SDN六年發(fā)展充滿了博弈和探索，自從2009年Nick Mckeown提出SDN，網(wǎng)絡領域多年來的沉寂被打破，Nicira、Big Switch等大批國外SDN創(chuàng)業(yè)團隊，推動了SDN起步的三年；從2012年起，VMware 12億美元收購Nicira，Cisco 10億美元收購Insieme，引發(fā)了SDN在巨頭間的大戰(zhàn)，博弈和布局成為這三年的主旋律。2014年開啟了SDN商用化之路，在中國，廠商、運營商、互聯(lián)網(wǎng)和傳統(tǒng)企業(yè)都在圍繞SDN或觀望或探索，未來三年，將是SDN落地與價值演繹之時。而云杉網(wǎng)絡此次發(fā)布的基于SDN的網(wǎng)絡服務平臺2Cloud NSP，正是在10年SDN技術積淀之上的重大動作。

關于2Cloud NSP

2Cloud是云杉網(wǎng)絡的產品品牌，讀作“To cloud”，寓意“Your way to the cloud”，幫助企業(yè)邁入云端。而2Cloud NSP是云杉依托2Cloud云管理平臺打造的SDN解決方案，NSP的全稱是Network Services Platform。

2Cloud NSP解決什么問題？

2Cloud主要解決數(shù)據(jù)中心獨立于特定網(wǎng)絡設備的部署方案，解決數(shù)據(jù)中心虛擬網(wǎng)絡的大規(guī)模部署和高性能轉發(fā)問題，以及在云計算環(huán)境下的網(wǎng)絡安全服務和網(wǎng)絡運維等復雜問題。為最終規(guī)模超過200臺服務器的云平臺提供軟硬一體的高性能低成本網(wǎng)絡服務。

2Cloud NSP的主要功能

2Cloud NSP包含三大功能：首先是網(wǎng)絡虛擬化，負責網(wǎng)絡的部署和管理；其次是網(wǎng)絡功能虛擬化，主要提供2-7層的網(wǎng)絡服務；然后是網(wǎng)絡運維，提供網(wǎng)絡流量檢測和分析，保證網(wǎng)絡故障的快速定位和修復。

下面來看三大功能的關鍵技術和功能優(yōu)勢：

1）NV——網(wǎng)絡虛擬化

對于虛擬網(wǎng)絡的構建，2Cloud NSP要解決兩大問題：從網(wǎng)絡內部向外看，解決網(wǎng)絡擴展問題，即大規(guī)模網(wǎng)絡部署；從網(wǎng)絡內部往細看，解決網(wǎng)絡虛擬化粒度問題，即能控制到虛擬網(wǎng)絡的哪個粒度。

首先，2Cloud NSP集中管控多租戶邏輯網(wǎng)絡，利用成熟網(wǎng)絡硬件實現(xiàn)規(guī)模擴展和負載卸載，解決軟件性能損耗和網(wǎng)絡規(guī)模擴展問題。

在無需綁定硬件網(wǎng)絡設備的情況下，以通用和開放的網(wǎng)絡硬件支撐超大規(guī)模邏輯網(wǎng)絡。2Cloud NSP利用通用盒式Spine交換機構建大規(guī)模L3 Fabric，可輕松接入10K萬兆端口物理設備，連接異構及跨地域的計算、存儲、安全資源。利用成熟的VxLAN Bridging ToR交換機卸載vSwitch網(wǎng)絡負載，實現(xiàn)高性能二層邏輯網(wǎng)絡。

在2Cloud NSP的架構中，NMS網(wǎng)絡管理系統(tǒng)即為SDN Controller，在Controller中做了很多類似“大腦”的控制，就像一個智能調度中樞，可以部署為集群方式，通過NMS集中管控多租戶邏輯網(wǎng)絡，利用成熟網(wǎng)絡硬件實現(xiàn)規(guī)模擴展和負載卸載，解決軟件性能損耗和網(wǎng)絡規(guī)模擴展問題。

對于用戶來講，給用戶一個靈活便捷的組網(wǎng)功能，并且能支撐業(yè)務網(wǎng)絡的異構性和大規(guī)模。

在無需變動物理網(wǎng)絡的情形下，通過可視化快速構建功能一鍵部署大規(guī)模業(yè)務網(wǎng)絡，按需快速修改異構資源之間的網(wǎng)絡互連。

其次，2Cloud NSP分布式邏輯交換機和微分段（Micro Segmentation），讓網(wǎng)絡控制“豈止于細”（More micro than micro）。

2Cloud分布式邏輯交換機通過OpenFlow對流量進行細粒度控制，消除二層網(wǎng)絡中ARP協(xié)議帶來的廣播復制和突發(fā)未知單播問題，消除DHCP協(xié)議帶來的結果未知性和不可靠控制，由集中的SDN Intelligence和完全分布的Independent Agent保障二層網(wǎng)絡的高性能和穩(wěn)定性。

通常的微分段的做法是以網(wǎng)卡為粒度劃分安全域，2Cloud NSP能做到以流為粒度劃分安全域。傳統(tǒng)的二層廣播域能夠通過2Cloud NSP進一步劃分為不同的微分段（安全域），通過將不同的虛擬網(wǎng)卡乃至不同的應用流量劃分到特定的安全域，將廣播域精細到網(wǎng)絡流粒度，實現(xiàn)同一安全域內的互通和不同安全域之間的完全隔離。對線上業(yè)務無需進行任何網(wǎng)絡地址變更，即可輕松實現(xiàn)零信任防護。

2）NFV——網(wǎng)絡功能虛擬化

2Cloud NSP中所提供的網(wǎng)絡服務的特點是：分布式網(wǎng)絡服務消除流量熱點。

2Cloud分布式網(wǎng)絡服務實現(xiàn)了網(wǎng)絡功能的虛擬化和分布式。利用分布式虛擬網(wǎng)關，跨二層東西向流量無需匯聚到一個瓶頸點，配合分布式虛擬路由器實現(xiàn)多條網(wǎng)絡間路由信息的動態(tài)發(fā)布。利用分布式虛擬防火墻，流量在最靠近源發(fā)端的位置即可實施防護。

此外，利用微分段的細粒度流量控制能力，負載均衡、企業(yè)級虛擬防火墻、UTM以及Web應用防火墻等網(wǎng)絡和安全服務均能夠按業(yè)務進行負載分攤，徹底消除流量熱點。

2Cloud NSP在同一子網(wǎng)內構建服務鏈（Service Chain）透明接入，實現(xiàn)無擾安全防護。

各類服務節(jié)點可動態(tài)組合成三層或二層服務鏈，快速便捷地部署于任意兩個微分段之間，透明插入業(yè)務網(wǎng)絡，提供專業(yè)的網(wǎng)絡和安全防護能力。透明接入實現(xiàn)了無需改動現(xiàn)有業(yè)務的網(wǎng)絡配置，輕松集成網(wǎng)絡服務。

3）NO——網(wǎng)絡運維

2Cloud NSP中的網(wǎng)絡運維將能幫助運維管理員基于全網(wǎng)無損深度流探測技術，實時分析發(fā)現(xiàn)網(wǎng)絡異常和趨勢。

云杉網(wǎng)絡自主研發(fā)的深度流探測（DFI，Deep Flow Inspection）覆蓋虛擬和物理交換設備，運行于虛擬交換機內核層面，高效無損地統(tǒng)計公網(wǎng)和私有網(wǎng)絡流量。依據(jù)流量數(shù)據(jù)繪制流量拓撲，可按流量模型等條件過濾出特定流量，用于深入分析租戶業(yè)務。

基于統(tǒng)計數(shù)據(jù)，利用大數(shù)據(jù)流式計算技術，實時展現(xiàn)用戶業(yè)務的當前狀態(tài)。相比其它網(wǎng)絡探針，DFI直接在虛擬服務器出口進行統(tǒng)計，用戶的所有內網(wǎng)流量也能納入分析并可視化展現(xiàn)，分析獲得熱點鏈路和熱點業(yè)務等特征。該流量數(shù)據(jù)能夠通過專業(yè)安全廠商的安全分析引擎進行安全威脅攻擊的分析，從而為云平臺的管理者和用戶提供便捷的運維服務。

2Cloud NSP實現(xiàn)了網(wǎng)絡虛擬化的大規(guī)模和細粒度構建，以及分布式高性能和無干擾的網(wǎng)絡服務，通過大數(shù)據(jù)運維實現(xiàn)大規(guī)模云資源的管理，為大規(guī)模云平臺的部署提供高性能、開放、硬件無綁定，以及低成本的軟件定義網(wǎng)絡方案。