【SDNLAB独家译稿】 在不惜一切代价提高网络性能的超大型企业中，SDN正逐步实现。而大中型企业中SDN景象就与之大相径庭了。当供应商们在积极地推广SDN，并且预计在2016年推出SDN实体化产品的同时，大部分的企业网络专家纷纷表示他们不会投资SDN，除非几个关键问题得到解决。

本文采访了一些IT行业的领跑者，他们纷纷表示对SDN的担心，从安全性能隐患到SDN标准缺失，都是阻止他们推广投资SDN的因素，至少短期内他们不提倡投资SDN。

投资SDN的第一个注意点：安全和监控性能

IT人员首要担心将SDN用于虚拟机监控程序和物理基础设施时遇到安全监控问题。

Oslo生物技术中心的高级系统工程师George Magklaras在接受采访中说：“倘若供应商希望SDN被用于关键业务和安全环境中，就需要研究SDN软件堆栈与云环境和虚拟层中虚拟机监控程序的接口。”

现如今，当IT通过瞻博网络设备的网络路径发送一段字节时，就会有静态校验，以此避免攻击者运行恶意软件造成信息泄露。“不应该用云堆栈和虚拟机监控程序谈论相同的情景。”George Magklaras如是说。

IDS/IPS置于SDN环境中还能正常运行吗？

Magklaras是Steelcyber科学杂志的首席顾问，在那里他为一家金融机构创建了一个SDN实验试点，观察SDN的安全性能，尤其是与IDS/IPS兼容的时候。

Magklaras的团队将一个基于OpenDaylight的SDN控制器置于思科和惠普的硬件环境下运行。Magklaras说“我们有责任监督一个实验性迁移，使用OpenStack私有云模型将大约60个VLAN迁移到OpenDaylight[控制]。”

他说："随着进出IDS/IPS系统，网络监控问题也随之出现。IDS/IPS的工作原理是利用一系列端口,或一个特定的端口,复制一个VLAN或网段的所有流量，用于嗅探检测。传统的交换机硬件和软件复制流量并用于IDS/IPS系统。相比之下，SDN使用虚拟机监控程序和通用操作系统复制流量。"

“我们进行的大量的IDS/IPS测试表明SDN错失了大约25%到30%的攻击向量事件。我们把原因归结为，SDN软件堆栈复制端口流量的过程较为缓慢，并且丢失以太网帧/流量。”Magklaras这样说明。

Magklaras的团队在跟踪连接到有线网和无线网的设备MAC地址时也发现了一个问题“因为SDN软件的问题，许多记录的MAC地址是错误的。”Magklaras说。“SDN软件会因为PXE启动问题丢弃拥挤网段的MAC地址，甚至毁坏其软件注册表上的MAC地址。”他解释说。

虚拟机监控程序是一个安全弱点

在测试的过程中，Magklaras发现在某些情况下，攻击者可以利用虚拟机监控程序看到不应该暴露的网络流量。一旦虚拟机监控程序安全被规避了，未经授权的一方可以用root权限利用VLAN，他解释说。

VMware和其他软件公司正在努力解决安全问题，但是Magklaras解释说“漏洞还没有修复，这就是我们为什么很难向金融机构和其他客户推荐SDN堆栈。我们都知道SDN最终将为他们省钱，这是必然的道路，但是现在我们必须谨慎。”

第二个投资SDN的问题：提供自动化和DevOps工作

关于SDN更多令人兴奋的地方在于，它集中控制，并根据流量的源或目的地址做出决策。但是SDN同样承诺自动化和动态配置——这是最受网络专家关注的一点。特别是，网络工程师希望能够将SDN应用于DevOps，并且创建一个兼容不同厂商硬件设备的框架，该框架通过引擎来自动地为客户提供服务。他们不可能投资SDN，直到他们证实这是一个现实，云提供商Latisys的首席技术官Christian Teeft说道。

“Latisys利用一些Arista 网络公司的功能做一些第一阶段的编排和自动化配置。更多的组织没有这样做的原因是他们缺乏DevOps资源来提升现有系统的水平。”Teeft说。

第三点SDN面临的挑战：缺少熟悉度

网络专家看到了很多SDN的优点，但是他们没有看到动态基础设施。同时，他们现有环境定义地很好，并且工程师有自己建立的方法完成网络任务。这些方法可能耗时很多，但确实有用。Magklaras说：“网络专家需要能够用SDN替代过去他们熟知的软硬件平台来完成相同的事情。”

“我们网路工程师需要理解SDN如何满足客户的特殊需求。”前SafeNet公司的工程经理和Force3客户端解决方案的副总裁Jason Parry说。

他说：“SDN依然是朝阳产业，这是一个关于我们如何部、管理、支持和配置网络的改变。SDN的承诺是网络自动化、编排和新效率。我的网络专家要能够看到SDN能够证明它本身符合这个潮流。”

SDN投资问题4:没有标准的SDN或技能

因为工程师们都接触到了SDN，所以他们需要新技能，但是他们不确定从哪里开始，因为不确定哪个SDN策略会坚持到最后。“网络专家希望了解SDN如何影响他们现有的技能。” Parry说。

工程师希望看到SDN如何实现标准化，然后了解如何适应一个新的技能。仅仅是在2年前，OpenFlow还被假设会成为SDN的核心，但是现在很多供应商和业内组织都越来越排斥OpenFlow。从这一点上说，“工程师必须学习一些新事物，包括OpenFlow，”Parry说。

SDN投资问题5：把SDN卖给决策者

尽管网络专家和IT经理都倾向于SDN及其优点，他们还是不得不说服上级对SDN进行投资，这并不容易。

“SDN产业还没有腾飞，因为它需要大量的时间，金钱和硬件设施。将这种需要长期投入的产业推荐给董事会投资是许多CIO不准备做的事。”一位名叫Ben Rothke的国际酒店的信息安全经理这样说道。

SDN是一个需要付出巨大努力的基础重建工程。“许多CIO没有时间，工作人员，资金来进行这项工作。”他说。很多抱有“另一个网络方法”这样想法的人都被这些条件吓跑了，他随后补充道。如果有更多的SDN使用的例子，这项技术可能更容易卖出去。

Rothke说：“SDN被定义为一个新兴的架构。这里的关键是新兴。它是发展着的，走向成熟的而且似乎并没有很多大的成功的案例。”

Rothke说当他的很多同行告诉他SDN的作品的时候，他很乐意推广SDN投资的项目。“我不需要供应商的白皮书，在线研讨会或者研讨会。如果我的同事和同行都在信赖它而不是批判它，这会是一个很赞的方法认识一项技术。”他说。

译自：http://searchsdn.techtarget.com/feature/Five-reasons-IT-pros-are-not-ready-for-SDN-investment