带你读《软件定义网络之旅:构建更智能、更快速、更灵活的未来网络》第二章将现代电信网络从全IP 网转变为网络云2.5(二)

简介: 带你读《软件定义网络之旅:构建更智能、更快速、更灵活的未来网络》第二章将现代电信网络从全IP 网转变为网络云2.5

2.5.3    软件定义网络(SDN

虽然人们普遍认为网络领域的 SDN是一种相对较新的现象,其根源在数据中心,但实际情况是电信网络使用这些技术已长达几十年。实例之一是使用该技术控制电路交换网络中的数据平面,通过控制器的控制平面来提供800号码服务(用于呼叫和反向计费的长途自动路由


在网络云中,通过应用这些成果和来自云数据中心的知识,可促进 SDN的进一步发展,以创建分层分布式控制框架。具有全网连接视图(或全局)控制器负责控制与网络不同功能部分相关的辅助控制器。每台控制器也可以按比例进行复制。对于IP/多协议标签交换MPLS)网络架构,网络云使用混合方法来保持分布式控制平面和协议以实现响应,并使用集中式控制平面进行优化和复杂控制。


SDN网络云中非常独特的问题之一是向模型驱动软件和网络配置转变。过去,这些任务是通过创建详细需求文档来完成的,网络工程师必须将这些文档转换为相关网元的特定供应商配置语言。任何新网络功能的引入都需要额外的时间来等待文档、测试配置以及在 OSS中实现配置。新流程涉及使用另外一种下一代(YANGYetAnotherNextGeneration)建模语言定义功能的问题。供应商中立的YANG模板创建便携且易于维护的所需网络功能的明确表示;在将模板与实际网络功能结合使用之前,可以采用仿真技术来验证其正确性。


AT&TSDN方法中,无论是通过经典的PNF形式,还是通过更加现代化的虚拟化网络功能(VNF形式来实现,所有 SDN可控网元都能进行类似处理。网络云 SDN控制器包含诸多子系统,可以设计用于与开放网络自动化平台(ONAPOpenNetworkAutomationPlatform)协同运行。它将服务逻辑解释器SLIServiceLogicInterpreter和基于开放日光ODLOpenDaylight)部件的实时控制器结合在一起。SLI负责执行脚本,这些脚本定义对诸如服务请求和闭环控制事件等生命周期事件所采取的操作。可以将常用或复杂的 SLI脚本封装为运行于 ODL架中的 Java类,然后作为单个脚本操作进行重用。另一项功能是网络资源自治控制,可用于将网络资源与服务实例进行关联或将网络资源分配给服务实例。


适配器位于控制器的底部,可以与各种网元控制接口进行交互。这些交互既可以是传统网元管理系统EMSElementManagementSystem风格的供应,又可以是采用边界网关协议BGPBorderGatewayProtocol)的实时网络事务。


没有策略职能的任何控制框架都是不完整的。可以基于从 NFVI以及在其上运行的服务采集的事件来定义策略规则。事件可以触发执行点处的算法变化和 /NFVI/SDN网络云上的控制操作。例如,网络链路的高利用率可能会触发流量工程(TETrafficEngineering)的路由变化,或者无响应服务功能可能会触发服务功能的重启。


使用先进的高级SDN控制器功能,不仅可创建诸如互联网、虚拟专用网(VPN、实时媒体服务等传统网络服务,还可以创建更为复杂的按需服务。

2.5.4      开放网络自动化平台

网络功能虚拟化的迁移改变了网络基础设施运行模式的许多方面,并对运营生命周期中的服务进行管理。服务的初始设计不再是垂直集成的优化基础设施,而是必须假设采用分布式云硬件基础设施,并从最符合服务设计需求的任何来源重用网络功能。必须采用诸如定义工作流之类的自动化方式,以及引用运行时信息源并调整基础设施资源使用的行为,来形式化描述初始安装、配置、呈现以及用于响应生命周期事件的变化。基础设施和服务功能必须公开支持监视、外部控制和策略规范的软件接口,而策略规范可以改变运行时的行为。短期流量工程(TE)和长期容量规划决策都必须考虑充分利用公共基础设施的广泛服务和应用场景。


传统的运营支持系统(OSS)和业务支撑系统(BSS)设计用于集成单片网元部件,并增加交付和支持客户服务运营所需的功能。该方法存在许多局限性:网元部件缺少某些生命周期操作的标准接口,且往往针对特定服务进行优化,或者在不同服务之间不容易实现共享。这增加了执行诸如初始交付、升级、例行维护和故障修复等生命周期操作的成本和时间,而且需要专用的基础设施和技能;设计、集成和部署基础设施所需的时间与培训大规模运营基础设施的员工限制了服务提供商交付新服务的灵活性;新型或新兴的服务量和增长的不确定性使投资难以合理化,交付时间过长又无形中增加了错失市场机会的风险。


上述 ETSINFV工作直接导致了 VNF管理和编排(MANOManagementandOrchestration)规范的诞生。ONAP通过为板载资源添加全面的服务设计平台扩展了 ETSIMANO,创建服务,定义生命周期操作;基于遥测、分析和策略驱动生命周期管理操作的闭环控制;用于加速和降低   板载功能开销和消除VNF相关管理系统的模型驱动平台;支持 PNF


一致的计划既包括如何使用 ONAP功能来取代诸如故障关联、性能分析和元件管理等传统OSS/BSS系统,又包括如何逐步淘汰这些传统系统,该计划对于传统物理网络(PNF)和新型虚拟化网络功能(VNF)基础设施共存的过渡期至关重要。如果二者都没有明确的计划,则传统系统和设计就有可能与 ONAP平台上的服务设计集成存在风险,从而削弱高度自动化操作的优势并增加维护成本。

2.5.4     网络安全

    网络安全是一种多学科问题,始于诸如机密性和完整性等经典安全问题,并涉及可用性问题(确保服务和网络正常工作,且可以消除恶意企图来将其负面影响降至最低。使用网络云,需要在运营云环境中通过软件和网络的组合来理解安全性。例如,采用深度防御关注点分离 等安全技术,这是一种对VNF进行分类的实用方法,可阻止每一类型不会同时在同一台服务器上运行。出于这些原因,安全性是网络云的关键架构和设计因素之一。


网络安全体现在两个不同的方面基础设施自身保护以及在服务中提供安全功能的能力。基础设施安全的基本结构是确保每一部件都通过单独评估,并在设计时充分考虑安全性。


对于网络云来说,架构部件包含诸如访问控制列表(ACLAccessControlList)和虚拟专用网(VPN)等功能实体,以限制和分离流量。服务器使用管理程序来运行操作系统,而管理程序可提供具有内存隔离的独立执行环境。在此基础上,运营网络可用于提供对管理端口的访问,并使用防火墙来提供控制和检查点。


安全架构的其他方面也在发挥作用。当希望避免出现安全问题时,良好的安全方法还提供了缓解、恢复和取证机制。基础设施的缓解方法包括过载控制和转移功能。过载控制(在网络出现问题时也非常有效)优先考虑功能,以便资源高效应用于控制平面和高优先级流量。转移功能通常使用 IP报头的特定部分来识别备选网络流量,具有重定向分组以用于后续处理、速率限制以及消除的能力。


    取证是安全的基础。记录活动的能力提供了分析历史事件以确定根本原因并开发预防和缓解方案的能力。它还通过充当行为检查的辅助点来发挥主动安全执行的作用,而行为检查则可以发现安全设计或实现方案中存在的故障或缺陷。


在安全流程中,两大关键组件是自动化和身份管理。自动化充分考虑到复杂序列的管理问题,并从配置中消除人为因素,而人为因素是典型的安全问题的来源,需要在ACL中输入错误 IP地址来创建漏洞。身份管理确保人员和软件都有权查看、创建、删除或更改记录或设置。网络云采用集中式方法进行身份验证。这可以防止本地密码的另一个弱点,因为这些本地密码更易受到威胁。

2.5.6    企业客户终端设备

企业网络是企业用于将其人员、IT和运营基础设施联系在一起的环境。针对办公室、仓库、工厂和卡车、汽车中的移动人员,以及在访问客户时,企业需要全面的通信解决方案。通常,它们使用一系列语音、视频、数据和移动服务。企业的所有运营地点都需要某种形式的称为客户端设备(CPECustomerPremisesEquipment)的本地设备。过去,CPE采用与网络设备相同的方法,即实现形式为设备。如今,CPE采用 NFV经历相同的转型。它支持单台设备在需要时在软件控制下提供多种功能。


当使用 NFV重新设计 CPE时,采用的方法是支持功能实体在新虚拟化 CPE内部或网络中的网络云上运行。对于CPE内的本地网络功能,需要通过创新来构建一种合适的执行环境。与多台服务器可用于增加或减少 VNF实体的网络云不同,CPE环境通常仅限于单个 CPU芯片组。考虑到软件可移植性并充分利用开源生态系统,我们再次选择基于内核的虚拟机(KVMKernel-basedVirtualMachine作为管理程序,以支持多个 VNF实体在各台虚拟机中共享 CPU(这里涉及的安全性问题较少,因为 CPE专门针对单个客户。


CPE最具挑战性的问题之一是管理。由于 CPE位于客户广域网(WANWideAreaNetwork)服务端与本地网络之间的本地位置,因此,提供可操作网络连接功能非常重要。这是通过共享WAN服务来实现的,而WAN服务使用特殊虚拟局域网(VLANVirtualLocalAreaNetwork)或IP地址隔离流量。但是,在服务启动之前或故障后服务开展期间,WAN连接可能不可用。解决方案是利用移动访问网络云并提供“回拨功能。第二种连接考虑到远程“测试和开通程序, 且WAN发生故障时,提供故障诊断和定位功能。

相关文章
|
2月前
|
域名解析 存储 网络协议
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
本文详细介绍了IP协议报头结构及其各字段的功能,包括版本、首部长度、服务类型、总长度、标识、片偏移、标志、生存时间(TTL)、协议、首部检验和等内容。此外,还探讨了IP地址的网段划分、特殊IP地址的应用场景,以及路由选择的大致流程。最后,文章简要介绍了DNS协议的作用及其发展历史,解释了域名解析系统的工作原理。
101 5
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
|
2月前
|
传感器 运维 物联网
蓝牙Mesh网络:连接未来的智能解决方案
蓝牙Mesh网络:连接未来的智能解决方案
201 12
|
16天前
|
存储 安全 5G
|
8天前
|
存储 缓存 Ubuntu
配置网络接口的“IP”命令10个
【10月更文挑战第18天】配置网络接口的“IP”命令10个
31 0
|
2月前
|
机器学习/深度学习 数据采集 网络安全
使用Python实现深度学习模型:智能网络安全威胁检测
使用Python实现深度学习模型:智能网络安全威胁检测
133 5
|
2月前
|
5G 网络安全 SDN
网络功能虚拟化(NFV)和软件定义网络(SDN):赋能5G网络灵活、智能演进的关键
网络功能虚拟化(NFV)和软件定义网络(SDN):赋能5G网络灵活、智能演进的关键
56 3
|
17天前
|
运维 安全 网络协议
Python 网络编程:端口检测与IP解析
本文介绍了使用Python进行网络编程的两个重要技能:检查端口状态和根据IP地址解析主机名。通过`socket`库实现端口扫描和主机名解析的功能,并提供了详细的示例代码。文章最后还展示了如何整合这两部分代码,实现一个简单的命令行端口扫描器,适用于网络故障排查和安全审计。
19 0
|
2月前
|
传感器 物联网 人机交互
物联网:物联网,作为新一代信息技术的重要组成部分,通过智能感知、识别技术与普适计算等通信感知技术,将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现了物物相连、人物相连,开启了万物互联的新时代。
在21世纪,物联网(IoT)作为新一代信息技术的核心,正以前所未有的速度重塑生活、工作和社会结构。本文首先介绍了物联网的概念及其在各领域的广泛应用,强调其技术融合性、广泛的应用范围以及数据驱动的特点。接着,详细阐述了物联网行业的现状和发展趋势,包括政策支持、关键技术突破和应用场景深化。此外,还探讨了物联网面临的挑战与机遇,并展望了其未来在技术创新和模式创新方面的潜力。物联网行业正以其独特魅力引领科技发展潮流,有望成为推动全球经济发展的新引擎。
|
2月前
|
缓存 网络协议 网络架构
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
本文详细介绍了如何使用网络抓包工具Wireshark进行网络抓包分析,包括以太网v2 MAC帧、IP数据报、ICMP报文和ARP报文的格式,以及不同网络通信的过程。文章通过抓包分析展示了IP数据报、ICMP数据报和ARP数据报的具体信息,包括MAC地址、IP地址、ICMP类型和代码、以及ARP的硬件类型、协议类型、操作类型等。通过这些分析,可以更好地理解网络协议的工作机制和数据传输过程。
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
|
2月前
|
网络协议 网络虚拟化
接收网络包的过程——从硬件网卡解析到IP
【9月更文挑战第18天】这段内容详细描述了网络包接收过程中机制。当网络包触发中断后,内核处理完这批网络包,会进入主动轮询模式,持续处理后续到来的包,直至处理间隙返回其他任务,从而减少中断次数,提高处理效率。此机制涉及网卡驱动初始化时注册轮询函数,通过软中断触发后续处理,并逐步深入内核网络协议栈,最终到达TCP层。整个接收流程分为多个层次,包括DMA技术存入Ring Buffer、中断通知CPU、软中断处理、以及进入内核网络协议栈等多个步骤。