Unerday&Overlay
名詞解釋 SDN
軟件定義網絡SDN(Software Defined Network)是由美國斯坦福大學CLean State研究組提出的一種新型網絡創新架構,可通過軟件編程的形式定義和控制網絡,其控制平面和轉發平面分離及開放性可編程的特點,被認為是網絡領域的一場革命,為新型互聯網體系結構研究提供了新的實驗途徑,也極大地推動了下一代互聯網的發展 [2] 。
傳統網絡世界是水平標准和開放的,每個網元可以和周邊網元進行完美互聯。而在計算機的世界里,不僅水平是標准和開放的,同時垂直也是標准和開放的,從下到上有硬件、驅動、操作系統、編程平台、應用軟件等等,編程者可以很容易地創造各種應用。從某個角度和計算機對比,在垂直方向上,網絡是“相對封閉”和“沒有框架”的,在垂直方向創造應用、部署業務是相對困難的。但SDN將在整個網絡(不僅僅是網元)的垂直方向變得開放、標准化、可編程,從而讓人們更容易、更有效地使用網絡資源。
SDN的整體架構由下到上(由南到北)分為數據平面、控制平面和應用平面。
其中,數據平面由交換機等網絡通用硬件組成,各個網絡設備之間通過不同規則形成的SDN數據通路連接;控制平面包含了邏輯上為中心的SDN控制器,它掌握着全局網絡信息,負責各種轉發規則的控制;應用平面包含着各種基於SDN的網絡應用,用戶無需關心底層細節就可以編程、部署新應用。
控制平面與數據平面之間通過SDN控制數據平面接口(control-data-plane interface,簡稱CDPI)進行通信,它具有統一的通信標准,主要負責將控制器中的轉發規則下發至轉發設備,最主要應用的是OpenFlow協議。控制平面與應用平面之間通過SDN北向接口(northbound interface,簡稱NBI)進行通信,而NBI並非統一標准,它允許用戶根據自身需求定制開發各種網絡管理應用。
SDN中的接口具有開放性,以控制器為邏輯中心 [1] ,南向接口負責與數據平面進行通信,北向接口負責與應用平面進行通信,東西向接口負責多控制器之間的通信。最主流的南向接口CDPI采用的是OpenFlow協議。OpenFlow最基本的特點是基於流(Flow)的概念來匹配轉發規則,每一個交換機都維護一個流表(Flow Table),依據流表中的轉發規則進行轉發,而流表的建立、維護和下發都是由控制器完成的。針對北向接口,應用程序通過北向接口編程來調用所需的各種網絡資源,實現對網絡的快速配置和部署。東西向接口使控制器具有可擴展性,為負載均衡和性能提升提供了技術保障。
Underlay就是當前數據中心網路基礎轉發架構的網絡,只要數據中心網絡上任意兩點路由可達即可,指的是物理基礎層。我們可以通過物理網絡設備本身的技術改良、擴大設備數量、帶寬規模等完善Underlay網絡,其包含了一切現有的傳統網絡技術。
Overlay 在網絡技術領域,指的是一種網絡架構上疊加的虛擬化技術模式,其大體框架是對基礎網絡不進行大規模修改的條件下,實現應用在網絡上的承載,並能與其它網絡業務分離,並且以基於IP的基礎網絡技術為主。
Overlay 技術是在現有的物理網絡之上構建一個虛擬網絡,上層應用只與虛擬網絡相關。一個Overlay網絡主要由三部分組成:
- 邊緣設備:是指與虛擬機直接相連的設備
- 控制平面:主要負責虛擬隧道的建立維護以及主機可達性信息的通告
- 轉發平面:承載 Overlay 報文的物理網絡
通過部署Overlay網絡,可以實現物理網絡向雲和虛擬化的深度延伸,使雲資源池化能力可以擺脫物理網絡的重重限制,是實現雲網融合的關鍵。Overlay網絡也是一個網絡,不過是建立在Underlay網絡之上的網絡。Overlay網絡的節點通過虛擬的或邏輯的鏈接進行通信,每一個虛擬的或邏輯的鏈接對應於Underlay網絡的一條路徑(Path),由多個前后銜接的鏈接組成。
Overlay技術可以分為網絡Overlay,主機Overlay和混合式Overlay三大類。
網絡Overlay是指通過控制協議對邊緣的網絡設備進行網絡構建和擴展,也就是本文所講的Overlay網絡技術。
Overlay網絡技術多種多樣,一般采用TRILL、VxLan、GRE、NVGRE等隧道技術。
TRILL(Transparent Interconnection of Lots of Links)技術是電信設備廠商主推的新型環網技術;
NVGRE(Network Virtualization using Generic Routing Encapsulation)
STT(Stateless Transport Tunneling Protocol)是IT廠商主推的Overlay技術;
VXLAN(Virtual eXtensible LAN)等基於隧道的封裝技術。
流行的OverLay技術:
VXLAN: VXLAN是將以太網報文封裝成UDP報文進行隧道傳輸,UDP目的端口為4798(可修改),標准5元組方式有利於在IP網絡轉發過程中進行負載分擔;隔離標識VNI采用24比特來表示;所有的流量均被封裝為payload轉發。
NVGRE :NVGRE采用的是RFC 2784和RFC 2890所定義的GRE隧道協議。將以太網報文封裝在GRE內進行隧道傳輸。隔離標識采用24比特來表示;與VXLAN的主要區別在對流量的負載分擔上,因為使用了GRE隧道封裝,NVGRE使用了GRE擴展字段flow ID進行流量負載分擔,這就要求物理網絡能夠識別GRE隧道的擴展信息。
STT :STT是無狀態傳輸協議,通過將以太網報文封裝成TCP報文進行隧道傳輸,隔離標識采用64比特來表示。與VXLAN和NVGRE的主要區別是在隧道封裝格式使用了無狀態TCP,需要對傳統TCP協議進行修改以適應NVGRE的傳輸。
VXLAN、NVGRE等Overlay技術都是通過將MAC封裝在IP之上,實現對物理網絡的屏蔽,解決了物理網絡VLAN數量限制、接入交換機MAC表項有限等問題。同時通過提供統一的邏輯網絡管理工具,方便的實現了虛擬機HA遷移時網絡策略跟隨的問題,大大降低了虛擬化對網絡的依賴,成為了目前網絡虛擬化的主要發展方向。
鏈接閱讀:http://net.zol.com.cn/459/4598330.html
傳統數據中心以千兆接入為主。隨着CPU計算能力的不斷提高,目前主流的服務器處理性能,已經超出了千兆網卡的輸出能力。同時,FC存儲網絡與IP網絡的融合,也要求IP網絡的接入速率達到FC的性能要求。當僅僅通過鏈路聚合、增加等價路徑等技術手段已經無法滿足業務對網絡性能的需求時,提高網絡端口速率成為必然之選。
萬兆以太網從起步到目前逐漸成為應用主流,延續了以太網技術發展的主基調,憑借其技術優勢,替代其他網絡接入技術,成為高性能網絡的不二選擇。目前新的數據中心,萬兆網絡接入已成為事實上的標准。
名詞解釋SAN(Storage Area Network,存儲區域網絡)
SAN(Storage Area Network,存儲區域網絡)的誕生,使存儲空間得到更加充分的利用以及安裝和管理更加有效。SAN是一種將存儲設備、連接設備和接口集成在一個高速網絡中的技術。SAN本身就是一個存儲網絡,承擔了數據存儲任務,SAN網絡與LAN業務網絡相隔離,存儲數據流不會占用業務網絡帶寬。
名詞解釋FC網絡
FC 網絡中每個設備有兩個地址
WWN地址(world wide name),好比TCP/IP網絡結構中的MAC地址,physcially identify a port,在設備出廠時就已經烙在端口上了
Port ID, 好比TCP/IP網絡中的IP地址,節點間用它來通信
網絡結構
Loop: 類似令牌環,設備間用Hub相連共享I/O資源,同一時刻只有一個設備使用I/O資源
Switch:設備間用Switch相連,獨享I/O資源。
地址分配策略:Loop結構的網絡采用self assign; Switch結構的網絡采用centralized authority. FC網絡中有個叫Name 的東西,大概就類似於TCP/IP網絡中的DHCP服務器,專門分配地址。
VAS&SFC服務鏈
名詞解釋:訪問控制列表(Access Control Lists,ACL)
訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、端口號等的特定指示條件來決定。
訪問控制列表具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網絡安全訪問的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
名詞解釋:QoS(Quality of Service,服務質量)
QoS(Quality of Service,服務質量)指一個網絡能夠利用各種基礎技術,為指定的網絡通信提供更好的服務能力,是網絡的一種安全機制, 是用來解決網絡延遲和阻塞等問題的一種技術。QoS的保證對於容量有限的網絡來說是十分重要的,特別是對於流多媒體應用,例如VoIP和IPTV等,因為這些應用常常需要固定的傳輸率,對延時也比較敏感。
名詞解釋:NAT
NAT的實現方式有三種,即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路復用OverLoad。
- 靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉換為某個公有IP地址。借助於靜態轉換,可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。
- 動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時,IP地址是不確定的,是隨機的,所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說,只要指定哪些內部地址可以進行轉換,以及用哪些合法地址作為外部地址時,就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。可以采用動態轉換的方式。
- 端口多路復用(Port address Translation,PAT)是指改變外出數據包的源端口並進行端口轉換,即端口地址轉換(PAT,Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,從而可以最大限度地節約IP地址資源。同時,又可隱藏網絡內部的所有主機,有效避免來自internet的攻擊。因此,目前網絡中應用最多的就是端口多路復用方式。
網絡地址端口轉換 NAPT(Network Address Port Translation)(Port-Level NAT)( 多對一 )。改變外出數據包的源端口並進行端口轉換,采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部 IP 地址實現對 Internet 的訪問,可以最大限度地節約 IP 地址資源。同時,也可以隱藏網絡內部的所有主機,有效避免來自 Internet 的攻擊。因此,目前網絡中應用最多的就是 PAT 規則。這是最常用的 NAT 技術,也是 IPv4 能夠維持到今天的最重要的原因之一,它提供了一種多對一的方式,對多個內網 IP 地址,邊界路由可以給他們分配一個外網 IP,利用這個外網 IP 的不同端口和外部進行通信。NAPT 與 動態NAT 不同,它將內部連接映射到外部網絡中的一個單獨的 IP 地址上,同時在該地址上加上一個由 NAT 設備選定的端口號。
NAPT 是使用最普遍的一種轉換方式,在 HomeGW 中也主要使用該方式。它又包含兩種轉換方式:SNAT和DNAT。
- (1) 源NAT(Source NAT,SNAT):修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成,數據包偽裝就是一具SNAT的例子。
- (2) 目的NAT(Destination NAT,DNAT):修改數據包的目的地址。Destination NAT剛好與SNAT相反,它是改變第一個數據懈的目的地地址,如平衡負載、端口轉發和透明代理就是屬於DNAT。
SDN接口對接
通用模式:
