SDN整体解决方案以SDN控制器为核心,以Openflow交换机和NFV网络功能虚拟化为支撑,提供丰富的SDN APP,为用户提供智能、动态、开放、自定义、快速创新的新一代网络。
1、Overlay
由于虚拟机迁移的网络属性要求,当从一个物理机上迁移到另一个物理机上,要求虚拟机不间断业务,需要其IP地址、MAC地址等参数保持不变,如此则要求业务网络是一个二层网络。传统的二层无法穿越中间的三层网络,此外传统的VLAN只能支持4K个VLAN,虚拟机规模受网络规格限制,网络隔离能力也同样受到限制。
Overlay是在传统网络上虚拟出一个虚拟网络,传统网络不需要再做任何改变。虚拟化后的业务网络为Overlay,中间的传统承载网络为underlay。Overlay的技术路线,对物理设备的要求降至最低,业务完全定义在overlay网络上。典型的overlay实现为VXLAN,是一种将二层报文用三层协议进行封装的技术,可以对二层网络在三层范围进行扩展。它应用于数据中心内部或者数据中心之间,使虚拟机可以在互相连通的三层网络范围内迁移,而不需要改变IP地址和MAC地址,保证业务的连续性。VXLAN采用24bit的网络标识,使用户可以创建16M相互隔离的虚拟网络,突破了传统VLAN所能表示的4K个隔离网络的限制,这使得大规模多租户的云环境中具有了充足的虚拟网络分区。
2、Service Function Chaining
虚拟网络与物理网络的分离,让数据中心网络变得更加灵活,更具有可扩展性。而对虚拟网络的控制,也仅仅需要集中在网络边缘即可。然而Overlay技术并没有解决所有问题,数据中心中还有很多Middleware,如防火墙、负载均衡器等,这些设备都是基于用户业务来处理的,如果通过隧道而穿越这些设备,显然是不行的。特别是在VM迁移时,防火墙里面的基于Flow的Status其实并没有迁移。同时,传统的防火墙、负载均衡器的部署,都是与网络拓扑紧密相关,需要根据报文路径来放置防火墙/负载均衡器。
我们把虚拟防火墙/负载均衡器/网关等业务处理功能,称为Service Function,而流量经过一系列的Service Function的处理,形成Service FunctionChaining,即业务功能链。在这样一个Service Function Chaining中,如何能够将流量灵活的调配到某个Service Function进行处理,形成Service FunctionChaining,传统的SFC方案有基于源路由实现,和对MP-BGP进行扩展定义新的NLRI来改变传统的路由下一跳行为。新型的云虚拟化环境下则采用NSH来实现。
3、流量可视化
传统的管理方式如网管软件、流量分析仪、安全设备等工具有很大的局限性。它们只能在有限的范围内实现有限的网络监控,而不能发现网络的异常。
基于SDN的网络流量可视化,帮助更快速有效的识别网络流量、网络负载、异常事件和网络攻击。将网络数据以图形图像的方式表现出来,利用人们的视觉功能处理这些大量的数据信息,将可视化技术引入到网络领域和安全领域。
SDN网络流量可视化深度提取网络2-7层信息,快速识别数据模式和数据差异,发现数据的异常值和错误。对当前的网络运行情况进行识别聚类,通过大数据分析,识别当前网络,并预知规划未来网络。此外,流量可视化还从中发现异常事件,发现安全威胁,做好安全防御。
4、防范DDOS
DDOS的攻击可谓是千变万化。SDN技术将网络控制转移到专用SDN控制器上,由它负责管理和控制虚拟网络和物理网络的所有功能。SDN安全策略支持更深层次的数据包分析、网络监控和流量控制,对于防御网络攻击有很大作用。通过使用可编程的灵活SDN交换机,让它们作为数据包拦截和重定向平台,安全团队就可以检测和防御目前的各种常见攻击。典型部署是,SDN交换机作为数据包提取、上报、和拦截设备,而控制器则作为监控、分析、和策略下发设备。
5、云端安全
随着云的普及,有数据表明越来越多的安全威胁来自于云和网络的内部。分散的设备策略配置管理,对管理员安全技能要求高,手工配置和维护困难。物理安全设备对虚拟机东西向流量不可见,无法实施有效的安全策略管理。物理安全设备大都是封闭、固化的,不能动态伸缩。
基于Openflow的SDN天生就yi带保护内网的机制。采用内网零信任安全机制,将传统的连接网络转变为零信任安全模式,而且继续保持基础架构的灵活性,达到基于主机级别的云数据中心安全防护和访问控制。SDNJ基于流细力度管控,提供全局安全策略和自适应安全策略。
6、NFV vCPE
面对OTT业务带来的巨大压力,vCPE为电信运营商带来新的机遇。运营商在将x86这种具有更高计算能力和更标准灵活的硬件架构引入到传统城域网的业务边缘层。通过部署x86架构下的虚拟CPE(VCPE)、虚拟BRAS(VBRAS)和虚拟NAT(VCGN)等资源池,使得用户接入控制能力得以灵活扩展。
7、SPTN
承载传送网的发展趋势历经了SDN、MSTP、T-MPLS/PBT、PTN/MPLS-TP的发展阶段。PTN继承了MPLS的转发机制和多业务承载能力(PW),继承了传送网的OAM和保护能力,去除了IP的复杂的路由协议和面向非连接的特性,支持分组交换、QoS和统计复用能力(IP化),采用面向连接技术,保障业务端到端性能保证。
使用基于SDN的SPTN则将承载网带入下一个智能化管道时代,SPTN提供集中控制能力的智能管道、业务快速开通和带宽按需实时调整。
8、SD-WAN
SD-WAN是软件定义广域网。对于企业来说,网络及其可用性至关重要。如果网络出现故障,业务将陷于瘫痪。而维护广域网的费用非常昂贵,特别是大部分时候都闲置的网络。
SD-WAN具有全局网络的可视性。企业可在SDN中央控制器系统创建流量转发策略,并下发到所有SD-WAN设备。这些策略可以是基于IP、端口号、时间、QoS等。SD-WAN集中控制器可以获取实时的动态链路信息包括链路带宽利用率、延迟、丢包等,并且根据这些信息动态的流量转发和策略,智能路径控制和选择。
9、软件定义WLAN
在高密度场景的wifi接入,经常会出现明明布了很多AP,但是终端接入慢的情况。由于SDN控制器拥有全局的无线网络使用情况,我们可以通过SDN控制器来进行动态的网络资源切片和资源分配,带来更好的用户体验。此外,SDN还可根据wifi的负载情况,将AP打开或是关闭,从而节省功耗。还可以通过集中的控制器对无线作接入、认证、统计、访问控制等。
10、SDN Fabric
数据中心第一代解决方案为vPC+VRRP+L3OSPF+BGP。第一代方案使用的协议复杂,可扩展性差,为了解决这些问题,出现了第二代解决方案L3 CLOS,L3 CLOS使用了BGP+ECMP,协议简单,横向扩展能力高,完成了从scale-up到scale-out的转变。但第二代的缺陷是庞大数量TOR交换机的管理工作量太大。
SDN的引入完美解决了前两代的问题。第三代数据中心解决方案SDN Fabric以SDN控制器为核心,以SDN交换机为支撑,提供丰富的SDN APP,以高可靠服务为保障的全方位解决方案。为用户构建智能、动态、开放、自定义、快速创新的新一代网络。并且由于SDN控制器的集中管理,使用TOR集群替代传统大而笨重的核心交换机也已成为可能。