一、網路基礎
1、網路組成三要素
【網線+網路卡+協議棧】三要素,是組成“最小網路單元”的基礎,缺一不可.
- 網線提供物理介質,承載位元流/電訊號(類似電話線承載語音流/模擬訊號)
- 網路卡進行資料處理,例如將電腦磁碟的資料/位元組轉換為網線上的電流/位元,將位元流轉換為資料
- 協議棧作為溝通語言,實現通訊過程中的資料解析、地址定址、流控制等
2、網路通訊三要素
【IP地址+埠號+傳輸協議】三要素,是網路中通訊必不可少的角色。
- IP地址即確定和哪臺主機通訊
- 埠分為物理埠和邏輯埠,物理埠主要死網路卡口(路由器、交換機等),邏輯埠是指確定程式(應用程式)
- 傳輸協議指的是兩種,TCP/UDP
3、中繼器
- 工作在物理層上的連線裝置。可以將完全相同的兩類網路互聯,對資料訊號進行中繼和放大。
- 缺點是中繼器只有兩個介面,只能連線兩個終端主機。
4、集線器
- 集線器可能理解為“多口中繼器”,集線器是運作在OSI模型中的物理層,從任一個接收到的資料,可以往其他所有介面泛洪。
- 缺點是集線器不能識別資料包的定址資訊和上層內容,無法對終端主機隔離,多個主機出於衝突域中,導致帶亂利用率低
5、網橋
- 網橋:鏈路層產品,可以記錄終端主機MAC地址並生成MAC表(CAM表),根據MAC錶轉發主機之間的資料流。
- 網橋能夠進行衝突域隔離,有效的提高網路頻寬利用率,不同介面間的資料不會互相沖突。
- 缺點是網橋的介面有限,預設是兩個介面,對網路的隔離衝突有限,無專用硬體處理資料而是採用CPU導致處理速度稍慢
6、交換機
- 交換機:鏈路層產品,可以記錄終端主機MAC地址並生成MAC表(CAM表),根據MAC錶轉發主機之間的資料流。
- 交換機在網橋基礎上升級和延伸,相比網橋,有以下優點:
- 介面數量更密集,獨立衝突域,頻寬利用率大大增長
- 採用專用ASIC硬體晶片進行高速轉發 - 能夠進行VLAN隔離(不僅僅可以隔離衝突域,而且可以通過VLAN隔離廣播域)
7、路由器
- 路由器:網路層產品,基於IP定址,採用路由表實現資料轉發
- 路由器主要用於連線不同區域網(可以是不同介質,即令牌網和乙太網互通),實現廣播域隔離,也可以用於遠端通訊(廣域網連線)
- IP邏輯協議定址機制是實現不同型別區域網連通的關鍵,不同區域網主機只要有配置IP地址,有合理網段規劃,則可以通訊,路由器在實現區域網之間通訊時,會實現”介質翻轉“和”路由轉發“。
8、無線AC/AP
- 無線AP(Access point)可以看成帶有無線功能的交換機/路由器,能將有線訊號轉換成無線的裝置都可以叫無線AP。指802.11協議的無線AP,即大家耳熟能詳的WIFI。
- 根據部署方式不同,分為胖AP和瘦AP。即AC(Wireless Access Point Controller)統一管理的就是瘦AP,其餘都是胖AP。
- 胖AP方案中,無線AP有獨立的作業系統,獨立除錯無線熱點所有配置。瘦AP中,無線AP僅具備無線訊號發射的功能,所有命令除錯全部集中在後臺的AC/無線控制器中。
- 小型無線網路(家用、小型企業)採用胖AP,大型無線網路(無線城市、無線校園網)採用瘦AP方案(AP+AC)
9、防火牆
- 防火牆(Firewall):網路安全產品,對於網路進行安全訪問限制,一般用於網際網路邊緣防黑客攻擊
- 根據防火牆的技術特徵,可以分為包過濾、應用代理、狀態檢測防火牆。根據產品形態分為軟體和硬體防火牆。
- 路由器側重地址翻轉和路由策略,防火牆側重安全隔離
- 防火牆類似路由器,如上圖:
- 一般中小型單位 網際網路出口使用防火牆或者只使用路由器,功能多且便宜
- 特定行業內網出口 必須用路由器,政策要求和業務需要,如公安/法院/金融等
- 大型網路防火牆和路由器分開,如果都用防火牆,效能可能扛不住
- 路由器和防火牆兩者都存在的情況下,一般都是路由器在最外層,防火牆一般會旁掛伺服器,即DMZ區域,採用第一種架構,伺服器在私網IP域,相對安全。黑客攻擊首先需要穿透路由器的NAT,還需繞過防火牆的檢測。
10、家庭網路拓撲
- 說明:典型家庭網路拓撲一版只需要用到路由器,由路由器連線外網和提供wifi
- 裝置:無線路由器
- 技術:NAT(網路地址轉換)、PPPOE(乙太網上的點對點協議,即無線路由器撥號協議)、DHCP(動態主機設定協議,用於內部網或網路服務供應商自動分配IP地址)
11、中小型企業網路架構
- 說明:總部屬於中型企業架構,分部屬於小型企業架構
- 裝置:
- 總部:路由器、交換機、防火牆、瘦AP(無線AC+AP)、伺服器
- 分佈:路由器、交換機
- 技術:
- 總部:VLAN、MSTP、VRRP、WIFI、NAT、VPN、TRUNK、DHCP、ACL等
- 分部:VLAN、VPN、WIFI
- 解決思路:
- 使用子網劃分來對每個部門進行規劃,每一個部門單獨一個24位的子網斷,保證連續性,即使後續有新增加的員工,24位有254個地址,可以保證能正常使用,並且連續性可以方便做彙總、與一些策略的控制。
- 冗餘性的實現,可以利用MSTP+VRRP技術實現鏈路的冗餘性與閘道器的熱備功能,並且核心之間鏈路起鏈路聚合,提高頻寬。
- 安全性的實施,可以利用ACL與埠隔離技術 來進行部署,當然也可以高階點,dot1x、DHCP snooping+DAI+IPSGD等技術。一般情況下用ACL與埠隔離技術即可,除非有特殊需求在使用後續的。
- 使用AC+AP的三層旁掛架構元件無線網路,實現內部網路使用5G接入網路,而訪問則使用2.4G頻率,並且實現,訪客只能訪問公司提供的WEB頁面與Internet訪問,並且要求無線訪客區之間實現隔離。
- 利用浮動路由+NQA或者ip-link技術實現自動切換
- 使用IPSEC技術實現總部與分部之間的互訪,通過加密驗證等機制來保證資料的安全性
- 部署L2TP Over IPSEC實現出差員工能夠撥入到內網,訪問特定的資源。
- 開啟Telnet或者SSH功能,實現訪問,並且用ACL限制只能特點的主機訪問。
11、運營商網路脈絡
- 說明:運營商網路主要通過都會網路架構實現,是網際網路最中心的承載網路,不同運營商採用AS自治系統隔離和相連,通過BGP協議交換路由,採用MPLS實現標籤交換
- 裝置:交換機、路由器
- 技術:OSPE/ISIS、BGP、MPLS、Multicast、TE/Qos、SNMP等
12、名詞解釋
MSTP:基於SDH技術的多業務傳送平臺(MSTP),實現區域網業務的接入、處理和傳送,進行統一控制和管理 DHCP:是一個區域網的網路協議,使用UDP協議工作,用於內部網或網路服務供應商自動分配IP地址;給使用者用於內部網管理員作為對所有計算機作中央管理的手段 VRRP:虛擬路由冗餘協議,解決區域網中配置靜態閘道器出現單點失效現象的路由協議 OSPE:路由協議一種,開放式最短路徑優先,用於在單一自治系統(AS)內決策路由 ISIS:分級的連結狀態路由協議,和OSPF相似,使用Hello協議尋找毗鄰節點,使用一個傳播協議傳送連結資訊 SNMP:簡單網路管理協議,由三部分組成,被管理的裝置,SNMP代理,網路管理系統(NMS) DS-TE:是網路級QOS 保證的主要技術,要求網路裝置具備DS-TE 功能,即流量控制技術。 Qos:服務質量,指一個網路能夠利用各種基礎技術,為指定的網路通訊提供更好的服務能力, 是網路的一種安全機制, 是用來解決網路延遲和阻塞等問題的一種技術。 在正常情況下,如果網路只用於特定的無時間限制的應用系統,並不需要QoS,比如Web應用,或E-mail設定等。 ACL:訪問控制列表,是路由器和交換機介面的指令列表,用來控制埠進出的資料包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
二、SDN介紹
1、傳統網路存在的問題
1.1 硬體升級難題
縱觀網路裝置的誕生,傳統網路行業按需發展,即根據暴露的問題然後去研發解決這個問題。同時,網路硬體研發週期長,迭代和升級也遠遠跟不上軟體。 在傳統網路行業中,話語權是掌控在網路裝置商手上的,如思科、華為、新華三等。底層對於使用者來說,是完全封閉的,如同黑盒子般,無法去掌控。
1.2 網管系統的不足
傳統的主流網路方案中,一般是配置網管伺服器,網路裝置(路由器、交換機、防火牆)和網管系統部署SNMP協議,通過網管系統對全網進行視覺化拓撲發現、配置管理、鏈路質量檢測。 然而,SNMP作為簡單網路管理協議,更多側重於網路裝置的監控。而不是部署和配置。一般僅僅對IDC機房的故障進行告警,無法通過網管伺服器去自動配置。
1.3 流量分配不均衡
同時,針對網際網路公司的鏈路流量分配不均衡,也沒有一個很好的解決方案,可分配均衡的一大難點,又在於流量的視覺化。
- 常規流控產品只能實現部分頻寬分配視覺化,常規網管系統只能實現鏈路故障檢測,無法頻寬視覺化
- 全網流量視覺化是頻寬智慧調配的基礎
1.4 網路裝置本身問題
網路裝置通過“網路協議”進行對話,如OSPF、BGP、MPLS、MSTP等,建立連線會通過三個步驟:鄰居建立、資訊共享、路徑選擇。 而由於大部分的網路裝置採用“分散式架構”,每次互動都會根據“路徑演算法(如SPF演算法)”選擇最優的路徑。
2、SDN定義
- SDN:即軟體定義網路,是一種網路設計理念
- 網路裝置可以集中式管理,可程式設計,控制和轉發分離。即可定義為SDN
- SDN框架由應用層、控制層、轉發層(基礎設施層)組成,其中應用層提供應用和服務(網管、安全、流控等),控制層統一管理和控制(協議計算、策略下發、鏈路資訊等)、轉發層提供硬體裝置(交換機、路由器、防火牆)進行資料轉發
- 基於REST API的北向介面負責面向應用,提供網路抽象,使得網路具備軟體程式設計的能力。南向介面主要負責面向基礎設施層,主要提供Openflow流。
注意:控制層介面也屬於北向介面
3、SDN vs 傳統網路
第一條就不闡述了,SDN的基礎。 第二條如下圖。
第三條主要是SDN可以通過程式碼寫指令碼實現轉發策略,如C/JAVA/Python。 第四條開放介面也很好理解,基於開放協議的方案是當前SDN實現的主流方案。 第五條網路虛擬化,即虛擬化平臺是介於資料網路拓撲和租戶控制器之間的中間層,為了實現虛擬化,虛擬化平臺需要對物理網路資源進行抽象虛擬化,其中包括拓撲虛擬化,節點資源虛擬化和鏈路資源虛擬化。
4、SDN案例----谷歌B4
- 目的:區分高優先順序和低優先順序流量然後分配頻寬。
- 說明:控制該網路的系統分為三個層次:物理裝置層(Switch Hardware)、區域性網路控制層(Site Controller)和全域性控制層(global)。一個Site就是一各資料中心。第一層的硬體交換機和第二層的Controller在每個資料中心的內部出口的地方都有部署,而第三層的SDN閘道器和TE伺服器則是在一個全域性統一的控制器。
- 詳解:
- 第一層的硬體交換機是Google自己設計的。交換機裡面執行了OpenFlow協議,但是它並非僅僅使用了一般的OpenFlow交換機最常使用的ACL表,而是用了TTP(Table Typing Patterns)方式,包括ACL表、路由表、Tunnel表等。但是向上提供的是OpenFlow介面。這些交換機會把BGP/IS-IS協議報文傳送到Controller供Controller處理。
- 第二層最為複雜,該層在每個資料中心出口並不是只有一臺伺服器,而是有一個伺服器叢集,每個伺服器上都執行一個Controller,Google用的Controller是基於分散式的Onix Controller來改造的。一臺交換機可以連線到多個Controller,但是隻有其中一個處於工作狀態(Master),一個控制器控制多臺交換機,一個名叫Paxos的程式用來進行leader選舉(即選舉Master)
- 第三層中,全域性的TE伺服器通過SDN Gateway從各個資料中心的控制器收集鏈路資訊,從而掌握路徑資訊,這些路徑被以IP-In-IP Tunnel的方式建立而不是TE最經常使用的MPLS Tunnel,通過Gateway到Onix Controller,最終下發到交換機中。當一個新業務資料要開始傳輸的時候,應用程式會評估該應用所需要耗用的頻寬,為它選擇一條最優路徑(比如負載最輕的但非最短路徑即不丟包但時延大),然後把這個應用對應的流通過Controller下發到交換機,從而整體上使鏈路頻寬利用率到達最優。
三、擴充:NVF、NV和SDN的關係
先了解三個概念之間的釋義。
- NVF:網路裝置虛擬化
- NV:網路虛擬化
- SDN:軟體定義網路
NFV是ETSI(即歐洲電信標準化協會)旨在通過採用通用硬體及在其上流行的虛擬化技術,,來取代目前由電信裝置廠商給運營商提供的專用硬體裝置,從而降低網路建設的昂貴成本支出。NFV的目標就是通用伺服器替代專用電信裝置(路由器、交換機等)。 NV是雲端計算髮展所必然產生的技術,即針對公有云中快速部署、自動化以及自服務成了必然的需求:
- 多租戶隔離
- 單租戶的不同應用之間安全性要保障
- 根據雲平臺的應用要求配置網路策略,同時遷移時自動轉移策略。
SDN中即虛擬化平臺是介於資料網路拓撲和租戶控制器之間的中間層,為了實現虛擬化,虛擬化平臺需要對物理網路資源進行抽象虛擬化,其中包括拓撲虛擬化,節點資源虛擬化和鏈路資源虛擬化。
總結:SDN = NV > NVF 即雲端計算的虛擬網路利用SDN的思想,同時,SDN針對是面,而NVF針對的是點,在未來,SDN與NFV都是大勢所趨,可能會出現在Controller控制下用通用伺服器作為網元形成的網路,既實現了SDN,又是NFV。
四、參考資源
1、51CTO課程————《SDN從入門到精通》 2、《Google資料中心B4網路具體實現》 3、漫談SDN,NFV與NV