当SDN遇上伪装者 会发生什么样的化学反应?

2017-07-13 16:37 出处:其他 作者:佚名 责任编辑:sunziyi

  【PConline 干货铺】一个是高科技的网络精英,一个是善于伪装的网红,相遇后会发生什么样的化学反应?

  对于SDN大家应该都不陌生,如果不了解,可以翻看之前的文章按需脑补哦。至于伪装者嘛,并不是小编谍战片看多了,其实各行各业都存在这个角色,他并非贬义。在网络世界中,也同样存在,而且在某些场景下,伪装可以让网络改动最小,用户体验更好。

  我们先通过简历认识下今天的神秘伪装者:

  英文名:Virtual eXtensible Local Area Network 简称VXLAN

  中文名:虚拟扩展本地网络

  出生年月:2014年8月(RFC7348)

  背景:出生于网络世家,父辈包括Cisco、VMware、Broadcom等 

  身份:伪装高手、网红

  爱好:大多数时间泡在数据中心机房,或者游走于多个数据中心

  技能:在传统的物理三层网络(Underlay)之上,构建一张虚拟的二层网络(Overlay),满足几方面的需求:

  1、业务迁移需求,业务迁移的动机有两点:第一是因为用户业务发展需求,人为进行业务迁移;第二是物理环境引发,如大量的虚机主机部署,导致服务器资源不够,如机房需要改造搬迁等。

  2、业务规模扩展需求,在传统网络中,主要通过VLAN进行业务隔离,而4094个VLAN号成为制约业务规模扩展的一个瓶颈,VXLAN一次性将可区分的编号(VNI)扩展到24个bit,即1600万,从源头上解决业务扩展需求。

  经历:由于其显赫的家室,及出众的能力,目前已成功就职于主流芯片厂商(Broadcom、Centec等)和设备厂商(Cisco、VMware、HW、H3C、Ruijie等)。

  哦,介绍了这么多,是不是应该先了解一下他到底是如何伪装的呢。

  打个比方,在我党抗战时期,主要坚持走农村包围城市的路线,而农村相对分散,为了保持情报畅通,就需要在敌占区建立一张秘密的情报网,而这张情报网要运作起来,至少需要包含:

  农村根据地≈ 二层局域网络
  城市敌占区 ≈ 三层广域网络
  潜伏在敌占区的战友 ≈ VXLAN设备
  情报 ≈ 二层VLAN数据

  同时,为了保证情报在传递过程中不被敌人发现,需要按照约定的规则对情报进行加密,而这套加密规则就相当于VXLAN报头,至少应该包含:

  1、VXLAN头部:共64bit,最重要的部分是VNI,占24bit,主要用于区分不同的情报,以免接收人员混淆。

  2、外部UDP头部:源目的端口号最重要,原端口是根据情报本身哈希加密而成,不同的情况可以哈希出不同的源端口号,主要用于情报在敌占区传递时可以分给多个潜伏战友,减轻潜伏战友压力的同时保证情况传出时可以准确组合。目的端口固定为4789,这个编号是我党情报的独有标识,主要作用是保证情报可以被潜伏战友准确识别。

  3、外部IP头部:外部IP是潜伏战友在敌占区的代号,用户传递情报时相互的区分。

  4、外部以太网头部:外部MAC是潜伏战友在敌占区的姓名,虽然是传递秘密情况,但是还是需要使用在敌区的姓名,以免暴露。

  一旦情报网建好,情报传递就容易多了。当有重要情报需要从根据地A送到根据地D时:首先对情报进行加密处理,这个动作可以是根据地的同志,也可以是潜伏在敌区的同志,加密后情报就跟普通信件差不多,很难被发现。然后通过敌区的潜伏同志一层层转手,当情报安全送出敌区后,会对情报按照约定的规则解密,这时根据地B的同志就可以准确地掌握情报的具体内容。

  好一套强大的情报网啊,感觉好牛逼好严密的样子!不过但凡是设计都有他自身的缺点,不可能十全十美。即使像VXLAN这样优秀的伪装者,也有自己的缺点:

  1、VXLAN头的封装需要多出50个字节,这就要求所有处理VXLAN报文的设备接口MTU不能小于1550byte,即需要支持jumbo帧。

  2、VXLAN利用IP多播来封装广播和多播报文,限制了虚拟网络的广播域规模。

  以上情况都属实,可是跟SDN又有什么关系呢?你要知道衡量技术完整度的并非技术本身,而是在实际网络环境下,其到底能够解决多少问题,解决到什么程度。VXLAN目前应用比较火的是数据中心场景,因为在这个场景下才会有上面提到的业务需求,VXLAN的诞生也很大程度上源于数据中心场景的需求。(不过技术无边界,当前VXLAN技术应用已经延伸到了园区网,对于这个问题今天就不做过多的讨论)SDN和VXLAN的结合还是要从VXLAN自身的一些缺点说起。

  首先,VXLAN通过多播泛洪来建立邻居关系、同步信息,不仅限制网络规模,还可能因为广播风暴导致网络瘫痪。SDN的介入可以通过ARP代答的方式,实现点对点邻居关系建立。

  其次,在实际应用中,为了保证稳定性,减轻VXLAN三层网关设备(用于不同VNI之间通信)的工作压力,会有多台设备组成网关组,网关组成员之间的信息同步通过VRRP协议,其效率低且收敛速度慢,SDN通过Anycast Gateway技术引入网关组概念,保持网关组内设备之间信息的实时同步。

  最后,就是运维管理的问题,VXLAN技术虽然好,但是其构建在三层网络之上,还需要通过CLI方式进行配置,相对复杂且容易出错。另外,VXLAN构建起来的这张虚拟网络管理也比较难。SDN控制器可以在图形化界面定义VXLAN设备属性,并通过Netconf协议直接下发到交换机配置执行。同时,SDN控制器可以统一管理Underlay层(物理三层网络)和Overlay层(虚拟二层网络),通过流量工程技术,实时监控设备的运行状态、资源使用情况、流量交互情况等,做到可视、可管。

  所以,小编认为,当SDN遇到VXLAN这个伪装者,其实是在深入场景,相互补充,更快、更简单地解决用户的实际问题。

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品