SDN--初探

笔者在探索SDN的道路上，翻阅了很多讲解SDN的书籍，发现上来就是介绍SDN的概念、SDN架构等等，你会发现这些都比较抽象，只有当你知道SDN是怎么来的，为什么不用传统的网络架构，SDN有什么好处？你才能在SDN的道路上走得更长远。

什么是SDN

这里值得提出的是，SDN，不是一种技术，而是一种设计理念，是一个框架，它并不要求如何来实现它，它更注重对整个网络架构的把握。

为什么会出现SDN呢？
它主要为了解决传统架构的不足，传统网络是逐设备单独控制的，是纯分布式的；控制控制面和转发面紧密耦合；管理员无法直接按照自己的意志来控制转发；网络协议限制了转发规则，比如路由协议只能按IP地址来转发。
虽然传统网络也可以有软件来参与编程，但是这些都取决于软件是设计者，而不是使用者，无法然管理员随心所欲的实现自己想要的功能，比如路由器上的编程和配置，这些都是相当复杂的，而SDN提供给管理员的是一套接口，通过这些接口，他可以实现自己想要的功能，它不用关心SDN内部是怎么实现的。

SDN要求将控制面和转发面，什么是控制面，什么是转发面等会来解释，在转发面的角度，它希望是与协议行为无关的，管理员的意志更重要。有人希望，转发面的硬件都是标准的，这样当然能够给SDN的发展带来很多好处，但是要知道，想实现江山统一是很难的。

SDN的几个要求：
控制面与转发面分离；
开放的可编程接口；
集中化的网络控制；
网络业务的自动化部署和控制；
我们在设计SDN架构的时候，应该满足以上几点。

通过上图，你能清楚的发现，SDN控制面和转发面是分离的。

SDN架构

SDN不是Openflow，Openflow不仅要求编程接口的标准化，它还要求内部转发的标准化，Openflow是SDN南向接口的实现方案。南向结接口主要是提供给转发平面的，而北向接口主要提供给service层的。

由上图，我们知道，SDN它不是一种技术，也不是一个管理工具，它仅仅是一种架构理念，规划了各个组成部分。

转发平面

它由许多网络设备组成，报文在这里被处理和转发。

南向接口

Openflow就是南向接口的一种实现，它希望接口是标准的，传统网络的南向接口，并没有标准化，代码也在各个设备中，不开源。
当然Openflow不代表南向接口的全部，它还有其他的实现方案，我们叫做OtherAPI。

控制器

一个controller可以控制多台设备，一台设备也可以被多个controller控制，它通常运行在一台单独的服务器上，比如windows和linux。它向上提供应用程序的接口，向下控制硬件设备。

北向接口

Controller与应用程序之间的接口，该接口尚未标准化。

应用服务

它可以跟controller位于同一台服务器上，也可以是不同服务器，比如负载均衡，网络运行情况监测等等 。

自动化

对于传统网络，我们需要手动了配置，SDN并不要求手动配置，它可以通过程序来实现，自动化部署。

SDN能解决的问题

我们为什么需要SDN，随着数据中心的合并，服务器虚拟化的趋势越来越明显，产生的问题也越来越多，SDN在解决这些问题中，扮演着重要角色。网络业务的发展，要求管理员能够管理越来越复杂的网络和设备，部署复杂的网络应用，SDN就变得尤为重要，它能大量的简化这些问题。
想阿里那么大的一个网络，比如阿里云，如果使用传统的互联网架构，不管是维护，还是在拓展上都是难度极大的，同时，由于网络设备的难以统一，它更要求管理员的对各种设备的把控，运营和维护成本，是相当高的。
SDN是最为认可的解决方案，我们来比较一下传统网络对数据的处理和SDN对数据的处理。
传统网络将报文从源站点发往目的站点，转发行为是逐条的，需要对每个路由进行独立的配置，这种控制是分布式的
而SDN通过把没他设备的控制面从设备里剥离出来，进行集中统一的管理，并提供API给上层应用程序来控制，管理员只需要通过编程就能轻松的控制

使用SDN的一个例子

该客户是日本一个数据中心服务器提供商，他们使用SDN来进行DOSS防御，他们的做法是，提供一个总的Internet入口，在每一个数据中心入口都挂了一个Openflow交换机，当没有Doss的时候，数据是通过路由器，到普通的交换机，然后再转发给主机，而当检测到Doss的时候(路由器通过NetFlow将部分报文发给检测服务器分析)，就通过Controller配置路由器的BGP协议，将所有的报文都发往Openflow交换机，Openflow交换机将攻击的报文丢掉，将非攻击的报文的目的IP改掉（改掉是为了等会发出去，又发回来），然后将报文又发回路由器，然后路由器将报文传给普通交换机，再传递给主机。
如果使用传统的防DOSS方案，一旦检测到DOSS，那么交换机就将所有的报文都屏蔽，这样使得服务器在一段时间内不能服务。