《新科學家》/文 2001年7月18日,一列貨運列車在通過巴爾的摩市中心霍華德大街的地下隧道時出軌,導致2萬升鹽酸泄露,引起了火災.這次火災破壞了美國8大互聯網供 應商名下的光纜.隨后,美國互聯網關鍵設施的運營商Verizon通訊公司與其兩座運營大樓之間的連接中斷,與其他幾家運營商的網絡之間的連接也告癱瘓. 在此后的很多個小時里,美國全國的互聯網通訊慢得像蝸牛一樣.一名維修承包商告訴記者,"那條隧道就好像是光纜世界中的I-95高速公路(美國東海岸主要 的高速公路)一樣,是一個終生難遇的弱點."

可是,八年來互聯網領域發生的林林總總反復證明,互聯網比人們想象的要脆弱得多.在全世界幾十個或幾百個地方,這個網絡的脆弱都顯而易見,看起來它就像是命懸一線.

今天,這樣嚴重的故障能夠造成的破壞要比2001年的時候大得多.互聯網的基礎設施大多已經有數十年的歷史了,亟需升級換代.不過,很明顯,我們不能毀掉整個網絡,從頭另來,建設一個全新的網絡.政府和電信公司都不可能為了應對臨時出現的問題而付出鋪設額外的連接所需要的巨額成本.既然如此,我們怎樣才能保證網絡的自我恢復能力呢?

斯坦福大學的計算機科學家麥考恩(Nick McKeown)認為他找到了解決問題的方法.他相信,要建設一個更好的網絡,關鍵在于一個平淡無奇的黑盒子--路由器.

路由器是互聯網流量的控制器.數百萬個路由器在發揮著作用,連接起組成互聯網的成千上萬個網絡.它們可以為網絡服務商引導巨大的訪問流量,也可以僅僅提供少數計算機之間的連接.它們根據數據包檢查訪問者的地址,引導他們到達正確的訪問目的地,并且規定他們可以沿著怎樣的物理路徑到達那里.當連接中斷時,它們在幫助數據改道繞過斷點上起到了至關重要的作用.

但是眼下,路由器還不是解決問題的方法,它還是問題的組成部分.一方面,發現一條繞過阻塞的的路徑可能要花上不少時間.在這段時間里,網絡傳輸擁擠造成網絡堵塞嚴重,很多數據直接就被丟棄了.

雖然這些問題的解決方案有很多,但是我們沒有辦法對這些方案進行測試.路由器軟件的任何更新都應該首先在一個大型網絡上進行完全的測試.這個大型網絡必須有著與互聯網同等程度的復雜性,同時又獨立于互聯網之外.目前還沒有這樣的大型網絡.

即使你能夠對這些方法進行測試,麥考恩說,你也很難把新的路由器軟件安裝到計算機上.因為每一個路由器大都已經由路由器制造商們按照10到15年以前制定的國際標準進行了預編程.它們都有專用的電路和按固定模式操作的控制數據包路由方式的軟件,幾乎不能夠做任何改變.

現在,麥考恩正與他在斯坦福的同事Guru Parulkar一起,研發能夠一舉解決所有這些問題的方法.他們試圖開發出一個系統,這個系統可以在非工作狀態下改變控制路由器的軟件,同時提供為安全地進行測試提供一個理想的環境.

他們的這個系統被命名為OpenFlow,已經在斯坦福大學的校園網上運行了,第一個商業產品將在今年上市.OpenFlow并不能像麥考恩所希望的那樣解決或避免光纜的瓶頸問題,但是它將能夠讓互聯網適應不斷變化的負載,根據網絡流量高峰的變化動態地調整路徑,給每一位上網瀏覽者帶來更流暢的感受,而不受地震、恐怖襲擊還是光纜損毀的影響."我們正在嘗試讓網絡能夠不斷改進和提高."麥考恩說.

由于測試和更新軟件的過程中存在的問題,技術改進只能以極度緩慢的速度進行.西雅圖華盛頓大學的湯姆·安德遜(Tom Anderson)說,任何改動都必須非常小心."你必須確保你所做的事情不會帶來新的問題."

OpenFlow是一切的關鍵.在制造商的合作下,一個小型的OpenFlow 程序可以添加到幾乎所有的路由器中,并在其中像一個遙控器一樣控制著運算法和硬件的運作.通過為路由器的路由表,也就是指定處理流量的具體規則,創建一個界面,允許某一個程序控制路由器定向訪問的方式,做出新的路由決定并且執行這個決定.

結果, OpenFlow賦予軟件工程師和開發人員為數據包創建路徑的能力.他們先在普通電腦上編寫運算法則,然后通過安全的連接把運算法則傳輸給路由器.通過控制流量表,OpenFlow將一個網絡分割成為任意數量的,相互獨立的部分.這樣,研究人員就可以在上面測試或者完善他們的想法了.有了這樣一個可以用作實驗的"多元的"虛擬網絡,開啟互聯網的進化之路終于成為可能.

為了加快這個進程,麥考恩和他的團隊決定將他們的系統作為開源軟件,即他們軟件的用戶可以自由發布這個軟件.這無疑將鼓勵新思想的出現,有助于這些新思想更快速地進入應用.他說."你將會從分享和建造的優勢中受益,推動改革創新的速度",麥考恩說."這在網絡中從未出現過."

在斯坦福大學的校園網絡上的OpenFlow已經為互聯網提供了測試的環境,其研發小組還計劃在不久的將來在另外六所美國大學的網絡上安裝這個系統.他們的目標是允許學生在虛擬網絡上實驗和嘗試新的想法.在已經有一些制造商合作的情況下,研發小組希望能在年內看到與OpenFlow兼容的商用路由器、互聯網切換器和無線AP(無線接入點或網絡橋接器)上市.

---

 

這個想法深深打動了GENI的項目主任艾略特(Chip Elliott),他現在已經是OpenFlow的主要資助者了.他說,將網絡開放來進行試驗和創新,這實在是一種非常好的方式.其他的選擇執行起來都要更加昂貴,更費時日."我真正贊賞的是他們把這一切完全建立在快速的、經濟和商用硬件上."

然而,這個項目的成功將取決于是否讓主要制造商相信,OpenFlow的長期利好是值得他們進行短期投資的.為了說服他們,去年斯坦福大學的研發小組在斯坦福大學網絡上安裝了一個運行"趕盡殺絕(shoot-'em-up)"游戲的計算機作為"虛擬服務器".多虧了使用OpenFlow編寫的路由軟件,使用筆記本電腦的玩家發現即使他們在整個校園的無線接入點之間移動,游戲仍然是流暢地進行."沒有一個人掉線",麥考恩說.然后,在游戲進行的過程中,研究人員將虛擬服務器從斯坦福大學挪到了日本的一臺機器上.游戲仍然繼續,沒有任何的中斷."你感覺不到它已經被移動了.這是你在目前的網絡上無法做到的事情."

除了此類的平穩的重新路由以外,OpenFlow還可以為網絡操作者提供一些重要的好處.它可以讓他們修改路由規則,使得特定類別的數據通過特定的路徑傳輸,例如,讓email的優先級高于音樂下載,或者在一條路徑損壞的時候通過大量的替代路徑進行擴散."它允許你為網絡增加新的容量、新的特性,而不需要對那個專有的盒子的內部進行編程,"麥考恩說."它本質上是一種軟件定義的網絡."

另外一個OpenFlow可以幫助處理的關鍵問題是網絡安全.在最近捷克發生路由器故障之后,一個專家組仔細檢查了路由器和切換器上的工作程序.他們發現,每一個路由器制造商的每一版路由軟件都有脆弱點,可以使黑客入侵路由器.換句話說,互聯網的基本結構正面臨風險.

麥考恩承認,開始的時候,OpenFlow實際上降低了網絡的安全性,因為它提供了一個可供攻擊的路由器.但是隨著工程師們開發新的、更加安全的路由器編碼,在不減慢或者中斷通訊的情況下在現有的系統上進行測試,這種狀況將會迅速改變.這樣的話,當一個更新可以安裝的時候,補丁可以僅僅通過根據新的說明進行編程完成,而不需要將路由器離線然后重新手工編程.

OpenFlow最重要的優點之一就是它能夠改變數據包通過網絡傳輸的方式.目前,電子郵件在兩太特定計算機之間的傳輸總是使用同一路徑.如果路徑上的任何一條連接失敗了,都會出現故障.所以很多研究團隊正在探索"多路徑"路由,韓國大田韓國先進科學技術研究所的Gyu Myoung Lee就是這種研究團隊中的一員.這些方法包括將一條消息分割成為多個數據包并且通過不同的路徑把它們送達目的地,并在那里重新組合起來.Lee相信,將網絡通訊更加均勻攤分,可以增加互聯網的可靠性,降低擁塞.多個多路徑方案,都有一定的競爭力,通過OpenFlow,他們可以在同一網絡上進行測試并將他們的優點量化.

這樣的測試也許不會太遙遠.今年春天,又有紐約市的哥倫比亞大學和亞特蘭大的喬治亞理工學院開始向學生教授OpenFlow.與此同時,電子產品生產商NEC也宣布他們將開始制造可以使用OpenFlow的路由器.麥考恩預計,在五年內,一個由編寫開源軟件來重新定義互聯網工作方式的開發者組成的社區,將興旺起來.他預計,互聯網數據中心將成為這個運動的前衛,因為他們有著海量的路由器并且習慣于編寫自己的軟件."如果同樣是在這五年內,這個網絡本身變成了由軟件來定義的,"麥考恩說,"那樣也不錯

鏈接：

軟件定義的網絡

---

 

Nick Mckeown/文 計算機系統的持續革新已經創造了新的抽象層，從最初的操作系統到如今的虛擬化。每次都抽象底層的硬件，同時在上層創造一個新的用于競爭和革新的平臺。然而在網絡方面，軟硬件的功能劃分就不那么清晰，正確的可編程平臺變得難以捉摸，以至于我們開發了動態網絡、網絡處理器和軟件路由。一個逐步顯現的趨勢指出，越來越多的網絡基礎設施將用數據通道之外的軟件來定義。這對于研究者來說是一個大新聞，因為基礎設施會更開放、更可編程，并能通過虛擬化使得試驗網絡在同樣的物理數據通道上并存。這對于工業界也是巨大的新聞，因為它將加速網絡內部的革新。

從路由器的設計上看，它由軟件控制和硬件數據通道組成。軟件控制包括管理(CLI,SNMP)以及路由協議(OSPF,ISIS,BGP)等。數據通道包括針對每個包的查詢、交換和緩存。這方面有大量論文在研究，引出三個開放性的話題，即“提速2倍”，確定性的(而不是概率性的)交換機設計，以及讓路由器簡單。

事實上在路由器設計方面我們已經迷失了方向，因為有太多的復雜功能加入到了體系結構當中，比如OSPF，BGP，組播，區分服務，流量工程，NAT，防火墻，MPLS，冗余層等等。個人認為，我們在20世紀60年代定義的“啞的，最小的”數據通路已經臃腫不堪。

對比計算機領域，PC工業已經找到一個簡單可用的硬件底層(x86指令集)。在軟件定義方面，頂層(應用程序)和底層(操作系統和虛擬化)都在爆炸式地發展。開源方面，有10萬個開發者參與了標準化進程，加速了創新?？梢?，硬件底層+軟件定義的網絡+開源文化就能推動創新，網絡創新亦需如此，這個底層需要我們去實現。

一個簡單穩定通用的底層需要具備以下屬性：

1. 允許應用程序的繁榮發展。比如在因特網領域，穩定的IPv4帶來了Web的繁榮；

2. 允許其頂部的基礎設施能用軟件定義。比如因特網領域的路由協議、管理等；

3. 體系結構本身能夠快速創新。

回顧網絡創新的歷史，在20世紀90年代中期認為“推動網絡的創新，需要在一個簡單的硬件數據通路上編程”，即動態網絡。它的問題在于隔離性、性能、復雜度。20世紀90年代后期認為，“為了推動網絡創新，我們需要底層的數據通道是可編程的”，也即網絡處理器。它的問題在于加劇了數據通道底層的復雜度。事實上在網絡領域，我們一直以來沒有分清一個簡單通用的硬件底層與一個開放的上層編程環境之間的界限。之前的嘗試往往犯以下錯誤：

1. 假設當前的IP路由底層是固定的，并試圖在其外部編程，包括路由協議；

2. 自上而下地定義編程和控制模型。(但事實上Intel在選擇x86指令集的時候，并沒有定義Windows XP、Linux或者VMware)

因此我們需要做以下幾件事：

1. 在底層和開放編程環境之間要有一個清晰的分割；

2. 設計一個簡單的硬件底層，能夠包括和簡化當前的底層;

3. 極少的使用事先形成的有關底層如何被編程的想法；

4. 強隔離。

在設計硬件底層方面，我們要用最少的基于流的數據通路來緩存決策，也即實現一個基于流的底層。我們需要對流進行靈活的定義，如單播、組播、導航點、負載均衡，并且支持不同類型的流的聚類；我們需要控制流，把流作為編程的實體：能對它路由、私有化、移動……我們還要吸取包交換的益處，因為它切實可行，能全局部署，而且很有效率——當然是在它很簡單的時候。

綜合上述考慮，我們定義了一個名為“流空間”的底層，它有以下屬性：

1. 后向兼容。當前的分層結構是它的一個特例，而且端點不需要修改；

2. 容易在硬件上部署，比如在每個交換機上部署TCAM流表；

3. 流之間能清晰分離，具有簡單的幾何結構，能證明哪個流能或者不能通訊。

作為底層，它有以下屬性：

第一，基于流；第二，對每個流只有少量的動作，如轉發給端口；轉發給控制器； 重寫頭，在流空間之間路由；根據最小/最大速率分隔帶寬等；第三，外部的針對流表的開放API。

我們開發了一個稻草人版的的基于流的底層OpenFlow。我們的第一步是定義底層，即一個針對流表的開放外部API。它的1.0版本要求易于添加到現有的硬件交換機、路由器、API上，目前已經完成。它的2.0版本需要開發針對OpenFlow優化的硬件，以及通用的“流空間”，期限是2011年。我們的第二步是部署，首先在校園里部署，再在全美國的科研骨干網絡上部署，允許研究人員自由地在其頂部創新。

使用OpenFlow，我們可以靜態地劃分VLAN，比如將生產用和研究用的VLAN劃分開來；我們可以設計自己的路由協議，比如單播、組播、多徑、負載均衡；可以做接入控制、家庭網絡管理、移動性管理、能量管理；包處理器(在控制器上)；設計自己的IP協議；網絡測量和虛擬化，比如在交換機上實現虛擬化OpenFlow。

這樣我們就擁有了一個簡單、可用、穩定的硬件底層，它具有可編程性，強隔離模型，支持其上的自由競爭，從而加速創新。

目前，OpenFlow已經在美國斯坦福大學、Internet2、日本的JGN2plus以及其他的10-15個科研機構中部署，計劃將在2009年10月前進行規模的機構部署，應用于“GENI Enterprise”項目，并在國家科研骨干網以及其他科研和生產中應用。