软件定义网络(Software Defined Network, SDN ),是一种新型网络创新架构,其核心技 术OpenFlow通
过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核 心网络及应用的创新提供了
良好的平台。
SDN 全称为Self -Defending Network,自防御网络。SDN最早由思科提出,通过安全的络架 构、安全机
制、以及相关技术实现网络攻击自动发现、自动防御、自动消除威胁的网络系统。 自防御网络计
划是一种全新的多阶段安全计划,它能够大大提高网络发现、预防和对抗安全威胁 的能力。自防御网络计划
增加了新的系统级威胁防御功能,与通过互联网协议(IP)网络将多 种安全服务集成在一起的策略相比,又
前进了一步。制定企业的整体安全策略,是建立"自防 御网络"的基础。随着网络技术不断地发展,网络安全
要从以前被动的方式有所转变,在以 前,企业不断在已有的计算机网络上不断添加防火墙,网络入侵检测设
备,主机防病毒产品, 网络身份认证系统,网络管理系统等等,其目的就是要加强网络的安全性,使计算机
网络,网 络上的通用操作系统,主机应用系统受到不同程度的保护。而今天,思科提出了一个崭新的概 念,
那就是,安全已经变成了网络的一部分,安全已经和网络密不可分,安全无处不在。而 且,今后的计算机网
络不但要具有保护网上主机系统,网上终端系统,网上应用系统的能力, 关键是要网络本身也具有自我保护
能力,自我防御能力,自我愈合能力,一旦受到网络蠕虫, 网络病毒的侵扰甚至网络攻击时,能够快速反
应,做到网络能够发现攻击,发现病毒,消除蠕 虫,做到既保护网络应用的同时,又保护了网络自身,这就
是思科所倡导的新一代的"自防御 网络"计划(Self -Defending Network)。
从路由器的设计上看,它由软件控制和硬件数据通道组成。软件控制包括管理(CLI,SNMP)以及 路由协议
(OSPF,ISIS,BGP)等。数据通道包括针对每个包的查询、交换和缓存。 如果将网络中 所有的网络设备视为被
管理的资源,那么参考操作系统的原理,可以抽象出一个网络操作系统 (Network OS)的概念—这个网络操
作系统一方面抽象了底层网络设备的具体细节,同时还为 上层应用提供了统一的管理视图和编程接口。这
样,基于网络操作系统这个平台,用户可以开 发各种应用程序,通过软件来定义逻辑上的网络拓扑,以满足
对网络资源的不同需求,而无需 关心底层网络的物理拓扑结构。 SDN提出控制层面的抽象,目前的MAC层
和IP层能做到很好的抽象但是对于控制接口来说并没有 作用,我们以处理高复杂度(因为有太多的复杂功能
加入到了体系结构当中,比如OSPF, BGP,组播,区分服务,流量工程,NAT,防火墙,MPLS,冗余层等
等)的网络拓扑、协议、算 法和控制来让网络工作,我们完全可以对控制层进行简单、正确的抽象。SDN给
网络设计规划 与管理提供了极大的灵活性,我们可以选择集中式或是分布式的控制,对微量流(如校园网的
流)或是聚合流(如主干网的流)进行转发时的流表项匹配,可以选择虚拟实现或是物理实 现。
目前,包括HP、IBM、Cisco、NEC以及国内的华为和中兴等传统网络设备制造商都已纷纷加入 到
OpenFlow的阵营,同时有一些支持OpenFlow的网络硬件设备已经面世。2011年,开放网络基 金会(Open
Networking Foundation)在Nick等人的推动下成立,专门负责OpenFlow标准和规 范的维护和发展;同年,
第一届开放网络峰会(OpenNetworking Summit)召开,为OpenFlow 和SDN在学术界和工业界都做了很好
的介绍和推广。