軟體定義網路(SDN)描述了一種將網路控制平面和轉發平面分隔開的架構,旨在簡化和提升網路控制。IT 團隊能更快速地因應不斷變化的業務需求和應用程式需求。
SDN 是一種高度靈活、敏捷的方法,能適應不斷增長的網路需求,並實現自動化和敏捷性。透過將網路控制平面和轉發平面分隔開,SDN 使網路控制成為一個可程式實體,並將底層的基礎架構抽象化。
網路工程師會受益於 SDN,因為他們不再需要為提供網路服務、連接位置和應用程式,或管理資源和容量利用率,而糾纏於單個網路設備。相反,SDN 會全權負責這項任務,指揮這些單獨的「開關」在業務需要時提供服務。
軟體定義網路的特徵
軟體定義網路有 4 個獨特的典型特徵:
- 敏捷。隨著業務和應用程式需求的變化,管理員可以根據需要調整網路組態。
- 集中管理。SDN 整合了網路智慧,可提供網路組態和活動的全方位視圖。
- 可程式化。透過自動化的 SDN 服務直接編程網路功能,並快速、輕鬆地配置網路資源的能力。
- 開放的連接性。SDN 基於開放標準,並透過開放標準進行實施。因此,SDN 簡化了網路設計,並在供應商中立的架構中提供了一致的網路。
軟體定義網路的架構
簡而言之,軟體定義網路依賴於 API 來生成一個集中式管理面板,該面板讓管理員和經理能決定並為網路行為編寫程式。SDN 在其他複雜的網路基礎架構之上建立抽像或虛擬的覆蓋,讓 IT 團隊能一致地管理他們的網路、應用程式和設備,而不需要對底層技術有太多的瞭解或直接與之交互。
軟體定義網路執行各種任務,並包含了各種技術。但它最初、最明確的目的是建立一個可程式化的抽象層,來將網路資料和網路控制面板分隔開。控制面板是維運的「大腦」,負責管理網路服務,並決定封包在整個網路中應該如何移動,以及在哪裡移動。資料面板是傳送系統,它會根據控制面板的指示來連接端點,並移動這些封包。
在傳統的網路環境中,網路通常不知道運行在整個系統中的應用程式的需求。營運商可以觀察到應用程式的特性,如封包尺寸、容量、延遲和錯誤,但在很大程度上,並不總是能夠確定應用程式的類型,以及有關健康狀況或所需效能的資訊;在軟體定義網路中,應用程式可以擁有有關網路的資訊,並且可以根據不同的應用程式來客製網路組態,從而建立了一條雙向的資訊通道。
軟體定義網路的構成有三個主要的組件。首先,我們有 SDN 應用程式。這些應用程式會使用 API,透過 SDN 控制器來傳遞指令和請求資源。SDN 應用程式可以具有各種形式並提供各種功能,例如網路管理、提供分析、新增安全性或通用網路功能。一些範例包括 IP 位址管理(IPAM)、管理服務品質(QoS)、負載平衡、檢測和緩解阻絕服務(DoS)網路攻擊。
其次,也許也是最重要的,是 SDN 控制器。SDN 應用程式會向 SDN 控制器發送指令,然後該控制器再將該資訊傳遞到網路組件。SDN 控制器還負責從硬體收集網路資訊,並將這些資訊和相關統計資料回傳給應用程式。
第三個組件是 SDN 網路設備系統。在網路中,這些設備負責轉發和資料處理任務,這兩項也可以針對資料路徑執行。SDN 控制器負責對這三層進行整合。這些 API 整合通常被稱為北向或南向介面。北向是控制器和應用程式之間的整合,而南向則是控制器和實體網路設備之間的整合。
軟體定義網路和安全性
透過軟體定義網路,可以提供不同級別的安全保護。也許最值得注意的是, SDN 提供的集中式智慧功能,使 IT 管理員能夠快速輕鬆地設定和維護安全策略。從那裡,可以在整個網路中普遍執行這些策略,並藉由中央控制來對其進行維護和執行。
此外,SDN 在軟體和硬體之間建立了一個抽象層,允許 IT 團隊繞過專屬裝置,只需開始開發安全工具,即可在整合網路上進行實施。因此,在發生安全漏洞的情況下,將享有更大的透明度來收集洞見和可能的威脅資訊。
最後,SDN 提供了可擴充的安全性。IT 團隊無需購買昂貴的專屬硬體和安全控制,而是可以隨著軟體的增長、新的雲端和應用程式的佈建或業務需求的變化,以任意規模來建立、控制和部署安全策略。更不用說,如果某個分段關閉或產生安全漏洞,SDN 的透明度讓管理員能快速、輕鬆地檢測惡意軟體。
如何使用軟體定義網路?
SDN 可在多個用例中大有助益。首先,SDN 可以協助支援開發維運計畫。應用程式更新、部署,甚至 IT 基礎架構組件都可以透過 SDN 實現自動化,所有這些操作都可以在建立和部署開發維運應用程式和平台時同步進行。
其次,企業可以利用 SDN 控制器來提升園區網路的功能,由於持續的 WiFi 和乙太網路需求,這些功能通常很複雜。中央 SDN 控制器「開關」提供了自動化和集中管理功能,最終提高了安全性,並幫助企業在其網路中提供更多高品質的服務。
第三,服務供應商網路可以利用 SDN 來自動化配置網路的過程,以提升服務管理和增強控管力。
最後,企業可以享受由 SDN 提供的強化保護和簡化的防火牆管理。公司可以透過 SDN 的虛擬化功能來建立分散式防火牆系統,提供額外的安全層,以防止漏洞從一個虛擬機傳播至另一個虛擬機。更不用說,管理員和經理可以集中追蹤和更改網路活動,以便在攻擊發生之前檢測並消除破壞行為。