9 L$ ?" @' b, U- A8 l
) \" n# }- Q3 R. G# g0 _5 `9 g 本文为SDN系列第一篇,关注蛋蛋团,有更多精彩!
" ?/ t9 B* |7 ?" Q# \8 G 后台回复“报告”,获取最新报告推送!
1 u/ \; v0 {" x& k0 l' N i7 Y 文章目录
8 S/ m" Q- P3 G- R. s
一、网络基础
' R2 V7 n: T/ n0 i( i7 ` 1、网络组成三要素
! N( m: R; N. j 2、网络通信三要素
$ U$ }* H6 h* S7 Z$ D5 i3 H" ?) V 3、网络设备介绍
2 W2 c3 c% y0 K! d$ G5 r: N) w 4、家用/企业网络架构介绍
n4 P) l. s- V
5、名词解释
2 B* y/ d: [! f+ G
二、SDN介绍
9 e4 d- q8 z( D9 ]6 f
1、传统网络存在的问题
: L; l7 X' d& \0 ]) ?) D, f5 M
2、SDN定义
* S& o+ p9 Z7 c, Q4 a: A& y# Z
3、SDN vs 传统网络
# y1 ?- B/ ]' R" E S; g
4、SDN案例----谷歌B4
* x0 `0 M8 n! w' Y" ]* O2 \3 B 三、拓展:NVF、NV和SDN的关系
& F* S) C) Q* y3 i2 L$ A: B 四、参考资料
: Z0 u! n7 J3 X% ^7 |: Y( U" [ 网络基础
. @3 s( p% z' e
1、网络组成三要素
【网线+网卡+协议栈】三要素,是组成“最小网络单元”的基础,缺一不可.网线提供物理介质,承载比特流/电信号(类似电话线承载语音流/模拟信号)网卡进行数据处理,例如将电脑磁盘的数据/字节转换为网线上的电流/比特,将比特流转换为数据协议栈作为沟通语言,实现通信过程中的数据解析、地址寻址、流控制等
2、网络通信三要素
8 j4 u/ a( ^4 Z' l f" G) { 【IP地址+端口号+传输协议】三要素,是网络中通信必不可少的角色。
IP地址即确定和哪台主机通信端口分为物理端口和逻辑端口,物理端口主要死网卡口(路由器、交换机等),逻辑端口是指确定进程(应用程序)传输协议指的是两种,TCP/UDP
3、网络设备介绍
j- u" }( q6 o7 k
3.1 中继器
! v" d0 R7 T6 b+ s# M5 I; G# x1 T# y 9 }9 s! S7 Z( o$ c0 ~
工作在物理层上的连接设备。可以将完全相同的两类网络互联,对数据信号进行中继和放大。
5 r( y2 O [3 c8 | 缺点是中继器只有两个接口,只能连接两个终端主机。
8 n9 [; ]5 M$ @ 3.2 集线器
1 Y; v" l' q0 H) R$ K k
2 l+ Y3 H5 {/ l: Y7 u 集线器可能理解为“多口中继器”,集线器是运作在OSI模型中的物理层,从任一个接收到的数据,可以往其他所有接口泛洪。
- S: g8 W/ G( n. `/ D' K" y
缺点是集线器不能识别数据包的寻址信息和上层内容,无法对终端主机隔离,多个主机出于冲突域中,导致带乱利用率低
5 r% V/ o! M9 m; E2 o& `0 ~. P 3.3 网桥
2 N! F) q9 M5 U
Z( O+ ~1 _ R* { 网桥:链路层产品,可以记录终端主机MAC地址并生成MAC表(CAM表),根据MAC表转发主机之间的数据流。
1 m1 D1 F0 c$ E+ R9 N0 q 网桥能够进行冲突域隔离,有效的提高网络带宽利用率,不同接口间的数据不会互相冲突。
v! [, B r$ O% V6 ?6 W; N g- B 缺点是网桥的接口有限,默认是两个接口,对网络的隔离冲突有限,无专用硬件处理数据而是采用CPU导致处理速度稍慢
( l2 \1 v) w: Y( o0 L7 V: Q 3.4 交换机
: Q. M! K2 k! r/ N a4 E
1 I- C9 U6 m4 \5 ~5 P; V$ T 交换机:链路层产品,可以记录终端主机MAC地址并生成MAC表(CAM表),根据MAC表转发主机之间的数据流。
4 t$ n. x. \& }; q+ b R
交换机在网桥基础上升级和延伸,相比网桥,有以下优点:
接口数量更密集,独立冲突域,带宽利用率大大增长采用专用ASIC硬件芯片进行高速转发 能够进行VLAN隔离(不仅仅可以隔离冲突域,而且可以通过VLAN隔离广播域)
3.5 路由器
1 M! _" X V- V6 u9 J9 u) i4 M0 G
& w, q$ i: }# q% b
路由器:网络层产品,基于IP寻址,采用路由表实现数据转发
3 O# l# n! h. h' |) Y# z0 R/ } 路由器主要用于连接不同局域网(可以是不同介质,即令牌网和以太网互通),实现广播域隔离,也可以用于远程通信(广域网连接)。
) m5 M, L3 Q# _5 R IP逻辑协议寻址机制是实现不同类型局域网连通的关键,不同局域网主机只要有配置IP地址,有合理网段规划,则可以通信,路由器在实现局域网之间通信时,会实现”介质翻转“和”路由转发“。
8 ~3 I3 t+ X# K0 }9 { 3.6 无线AC/AP
) w O" y& p; D$ k
3 e) w5 _# S. C0 o 无线AP(Access point)可以看成带有无线功能的交换机/路由器,能将有线信号转换成无线的设备都可以叫无线AP。指802.11协议的无线AP,即大家耳熟能详的WIFI。
. a2 @: X% H& z) T* J4 L9 o* @# R
根据部署方式不同,分为胖AP和瘦AP。即AC(Wireless Access Point Controller)统一管理的就是瘦AP,其余都是胖AP。
! a+ M% c$ Q( i' f; ? 胖AP方案中,无线AP有独立的操作系统,独立调试无线热点所有配置。瘦AP中,无线AP仅具备无线信号发射的功能,所有命令调试全部集中在后台的AC/无线控制器中。
% N+ ~ s3 A0 {) M1 a8 J) S% c
小型无线网络(家用、小型企业)采用胖AP,大型无线网络(无线城市、无线校园网)采用瘦AP方案(AP+AC)
. }" V$ g* t# r) x- X6 k: g 3.7 防火墙
8 _! c7 f3 ~7 K5 t' w# P
+ n y2 K. D& g( [! y6 V
防火墙(Firewall):网络安全产品,对于网络进行安全访问限制,一般用于互联网边缘防黑客攻击
$ o4 g6 x; u5 w& ^/ o 根据防火墙的技术特征,可以分为包过滤、应用代理、状态检测防火墙。根据产品形态分为软件和硬件防火墙。
9 f) K7 j* B; [ O: f& e
路由器侧重地址翻转和路由策略,防火墙侧重安全隔离
6 {. U: f) C" }2 T2 ` 防火墙类似路由器,如上图:
一般中小型单位 互联网出口使用防火墙或者只使用路由器,功能多且便宜特定行业内网出口 必须用路由器,政策要求和业务需要,如公安/法院/金融等大型网络防火墙和路由器分开,如果都用防火墙,性能可能扛不住路由器和防火墙两者都存在的情况下,一般都是路由器在最外层,防火墙一般会旁挂服务器,即DMZ区域,采用第一种架构,服务器在私网IP域,相对安全。黑客攻击首先需要穿透路由器的NAT,还需绕过防火墙的检测。
" A8 D. v8 H' Y( m2 ^" F
4、家用/企业网络架构介绍
$ |$ ^ e: j' {8 y. j- ~! @' d" W 4.1 家用/企业网络架构介绍
! C/ H1 f" e# ^9 P* L# V
* a+ E& a; u7 \1 O' f. s3 A7 i
说明:典型家庭网络拓扑一版只需要用到路由器,由路由器连接外网和提供wifi
7 G* u- P B$ W" l/ Z" J
设备:无线路由器
/ \) f% l) C# N7 k/ }7 z M 技术:NAT(网络地址转换)、PPPOE(以太网上的点对点协议,即无线路由器拨号协议)、DHCP(动态主机设置协议,用于内部网或网络服务供应商自动分配IP地址)
3 M6 N- n3 ^; A( j4 k8 D$ V 4.2 中小型企业网络架构
/ @# r$ b+ _# V+ s* i3 N
/ ~; N y) l/ ?( |! G
说明:总部属于中型企业架构,分部属于小型企业架构
6 S+ H4 Z8 v% c' c" ]/ c# j3 ^ 设备:
总部:路由器、交换机、防火墙、瘦AP(无线AC+AP)、服务器分布:路由器、交换机
解决思路:
使用子网划分来对每个部门进行规划,每一个部门单独一个24位的子网断,保证连续性,即使后续有新增加的员工,24位有254个地址,可以保证能正常使用,并且连续性可以方便做汇总、与一些策略的控制。冗余性的实现,可以利用MSTP+VRRP技术实现链路的冗余性与网关的热备功能,并且核心之间链路起链路聚合,提高带宽。安全性的实施,可以利用ACL与端口隔离技术 来进行部署,当然也可以高级点,dot1x、DHCP snooping+DAI+IPSGD等技术。一般情况下用ACL与端口隔离技术即可,除非有特殊需求在使用后续的。使用AC+AP的三层旁挂架构组件无线网络,实现内部网络使用5G接入网络,而访问则使用2.4G频率,并且实现,访客只能访问公司提供的WEB页面与Internet访问,并且要求无线访客区之间实现隔离。利用浮动路由+NQA或者ip-link技术实现自动切换使用IPSEC技术实现总部与分部之间的互访,通过加密验证等机制来保证数据的安全性部署L2TP Over IPSEC实现出差员工能够拨入到内网,访问特定的资源。开启Telnet或者SSH功能,实现访问,并且用ACL限制只能特点的主机访问。
4.3、运营商网络脉络
v4 G: `9 _1 H8 N! y
" a/ T) d9 v, e/ ]: ^* E, c3 ~2 b
& O$ Y* C8 m) Z! e4 h0 {
# d" D) w' t/ a: v0 y8 i$ ? 说明:运营商网络主要通过城域网架构实现,是互联网最中心的承载网络,不同运营商采用AS自治系统隔离和相连,通过BGP协议交换路由,采用MPLS实现标签交换
4 c: ^ S7 v5 I" I 设备:交换机、路由器
) k$ d, F$ d5 i4 l" ]. } \ 技术:OSPE/ISIS、BGP、MPLS、Multicast、TE/Qos、SNMP等
. Y* w7 Q( I5 F2 A1 @" v( v+ g
5、名词解释
& a4 B8 V( Z5 H- m( w! k# `
MSTP:基于SDH技术的多业务传送平台(MSTP),实现局域网业务的接入、处理和传送,进行统一控制和管理
' ?* ?& B" r1 g3 t/ u/ N DHCP:是一个局域网的网络协议,使用UDP协议工作,用于内部网或网络服务供应商自动分配IP地址;给用户用于内部网管理员作为对所有计算机作中央管理的手段
0 F" ]' n( {% J VRRP:虚拟路由冗余协议,解决局域网中配置静态网关出现单点失效现象的路由协议
5 K0 a; _$ a( E OSPE:路由协议一种,开放式最短路径优先,用于在单一自治系统(AS)内决策路由
: `6 ]& C" N4 {+ A- J/ c. p) p, y c ISIS:分级的链接状态路由协议,和OSPF相似,使用Hello协议寻找毗邻节点,使用一个传播协议发送链接信息
& c; i) C# E# s5 P b& G3 V8 D2 E/ n
SNMP:简单网络管理协议,由三部分组成,被管理的设备,SNMP代理,网络管理系统(NMS)
+ ^% p% @( J* q: G2 ?/ w DS-TE:是网络级QOS 保证的主要技术,要求网络设备具备DS-TE 功能,即流量控制技术。
! a: @& s. G: S( C6 O7 r9 w2 m
Qos:服务质量,指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力, 是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。
3 U% T7 M: u h) z ACL:访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
. ~$ [1 D* ?' v9 z; z6 {4 G 待续
* Z$ q5 W4 F# c
发表于 2024-1-5 21:27:57
站点公告
公司地址
官方微信
在线客服
