SDN (Yazılım Tanımlı Ağ), her yıl daha popüler hale gelen teknolojilerden biridir. Bazı ağ mühendisleri, tüm ağın gelecekte nasıl programlanacağına dair öyküleri okur ya da duymuşlardır ve şimdi işlerinin C / C ++, Java ya da Python’u bilen programcılar tarafından değiştirileceğinden korkuyorlar. 🙂
SDN nedir, neden popüler oluyor? Bu korkular haklı mı?
Bu soruları cevaplamak için önce “geleneksel” ağa daha yakından bakmalıyız. Geleneksel ağın mevcut “sınırlamalarını” tartışacağız, SDN’nın ne olduğunu ve SDN’ın geleneksel ağın sahip olduğu “problemleri” nasıl çözeceğini açıklayacağım.
Belirli görevler için kullanılan yönlendiriciler, anahtarlar ve güvenlik duvarları gibi belirli ağ aygıtlarımız var.
Bu ağ aygıtları Cisco gibi ağ satıcıları tarafından satılır ve çoğu zaman özel donanım kullanır. Yönlendiriciler için CCP (Cisco Configuration Protocol) ve Cisco ASA güvenlik duvarları için ASDM gibi bazı GUI ürünleri olmasına rağmen, bu aygıtların çoğu öncelikle CLI aracılığıyla yapılandırılır.
Bir ağ aygıtının, örneğin bir yönlendiricinin gerçekleştirmesi gereken farklı işlevleri vardır. Bir IP paketini iletmek için yönlendiricinin yapması gereken bazı şeyler hakkında biraz düşünün:
Bütün bu farklı görevler farklı düzlemlere ayrılır . Üç düzlem vardır:
Bu üç düzlem arasındaki farka bir bakalım…
Kontrol düzlemi, yönlendirme bilgilerinin değiştirilmesi, ARP tablosunun oluşturulması vb. sorumludur. Kontrol düzlemi tarafından gerçekleştirilen bazı görevler şunlardır:
Veri akışı, trafiği iletmekten sorumludur. Kontrol düzleminin sağladığı bilgilere dayanır. Veri düzleminin ilgileneceği bazı görevler şunlardır:
Veri düzleminin görevleri mümkün olduğunca hızlı bir şekilde gerçekleştirilmelidir, bu nedenle trafiğin iletilmesi ASIC’ler ve TCAM tabloları gibi özel donanımlar tarafından gerçekleştirilir.
Yönetim düzlemi ağ cihazlarımızın erişimi ve yönetimi için kullanılır. Örneğin, cihazımıza telnet, SSH veya konsol portu üzerinden erişim.
SDN tartışırken, kontrol ve veri düzlemi akılda tutulması gereken en önemli şeydir. Farklı düzlemleri görselleştirmenize yardımcı olacak kontrol ve veri düzleminin bir çizimi:
Yukarıda OSPF ve EIGRP gibi yönlendirme protokolleri ve bazı statik yönlendirme kullandığımız kontrol düzlemini görebilirsiniz. En iyi rotalar, yönlendirme tablosuna yüklenir. Yönlendiricinin yapması gereken bir başka tablo ARP tablosudur.
Yönlendirme tablosunu oluşturmak için yönlendirme ve ARP tablosundan bilgi kullanılır. Yönlendirici bir IP paketi aldığında, yönlendirme tablosu zaten oluşturulduğundan hızlı bir şekilde iletebilir.
Yukarıda anlattığım her şey, son 30 yıldır işleri yapmamızın yoluydu, bu yüzden geleneksel ağlarda bir yanlışlık yok. Bununla birlikte, günümüzde farklı çözümler isteyen bazı iş zorlukları var.
Bir senaryoya bakalım.
Yukarıda bir şirketin veri merkezinin ağ altyapısını görüyoruz. Altta, bir dizi sanal makineye sahip bir VMware ESXi sunucusu buluyoruz. Bu sunucu, erişim ve toplama katmanlarındaki bazı anahtarlara bağlanır. Ayrıca sunucumuzu ve iki yönlendiriciyi dış dünyaya erişim için koruyan iki ASA’yı da görüyoruz. Üstte, bir ana cihaz ile başka bir yönlendirici var.
Bu şirketin, VMware sunucusuna yüklenecek dört yeni sanal makine gerektiren yeni bir uygulama için bir iş gereksinimine sahip olduğunu varsayalım. Güvenlik nedenleriyle, her sanal makine farklı bir VLAN içinde olmalıdır. R3’ün arkasında H1 isimli bir kullanıcı, bu sanal makinelerde çalışan uygulamaya erişebilmelidir.
Bunu yapmak için ağımızda yapılandırmamız gereken bazı şeyleri düşünelim:
Bize yardımcı olacak ağ otomasyon araçları olmasına rağmen, bu cihazların hepsini tek tek yapılandırmak için genellikle CLI kullanıyoruz. Bu yavaş, elle yapılan bir işlemdir ve bir insan yapmak zorundadır. Yeni bir sanal makineyi devreye almak sadece birkaç dakika sürerken, ağ ekibinin ağı hazırlaması birkaç saat sürebilir. Bunlar gibi değişiklikler de genellikle iş saatleri içinde değil, bakım saatleri sırasında yapılır.
Sunucu sanallaştırması, işletmelerin yukarıda açıklanan süreci hızlandıran bir şey aramasının nedenlerinden biridir. Sanallaştırmadan önce, tek bir işletim sistemine sahip tek bir fiziksel sunucumuz vardı. Günümüzde yüzlerce sanal makineye sahip birden fazla fiziksel sunucumuz var.
Bu sanal makineler otomatik olarak bir fiziksel sunucudan diğerine geçebilir. Bir L3 sınırını geçtiğinde, ağ ekibinin yönlendirme veya erişim listeleri için gerekli değişiklikleri yapmasını beklemek istemezsiniz ki tüm bunlar otomatik olmalıdır.
Günümüzde “trend”, her şeyin sanal olması gerektiğidir. Bunun ağlara da geldiğini görmek garip değil. Sadece tescilli donanım satmak için kullanılan Cisco gibi büyük şirketler artık VMWare sunucularında çalıştırabileceğiniz sanal yönlendiriciler, ASA’lar, kablosuz LAN denetleyicileri vb. üretiyor.
Birkaç yıl öncesine ait “bulut” kelimesi gibi, her kuruluş ya da satıcının, SDN’nın tam olarak ne olduğu ve sundukları farklı ürünler hakkında farklı bir fikri vardır.
Geleneksel ağ , kontrol düzlemi için dağıtılmış bir model kullanır . ARP, STP, OSPF, EIGRP, BGP ve diğer protokoller her ağ cihazında ayrı ayrı çalışır. Bu ağ cihazları birbirleriyle iletişim kurar, ancak genel bakışa sahip veya tüm ağı kontrol eden merkezi bir cihaz yoktur.
Burada bir istisna (kablosuz ağa aşina olanlar için) kablosuz LAN denetleyicileridir (WLC). Kablosuz bir ağ yapılandırdığınızda, WLC’de erişim noktalarını kontrol eden ve yapılandıran her şeyi yapılandırırsınız. Artık her erişim noktasını ayrı ayrı yapılandırmamız gerekmiyor, hepsi WLC tarafından yapılıyor.
SDN ile kontrol düzlemi için merkezi bir kontrolör kullanıyoruz . Tedarikçinin SDN çözümüne bağlı olarak, bu, SDN kontrolörünün kontrol düzlemini% 100’ü devraldığı veya sadece ağdaki tüm ağ cihazlarının kontrol düzleminde bir içgörüye sahip olduğu anlamına gelebilir. SDN denetleyici, fiziksel bir donanım aygıtı veya sanal bir makine olabilir.
Bunu görselleştirmenize yardımcı olacak bir örnek:
Yukarıda kontrol düzleminden sorumlu olan SDN kontrolcüsünü görebilirsiniz. Anahtarlar artık sadece bir veri düzlemi olan, kontrol düzlemi olmayan “aptal” cihazlardır . SDN kontrolörü, bu anahtarların veri düzlemini kontrol düzleminden gelen bilgilerle beslemekten sorumludur .
Dağıtılmış bir merkezi kontrol düzlemine sahip olmanın bazı avantajları ve dezavantajları vardır. Merkezi bir denetleyiciye sahip olmanın avantajlarından biri, tüm ağı tek bir aygıttan yapılandırabilmemizdir. Bu denetleyici, ağımızda olan her şeye tam erişime ve içgörüye sahiptir.
Bu hikayeye biraz daha ayrıntı ekleyelim. SDN kontrolörü iki özel arayüz kullanır, aşağıdaki resme bir göz atın:
Arayüzler kuzey yönlü arayüz- northbound interface ( NBI) ve güney yönlü arayüz-southbound interface (SBI) olarak adlandırılır . İkisini de açıklayalım ;
SDN kontrolörü, veri düzlemini programlamak için ağ cihazlarımızla iletişim kurmalıdır. Bu güney yönlü arayüz üzerinden yapılır. Bu fiziksel bir arayüz değil, bir yazılım arayüzü, genellikle bir API (Application Programming Interface-Uygulama Programlama Arabirimi) dir.
Bir API, önceden tanımlanmış işlevler ve veri yapıları kullanarak bir uygulamanın diğer uygulamalara erişimini sağlayan bir yazılım arabirimidir.
Bazı popüler güney yönlü arayüzler:
Northbound arayüzü, SDN kontrol ünitesine erişmek için kullanılır. Bu, bir ağ yöneticisinin onu yapılandırmak veya ondan bilgi almak için SDN’ya erişmesine izin verir. Bu bir GUI aracılığıyla yapılabilir, ancak aynı zamanda diğer uygulamaların SDN denetleyicisine erişmesine izin veren bir API sunar. Bunu komut dosyaları yazmak ve ağ yönetiminizi otomatikleştirmek için kullanabilirsiniz. İşte bazı örnekler:
Bunu görselleştirmenize yardımcı olacak bir örnek:
API aracılığıyla, çok sayıda uygulama SDN denetleyicisine erişebilir:
Birkaç kez, kuzey ve güneye bakan arayüzlerin API kullandığını belirttim. Bir API’nın ne olduğuna daha yakından bakalım. SDN denetleyicileri genellikle bir REST API’sini (Representational State Transfer-Temsili Durum Transferi) kullanır .
REST API, SDN denetleyicisi ve başka bir uygulama arasında bilgi göndermek ve almak için HTTP mesajlarını kullanır. İnternette bir web sayfasına göz atarken veya çevrimiçi bir iletişim formu girdiğinizde kullandığınız HTTP mesajlarını kullanır:
Bir web sayfasına göz atmakla benzerdir, sadece bu sefer bir web sayfası veya resim istemiyorsunuz, ancak SDN denetleyicisinden belirli bir nesne, örneğin, ağdaki tüm VLAN’ları içeren bir liste istiyorsunuz.
SDN denetleyicisi, HTTP GET isteğini aldığında, talep edilen bilgilerle bir HTTP GET yanıtı ile yanıt verecektir. Bu bilgi ortak bir veri formatında teslim edilir. En çok kullanılan iki veri formatı:
Bunu görselleştirmenize yardımcı olacak bir örnek:
Yukarıda, aşağıdaki URL’yi API aracılığıyla almak için HTTP GET kullanan bir python betiğimiz var:
https://192.168.1.1:8443/sdn/v2.0/net/nodes
Bu URL, ağdaki tüm düğümler (ana makineler) hakkındaki bilgiler gibi bazı değişkenleri alacaktır.
API bunu aldıktan sonra, bir HTTP GET yanıt mesajı ile yanıt verir:
İstenen değişkenler JSON formatında sağlanacaktır ve işte böyle görünüyor:
{
"nodes": [
{
"ip": "172.16.1.1",
"mac": "fa16.3e5d.f1f4",
"vid": 0,
"dpid": "00:00:00:00:00:00:00:03",
"port": 1
}, {
"ip": "172.16.1.2",
"mac": "fa16.3e5d.f1f5",
"vid": 0,
"dpid": "00:00:00:00:00:00:00:03",
"port": 2
}
]
}
Daha önce hiç JSON görmemiş olsanız bile, yukarıdaki çıktının okunması kolaydır. Bu ağda iki düğümün bulunduğunu söylüyor ve IP adreslerini ve MAC adreslerini gösteriyor.
Networklesson sitesinden uyarlanıp çevrilmiştir.