《虛擬化技術與應用》 課件 07-SDN網絡架構與部署模式；08-SDN南向協議OpenFlow基礎

SDN的網絡架構與部署模式了解SDN三層網絡架構熟悉SDN南向協議熟悉SDN的兩種網絡部署模式教學目標目錄SDN網絡架構SDN南向協議SDN網絡部署模式SDN與傳統網絡的不同之處ONE網絡可編程TWO軟硬件解耦彈性響應上層應用的網絡可編程，能夠及時響應上層應用的變化，并對網絡規(guī)劃與配置設計自適應的調整在分布式網絡連接之上引入一個集中統一的控制與管理層來實現網絡全局管理和對上層業(yè)務的動態(tài)響應SDN三層網絡架構轉發(fā)層控制層應用層網絡設備網絡設備網絡設備網絡設備NSXControllerAPPAPPAPP南向接口北向接口APIAPIAPIOpenFlow等控制-轉發(fā)平面接口SDN三層網絡架構SDN三層網絡架構解讀1

應用層應用層主要是體現用戶意圖的各種上層程序，典型應用包含了OSS（運營支撐系統）、Openstack等等。

2

控制層系統的控制中心，負責網絡的內部交換路徑和邊界業(yè)務路由的生成，并負責處理網絡狀態(tài)變化事件。3

轉發(fā)層

主要由轉發(fā)器和連接器的線路構成基礎轉發(fā)網絡，負責執(zhí)行用戶數據的轉發(fā)，轉發(fā)過程中所需要的轉發(fā)表項是由控制層實現的SDN三層網絡架構兩個重要的接口：南向接口與北向接口數據平面控制平面業(yè)務應用北向接口南向接口南向接口與北向接口SDN三層網絡架構南向接口位于數據平面和控制平面之間，負責SDN控制器與網絡單元之間的數據交換和交互操作。OpenFlow就是最著名的工作在南向接口的協議北向接口位于控制平面與應用平面之間，上層的應用程序通過北向接口獲取下層的網絡資源，并通過北向接口向下層網絡發(fā)送數據目錄SDN網絡架構SDN南向協議SDN網絡部署模式SDN南向協議介紹SDN南向協議嘗試為網絡數據平面提供統一的、開放的和具有更多編程能力的接口，使得控制器可以基于這些接口對數據平面設備進行編程控制，指導網絡流量的轉發(fā)等行為廣義SDN南向協議狹義SDN南向協議南向協議根據可編程能力分類狹義SDN南向協議與廣義SDN南向協議SDN南向協議介紹狹義SDN南向協議狹義的SDN南向協議具有對數據平面編程的能力，可以指導數據平面設備的轉發(fā)操作等網絡行為。廣義SDN南向協議廣義的SDN南向協議主要分為三種類型。第一種是僅具有對數據平面配置能力的南向協議;第二種是應用于廣義SDN，具有部分可編程能力的協議:第三種是本來就存在，其應用范圍很廣，不限于應用在SDN控制平面和數據平面之間傳輸控制信令的協議。廣義SDN南向協議的三種類型SDN南向協議介紹第一種網絡設備配置類型協議的代表有OF-Config、OVSDB和NET-CONF等協議。目前，這些南向協議已經OpenDaylight等許多SDN控制器支持。配置型南向協議是OpenFlow等狹義SDN南向協議的補充，完成對設備資源的配置。第二種應用于廣義SDN架構的南向協議，比如應用于ACI架構的OpFlex協議。在ACI架構中，數據平面設備依然保留了很多控制邏輯，甚至更智能，依然負責數據轉發(fā)等功能，但支持遠程控制器通過OpFlex協議來下發(fā)策略，指導數據轉發(fā)設備去實現某一個網絡策略。第三種可應用于SDN的南向協議,其代表有PCEP和XMPP。兩者本質上都具有可編程能力，但均不是專門為SDN而設計的，而是本來就存在，只是被應用在SDN框架中。SDN狹義南向協議介紹典型的狹義南向協議POF不僅可以實現軟件定義的網絡數據處理，而且還可以實現軟件定義的網絡協議解析。即POF可以實現對數據平面協議解析過程和數據處理過程兩部分的軟件定義，擁有數據平面編程能力，支持協議無關的轉發(fā)，是完全可編程的南向協議POFOpenFlow協議可以通過下發(fā)流表項來對數據平面設備的網絡數據處理邏輯進行編程，從而實現可編程定義的網絡。OpenFlowP4也是一個可對數據解析邏輯和數據處理邏輯編程的語言或者框架。P4不僅是一個SDN南向協議，還是一門網絡編程語言，即可以通過P4協議對底層交換機進行編程控制。P4目錄SDN網絡架構SDN南向協議SDN網絡部署模式SDN網絡部署模式SDN網絡部署模式有兩種：underlay與overlayunderlay網絡UnderLay指的是物理網絡，它由物理設備和物理鏈路組成。常見的物理設備有交換機、路由器、防火墻、負載均衡、入侵檢測、行為管理等，這些設備通過特定的鏈路連接起來形成了一個傳統的物理網絡，這樣的物理網絡，我們稱之為UnderLay網絡。Underlay網絡Underlay網絡結構數據中心網絡業(yè)務網絡備份網絡IP存儲網絡管理網絡Underlay網絡缺點傳統的網絡設備對數據包的轉發(fā)都基于硬件，其構建而成的Underlay網絡也產生了如下的問題：由于硬件根據目的IP地址進行數據包的轉發(fā)，所以傳輸的路徑依賴十分嚴重。新增或變更業(yè)務需要對現有底層網絡連接進行修改，重新配置耗時嚴重互聯網不能保證私密通信的安全要求ABC網絡切片和網絡分段實現復雜，無法做到網絡資源的按需分配多路徑轉發(fā)繁瑣，無法融合多個底層網絡來實現負載均衡DESDN網絡部署模式SDN網絡部署模式有兩種：Underlay與OverlayOverlay網絡OverLay其實就是一種隧道技術，VXLAN，NVGRE及STT是典型的三種隧道技術，它們都是通過隧道技術實現大二層網絡。將原生態(tài)的二層數據幀報文進行封裝后在通過隧道進行傳輸?？傊ㄟ^OverLay技術，我們在對物理網絡不做任何改造的情況下，通過隧道技術在現有的物理網絡上創(chuàng)建了一個或多個邏輯網絡即虛擬網絡，有效解決了物理數據中心，尤其是云數據中心存在的諸多問題，實現了數據中心的自動化和智能化。Overlay網絡Overlay網絡結構主機主機主機物理網絡Overlay虛擬網絡underlayA網段B網段C網段D網段D網段D網段D1D2D1D2A1B1D1D2Overlay網絡優(yōu)點Overlay網絡的優(yōu)點Overlay網絡可以按照需求建立不同的虛擬拓撲組網，無需對底層網絡作出修改支持網絡切片與網絡分段。將不同的業(yè)務分割開來，可以實現網絡資源的最優(yōu)分配通過加密手段可以解決保護私密流量在互聯網上的通信ABC流量傳輸不依賴特定線路。Overlay網絡使用隧道技術，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸支持多路徑轉發(fā)。在Overlay網絡中，流量從源傳輸到目的可通過多條路徑，從而實現負載分擔，最大化利用線路的帶寬DESDN三層網絡架構SDN南向協議SDN的網絡部署模式總結SDN南向協議OpenFlow基礎理解OpenFlow的架構理解OpenFlow的關鍵組件原理教學目標目錄OpenFlow概述OpenFlow架構OpenFlow關鍵組件OpenFlow起源提出了OpenFlow協議OpenFlow協議標準發(fā)布/ONF成立20082009-2012NickMcKeown教授等在論文中提出了OpenFlow協議，介紹了OpenFlow的原理，包括OpenFlow交換機和OpenFlow控制器的設計2009年OpenFlow1.0版本協議標準正式發(fā)布，OpenFlow正式進入工業(yè)界的視野。2011年3月，ONF的成立是OpenFlow發(fā)展史上的-一個重要的里程碑事件，標志著OpenFlow協議開始了工業(yè)標準規(guī)范化的道路。2012年7月Nicira公司被VMware以12.6億美元收購OpenFlow版本OpenFlow部分版本的發(fā)布2011.22011.122012.42013.10OpenFlowV1.4OpenFlowV1.3版本OpenFlowV1.2版本OpenFlowV1.1版本2009OpenFlowV1.0版本OpenFlow的理解我們如何理解OpenFlow？01南向協議之一openflow實際上就是SDN控制器和數據平面之間的多種通信協議之一，他實際上已經被看作SDN通信協議事實上的標準，類似于TCP/IP，作為互聯網的通信準則。02數據鏈路層的網絡通信協議能夠控制交換機，路由器的轉發(fā)平面印象數據包的網絡路徑。相比于ACL和路由協議，OpenFlow允許更復雜的流量管理，還允許不同供應商用一個簡單、開源的協議遠程管理交換機。目錄OpenFlow概述OpenFlow架構OpenFlow關鍵組件OpenFlow架構OpenFlow控制器與交換機的網絡架構圖安全渠道流表軟件硬件OpenFlow交換機個人計算機控制器OpenFlow協議SSLOpenFlow運作架構交換機交換機交換機交換機交換機交換機交換機控制平面控制器OSPFLACPRSTP通信協議目錄OpenFlow概述OpenFlow架構OpenFlow關鍵組件OpenFlow的關鍵組件OpenFlow控制器OpenFlow交換機OpenFlow流表OpenFlow組表OpenFlowMeter表OpenFlow控制器OpenFlow控制器位于SDN架構中的控制層，通過OpenFlow協議指導設備轉發(fā)。開源控制器廠商控制器ABOpenFlow控制器分類OpenFlow的典型開源控制器NOX/POXNOX支持OpenFlowV1.0，提供C++的API，并采用異步的、基于時間的編程模型。POX可以視為更新的，基于PYthon的NOX版本，支持Windows、MacOS、Linux系統上的Python開發(fā)，主要用于教育和研究領域。ONOSONOS上由theopenNetworkingLab使用Java及Apache實現并發(fā)布的首款開源SDN網絡操作系統，主要面相與網絡服務提供商和企業(yè)骨干網。OpenDaylightOpenDaylight是一個Linux基金合作項目，以開源社區(qū)為主導，使用Java語言實現開源框架，旨在推動創(chuàng)新實施以及軟件定義網絡透明化。可以實現與NFV開放平臺OPNFV、開源云平臺Openstack和開放網絡自動化平臺ONAP同步。OpenFlow交換機OpenFlow交換機由硬件平面上的OpenFlow表項和軟件平面上的安全通道構成。OpenFlow表項為OpenFlow的關鍵組成部分，由控制器下發(fā)來實現控制平面對轉發(fā)平面的控制。OpenFlow-OnlySwitch僅支持OpenFlow轉發(fā)OpenFlow-OnlySwitch既支持OpenFlow轉發(fā)也支持普通二、三層轉發(fā)ABOpenFlow交換機分類OpenFlow交換機與控制器的關系流表安全通道控制器1實例1OpenFlow接口流表安全通道控制器2實例2OpenFlow接口OpenFlow交換機一個OpenFlow交換機可以有若干個OpenFlow實例，OpenFlow實例使得一個OpenFlow交換機同時被多組控制器控制成為可能。OpenFlow接口類型OpenFlow交換機在實際轉發(fā)過程中依賴于OpenFlow表項，轉發(fā)動作由交換機的OpenFlow接口完成。OpenFlow接口分類物理接口：比如以交換機的以太網口，可以作為匹配的入接口和出接口邏輯接口：比如聚合接口、Tunnel接口等，可以作為匹配的入接口和出接口保留接口：由轉發(fā)動作定義的接口，實現OpenFlow的轉發(fā)功能OpenFlow的流表流表(FlowTable)是交換機用于存儲流表項的表。在OpenFlow1.0版本中僅有一張流表,即單流表。由于單流表可以支持的程序邏輯太簡單,無法滿足復雜的業(yè)務邏輯，所以在OpenFlow1.1版本規(guī)范中就提出了多級流表的概念。分組頭域計數器動作匹配域計數器指令匹配域優(yōu)先級計數器指令計時器CookieV1.0V1.1&V1.2V1.3不同協議版本的流表項結構OpenFlow流表的基本說明流表重要字段的說明匹配域：流表項匹配規(guī)則，可以匹配入接口、物理入接口、流表間數據，二層報文、三層報文、四層端口號等報