基於sdn的信息網路的設計與實現

1. SDN技術的應用場景

SDN技術的應用場景

SDN網路能力開放化的特點，使得網路可編程，易快捷提供的應用服務，網路不再僅僅是基礎設施，更是一種服務，SDN的應用范圍得到了進一步的拓展。下面是我帶來的SDN的五大應用場景，希望對你有幫助!

針對網路的主要參與實體進行梳理後，SDN的應用場景基本聚焦到電信運營商、政府及企業客戶、數據中心服務商以及互聯網公司。關注的SDN應用場景主要聚焦在：數據中心網路、數據中心間的互聯、政企網路、電信運營商網路、互聯網公司業務部署。

場景1：SDN在數據中心網路的應用

數據中心網路SDN化的需求主要表現在海量的虛擬租戶、多路徑轉發、VM(虛擬機)的智能部署和遷移、網路集中自動化管理、綠色節能、數據中心能力開放等幾個方面。

SDN控制邏輯集中的特點可充分滿足網路集中自動化管理、多路徑轉發、綠色節能等方面的要求;SDN網路能力開放化和虛擬化可充分滿足數據中心能力開放、VM的智能部署和遷移、海量虛擬租戶的需求。

數據中心的建設和維護一般統一由數據中心運營商或ICP/ISP維護，具有相對的封閉性，可統一規劃、部署和升級改造，SDN在其中部署的可行性高。數據中心網路是SDN目前最為明確的應用場景之一，也是最有前景的應用場景之一。

場景2：SDN在數據中心互聯的應用

數據中心之間互聯網的網路具有流量大、突發性強、周期性強等特點，需要網路具備多路徑轉發與負載均衡、網路帶寬按需提供、綠色節能、集中管理和控制的能力。如下圖所示的SDN技術在多數據中心互聯場景下的應用架構圖所示，引入SDN的網路可通過部署統一的控制器來收集各數據中心之間的流量需求，進而進行統一的計算和調度、實施帶寬的靈活按需分配、最大程度優化網路、提升資源利用率。

目前Google已經在其數據中心之間應用了SDN技術，將數據中心之間的鏈路利用率提升至接近100%，成效顯著。

場景3：SDN在政企網路中的應用

政府及企業網路的業務類型多，網路設備功能復雜、類型多，對網路的安全性要求高，需要集中的管理和控制，需要網路的靈活性高，且能滿足定製化需求。

SDN轉發與控制分離的架構，可使得網路設備通用化、簡單化。SDN將復雜的業務功能剝離，由上層應用伺服器實現，不僅可以降低設備硬體成本，更可使得企業網路更加簡化，層次更加清晰。同時，SDN控制的邏輯集中，可以實現企業網路的集中管理與控制，企業的安全策略集中部署和管理，更可以在控制器或上層應用靈活定製網路功能，更好滿足企業網路的需求。

由於企業網路一般由企業自己的信息化部門復雜建設、管理和維護，具有封閉性，可統一規劃、部署和升級改造，SDN部署的可行性高。

場景4：SDN在電信運營商網路的應用

電信運營商網路包括了寬頻接入層、城域層、骨幹層等層面。具體的網路還可分為有線網路和無線網路，網路存在多種方式，如傳輸網、數據網、交換網等。總的來說，電信運營商網路具有覆蓋范圍大、網路復雜、網路安全可靠性要求高、涉及的網路制式多、多廠商共存等特點。

SDN的轉發與控制分離特點可有效實現設備的逐步融合，降低設備硬體成本。SDN的控制邏輯集中特點可逐步實現網路的集中化管理和全局優化，有效提升運營效率，提供端到端的`網路服務;SDN的網路能力虛擬化和開放化，也有利於電信運營商網路向智能化，開放化發展，發展更豐富的網路服務，增加收入。

例如NTT和德國電信都開始試驗部署SDN，其中NTT搭建了很快日本和美國的試驗環境，實現網戀過虛擬化，並故那裡跨數據中心的WAN網路;而德國電信在雲數據中心、無線、固定等接入環境使用SDN。

但是，SDN技術目前尚不夠成熟，標准化程度也不夠高。大范圍、大量網路設備的管理問題，超大規模SDN控制器的安全性和穩定性問題，多廠商的協同和互通問題，不同網路層次/制式的協同和對接問題等均需要盡快得到解決。目前SDN技術在電信運營商網路大規模應用還難以實現，但可在局部網路或特定應用場景逐步使用，如移動回傳網路場景、分組與光網路的協同場景等。

場景5：SDN在互聯網公司業務部署中的應用

SDN即軟體定義網路，然而筆者認為SDN的研究重點不應放在軟體如何定義網路，而應在於如何開放網路能力。網路的終極意義在於為上層應用提供網路服務，承載上層應用。NaaS是網路的最終歸宿。互聯網公司業務基於SDN架構部署，將是SDN的重要應用場景。

SDN具有網路能力開放的特點，通過SDN控制器的北向介面，向上層應用提供標准化、規范化的網路能力介面，為上層應用提供網路能力服務。ICP/ISP可根據需要獲得相應的網路服務，有效提升最終用戶的業務體驗。

國內企業如騰訊、網路等都在加快SDN的實驗室部署，例如騰訊，利用SDN實現差異化的路徑計算、流量控制和服務，為用戶提供更好體驗。

2. sdn網路架構的三大特徵

SDN是Software Defined Network(軟體定義網路)的縮寫，顧名思義，這種網路技術的最大特點就是可以對網路進行編程。

SDN是一種非常新興的技術，通過增加對網路的可編程性來革新當前偏重靜態、配置復雜、改動麻煩的網路架構。SDN的一個非常大的優點就是它不屬於某一家商業公司，而是屬於所有IT企業和一些標准組織，因此SDN的發展也可以打破目前一些網路巨頭的壟斷並為網路技術的飛速發展提供動力。

SDN的定義和架構都不只有一種，但是最重要的一個就是ONF(Open Network Foundation開放網路基金會)定義的SDN和架構。因為其他的一些定義和架構多少會偏向於少數商業利益團體，所以我們以這個最為開放，也最為'標准化'的定義來介紹SDN。

如上所說，SDN就是通過軟體編程來構造的網路，這種網路和傳統的網路(比如以交換機、路由器為基礎設施的網路)都可以實現作為一個網路應該具有的互聯共享功能。但是相比後者，SDN網路帶來一些更加強大的優勢，查閱了身邊的一些書籍和ONF官網上的一些資料，下面把這些優點用好理解的方式大致介紹一下，有些不大顯眼的優點這里就不列出來了：

1. SDN網路可以建立在以x86為基礎的機器上，因為這類機器通常相比專業的網路交換設備要更加便宜，所以SDN網路可以省下不少構建網路的費用，尤其是你的網路根本不需要太豪華的時候。

2. SDN網路能夠通過自己編程實現的標識信息來區分底層的網路流量，並為這些流量提供更加具體的路由，比如現在底層來了一段語音流量和一段數據流量，通常語音流向需要的帶寬很小但是相對來說實時性大一點，但是數據流量則正好相反，SDN網路可以通過辨別這兩種流量然後將他們導入到不同的應用中進行處理。

3. SDN可以實現更加細粒度的網路控制，比如傳統網路通常是基於IP進行路由，但是SDN可以基於應用、用戶、會話的實時變化來實現不同的控制。

4. 配置簡單，擴展性良好，使用起來更加靈活。

ONF的SDN基本架構：

可以看到每一層其實都並不是只包含自己要負責的功能，每一層都多少會涵蓋一些管理類的功能。

途中藍色的方塊的區域可以被看做是網路的提供者，紅、綠色方塊的區域可以被看做是網路的消耗者。這張圖更加直白的凸顯了"平面"這個概念。

3. 簡述如何利用SDN技術解決網路安全問題

SDN的三個特徵：

1、控制平面與數據平面的分離： 此處的分離是指控制平面與數據平面的解耦合。控制平面和數據平面之間不再相互依賴， 兩者可以獨立完成體系結構的演進， 雙方只需要遵循統一的開放介面進行通信即可。 控制平面與數據平面的分離是 SDN 架構區別於傳統網路體系結構的重要標志，是網路獲得更多可編程能力的架構基礎。

2、網路開放可編程： SDN 建立了新的網路抽象模型，為用戶提供了一套完整的通用 API，使用戶可以在控制器上編程實現對網路的配置、 控制和管理， 從而加快網路業務部署的進程。

3、邏輯上的集中控制： 主要是指對分布式網路狀態的集中統一管理。 在 SDN 架構中，控制器會擔負起收集和管理所有網路狀態信息的重任。 邏輯集中控制為軟體編程定義網路功能提供了架構基礎，也為網路自動化管理提供了可能。

在這三個特徵中，控制平面和數據平面分離為邏輯集中控制創造了條件，邏輯集中控制為開放可編程式控制制提供了架構基礎，而網路開放可編程才是 SDN 的核心特徵。

網路可視性將確保更好的網路監控。以安全為中心的SDN的範式包含五個基本屬性，從數據平面解耦安全、監控和交換元件，這將允許企業更好地控制流經網路的流量。網路可視性將確保更好 的網路監控。簡化的安全基礎設施將提高網路的靈活性，從而更好地整合多種安全設備和解決方案。這種靈活性使企業能夠將多個最佳安全解決方案編排為統一的優 化的防禦層。另外，自動化配置不僅能夠減少網路復雜性，還能夠支持更好的訪問管理。總而言之，這五個屬性能夠大大提高網路的安全性。

這種網路中的每個現有安全組件隨後都可以分配為解決特定的風險和漏洞問題。這種網路作為一個整體，能夠根據所檢測到的威脅來調整自己的行為，轉移可疑流 量、改變安全設備的響應，或者阻止數據包，所有這些操作幾乎不需要人為干預。這種以安全為中心的SDN還能夠承擔多個安全工具的職責，抵禦攻擊

4. 如何將sdn和自動化嵌入下一代雲數據中心

雲計算時代，企業需要新型的數據中心網路架構。而新型網路架構主要指的就是藉助軟體定義網路和網路自動化平台來打造數據中心網路架構。硬體廠商形象深入人心的戴爾近年來也進行了超過120億美金的收購，改變自己的IT形象，其中就包括了大量的軟體定義網路產品。本文中，我們一起談談SDN和自動化在雲時代的意義。
虛擬網路架構之於雲
虛擬網路架構是動態數據中心的基石。為數據中心內應用程序附加價值與優先順序，其根本出發點在於價值。直到現在，數據中心的網路設計仍然是一種設計不當的藍圖：它與所運行上層應用關系不大。隨著虛擬化的出現，現在競爭局面已經完全顛倒。一個正確的數據中心網路設計現在必須從這些問題開始：我希望在虛擬化分層上做什麼？我應該如何移動虛擬機？我應該如何在虛擬機中部署應用程序？我們應該如何規劃這些應用程序的網路需求？另外，我應該如何保證這些應用在數據中心的分發時間，它們如何最大程度上利用底層網路？因此，軟體定義網路（SDN）很適合用於動態調整位於應用層之上的網路，從而使之最適合應用程序運行。
為了實現這種設計，企業需要採用一種三層架構，其中包括應用與管理層、控制器和交換機。控制器成為另一種指令分發器，它與上一層次分離。戴爾基於OpenFlow標準的交換機，它整合了所有方面。並且戴爾認為自己有機會將應用層與控制器、交換機連接在一起。
網路虛擬化與SDN的結合
經常有CIO問道如何將網路虛擬化與SDN結合。使用SDN，就不需要使用手工過程或命令行界面更改網路配置。不需要聘請經過專業培訓的網路工程師。只需要請一些開發人員，在一個自動化系統上整合以下功能：獲取應用管理級分層上的指令，將它發送給控制器，而交換機上不需要編程。假設您想要在半夜時在兩個終端間傳輸大量數據。最好的方式是，應用可以在完全不需要人工干預的前提下初始化一個具有大帶寬的VPN通道。所以，SDN就成為一種基於應用需求以實時方式實現網路可編程性的方法。
網路與OpenStack或CloudStack的整合
OpenStack是一個新領域。有些人可能會認為讓大多數客戶將整個私有雲運行在OpenStack上，現在並不是黃金時期。但是，戴爾非常看好OpenStack，因為它允許使用一些常規開源開發生態系統實現大量的創新。戴爾參與了OpenStack社區的許多擴展開發。系統地開發OpenStack架構中網路、伺服器和存儲的模塊與插件。如果是雲服務提供商，那麼可以使用戴爾的存儲、伺服器和網路，而不需要依賴於VMware或微軟虛擬機管理程序。最終，私有雲客戶也一樣適合使用。OpenStack可以成為它的最有效替代方法。這可能需要一定的時間，因為不同的客戶擁有不同的復雜度和用例。因此，OpenStack肯定屬於雲服務提供商可以挖掘經濟價值的高端領域，但是對於大多數企業而言，這仍然是一種虛擬機管理程序主導的領域。
SDN中是否還需要結構（Fabrics）
幾年前，結構（Fabrics）只出現在數據中心。結構這個概念是用於解決所有的數據中心網路問題，在結構興起一段時間之後，戴爾認識到這里涉及許多差別很大的客戶。客戶擁有不同級別的數據中心問題。二層端到端結構已經成為Juniper和Brocade等公司的主推技術。但是，它們不僅非常復雜，而且必要性也不如剛提出時那麼明顯。有越來越多的Web 2.0數據中心會在連接三層產品的二層網路孤島之間進行平衡。一個扁平交換機的控制范圍符合管理這些網路的現實情況。將舊式有限的二層網路連接到三層網路上，正是最高級Web 2.0數據中心公司目前正在做的工作。結構並沒有死去，但是它們需要在數據中心的運營要求與需求上經過現實考驗。此外，SDN正成為結構的一個有趣熱點。戴爾甚至還沒有將它界定為結構的范疇，將它稱為端到端的二三層協議數據中心網路。戴爾所關心的是，保證虛擬與伺服器計算節點能夠以無阻塞高帶寬方式連接數據中心內每一台設備。
是否要轉到40Gb和100Gb乙太網
戴爾認為轉到40Gb和100Gb乙太網是非常重要的。如果每一台伺服器都能夠配備10Gb連接，而應用需要訪問和管理數據，意味著每一台伺服器節點的虛擬機密度更大，那麼帶寬需求會按指數級增加。按照定義，假設一台伺服器有10Gb帶寬，那麼上游流量則需要40或100Gb。100Gb並非是必須的配置。但是，如果您想開發40Gb無阻塞分布式核心架構，並且想要直接擴展中心與葉子節點，那麼就一定需要這個配置，這樣就可以實現40Gb主幹網路，從而實現機架內東西向及機架與分布式核心網路的最大路由速度。組合使用10Gb和40Gb，更重要的是在架構上進行整合，就能夠在數據中心內實現足夠大的帶寬。現在，大多數流量發生在虛擬機之間；即所謂的東西向流量。這時您必須先優化本地流量，然後再想辦法實現100Gb或以上的主幹網路。數據中心以外的終端用戶可能會有這樣的需求，但是暫時還不需要在WAN鏈路上實現10Gb或40Gb帶寬。
無論如何，SDN和自動化對於未來的網路以及雲數據中心而言都是非常重要的，企業需要開始學習接納SDN，探索如何向SDN過渡。

5. SDN如何實現自動化網路安全性求解答

》中認為集中控制和大范圍自動化將是軟體定義網路的核心功能——最終實現適應性自動化網路安全。這個願景正開始變成現實。由SDN實現的集中控制最終將帶來安全定義路由及其他SDN安全策略，它們可能徹底改變我們定義網路及其應用或數據的方式。
德克薩斯州A&M博士生Seungwon Shin的科研工作是分析SDN將如何改變網路安全性。Shin在大學期間發表了兩篇關於SDN網路安全策略的文章。第一篇是「CloudWatcher：在動態雲網路中使用OpenFlow實現網路安全監控」，介紹了一種在雲環境中使用SDN控制平台（如NOX和Beacon——最初由斯坦福大學開發的OpenFlow SDN控制器）執行安全監控的方法。
Shin與其博士生同學Guofei Gu一起設計了一種新的策略語言，它可用於識別網路設備及其特殊的監控功能集。通過使用這種語言，控制器就可以直接監控指定設備之間的流量。它們還可以自動將雲環境中的虛擬機遷移流量及其他動態事件的流量轉發到其他網路位置。這意味著它們可以將流量傳輸到入侵防禦系統（IDS），允許安全團隊根據需要監控超動態環境的事件。在這種模型中，Shin和Gu實際上設計了安全定義路由與流量控制的基礎——即使仍然使用傳統網路安全控制。
OpenFlow控制的SDN安全應用
在Shin的第二篇論文「FRESCO：模塊化可組合的軟體定義網路安全服務」中，Shin與同學們一起探討了SDN（特別是OpenFlow）所缺少的決定性安全應用，並且提出一個面向SDN安全用例的新開發框架FRESCO。這個框架的腳本功能允許安全人員創建新的模塊化庫，整合和擴展安全功能，從而使用OpenFlow控制器和硬體進行控制和管理流量。FRESCO包括16個模塊，其中每一個都有5個介面：輸入、輸出、事件、參數和操作。通過將這些值分配給這些介面，就可以實現許多通用網路安全平台和功能，從而替代防火牆、IDS和流量管理工具。
SDN和自動化網路安全的實踐應用
雖然這些概念仍然在學術研究階段，但是供應商和標准組織已經有許多實現基於SDN安全策略的實際例子。例如，sflow.com網站上有一篇博客「sFlow Packet Broker」，它介紹了一個簡單的Python腳本，它可以將inMon的Flow-RT控制器應用配置為監控所有流量，專門查找通向TCP埠22（SSH）的通用路由封裝（Generic Route Encapsulation）通道的流量。一旦檢測有問題的流量，它就會生成一個警報，從而觸發分析捕捉到的數據包。這些警報還會產生更多高級響應，如用於流量控制的防火牆集成API、開放或關閉的埠、將流量移到其他網段或VLAN，等等。
同時，虛擬防火牆也已經可以使用開放API將安全功能整合到網路中。Netuitive公司產品管理主管Richard Park寫過一篇博客，其中他介紹了如何在Perl代碼中使用一個RESTful API查詢和更新VMware vShield的防火牆規則， 而這只是冰山之一角。在出現新的SDN工具和編制平台之後，大多數網路安全檢測和響應功能很快都變得越來越自動化，支持更加快速的意外處理，而且在攻擊發生時發揮像「輔助呼吸室」一樣的作用。