软件定义网络(SDN,Software Defined Network),是由美国斯坦福大学clean slate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通过将路由器和交换机中的控制平面分离出数据平面,这个控制平面是开放的,并且受到集中控制,同时将命令和逻辑发送回硬件的数据平面。从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。相关的概念还有:软件定义环境、软件定义存储、软件定义数据中心、OpenDaylight开源SDN项目。
软件定义网络目的是将网络控制与物理网络拓扑分离,从而摆脱硬件对网络架构的限制。这样的话,企业就可以通过软件对网络架构修改,获得企业对网络的需求,达到底层交换机和理由器等硬件无需替换,为企业节省成本。软件定义网络能够从路由器和交换机中的控制平面分离出数据平面,这个控制平面原本是专有的,只有开发它们的供应商知道,而在SDN中,控制平面将是开放的,并且受到集中控制,同时将命令和逻辑发送回硬件(路由器或交换机)的数据平面。
SDN软件定义网络强调两方面的能力:
1、 控制转发分离:传统网络设备紧耦合的网络架构,被分拆成控制和转发两个平面。同时,在控制平面,增加集中控制器进行整体调度,将命令和逻辑发送回硬件(路由器或交换机)的数据转发平面。
2、 开放API及软件定义:即通过基于SDN技术的对外开放的API进行软件编程,实现整个网络集中的管理能力,而不需要在每个路由器或交换机上分别以设备为中心进行管理。
简单化,可以实现中心控制,可以使得很多复杂的协议处理得到简化;
快速部署与维护;
灵活扩展,从一个机柜大的网络还可以扩展到像大的运营商的网络,也可以从一个控制器得到控制;
开放性,因OpenFlow是其重要的组成部分,它的数据转发功能和网络控制功能是分离的,由于这种分离可以分别由交换机来处理,分别由网络控制器处理,从而简化了网络的管理,由此可以使用户有更多的选择自定义网络节省他的投资,使用户选择多家设备共存,打破垄断。用户根据自己的需求和需要在任何时候方便升级。
拥有了自由移动的SDN软件定义网络后,工程师将能够通过快速且高水平地查看网络的所有区域以及修改网络来改变规则。
这种自由和控制还能为你的系统带来更好的安全性。通过快速限制以及从中央视角查看网络内部的能力,管理人员可以有效地作出更改。例如,如果你的网络中爆发了恶意软件,通过SDN软件定义网络和OpenFlow,你将能够迅速地从集中控制平面阻止这种流量来限制这种爆发,而不需要访问多个路由器或交换机。
快速对网络作出调整的能力使管理人员能够以更安全的方式来执行流量整形和数据包QoS.这种能力现在已经存在,但速度和效率不好,当管理人员在试图保护网络安全时,这将限制他们的能力。
尽管围绕软件定义网络(SDN)的所有兴奋点都是由OpenFlow刺激起来的,但OpenFlow并非实现SDN的唯一方法或者唯一途径。就目前而言,实现SDN,除了OpenFlow以外,至少还有6种途经。
命令行接口(CLI):CLI是交换机和路由器的常用接口,网络经理们常用它来配置交换机,激活或者禁用某些服务。
Arista网络的CEO Jayshree Ullal说,“要想开放,不只有一种方法。要想扩展,也不只一种方法。CLI虽然不是我们常用的可编程接口,但它依然是今天很多人构建现实网络的方法。”
SNMP:简单网络管理协议是网络管理的一个重要部分。在各项活跃的管理任务中,SNMP常被用来修正和应用新的配置,而且是通过远程修正配置信息实现的。
XMPP:可扩展的消息处理现场协议(XMPP)是处理现场和消息路由的一个XML流协议。它还可提供安全但是方便的可编程语言,用于耦合多种不同的网络。
Netconf:IETF的Netconf旨在减少与自动化设备配置有关的编程工作量。Netconf可使用XML来配置设备,实现更高效的分路状态,并在设备上存储配置数据。
OpenStack:OpenStack是Rackspace/NASA为云计算而建立的一个开源项目,这个模块化的开源软件可用域开发公有云和私有云计算架构和控制器。目前已有超过135家公司参与了OpenStack项目。
虚拟化软件API:hypervisor中的API和其他虚拟化软件,如VMware的vSphere,虚拟化服务器、存储和网络资源等都可以按需集中并分配给各种应用。它们包含可定义资源池的工具,以及定义服务等级的业务工具,并能自动强制执行服务等级,以确保应用的可用性、性能、安全和扩展性。
虽然SDN(软件定义网络)技术在中国正处于试验阶段,但一些院校已经开始对软件定义网络进行研究和测试。清华研究院博士生亓亚烜介绍了清华SDN团队在架构、安全性、资源管理等方面的研究进程,到目前为止已经运行一年之久。
软件定义网络技术在中国发展的阻碍
在美国,一批像Nicira、Xsigo、Contrail Systems等软件定义网络创业公司的迅速发展,以及NEC、NTT一些产品,使SDN有了很多成功的经验参考,但这些产品还并未进入中国,并且SDN切断了网络硬件设备和网络系统的捆绑,从某种角度来讲,会对中国的华为、中兴等网络硬件制造商不利,虽然不会出面阻止趋势的发展,但在目前,依靠它们来推动SDN发展还是很难。
软件定义网络在中国发展的未来
虽然SDN在中国目前还没有成功案例,很多人在持有怀疑的态度观望,让SDN在中国快速发展还是一个比较艰难的过程,但随着SDN的相关公司越来越多,一些相关的研究越来越深入,相信,在不远的将来,SDN 软件定义网络在中国会一步步成熟起来。
了解和审核谁访问过控制器以及控制器在网络中的位置。需要记住--访问控制器可能让攻击者完全控制,因此,必须保护控制器的安全。
检查控制器和终端节点(路由器或交换机)之间的安全性-特别是它们正在通过SSL通信来防止来自控制器的任何恶意访问。正如其他任何技术一样,如果没有从一开始考虑安全性,那么你必须在稍后增加安全性,但这样做往往更加困难且昂贵。
确保正确配置节点和控制器间的安全性。
确认控制器的高可用性。为控制器创造业务连续性是很重要的,因为如果控制器丢失的话,管理网络的能力同样也没有了,SDN(软件定义网络)和OpenFlow的所有优势也将丧失。
确认系统的任何变化都进行了日志记录。由于管理人员集中控制网络,应该日志记录每一个变化,并将其发送到公司的日志管理解决方案。
在部署软件定义网络sdn时,确保企业中可能阻止或记录变化的SIEM、IPS及任何其他过滤技术进行了相应的更新。同时,关联来自SIEM的日志以提醒管理人员变化情况。通过SIEM跟踪自定义事件(例如登录失败和政策变化)将确保系统的安全性。
确保IPS没有将这种流量认为是恶意流量。在该过滤系统中配置相应的规则以允许控制器在需要的时候与节点通信。
原文:http://www.caecp.cn/News/News-1164.html
欢迎光临 信息谷 - ICITU (https://icitu.com/) | Powered by Discuz! X3.4 |