- PVSM.RU - https://www.pvsm.ru -
Как сказал однажды известный писатель, «…когда-то и электрическую лампочку считали чудом, а за обычные очки на носу могли запросто cжечь на костре…». Человечество во многом инертно и консервативно в своих взглядах. Люди не сразу воспринимает новое, как известно, первые два производителя молний для одежды разорились. И привычные сейчас вещи иногда проходят несколько витков по спирали прежде, чем превращаются в обычную для нас часть быта. То же самое можно сказать и про технологии.
Поговорим про модную сегодня тему, про так называемые, программно определяемые сети (Software Defined Networks, SDN), которая, как мне кажется, уже прошла все предварительные стадии и готова в ближайшем будущем превратиться в настоящий main stream развития сетей. Начну с нескольких тезисов в качестве короткой вводной:
Подытожим: SDN – это идеология построения сетей, в которой весь интеллект сети вынесен на отдельную аппаратную/программную базу, а все управление трафиком происходит на основе специальных протоколов (например, OpenFlow), которые оперируют понятием «поток» (flow) и могут совершать различные действия с ним (разрешить, запретить, перенаправить, переписать поля в пакетах и т.д.). Фактически, на контроллере определяется политика управления сетью на основе заданных правил, а также работы специализированных приложений (например, эмулирующих работу STP или протоколов маршрутизации). Затем конечный результат передается на коммутаторы по протоколу OpenFlow в виде flow-таблиц, содержащих информацию о том, куда, как и какой трафик передавать. С одной стороны, такой подход дает большую гибкость в управлении сетью, с другой — существенно упрощает администрирование (и, отчасти, архитектуру) сети.
Отдельная тема – это построение системы сетевой безопасности на базе OpenFlow. Контроллер фактически централизует эту функцию тоже (в виде специализированного приложения) и, потенциально, забирает на себя весь интеллект firewall-ов, IPS-ов и других традиционных систем сетевой защиты.
HP одним из первых выпустил коммерческий продукт, поддерживающий протокол OpenFlow. При этом, коммутаторы НР, поддерживающие OpenFlow, гибридные, т.е. поддерживают работу одновременно в двух режимах – OpenFlow плюс традиционная коммутация. Рассмотрим простой пример, где есть три коммутатора HP серии 3800, объединенные в кольцо. Вот так:
В качестве контроллеров собраны несколько вариантов – Floodlight, SNAC и NOX. В этом примере на коммутаторах настроены два контроллера – SNAC и Floodlight, вот так:
openflow
enable
controller-id 1 ip 192.168.2.10 controller-interface oobm
controller-id 2 ip 192.168.2.11 controller-interface oobm
В OpenFlow настроены два instance-а, каждый из которых связан с отдельным контроллером, который управляет трафиком в отдельном VLAN-е. В этом примере контроллер SNAC настроен на управление трафиком в VLAN 3, контроллер Floodlight настроен на управление трафиком в VLAN 4, вот так:
instance "snac"
member vlan 3
controller-id 1
limit software-rate 10000
connection-interruption-mode fail-standalone
max-backoff-interval 10
enable
exit
instance "floodlight"
member vlan 4
controller-id 2
limit software-rate 10000
connection-interruption-mode fail-standalone
enable
exit
hardware-statistics refresh-rate 10
В управляемые через OpenFlow VLAN-ы заведены определенные порты, вот так:
vlan 3
name "SNAC"
untagged 1/3,1/13
tagged 1/1,1/23-1/24
no ip address
exit
vlan 4
name "FLOODLIGHT"
untagged 1/4,1/14
tagged 1/1,1/23-1/24
no ip address
exit
И, собственно, на этом настройка OpenFlow на коммутаторах закончена. Дальше мы видим, что контроллер определил коммутаторы и можем их зарегистрировать, вот так это выглядит в вэб-интерфейсе SNAC-а:
Затем, как только появляется реальный трафик на портах, управляемых через OpenFlow, контроллер увидит источники, с которых идет трафик:
И, на основе сделанных настроек, отдаст в коммутатор информацию о потоках трафика, которые коммутатор должен обрабатывать. Отданные на коммутатор потоки (flow)в CLI коммутатора можно посмотреть вот так:
Дальше, к трафику можно применять разнообразные правила. Вот так, например, в контроллере SNAC выглядит закладка, где можно применять политики доступа по разным параметрам (src/dst MAC, src/dst IP, TCP порты, и т.д):
Можно посмотреть топологию сети, в Floodlight она выглядит вот так:
Можно посмотреть разную статистику по потокам, историю происходивших событий (кто регистрировался в сети и т.д.), в SNAC эта закладка выглядит так:
Автор: exceed
Источник [7]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/21278
Ссылки в тексте:
[1] Image: http://img-fotki.yandex.ru/get/6418/57845917.0/0_8e283_d125c481_orig
[2] Image: http://img-fotki.yandex.ru/get/6616/57845917.0/0_8e284_1cef7d37_orig
[3] Image: http://img-fotki.yandex.ru/get/6414/57845917.0/0_8e285_4bf620_orig
[4] Image: http://img-fotki.yandex.ru/get/6417/57845917.0/0_8e286_83515b8b_orig
[5] Image: http://img-fotki.yandex.ru/get/6617/57845917.0/0_8e288_b2df7dbc_orig
[6] Image: http://img-fotki.yandex.ru/get/6417/57845917.0/0_8e289_e0e21445_orig
[7] Источник: http://habrahabr.ru/post/160531/
Нажмите здесь для печати.