姓名:楊其鵬 學(xué)號:16019110048
轉(zhuǎn)載自:http://m.blog.csdn.net/zy1561/article/details/53282129
嵌牛導(dǎo)讀:SDN整體解決方案以SDN控制器為核心森篷,以O(shè)penflow交換機(jī)和NFV網(wǎng)絡(luò)功能虛擬化為支撐输钩,提供豐富的SDN APP,為用戶提供智能仲智、動態(tài)买乃、開放、自定義钓辆、快速創(chuàng)新的新一代網(wǎng)絡(luò)剪验。
嵌牛鼻子:SDN
嵌牛提問:SDN常見的應(yīng)用的場景有哪些?
嵌牛正文:
由于虛擬機(jī)遷移的網(wǎng)絡(luò)屬性要求前联,當(dāng)從一個物理機(jī)上遷移到另一個物理機(jī)上功戚,要求虛擬機(jī)不間斷業(yè)務(wù),需要其IP地址似嗤、MAC地址等參數(shù)保持不變啸臀,如此則要求業(yè)務(wù)網(wǎng)絡(luò)是一個二層網(wǎng)絡(luò)。傳統(tǒng)的二層無法穿越中間的三層網(wǎng)絡(luò)烁落,此外傳統(tǒng)的VLAN只能支持4K個VLAN乘粒,虛擬機(jī)規(guī)模受網(wǎng)絡(luò)規(guī)格限制,網(wǎng)絡(luò)隔離能力也同樣受到限制伤塌。
Overlay是在傳統(tǒng)網(wǎng)絡(luò)上虛擬出一個虛擬網(wǎng)絡(luò)谓厘,傳統(tǒng)網(wǎng)絡(luò)不需要再做任何改變。虛擬化后的業(yè)務(wù)網(wǎng)絡(luò)為Overlay寸谜,中間的傳統(tǒng)承載網(wǎng)絡(luò)為underlay。Overlay的技術(shù)路線属桦,對物理設(shè)備的要求降至最低熊痴,業(yè)務(wù)完全定義在overlay網(wǎng)絡(luò)上。典型的overlay實(shí)現(xiàn)為VXLAN聂宾,是一種將二層報文用三層協(xié)議進(jìn)行封裝的技術(shù)果善,可以對二層網(wǎng)絡(luò)在三層范圍進(jìn)行擴(kuò)展。它應(yīng)用于數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間系谐,使虛擬機(jī)可以在互相連通的三層網(wǎng)絡(luò)范圍內(nèi)遷移巾陕,而不需要改變IP地址和MAC地址讨跟,保證業(yè)務(wù)的連續(xù)性。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識鄙煤,使用戶可以創(chuàng)建16M相互隔離的虛擬網(wǎng)絡(luò)晾匠,突破了傳統(tǒng)VLAN所能表示的4K個隔離網(wǎng)絡(luò)的限制,這使得大規(guī)模多租戶的云環(huán)境中具有了充足的虛擬網(wǎng)絡(luò)分區(qū)梯刚。
2凉馆、Service Function Chaining
虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的分離,讓數(shù)據(jù)中心網(wǎng)絡(luò)變得更加靈活亡资,更具有可擴(kuò)展性澜共。而對虛擬網(wǎng)絡(luò)的控制,也僅僅需要集中在網(wǎng)絡(luò)邊緣即可锥腻。然而Overlay技術(shù)并沒有解決所有問題嗦董,數(shù)據(jù)中心中還有很多Middleware,如防火墻瘦黑、負(fù)載均衡器等京革,這些設(shè)備都是基于用戶業(yè)務(wù)來處理的,如果通過隧道而穿越這些設(shè)備供璧,顯然是不行的存崖。特別是在VM遷移時,防火墻里面的基于Flow的Status其實(shí)并沒有遷移睡毒。同時来惧,傳統(tǒng)的防火墻、負(fù)載均衡器的部署演顾,都是與網(wǎng)絡(luò)拓?fù)渚o密相關(guān)供搀,需要根據(jù)報文路徑來放置防火墻/負(fù)載均衡器。
我們把虛擬防火墻/負(fù)載均衡器/網(wǎng)關(guān)等業(yè)務(wù)處理功能钠至,稱為Service Function葛虐,而流量經(jīng)過一系列的Service Function的處理,形成Service FunctionChaining棉钧,即業(yè)務(wù)功能鏈屿脐。在這樣一個Service Function Chaining中,如何能夠?qū)⒘髁快`活的調(diào)配到某個Service Function進(jìn)行處理宪卿,形成Service FunctionChaining的诵,傳統(tǒng)的SFC方案有基于源路由實(shí)現(xiàn),和對MP-BGP進(jìn)行擴(kuò)展定義新的NLRI來改變傳統(tǒng)的路由下一跳行為佑钾。新型的云虛擬化環(huán)境下則采用NSH來實(shí)現(xiàn)西疤。
傳統(tǒng)的管理方式如網(wǎng)管軟件、流量分析儀休溶、安全設(shè)備等工具有很大的局限性代赁。它們只能在有限的范圍內(nèi)實(shí)現(xiàn)有限的網(wǎng)絡(luò)監(jiān)控扰她,而不能發(fā)現(xiàn)網(wǎng)絡(luò)的異常。
基于SDN的網(wǎng)絡(luò)流量可視化芭碍,幫助更快速有效的識別網(wǎng)絡(luò)流量徒役、網(wǎng)絡(luò)負(fù)載、異常事件和網(wǎng)絡(luò)攻擊豁跑。將網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來廉涕,利用人們的視覺功能處理這些大量的數(shù)據(jù)信息,將可視化技術(shù)引入到網(wǎng)絡(luò)領(lǐng)域和安全領(lǐng)域艇拍。
SDN網(wǎng)絡(luò)流量可視化深度提取網(wǎng)絡(luò)2-7層信息狐蜕,快速識別數(shù)據(jù)模式和數(shù)據(jù)差異,發(fā)現(xiàn)數(shù)據(jù)的異常值和錯誤卸夕。對當(dāng)前的網(wǎng)絡(luò)運(yùn)行情況進(jìn)行識別聚類层释,通過大數(shù)據(jù)分析,識別當(dāng)前網(wǎng)絡(luò)快集,并預(yù)知規(guī)劃未來網(wǎng)絡(luò)贡羔。此外,流量可視化還從中發(fā)現(xiàn)異常事件个初,發(fā)現(xiàn)安全威脅乖寒,做好安全防御。
DDOS的攻擊可謂是千變?nèi)f化院溺。SDN技術(shù)將網(wǎng)絡(luò)控制轉(zhuǎn)移到專用SDN控制器上楣嘁,由它負(fù)責(zé)管理和控制虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的所有功能。SDN安全策略支持更深層次的數(shù)據(jù)包分析珍逸、網(wǎng)絡(luò)監(jiān)控和流量控制媳荒,對于防御網(wǎng)絡(luò)攻擊有很大作用休玩。通過使用可編程的靈活SDN交換機(jī),讓它們作為數(shù)據(jù)包攔截和重定向平臺宝惰,安全團(tuán)隊就可以檢測和防御目前的各種常見攻擊指蚁。典型部署是驾凶,SDN交換機(jī)作為數(shù)據(jù)包提取浊洞、上報藻丢、和攔截設(shè)備,而控制器則作為監(jiān)控杨帽、分析漓穿、和策略下發(fā)設(shè)備。
隨著云的普及睦尽,有數(shù)據(jù)表明越來越多的安全威脅來自于云和網(wǎng)絡(luò)的內(nèi)部。分散的設(shè)備策略配置管理型雳,對管理員安全技能要求高当凡,手工配置和維護(hù)困難山害。物理安全設(shè)備對虛擬機(jī)東西向流量不可見,無法實(shí)施有效的安全策略管理沿量。物理安全設(shè)備大都是封閉浪慌、固化的,不能動態(tài)伸縮朴则。
基于Openflow的SDN天生就yi帶保護(hù)內(nèi)網(wǎng)的機(jī)制权纤。采用內(nèi)網(wǎng)零信任安全機(jī)制,將傳統(tǒng)的連接網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榱阈湃伟踩J轿诙剩依^續(xù)保持基礎(chǔ)架構(gòu)的靈活性汹想,達(dá)到基于主機(jī)級別的云數(shù)據(jù)中心安全防護(hù)和訪問控制。SDNJ基于流細(xì)力度管控撤蚊,提供全局安全策略和自適應(yīng)安全策略古掏。
面對OTT業(yè)務(wù)帶來的巨大壓力,vCPE為電信運(yùn)營商帶來新的機(jī)遇侦啸。運(yùn)營商在將x86這種具有更高計算能力和更標(biāo)準(zhǔn)靈活的硬件架構(gòu)引入到傳統(tǒng)城域網(wǎng)的業(yè)務(wù)邊緣層槽唾。通過部署x86架構(gòu)下的虛擬CPE(VCPE)、虛擬BRAS(VBRAS)和虛擬NAT(VCGN)等資源池光涂,使得用戶接入控制能力得以靈活擴(kuò)展庞萍。
承載傳送網(wǎng)的發(fā)展趨勢歷經(jīng)了SDN、MSTP忘闻、T-MPLS/PBT钝计、PTN/MPLS-TP的發(fā)展階段。PTN繼承了MPLS的轉(zhuǎn)發(fā)機(jī)制和多業(yè)務(wù)承載能力(PW)服赎,繼承了傳送網(wǎng)的OAM和保護(hù)能力葵蒂,去除了IP的復(fù)雜的路由協(xié)議和面向非連接的特性,支持分組交換重虑、QoS和統(tǒng)計復(fù)用能力(IP化)践付,采用面向連接技術(shù),保障業(yè)務(wù)端到端性能保證缺厉。
使用基于SDN的SPTN則將承載網(wǎng)帶入下一個智能化管道時代永高,SPTN提供集中控制能力的智能管道、業(yè)務(wù)快速開通和帶寬按需實(shí)時調(diào)整提针。
SD-WAN是軟件定義廣域網(wǎng)命爬。對于企業(yè)來說,網(wǎng)絡(luò)及其可用性至關(guān)重要辐脖。如果網(wǎng)絡(luò)出現(xiàn)故障饲宛,業(yè)務(wù)將陷于癱瘓。而維護(hù)廣域網(wǎng)的費(fèi)用非常昂貴嗜价,特別是大部分時候都閑置的網(wǎng)絡(luò)艇抠。
SD-WAN具有全局網(wǎng)絡(luò)的可視性幕庐。企業(yè)可在SDN中央控制器系統(tǒng)創(chuàng)建流量轉(zhuǎn)發(fā)策略,并下發(fā)到所有SD-WAN設(shè)備家淤。這些策略可以是基于IP异剥、端口號、時間絮重、QoS等冤寿。SD-WAN集中控制器可以獲取實(shí)時的動態(tài)鏈路信息包括鏈路帶寬利用率、延遲青伤、丟包等督怜,并且根據(jù)這些信息動態(tài)的流量轉(zhuǎn)發(fā)和策略,智能路徑控制和選擇潮模。
在高密度場景的wifi接入亮蛔,經(jīng)常會出現(xiàn)明明布了很多AP,但是終端接入慢的情況擎厢。由于SDN控制器擁有全局的無線網(wǎng)絡(luò)使用情況究流,我們可以通過SDN控制器來進(jìn)行動態(tài)的網(wǎng)絡(luò)資源切片和資源分配,帶來更好的用戶體驗动遭。此外芬探,SDN還可根據(jù)wifi的負(fù)載情況,將AP打開或是關(guān)閉厘惦,從而節(jié)省功耗偷仿。還可以通過集中的控制器對無線作接入、認(rèn)證宵蕉、統(tǒng)計酝静、訪問控制等。
數(shù)據(jù)中心第一代解決方案為vPC+VRRP+L3OSPF+BGP羡玛。第一代方案使用的協(xié)議復(fù)雜别智,可擴(kuò)展性差,為了解決這些問題稼稿,出現(xiàn)了第二代解決方案L3 CLOS薄榛,L3 CLOS使用了BGP+ECMP,協(xié)議簡單让歼,橫向擴(kuò)展能力高敞恋,完成了從scale-up到scale-out的轉(zhuǎn)變。但第二代的缺陷是龐大數(shù)量TOR交換機(jī)的管理工作量太大谋右。
SDN的引入完美解決了前兩代的問題硬猫。第三代數(shù)據(jù)中心解決方案SDN Fabric以SDN控制器為核心,以SDN交換機(jī)為支撐,提供豐富的SDN APP啸蜜,以高可靠服務(wù)為保障的全方位解決方案馏予。為用戶構(gòu)建智能、動態(tài)盔性、開放、自定義呢岗、快速創(chuàng)新的新一代網(wǎng)絡(luò)冕香。并且由于SDN控制器的集中管理,使用TOR集群替代傳統(tǒng)大而笨重的核心交換機(jī)也已成為可能后豫。
