【SDNLAB独家译稿】 在软件定义网络实践演示中，HP通过一个DNS安全应用向2014年纽约interop大会参与者展示了如何用OpenFlow SDN控制器选择DNS请求包进行校验。

在这种情况下，SDN控制器告诉SDN交换机基础设备利用协议和端口号识别DNS请求。然后SDN交换机设备就会将请求转发给一个安全应用，验证该请求是有效的，非恶意域名。DNS校验是一个简单的方法，有助于减少公司用户被恶意病毒感染的数量。当有人点击一个恶意网站的链接，DNS请求将域名映射到某个恶意感染控制器。返回公司内一个安全服务器的IP地址对用户进行告警，向员工进行即时教育的同时清除恶意病毒。

Chris Young是一个技术营销工程师， Jeff Enters是一个技术服务团队的首席架构师，他们提出向网络领域团队做这个演示，与其他演示嘉宾不同，他们采用白板模式进行演示，你可以通过下方视频观看他们的演示也可以在科技网站进一步阅读演示的内容。

这并不是HP第一次做SDN实践演示，在2013年4月的开放网络峰会上，Microsoft Lync 视频通话一开始，HP演示了在HP网络基础设备上动态应用QoS技术。那个简单的QoS包含SDN一个核心功能：动态控制网络。我将其称之为“敏捷网络的诞生。”HP还演示了一个应用版本，名为网络优化。从那时起，很多公司用SDN产品演示类似功能。

最新一次的演示中，HP展示了一个双控制器应用。然而，当我询问处理split-brain故障的机制时，这个演示嘉宾告诉我还未支持该功能。Chris暗示HP可能会在明年展示一些相关东西。我并不是想为难这个演示嘉宾，我想弄清楚的是OpenFlow SDN控制器的成熟，以及它怎样处理可能的故障。

该演示的用处之一就是展示SDN应用的发展速度，与BlueCats DNS校验应用相结合每秒可以处理成千上万种DNS请求（演示中是40000）。对一个本地应用而言这个速度很合理。但是，为了让它更有趣、实用，HP决定不使用本地DNS校验服务器。当在纽约进行演示时，DNS校验服务器放置于旧金山，为请求-回复事件添加了关键的时延。即使加了时延，用户几乎看不出有什么变化，这就是我期望看到的。向长时间事件中再添加100ms的时延，一般上网的用户基本不会察觉。

演示有很多有趣的方面，其中之一就是HP团队需要设计一个方案，防止网络和应用多次检查数据包。之所以发生这种情况，是因为边缘交换机识别DNS数据包后，必须转发给远程DNS安全应用。网络必须保证转发的DNS数据包不能被重复选择用于校验。为了解决这个问题，HP在边缘交换机和DNS安全应用之间使用隧道。在一个更具可扩展性的网络中隧道不起作用，所以网络就会知道不能多次检查DNS数据包。

HP也在打造SDN app store，用户可以获取网络感知应用。例如，一个BlueCats app可以让它的DNS校验服务器感知HP网络，并且在实际环境中提供上述功能。

转载自：nojitter，http://www.nojitter.com/post/240169233/hp-demos-practical-use-of-sdn-for-dns-requests