在了解软件定义网络时,您将遇到与技术结合使用的许多术语。某些术语对SDN是独一无二的,而其他术语则描述技术,虽然不唯一,但经常在SDN设计中使用。
理解这些术语及其上下文是很有帮助的。我们将看一看与SDN相关的三个基本术语类别:控制器、交换和覆盖网络。
控制器
SDN的大思想之一是,一种名为Controller的设备与域中的所有网络设备进行了通话,从中央点开始网络拓扑,从中央点编程网络。SDN控制器从分布式(彼此通信的网络设备以确定转发路径)转换到集中的网络编程模型。
网络的中央编程是控制器给企业带来的重要价值。从概念上讲,控制器可用于以独立于设备的方式全面地将业务策略部署到网络上。控制器充当一个网络中间件层,抽象底层物理网络组件,如交换机、路由器、防火墙和负载平衡器。
利用SDN控制器编程网络,运营商不再能够通过传统方式单独编程网络设备,例如命令行界面。此外,可以根据美元成本或安全策略要求等标准来创建唯一的网络转发范式。
控制器通过软件来完成网络编程,而SDN的灵活性正是在这个软件中实现的。控制器是软件运行的平台,也是软件通信的网关。大多数控制器架构是模块化的,允许控制器根据需要使用不同的方法与不同种类的设备通信。
再想想SDN控制器作为中间件,有两个通信方向。迄今为止讨论最多的是南向通信。当控制器为网络设备编程并接收数据时,这被称为南向通信。南向通信的一个例子是使用OpenFlow的控制器编程网络交换机转发表,我们将对此进行更多的讨论。另一个方向是向北。希望对网络和控制器编程的应用程序之间的通信被描述为北向通信。北向通信的一个例子是像VWware的vCloud Director这样的应用程序,它通过控制器请求网络供应服务。
交换
当谈到SDN时,也许最讨论的设备是网络交换机,以太网交换机在特定的。多年来,以太网交换机的速度和密度一直在增加,为数据中心的主机、刀片服务器中心和以太网存储提供上行链路。雷竞技电脑网站随着管理程序支持的服务器虚拟化的出现,软件交换也变得重要起来,将虚拟服务器连接到虚拟网络接口卡,聚合流量并将其从管理程序发送到物理网络。
硬件和软件交换机都具有在SDN中播放的重要角色,因为它主要是它们由控制器编程的转发表。考虑到软件开关驻留在网络边缘,因此出现了“智能,软边”的概念。
提倡智能、软边界的网络设计人员认为,运行在管理程序上的软件交换机是安装丰富网络功能的好地方,而让物理硬件交换机运行更简单的配置。在智能软边SDN设计中,控制器在网络软交换中应用转发、QoS和安全策略。
例如,软交换可以有访问列表、用于速率限制和流量优先级排序的QoS参数,以及应用于虚拟端口的转发智能。当网络数据离开管理程序时,已经对其进行了安全遵从性测试、速率调整和封装(如果需要的话)。将所有这些功能放置在网络边缘,允许核心硬件交换机专注于流量的快速传输。
并非所有网络都能很好地为智能,软边设计提供良好,并且软件开关也可以满足所有可想到的SDN用例。SDN仍有一个角色,可以使用硬件交换机,以实现端到端的业务策略部署,流量转向和安全执行。此外,无论EDGE网络如何智能,仍有一定量的基本配置要完成硬件开关。
控制器用来对硬件和软件交换机的转发行为进行编程的主要南向协议为OpenFlow.OpenFlow (OF)是一种协议,其标准正在由开放网络基金会进行快速开发。
ONF是一个会员制组织,主要由网络供应商和服务提供商组成,他们都是秘密运作的。他们的OpenFlow规范在发布时发布。OF1.0规范在生产设备中最常见;OF1.3可能是大多数交换机供应商的下一步。撰写本文时,OF1.4正在开发中。
请记住,虽然OpenFlow在Open vSwitch等软件交换机中完全实现,但已证明在硬件交换机中转换为网络芯片(ASIC)具有挑战性。据报道,新的可以更好地处理OF的硅即将到来,当客户评估OF与他们现有的网络硬件相结合时,必须进行彻底的测试,以确保所需的OF功能能够支持他们的应用程序。
对于北向通信,控制器经常提供api。REST(具象状态传输)API可能是最常见的。REST api与HTTP服务器非常相似,使用熟悉的方法(如GET和POST)交换数据和指令。api为控制器外部的应用程序提供了一种方法,以告诉控制器网络上应该发生什么。
值得注意的是,除了OF之外,南向也出现了特定于供应商的api。这在一定程度上是由于OF的命令集有限,而且有时在遗留芯片中实现起来很困难。尽管支持OpenFlow,思科是一个通过其一个倡议,争论其API允许网络程序员充分利用其硬件的功能。
覆盖
在SDN会话中经常出现的另一个术语是覆盖网络.简单地说,覆盖用于创建虚拟网络容器,同时共享相同的底层物理网络彼此旁边彼此隔离。
熟悉常用通用路由封装(GRE)的网络工程师将易于掌握覆盖概念。一个数据包(或帧)被封装在另一个内部;封装的分组被转发到隧道端点,在其中解封装在一起。然后将原始数据包传送到其目的地。叠加将此“包含数据包”的“数据包”技术,以安全地隐藏来自彼此的彼此障碍的彼此和遍历网络段的网络。第2层延伸和多租赁是覆盖的流行用例。
在过去几年中,在过去几年中,许多叠加协议被释放和促进,由虚拟化数据中心随时随地在任何地方移动主机的能力驱动。雷竞技电脑网站一些SDN控制器使用叠加作为其选择的运输,以在分散数据中心分散的主机之间构建桥梁;雷竞技电脑网站软开关通常用作隧道的两端。虚拟可扩展LAN(VXLAN)此时具有最广泛的行业支持,其中思科,博科和其他人致力于叠加层。来自Arista和Brocade的交换机支持硬件中的VXLAN隧道的终止。VXLAN的硬件终止强调行业采用的地面,因为叠加通常被软件交换机终止。
VxLAN封装第3层UDP数据包内部的第2层帧。这允许驻留在VxLAN段内部以彼此通信,就像它们在同一层2网络上一样,即使它们可能被一个或多个第3层网络分隔。
此外,由于VXLAN保留了整个二层帧,VLAN标签也被保留了下来,允许在一个VXLAN段内存在多个三层网络。VXLAN段内的用户(也称为租户)看到的网络与他们以前看到的网络非常相似,而底层网络只能看到由段ID标识的VXLAN包。
每个VXLAN网络都由VXLAN标题中的段ID标识;此ID长24位,允许1600万个租户在彼此隔离时共享相同的网络基础架构。
VXLAN一直批评其依赖于IP多播携带广播,未知的单播和多播流量起源于租户网络内。许多物理网络没有启用多播路由,并且使用组播的工程师发现它是一种由于其潜在复杂性而部署的恐吓工具。因此,一些使用VxLan作为叠加的供应商正在通过SDN控制器提供的增强智能部署它,因此避免了对多播路由的需求。
与VXLAN类似,GRE网络虚拟化(NVGRE)使用24位标识符定义租户网络,在本例中,在GRE报头的关键字段中找到。NVGRE在很大程度上是微软的一项技术,是微软的首选Hyper-V..
NVGRE与VXLAN的区别在于,它不需要组播来承载广播、未知单播和端点间的组播。相反,窗户嵌入在Hyper-V中的网络虚拟化模块(一个第三层交换机)由PowerShell cmdlets预先填充了所有主机到隧道的端点映射。这消除了泛洪的需要,因为在这种方法中不存在未知端点。
尽管VMware坚定支持VXLAN,但在VMware收购Nicira的过程中,也出现了被称为无状态传输隧道(STT)的覆盖层。STT是Nicira网络虚拟化平台的一部分,之所以引人注目,主要是因为封装格式利用了现代网络接口卡的硬件功能,可以将大数据块分成小数据块。
称为TCP分段卸载,一个TSO-capable网卡承担分段的负担,释放服务器的CPU用于其他任务。考虑到VXLAN已经得到了VMware和更广泛行业的支持,STT的未来是值得怀疑的。
除了VXLAN、NVGRE和STT之外,另一个值得关注的开发覆盖层是网络虚拟化覆盖层(NVO3)。NVO3是由一个IETF工作组开发的。NVO3问题陈述类似于已经讨论过的覆盖所解决的问题;即流量隔离,租户可以自由使用他们选择的任何寻址方案,并将虚拟机放置在网络的任何位置,而无需考虑底层核心中的第三层隔离。NVO3将如何开发以及将使用什么封装还有待观察,但它将沿着NVO3工作组参与者提交的用例线形成。
结论
我们讨论过的三个主要术语类别可以汇集为:无关的中央控制器发现网络交换机的网络拓扑,无论是软件开关是否在数据中心机架中找到的软件开关。雷竞技电脑网站
这个中央控制器在北向的应用程序和南向的交换机之间充当中间件。北向应用向控制器提供业务策略、网络配置等;控制器将这些策略和配置转换为针对网络交换机的南向编程指令。
最常用的南向协议是OpenFlow,但在现有网络硬件上改造OpenFlow所面临的挑战促使供应商通过api推广网络编程。
在此平台上,对网络可编程性和物理设备抽象进行了叠加。覆盖允许希望支持多租户的云提供商和企业安全地分离客户之间的流量,同时允许他们的虚拟主机驻留在数据中心的任何位置。雷竞技电脑网站