今日のファッショナブルなトピック、いわゆるソフトウェア定義ネットワーク(SDN)について話しましょう。SDNは、すべての予備段階をすでに通過しており、近い将来、ネットワーク開発の真のメインストリームになります。 簡単な紹介として、いくつかのポイントから始めます。
- 「通常、すべてのニュースはよく知られたもので、毎回新しい人にしか起こりません 」:ネットワークのインテリジェンスを集中化するという考えは新しいものではなく、ネットワークはすでにこの道をすでに進んでいます。 幼少期にインターネットがどのように配置されたか、最初のゲートウェイツーゲートウェイプロトコルがどのように機能したか、実際に知能を蓄積するブリッジを介して機能したハブにあったもの(そして今でもおそらくどこか)を思い出すことができます構成自動化およびプロビジョニングシステムについても。 多くの例があります。 しかし-SDNの概念は、その主なアイデアが専用デバイスのネットワークインテリジェンスを集中化することだけではなく、特別なプロトコルに基づいて、ネットワーク全体に共通の単一のセンターから直接データプレーンを制御するという点でユニークです。 実際、これは、CLIなどの標準インターフェイスを介したリモートコントロールを使用して、1つのデバイス内のプロセス、ASICまたはプリント基板による通常の分離/データプレーンではなく、ネットワーク全体のコントロールプレーンを中央の外部ハードウェアベースに転送することを意味します/ SNMP。
- 「独裁者が最初に行うことは、すべての概念を簡素化することです」 。この点で、ネットワークデバイスの観点からのSDNのイデオロギーは完全に「独裁的」です。 スイッチについて「考え」、SDNコントローラーが送信するパケットを決定します。 スイッチには、シンプルなエグゼキューターの役割が割り当てられます。 複雑なネットワークタスク(ループ保護やセキュリティなど)は、コントローラー上の集中コントロールプレーンの専用アプリケーションによって処理されます。
- 「すべての弱い人は、誰も彼らをコントロールしなければ素晴らしいと思う傾向があります。 同時に、彼らは自分自身や他者を制御できないことに気づきません..」 :SDNイデオロギーにより、ネットワークデバイス自体を限界まで単純化することができます(実際、コントローラーとの通信のための制御プロトコルと基本的なスイッチング機能をサポートするため)。それらを弱くし、したがって安価にします。 これは、最終的に、OPEXを大幅に削減する可能性があり、IT予算のすべての所有者が平和に眠ることを防ぎます。
- 「旗を広げるには風に逆らう必要があります」 :HPはSDNテクノロジーの開発の先駆者であり、実用的なソリューションで市場に参入した最初の企業の1つでした(下記参照)。 OpenFlowがまだ存在せず、ネットワーク業界が他のテクノロジーに焦点を合わせていたとき、HPはOpenFlowの前身の開発にすでに参加し(2007年にエタン)、その後OpenFlow Network Foundation(ONF)に積極的に参加し、2011年にInCENTRE (OpenFlowをテストするためのセンター)。
要約すると、SDNはネットワークを構築するためのイデオロギーであり、ネットワークのすべてのインテリジェンスは個別のハードウェア/ソフトウェアベースに配置され、すべてのトラフィック制御は「フロー」の概念で動作し、さまざまな機能を実行できる特別なプロトコル(OpenFlowなど)に基づいていますアクション(許可、拒否、リダイレクト、パッケージ内のフィールドの書き換えなど)。 実際、ネットワークポリシーは、指定されたルールと、特殊なアプリケーションの作業(たとえば、STPまたはルーティングプロトコルの動作のエミュレート)に基づいて、コントローラーで決定されます。 次に、最終的な結果は、OpenFlowプロトコルを使用して、送信するトラフィックの場所、方法、およびトラフィックに関する情報を含むフローテーブルの形式でスイッチに送信されます。 一方では、このアプローチはネットワーク管理に大きな柔軟性を与え、他方では、ネットワークの管理(および一部はアーキテクチャ)を大幅に簡素化します。
別のトピックは、OpenFlowに基づいたネットワークセキュリティシステムの構築です。 コントローラーは実際にこの機能も(専用アプリケーションの形で)集中化し、潜在的に、ファイアウォール、IPS、その他の従来のネットワーク保護システムのすべてのインテリジェンスを引き継ぎます。
HPは、OpenFlowプロトコルをサポートする商用製品を発売した最初の企業の1つです。 同時に、OpenFlowをサポートするHPスイッチはハイブリッドです。 サポートは、OpenFlowと従来のスイッチングの2つのモードで同時に動作します。 リング内に3つのHP 3800シリーズスイッチがある単純な例を考えてみましょう。 このように:
コントローラーとして、Floodlight、SNAC、NOXなど、いくつかのオプションが収集されます。 この例では、次のように2つのコントローラーがスイッチに構成されています-SNACとFloodlight。
openflow enable controller-id 1 ip 192.168.2.10 controller-interface oobm controller-id 2 ip 192.168.2.11 controller-interface oobm
OpenFlowでは2つのインスタンスが構成され、それぞれが個別のVLANでトラフィックを制御する個別のコントローラーに接続されます。 この例では、SNACはVLAN 3のトラフィックを制御するように構成され、Floodlightコントローラーは次のようにVLAN 4のトラフィックを制御するように構成されています。
instance "snac" member vlan 3 controller-id 1 limit software-rate 10000 connection-interruption-mode fail-standalone max-backoff-interval 10 enable exit instance "floodlight" member vlan 4 controller-id 2 limit software-rate 10000 connection-interruption-mode fail-standalone enable exit hardware-statistics refresh-rate 10
次のように、OpenFlowを介して制御されるVLANで特定のポートが有効になります。
vlan 3 name "SNAC" untagged 1/3,1/13 tagged 1/1,1/23-1/24 no ip address exit vlan 4 name "FLOODLIGHT" untagged 1/4,1/14 tagged 1/1,1/23-1/24 no ip address exit
そして、実際には、これでスイッチのOpenFlowセットアップは終了しました。 さらに、コントローラーがスイッチを検出し、それらを登録できることがわかります。これはSNAC Webインターフェースでの表示です。
その後、OpenFlowで制御されるポートに実際のトラフィックが表示されるとすぐに、コントローラーはトラフィックの送信元を確認します。
そして、行われた設定に基づいて、スイッチが処理すべきトラフィックフローに関する情報をスイッチに送信します。 スイッチのCLIでのスイッチへのフローは、次のように表示できます。
さらに、さまざまなルールをトラフィックに適用できます。 したがって、たとえば、SNACコントローラーには、さまざまなパラメーター(src / dst MAC、src / dst IP、TCPポートなど)のアクセスポリシーを適用できるタブがあります。
ネットワークトポロジを確認できます。Floodlightでは次のようになります。
フローのさまざまな統計、イベントの履歴(ネットワークに登録した人など)を表示できます。SNACでは、このタブは次のように表示されます。
つまり、OpenFlowを介して制御されるネットワークのすべてのインテリジェンスがコントローラーに配置され、ネットワークポリシー全体が解決されます。 私が焦点を当てたい重要なポイント:実験室で使用される両方のコントローラーは、オープンソースプロジェクトから組み立てられたコントローラーです。 そして、両方のコントローラーで、HPハードウェアは正直に動作します。
彼らは、バートランド・ラッセルに「あなたは自分の信念のために死ぬ準備ができていますか?」と尋ねると、彼は答えました。 私は間違っているかもしれません。」 私も間違っているかもしれませんが、私の意見では、主要なトレンドのSDNがメインストリームになったとき(そしてこれはムーアの法則と「正しい」と認識されている技術の開発速度を考えるとすぐに起こります)ネットワークの世界は認識を超えて変化します。