目录

一、SDN概念

1.1、传统网络机制

1.2、SDN网络机制

1.3、二者区别        

1.4、SDN架构

二、云数据中心

2.1、公有云环境特点

  2.2、两大挑战

 2.3、云数据中心引入SDN技术解决两大挑战

三、SDN云计算解决方案

3.1、SDN云计算解决方案之控制平面openflow协议

3.1.1、流表项内容

3.1.1.1、匹配字段

3.1.1.2、优先级

3.1.1.3、计数器

3.1.1.4、指令集

3.1.1.5、超时

3.1.1.6、cookie

3.1.2、读懂openflow流表

3.2、SDN云计算解决方案之转发平面vxlan协议

3.2.1、Vxlan概念

3.2.2、Vxlan封装

3.2.2.1、Vxlan包头

3.2.2.2、外层UDP包头   

3.2.2.3、外层IP包头

3.2.2.4、数据包二层包头

3.2.3、以实例分析在Vxlan数据包转发过程中流经各节点发生的变化

---

一、SDN概念

        SDN，（software Defined Networking ）即软件定义网络

        广义概念：泛指向上层应用开放接口，实现软件编程控制的各类基础网络架构，涉及技术包括:OpenFlow、以Vxlan为代表的Overlay技术、I2RS，并有越来越多的技术纳入到SDN范畴。

        狭义概念：将网络控制功能与转发功能分离，实现控制可编程的新兴网络架构。

1.1、传统网络机制

        如下图，如果想从A访问D，那么就需要对ABCD每个设备配置路由协议。当B到C的流量满载后，传统网络并不会自动调整路由，如果此时想通过A-B-E-F-D路由实现访问，同样需要对每个设备配置转发策略。

        可以看出，传统网络存在三大问题：

        1）管理难、部署难。各厂商配置命令不一，且无法统一管理；

        2）流量控制难。缺少控制大脑对全网链路流量动态调整；

        3）无法灵活调控。无法便捷编程进行借口调用。

1.2、SDN网络机制

        SDN能够完美解决上述传统网络存在的问题，其具有以下三大特征

        1）转控分离。将控制层面集中控制器统一控制；

        2）软件与硬件解耦。不再局限硬件设备只能部署某个厂商的网络操作系统；

        3）业务与网络解耦。实现新业务快速上线。

1.3、二者区别        

        以道路交通为例，如下图

1.4、SDN架构

        3+2架构：3层架构，2个接口

        第1层：开放可编程接口的应用层，主要实现网络业务的抽象，允许用户以自定义的方式对网络业务进行编程；

        第2层：实现集中化网络控制的控制层，整个网络的控制中枢，管理转发设备的运行状态和数据转发；

        第3层：专注于数据转发的转发设备层，基于控制层指令完成数据处理和转发的设备

        三层架构之前形成了2个接口，以控制层为核心，控制层与应用层之间的接口为北向接口，控制层与转发设备层之间的接口为南向接口。

        北向接口是网络开放的核心，主要为http，restful

        南向接口是集中控制的基础，主要为openflow，netconf，ovsdb

二、云数据中心

2.1、公有云环境特点

        1、按需：用户能够自定义其网络架构和网络分区分域，例如能够自定义网段地址，划分Vlan，设置网关。
        2、动态：根据用户的需求能自动化部署网络资源，并能支持客户随时频繁地调整。
        3、安全：用户之间能进行隔离，网络边界能进行防护。

        VM：虚拟服务器

        vswitch：虚拟交换机        

  2.2、两大挑战

        挑战一：在传统数据中心解决方案中，通常采用Vlan或VRF的技术实现用户虚拟网络的隔离，但是这两项技术都存在用户数最大为4096的限制

        挑战二：为保障业务平滑迁移上云，用户期望业务规划的私网ip保持不变，会引发不同用户的私网ip地址冲突问题

 2.3、云数据中心引入SDN技术解决两大挑战

        控制平面：南向接口采用openflow协议实现控制

        数据转发平面：采用Vxlan协议构建overlay叠加网络实现用户网络的安全隔离。

三、SDN云计算解决方案

3.1、SDN云计算解决方案之控制平面openflow协议

        SDN采用openflow协议会通过SDN控制器下发openflow流表至转发设备指导数据包转发，也就是说，SDN转发网元不在通过三层路由表或二层MAC地址表来完成数据转发，因此，首先要读懂openflow流表。下图为流表的流表项：      

3.1.1、流表项内容

3.1.1.1、匹配字段

3.1.1.2、优先级

3.1.1.3、计数器

3.1.1.4、指令集

3.1.1.5、超时

3.1.1.6、cookie

3.1.2、读懂openflow流表

        不同厂家流表不一致

        例1：

        1）该流表为Table160的优先级为90的流表项内容

        2）匹配项为ip数据包，目的MAC：fa:16:3f:00:02:d1，目的ip：192.168.1.4

        3）若是数据包的包头与流表匹配项完全匹配，则执行下面动作：

   actions=mod_dl_dst:fa:16:3e:54:20:6a,mod_dl_src:fa:16:3e:2c:f0:e3,strip_vlan,output:3（修改数据包的目的MAC，修改数据源MAC地址，剥掉vlan标签，从交换机的3端口转发数据包）

        例2：

        1）该流表隐藏了超时和cookie

        2）匹配项为数据包来自虚拟交换机的端口2，源MAC：fa:16:3e:83:38:47，目的MAC：16:3e: 54:db:6a，源IP：192.168.100.1/0.0.0.0，目的IP：192.168.100.200/0.0.0.0。

         3）若是数据包的包头与流表匹配项完全匹配，则执行下面动作：

actions:set(tunnel(tun_id=0xd33d57,src=0.0.0.0, dst=10.0.6.1, tos=0x0,ttl=64,flags(key))),2

（将数据包封装为VNI=d33d57的vxlan隧道，vxlan隧道的源IP为0.0.0.0，目的IP为10.0.6.1，并从端口2转发出去）

3.2、SDN云计算解决方案之转发平面vxlan协议

3.2.1、Vxlan概念

        Vxlan：可扩展虚拟局域网络，是基于IP 网络，采用“MAC in UDP”封装形式的二层VPN 技术

        VTEP： Vxlan的边缘设备，Vxlan的封装和解封都在VTEP上进行，两个VTEP之间的点到点的逻辑隧道叫Vxlan隧道

        Vxlan通过Vxlan ID标识，类似于二层网络中的VLAN ID

        Vxlan数据包在SDN环境中转发模式如下图：

3.2.2、Vxlan封装

        Vxlan封装会在原始二层数据桢外添加8字节Vxlan头、8字节UDP头和32字节IP头。

3.2.2.1、Vxlan包头

        8字节Vxlan包头中，主要介绍标记位和Vxlan ID

        标记位为图中的I位，I位为1，则Vxlan ID有效

        Vxlan ID（VNI）为24比特，因此支持2的24次方个ID，该Vxlan ID为内层VLAN。

3.2.2.2、外层UDP包头   

        外层UDP包头，8字节，Vxlan包含在UDP里面，即“MAC in UDP”，UDP包头中，源端口随机，目的端口固定为4789

3.2.2.3、外层IP包头

        外层IP包头，18字节，源IP为VTEP隧道的本端IP地址，目的IP为VTEP隧道的目的端IP地址

3.2.2.4、数据包二层包头

        数据包二层包头，14字节，源MAC为VTEP隧道的本端MAC地址，目的MAC为VTEP隧道的目的端MAC地址，VLAN ID为VTEP隧道的VLAN ID，该VLAN ID为外层VLAN。

3.2.3、以实例分析在Vxlan数据包转发过程中流经各节点发生的变化