14.SDN与NFV概述完整讲义.docx

《14.SDN与NFV概述完整讲义.docx》由会员分享，可在线阅读，更多相关《14.SDN与NFV概述完整讲义.docx（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SDN概述1964年IBM公司花费50亿美金开发出了IBM SYSTEM/360大型机，开始了大型机的历史。大型机通常采用集中式体系架构，这种架构的优势之一是其出色的I/O处理能力，因而最适合处理大规模事务数据。与PC生态系统比较，大型机拥有专用的硬件、操作系统和应用。但是要用IBM的大型机就需要使用IBM专用的应用、专用操作系统、专用硬件，是闭源的，存在技术壁垒。军工、政府才会用到。PC生态从硬件、操作系统到应用，经历了多次革新。每一次革新都带来了巨大变化和发展。支撑整个PC生态系统快速革新的三个因素是：Hardware Substrate，硬件底层化。PC工业已经找到了一个简单、通用的硬件

2、底层，x86指令集；可以做到绝大多数情况下的通用化，通过开放接口open interface从而支持上层的应用（除了Mac OS可能差一些）Software-definition，软件定义。上层应用程序和下层基础软件（OS，虚拟化）都得到了极大的创新；Open-source，开源。Linux的蓬勃发展已经验证了开源文化和市集模式发展思路的正确性。成千上万的开发者可以快速制定标准，加速创新。这样就可以不用被技术绑架了，可以自由使用能够支持的硬件，安装适配的软件，再加上开源的操作系统（Linux）等，快速革新。通过分层、开放的生态架构促进计算产业发展基于通用硬件和服务器、存储、PC等等的蓬勃发展，

3、推动了上层基于虚拟化的相关的操作系统、中间件、数据库得以发展，最终这些充足的资源可以以云资源的方式进行服务提供。网络产业是否也是可以呢，这就是SDN的思路来源。原先的网络，你用了哪个厂商的，实际是只是应用，并不能获取其源代码，虽然都是遵循TCP/IP参考模型，但是都会通过各种各样的壁垒（特性壁垒、命令差异壁垒、兼容性壁垒等）形成自我保护。另一方面，用户推崇去厂商化的概念，一切都是开放的，否则成本很高。经典IP网络分布式网络控制平面（RIB）决策层控制平面完成系统的协议处理、业务处理、路由运算、转发控制、业务调度、流量统计、系统安全等功能。交换机的控制平面用于控制和管理所有网络协议的运行。控制平

4、面提供了数据平面数据处理转发前所必须的各种网络信息和转发查询表项。转发平面（FIB）实施层转发平面提供高速无阻塞数据通道，实现各个业务模块之间的业务交换功能。交换机的基本任务是处理和转发交换机各不同端口上各种类型的数据。L2/L3/ACL/QoS/组播/安全防护等各种具体的数据处理转发过程，都属于交换机转发平面的任务范畴。交换机管理平面工程师进行设备操作的界面管理平面完成系统的运行状态监控、环境监控、日志和告警信息处理、系统加载、系统升级等功能。交换机的管理平面是提供给网络管理人员使用TELNET、WEB、SSH、SNMP方式来管理设备，并支持、理解和执行管理人员对于网络设备各种网络协议的设置

5、命令。管理平面必须预先设置好控制平面中各种协议的相关参数，并支持在必要时刻对控制平面的运行进行干预。优势就是由于不同大多数都是由这三个平面组成，因此设备和设备之间是相对独立拥有自主控制和决策意识的，所以设备之间是平行平等的，通过协议就能交互，才会出现了不同厂商的设备都遵循TCP/IP的标准化协议，最后完成通信。厂商之间兼容性好故障情况下，通过协议能够自动收敛问题易拥塞基于带宽固定选路的问题和解决和解决思路问题：经典的组网，不会根据实际的带宽进行自动调整，特别耿直思路：格局打开，站在上帝视角去看整张拓扑基于固定顺序建立隧道的问题，流量工程TE问题：H-E之间的带宽不足（可能被A-E位于H-E段的

6、隧道占用了大量带宽，特别是碰到需要预留带宽的），导致了C-H的隧道无法建立思路：格局打开，站在上帝视角去看整张拓扑网络技术太复杂协议多、命令多、友商多网络故障定位、诊断困难只有故障才会去解决，无法做到实时发现或者预警。一个故障平均从定位到解决要76min部署速度太慢SDN起源SDN核心理念：转控分离、集中控制、开放可编程接口Openflow控制器（OF控制器）负责思考（路径计算、协议交互等），然后将具体的执行行为通过一种协议，例如openflow协议通知底层支持openflow的交换机去执行。Q：如果OF控制器的问题，怎么办？A：单点故障-集群和云化 Openflow Switches（OFS

7、W）只专注于数据转发（不用思考，不需要 控制平面）SDN应用通过开放的接口对于OpenFlow控制器进行控制Open Flow基本概念南向协议：以控制器为视角，往南边看，openflow分为三种协议Controller-to-Switch消息 由Controller发送给OpenFlow SwitchesFeatures在SSL/TCP会话建立后，Controller给Switch发送Features请求Switch的相关信息。Switch必须应答自己支持的功能，包括接口名、接口MAC地址、接口支持的速率等等基本信息。ConfigurationController可以设置或查询Switch的状

8、态。Modify-State（重点了解）Controller发送该消息给Switch，来管理Switch的状态，即增加/删除、更改流表，并设置Switch的端口属性。Read-StateController用该消息收集Switch上的统计信息。Send-PacketController发送该消息到Switch的特定端口。Asynchronous消息由OpenFlow Switches发送给ControllerPacket-in当Flow Table中没有匹配的表项或者匹配“send to Controller”，Switch将给Controller发送packet-in消息。Packet-ou

9、t从控制器回复的消息。Flow-Removed当给Switch增加一条表项时，会设定超时周期。当时间超时后，该条目就会被删除。这时Switch就会给Controller发送Flow-Removed消息；当流表中有条目要删除时，Switch也会给Controller发送该消息。Port-status当数据路径接口被添加、删除、修改的时候，此消息用于通知控制器。Symmetric消息 Controller和OpenFlow Switches都可以发Hello当一个OpenFlow连接建立时，Controller和Switch都会立刻向对端发送OFPT_HELLO消息，该消息中的version域填充

10、发送方支持的OpenFlow协议最高的版本号；接收方收到该消息后，接收方会计算协议版本号，即在发送方和接收方的版本号中选择一个较小的；如果接收方支持该版本，则继续处理连接，连接成功；否则，接收者回复一个OFPT_ERROR消息，类型域中填充ofp_error_type.OFPET_HELLO_FAILEDEcho消息 Switch和Controller任何一方都可以发起Echo request消息，但收到的一方必须回应Echo reply消息。这个消息可以来测量latency、Controller-Switch之间的连接性，即心跳消息；Error消息当交换机需要通知控制器发生问题或错误时，Sw

11、itch给Controller 发送Error消息。OpenFlow协议仍在持续更新。更多更全的消息类型请参考ONF最新发布OpenFlow Switch Specication标准。Flow Table匹配字段-匹配域 指定-动作Match Fields匹配域流表项匹配项（OpenFlow 1.5.1版本支持45个可选匹配项），可以匹配入接口、物理入接口，流表间数据，二层报文头，三层报文头，四层端口号等报文字段等。传统的路由表只能基于目的IP地址进行匹配，但是Flow Table中可以针对45个匹配项进行数据转发，无比灵活。Priority传统的路由表只有1个，但是SDN中流表项有多个，每个

12、流表有一个优先级，优先级高的（0最高）先匹配。Counters流表项统计计数，统计有多少个报文和字节匹配到该流表项。Instructions流表项动作指令集，定义匹配到该流表项的报文需要进行的处理。当报文匹配流表项时，每个流表项包含的指令集就会执行。这些指令会影响到报文、动作集以及管道流程。Timeouts流表项的超时时间，包括了Idle Time和Hard Time。Idle Time在Idle Time时间超时后如果没有报文匹配到该流表项，则此流表项被删除。Hard Time在Hard Time时间超时后，无论是否有报文匹配到该流表项，此流表项都会被删除。CookieController下

13、发的流表项的标识。Flags该字段改变流条目的管理方式。流表的匹配原则是对于存在的“table0-table255”，优先从table0开始匹配。同一table内部按照优先级匹配，优先级高优先匹配。当前OpenFlow的主流应用是用于数据中心的软件交换机，例如OVS、CE1800V等，而不是实现硬件交换机的转控分离。Q：传统设备和OF Switch之间能交互嘛？A：数据转发可以，但是不能进行协议交互降低用户成本，只要支持OpenFlow，哪怕是白牌交换机也可以，不用都是某一个特定厂商的。SDN网络架构协同应用层主要完成用户意图的各种上层应用，典型的协同层应用包括OSS、OpenStack等。O

14、SS可以负责整网的业务协同，OpenStack云平台一般用于数据中心负责网络、计算、存储的业务协同。还有其他的协同层应用，比如用户希望部署一个安全APP，这个安全APP不关心设备具体部署位置，只是调用了控制器的北向接口，例如Block（Source IP，DestIP），然后控制器会给各网络设备下发指令。这个指令根据南向协议不同而不同。控制器层控制器层的实体就是SDN控制器，是SDN网络架构下最核心的部分。控制层是SDN系统的大脑，其核心功能是实现网络业务编排。Q：控制器挂了怎么办？A：转为传统分布式网络设备层网络设备接收控制器指令，执行设备转发。NBI北向接口：北向接口为控制器对接协同应用层

15、的接口，主要为RESTful。SBI南向接口：南向接口为控制器与设备交互的协议，包括NETCONF、SNMP、OpenFlow、OVSDB等。华为SDN网络架构支持丰富的南北向接口Network Application1.云平台：云数据中心内资源管理平台。云平台包含对网络资源、计算资源和存储资源的管理。OpenStack是最主流的开源云平台。2.EMS（Element Management System，网元管理系统）是管理特定类型的一个或多个电信NE（Network Element，网络单元）的系统。3.Orchestration（容器编排）：容器编排工具也可以包含网络业务编排功能。Kube

16、rnetes是主流的工具。4.MTOSI/CORBA用于对接BSS/OSS。5.Kafka/SFTP可用于对接大数据平台。通过很多的API接口，例如USG开放Restconf API，CE交换机开放NetConf API，OF控制器开放restful API对外界开放，可以在查看。集合了网管+控制器+分期器为一体的自动驾驶网络系统iMaster NCE能做什么？它有效连接了物理网络与商业意图。南向实现全局网络的集中管理、控制和分析。面向商业和业务意图使能资源云化、全生命周期网络自动化，以及数据分析驱动的智能闭环。北向提供开放网络API与IT快速集成。iMaster NCE用在哪里？可以在企业领

17、域数据中心网络（DCN）、企业园区（Campus）、企业分支互联（SD-WAN）等场景，让企业网络更加简单、智慧、 开放和安全，加速企业的业务转型和创新。全场景的NCECloudFabirc数据中心自动驾驶解决方案极简部署1. 网络管理员点击启动ZIP启动，此时也开启了DHCP功能2. 设备自动获取IP地址从而访问控制器3. 控制器判断设备角色（Spine or leaf），通过IP、SNMP、NETCONF等配置业务快速部署iMaster NCE-Fabric支持对接用户IT系统，为用户意图匹配意图模型（实际上就是模板），通过NETCONF下发配置到设备上实现业务快速部署。iMaster N

18、CE-Fabric支持对接主流云平台（OpenStack）、虚拟化平台（vCenter/SystemCenter）和容器编排平台（Kubernetes）。仿真与预判智能运维CloudCampus即插即用设备即插即用包括但不限于APP扫码开局、DHCP开局和注册查询中心。注册中心：华为设备注册查询中心，简称注册中心，是华为云管理网络解决方案的主要部件之一，用于设备的管理模式和注册归属查询。设备根据查询结果确定是否切换到云管理模式，需要注册到哪个云管理平台。以AP为例，对于华为支持云管理特性的设备均会预置华为设备注册中心的URL（）和端口号（10020）。AP的模式除了传统以外还有云管理模式业务随

19、行基于安全组进行策略的发放有线无线融合交换机融合的AC的功能终端智能识别智能运维SNMP和NETCONF一般用于配置下发，Telemetry、NetStream和sFlow一般用于数据上报NFV概述随着虚拟化云化的推广，OS（APP）从原先部署在物理服务器上，逐渐迁移至云服务器上的虚拟机中，同样的网络设备（嵌入式软硬件产品）是否可以也通过像部署APP一样部署在云端呢？网络功能虚拟化被称为NFV（Network Functions Virtualization）使用软件的方式将网络设备部署起来，称为VNF（Virtualized Network Function）在硬件通用化后，传统的网元不再是

20、嵌入式的软硬结合的产品，而是以纯软件的方式安装在通用硬件（即NFVI）上。缩短业务上线时间：在NFV架构的网络中，增加新的业务节点变得异常简单。不再需要复杂的工勘、硬件安装过程。业务部署只需申请虚拟化资源（计算/存储/网络等），加载软件即可，网络部署变得更加简单。同时，如果需要更新业务逻辑，也只需要更新软件或加载新业务模块，完成业务编排即可，业务创新变得更加简单。降低建网成本：首先，虚拟化后的网元能够合并到通用设备（COTS）中，获取规模经济效应。其次，提升网络资源利用率和能效，降低整网成本。NFV采用云计算技术，利用通用化硬件构建统一的资源池，根据业务的实际需要动态按需分配资源，实现资源共享

21、，提高资源使用效率。如通过自动扩缩容解决业务潮汐效应下资源利用问题。提升网络运维效率：自动化集中式管理提升运营效率，降低运维成本。例如数据中心的硬件单元的集中管理的自动化，基于MANO的应用生命周期管理的自动化，基于NFV/SDN协同的网络自动化。构建开放的生态系统 ：传统电信网络专有软硬件的模式，决定了它是一个封闭系统。NFV架构下的电信网络，基于标准的硬件平台和虚拟化的软件架构，更易于开放平台和开放接口，引入第三方开发者，使得运营商可以共同和第三方合作伙伴共建开放的生态系统。NFV关键技术虚拟化做到VM和Server硬件解耦合，方便迁移。传统电信网络中，各个网元都是由专用硬件实现的。这种方

22、式的问题在于，一方面搭建网络需要进行大量不同硬件的互通测试及安装配置，费时费力。另一方面，业务创新需要依赖于硬件厂商的实现，通常耗时较长，难以满足运营商对业务创新的需求。在这种背景下，运营商希望引入虚拟化的的模式，将网元软件化，运行在通用基础设施上（包括通用的服务器、存储、交换机等）。使用通用硬件，首先运营商可以减少采购专用硬件的成本。其次，业务软件可以快速的进行迭代开发，也使得运营商可以快速进行业务创新、提升自身的竞争力。最后，这也赋予了运营商进入云计算市场的能力。云化美国国家标准和技术研究院的定义，云计算服务应该具备以下几条特征：按需自助服务（On-demand Self-service）

23、云计算实现了IT资源的按需自助服务，不需要IT管理员的介入即可申请和释放资源。类似于逛淘宝。广泛网络接入（Broad Network Access）有网络即可随时、随地的使用。资源池化（Resource Pooling）基于虚拟化，从而使得包括网络、服务器、存储等资源形成池化，提供给用户使用。快速弹性伸缩（Rapid Elasticity）资源能够快速的供应和释放。申请即可使用，释放立即回收资源。可计量服务（Measured Service）计费功能。计费依据就是所使用的资源可计量。例如按使用小时为时间单位，以服务器CPU个数、占用存储的空间、网络的带宽等综合计费。NFV架构简介网络功能虚拟化

24、（Network Functions Virtualization，NFV）是一种关于网络架构的概念。我们平时使用的x86服务器由硬件厂商生产，在安装了不同的操作系统以及软件后实现了各种各样的功能。而传统的网络设备并没有采用这种模式，路由器、交换机、防火墙、负载均衡等设备均有自己独立的硬件和软件系统。NFV借鉴了x86服务器的架构，它将路由器、交换机、防火墙、负载均衡这些不同的网络功能封装成独立的模块化软件，通过在硬件设备上运行不同的模块化软件，在单一硬件设备上实现多样化的网络功能。NFVI 基础设施层基础网络虚拟化架构（Network Functions Virtualization Inf

25、rastructure, NFVI）NFVI就好比各手机厂商推出的手机系统，它给硬件设备赋予基本的组件，支持网络应用所需要的软件或者容器管理平台。作用：将不同厂商的服务器硬件资源池化和云化。VNF 虚拟化网络功能层虚拟网络功能（Virtual Network Functions, VNF）VNF是实现网络功能（转发服务、IP配置等）的软件应用，就好比手机上的APP。在NFV架构中，各种VNF在NFVI的基础上实现。由于NFVI是标准化的架构，使得不同的VNF获得了通用性，不再依赖于原来的黑盒设备。MANO 提供业务编排、管理等功能MANO的引入是要解决NFV多CT/IT厂家环境下的网络业务的发

26、放问题，包括：分配物理/虚拟资源，垂直打通管理各层，快速适配对接新厂家新网元。MANO包括NFVO（Network Functions Virtualization Orchestrator，负责网络服务的生命周期的管理）、VNFM（Virtualized Network Function Manager, 负责VNF的生命周期管理）、VIM（Virtualized Infrastructure Manager，负责NFVI的资源管理）三部分。OSS/BSSBSS：Business support system 业务支撑系统。OSS：Operation support system 运营支撑系

27、统。服务提供商的管理功能，不属于NFV框架内的功能组件，但MANO和网元需要提供对OSS/BSS 的接口支持。NFV与传统物理王元有何不同DSL（Digital Subscriber Line）数字用户线路OLT（Optical Line Terminal）光线路终端实现NFVI的华为解决方案是： 华为云Stack计算-Fusion Compute提供存储-FusionStorage提供网络-Fusion Network提供（可以选择SDN和非SDN解决方案）BCDNFV（Network Functions Virtualization ）是运营商为了解决电信网络硬件繁多、部署运维复杂、业务创

28、新困难等问题而提出的。NFV在重构电信网络的同时，给运营商带来的价值包括但不限于：缩短业务上线时间降低建网成本提升网络运维效率构建开放的生态系统园区网典型组网架构以及案例实践园区网络基本概念园区网络典型层次和区域：核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等。汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、 QoS、安全等。接入层：为终端用户提供园区网接入服务，是园区网的边界。出口区：园区内部网络到外部网络的边界，用于实现内部用户接入到公网，外部用户接入到内部网络。一般会在此区域中部署大量

29、的网络安全设备来抵御外部网络的攻击，如IPS（intrusion prevention system，入侵防御系统）、Anti-DDoS设备、Firewall（防火墙）等。数据中心区：部署服务器和应用系统的区域，为企业内部和外部用户提供数据和应用服务。网络管理区：部署网络管理系统的区域，包括SDN控制器，无线控制器，eLOG（日志服务器）等，管理监控整个园区网络。园区网络项目实战规划与设计整个网络采用三层架构接入层接入交换机采用S3700，为员工PC以及打印机等终端提供百兆网络接入。汇聚层采用S5700设备，作为二层网络的网关。核心&出口采用AR2240设备，作为整个园区网络的出口。注：Agg

30、为Aggregation的缩写，表示汇聚层设备。Acc为Access的缩写，表示接入层设备。基础业务设计VLAN设计IP地址设计IP地址分配时可以使用动态IP分配或者静态IP绑定。在中小型园区中， IP地址具体的分配原则如下：出口网关设备： WAN侧接口的IP地址由运营商进行分配，可以通过静态IP地址、 DHCP、 或者PPPoE方式分配，对于出口网关的IP地址需要提前与运营商沟通获取。服务器、特殊终端设备（打卡机、打印服务器、 IP视频监控设备等）建议采用静态IP地址绑定方式分配。用户终端：用户办公用PC、IP电话等设备建议通过在网关设备上部署DHCP Server后，统一通过DHCP方式动

31、态分配。路由设计中小型园区网络的路由设计包括园区内部的路由设计及园区出口与Internet/广域设备之间的路由设计。 园区内部的路由设计：主要满足园区内部设备/终端的互通需求，并且可以与外部路由交互。由于中小型园 区的网络规模比较小，网络结构也比较简单。 AP设备：通过DHCP分配IP地址后默认会生成一条缺省路由。 交换机、网关设备：通过静态路由即可满足需求，无需部署复杂的路由协议。 园区出口的路由设计：出口路由设计主要满足园区内部用户访问Internet和广域网的需求。出口设备与 Internet或者WAN连接时，建议在出口设备上配置静态路由来满足需求。WLAN设计除了要规划组网和数据转发方式外，仍需进行：网络覆盖设计：针对无线网络覆盖的区域设计规划，保证区域覆盖范围内的信号强度能满足用户的要求，并且解决相邻AP间的同频干扰问题。网络容量设计：根据无线终端的带宽要求、终端数目、并发率、单AP性能等数据来设计部署网络所需的AP数量，确保无线网络性能可以满足所有终端的上网业务需求。AP布放设计：在网络覆盖设计的基础上，根据实际情况对AP的实际布放位置、布放方式和供电走线原则进行修正确认。此外还需进行WLAN安全设计、漫游设计等，本课程不再一一列举。可靠性设计二层环路避免出口NAT设计安全设计运维管理设计部署实施小型园区网络运维小型园区网络优化