思路就是通過OpenFlow Fabric來替換掉Chassis，通過Controller的靈活控制來實現類似的NPB功能，優點是可以降低成本、提高可擴展性。

BMF Out-of-Band實際上就是通過OpenFlow來Match特定的流量，然後通過Drop、Output、Group等Action在不同的interface間執行過濾、引流、聚合等策略。當前，前提是首先在BMF Controller上實現定義好交換機埠的角色，以及Fabric的拓撲。

除了部署監控策略以外，BMF Controller本身也提供了一些數據的可視化，比如主機追蹤，子網追蹤，TAP分析，sFlow數據採集，SNMP監測等。同時也支持引流到第三方專業網路可視化視化軟體。

5

Dell EMC開放網路架構

加速SDN落地

戴爾易安信的開放網路（Open Networking）戰略，從底層的通用商用晶元，到基於開放標準的硬體和支持採用任意一種網路操作系統，可選的SDN/NVO控制器，配以標準業務流程和自動化工具，組成了完整的SDN開放網路。

目前，戴爾易安信已在支持開放網路的數據中心交換機（以ON結尾命名的交換機），現擁有完整1GbE到100GbE開放式網路交換機產品線，開發並廣泛應用SDN，構建一個開放網路時代的全新架構。

? 結語

軟體定義網路（SDN）是已經成熟的網路新技術。我們通過數據中心的SDN方案實現數據中心的快速部署，敏捷運維，規模擴展。我們通過SDN方案實現了數據中心出口的安全服務鏈整合，化解了傳統解決方案的限制，實現了以SDN為中心運營帶來的簡便性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！