大龄IT民工

SDN（Software Defined Network）即软件定义网络。是由斯坦福大学Clean Slate研究组提出的一种新型网络创新架构。其核心理念通过将网络设备控制平面与数据平面分离，从而实现了网络控制平面的集中控制，为网络应用的创新提供了良好的支撑。SDN起源提出了三个特征， “转控分离”、“集中控制”和“开放可编程接口”。SDN的本质诉求是让网络更加开放、灵活和简单。它的实现方式是。为网络构建一个集中的大脑，通过全局视图集中控制，实现或业务快速部署、或流量调优、或网络业务开放等目标。

RFC定义了VLAN扩展方案VXLAN（，虚拟扩展局域网）。VXLAN采用MAC in UDP封装方式，是NVO3（）中的一种网络虚拟化技术。VXLAN早已被广泛应用于数据中心网络。随着园区网络的业务需求越来越灵活、园区网络虚拟化的需求及网络自动化的需求越来越强烈，VXLAN开始进入园区网络，搭配园区SDN控制器实现更多用户价值。

EVPN定义了一种新的BGP NLRI（Network Layer Reachable Information）来承载所有的EVPN路由，被称为EVPN NLRI。EVPN NLRI被MP-BGP携带。MP-BGP支持多协议扩展，定义EVPN的AFI（Address Family Identifier）是25，SAFI（Subsequent Address Family Identifier）是70。RFC7432中定义了EVPN的Type 1~Type 4共4类路由。

同样根据路由传递方向与数据包传递方向相反的原理，数据包要从ETR离开Fabric，ETR就需要将EID-RLOC的对应关系，告诉(Register)给MR/MS，同时从Fabric收到数据包后，解封装后根据inner数据包的目的EID将数据包发往目的站点。Map Resolver可以理解是个客服，ITR在发送数据包进入中间的云(Fabric)的时候，需要查询EID-RLOC的映射关系，ITR会向MR发送查询消息，MR再向ALT Topology(查询网络，可以不去理解它)中的MS查询查询映射关系。

SDN三要素：集中控制、转控分离、可编程DNA:Digital Network Architecture数字网络架构基于意图北向接口：面向管理员/用户的接口南向接口：面向设备的接口东西向接口：用于组件的扩展，如DNS，DHCP等完善的网络管理功能分析保证自动配置扩展平台。

首先它的长度128bit与IPv6地址长度保持了兼容（实际上他们之间没有关系，这只是一种巧妙的设计），这使得SRv6 SID可以作为IPv6地址使用。且现有的IPv6地址也能在读在SRv6中使用。其次，SRv6中SID中的“Locator+Function”设计实际上是一种“路由+MPLS”的融合。总所周知MPLS是一种“2.5”层技术，SRv6可以类似的看做是一种“3.5”层技术，它同时融合了路由和MPLS技术的优势。

SR-TE Policy是SR Policy在流量工程领域的使用。它依然使用段列表（Segment List）指定转发路径，但是抛弃了隧道接口的概念。SR-TE Policy根据Segment不同分为SR-MPLS TE Policy和SRv6 TE Policy，这里主要介绍前者SR Policy-般由控制器使用代表业务SLA的Color属性计算路径，下发转发器生成SR TE Policy隧道（如图所示转发器上隧道信息不同于SR-TE隧道）。

M-LAG（Multichassis Link Aggregation Group）即跨设备链路聚合组，是一种实现跨设备链路聚合的机制。M-LAG主要应用于普通以太网络、VXLAN和IP网络的双归接入，可以起到负载分担或备份保护的作用。相较于另一种常见的可靠性接入技术——堆叠，M-LAG在可靠性、升级等方面有着显著的优势。

Embrane是一家虚拟设备提供商，由Cisco公司前员工创立，该公司致力于实现网络功能实体的软件化，旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos，利用虚拟通信设备代替原有基于专有硬件平台的设备，通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络（ADN）产品较为接近，是基于软件的L4~L7虚拟设备，包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。

Check Point公司在RSA 2014大会上宣布推出软件定义防护（Software Defined Protection，SDP）革新性的安全架构。SDP提供安全的、模块化的、灵活的安全架构，它将可靠的执行层与快速自适应的、智能的控制层结合在一起，为用户网络提供实时的主动防御。此外，该架构中的管理层负责编排，架构图如下图。整个SDP架构包括互相关联的3层：执行层，包括物理的、虚拟的及基于主机的安全执行点，它们将网络分段并执行安全防护；控制层，分析不同来源的威胁情报并生成防护策略，下发给执行层。

DDoS检测清洗应用ADS APP的设计思路：借助安全控制平台中流相关的组件，从SDN控制器中获得相应的流量，并根据抗DDoS应用订阅的恶意流特征进行检测，发现恶意流量后，应用可根据细粒度的检测判断是否出现恶意攻击。如是，则下发实时清洗的流指令，即可将恶意流量牵引到清洗设备ADS上。过程如下：➊注册。启动阶段，ADS设备和ADS APP均向安全控制平台注册，提供自己的基本信息，如类型、位置和能力等。➋订阅。为获取并检查可疑流，ADS APP向安全控制器发送订阅。➌流统计获取和检查。

主要负责安全设备的资源池化管理、各类安全信息源的收集和分析、与客户业务系统对接，以及相应安全应用的策略解析和执行。是根据特定的安全需求所开发的程序，它利用安全控制平台的开放API实现相应的安全功能。就是传统的网络和主机安全设备，如防火墙、IPS等，它们逻辑上都会在安全控制平台的管理下，形成各类资源池，对外提供相应的安全能力。

微分段（Microsegmentation），也称为基于精细分组的安全隔离，是指将数据中心网络中的服务器按照一定的原则进行分组，然后基于分组来部署流量控制策略，从而达到简化运维、安全管控的目的。在数据中心网络中，随着数据存储以及应用的增多、网络内部流量的增大，企业面临的安全性风险也在不断增加。通过VLAN、VNI等方式划分业务子网实现的业务隔离，不能实现子网内不同服务器之间的隔离。同时，当不同子网共用同一个网关设备时，由于在网关设备上存在到各子网之间的路由信息，也无法实现不同子网内不同服务器之间的隔离。

➊AMQ方案：SDN控制器上的安全应用AMQ：Automated Malware Quarantine，恶意软件自动隔离AMQ可在SDN控制器中增添相应的功能模块，并向用户接入端口或设备交换机端口动态、自动下发策略，实现恶意软件自动隔离。这种过程减少了对安全威胁的响应时间，极大地降低了网络接入管理难度。该方案只需要交换机支持控制器指令，可减少操作开销。AMQ主要是利用SDN架构控制平面的可编程性，通过应用开发对控制器的功能进行扩展。

中心化的智能控制系统网络控制器就能根据上下文场景，计算网络或安全策略，快速、有效地调度网络中的流量。全局和实时流量视图SDN控制器具有全局网络实时的流量信息，这些信息在很多防护场景中非常有用。例如，在DDoS检测时，可获取物理网络处的硬件交换机的sFlow或OpenFlow流信息，然后根据数据包流的统计特征进行判断，确认是否存在恶意攻击。基于全局网络设备提供的流量信息，可构建基于流量的实时和历史知识库，进而运行时对任意访问进行分析，确认其在历史知识库中是否存在相似的模式。

南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术，他体现了SDN的核心思想：控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包，代表数据转发平面；控制器通过全网络视图来实现管控功能，其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面，一方面是控制平面的增强，让系统功能更丰富、更灵活；

SDNSDN的体系结构可以分为3层：基础设施层与控制层之间通过控南向接口进行交互，控制层与应用层之间通过北向接口进行交互。NFVNFV分为3部分：NFV与SDN之间的关系NFV与SDN的目标都是尽可能使用通用硬件来实现网络功能，前者可使网络功能开发者只关注于虚拟网络资源的管理，而不需要关心底层硬件规格和其他细节；同样后者可让网络运维开发者只关注上层的网络业务特性和控制，而不需要关注底层网络组网技术和数据包转发逻辑上。① 基础设施层，包括交换机处理流程的设计与实现、转发规则对交换机流表的高效利用，以及交换机流

FortiGate出厂配置默认地址为192.168.1.99（MGMT接口），可以通过https的方式进行web管理（默认用户名admin，密码为空），不同型号设备用于管理的接口略有不同。部分支持此接口的FortiGate型号有一个默认的硬件交换接口，称为internal或lan，VLAN/Hardware Switch可以被硬件级别的芯片支持。VLAN/Hardware Switch是一个虚拟交换机接口，它将不同的物理接口组合在一起，以便FortiGate可以将这些成员接口组合成单个接口。

system-mac必须配置，否则会有一个node处于unknown状态，即使配置主节点的mac，主节点也需要配置system-mac为自己的mac华为的做法中，peer-link需要关闭STP。