《SDN概念介绍及应用.docx》由会员分享,可在线阅读,更多相关《SDN概念介绍及应用.docx(8页珍藏版)》请在三一办公上搜索。
1、1、SDN提出背景大型企业网络信息化主要包括网络、安全、数据中心、备份中心和运维管理 中心等几个部分,通过传统路由器、交换机、服务器和终端构成,主要采用IPv4 通信协议,实现了企业内部的信息交互,但在开展企业内部协同设计和协同试验 过程中还存在一些问题,主要表现在以下几个方面:1.1通信网络部署问题企业网络链路大部分租用电信SDH线路,静态路由,拓扑不可变,缺乏动态 的资源接纳控制及机动控制能力。新业务应用可能基于NGN的技术体制,实现 多业务、宽带化、分组化、开放性、移动性、兼容性、安全性、可管理的网络需 求,采用分组技术的综合开放的网络架构。由于业务和网络分离,大型企业网络的配置是通过命
2、令行等方法进行人工配 置的,其本身是个静态网络,固定之后不能经常按照用户需求改变,当需要在企 业网上开展系统试验时,会经常需要网络及时做出调整,就显得非常低效,也有可 能无法实现。1.2安全管理问题随着企业应用的深入与变化,对企业网络的安全要求越来越高。现有的安全 保密措施已逐渐落后,安全管理流程复杂、处理性能不足,难以实现资源的安全、 灵活、有效分配,无法满足企业对资源可信、可控、可管的要求,以及在大容量、 高带宽、多业务的协同设计和协同试验的安全保障需求。其主要问题如下:1)支持安全接入的方式不灵活,不能实现动态资源的动态分配和调整.2)远程传输加密开销过大,远程传输采用双层加密措施,存在
3、效率低下、故障不 易定位等问题,无法满足新业务应用的多应用、多协议、高带宽、多种接入方式 的要求。3)安全防护的灵活性不足,与企业网络配合的安全管理审批流程复杂、灵活性不 足,不能满足协同试验验证的接入、退出、变更的灵活性的要求.4)安全防护的整体调度能力不足,无法实现各种安全资源的统一配置。1.3运维管理效率低面对大型企业大量不同年代、不同厂家、不同设备的采购、设计、集成、部 署、维护运行、升级改造,其运行维护成本高、效率低。大型企业网络主要包括基础网络系统、安全保密系统、数据中心、灾备中心 及运维管理中心几个组成部分,这些由大量的路由器、交换机、服务器等构成, 对于故障定位是一件非常困难的
4、事情,且很多故障或错误是由人的误操作导致的, 因此需要大型企业网络能够具有智能管理手段.尤其是网络管理被普遍认为是当 前所面临的最严峻的挑战之一,网络管理的根源都是相同的,即需要维持路由器 和交换机等的物理和逻辑配置的一致性。1.4资源利用率低大型企业很多情况下由传统网络、安全保密系统、数据中心、灾备中心及运 维管理系统等几部分构成,但目前传统网络无法支持云的定制网络实时生效,难 以形成多层网络的协同沟通,难以根据业务需求自动调整网络带宽,以致网络资 源利用率比较低,难以满足大型产品的协同设计及大型系统的协同测试试验验证2、SDN概念、架构、特点软件定义网络(SDN)是一种软件集中控制、网络开
5、放的三层体系架构,如图(1) 所示.应用层实现对网络业务的呈现和网络模型的抽象;控制层实现网络操作系 统功能,集中管理网络资源;转发层实现分组交换功能.应用层与控制层之问的 北向接口是网络开放的核心,控制层的产生实现了控制面与转发面的分离,是集 中控制的基础。图(1) SDN网络架构SDN最主要的特征就是数据转发和控制分离,同时还具有网络虚拟化和开放 接口等特征.数据转发和控制分离:将基础硬件与业务实现分离,其硬件仅负责数据转发 和存储,因此可以采用相对廉价的通用设备构建网络基础设施。且将控制与转发 分离后,更利于网络的集中控制,使得控制层获得网络资源的全局信息,并根据 业务需求进行资源的全局
6、调配和优化,例如流量工程、负载均衡等.同时,集中 控制还使得,整个网络可在逻辑上,被视作是一台设备进行运行和维护,无需对 物理设备进行现场配置,从而提升了网络控制的便捷性网络虚拟化:通过南向接口的统一和开放,屏蔽了底层物理转发设备的差异, 实现了底层网络对上层应用的透明化。逻辑网络和物理网络分离后,逻辑网络可 以根据业务需要进行配置、迁移,不再受具体设备物理位置的限制。开放接口:通过开放的南向和北向接口,能够实现应用和网络的无缝集成, 使得应用能告知网络如何运行,才能更好的满足应用的需求,比如网络的带宽、 时延需求,计费对路由的影响等。另外,支持用户基于开放接口,自行开发网络 业务并调用资源,
7、加快新业务的上线周期.SDN带来的最大价值是提高了全网资源使用效率,提升了网络虚拟化能力并 加速了网络创新.集中部署的控制层可完成拓扑管理、资源统计、路由计算、配 置下发等功能,获得全网资源使用情况,隔离不同用户问的虚拟网络。应用层通 过开放的北向接口获取网络信息,采用软件算法优化、网络资源调度,提高全网 的使用率和网络质量,同时将虚拟网络配置的能力开放给用户。满足用户按需调 整网络的需求,实现网络服务虚拟化。分层的架构加速了各层分别进行创新。理解从本质上来说,SDN的提出,是为了应对当前网络中面临的扩展困难,灵活 性不够等发展瓶颈问题,其主要目的是简化网络配置、管理,促进网络向动态灵 活的方
8、向演化,而并非主要是为了网络性能的提升,甚至在对网络进行高度抽象、 虚拟化后,会带来部分性能的下降。从很大程度上来说,目前人们对网络的需求, 传统的网络不是不能满足,只是时间、资金问题而已,但这样代价太大,而且发展 缓慢,为了摆脱这一困境,SDN应运而生。如前所述,SDN带来的是网络配置、管理的简化,和更加灵活高效的发展方 向,新的管控策略可以迅速得到实施,就像在电脑或者手机上安装应用程序一样, 方便快捷。因此,如果有好的更加有效的管控策略,在SDN网络中可以很容易进 行部署;而当用户对网络提出新的需求时,也可以很快的部署相应的应用。因为 这一切都是软件定义的,用户甚至可以利用网络资源,去构建
9、自己所需要的应用, 而不必受厂商的束缚。3、SDN校园网架构,应用场景(可加入有线、无线的融合,以及NFV、网络虚拟 化,物联网、车联网、传感网等概念)一般地,校园网从结构上看,可分为三层:核心交换层、汇聚层和接入层, 如图(2)所示,通过各层的交换机和路由器组成整个网络。校园网具有有线、 无线共存,无线网中WLAN、2G/3G/4G、及adhoc网络普遍存在等特点,故而是一 个异构网络,由于接入方式不同、运行着不同的协议,无法进行统一管理,且各 个部门、场所对网络的需求不同,使得管理复杂,运维成本较高,而且难于扩展, 灵活性不够高。表现在,改变网络配置需要花费冗长的时间,对每个网络设备进 行
10、单独配置,在配置时还往往需要使用专门的配置软件,或者命令行接口 (CLI); 而如果需要对设备本身进行更改,来支持客户自己开发的协议,几乎是不可能的, 因为各个厂商的设备是不开源的,这就需要设备厂商根据客户需求来定制设备, 这也会花费大量时间。当前一些组织、公司已经开始研究新的WLAN控制器(AC)、无线接入点(AP)、 VLANs (用于2层隔离)、虚拟路由转发(VRF)(用于3层隔离)等,以期能够解 决目前校园网中面临的问题,这些方法、技术或许能够针对某些特定场景,进行 改进提升,但扩展性和灵活性不足。INTERNET图(2)校园网典型架构而将SDN技术引入校园网,可以很好地解决流量隔离和
11、统一管理等问题,通 过将控制、管理、和服务从数据平面分离出来,OpenFlow可以简化校园网络配 置,并增加其灵活性,如:快速的业务部署和关闭:通过网络虚拟化技术,可以做到新业务的快速部署, 和被淘汰业务的关闭,而且不会影响到其他的逻辑网络.增强业务的健壮性:由于控制层面拥有全局视图,可以很容易为某一业务计 算出备用链路,或者应急策略,这使得当网络拓扑变化时,业务能很快的响应。逻辑网络的业务隔离:通过对逻辑网络的分片隔离,SDN网络能很好地在2 层和3层对虚拟网络进行隔离,从而提高网络的安全性。优化资源分配:由于管理、服务和应用都被虚拟化了,通过对虚拟化的资源 进行统一分配管理,可以最大化资源
12、(计算、存储、带宽等)利用率,同时最小 化空间、能量消耗率。通过将校园网虚拟化成网络分片,控制器可以对流表或组表,进行细粒度的 控制。例如,可以针对不同的部门,不同的接入方式(有线、无线)设置不同的接 入控制策略,而且,这些策略可以很容易进行强化。SDN校园网架构如图(3)所示,整个校园网分为三层:应用层、控制层、基 础设施层。整个校区部署多台SDN云平台,用于运行各种应用(如存储、计算等), 并协调各个控制器的工作。各个部门(或楼区)部署两台以上控制器(留一台用 做备份),控制器通过南向接口(如OpenFlow),获取全网视图、和各个SDN交 换机(有线、无线SDN交换机)的状态,并经过虚拟
13、映射后,通过北向接口向应用 层提供资源,同时控制器还负责整个网络的管理、监控。RADIUS服务器和Portal 服务器,负责用户接入网络时进行认证。各部门(楼区)之间通过SDN汇聚交换机连接,并根据需要连接到 Internet(某些部门由于特殊原因,如保密单位,是不需要接入Internet的), 各控制器之间通过东西向接口进行连接,以交换各自网络状态和信息,实现跨域 协作(如不同的校区之间,或楼区之间),从而为用户提供一个无缝的网络服务。InternetSDN汇聚交换机SDN汇聚交换机DN无线交换机SDN无线:USERUSERSDN控制器 Floodlight)宽带网关 (BNG)RADIUS
14、 服务器Portal服务器Portal服务器SDN交换机SDN交换机应用层控制层SDN云平台 OpenStack)SDN控制器 (Floodlight)RADIUS服务器基础设施层图(3)SDN校园网架构用例一:智能校园网SDN网络对网络策略和业务负载的变化是动态调整的,不需要网管进行手动 配置,具有很好的灵活性和扩展性,而且,通过将物联网、车联网、传感网等引 入SDN校园网,可将人与物、物与物相联,实现信息化、远程管理控制和智能 化的网络(注:这几个概念互有重叠,但侧重点不同)。注:目前对SDN在物联网、车联网、传感网中的应用都有人在研究,这方面 调研不多,还需深入调研。用例二:无缝接入目前
15、,校园网由于本身为异构的,且设备多样,很难为用户提供无缝服务体 验(无缝接入、切换),实现用户不论使用何种接入方式,都能获得统一的服务体 验,也很难做到对业务内容进行感知。通常,为了保证安全并限制外来人员接入校园网,校园网在设计时,都会采 用相应的认证机制(如802。1x),老师和学生使用拿到的账号密码,通过认证后 接入网络。在认证时,有线端通常使用专门的认证客户端(如inode或者锐捷等), 无线端一般是利用portal服务器推送认证界面,用户输入正确的账号密码后,完 成认证。该方法较为繁琐,用户每次上网前都必须手动进行认证,对于用户来说, 是比较无聊的。而无缝接入的目的,一是使得用户随时随
16、地都能享受到较好的网 络体验,而不需要去进行频繁的认证;二是在移动环境下,用户使用移动设备时, 也能进行“无缝漫游”,使用户不论使用何种接入方式,都能获得统一的上网体 验。用例三:业务流量隔离一般来说,校园网需要为不同的人群提供服务,如老师、学生、医疗人员、 图书管理员、保卫人员等等.由于上网需求不同,业务类型不同,需要为这些用户 制定不同的流量策略,而为了保证这些策略不会相互干扰(如当学生接入到财务 处的网络时,要保证其拥有与工作人员不同的访问权限,从而不会干扰工作人员 办公,并确保安全),就需要对不同的用户人群设定不同的策略,从逻辑上将其 隔离。目前,通过MPLS和VRF技术,可以将校园网
17、从逻辑上,划分为不同的逻辑 网络,然而其配置过程十分繁杂,耗时较长,而且其配置是静态的,难以动态调整。 而利用SDN技术,可以在控制器端,很便捷的将网络划分为,逻辑上互相隔离 的子网,而这一过程可能只需花费数分钟的时间。并且,通过强化SDN交换机 上的安全策略,可以有效地限制各个逻辑子网之间的通信.更多用例:如负载均衡、流量工程、校园网安全策略、应用感知、简化管理、 业务卸载等4、SDN企业级WLAN网络架构,应用:移动性管理(其中无缝切换研究最多)、 干扰管理、负载均衡、功率控制等研究由于移动设备入网方便,移动业务迅速发展,人们对无线接入的需求持续增 长,目前的WLAN网络为了保证服务质量(
18、QoS),需要部署大量的无线接入点 (APs),WLAN控制器(ACs),网络管理系统,以及各种服务。这些服务包括接 入控制、移动性管理、负载均衡、动态信道配置等等。目前,各大厂家对于这些 服务,都有相应的解决方案,但这些方案大多数使用专有设备、是封闭的、而且 价格昂贵,从而限制了网络的灵活性,和扩展性.而随着用户规模的迅速扩大, 业务类型和业务数据的爆炸式增长,以及各种新应用的不断出现,现在的WLAN 网络,尤其是企业级WLAN网络,必须进行创新和改进.如前所述,目前WLAN网络中面临的问题,大多数利用传统的技术可以得到解 决,但不够灵活,扩展性不高,不利于网络的升级。为了更加有效的配置、管
19、理 WLAN网络,使网络向灵活高效的方向发展,我们将SDN技术引入企业级WLAN网 络,以期能够更加灵活地为用户提供更好的服务.图(4) “AC+AP”模式的WLAN网络架构图(4)所示为典型的“AC+AP模式的WLAN网络架构,该架构下,AP通过有线 网相互连接,网络中分布有多个AC,用以管控这些AP,如果添加新的业务,就需 要对所有的AP进行升级改造,这是十分繁琐,而且开销较大。而且,当前的WLAN网络并未考虑APs与有线网的协同,尽管AC通常是嵌入 到交换机或者路由器中,充当APs与外网的“网关”,但控制AP的功能与网关的 功能(如交换、路由)是单独实现的,ACs也无法做到对其他路由器、
20、交换机的控 制(也就是除了 APs之外的其他网元设备)。SDN企业级WLAN类似于前面所说校园网架构,此处从略,下面重点说明无线 SDN的概念。所谓SDN,就是用软件来定义网络的行为,其特点是网络虚拟化、可编程、 控制转发分离,对应到无线网络(此处只针对WLAN网络),需要额外考虑无线信 道这一因素,将其拉入软件定义的范畴。无线SDN的目标就是能集中地、动态的、 实时地对无线信道进行监控、管理,充分利用信道资源。为了使控制器能实时获得各个AP的信道状态,就需要对传统的AP进行改造, 一方面,要使其支持OpenFlow协议,另一方面,还需要使其能实时与控制器进 行交互,及时上报本机状态,这一点可
21、通过扩展OpenFlow协议实现,也可通过使 用传统协议(如RPC)来实现.图(5)SDNAP结构图图(5)所示,为适用于无线SDN网络中的AP的构成图,openWRT是一款开 源的嵌入式Linux系统,支持自由定制各种所需软件,在此作为AP的操作系统; OVS (openvswitch的简称)是一款支持OpenFlow协议的虚拟交换机,将OVS编 译到openWRT中,即可使AP支持OpenFlow协议;而通过将AP的有线、无线网卡 挂载到OVS虚拟出来的网桥上,就可将AP配置成SDN无线交换机(简称SDNAP)。OpenFlow协议中规定,控制器可以通过下发获取配置消息,来获得交换机的 状
22、态(如端口状态),而在SDN无线网中,由于OpenFlow协议并未针对无线网设 置相关匹配项和条目,控制器无法直接对无线网卡进行配置,及获取其状态信息, 这就需要增加OpenFlow流表条目,或者另外开辟一条通道,用于控制器对无线 网卡进行配置,并获取其状态信息.第一种方案,需要将无线网卡的发射功率、信道数、开关状态等信息加入到 流表的匹配项中,形成SDN无线流表,同时需要在openWRT中,添加转换接口,把 控制器下发的流表解析成openWRT中可识别指令,从而获取、改变无线网卡的工 作状态。该方案需要对openWRT作深入开发,同时需要修改openflow流表项。第二种方案,不需要对OpenFlow流表做任何改动,只需要在控制器和AP之间 另建一条通道,用于控制器获取、配置无线网卡信息,如目前采用的RPC方式, 通过在AP中开启RPC服务,控制器可以在远端获取并配置无线网卡。以上两种方案各有千秋,前者岁开发难度较大,但更为方便,只需要简单的下 发流表,就可对AP的无线网卡进行配置、管理;后者,更像是一个叠加的策略 控制端进行配置管理时会麻烦一些,而且会额外的占用较多带宽资源
