SDN 软件定义网络

大家好，欢迎来到IT知识分享网。

1 SDN 是什么

SDN(Software Defined Network)既软件定义网络，通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络变得更加智能，为云平台等应用的创新提供了良好的平台。

2 SDN 的组成

SDN 主型分为教据面和控制面:
SDN 数据面负责业务流量特发，云计算中，以天翼云为例，特发面的组件主要为TGW和OVS这两个组件;
SDN 控制面负责向特发面组件下发指令，指导特发面组件发业务流量。

3 SDN 控制器的组成

SDN 控制器主要分为两部分:控制器核心组件与中间件;

下面以天翼云中的云计算为例进行讲解，其他云计算（如阿里云等，底层逻辑相同，但节点等可能有出入，具体请参考对应云平台的操作手册）：

3.1 核心组件的作用

taitan 节点的核心作用为接受上层传过来的指令，并解析为 SDN 需要进行的操作；

与TGW 相关的指令，会转换成配置信息，通过 netconf协议节点发送给TGW;

与 OVS 相关的指令，会转换成流表信息，通过openflow协议节点发送给 OVS

3.2 核心组件的部署位置

taitan 组件部署在 vtn1和 vtn2 节点的/usr/local/taitan/日录下;

netconf组件部署在netconf1和netconf2 节点的/usr/local/netconf/日录下openflow组件部署在openfow1和openfow2 节点的/usr/local/openflow/日录下;

3.3 中间件的作用

taitan 节点在接受上层传过来的指令后，会先将指令转换为网络操作，写入到postgresql数据库与redis 缓存中;
netconf与openflow 节点读取相关信息时，优先读取redis 高速缓存;zookeeper 作为分布式锁，核心组件对资源的所有操作，都需要先获取到相应的锁授权才能操作该资源，以保证数据的一致性;
taitan 节点使用 keepalived 组件，创建虚拟 IP，并通过 nginx 对虚拟IP 进行双活负载，以提供高层调用接口的高可用和负载均衡:
postgresql节点使用 keepalived 组件，创建虚拟IP，实现数据库的主备负载，提供数据库高可用；

3.4 流程

taitan 组件是 2 节点部要，通过节点管理IP的 TCP 8181端口对外提供服务nginx 组件通过 keepalived 配置虚拟 IP 作为服务 IP，并通过在服务 IP 上监听的 TCP 8181端口，转发到taitan 的TCP 8181端口，实现 taitan 的双活负载;

• “8181”，主要用于“灾飞”木马病毒攻击。灾飞是一种集IRC后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。
• 如何打开8181端口？在网上邻居上点右键–属性–在本地连接上点右键–属性–双击tcp/ip协议–高级–选项–在可选设置那点tcp/ip筛选–属性–在出来的界面编辑就是了。可编辑Tcp端口，udp端口，ip协议。如果是全部允许就不用添加了，65535个端口都是开放的。只是把windows防火墙关了就行了

netconf组件是2节点部署，通过节点管理IP的TCP 8888端口提供服务，并通过节点管理 IP 主动连接网元管理IP 的 TCP 2831 端口对网元实现纳管;

openfow 组件是2节点部署，通过节点管理IP的TCP 6633端口对外提供服务，并主动发起到计算节点管理IP 的TCP 6640 端口来管理计算节点;postgresql数据库是2 节点部署，通过 keepalived 配置虚拟 IP 作为服务 IP，同时为数据库提供主从同步切换，并通过虚IP的TCP 5432端口对外提供服务;

• 如果安全通道采用TLS连接加密,当交换机启动时,会尝试连接到控制器的6633 TCP端口(Openflow端口通常默认建议设置为6633)。双方通过交换证书进行认证。

拓展一下，如果要 手动配TCP 6633端口应该怎么做？

在大多数操作系统中，可以使用系统的防火墙工具或者安全组规则来开放或限制特定端口的访问。

以下是一些常见操作系统中配置TCP端口6633的方法：

• 对于Linux系统：

使用iptables防火墙：

sudo iptables -A INPUT -p tcp --dport 6633 -j ACCEPT

使用firewalld防火墙（如果安装了）：

sudo firewall-cmd --permanent --add-port=6633/tcp sudo firewall-cmd --reload

• 对于Windows系统：

在Windows上，您可以通过“高级安全 Windows 防火墙”来配置端口。您可以按照以下步骤操作：

打开“控制面板” -> “系统和安全” -> “Windows 防火墙” -> “高级设置”。

在左侧菜单中选择“入站规则”。

点击“新建规则”来创建一个新的入站规则。

在向导中选择“端口”，然后点击“下一步”。

选择“TCP”，并输入6633作为本地端口，点击“下一步”。

选择“允许连接”，然后点击“下一步”。

选择适用的配置文件，通常是“公司”和“私有”，然后点击“下一步”。

给规则命名，例如“允许6633端口通信”，然后点击“完成”。

• 对于macOS系统：

在macOS上，您可以使用内置的防火墙工具“防火墙”来配置端口。步骤如下：

打开“系统偏好设置” -> “安全性与隐私” -> “防火墙”。

在左侧点击“防火墙选项”。

切换到“防火墙”选项卡。

点击“+”按钮来添加规则。

选择“TCP”，然后在“特定端口”框中输入6633。

在“允许来自”下选择“任何来源”或者指定IP地址范围。

确认添加。

• 对于其他操作系统：

对于其他操作系统，请查看相应的防火墙配置文档或使用网络管理工具来设置。

请注意，在实际部署时，您还需要考虑安全性问题，例如仅允许必要的IP地址访问该端口，或使用加密（如SSL/TLS）来保护端口上的通信。

回到主题，ZOOkeeper是3节点集群部署，通过节点管理IP的TCP2181（ZooKeeper监控本地地址TCP端口2181）端口对外提供服务，redis 部罢有 2 种情况:

• 2 节点部署时，redis 在每个节点上，通过管理IP的TCP 7000、7001和7002 对外提供服务;
• 3 节点部罢时，redis 在每个节点上，通过管理IP的TCP 7000和 7001对外提供服务 

物理网络架构

管理网:所有 SDN 控制流量都运行再管理网内;计算网:通过 VXLAN 技术对计算网进行封装后，即为客户可见的overay 网络，SDN 控制的目标即为 overlay 网络;

存储网:存储产品和客户云主机的系统盘都运行在后端存储集群，而并非计算节点本地磁盘;客户对外提供服务的产品出口都是公网，如弹性IP、对象存储、VPN等;公网与内网的每个网络都有 NAT 设备做映射。