Виртуализирай това...SDN, NFV

Мрежова виртуализация

Мартин Иванов Openfest 2014

● За какво ще си говорим ?

● Какво е виртуализация ● Защо мрежова виртуализация ● Какво е SDN/NFV ● Важни отворени проекти ● SDN в България ?

● “Виртуален” ? Симулиран / заместващ реален

● Виртуална памет в DOS - 1990● Виртуална гост-ОС в персоналния компютър -

2001 ● Виртуални сървъри – „процесор“ и „диск“ под

наем - 2008● Облачни приложения в центровете за данни –

реалност днес● Какво следва ?

● Предизвикателства пред мрежите днес:

● Управлението на мрежата (network management) е сложно

● Набор от мрежови протоколи вместо основни принципи

● Липсва модулност и абстракции (в контролният слой /control plane)

● Навлизането на нови услуги е трудно

● Управлението на мрежата е сложно

● Администрирането на един суич/рутер е сложно (много по-сложно от това на един компютър)

● А телекомуникационен оператор има десетки хиляди рутери/суичове

● Текущите услуги изискват огромни усилия и средства

● Разрастването е скъпо и ограничено

● Слой за данни (data plane) и слой за управление (control plane)

● Слоят за данни приема , обработва и насочва всеки пакет спрямо маршрутната си таблица– т.е. Пакет + Маршрутна таблица => Маршрутизиране– Хардуерна реализация

● Слоят за управление - пресмята и поддържа маршрутната таблица– т.е. Динамични разпределени протоколи и/или ръчна

конфигурация– Вграден софтуер в суича

● Абстракция и модулност - Слой за данни (data plane)

● Функционалността е разделена на нива (модули)

● Описани чрез абстракции (интерфейси, APIs)

● Реализацията на всяко ниво сепроменя лесно

● Това доведе до иновации

● модулност - Слой за управление (control plane)● Много и разнородни функции :

– Маршрутизиране на пакети (BGPv4, OSPF...)– Изолиране на потоци (ACL, VLAN,...)– Управление на натоварването (MPLS-ТЕ)

● Решават конкретни проблеми , не основани на общи принципи

● Липса на модулност и абстракция...● Забавя внедряването на иновации

● Навлизането на нови решения... – Нови функционалности се диктуват от

производителите на оборудване– Решенията са затворени– Иновациите са затруднени

● SDN – Софтуерно* управлявани мрежи● Централизирано управление на мрежата от

стандартни сървъри (нар. контролери)● Суичовете са само евтини маршрутизиращи

елементи (switching fabric)● Физическо разделяна на слоевете за данни и

контрол● OpenFlow - протокол за конфигуриране на

суичовете в SDN

● OpenFlow (ONF) ● Отворен стандарт за управление на маршру-

тизиращи устройства – Openflow суичове

● Контролен слой – SDN и Openflow● SDN контролер

– Физическа топология + flow таблици

● Виртуализация – Един логически суич – Функционални абстракции (APIs)

● Мрежови приложения

- прости програми

- реализират услугата

на оператора на мрежата

● SDN предлага архитектура за мрежова виртуализация.

● Основните функции, като виртуални абстракции:– Свързаност между клиенти– Изолация на трафика– Контрол на достъпа до мрежата

● NFV - Виртуализация на мрежовите услуги – стандарт от ЕТSI

Спецификация на широка гама виртуализирани мрежови функции : Защитна стена, IDS, Прокси , VPN , Балансери на натоварването, DNS и т.н.

● SDN/NFV – подобрение на текущата архитектура:– Абстракция и модулност– Виртуализация– Гъвкавост– Иновации– Отворени решения

● А за Телеком операторите ?– Собствена екосистема за (нови) услуги– Ефективно мащабиране– Значително по-евтино оборудване

Отворени проекти , развиващи виртуализацията

● OpenVSwitch● Mininet● RouteFlow Виртуален рутер● OpenDayLight SDN Контролер

OpenVSwitch – http://openvswitch.org● Софтуерен виртуален суич ● Контролер в user-space● Бърза обработка на пакетите в kernel-space● Поддържа OpenFlow 1.3 ● Разпознава физически и виртуални портове● Имате го във Вашия Линукс!

● OVS като маршрутизатор между две станции

# ovs-vsctl add-br br0 # ovs-vsctl add-port br0 eth0# ovs-vsctl add-port br0 eth1# ovs-ofctl add-flow br0 \dl_src=11:22:33:44:55:66,output:1# ovs-ofctl dump-flows br0[...]n_packets=10,n_bytes=640 dl_src=11:22:33:44:55:66actions=output:1

● Oсновното приложение на OVS e като софтуерен суич за виртуални машини VM:– Свързва или изолира отделни VM – Свързва/тунелира VM с физически интерфейси

● В момента има повече портове на софтуерни суичове, отколкото физически!

Mininet - http://mininet.org/● Мрежов емулатор ● Конфигурира и управлява в реално време

виртуални хостове, суичове и връзки между тях● Емулират се сложни мрежови топологии ● На всеки от тях може да се стартират

произволни Линукс приложения ● Базиран на OpenVSwitch/OpenFlow и Линукс

виртуализация● Имате го във Вашия Линукс!

Mininet – незаменим за:● Интерактивно изграждане, тестване и дебъгване на

мрежови решения● Среда идентична с реалната● Пълен достъп и контрол върху ресурсите на всеки

елемент в мрежата● Генерираните пакети/трафик реално се изпращат,

буферират, обработват и т.н. като в реална мрежа● Боравите с истинска топология... в паметта на

компютъра● Ограничения: Брой устройства в мрежата , общ

трафик – според наличните ресурси.

RouteFlow https://sites.google.com/site/routeflow/

● Демонстрира практически метод за интегриране на готова мрежова програма (Quagga) върху OpenFlow суичове

● OpenFlow суичове за пренос на данни● SDN виртуализация като контролен слой ● Алтернатива на „класическите“ хардуерни

рутери за една малка част от цената

● Quagga работят във VM , протоколните пакети се обменят през OpenFlow суичовете;

● Протоколните състояния се транслират като Flow записи в OpenFlow суичовете

OpenDayLight http://opendaylight.org● Отворена платформа за разработка на

SDN/NFV решения● Голям брой готови модули – откриване на

топология, Layer2 суич, откриване на DoS атаки и т.н.

● Инженери от големите IT компании участват активно в проекта

OpenDayLight + Mininet топология

Благодаря!

Въпроси ?

martin.ivanov@gmail.com

Управлението на мрежата е сложно.Съпоставете знанията и уменията необходими за администриране на един суич или рутер с тези за администриране на един персонален компютър.Ами на няколко суича? Всеки един трябва да се конфигурира отделно , един по един.Въпреки , че съществуват днес системи, които автоматизират управлението на мрежите (НМС) - схемата на слайда е част от реална НМС и топология, задачата остава относително сложна.Един наш клиент администрира по този начин 12000 устройства.

Текущите услуги изискват усилия и средства от операторите Свързването на нов клиент към услуга отнема няколко часа, на няколко отдела на операторa, вместо да отнема няколко клика.

Разрастването на мрежата (нови услуги) зависи основно от доставчици на оборудване – достаявяне на нов модел оборудване, или нова версия на фърмуера. Често се прави като паралелна реализация, а не като ъпгрейд на текущата. И това забавя и оскъпява процеса.

Да потърсим отговор на въпроса, защо управлението на мрежите е сложно ?

Ако разгледаме комуникационната функция на мрежите, можем да отделим два основни слоя.Слоят за данни обикновено се реализира хардуерно.Контролен слой – само софтуерно, обикновено фърмуер в суича/рутера.

Ако разгледаме организацията на слоя за данни - 7 сегментния ОСИ модел -всеки от нас го е изучавал, откриваме перфектна функционално разделение.Мрежовата програма желае да обменя данни, използва надежден или ненадежден транспорт, който използва глобално пакетно маршрутизиране, което използва локално доставяне на пакет, което използва трансфер на битове по физически кабел.Всяко ниво е дефинирано така, че предоставя фукционална абстракция на горното (интерфейс).Тоест реализацията на всяко ниво може да се промени, без това да засегне работата на мрежите.Тази архитектура е предпоставка за Интернет революцията , на която сме свидетели.. Например , модемите се замениха с ЛАН, после Оптика. Добави се криптиране. И това не доведе то функционални промени в другите нива.

Правилната абстракция е предпоставка за иновации.

Каква е структурата на контролният слой?Остро контрастира с тази на слоят за данни.Трудно е да се каже – сложна.

Имаме един набор от протоколи за Много и разнородни функции.Така например, RFC документите дефинират над 500 протокола, решаващи някакъв проблем.

Набор от протоколи, разпределени, всеки Решение в някаква конкретна мрежова функция, но без общи принципи и модулна архитектура.

В допълнение на всичко казано до тук трябва да споменем и това, че нови функционалностти се диктуват основно от доставчиците на оборудване, техните решения са затворени и в заключенние, иновациите са затруднени.

SDN датира от 2008 г., от Университетски среди, Като се развива идеята контролният софтуер да се изпълнява на масов сървърен хардуерСуичовете стават масов, неинтелигентен хардуер, който се грижи само за маршрутизирането на трафика.SDN в основата си лежи на идеята за разделяне на слоевете за данни и контрол.Напомня ли ви това за сървърната виртуализация? Първата цел на новия подход е да приеме отворен протокол за конфигуриране на маршрутните таблици – между контролера и суича.

ONF е организация която развива OpenFlow – отворен стандарт за управление на суичове от централизиран софтуер (контролер).Суичът разполага с т.нар флоу-таблица , като всеки ред от нея представлява набор от пакетни полета , съпоставени с получените пакети. Поддържат полета от L2-L5 пакети – например МАС адрес, IP address, TCP порт , и т.н.При откриване на съвпадение с получен пакет, се изпълняват указаните действия , като изпращане на пакета на указан порт, модифициране на полета в пакет (например намаляване на ТТL).Контролерът още има възможност да контролира статистики и параметри на портовете, да изпраща или получава пакети през портовете на суича (т.нар.) PacketIn и PacketOut команди.По този начин, произволен динамичен протокол Би могъл да се изпълнява на Контролера, но всъщност пакетите му да се изпращат и получават от физически порт на OpenFlow суича.

Как изглежда контролният слой или програмa.Централизиран SDN контролер управляващ физическата топология, и маршрутните таблици на суичовете. Слоят за Виртуализация – представя цялата мрежа като един логически суич със безкраен брой портове и всички мрежови функции като логически абстракции (интерфейси) .Мрежовите приложения са управляващи програми, използвайки логически суич с безкраен брой портове и комбинирайки функции от виртуализиращият слой.

Това е есенцията на мрежовата виртуализация – логически суич + виртуални мрежови функции, изпълняващи се на стандартен сървърен хардуер, контролиращи реална физическа мрежа.

SDN не е нова технологичен напредък. Това е нов подход за управление на мрежите, като ние сме само в началото на трансформацията от сегашните мрежи към виртуални такива.Традиционните мрежовите функции се разделят на модули, свързани с интерфейси между тях, и позволяващи да се групират и комбинират до комплесни приложения.Мрежите все повече ще се управляват от софтуер, изпълняващ се на стандартен компютърен хардуер. В периферията на мрежите все повече ще виждаме изцяло софтуерни решения.Гъвкавост – използваните ресурси и функции мрежата могат да се контролират и допълват динамично. Всичко това води до иновации – нови услуги, допълващи комуникационната свързаност.Не на последно място – всички решения са отворени.Какъв е интересът на телеком операторите към виртуализацията? На първо място всеки оператор ще стане имплементатор на собствената си екосистема от интегрирани услуги, като това ще създаде съвсем нови услуги, несъществуващи днес. Несъмнено това ще доведе и до нов модел на разпределяне на приходите -според точната услуга и съдържание , което се използва. Развитието на мрежата – като нарастването на капацитета, или интегриране на нови решения ще става просто като добавяне на нов софтуерен модул.Не на последно място – общата цена ще се намали значително, заради използването на отворени софтуерни и хардуерни решения.