要求集中式控制(主要用在中小型企業),(也有分佈式,先集中在分佈(主要用在大型企業)),要求轉發和控制分離,要求管理員可以直接操控設備的轉發行爲,可以不用通過各種網絡協議,(沒有拒絕使用動態協議,只不過這些協議跑在controller控制器上,而不是設備上),直接通過應用程序(即software)控制轉發行爲,不受任何協議影響;如管理員不希望僅僅通過“目的IP”轉發而是希望通過“目的IP和源IP”轉發,轉發的時候直接修改報文的“目的IP”等;
SDN框架中,控制面和轉發面必須是分離的;轉發面這一角度,要求於協議行爲無關;
SDN潛臺詞:對硬件轉發面配置接口標準化(網管術語的南向接口),因爲如果軟件想隨心所欲的控制轉發行爲,就影噶儘量不依賴於特定的硬件;另一個潛臺詞:應用程序定義的網絡,該網絡中的設備都需要受相關應用程序同一控制;
SDN特性屬性:
控制面和轉發面分離
開放的可編程接口
集中化的網絡控制
網絡業務的自動化應用程序控制
SDN架構:
1.網絡設備:可以理解爲轉發面Network Device
不一定是硬件交換機,也可以是虛擬交換機,比如OVS,也可以是其他物理設備,所有轉發表項都存儲在網絡設備中;網絡設備通過南向接口接收控制器發過來的指令,配置位於交換機內的轉發表項,並可以通過南向接口主動上報一些事件給控制器;
2.南向接口:Southbound Interface
指控制面和數據轉發面之間的接口,目前OpenFlow是最有影響力的南向接口
3.控制器:Controller
一個SDN網絡可以有多個控制器,控制器之間可以是主從關係,也可以是對等關係;一個控制器可以控制多臺設備,一臺設備可以被多個控制器控制;通常控制器運行在一臺獨立的服務器上;
控制器向上提供應用程序的接口,向下控制硬件設備;
4.北向接口:Northbound Device
傳統網絡中,北向接口指交換機控制面跟網管軟件之間的接口,如電信網絡中的SNMP、TL1等標準協議;在SDN架構中,指控制器和應用程序之間的接口;比南向接口複雜,與應用程序的接口變數太多;
5.應用服務:Service
service:負載均衡(load balancing),安全(security),網絡運行情況監測(monitoring),performance management(包括擁塞、延時等網絡性能的管理和監測)、LLDP(拓撲發現)等,這些服務最終都以軟件應用程序表現出來;可以和controller在同一個服務器,也可以運行在別的服務器;
6.自動化:Automation
對應用程序進行封裝和整合;或者是Orchestration(結合)達到業務自動化部署;
SDN可以做這些事:
讓軟件定期讀取設備鏈路負載情況,自動生成鏈路負載曲線圖,中間會涉及多個應用和服務,被整合在一個系統管理框架;
爲什麼需要SDN(複雜的網絡和設備,部署各種各樣的複雜應用,應對越來越大的流量數據)
1.數據中心的合併
2.服務器虛擬化
3.新的應用架構:應用促使數據中心創建大量服務器到服務器直接的通信連接,而且不同應用直接要隔離;數據中心從傳統的數據轉發模式轉換到了基於服務的遞交模式;
4.雲計算 對網絡架構有新需求;
5.BYOD bring your own device :給無線網絡帶來壓力
SDN解決的核心問題是改變傳統網絡對數據流控制的方式;
適用於什麼網絡:校園網,運營商,無線網絡,安全領域
可以通過SDN防止DDOS攻擊:
通過控制器去配置BGP協議將DDOS流量都轉發到OpenFlow交換機上,同時配置OpenFlow交換機將所有發來的報文,根據源IP+目的IP還有四層的端口號來匹配,將攻擊報文丟掉,將非攻擊報文的目的IP改掉,再送回路由器(改掉目的IP是爲了防止路由器把這個報文再送回來,防止環路),當路由器要將報文轉發到目標網絡的邊界路由器時,邊界路由器根據這個特意修改過的目的IP把報文再送回到OpenFlow交換機,OpenFlow交換機將報文的目的IP重新還原後,再送回到其直連的邊界路由器,邊界路由器再將它送回最終目的地;
沒有SDN時,如何防止DDOS:
通過Netflow將數據流的一些統計數據和特徵數據發送到一個遠程服務器上進行分析,服務器通過分析檢測到某些報文屬於攻擊報文,將這些報文告訴數據中心入設備,該設備通過BGP將這些報文映射到一條黑洞路由中;
那爲什麼不使用普通交換機的ACL:
因爲使用ACL效率低下,而且是人工操作,易導致錯誤;
再有,使用ACL,由於數據清洗掉後,再送回BGP router時,沒有改目的IP,會導致環路;