虽然OpenFlow和软件定义网络(SDN)主要是关于数据中心或运营商网络,但这项技术可能对校园网络更有用,特别是对于改善和提高BYOD(自带设备)的安全性和管理。
美国印第安纳大学首席网络架构师Matt Davy认为OpenFlow和软件定义网络可以改变他的10万端口网络,该网络有5000个无线接入点(AP)以及12万用户,这些用户大多数都希望使用个人移动设备来接入网络。现在,部署安全和访问政策简直是一个噩梦,校园环境就像是一个小城市,有运动场馆、医疗实验室、15000宿舍、餐馆以及水电设施。
“我们的网络很难根据物理空间来分组,如果我想在实验室安置防火墙,那么大堂的咖啡厅怎么办?”Davy表示。理想的情况是采用“相同的组系统,然后根据安全政策对它们进行管理”,即使它们位于不同的物理空间。这样的话,就可以使Davy的团队根据特定设备类型来选择安全规则。
Davy认为可以将其网络完全过渡到一个OpenFlow环境来实现这种理想状态。在这种情况下,他可以建立一个“虚拟接入层”来映射物理接入层,但同时通过中央SDN控制器来进行管理。然后,Davy的团队可以启动有线和无线网络中横跨组件的虚拟网段,使SSID可以为特定群体的设备进行设置。这意味着工程师可以控制哪些用户或者设备访问特定网段的特定应用程序。Davy还可以将入站流量推入特定设备,以指定监控类型或者提高不同设备的性能。
目前市面上并不存在这样完善的解决方案,但Davy正在测试可用的OpenFlow或者SDN交换机和控制器。他已经安装了1700 OpenFlow友好型惠普交换机,该交换机可以同时运行OpenFlow和传统交换机,长期来看,这种交换机有助于完善软件定义校园局域网。但现在,这些交换机不能支持大规模OpenFlow环境。
在此期间,Davy的团队正在尝试使用基于OpenFlow的入侵检测系统(IDS)集群。该系统映射来自网络各端口的信息,将信息路由到统一的地方。通过OpenFlow顶级机架交换机,数据在约30台IDS服务器组间进行负载平衡。Davy没有花费10万美元在整个网络中安装IDS设备,而是花3万美元安装了一套实验系统,进行入侵检测。下一步就是将网络访问控制(NAC)整合到系统中,开始使用OpenFlow来阻止流量。
是什么推动了在校园局域网使用OpenFlow和SDN?
惠普网络全球产品营销经理Steve Brar在四月举行的开放网络峰会上表示,三个因素将会推动校园局域网中部署SDN:需要更好的服务质量(QoS)、提高安全性和以应用程序驱动的网络。
SDN部署好后,网络工程师可以用灵活的网络来替换不灵活的物理网络和静态政策,灵活的网络可以“为特定用户和不同应用程序动态地分配服务质量”。
Brar希望网络工程师使用SDN,将物理校园网络分成一系列逻辑网络,每个网络都有自己的政策。这种环境将会改变QoS,因为工程师可以更容易地在这些虚拟网络上优先处理特定应用程序,从而提高性能。
SDN还能够管理BYOD计划,因为网络管理人员将能够根据设备类型或者用户组来分配访问政策,然后优化特定应用程序,例如视频。
“有线和无线的用户体验不一样,而在今天的技术领域中不应该这样。”Brar表示,“也许通过更好的可编程性和更动态的网络,我们可以避免这个问题。”
在校园局域网采用SDN和OpenFlow的好处显而易见,不过真正的部署仍然在很大程度上取决于产品和应用程序开发,而这是一个缓慢而持续的过程。