基于sdn的信息网络的设计与实现

1. SDN技术的应用场景

SDN技术的应用场景

SDN网络能力开放化的特点，使得网络可编程，易快捷提供的应用服务，网络不再仅仅是基础设施，更是一种服务，SDN的应用范围得到了进一步的拓展。下面是我带来的SDN的五大应用场景，希望对你有帮助!

针对网络的主要参与实体进行梳理后，SDN的应用场景基本聚焦到电信运营商、政府及企业客户、数据中心服务商以及互联网公司。关注的SDN应用场景主要聚焦在：数据中心网络、数据中心间的互联、政企网络、电信运营商网络、互联网公司业务部署。

场景1：SDN在数据中心网络的应用

数据中心网络SDN化的需求主要表现在海量的虚拟租户、多路径转发、VM(虚拟机)的智能部署和迁移、网络集中自动化管理、绿色节能、数据中心能力开放等几个方面。

SDN控制逻辑集中的特点可充分满足网络集中自动化管理、多路径转发、绿色节能等方面的要求;SDN网络能力开放化和虚拟化可充分满足数据中心能力开放、VM的智能部署和迁移、海量虚拟租户的需求。

数据中心的建设和维护一般统一由数据中心运营商或ICP/ISP维护，具有相对的封闭性，可统一规划、部署和升级改造，SDN在其中部署的可行性高。数据中心网络是SDN目前最为明确的应用场景之一，也是最有前景的应用场景之一。

场景2：SDN在数据中心互联的应用

数据中心之间互联网的网络具有流量大、突发性强、周期性强等特点，需要网络具备多路径转发与负载均衡、网络带宽按需提供、绿色节能、集中管理和控制的能力。如下图所示的SDN技术在多数据中心互联场景下的应用架构图所示，引入SDN的网络可通过部署统一的控制器来收集各数据中心之间的流量需求，进而进行统一的计算和调度、实施带宽的灵活按需分配、最大程度优化网络、提升资源利用率。

目前Google已经在其数据中心之间应用了SDN技术，将数据中心之间的链路利用率提升至接近100%，成效显著。

场景3：SDN在政企网络中的应用

政府及企业网络的业务类型多，网络设备功能复杂、类型多，对网络的安全性要求高，需要集中的管理和控制，需要网络的灵活性高，且能满足定制化需求。

SDN转发与控制分离的架构，可使得网络设备通用化、简单化。SDN将复杂的业务功能剥离，由上层应用服务器实现，不仅可以降低设备硬件成本，更可使得企业网络更加简化，层次更加清晰。同时，SDN控制的逻辑集中，可以实现企业网络的集中管理与控制，企业的安全策略集中部署和管理，更可以在控制器或上层应用灵活定制网络功能，更好满足企业网络的需求。

由于企业网络一般由企业自己的信息化部门复杂建设、管理和维护，具有封闭性，可统一规划、部署和升级改造，SDN部署的可行性高。

场景4：SDN在电信运营商网络的应用

电信运营商网络包括了宽带接入层、城域层、骨干层等层面。具体的网络还可分为有线网络和无线网络，网络存在多种方式，如传输网、数据网、交换网等。总的来说，电信运营商网络具有覆盖范围大、网络复杂、网络安全可靠性要求高、涉及的网络制式多、多厂商共存等特点。

SDN的转发与控制分离特点可有效实现设备的逐步融合，降低设备硬件成本。SDN的控制逻辑集中特点可逐步实现网络的集中化管理和全局优化，有效提升运营效率，提供端到端的`网络服务;SDN的网络能力虚拟化和开放化，也有利于电信运营商网络向智能化，开放化发展，发展更丰富的网络服务，增加收入。

例如NTT和德国电信都开始试验部署SDN，其中NTT搭建了很快日本和美国的试验环境，实现网恋过虚拟化，并故那里跨数据中心的WAN网络;而德国电信在云数据中心、无线、固定等接入环境使用SDN。

但是，SDN技术目前尚不够成熟，标准化程度也不够高。大范围、大量网络设备的管理问题，超大规模SDN控制器的安全性和稳定性问题，多厂商的协同和互通问题，不同网络层次/制式的协同和对接问题等均需要尽快得到解决。目前SDN技术在电信运营商网络大规模应用还难以实现，但可在局部网络或特定应用场景逐步使用，如移动回传网络场景、分组与光网络的协同场景等。

场景5：SDN在互联网公司业务部署中的应用

SDN即软件定义网络，然而笔者认为SDN的研究重点不应放在软件如何定义网络，而应在于如何开放网络能力。网络的终极意义在于为上层应用提供网络服务，承载上层应用。NaaS是网络的最终归宿。互联网公司业务基于SDN架构部署，将是SDN的重要应用场景。

SDN具有网络能力开放的特点，通过SDN控制器的北向接口，向上层应用提供标准化、规范化的网络能力接口，为上层应用提供网络能力服务。ICP/ISP可根据需要获得相应的网络服务，有效提升最终用户的业务体验。

国内企业如腾讯、网络等都在加快SDN的实验室部署，例如腾讯，利用SDN实现差异化的路径计算、流量控制和服务，为用户提供更好体验。

2. sdn网络架构的三大特征

SDN是Software Defined Network(软件定义网络)的缩写，顾名思义，这种网络技术的最大特点就是可以对网络进行编程。

SDN是一种非常新兴的技术，通过增加对网络的可编程性来革新当前偏重静态、配置复杂、改动麻烦的网络架构。SDN的一个非常大的优点就是它不属于某一家商业公司，而是属于所有IT企业和一些标准组织，因此SDN的发展也可以打破目前一些网络巨头的垄断并为网络技术的飞速发展提供动力。

SDN的定义和架构都不只有一种，但是最重要的一个就是ONF(Open Network Foundation开放网络基金会)定义的SDN和架构。因为其他的一些定义和架构多少会偏向于少数商业利益团体，所以我们以这个最为开放，也最为'标准化'的定义来介绍SDN。

如上所说，SDN就是通过软件编程来构造的网络，这种网络和传统的网络(比如以交换机、路由器为基础设施的网络)都可以实现作为一个网络应该具有的互联共享功能。但是相比后者，SDN网络带来一些更加强大的优势，查阅了身边的一些书籍和ONF官网上的一些资料，下面把这些优点用好理解的方式大致介绍一下，有些不大显眼的优点这里就不列出来了：

1. SDN网络可以建立在以x86为基础的机器上，因为这类机器通常相比专业的网络交换设备要更加便宜，所以SDN网络可以省下不少构建网络的费用，尤其是你的网络根本不需要太豪华的时候。

2. SDN网络能够通过自己编程实现的标识信息来区分底层的网络流量，并为这些流量提供更加具体的路由，比如现在底层来了一段语音流量和一段数据流量，通常语音流向需要的带宽很小但是相对来说实时性大一点，但是数据流量则正好相反，SDN网络可以通过辨别这两种流量然后将他们导入到不同的应用中进行处理。

3. SDN可以实现更加细粒度的网络控制，比如传统网络通常是基于IP进行路由，但是SDN可以基于应用、用户、会话的实时变化来实现不同的控制。

4. 配置简单，扩展性良好，使用起来更加灵活。

ONF的SDN基本架构：

可以看到每一层其实都并不是只包含自己要负责的功能，每一层都多少会涵盖一些管理类的功能。

途中蓝色的方块的区域可以被看做是网络的提供者，红、绿色方块的区域可以被看做是网络的消耗者。这张图更加直白的凸显了"平面"这个概念。

3. 简述如何利用SDN技术解决网络安全问题

SDN的三个特征：

1、控制平面与数据平面的分离： 此处的分离是指控制平面与数据平面的解耦合。控制平面和数据平面之间不再相互依赖， 两者可以独立完成体系结构的演进， 双方只需要遵循统一的开放接口进行通信即可。 控制平面与数据平面的分离是 SDN 架构区别于传统网络体系结构的重要标志，是网络获得更多可编程能力的架构基础。

2、网络开放可编程： SDN 建立了新的网络抽象模型，为用户提供了一套完整的通用 API，使用户可以在控制器上编程实现对网络的配置、 控制和管理， 从而加快网络业务部署的进程。

3、逻辑上的集中控制： 主要是指对分布式网络状态的集中统一管理。 在 SDN 架构中，控制器会担负起收集和管理所有网络状态信息的重任。 逻辑集中控制为软件编程定义网络功能提供了架构基础，也为网络自动化管理提供了可能。

在这三个特征中，控制平面和数据平面分离为逻辑集中控制创造了条件，逻辑集中控制为开放可编程控制提供了架构基础，而网络开放可编程才是 SDN 的核心特征。

网络可视性将确保更好的网络监控。以安全为中心的SDN的范式包含五个基本属性，从数据平面解耦安全、监控和交换元件，这将允许企业更好地控制流经网络的流量。网络可视性将确保更好 的网络监控。简化的安全基础设施将提高网络的灵活性，从而更好地整合多种安全设备和解决方案。这种灵活性使企业能够将多个最佳安全解决方案编排为统一的优 化的防御层。另外，自动化配置不仅能够减少网络复杂性，还能够支持更好的访问管理。总而言之，这五个属性能够大大提高网络的安全性。

这种网络中的每个现有安全组件随后都可以分配为解决特定的风险和漏洞问题。这种网络作为一个整体，能够根据所检测到的威胁来调整自己的行为，转移可疑流 量、改变安全设备的响应，或者阻止数据包，所有这些操作几乎不需要人为干预。这种以安全为中心的SDN还能够承担多个安全工具的职责，抵御攻击

4. 如何将sdn和自动化嵌入下一代云数据中心

云计算时代，企业需要新型的数据中心网络架构。而新型网络架构主要指的就是借助软件定义网络和网络自动化平台来打造数据中心网络架构。硬件厂商形象深入人心的戴尔近年来也进行了超过120亿美金的收购，改变自己的IT形象，其中就包括了大量的软件定义网络产品。本文中，我们一起谈谈SDN和自动化在云时代的意义。
虚拟网络架构之于云
虚拟网络架构是动态数据中心的基石。为数据中心内应用程序附加价值与优先级，其根本出发点在于价值。直到现在，数据中心的网络设计仍然是一种设计不当的蓝图：它与所运行上层应用关系不大。随着虚拟化的出现，现在竞争局面已经完全颠倒。一个正确的数据中心网络设计现在必须从这些问题开始：我希望在虚拟化分层上做什么？我应该如何移动虚拟机？我应该如何在虚拟机中部署应用程序？我们应该如何规划这些应用程序的网络需求？另外，我应该如何保证这些应用在数据中心的分发时间，它们如何最大程度上利用底层网络？因此，软件定义网络（SDN）很适合用于动态调整位于应用层之上的网络，从而使之最适合应用程序运行。
为了实现这种设计，企业需要采用一种三层架构，其中包括应用与管理层、控制器和交换机。控制器成为另一种指令分发器，它与上一层次分离。戴尔基于OpenFlow标准的交换机，它整合了所有方面。并且戴尔认为自己有机会将应用层与控制器、交换机连接在一起。
网络虚拟化与SDN的结合
经常有CIO问道如何将网络虚拟化与SDN结合。使用SDN，就不需要使用手工过程或命令行界面更改网络配置。不需要聘请经过专业培训的网络工程师。只需要请一些开发人员，在一个自动化系统上整合以下功能：获取应用管理级分层上的指令，将它发送给控制器，而交换机上不需要编程。假设您想要在半夜时在两个终端间传输大量数据。最好的方式是，应用可以在完全不需要人工干预的前提下初始化一个具有大带宽的VPN通道。所以，SDN就成为一种基于应用需求以实时方式实现网络可编程性的方法。
网络与OpenStack或CloudStack的整合
OpenStack是一个新领域。有些人可能会认为让大多数客户将整个私有云运行在OpenStack上，现在并不是黄金时期。但是，戴尔非常看好OpenStack，因为它允许使用一些常规开源开发生态系统实现大量的创新。戴尔参与了OpenStack社区的许多扩展开发。系统地开发OpenStack架构中网络、服务器和存储的模块与插件。如果是云服务提供商，那么可以使用戴尔的存储、服务器和网络，而不需要依赖于VMware或微软虚拟机管理程序。最终，私有云客户也一样适合使用。OpenStack可以成为它的最有效替代方法。这可能需要一定的时间，因为不同的客户拥有不同的复杂度和用例。因此，OpenStack肯定属于云服务提供商可以挖掘经济价值的高端领域，但是对于大多数企业而言，这仍然是一种虚拟机管理程序主导的领域。
SDN中是否还需要结构（Fabrics）
几年前，结构（Fabrics）只出现在数据中心。结构这个概念是用于解决所有的数据中心网络问题，在结构兴起一段时间之后，戴尔认识到这里涉及许多差别很大的客户。客户拥有不同级别的数据中心问题。二层端到端结构已经成为Juniper和Brocade等公司的主推技术。但是，它们不仅非常复杂，而且必要性也不如刚提出时那么明显。有越来越多的Web 2.0数据中心会在连接三层产品的二层网络孤岛之间进行平衡。一个扁平交换机的控制范围符合管理这些网络的现实情况。将旧式有限的二层网络连接到三层网络上，正是最高级Web 2.0数据中心公司目前正在做的工作。结构并没有死去，但是它们需要在数据中心的运营要求与需求上经过现实考验。此外，SDN正成为结构的一个有趣热点。戴尔甚至还没有将它界定为结构的范畴，将它称为端到端的二三层协议数据中心网络。戴尔所关心的是，保证虚拟与服务器计算节点能够以无阻塞高带宽方式连接数据中心内每一台设备。
是否要转到40Gb和100Gb以太网
戴尔认为转到40Gb和100Gb以太网是非常重要的。如果每一台服务器都能够配备10Gb连接，而应用需要访问和管理数据，意味着每一台服务器节点的虚拟机密度更大，那么带宽需求会按指数级增加。按照定义，假设一台服务器有10Gb带宽，那么上游流量则需要40或100Gb。100Gb并非是必须的配置。但是，如果您想开发40Gb无阻塞分布式核心架构，并且想要直接扩展中心与叶子节点，那么就一定需要这个配置，这样就可以实现40Gb主干网络，从而实现机架内东西向及机架与分布式核心网络的最大路由速度。组合使用10Gb和40Gb，更重要的是在架构上进行整合，就能够在数据中心内实现足够大的带宽。现在，大多数流量发生在虚拟机之间；即所谓的东西向流量。这时您必须先优化本地流量，然后再想办法实现100Gb或以上的主干网络。数据中心以外的终端用户可能会有这样的需求，但是暂时还不需要在WAN链路上实现10Gb或40Gb带宽。
无论如何，SDN和自动化对于未来的网络以及云数据中心而言都是非常重要的，企业需要开始学习接纳SDN，探索如何向SDN过渡。

5. SDN如何实现自动化网络安全性求解答

》中认为集中控制和大范围自动化将是软件定义网络的核心功能——最终实现适应性自动化网络安全。这个愿景正开始变成现实。由SDN实现的集中控制最终将带来安全定义路由及其他SDN安全策略，它们可能彻底改变我们定义网络及其应用或数据的方式。
德克萨斯州A&M博士生Seungwon Shin的科研工作是分析SDN将如何改变网络安全性。Shin在大学期间发表了两篇关于SDN网络安全策略的文章。第一篇是“CloudWatcher：在动态云网络中使用OpenFlow实现网络安全监控”，介绍了一种在云环境中使用SDN控制平台（如NOX和Beacon——最初由斯坦福大学开发的OpenFlow SDN控制器）执行安全监控的方法。
Shin与其博士生同学Guofei Gu一起设计了一种新的策略语言，它可用于识别网络设备及其特殊的监控功能集。通过使用这种语言，控制器就可以直接监控指定设备之间的流量。它们还可以自动将云环境中的虚拟机迁移流量及其他动态事件的流量转发到其他网络位置。这意味着它们可以将流量传输到入侵防御系统（IDS），允许安全团队根据需要监控超动态环境的事件。在这种模型中，Shin和Gu实际上设计了安全定义路由与流量控制的基础——即使仍然使用传统网络安全控制。
OpenFlow控制的SDN安全应用
在Shin的第二篇论文“FRESCO：模块化可组合的软件定义网络安全服务”中，Shin与同学们一起探讨了SDN（特别是OpenFlow）所缺少的决定性安全应用，并且提出一个面向SDN安全用例的新开发框架FRESCO。这个框架的脚本功能允许安全人员创建新的模块化库，整合和扩展安全功能，从而使用OpenFlow控制器和硬件进行控制和管理流量。FRESCO包括16个模块，其中每一个都有5个接口：输入、输出、事件、参数和操作。通过将这些值分配给这些接口，就可以实现许多通用网络安全平台和功能，从而替代防火墙、IDS和流量管理工具。
SDN和自动化网络安全的实践应用
虽然这些概念仍然在学术研究阶段，但是供应商和标准组织已经有许多实现基于SDN安全策略的实际例子。例如，sflow.com网站上有一篇博客“sFlow Packet Broker”，它介绍了一个简单的Python脚本，它可以将inMon的Flow-RT控制器应用配置为监控所有流量，专门查找通向TCP端口22（SSH）的通用路由封装（Generic Route Encapsulation）通道的流量。一旦检测有问题的流量，它就会生成一个警报，从而触发分析捕捉到的数据包。这些警报还会产生更多高级响应，如用于流量控制的防火墙集成API、开放或关闭的端口、将流量移到其他网段或VLAN，等等。
同时，虚拟防火墙也已经可以使用开放API将安全功能整合到网络中。Netuitive公司产品管理主管Richard Park写过一篇博客，其中他介绍了如何在Perl代码中使用一个RESTful API查询和更新VMware vShield的防火墙规则， 而这只是冰山之一角。在出现新的SDN工具和编制平台之后，大多数网络安全检测和响应功能很快都变得越来越自动化，支持更加快速的意外处理，而且在攻击发生时发挥像“辅助呼吸室”一样的作用。