一本SDN入门书籍读书笔记——SDN

要求集中式控制（主要用在中小型企业），（也有分布式，先集中在分布（主要用在大型企业）），要求转发和控制分离，要求管理员可以直接操控设备的转发行为，可以不用通过各种网络协议，（没有拒绝使用动态协议，只不过这些协议跑在controller控制器上，而不是设备上），直接通过应用程序（即software）控制转发行为，不受任何协议影响；如管理员不希望仅仅通过“目的IP”转发而是希望通过“目的IP和源IP”转发，转发的时候直接修改报文的“目的IP”等；

 

SDN框架中，控制面和转发面必须是分离的；转发面这一角度，要求于协议行为无关；

SDN潜台词：对硬件转发面配置接口标准化（网管术语的南向接口），因为如果软件想随心所欲的控制转发行为，就影噶尽量不依赖于特定的硬件；另一个潜台词：应用程序定义的网络，该网络中的设备都需要受相关应用程序同一控制；

 

SDN特性属性：

控制面和转发面分离

开放的可编程接口

集中化的网络控制

网络业务的自动化应用程序控制

 

SDN架构：

1.网络设备：可以理解为转发面Network Device

不一定是硬件交换机，也可以是虚拟交换机，比如OVS，也可以是其他物理设备，所有转发表项都存储在网络设备中；网络设备通过南向接口接收控制器发过来的指令，配置位于交换机内的转发表项，并可以通过南向接口主动上报一些事件给控制器；

2.南向接口：Southbound Interface

指控制面和数据转发面之间的接口，目前OpenFlow是最有影响力的南向接口

3.控制器：Controller

一个SDN网络可以有多个控制器，控制器之间可以是主从关系，也可以是对等关系；一个控制器可以控制多台设备，一台设备可以被多个控制器控制；通常控制器运行在一台独立的服务器上；

控制器向上提供应用程序的接口，向下控制硬件设备；

4.北向接口：Northbound Device

传统网络中，北向接口指交换机控制面跟网管软件之间的接口，如电信网络中的SNMP、TL1等标准协议；在SDN架构中，指控制器和应用程序之间的接口；比南向接口复杂，与应用程序的接口变数太多；

5.应用服务：Service

service：负载均衡（load balancing），安全（security），网络运行情况监测（monitoring），performance management（包括拥塞、延时等网络性能的管理和监测）、LLDP（拓扑发现）等，这些服务最终都以软件应用程序表现出来；可以和controller在同一个服务器，也可以运行在别的服务器；

6.自动化：Automation

对应用程序进行封装和整合；或者是Orchestration（结合）达到业务自动化部署；

 

SDN可以做这些事：

让软件定期读取设备链路负载情况，自动生成链路负载曲线图，中间会涉及多个应用和服务，被整合在一个系统管理框架；

 

为什么需要SDN（复杂的网络和设备，部署各种各样的复杂应用，应对越来越大的流量数据）

1.数据中心的合并

2.服务器虚拟化

3.新的应用架构:应用促使数据中心创建大量服务器到服务器直接的通信连接，而且不同应用直接要隔离；数据中心从传统的数据转发模式转换到了基于服务的递交模式；

4.云计算 对网络架构有新需求；

5.BYOD bring your own device ：给无线网络带来压力

 

SDN解决的核心问题是改变传统网络对数据流控制的方式；

适用于什么网络：校园网，运营商，无线网络，安全领域

 

可以通过SDN防止DDOS攻击：

通过控制器去配置BGP协议将DDOS流量都转发到OpenFlow交换机上，同时配置OpenFlow交换机将所有发来的报文，根据源IP+目的IP还有四层的端口号来匹配，将攻击报文丢掉，将非攻击报文的目的IP改掉，再送回路由器（改掉目的IP是为了防止路由器把这个报文再送回来，防止环路），当路由器要将报文转发到目标网络的边界路由器时，边界路由器根据这个特意修改过的目的IP把报文再送回到OpenFlow交换机，OpenFlow交换机将报文的目的IP重新还原后，再送回到其直连的边界路由器，边界路由器再将它送回最终目的地；

 

没有SDN时，如何防止DDOS：

通过Netflow将数据流的一些统计数据和特征数据发送到一个远程服务器上进行分析，服务器通过分析检测到某些报文属于攻击报文，将这些报文告诉数据中心入设备，该设备通过BGP将这些报文映射到一条黑洞路由中；

 

那为什么不使用普通交换机的ACL：

因为使用ACL效率低下，而且是人工操作，易导致错误；

再有，使用ACL，由于数据清洗掉后，再送回BGP router时，没有改目的IP，会导致环路；