SDN核心技术剖析和实战指南

    软件定义网络（Software Defined Network, SDN ），是一种新型网络创新架构，其核心技 术OpenFlow通

 

过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，为核 心网络及应用的创新提供了

 

良好的平台。

 

       SDN 全称为Self -Defending Network，自防御网络。SDN最早由思科提出，通过安全的络架 构、安全机

 

制、以及相关技术实现网络攻击自动发现、自动防御、自动消除威胁的网络系统。 自防御网络计

 

划是一种全新的多阶段安全计划，它能够大大提高网络发现、预防和对抗安全威胁 的能力。自防御网络计划

 

增加了新的系统级威胁防御功能，与通过互联网协议（IP）网络将多 种安全服务集成在一起的策略相比，又

 

前进了一步。制定企业的整体安全策略，是建立"自防 御网络"的基础。随着网络技术不断地发展，网络安全

 

要从以前被动的方式有所转变，在以 前，企业不断在已有的计算机网络上不断添加防火墙，网络入侵检测设

 

备，主机防病毒产品， 网络身份认证系统，网络管理系统等等，其目的就是要加强网络的安全性，使计算机

 

网络，网 络上的通用操作系统，主机应用系统受到不同程度的保护。而今天，思科提出了一个崭新的概 念，

 

那就是，安全已经变成了网络的一部分，安全已经和网络密不可分，安全无处不在。而 且，今后的计算机网

 

络不但要具有保护网上主机系统，网上终端系统，网上应用系统的能力， 关键是要网络本身也具有自我保护

 

能力，自我防御能力，自我愈合能力，一旦受到网络蠕虫， 网络病毒的侵扰甚至网络攻击时，能够快速反

 

应，做到网络能够发现攻击，发现病毒，消除蠕 虫，做到既保护网络应用的同时，又保护了网络自身，这就

 

是思科所倡导的新一代的"自防御 网络"计划(Self -Defending Network)。

 

       从路由器的设计上看，它由软件控制和硬件数据通道组成。软件控制包括管理(CLI,SNMP)以及 路由协议

 

(OSPF,ISIS,BGP)等。数据通道包括针对每个包的查询、交换和缓存。 如果将网络中 所有的网络设备视为被

 

管理的资源，那么参考操作系统的原理，可以抽象出一个网络操作系统 （Network OS）的概念—这个网络操

 

作系统一方面抽象了底层网络设备的具体细节，同时还为 上层应用提供了统一的管理视图和编程接口。这

 

样，基于网络操作系统这个平台，用户可以开 发各种应用程序，通过软件来定义逻辑上的网络拓扑，以满足

 

对网络资源的不同需求，而无需 关心底层网络的物理拓扑结构。 SDN提出控制层面的抽象，目前的MAC层

 

和IP层能做到很好的抽象但是对于控制接口来说并没有 作用，我们以处理高复杂度（因为有太多的复杂功能

 

加入到了体系结构当中，比如OSPF， BGP，组播，区分服务，流量工程，NAT，防火墙，MPLS，冗余层等

 

等）的网络拓扑、协议、算 法和控制来让网络工作，我们完全可以对控制层进行简单、正确的抽象。SDN给

 

网络设计规划 与管理提供了极大的灵活性，我们可以选择集中式或是分布式的控制，对微量流（如校园网的

 

流）或是聚合流（如主干网的流）进行转发时的流表项匹配，可以选择虚拟实现或是物理实 现。

 

       目前，包括HP、IBM、Cisco、NEC以及国内的华为和中兴等传统网络设备制造商都已纷纷加入 到

 

OpenFlow的阵营，同时有一些支持OpenFlow的网络硬件设备已经面世。2011年，开放网络基 金会（Open

 

Networking Foundation）在Nick等人的推动下成立，专门负责OpenFlow标准和规 范的维护和发展；同年，

 

第一届开放网络峰会（OpenNetworking Summit）召开，为OpenFlow 和SDN在学术界和工业界都做了很好

 

的介绍和推广。