軟體定義網路(sdn,software defined network),是由美國史丹福大學clean slate研究組提出的一種新型網路創新架構,其核心技術openflow通過將路由器和交換機中的控制平面分離出資料平面,這個控制平面是開放的,並且受到集中控制,同時將命令和邏輯傳送回硬體的資料平面。從而實現了網路流量的靈活控制,為核心網路及應用的創新提供了良好的平台。相關的概念還有:軟體定義環境、軟體定義儲存、軟體定義資料中心、opendaylight開源sdn專案。
軟體定義網路目的是將網路控制與物理網路拓撲分離,從而擺脫硬體對網路架構的限制。這樣的話,企業就可以通過軟體對網路架構修改,獲得企業對網路的需求,達到底層交換機和理由器等硬體無需替換,為企業節省成本。軟體定義網路能夠從路由器和交換機中的控制平面分離出資料平面,這個控制平面原本是專有的,只有開發它們的**商知道,而在sdn中,控制平面將是開放的,並且受到集中控制,同時將命令和邏輯傳送回硬體(路由器或交換機)的資料平面。
sdn軟體定義網路強調兩方面的能力:
1、 控制**分離:傳統網路裝置緊耦合的網路架構,被分拆成控制和**兩個平面。同時,在控制平面,增加集中控制器進行整體排程,將命令和邏輯傳送回硬體(路由器或交換機)的資料**平面。
2、 開放api及軟體定義:即通過基於sdn技術的對外開放的api進行軟體程式設計,實現整個網路集中的管理能力,而不需要在每個路由器或交換機上分別以裝置為中心進行管理。
簡單化,可以實現中心控制,可以使得很多複雜的協議處理得到簡化;
快速部署與維護;
靈活擴充套件,從乙個機櫃大的網路還可以擴充套件到像大的運營商的網路,也可以從乙個控制器得到控制;
開放性,因openflow是其重要的組成部分,它的資料**功能和網路控制功能是分離的,由於這種分離可以分別由交換機來處理,分別由網路控制器處理,從而簡化了網路的管理,由此可以使使用者有更多的選擇自定義網路節省他的投資,使使用者選擇多家裝置共存,打破壟斷。使用者根據自己的需求和需要在任何時候方便公升級。
擁有了自由移動的sdn軟體定義網路後,工程師將能夠通過快速且高水平地檢視網路的所有區域以及修改網路來改變規則。
這種自由和控制還能為你的系統帶來更好的安全性。通過快速限制以及從**視角檢視網路內部的能力,管理人員可以有效地作出更改。例如,如果你的網路中爆發了惡意軟體,通過sdn軟體定義網路和openflow,你將能夠迅速地從集中控制平面阻止這種流量來限制這種爆發,而不需要訪問多個路由器或交換機。
快速對網路作出調整的能力使管理人員能夠以更安全的方式來執行流量整形和資料報qos.這種能力現在已經存在,但速度和效率不好,當管理人員在試圖保護網路安全時,這將限制他們的能力。
儘管圍繞軟體定義網路(sdn)的所有興奮點都是由openflow刺激起來的,但openflow並非實現sdn的唯一方法或者唯一途徑。就目前而言,實現sdn,除了openflow以外,至少還有6種途經。
命令列介面(cli):cli是交換機和路由器的常用介面,網路經理們常用它來配置交換機,啟用或者禁用某些服務。
arista網路的ceo jayshree ullal說,「要想開放,不只有一種方法。要想擴充套件,也不只一種方法。cli雖然不是我們常用的可程式設計介面,但它依然是今天很多人構建現實網路的方法。」
snmp:簡單網路管理協議是網路管理的乙個重要部分。在各項活躍的管理任務中,snmp常被用來修正和應用新的配置,而且是通過遠端修正配置資訊實現的。
xmpp:可擴充套件的訊息處理現場協議(xmpp)是處理現場和訊息路由的乙個xml流協議。它還可提供安全但是方便的可程式語言,用於耦合多種不同的網路。
netconf:ietf的netconf旨在減少與自動化裝置配置有關的程式設計工作量。netconf可使用xml來配置裝置,實現更高效的分路狀態,並在裝置上儲存配置資料。
openstack:openstack是rackspace/nasa為雲計算而建立的乙個開源專案,這個模組化的開源軟體可用域開發公有雲和私有雲計算架構和控制器。目前已有超過135家公司參與了openstack專案。
虛擬化軟體api:hypervisor中的api和其他虛擬化軟體,如vmware的vsphere,虛擬化伺服器、儲存和網路資源等都可以按需集中並分配給各種應用。它們包含可定義資源池的工具,以及定義服務等級的業務工具,並能自動強制執行服務等級,以確保應用的可用性、效能、安全和擴充套件性。
雖然sdn(軟體定義網路)技術在中國正處於試驗階段,但一些院校已經開始對軟體定義網路進行研究和測試。清華研究院博士生亓亞烜介紹了清華sdn團隊在架構、安全性、資源管理等方面的研究程序,到目前為止已經執行一年之久。
軟體定義網路技術在中國發展的阻礙
在美國,一批像nicira、xsigo、contrail systems等軟體定義網路創業公司的迅速發展,以及nec、ntt一些產品,使sdn有了很多成功的經驗參考,但這些產品還並未進入中國,並且sdn切斷了網路硬體裝置和網路系統的**,從某種角度來講,會對中國的華為、中興等網路硬體製造商不利,雖然不會出面阻止趨勢的發展,但在目前,依靠它們來推動sdn發展還是很難。
軟體定義網路在中國發展的未來
雖然sdn在中國目前還沒有成功案例,很多人在持有懷疑的態度觀望,讓sdn在中國快速發展還是乙個比較艱難的過程,但隨著sdn的相關公司越來越多,一些相關的研究越來越深入,相信,在不遠的將來,sdn 軟體定義網路在中國會一步步成熟起來。
了解和審核誰訪問過控制器以及控制器在網路中的位置。需要記住--訪問控制器可能讓攻擊者完全控制,因此,必須保護控制器的安全。
檢查控制器和終端節點(路由器或交換機)之間的安全性-特別是它們正在通過ssl通訊來防止來自控制器的任何惡意訪問。正如其他任何技術一樣,如果沒有從一開始考慮安全性,那麼你必須在稍後增加安全性,但這樣做往往更加困難且昂貴。
確保正確配置節點和控制器間的安全性。
確認控制器的高可用性。為控制器創造業務連續性是很重要的,因為如果控制器丟失的話,管理網路的能力同樣也沒有了,sdn(軟體定義網路)和openflow的所有優勢也將喪失。
確認系統的任何變化都進行了日誌記錄。由於管理人員集中控制網路,應該日誌記錄每乙個變化,並將其傳送到公司的日誌管理解決方案。
在部署軟體定義網路sdn時,確保企業中可能阻止或記錄變化的siem、ips及任何其他過濾技術進行了相應的更新。同時,關聯來自siem的日誌以提醒管理人員變化情況。通過siem跟蹤自定義事件(例如登入失敗和政策變化)將確保系統的安全性。
確保ips沒有將這種流量認為是惡意流量。在該過濾系統中配置相應的規則以允許控制器在需要的時候與節點通訊。
原文:
SDN 軟體定義網路
軟體定義網路 software defined network,sdn 是 emulex 網路一種新型網路創新架構,是網路虛擬化的一種實現方式,其核心技術 openflow 通過將網路裝置控制面與資料面分離開來,從而實現了網路流量的靈活控制,使網路作為管道變得更加智慧型。為資料中心網路架構帶來的變化...
SDN 軟體定義網路
最近高階網路課的小組任務是在老師給定的範圍內自選方向主題研究並做展示報告。我們組選了 sdn。原以為這東西會是工業界無人問津的概念化產品,google 了一下卻發現其實 sdn 挺火的,由於它可能帶來的可擴充套件性,一些大網際網路企業也在開始涉足相關的研發,比如 google 呵 facebook。...
軟體定義網路 SDN 工作原理
管理平面 管理裝置 snmp 主要包括裝置管理系統和業務管理系統,裝置管理系統負責網路拓撲 裝置介面 裝置特性的管理,同時可以給裝置下發配置指令碼。業務管理系統用於對業務進行管理,比如業務效能監控 業務告警管理等。控制平面 路由協議 igp bgp egp 負責網路控制,主要功能為協議處理與計算。比...