當前位置: 首頁 >> 解決方案 >> 網絡安全
網絡安全信息安全SDWANOT安全零信任

一(yī / yì /yí). 什麽是(shì)SDN?

      SDN字面意思是(shì)軟件定義網絡,其試圖擺脫硬件對網絡架構的(de)限制,這(zhè)樣便可以(yǐ)像升級、安裝軟件一(yī / yì /yí)樣對網絡進行修改,便于(yú)更多的(de)APP(應用程序)能夠快速部署到(dào)網絡上(shàng)。
      如果把現有的(de)網絡看成手機,那SDN的(de)目标就(jiù)是(shì)做出(chū)一(yī / yì /yí)個(gè)網絡界的(de)Android系統,可以(yǐ)在(zài)手機上(shàng)安裝升級,同時(shí)還能安裝更多更強大(dà)的(de)手機APP。
過去30年裏,IP網絡一(yī / yì /yí)直是(shì)全分布式的(de),戰功卓著,解決了(le/liǎo)各種客戶需求,今天SDN是(shì)爲(wéi / wèi)了(le/liǎo)未來(lái)更好更快的(de)實現用戶需求。并不(bù)是(shì)有什麽需求通過傳統方法不(bù)能做到(dào),隻是(shì)SDN做得更快、更好、更簡單。
      SDN的(de)本質是(shì)網絡軟件化,提升網絡可編程能力,是(shì)一(yī / yì /yí)次網絡架構的(de)重構,而(ér)不(bù)是(shì)一(yī / yì /yí)種新特性、新功能。SDN将比原來(lái)網絡架構更好、更快、更簡單的(de)實現各種功能特性。


二、SDN能解決什麽問題?

      IP網絡的(de)生存能力很強,得益于(yú)其分布式架構。看看IP的(de)曆史,當年美國(guó)軍方希望在(zài)遭受核打擊後,整個(gè)網絡能夠自主恢複,這(zhè)樣就(jiù)不(bù)能允許網絡集中控制,不(bù)能存在(zài)中心結點,否則在(zài)這(zhè)個(gè)中心節點丢一(yī / yì /yí)顆核彈,整個(gè)網絡就(jiù)挂了(le/liǎo)。但正是(shì)這(zhè)種全分布式架構導緻了(le/liǎo)許多問題:
      看看現在(zài)的(de)IP網絡管理多複雜,舉個(gè)運營商部署VPN的(de)例子(zǐ):要(yào / yāo)配置MPLS、BFD、IGP、BGP、VPNV4、要(yào / yāo)綁定接口…且需要(yào / yāo)在(zài)每個(gè)PE上(shàng)配置;當新增加一(yī / yì /yí)個(gè)PE時(shí),還需要(yào / yāo)回去修改每個(gè)涉及到(dào)的(de)PE。
      現在(zài)各廠家的(de)網絡設備都太複雜了(le/liǎo)。如果您準備成爲(wéi / wèi)某個(gè)廠商設備的(de)百事通,你需要(yào / yāo)掌握的(de)命令行超過10000條,而(ér)其數量還在(zài)增加。 如果你準備成爲(wéi / wèi)IP骨灰級專家,你需要(yào / yāo)閱讀網絡設備相關RFC 2500篇,如果一(yī / yì /yí)天閱讀一(yī / yì /yí)篇,你知道(dào)要(yào / yāo)看多久能看完?6年多!而(ér)這(zhè)隻是(shì)整個(gè)RFC的(de)1/3,其數量還在(zài)增加。
      此外,這(zhè)些協議标準都是(shì)在(zài)解決各種各樣的(de)控制面需求,而(ér)這(zhè)些需求都是(shì)需要(yào / yāo)經過需求提出(chū)、定義标準、互通測試、現網設備升級來(lái)完成部署,一(yī / yì /yí)般要(yào / yāo)個(gè)3~5年才能完成部署。這(zhè)樣的(de)速度,已經Hold不(bù)住網絡上(shàng)運營業務的(de)OTT們的(de)各種快速網絡調整需求,必須想辦法解決這(zhè)個(gè)問題。 很幸運,現在(zài)已經找到(dào)了(le/liǎo)解決以(yǐ)上(shàng)問題的(de)方法。沒錯,就(jiù)是(shì)SDN !它是(shì)目前系統性的(de)解決以(yǐ)上(shàng)問題的(de)最好方法。

三、SDN的(de)優勢

1.成本

       由于(yú)網絡管理是(shì)集中化和(hé / huò)自動化的(de),因此總體上(shàng)可以(yǐ)節省 SDN 的(de)成本。用戶使用具有更好服務器利用率和(hé / huò)改進虛拟化的(de) SDN 來(lái)減少不(bù)必要(yào / yāo)的(de)成本。除此之(zhī)外,SDN 通過啓用多任務來(lái)減少網絡操作。因此,消除了(le/liǎo)對昂貴硬件的(de)要(yào / yāo)求。

2. 安全

       SDN 包括一(yī / yì /yí)個(gè)控制器,它爲(wéi / wèi)整個(gè)網絡提供安全性。該控制器确保在(zài)網絡中實施正确的(de)安全策略和(hé / huò)信息。而(ér)且,SDN配備了(le/liǎo)單一(yī / yì /yí)的(de)管理系統。一(yī / yì /yí)個(gè)單一(yī / yì /yí)的(de)實體将控制安全性和(hé / huò)功能。

3.中心化

       SDN允許對整個(gè)網絡進行集中管理。所有的(de)網絡設備都可以(yǐ)從一(yī / yì /yí)個(gè)中心位置進行監控和(hé / huò)管理。它消除了(le/liǎo)傳統系統在(zài)管理基礎設施方面造成的(de)障礙。即使需要(yào / yāo)單獨管理系統,SDN 也(yě)可以(yǐ)做到(dào)這(zhè)一(yī / yì /yí)點。

4. 可擴展性

       SDN 的(de)另一(yī / yì /yí)個(gè)好處是(shì)它提供的(de)可擴展性級别。網絡的(de)基礎設施可以(yǐ)立即改變。所有這(zhè)些都無需購買和(hé / huò)配置資源。

5.優化

       使用SDN時(shí)部署了(le/liǎo)一(yī / yì /yí)種優化硬件設備的(de)新方法。使用 SDN 控制器可以(yǐ)爲(wéi / wèi)所有現有和(hé / huò)新硬件分配特定用途。因此,它消除了(le/liǎo)專用于(yú)單一(yī / yì /yí)用途的(de)硬件設備的(de)限制。


四、SDN網絡體系架構的(de)三層模型:


  1. 應用層:這(zhè)一(yī / yì /yí)層主要(yào / yāo)是(shì)體現用戶意圖的(de)各種上(shàng)層應用程序,此類應用程序稱爲(wéi / wèi)協同層應用程序,典型的(de)應用包括OSS(Operation support system 運營支撐系統)、Openstack等。傳統的(de)IP網絡同樣具有轉發平面、控制平面和(hé / huò)管理平面,SDN網絡架構也(yě)同樣包含這(zhè)3個(gè)平面,隻是(shì)傳統的(de)IP網絡是(shì)分布式控制的(de),而(ér)SDN網絡架構下是(shì)集中控制的(de)。

  2. 控制層:控制層是(shì)系統的(de)控制中心,負責網絡的(de)内部交換路徑和(hé / huò)邊界業務路由的(de)生成,并負責處理網絡狀态變化事件。

  3. 轉發層:轉發層主要(yào / yāo)由轉發器和(hé / huò)連接器的(de)線路構成基礎轉發網絡,這(zhè)一(yī / yì /yí)層負責執行用戶數據的(de)轉發,轉發過程中所需要(yào / yāo)的(de)轉發表項是(shì)由控制層生成的(de)。

  4. 北向接口:應用層和(hé / huò)控制層通信的(de)接口,應用層通過控制開放的(de)API,控制設備轉發功能

  5. 南向接口:控制層和(hé / huò)數據層通信的(de)接口,控制器通過OpenFlow或其他(tā)協議下發流表。