白盒交換機技術概述

全文下載：關注微信公眾號，回復關鍵字“白盒交換機”，獲取下載鏈接。

參考：未來網絡白皮書系列白皮書

——白盒交換機技術白皮書

白盒交換機在過去三十年間得到了快速發(fā)展， 其中開放網絡基金會（Open Networking Foundation，ONF）、Linux 基金會、開放計算項目（Open Compute Project，OCP）、電信基礎設施項目（Telecom Infra Project，TIP）等開源組織做出了重要貢獻。白盒交換機是一種軟硬件解耦的開放網絡設備，與傳統軟硬一體的封閉交換機相比具有諸多優(yōu)勢：

首先，白盒交換機采用開放的設備架構和軟硬解耦思想，可以根據業(yè)務需求，按需定制底層硬件和 上層軟件，相比傳統交換機軟硬件捆綁購買、壟斷使用，能夠顯著降 低交換機的購置成本。另外，在軟件功能方面，可以基于開源軟件進 行二次開發(fā)，降低開發(fā)周期和成本。

其次，白盒交換機支持硬件數據面可編程和軟件容器化部署，通過軟件定義的方式定制數據面的轉發(fā) 邏輯，還充分利用現代云計算技術，對網絡功能進行快速升級迭代， 提升網絡的靈活性、敏捷性、確定性，優(yōu)化網絡性能，滿足復雜的業(yè) 務需求。另外，借助容器化部署，能統一簡化管理運維，降低網絡的 運維成本。

最后，交換機白盒化已得到了芯片廠商、設備提供商、云服務商、電信運營商等交換機上下游企業(yè)的一致認同，可以聯動白盒 開源生態(tài)和產業(yè)生態(tài)的發(fā)展，形成繁榮的白盒化網絡生態(tài)，最終能夠 促進網絡的不斷革新演進，解決當前業(yè)務問題、滿足未來網絡需求。

目前，從研制商用可編程芯片到白盒硬件設備的標準化，從統一 芯片接口到開發(fā)開源的交換操作系統，白盒交換機已經形成具備產業(yè) 化能力的網絡生態(tài)。本章首先簡述白盒交換機的發(fā)展歷程，然后從開 源生態(tài)和產業(yè)生態(tài)兩個方面對白盒交換機的現狀進行介紹，最后闡述 白盒交換機相關的未來發(fā)展趨勢。

1998 年 IBM、Compaq、Dell 等公司陸續(xù)開始商用 Linux 系統，其網絡技術及相關生態(tài)開始快速發(fā)展。

2008 年，Linux 開始嘗試與交換芯片結 合，在數據中心場景中提供大容量、高帶寬的域內數據傳輸服務。

為進一步推動 Linux 交換機商業(yè)發(fā)展，2010 年日本電器（NEC）和惠普 （HP）著手研究交換機軟件化技術，推出基于 OVS（OpenVSwitch） 的開放軟件交換機，網絡的資源和能力得到前所未有地釋放，網絡運 營開始走向自動化、智能化。

2011 年，基于交換機軟件化技術， OCP 等組織開始關注交換機虛擬化技術，并于 2013 年開啟了對交換 機硬件白盒化的標準化工作，推出了 ONIE（Open Network Install Environment）開放安裝環(huán)境、FBOSS（Facebook Open Switching System） 設備管理軟件以及 ODL（OpenDaylight）控制器標準文檔，在 SDN 和白盒交換機領域取得了重大突破。

2015 年，OCP 成功推出第一款 白盒交換機 Wedge。與此同時，OVN（Open Virtual Network）虛 擬化 SDN 網絡、ONL（Open Network Linux）操作系統、ONOS（Open Network Operating System）控制器以及電信領域 OpenNFV、CORD 等虛擬化、白盒化項目也相繼興起。

2016 年至今，白盒設備、軟件操作系統、網絡自動化 等技術已得到蓬勃的發(fā)展。微軟推出的 SONiC（Software for Open Networking in the Cloud）、惠普推出的 OpenSwitch、AT&T 推出的 DANOS（Disaggregated Network Operating System）以及谷歌面向 NG-SDN（Next Generation SDN）推出的 Stratum，開源交換機操作系統層出不窮。同時，ONAP、P4Runtime 接口、Trellis 等網絡管控解決方案也呼之欲出，白盒交換 機相關的網絡技術空前繁榮。

白盒交換機開源生態(tài)主要圍繞幾個國內外的開源組織：一是開放計算項目，負責白盒交換機硬件標準的制定；二是開放網絡基金會， 推進白盒交換機中 SDN 相關技術的發(fā)展與落地；三是電信基礎設施項目，探索利用白盒交換機技術來改變傳統的構建和部署電信網絡基 礎設施的新方法；四是開源數據中心委員會，聯合國內機構圍繞數據中心基礎設備進行開放、合作、創(chuàng)新、共贏的發(fā)展。

開放計算項目（OCP）是由 Facebook 聯合英特爾、Rackspace、 高盛及 Andy Bechtolsheim 在 2011 年為共享開源設計而推出的一個開 放硬件項目，目前已成為一個快速發(fā)展的全球合作社區(qū)。OCP 專注 于重新設計硬件技術，使其更加高效、靈活和可擴展，以支持不斷增 長的計算基礎設施需求。OCP 為個人和組織提供與他人分享知識產 權的體系架構，通過開源硬件和軟件相結合，促進服務、存儲和數據 中心技術的開放與普及。

開放網絡基金會（ONF）是 SDN 主要提出者 Nick McKeown 及 Scott Shenker 于 2011 年創(chuàng)立的網絡領域開源組織，旨在推進 SDN 的 發(fā)展與落地，是 SDN 領域公認的領導者和標準承載者。自成立以來， ONF 已成功推動 SDN 從前景不明到成為被運營商、設備商、服務提 供商普遍接受的下一代網絡技術。

電信基礎設施項目（Telecom Infra，TIP）是 Facebook 于 2016 年 主導成立的一個電信領域開放組織，旨在通過共同合作發(fā)展新技術， 改變傳統的構建和部署電信網絡基礎設施的方法。

開源數據中心委員會（Open Data Center Comittee，ODCC）在中 國通信標準化協會指導下，以開放、合作、創(chuàng)新、共贏為宗旨，圍繞 服務器、數據中心設施、網絡、新技術與測試、邊緣計算、智能監(jiān)控 與管理等內容進行發(fā)展。

在白盒交換機產業(yè)生態(tài)里，從上游的設備提供商到下游的云服務 商、電信運營商，已經在一定規(guī)模上形成完整的產業(yè)生態(tài)鏈。設備供 應商主要包括思科以及新華三集團等，他們面向市場提供更具開放性 的類白盒設備解決方案；云服務商主要包括谷歌、微軟、阿里巴巴、 騰訊等，他們紛紛開始研究白盒交換機操作系統，并借之推新去陳；電信運營商主要包括美國 AT&T、中國移動、中國聯通、中國電信等， 他們利用白盒交換機進行業(yè)務轉型和網絡重構。

從設備控制的粒度上看，白盒化網絡設備的發(fā)展至今經歷了兩個階段。在第一階段，網絡設備及其軟件由網絡所有者進行集中式控制。網絡設備功能/協議可以被遠程修改、配置。在此階段，網絡設備/軟 件/接口較為封閉，協議互通性差，轉發(fā)邏輯固化，新協議/功能開發(fā) 時間長，研發(fā)成本高，無法滿足靈活多樣的新型網絡功能需求。

因此，網絡設備逐漸發(fā)展為設備架構開放、數據包轉發(fā)可控的第二階段，原有的固定pipeline 轉變?yōu)殪`活可編程的 PISA（Protocol-Independent Switch Architecture）架構，伴隨著 OVS、SONiC、FBOSS、FRR （FRRouting）、ONOS 等開源網絡軟件的崛起，不透明且封閉的網絡開始變得透明且開放。

隨著網絡規(guī)模不斷擴大，業(yè)務種類的不斷增多，網絡管控難度不斷提升，對網絡設備的管理需要摒棄由專人管理與維護的方式，構建包括 5G 在內的端到端白盒化開放體系，實現端到端、自頂向下、完全由軟件定義的可編程。采用先進的軟硬分離、靈活可編程、隨需而變的開放網絡架構，力求滿足不同行業(yè)的差異化、定制化網絡需求，加速網絡與實體經濟的深度融合。

針對網絡管理面，構建智能化網絡管理閉環(huán)，網絡管理者僅需在頂部描述管理行為，網絡會自動根據行為進行分區(qū)、編譯和運行，將網絡資源（包括云、ISP、5G 網絡）視為可編程的載體，通過軟件自動化的方式進行日常的校 驗與實時檢查。

為了實現上述功能，需要掌握以下三個方面的關鍵技術：（1）高可控維護：高性能 BFD（Bidirectional Forwarding Detection）研究，實現網絡資源的毫秒級狀態(tài)檢測；（2）高精度網絡感知：基于 INT（In-band Network Telemetry）、Telemetry 等，開展高精度網絡測量研究，實現帶內網絡遙測， 驗證每個數據包或所有的狀態(tài)是否“正確”；（3）高效網絡調度：適用于大規(guī)模網絡的 SR 路由機制，實現 流量帶寬、路徑高效調度與控制。

白盒交換機涉及多個層次的相互配合，不僅包括硬件的選擇與適 配，還包括多項新型網絡技術。為了梳理白盒交換機涉及的架構與技 術，更好的推動該領域的技術研究與生態(tài)構建，本章將從軟硬件解耦 技術、可編程網絡技術、硬件加速技術、白盒安全技術四個方面介紹 白盒交換機設計的關鍵技術點：

AT&T 將白盒交換機的生態(tài)系統可分解為四層：

• 硬件1層（Hardware 1 Layer）：商用芯片層，負責底層的交換 轉發(fā)。目前該層還沒有硬性的標準。 
  
• 軟件1層（Software 1 Layer）：芯片接口層，提取芯片的功能并 向上提供服務。該層原則上需要標準化，但還需要一個過程。 
• 硬件2層（Hardware 2 Layer）：網絡功能參考設計層，提供硬 件設備網絡功能設計參考。該層主要包括 OCP 項目制定的硬件設備 網絡功能的參考性設計。
• 軟件2層 （Software 2 Layer）：網絡操作系統和協議層，負責 實現控制和管理平面的功能。該層主要包括網絡操作系統和上層的網 絡協議應用，是最重要的一層。

控制面主要對底層網絡交換設備進行集中管理，包括狀態(tài)監(jiān)測、 轉發(fā)決策以及處理和調度數據平面的流量，實現鏈路發(fā)現、拓撲 管理、策略制定、表項下發(fā)等功能；向上則通過北向接口為上層業(yè)務 應用以及資源管理系統提供靈活的網絡資源抽象，開放多個層次的可編程能力。

控制面可編程技術的發(fā)展將帶來以下幾點優(yōu)勢：

• 1）白盒交換機 使用與服務器相似的網絡操作系統，能夠使用現有的服務器管理工具 實現網絡自動化，支持對開源服務器軟件包的輕松訪問，實現在交換 機上使用與服務器完全相同的配置管理接口，提高創(chuàng)新速度；
• 2）將傳統交換機特殊的網絡環(huán)境變?yōu)檩^為通用的環(huán)境，從而對網絡服務進 行高效地拓展和管理，提高了白盒交換機的可編程性和對網絡的可見 性；
• 3）能夠通過API 和控制器，在交換機的網絡操作系統中實現動 態(tài)可編程，編寫需要的網絡功能（如網絡分流器），從而在每一個交 換機上減少硬件部署，做到對網絡進行集中管理和監(jiān)控。

傳統數據面將網絡的報文處理和轉發(fā)邏輯全部固化在硬件芯片 中，由完全線速的芯片邏輯完成，從而使網絡性能得到大幅提升，但 卻無法滿足當今上層業(yè)務與控制軟件對底層網絡逐漸增加的特殊需求。轉發(fā)平面很大程度上受制于功能固定的 ASIC 芯片。

可編程網絡技術的核心是具備可編程特性的交換芯片，即芯片的 報文處理和轉發(fā)邏輯能夠通過軟件來按需調整。目前，可編程交換芯 片的硬件載體是 ASIC 與 FPGA（Field Programmable Gate Array）的 結合體。

在大部分的場景中，交換機負責處理網絡數據包的傳輸，數據包 最后抵達目的服務器后才進行相應的處理和計算。但是隨著網絡流量 的急劇增長，限于 CPU 與交換芯片的性能瓶頸，現有的數據平面架 構已經不能很好滿足用戶對于低延遲、高傳輸的需求。

為解決上述問題，可在數據面上整合智能網卡、FPGA 等硬件加 速卡，利用硬件加速技術實現網絡流量卸載，降低整體網絡延遲、減 少 CPU/交換芯片的資源消耗，能顯著提高網絡的整體性能和服務質 量。

數據面可采用 CPU+SmartNIC 的異構組合。其 中，CPU 通過高速的 PCIe接口與 SmartNIC 相連。在轉發(fā)過程中，針對數據包需要特殊處理的部分（CPU 資源消耗巨大或硬件處理增益較大的網絡功能）可以直接卸載至智能網卡。這種組合方式不僅能實現正常的網絡數據包 轉發(fā)，還強化設備的處理能力，可以有效提高白盒交換機的性能并減 小網絡延遲。

白盒交換機的開放架構存在不可忽略的安全問題，例如針對 ONIE 的漏洞利用。ONIE 允許用戶在不更換硬件的情況下，部署或 更換網絡操作系統（包括啟動和恢復 Big Switch Networks、Cumulus Networks 等供應商的網絡操作系統）。

利用 ONIE 的漏洞和缺陷（包 括缺乏身份驗證和加密），攻擊者可以在交換機的啟動階段（即操作 系統完全加載之前），插入惡意代碼。而操作系統的安全軟件無法在啟動階段運行，已加載的惡意代碼會被認為是已知/良好的組件。即 使檢測到攻擊，用戶通過更換固件來移除惡意代碼的成本也會很高。

白盒交換機分硬件和軟件兩個部分，硬件一般包括交換芯片、CPU 芯片、網卡、存儲以及外圍硬件設備 等，其接口、結構等需要符合 OCP 標準化規(guī)范；軟件主要是指網絡 操作系統（Network Operating System，NOS）及其搭載的網絡應用。在白盒交換機中，NOS 一般通過基礎軟件平臺（如 ONIE）的引導完 成安裝，芯片接口層（如 SAI 等）則將交換芯片的硬件功能封裝為統 一的接口，解耦上層應用與底層硬件。具體而言，上層應用通過調用 芯片接口定制底層轉發(fā)邏輯，提供網絡的可編程功能。

硬件轉發(fā)層通常包含以下幾類器件：1） 交換芯片：用于轉發(fā) 數據；2） CPU 芯片：主要管控系統運作；3） 網卡：提供 CPU 側管理功能；4） 存儲器件：包括內存、硬盤等；5） 外圍硬件：包括風扇、電源等。其中，交換芯片負責交換機底層數據包的交換轉發(fā)，是交換機最核心的部件。

全文下載：關注微信公眾號，回復關鍵字“白盒交換機”，獲取下載鏈接。

來源：網絡通信與安全紫金山實驗室

轉載申明：轉載本號文章請注明作者和來源，本號發(fā)布文章若存在版權等問題，請留言聯系處理，謝謝。

推薦閱讀

更多架構相關技術知識總結請參考“架構師全店鋪技術資料打包”相關電子書(37本技術資料打包匯總詳情可通過“閱讀原文”獲取)。

全店內容持續(xù)更新，現下單“全店鋪技術資料打包(全)”，后續(xù)可享全店內容更新“免費”贈閱，價格僅收198元(原總價350元)。

溫馨提示：

掃描二維碼關注公眾號，點擊閱讀原文鏈接獲取“架構師技術全店資料打包匯總(全)”電子書資料詳情。