雖然OpenFlow和軟件定義網(wǎng)絡(luò)（SDN）主要是關(guān)于數(shù)據(jù)中心或運(yùn)營(yíng)商網(wǎng)絡(luò)，但這項(xiàng)技術(shù)可能對(duì)校園網(wǎng)絡(luò)更有用，特別是對(duì)于改善和提高BYOD（自帶設(shè)備）的安全性和管理。

美國(guó)印第安納大學(xué)首席網(wǎng)絡(luò)架構(gòu)師Matt Davy認(rèn)為OpenFlow和軟件定義網(wǎng)絡(luò)可以改變他的10萬(wàn)端口網(wǎng)絡(luò)，該網(wǎng)絡(luò)有5000個(gè)無(wú)線接入點(diǎn)（AP）以及12萬(wàn)用戶，這些用戶大多數(shù)都希望使用個(gè)人移動(dòng)設(shè)備來(lái)接入網(wǎng)絡(luò)。現(xiàn)在，部署安全和訪問(wèn)政策簡(jiǎn)直是一個(gè)噩夢(mèng)，校園環(huán)境就像是一個(gè)小城市，有運(yùn)動(dòng)場(chǎng)館、醫(yī)療實(shí)驗(yàn)室、15000宿舍、餐館以及水電設(shè)施。

“我們的網(wǎng)絡(luò)很難根據(jù)物理空間來(lái)分組，如果我想在實(shí)驗(yàn)室安置防火墻，那么大堂的咖啡廳怎么辦？”Davy表示。理想的情況是采用“相同的組系統(tǒng)，然后根據(jù)安全政策對(duì)它們進(jìn)行管理”，即使它們位于不同的物理空間。這樣的話，就可以使Davy的團(tuán)隊(duì)根據(jù)特定設(shè)備類型來(lái)選擇安全規(guī)則。

Davy認(rèn)為可以將其網(wǎng)絡(luò)完全過(guò)渡到一個(gè)OpenFlow環(huán)境來(lái)實(shí)現(xiàn)這種理想狀態(tài)。在這種情況下，他可以建立一個(gè)“虛擬接入層”來(lái)映射物理接入層，但同時(shí)通過(guò)中央SDN控制器來(lái)進(jìn)行管理。然后，Davy的團(tuán)隊(duì)可以啟動(dòng)有線和無(wú)線網(wǎng)絡(luò)中橫跨組件的虛擬網(wǎng)段，使SSID可以為特定群體的設(shè)備進(jìn)行設(shè)置。這意味著工程師可以控制哪些用戶或者設(shè)備訪問(wèn)特定網(wǎng)段的特定應(yīng)用程序。Davy還可以將入站流量推入特定設(shè)備，以指定監(jiān)控類型或者提高不同設(shè)備的性能。

目前市面上并不存在這樣完善的解決方案，但Davy正在測(cè)試可用的OpenFlow或者SDN交換機(jī)和控制器。他已經(jīng)安裝了1700 OpenFlow友好型惠普交換機(jī)，該交換機(jī)可以同時(shí)運(yùn)行OpenFlow和傳統(tǒng)交換機(jī)，長(zhǎng)期來(lái)看，這種交換機(jī)有助于完善軟件定義校園局域網(wǎng)。但現(xiàn)在，這些交換機(jī)不能支持大規(guī)模OpenFlow環(huán)境。

在此期間，Davy的團(tuán)隊(duì)正在嘗試使用基于OpenFlow的入侵檢測(cè)系統(tǒng)（IDS）集群。該系統(tǒng)映射來(lái)自網(wǎng)絡(luò)各端口的信息，將信息路由到統(tǒng)一的地方。通過(guò)OpenFlow頂級(jí)機(jī)架交換機(jī)，數(shù)據(jù)在約30臺(tái)IDS服務(wù)器組間進(jìn)行負(fù)載平衡。Davy沒(méi)有花費(fèi)10萬(wàn)美元在整個(gè)網(wǎng)絡(luò)中安裝IDS設(shè)備，而是花3萬(wàn)美元安裝了一套實(shí)驗(yàn)系統(tǒng)，進(jìn)行入侵檢測(cè)。下一步就是將網(wǎng)絡(luò)訪問(wèn)控制（NAC）整合到系統(tǒng)中，開(kāi)始使用OpenFlow來(lái)阻止流量。

是什么推動(dòng)了在校園局域網(wǎng)使用OpenFlow和SDN？

惠普網(wǎng)絡(luò)全球產(chǎn)品營(yíng)銷經(jīng)理Steve Brar在四月舉行的開(kāi)放網(wǎng)絡(luò)峰會(huì)上表示，三個(gè)因素將會(huì)推動(dòng)校園局域網(wǎng)中部署SDN：需要更好的服務(wù)質(zhì)量（QoS）、提高安全性和以應(yīng)用程序驅(qū)動(dòng)的網(wǎng)絡(luò)。

SDN部署好后，網(wǎng)絡(luò)工程師可以用靈活的網(wǎng)絡(luò)來(lái)替換不靈活的物理網(wǎng)絡(luò)和靜態(tài)政策，靈活的網(wǎng)絡(luò)可以“為特定用戶和不同應(yīng)用程序動(dòng)態(tài)地分配服務(wù)質(zhì)量”。

Brar希望網(wǎng)絡(luò)工程師使用SDN，將物理校園網(wǎng)絡(luò)分成一系列邏輯網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)都有自己的政策。這種環(huán)境將會(huì)改變QoS，因?yàn)楣こ處熆梢愿菀椎卦谶@些虛擬網(wǎng)絡(luò)上優(yōu)先處理特定應(yīng)用程序，從而提高性能。

SDN還能夠管理BYOD計(jì)劃，因?yàn)榫W(wǎng)絡(luò)管理人員將能夠根據(jù)設(shè)備類型或者用戶組來(lái)分配訪問(wèn)政策，然后優(yōu)化特定應(yīng)用程序，例如視頻。

“有線和無(wú)線的用戶體驗(yàn)不一樣，而在今天的技術(shù)領(lǐng)域中不應(yīng)該這樣。”Brar表示，“也許通過(guò)更好的可編程性和更動(dòng)態(tài)的網(wǎng)絡(luò)，我們可以避免這個(gè)問(wèn)題。”

在校園局域網(wǎng)采用SDN和OpenFlow的好處顯而易見(jiàn)，不過(guò)真正的部署仍然在很大程度上取決于產(chǎn)品和應(yīng)用程序開(kāi)發(fā)，而這是一個(gè)緩慢而持續(xù)的過(guò)程。