文章目录

- 概述
- - 相关基础
  - 核心知识
  - - 软件定义网络SDN
    - Overlay 技术
- 安全组
- - 概述
- 参考博客

😊点此到文末惊喜↩︎

概述

核心知识

软件定义网络SDN

概述
- 背景：传统网络设备（如交换机和路由器）在硬件中集成紧密耦合的数据平面和控制平面，导致网络配置和管理复杂且不灵活
- 核心原因：过去网络设备处理能力有限（CPU主频＜100MHz），通过集成设计可以在简单网络中增加通信效率
- 劣势：网络设备是封闭的，没有提供开放的API，无法对网络设备进行配置和管理，成为大规模网络灵活性的枷锁
SDN基本概念
- 定义：SDN（Software-Defined Networking）是一种革命性网络架构，其核心是将控制功能与数据转发功能 进行分离，并将控制逻辑集中到中央软件控制器中，从而实现对网络的灵活编程和动态管理
- 作用：打破传统网络设备（交换机/路由器）控制与数据转发耦合的局限，使网络管理从硬件依赖转向软件驱动
- 核心特点
  - 控制与转发分离：通过分离控制平面（决策层）与数据转发平面（执行层），打破传统网络设备的平面耦合，使网络行为可编程化。
  - 集中化的网络控制：中央控制器基于全局网络视图（如拓扑、流量状态）动态制定策略，实现资源按需分配与弹性调度
  - 开放的可编程接口：第三方应用可以通过底层开放的网络API（如OpenFlow、RESTful）编程网络行为，从而实现自定义流量策略来提高资源利用效率和网络控制的灵活性，以适应云计算、大数据等动态业务需求
- 核心原理3+2
  - 3个层面（应用层、控制层、数据层）
  - 2个平面（控制平面、数据平面）
两个平面
- 控制平面
  - 作用：生成数据的转发策略，并同步至转发平面，来构建网络状态
  - 原理：负责生成和维护网络状态信息（如路由表、MAC表、安全策略），通过协议（OSPF、BGP等）学习拓扑，计算转发路径
- 数据平面
  - 作用：根据转发策略执行实际的转发动作
  - 原理：依据控制平面下发的规则（如转发表FIB）高速转发数据包，仅处理匹配-动作操作
- 协同价值：控制平面确保转发规则的正确性，数据平面保障转发的高效性
SDN的核心组件
- SDN控制器：网络的大脑，负责下发路由决策和策略，管理网络流量。
- 南向接口：控制器与网络设备之间的通信协议，如OpenFlow。
- 北向接口：控制器与上层应用的通信接口，允许应用通过API与网络设备交互。
- 数据平面：由传统网络设备（如交换机、路由器）构成，负责数据包的转发。
三个层面
- 分层
  - 应用层：通过北向接口向控制器提交需求，从而实现相应的业务逻辑（如负载均衡、安全应用）
  - 控制层：核心控制器通过全局网络拓扑生成网络策略，通过南向接口下发至数据层，从而实现底层网络资源配置优化
  - 数据层/基础设施层：交换机/路由器依据策略（流表规则）进行数据包傻瓜式的转发，无独立控制逻辑
- 核心协议（OpenFlow）
  - 原理：控制器通过OpenFlow协议向交换机下发流表（Flow Table），定义匹配域（如IP/MAC地址）及动作（转发/丢弃）
  - 数据层设备仅按流表处理数据包，实现"傻瓜式"转发
- 工作流程示例
  - 新流量进入交换机 → 查询本地流表无匹配 → 通过OpenFlow上报控制器 → 控制器计算路径并下发新流表 → 后续流量按规则转发
SDN应用案例分析
- 案例一：数据中心网络虚拟化
  - 背景：数据中心网络需要支持数以万计的服务和应用，这些服务对网络的需求经常变化。在传统网络架构中，网络配置通常是静态的，调整网络设置需要人工干预，这不仅耗时而且易于出错。
  - SDN解决方案详解：
    - 按需分配资源：在数据中心中，SDN控制器可以实时监控网络流量和服务器负载情况。当某个服务器的负载变高时，控制器可以自动调整网络流量，将部分流量重定向到负载较低的服务器，以此来平衡负载和优化性能。
    - 原理：SDN控制器可以通过分析数据流量模式，动态地创建、修改或删除虚拟局域网（VLANs）、调整路由策略、分配带宽等。这些操作可以在不中断服务的情况下完成，从而提高了数据中心网络的可用性和灵活性。
- 案例二：网络安全
  - 背景：网络安全是所有组织都面临的重大挑战。传统的安全措施，如固定的防火墙规则和手动配置的入侵检测系统，往往难以及时响应新的安全威胁。
  - SDN解决方案详解
    - 原理：SDN可以提供一种更为动态和智能的网络安全机制。SDN控制器具备全局的网络视野，能够实时收集和分析网络流量数据。当检测到异常行为或潜在的安全威胁时，控制器可以立即执行预设的安全策略。
    - 示例：若检测到某个IP地址的流量异常，控制器可以自动下发规则，将来自该IP地址的流量重定向到安全设备（如IPS或IDS）进行深入分析，或者直接阻断该流量以防止潜在的攻击。此外，SDN还可以与安全信息和事件管理（SIEM）系统集成，实现更加全面的安全管理。
总结
- 核心：通过分离控制平面与数据平面，并在SDN控制器上集中控制，从而快速适应网络需求变化，按需分配资源
- 中央集权控制：中央集权获取的是地方策略的生成权，而不是实际的执行权，让地方在有限制的博弈中完成目标
  - 问题：分散的策略配置难以保持一致性，可能因为资源争用难以达到全局最优策略
  - 解决：中央控制器以全局数据驱动策略生成，然后将一致的策略快速下发到各个网络设备，从而动态响应变化，并达到一个全局资源利用的最优决策，最终获得最大效益。

Overlay 技术

背景

对比项	传统底层网络Underlay	叠加网络Overlay
数据传输	通过网络设备例如路由器、交换机进行传输	沿着节点间的虚拟链路进行传输
包封装和开销	发生在网络的二层和三层	需要跨源和目的封装数据包，产生额外的开销
报文控制	面向硬件	面向软件
部署时间	上线新服务涉及大量配置，耗时多	只需更改虚拟网络中的拓扑结构，可快速部署
多路径转发	因为可扩展性低，所以需要使用多路径转发，而这会产生更多的开销和网络复杂度	支持虚拟网络内的多路径转发
扩展性	底层网络一旦搭建好，新增设备较为困难，可扩展性差	扩展性强，例如VLAN最多可支持4096个标识符，而VXLAN则提供多达1600万个标识符
协议	以太网交换、VLAN、路由协议（OSPF、IS-IS、BGP等）	VXLAN、NVGRE、SST、GRE、NVO3、EVPN
多租户管理	需要使用基于NAT或者VRF的隔离，这在大型网络中是个巨大的挑战	能够管理多个租户之间的重叠IP地址

基本概念
- 定义：叠加网络overlay是一种在传统实体网络上通过虚拟化技术建立逻辑网络，从而在不改变底层物理网络的传输模式及技术时，进行更加灵活的网络资源控制，如，跨域虚拟机迁移、多租户隔离和资源动态调度
- 具体实现
  - VXLAN（Virtual Extensible LAN，虚拟可扩展局域网）
  - NVGRE（Network Virtualization using Generic Routing Encapsulation，基于常用路由封装的网络虚拟化）
  - STT（Stateless Transport Tunneling Protocol，无状态传输隧道协议）
VXLAN（Virtual Extensible LAN，虚拟可扩展局域网）
- 定义：是一种基于 IP 网络的 Overlay 网络技术，通过将二层以太网帧封装在 UDP/IP 报文中，在三层网络上构建虚拟的二层网络，实现跨物理网段的虚拟机通信
- 目的：旨在解决传统二层网络在云计算环境下的扩展性和多租户隔离问题。
- 原理：将二层数据帧（包含源 / 目的 MAC 地址）封装在 UDP 报文中，通过三层网络传输。
- 关键组件
  - VTEP（VXLAN Tunnel Endpoint，虚拟拓展局域网隧道端点）：负责 VXLAN 报文的封装与解封装，每个VTEP有唯一IP地址，用于建立隧道。通常由支持overlay协议的物理交换机、服务器虚拟化软件或专用硬件设备担任
  - VNI（VXLAN Network Identifier）：24位标识符（支持1600万个虚拟网络），用于区分不同虚拟网络，实现租户隔离
  - VXLAN隧道：逻辑点对点通道，连接两个VTEP，通过UDP端口（默认4789）传输封装后的数据
- 报文格式：
- 工作流程示例
  - 封装：虚拟机 A 发送MAC数据帧到本地 VTEP，源VTEP将原始以太帧添加VXLAN头+外层UDP头+外层IP头后封装，来构建 Overlay 报文
  - 传输：依赖外层 IP 路由转发，封装后的报文通过三层网络路由至目标VTEP
  - 解封：目标VTEP剥离外层Overlay报文的封装，提取内层帧并根据 VNI 和 MAC 转发至目标虚拟机
其他两种协议
- NVGRE 协议：
  - 定义：NVGRE 是一种网络虚拟化技术，最初由微软公司提出，基于通用路由封装协议（GRE），将以太网帧封装在 GRE 头内并在三层网络上传输
  - 原理：NVGRE 将原始的以太网帧作为载荷，封装在 GRE 头部之后，再加上外层的 IP 头部，形成新的报文在底层网络传输。GRE 包头中的 C 和 S 位必须置 0，同时对 Key 域进行了重新定义，将前 3 个字节定义为 VSID（Virtual Sub - Network ID，虚拟子网标识），用于标识不同的虚拟网络，最多可支持 16M 个虚拟网络，实现多租户隔离。
  - 特点：NVGRE 借助成熟的 GRE 协议，具有较好的兼容性和稳定性。但其没有采用标准传输协议（TCP/IP），相对 VXLAN 等技术，其在市场上的应用普及程度稍低。
- STT 协议：
  - 定义：STT 是一种 MAC Over IP 的协议，和 VXLAN、NVGRE 类似，都是把二层的帧封装在一个 IP 报文的 payload 中，通过在 IP 网络上传输封装后的报文，实现虚拟网络内的二层通信。
  - 原理：STT 在封装时，除了将虚拟网络的二层包放入 IP 报文的 payload 中，还会在二层包前面添加一个构造的 TCP 头和一个 STT 头。这个 TCP 头并非完整的传输层 TCP 头，只是借用其部分特性，主要用于实现流量控制和拥塞控制等功能，STT 头则包含了一些与协议相关的控制信息。通过这种方式，将二层帧封装为可以在三层 IP 网络中传输的报文，在目的端再进行解封装，还原出二层帧并转发到相应的虚拟机。
  - 特点：STT 协议的一个重要特点是无状态性，即隧道端点不需要维护每个连接的状态信息，降低了设备的资源消耗和实现复杂度。同时，由于引入了类似 TCP 的机制，在网络拥塞控制和流量管理方面具有一定优势，能够更好地适应复杂的网络环境，提高网络传输的稳定性和效率。但 STT 协议相对复杂，其实现和部署需要对相关技术有深入理解，且在实际应用中的普及度不如 VXLAN 广泛。
行业趋势：VXLAN因成熟度与生态优势（Cisco/华为等支持）成为事实标准，而STT在VMware NSX中仍有应用，NVGRE逐渐边缘化