解讀：思科SDN和VMware網(wǎng)絡(luò)虛擬化的戰(zhàn)略對(duì)比

　　對(duì)于SDN產(chǎn)品，供應(yīng)商最終將會(huì)從觀望轉(zhuǎn)為真正交付應(yīng)用。在這個(gè)轉(zhuǎn)變過(guò)程中發(fā)揮核心作用的是思科和VMware，因?yàn)樗麄兌紘�繞各自收購(gòu)的Insieme和Nicira重新打造了SDN和網(wǎng)絡(luò)虛擬化戰(zhàn)略。VMware的網(wǎng)絡(luò)虛擬化戰(zhàn)略完全基于軟件，而思科SDN則由硬件驅(qū)動(dòng)。

　　VMware網(wǎng)絡(luò)虛擬化：觸及每一個(gè)虛擬機(jī)管理資源池

　　VMware NSX有兩種形式：vSphere和多虛擬機(jī)管理程序。vSphere版本已經(jīng)集成到現(xiàn)有的VMware ESXi部署中，并且基于分布式虛擬交換機(jī)（dVS）。路由、防火墻和負(fù)載均衡等4~7層功能都來(lái)自于虛擬云網(wǎng)絡(luò)安全性（vCNS）。同時(shí)，多虛擬機(jī)管理程序版本則面向Xen和KVM部署環(huán)境的需求，并且基于Open vSwitch項(xiàng)目。雖然NSX可以利用Arista、Brocade和瞻博網(wǎng)絡(luò)等交換機(jī)供應(yīng)商的硬件方式2/3層網(wǎng)關(guān)服務(wù)，但是NSX并沒(méi)有與任何一家供應(yīng)商綁定，因此可以運(yùn)行在任何物理IP網(wǎng)絡(luò)上。這一點(diǎn)可能很受管理員的歡迎，因?yàn)樗麄儾粫?huì)被迫使用一些特定供應(yīng)商的產(chǎn)品，然后也不會(huì)要付出昂貴代價(jià)才能升級(jí)現(xiàn)有網(wǎng)絡(luò)并添加SDN特性。

　　使用VMware網(wǎng)絡(luò)虛擬化創(chuàng)建堆疊網(wǎng)絡(luò)

　　NSX控制器集群由三個(gè)上游邏輯系統(tǒng)構(gòu)成，然后由它們執(zhí)行各種虛擬機(jī)管理功能，如路由、交換和7層防火墻。它由NSX Manager Web接口或NSX RESTful API控制。NSX利用vSphere的功能輕松管理宿主，并且將它擴(kuò)展到整個(gè)網(wǎng)絡(luò)上。這使得邏輯網(wǎng)絡(luò)、防火墻、路由器和負(fù)載均衡的創(chuàng)建過(guò)程比在Visio上創(chuàng)建文檔還要簡(jiǎn)單。由于能夠在現(xiàn)有交換機(jī)上創(chuàng)建堆疊網(wǎng)絡(luò)，所以許多復(fù)雜操作都在底層物理網(wǎng)絡(luò)上完成，其中流量將通過(guò)GRE、VXLAN （UDP傳輸）或STT（一種類TCP傳輸）協(xié)議實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通道傳輸。

　　然而，這種抽象是一種雙刃劍。雖然發(fā)布新服務(wù)的過(guò)程完全不需要人工干預(yù)，但是物理網(wǎng)絡(luò)也因此失去了應(yīng)用層可見(jiàn)性。雖然我們可以將區(qū)分服務(wù)代碼點(diǎn)Differentiated Services Code Point （DSCP）從內(nèi)部數(shù)據(jù)包復(fù)制到外部數(shù)據(jù)包，但是流量仍然不可避免地要離開(kāi)虛擬網(wǎng)絡(luò)而進(jìn)入物理網(wǎng)絡(luò)。工作在7層網(wǎng)絡(luò)上的流量管理設(shè)備將無(wú)法識(shí)別到通道中的流量，如入侵檢測(cè)傳感器、數(shù)據(jù)包整形器和WAN優(yōu)化器。網(wǎng)絡(luò)管理工具也失去了監(jiān)控兩種網(wǎng)絡(luò)層次的靈活性，因此可能變得毫無(wú)用處。長(zhǎng)期而言，這些問(wèn)題都將得到解決，但是可能流量被迫需要重新設(shè)計(jì)，這是網(wǎng)絡(luò)經(jīng)理們不愿意看到的。

　　全新的思科ACI

　　Cisco ACI是一個(gè)同時(shí)包含硬件和軟件的框架，而不是只有專門(mén)處理現(xiàn)有網(wǎng)絡(luò)的軟件套件。它基于Nexus 9000交換機(jī)，由應(yīng)用策略基礎(chǔ)架構(gòu)控制器（Application Policy Infrastructure Controllers, APICs）控制。APIC位于數(shù)據(jù)路徑之外，負(fù)責(zé)將底層的Nexus物理設(shè)備與Nexus 1000v虛擬交換機(jī)相連。或許ACI的最強(qiáng)大之處是它引入的分層對(duì)象模型：

　　租賃人 Tenants

　　上下文（虛擬路由與轉(zhuǎn)發(fā)） Context （virtual routing and forwarding）

　　終端組（End point groups, EPG）

　　終端 End points

　　應(yīng)用網(wǎng)絡(luò)配置模板 Application network profiles

　　訪問(wèn)控制、服務(wù)插入和QoS策略將通過(guò)契約在EPG之間定義和連接。不同的應(yīng)用層將匯集到終端組中，如Web層、數(shù)據(jù)庫(kù)層和管理層，然后作為不同的應(yīng)用網(wǎng)絡(luò)配置模板來(lái)集中管理。這種抽象代表了應(yīng)用程序當(dāng)時(shí)的管理方式，并且不會(huì)強(qiáng)制要求重新設(shè)計(jì)架構(gòu)就能夠適合任意環(huán)境需求。

　　思科SDN與NSX各自面臨的挑戰(zhàn)

　　由硬件主導(dǎo)的思科解決方案解決了NSX部署可能遇到的許多可見(jiàn)性問(wèn)題。它能夠通過(guò)“單獨(dú)一個(gè)控制”視圖監(jiān)控底層和堆疊網(wǎng)絡(luò)，這是一個(gè)不可忽視的賣(mài)點(diǎn)，而且還非常吸引一些企業(yè)。然而，為了實(shí)現(xiàn)這個(gè)功能，思科ACI必須依賴于一種專門(mén)開(kāi)發(fā)的高端硬件——Nexus 9000交換機(jī)。

　　要求客戶花大價(jià)錢(qián)購(gòu)買(mǎi)一個(gè)高端交換設(shè)備，這可能會(huì)成為一個(gè)問(wèn)題。并非所有人都需要有1000多個(gè)端口的非獨(dú)占10Gbps接口，現(xiàn)在就普遍應(yīng)用還為時(shí)尚早。將Nexus 2000 Series Fabric Extenders更新到ACI解決方案將可以保護(hù)現(xiàn)有的硬件設(shè)備投入，當(dāng)然前提是要部署9000交換機(jī)。思科曾經(jīng)指出，網(wǎng)絡(luò)邊緣仍然需要使用Nexus 5000和7000，但是這個(gè)觀點(diǎn)可能并不是一直成立。實(shí)際上，SDN是一種端到端方案；長(zhǎng)期而言，我們應(yīng)該避免控制孤島，因?yàn)樗鼤?huì)影響解決方案的生存能力。

　　讓思科高端設(shè)備更吸引人的是ACI有一個(gè)帶原生控制器的強(qiáng)大交換機(jī)，它能夠解決許多基礎(chǔ)架構(gòu)可能遇到的增長(zhǎng)問(wèn)題。而且，通過(guò)龐大的ACI，思科可以將ACI封裝在一個(gè)干凈的Technical Assistance Center產(chǎn)品包中。事實(shí)上，思科的銷(xiāo)售預(yù)期是將ACI部署視為一種重要的專業(yè)服務(wù)業(yè)務(wù)，而不是客戶隨便就能?chē)L試完成的簡(jiǎn)單業(yè)務(wù)。

　　同時(shí)，NSX可以整合到現(xiàn)有的vSphere部署中，因此可能贏得有預(yù)算壓力的管理員的青睞。利用他們現(xiàn)有的設(shè)備，而不是他們最終可能要購(gòu)買(mǎi)的設(shè)備，更容易證明SDN的價(jià)值。

　　雖然短期而言NSX能夠更快部署，但是它要求客戶尋找一些方法連接堆疊網(wǎng)絡(luò)和底層管理設(shè)備，而且使用現(xiàn)有工具并不能輕松完成這個(gè)工作。將NSX從概念驗(yàn)證階段推進(jìn)到實(shí)施階段，會(huì)給現(xiàn)有的物理基礎(chǔ)架構(gòu)帶來(lái)無(wú)法解決的問(wèn)題。而且，VMware NSX的售價(jià)仍未公布，按照NSX實(shí)現(xiàn)所采用的單位虛擬機(jī)價(jià)格，最終的成本將會(huì)非常昂貴。

　　然而，網(wǎng)絡(luò)最終將會(huì)以增量方式發(fā)展。大多數(shù)管理員和架構(gòu)師都會(huì)選擇且必須基于現(xiàn)有的設(shè)備，而不是完全更換現(xiàn)有設(shè)備。在SDN和網(wǎng)絡(luò)虛擬化普遍應(yīng)用之前，這種狀態(tài)會(huì)一直保持。因此，VMware可能會(huì)在初期占據(jù)上風(fēng)，而長(zhǎng)期而言思科將會(huì)有更多作為。