华为DCN之：SDN和NFV

1. SDN概述

1.1 SDN的起源

SDN（Software Defined Network）即软件定义网络。是由斯坦福大学Clean Slate研究组提出的一种新型网络创新架构。其核心理念通过将网络设备控制平面与数据平面分离，从而实现了网络控制平面的集中控制，为网络应用的创新提供了良好的支撑。
SDN起源提出了三个特征， “转控分离”、“集中控制”和“开放可编程接口”。

SDN的本质诉求是让网络更加开放、灵活和简单。它的实现方式是。为网络构建一个集中的大脑，通过全局视图集中控制，实现或业务快速部署、或流量调优、或网络业务开放等目标。
SDN的价值是：

• 集中管理，简化网络管理与运维；
• 屏蔽技术细节，降低网络复杂度，降低运维成本；
• 自动化调优，提高网络利用率；
• 快速业务部署，缩短业务上线时间；

1.2 OpenFlow

控制器与交换机之间的一种南向接口协议。它定义了三种类型的消息:

❶ Controller-to-Switch：由Controller发送。用于管理Switch和查询Switch的相关信息。

Features消息：在SSL/TCP会话建立后，Controller给Switch发送Features请求Switch的相关信息。Switch必须应答自己支持的功能，包括接口名、接口MAC地址、接口支持的速率等等基本信息。
Configuration消息：Controller可以设置或查询Switch的状态。
Modify-State消息：Controller发送该消息给Switch，来管理Switch的状态，即增加/删除、更改流表，并设置Switch的端口属性。
Read-State消息：Controller用该消息收集Switch上的统计信息。
Send-Packet消息：Controller发送该消息到Switch的特定端口。

❷ Asynchronous：由Switch发起。当Switch状态发生改变时，发送该消息告诉Controller状态变化。

Packet-in消息：当Flow Table中没有匹配的表项或者匹配“send to Controller”，Switch将给Controller发送packet-in消息。
Packet-out消息：从控制器回复的消息。
Flow-Removed消息：当给Switch增加一条表项时，会设定超时周期。当时间超时后，该条目就会被删除。这时Switch就会给Controller发送Flow-Removed消息；当流表中有条目要删除时，Switch也会给Controller发送该消息。
Port-status消息：当数据路径接口被添加、删除、修改的时候，此消息用于通知控制器。

❸ Symmetric：

Hello消息：当一个OpenFlow连接建立时，Controller和Switch都会立刻向对端发送OFPT_HELLO消息，该消息中的version域填充发送方支持的OpenFlow协议最高的版本号；接收方收到该消息后，接收方会计算协议版本号，即在发送方和接收方的版本号中选择一个较小的；如果接收方支持该版本，则继续处理连接，连接成功；否则，接收者回复一个OFPT_ERROR消息，类型域中填充ofp_error_type.OFPET_HELLO_FAILED
Echo消息： Switch和Controller任何一方都可以发起Echo request消息，但收到的一方必须回应Echo reply消息。这个消息可以来测量latency、Controller-Switch之间的连接性，即心跳消息；
Error消息：当交换机需要通知控制器发生问题或错误时，Switch给Controller 发送Error消息。

流表

OpenFlow交换机基于流表（Flow Table）转发报文。

流表中关于转发的关键的两个内容：

• 匹配字段是匹配规则，支持自定义。
• 指令是用来描述匹配后的处理方式。

和传统转发方式的对比

1. 传统模式

经典的网络转发方式是网络设备通过查询路由表指导流量转发。
路由表的条目由网络设备之间运行路由协议而计算生成。
路由表是定长的。路由表通过最长匹配原则执行报文转发。一台网络设备只有一张路由表。

2. 基于流表转发

运行OpenFlow的交换机通过查询流表指导流量转发。
流表一般是由OF控制器统一计算，然后下发到交换机。
流表是变长的，拥有丰富的匹配规则和转发规则。一台网络设备有多张流表。

流表的匹配原则是对于存在的“table0-table255”，优先从table0开始匹配。同一table内部按照优先级匹配，优先级高优先匹配。

1.3 SDN架构

SDN的架构如下图，不同层次之间通过开放接口连接。以控制器层为主要视角，区分面向设备层的南向接口和面向协同应用层的北向接口。

①协同应用层：主要完成用户意图的各种上层应用，典型的协同层应用包括OSS、OpenStack等。OSS可以负责整网的业务协同，OpenStack云平台一般用于数据中心负责网络、计算、存储的业务协同。
②控制器层：控制器层的实体就是SDN控制器，是SDN网络架构下最核心的部分。控制层是SDN系统的大脑，其核心功能是实现网络业务编排。
③设备层：网络设备接收控制器指令，执行设备转发。
④NBI北向接口：北向接口为控制器对接协同应用层的接口，主要为RESTful。
⑤SBI南向接口：南向接口为控制器与设备交互的协议，包括NETCONF、SNMP、OpenFlow、OVSDB等。

华为SDN架构

华为SDN网络架构如下：

❶云平台：云数据中心内资源管理平台。云平台包含对网络资源、计算资源和存储资源的管理。OpenStack是最主流的开源云平台。
❷EMS（Element Management System，网元管理系统）是管理特定类型的一个或多个电信NE（Network Element，网络单元）的系统。
❸Orchestration（容器编排）：容器编排工具也可以包含网络业务编排功能。Kubernetes是主流的工具。
MTOSI/CORBA用于对接BSS/OSS。Kafka/SFTP可用于对接大数据平台。

华为SDN解决方案架构：

IMaster NCE

iMaster NCE，自动驾驶网络管理与控制系统，是华为集管理、控制、分析和AI智能功能于一体的网络自动化与智能化平台。集成了原华为的网管系统（eSight）、控制器（Agile Controller）、分析器（Insight）。有如下特性：
自动化+智能化——SDN自动化业务配置部署，AI智能分析预测排障
管理+控制+分析——统一数据底座，感知定位处理一气呵成
规+建+维+优——全生命周期管理，仿真校验监控优化

iMaster NCE有效连接了物理网络与商业意图。南向实现全局网络的集中管理、控制和分析。面向商业和业务意图使能资源云化、全生命周期网络自动化，以及数据分析驱动的智能闭环。北向提供开放网络API与IT快速集成。
iMaster NCE的产品线如下：

• 数据中心——iMaster NCE-Fabric
• 园区网——iMaster NCE-Campus
• SD-WAN——iMaster NCE-WAN
• 广域IP——iMaster NCE-IP
• 广域传输——iMaster NCE-T

数据中心CloudFabric

基于iMaster NCE-Fabric，为数据中心网络提供从规划-建设-运维-调优全生命周期服务

➊规建一体：规划工具对接NCE，实现规划建设一体化。ZTP（Zero Touch Provisioning，零配置开局）
➋极简部署：业务意图自理解和转换部署。网络变更仿真评估，杜绝人为错误。
➌智能运维：基于知识图谱和专家规则的快速故障发现定位。基于专家规则和仿真分析的快速故障恢复。
➍实时调优：面向AI-Fabric的流量本地推理，在线模型训练调优。用户行为预测、资源调优建议。

⓵极简ZTP部署

ZTP部署流程：

1. 网络管理员点击启动ZTP任务。
2. 设备自动获取IP地址访问控制器。
3. 控制器判断设备角色（Spine or Leaf），对上线设备下发管理IP、SNMP、NETCONF等配置，并通过管理IP纳管设备。
4. 控制器全局下发互联配置及OSPF、BGP等配置。
5. 设备上线成功，管理员NCE查看全网信息。

⓶网络意图自理解，业务快速部署

iMaster NCE-Fabric支持对接用户IT系统，为用户意图匹配意图模型，通过NETCONF下发配置到设备上实现业务快速部署。
iMaster NCE-Fabric支持对接主流云平台（OpenStack）、虚拟化平台（vCenter/SystemCenter）和容器编排平台（Kubernetes）。

⓷网络变更仿真，预判变更风险

建模求解：建立物理/逻辑/应用网络模型；通过形式化验证算法求解
校验结果：校验现网资源是否足够、连通性等；变更对原有业务影响分析和呈现

⓸数据中心网络AI智能运维

AI只能运维需要借助Insight模块。

园区CloudCampus

1. 网络开通”快”，部署效率提升600%

设备即插即用：设备极简开局，场景导航，模板配置
网络极简部署：网络资源池化，一网多用，业务自动化发放

2. 业务发放”快”，用户体验提升100%

业务随行：图形化策略配置，用户随时随地接入，漫游权限不变，体验不变
终端智能识别：终端接入防仿冒，终端智能识别准确率95+%
智能HQos：基于应用调度和整形，带宽精细化管理，保证关键用户业务体验

3. 智能运维“快”，整网性能提升50%+

实时体验可视：基于Telemetry的每时刻、每用户、每区域的网络体验可视
精准故障分析：主动识别85%的典型网络问题并给出建议，实时数据对比分析故障预测
智能网络调优：基于历史数据的无线网络预测性调优，整网性能提升50%+（来源：Tolly认证）

➀设备即插即用

注册中心：华为设备注册查询中心，简称注册中心，是华为云管理网络解决方案的主要部件之一，用于设备的管理模式和注册归属查询。设备根据查询结果确定是否切换到云管理模式，需要注册到哪个云管理平台。以AP为例，对于华为支持云管理特性的设备均会预置华为设备注册中心的URL（register.naas.huawei.com）和端口号（10020）。

➁构建一网多用的虚拟化园区

通过引入虚拟化技术，在园区网络中，基于一张物理网络创建多张虚拟网络（VN，Virtual Network）。不同的虚拟网络应用于不同的业务，例如办公、研发或物联网等。
通过iMaster NCE实现全网设备集中管理，管理员通过图形化界面实现网络配置。
iMaster NCE将管理员的网络业务配置意图“翻译”成设备命令，通过NETCONF协议将配置下发到各台设备，实现网络的自动驾驶。

VN通常用VRF来实现

➂业务随行，基于安全组的策略管理

业务随行：不管用户身处何地，使用哪个IP地址，都保证该用户拥有相同的网络权限和一致的用户策略。