第9章-软件定义网络

互联网技术及应用*1第9章软件定义网络软件定义网络SDN*2SDN提出的背景SDN的关键技术SDN体系结构SDN行业现状SDN未来趋势当前网络的需求动态的流量模式“IT消费化”

云服务的兴起“大数据”意味着大带宽*3当前网络的局限1复杂性离散的孤立的协议集导致网络复杂虚拟化服务器增加网络复杂性基于IP的网络需要动态配置2不一致的策略接入方式、安全问题、QoS、其他鼓励移动用户的策略，可能会企业受到安全漏洞或者其他负面影响。*4当前网络的局限3无法扩展流量模式是动态的，不可预测的计算单元的爆炸式增长、节点间的数据交换达PB级需要满足不同的应用和性能需求4对供应商的依赖供应商的设备生产周期影响网络部署开放的接口，缺乏标准*5SDN的提出SDN：softwaredefinednetworkSDN

可以被视为是一种全新的网络技术，它通过分离网络设备的控制面与数据面，将网络的能力抽象为应用程序接口（API:ApplicationProgrammingInterface）提供给应用层，从而构建了开放可编程的网络环境，在对底层各种网络资源虚拟化的基础上，实现对网络的集中控制和管理。与采用嵌入式控制系统的传统网络设备相比，SDN

将网络设备控制能力集中至中央控制节点，通过网络操作系统以软件驱动的方式实现灵活、高度自动化的网络控制和业务配置。*6SDN关键技术*7实现了网络流量的灵活控制，使网络作为管道变得更加智能。32是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来一种新型网络创新架构1软件定义网络（SoftwareDefinedNetworking,SDN）SDN架构网络设备网络设备网络设备SDN控制器云管理平台SDN应用转发层控制层应用层南向接口北向接口转发层技术*8转发面Table0Table1…….TablenOpenFlowInterfacePayloadHeaderPayloadHeader控制器Match_fieldsCountersActionsOpenFlow1.1以后版本将转发面抽象成多级流水线，每个节拍由匹配关键字和操作指令集构成，和目前的SwitchASIC/NP模型类似OpenFlow转发面的行为就是根据转发表和报文头决定下一跳以及新的报文格式，而SDN控制器就是控制转发表，并把转发面模型和控制协议标准化-OpenFlowSDN转发层的关键技术是对转发面进行抽象建模。针对SDN转发面抽象模型，ONF标准组织标准化了OpenFlow协议，在该协议中转发面设备被抽象为一个由多级流表(FlowTable)驱动的转发模型。关键技术——转发层技术转发层技术（2）*9FlowTable的组成MatchFieldsActions/Instructions

CountersEthernetVLANIPMetadatasrcdsttypeTCP/UDP/ICMPidprio.srcdstProto/A.opToSsrcport/icmptypedpport/icmpcodeIngressPortMPLSlab.t.c.基于Table/Flow/Port/Queue的各种报文计数器Actions:forward/enqueue/drop/modify-fieldInstructions:modifyaction-setorpipelineproc.Actions/Instructions决定了OpenFlow对转发面行为的抽象能力，例如：修改报文头部各个字段值、封装/去封装将TTL值在内/外层头部之间进行复制输出到一个端口或一组端口，实现组播、多路径转发、负载均衡等功能控制层技术*10SDN控制层的关键是SDN控制器，也可以称为网络操作系统（NOS）或网络控制器。网络的所有智能、核心均在SDN控制器中，由SDN控制器对转发面进行转发策略的调度和管理，通过无智能的快速转发面设备，支持运行在SDN控制器之上的不同业务。目前已公开的NOS源码和架构包括：NOX、FloodLight、Onix等。除此之外呢，还有ONOS、OpenDayLight、RG-ONC、OVN 关键技术——控制层技术应用层技术*11基于SDN理念改造传统的应用交付能力（例如负载均衡、访问控制、应用加速等等），替换或者扩展传统网络中需要利用硬件实现的功能。通过软件实现的应用交付能力，降低系统的CAPEX/OPEX实现网络中各类网元的虚拟化和集中化控制支持网络系统的快速部署，在故障出现时能够快速发现并解决问题提供更高的智能，支持自动化运作，实现应用可感知的网络南向接口*12SDN南向接口的关键技术是转发面开放协议，该协议允许网络控制器控制交换机的配置以及相关转发行为。Openflow是ONF定义的一个转发面控制协议，它将转发面抽象为一个由多级流表组成的转发模型，网络控制器通过Openflow协议下发Openflow流表到具体交换机，从而定义、控制交换机的具体行为。OpenFlow是一整套软件应用程序接口，OpenFlow控制器可以通过规范与支持OpenFlow交换机沟通配置信息，决定数据转发平面的转发表，控制器与交换机间通过TLS加密传输。关键技术——南向接口技术OpenFlow协议更新情况：2009年10月，OpenFlow发布了第一个可商用版本1.0。2011年2月，OpenFlow1.1发布，增加了多个交换表、群组、虚拟端口以及对MPLS、VLAN、QinQ的支持等特性。2011年ONF成立后，OpenFlow的研究和维护转到ONF的扩展性工作组。2011年10月，ONF发布了OpenFlow1.2，支持IPv6报头各字段的识别，并提供了可扩展的匹配支持以及更大的灵活性。2012年6月，ONF发布了OpenFlow1.3.0，增加了重构能力协商、IPv6扩展头支持、基于流的度量、基于连接的过滤、PBB标签的支持以及更灵活的交换处理等特性。2012年9月，ONF发布了OpenFlow1.3.1，提升了版本协商的能力，修改了之前版本的一些错误。2013年，发布OpenFlow1.4,数据转发层面没有太大变化，主要是增加了一种流表同步机制'2014年12月，发布OpenFlow1.5(最新)，OpenFlow1.5协议的匹配流程几乎没有改变，只是细化了actionset的执行过程。其中着重细化了output动作。关键技术——南向接口技术北向接口*14SDN控制层将网络能力封装为开放的RESTAPI，供上层业务调用。ONF当前只定义了OpenFlow作为南向API，而回避了北向API标准化问题，因此不同的控制器具备有不同的北向API集合以Floodlight的北向API集合为例，包含了交换机状态采集、静态流表推送、防火墙策略等多种类型的接口。URI方法描述参数/wm/core/switch/all/<statType>/json

GET获取跨交换机的聚合状态statType:port,queue,flow,aggregate,desc,table,features

/wm/core/switch/<switchId>/<statType>/json

GET获取每台交换机的工作状态switchId:ValidSwitchDPID(XX:XX:XX:XX:XX:XX:XX:XX)

statType:port,queue,flow,aggregate,desc,table,features

/wm/core/counter/<counterTitle>/jsonGET获取控制器所辖交换机的全部流量计量信息counterTitle:"all"orsomethingoftheformDPID_Port#OFEventL3/4_Type关键技术——北向接口技术SDNArchitectureSoftware-DefinedNetworkArchitectureofONF(OpenNetworkingFoundation)开放网络基金会NFV架构由ETSI(EuropeanTelecommunicationsStandardsInstitute)欧洲电信标准化组织提出的OpenDaylight由各大设备厂商和软件公司共同提出TheInternetEngineeringTaskForce(IETF)互联网工程任务组IETF早期有两个与SDN相关的研究项目/工作组，分别是ForCES（forwardingandcontrolelementseparation）和ALTO（application-layertrafficoptimization）。其中，ForCES已经发布了9个RFC，主要涉及需求、框架、协议、转发单元模型、MIB等；ALTO主要通过为应用层提供更多的网络信息，完成应用层的流量优化。ITU-T(ITUTelecommunicationStandardizationSector)国际电信联盟远程通信标准化组织ITU-T在SG13组（futurenetworksincludingmobileandNGN）设立了SDN的研究任务，分别面向SDN的需求和框架定义的SDN框架如图6所示。Software-DefinedNetworkArchitectureofONFSDNArchitectureofNFVSDNArchitectureofIETFSDNArchitectureofITU-TONF/NFV/OpenDaylightSDN实现方式SinglecontrollernetworkFlatcontrollernetworkHierarchicalcontrollernetworkSDN行业现状SDN目前应用分析SDN目前应用范围校园网数据中心安全控制网络管理云计算虚拟化安全控制Cisco

ACI方案简介2013.11.6

Cisco丼行了Application

Centric

Infrastructure(ACI)斱案和Nexus

9000系列交换机的发布会。钱伯斯发表了“Redefining

the

Power

of

IT”的主题演讲：ACI将开启敏捷与自动化数据中心的新纪元。ACI

Fabric

小结

基于扩展的VXLAN

overlay的Fabric方案

Any

workload，anywhere：通过VXLAN

overlay实现标识与位置解耦

Any

service，Anywhere，以及service

chaining：通过扩展的VXLAN实现标识与策略解耦

自动化构建Fabric，无需手工配置VTEP的IP地址及路由等

交换机之间采用控制平面协议进行转发表的同步，而不是控制器集中下放的方式

支持报文归一化封装，兼容VXLAN和GRE

分布式L3网关，转发路径最优，无需配置VRRP等冗余协议

扩展性强：最大220K

10G端口，1M+端口IP，64K+

Tenant

Telemetry：支持所有Leaf节点之间各个路径的丢包统计和时延测量VMware

NSX方案简介

2013年8月26日在旧金山举办的VMworld®大会上，VMware宣布推出网络虚拟化平台VMware

NSX™

Vmware

NSX提供了一整套简化的逻辑网络连接元素和服务，包括逻辑交换机、路由器、防火墙、负载均衡、VPN、服务质量、监控和安全保护。

VMware

NSX的目标是提供网络虚拟化，将网络虚拟化操作从底层硬件虚拟化，抽象为一个分布式虚拟层，很像用于处理能力和运营系统的服务器虚拟化，而不用命令行接口或其它直接管理员的干预。NSX如何工作智能软软边界KVMOpenvSwitchXENServerOpenvSwitchNSX

EdgeVLANNSX

Controller

ClusterVMwareOpen

vSwitchVMVMVMVMVMPMPMVMVMVMVMPMPMNSX

ManagerAPIOracle

Cloud

Management

System

BMCVMNSX

小结

统一界面,统一管理：交换机、防火墙、Edge等