Virtualized Network Infrastructure using OpenFlow Giảng viên hướng dẫn: TS Ngô Hồng Sơn Sinh viên thực hiện: Nguyễn Văn Thành Vũ Tuấn Anh Nội dung 4/11/16 4/11/16 Giới thiệu Tại lại ảo hóa? Mô hình mạng ảo hóa Định nghĩa ảo hóa mạng Kiến trúc hạ tầng mạng ảo hóa sử dụng OpenFlow Kết luận BKHN BKHN –– 2011 2011 Giới thiệu  Hạ tầng mạng phức tạp khó quản lý  Quá nhiều nhà cung cấp dịch vụ với mục tiêu sách khác  Xây dựng kiến trúc mạng thay đổi kiến trúc mạng cần đồng thuận tất  Yêu cầu: Đơn giản hóa mạng đảm bảo tính mềm dẻo nhằm đáp ứng thay đổi nhu cầu nghiệp vụ phát triển ⇒Vì vậy: Ảo hóa mạng => giúp đơn giản hóa tự động hóa hạ tầng mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 Thách thức Internet tương lai • • • • • 4/11/16 4/11/16 An toàn Độ linh động Quản lý mạng Độ tin cậy sẵn sàng Khả mở rộng BKHN BKHN –– 2011 2011 An toàn 4/11/16 4/11/16 • • Internet không thực an toàn • Vấn đề • Nguyên nhân Giải pháp o o o o Thêm tính bảo mật, an toàn giao thức Kết hợp nhiều thành phần bảo mật không đảm bảo an toàn cho hệ thống Các chức bảo mật đặt hệ thống cuối không an toàn Được thiết kế dựa hệ điều hành tin cậy BKHN BKHN –– 2011 2011 Tính linh động • • 4/11/16 4/11/16 Yêu cầu o Cần hỗ trợ cho ứng dụng công nghệ di động: độc lập địa lý, phương thức truy cập, thay đổi điểm truy cập… Giải pháp o o Phân cấp định tuyến Sử dụng địa khác • Vấn đề • Nguyên nhân – Phân cấp định tuyến đe dọa tính mở rộng lọc IP – Sử dụng địa IP khác cần thiết kế lại tảng ảnh hưởng hiệu – Định danh dựa theo phân cấp địa để giữ tính mở rộng BKHN BKHN –– 2011 2011 Quản lý mạng • • Độ tin cậy tính sẵn sàng Tính mở rộng – • E.g: hệ định tuyến Nguyên nhân – Thiết kế quản lý phân tán – Thiếu công cụ tính toán hiệu sử dụng tài nguyên 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 Tại ảo hóa mạng • • • • 4/11/16 4/11/16 Internet ngày không xu hướng thay đổi - “ossifications”, không đáp ứng nhu cầu E.g: Triển khai IPv6: o o o IPv6 - giải pháp cho cạn kiệt IPv4 Cần có nguyên giao thức từ tầng mạng: DNS, HTTP, SMTP… trở lên chạy IPv6: TCP6, UDP6… Giao tiếp máy IPv6 IPv4 Trong mạng phát triển mạnh mẽ tốc độ, công nghệ tầng IP, ứng dụng kiến trúc mạng không đổi khó thay đổi => Cần kiến trúc (clean slate) BKHN BKHN –– 2011 2011 Tại ảo hóa mạng (cont’) • • • • 4/11/16 4/11/16 Ảo hóa mạng phương pháp đầy hứa hẹn cho phép thử nghiệm giao thức (giao thức chọn đường, giải pháp thay IP) Ảo hóa mạng không giống với công nghệ VPNs… Mạng ảo non-IPtương lai vận hành mạng Internet Điểm quan trọng: mạng ảo xây dựng theo tiêu chí thiết kế khác vận hành mạng điều chỉnh theo dịch vụ BKHN BKHN –– 2011 2011 Nội dung 4/11/16 4/11/16 Giới thiệu Tại lại ảo hóa? Mô hình mạng ảo hóa Định nghĩa ảo hóa mạng Kiến trúc hạ tầng mạng ảo hóa sử dụng OpenFlow Kết luận BKHN BKHN –– 2011 2011 10 Flow table • 4/11/16 4/11/16 Các gói tin tương tác với flow table nào? BKHN BKHN –– 2011 2011 32 Flow table 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 33 OpenFlow channel • • • 4/11/16 4/11/16 Giao diện cho phép kết nối OpenFlow switch với trình điều khiển Các thông điệp (message) OpenFlow channel phải định dạng phụ thuộc vào giao thức OpenFlow protocol Kênh mã hóa sử dụng TLS, hoạt động trực tiếp giao thức TCP BKHN BKHN –– 2011 2011 34 OpenFlow channel • Thiết lập kết nối: switch phải có khả thiết lập kết nối đến trình điều khiển địa IP khả cấu hình), sử dụng cổng người dùng đặc tả o Nếu switch biết địa IP trình điều khiển, switch khởi tạo kết nối chuẩn TLS TCP tới trình điều khiển o Lưu thông OpenFlow channel không thông qua OpenFlow pipeline, switch phải định danh tất lưu thông qua trước đối chiếu với mục bảng flow table o Khi kết nối OpenFlow khởi tạo, đầu kết nối gửi thông điệp OFPT_HELLO tới đầu với số version số version cao giao thức OpenFlow protocol mà bên gửi hỗ trợ 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 35 OpenFlow channel • • Ngắt bỏ kết nối: trường hợp switch kết nối với trình điều khiển tại, chẳng hạn echo request timeout, TLS session timeout, Nó cố gắng kết nối với hay nhiều trình điều khiển lưu Switch chuyển sang trạng thái “fail secure mode” hay “ fail standalone mode”, phụ thuộc vào cấu hình switch – Fail secure mode: tất gói tin thông điệp chuẩn bị để gửi đến trình điều khiển bị – Fail standalone mode: switch chuyển sang hoạt động switch Ethernet thông thường Xử lí tất gói tin thông qua cổng OFPP_NORMAL 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 36 OpenFlow channel 4/11/16 4/11/16 • • • Mã hóa: switch trình điều khiển kết nối với thông qua kết nối TLS • switch cấu hình người dùng lưu giữ hai chứng chỉ: chứng để xác thực trình điều khiển chứng để xác thực với trình điều khiển Kết nối TLS khởi tạo switch, mặc định dựa TCP cổng 6633 switch trình điều khiển xác thực lẫn việc trao đổi chứng (certificate) kí khóa riêng bên BKHN BKHN –– 2011 2011 37 OpenFlow protocol • kiểu thông điệp ( message): – controller-to-switch: khởi tạo trình điều khiển mang nội dung điều khiển đến switch • • • Cấu hình switch Trao đổi dung lương switch Quản lí bảng flow table – asynchronous: khởi tạo switch dùng để cập nhật kiện mạng, trạng thái switch đến trình điều khiển – symmetric: khởi tạo switch trình điều khiển • • 4/11/16 4/11/16 Gửi theo chiều Dự đoán vấn đề kết nối BKHN BKHN –– 2011 2011 38 Trình điều khiển (controller) • • 4/11/16 4/11/16 Là yếu tố định tạo nên tính thông minh cho mạng khả trình Thực thể tập trung hóa cho toàn mạng OpenFlow BKHN BKHN –– 2011 2011 39 Trình điều khiển – NOX • Hệ điều hành mã nguồn mở cho mạng OpenFlow (Linux: Debian, Red Hat, Gentoo) • Cung cấp platform đơn giản cho phần mềm điều khiển mạng (ngôn ngữ C++, Python) • • Hỗ trợ cho mạng lớn ( hàng trăm switch) mạng nhỏ (một vài host) Cho phép người quản trị theo dõi trạng hoạt động mạng mức 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 40 Trình điều khiển - NOX • Có thể hoạt động PC • Luôn lắng nghe kiện phát sinh từ mạng • Đưa lệnh điều khiển đến switch 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 41 Trình điều khiển - NOX Web apps Webserver Webservice Webserviceclient Topology Discovery Authenticator Routing Monitoring Funtionalities for Network apps and Web apps 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 42 Cài đặt hệ điều hành mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 43 Kết luận • • Công nghệ OpenFlow cho phép xây dựng mạng khả trình linh hoạt Hệ điều hành mạng cung cấp phần mềm cho việc tích hợp tính điều khiển vào hạ tầng mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 44 Tài liệu tham khảo Network Virtualization Architecture: Proposal and Initial Prototype, Gr.Schaffrath et al 2009 4/11/16 4/11/16 NOX: Towards an Operating System for Networks, Natasha Gude et al OpenFlow: Enabling Innovation in Campus Network, Nick McKeown at al 2008 OpenFlow Switch Specification, www.openflow.org 2004 www BKHN BKHN –– 2011 2011 45 CẢM ƠN THẦY VÀ CÁC BẠN ĐÃ CHÚ Ý LẮNG NGHE 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 46 [...]... vụ trong thế giới thực từ pha thử nghiệm trên mạng ảo Xem Internet hiện tại là một phần của tập hợp các mạng Internet ảo BKHN BKHN –– 2011 2011 19 Nội dung 1 2 3 4 5 6 4/11/16 4/11/16 Giới thiệu Tại sao lại ảo hóa? Mô hình mạng ảo hóa Định nghĩa ảo hóa mạng Kiến trúc hạ tầng mạng ảo hóa sử dụng OpenFlow Kết luận BKHN BKHN –– 2011 2011 20 Định nghĩa ảo hóa mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 21... 4/11/16 4/11/16 Giới thiệu Tại sao lại ảo hóa? Mô hình mạng ảo hóa Định nghĩa ảo hóa mạng Hạ tầng mạng ảo hóa sử dụng OpenFlow Kết luận BKHN BKHN –– 2011 2011 22 • • • Ảo hóa hạ tầng và khả năng lập trình được Tạo ra nguyên mẫu nhanh (rapid prototyping) trên hạ tầng ảo OpenFlow Network – • 4/11/16 4/11/16 Có khả năng lập trình Hệ điều hành mạng BKHN BKHN –– 2011 2011 23 Mạng khả trình ( Programmable Network).. .Mô hình ảo hóa mạng • • • • 4/11/16 4/11/16 Mô hình nghiệp vụ Kiến trúc Nguyên lý thiết kế Mục tiêu thiết kế BKHN BKHN –– 2011 2011 11 Mô hình nghiệp vụ  Nhà cung cấp hạ tầng (InPs)  Quản lý hệ thống mạng vật lý  Nhà cung cấp dịch vụ (SPs)  Thiết lập và quản lý mạng ảo  Triển khai các dịch vụ đầu cuối  Người dùng cuối  Mua và sử... BKHN –– 2011 2011 12 Kiến trúc mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 13 Kiến trúc mạng 4/11/16 4/11/16 BKHN BKHN –– 2011 2011 14 Nguyên tắc thiết kế 4/11/16 4/11/16 • Tính đồng thời (Concurrence) • • • Tính đệ quy các mạng ảo o Nhiều mạng tồn tại ảo độc lập Tính kế thừa các thuộc tính về kiến trúc Sự thăm lại các nút ảo (Revisitation) o Đơn giản hóa vận hành và quản lý mạng BKHN BKHN –– 2011 2011... độc lập hoàn toàn giữa các mạng ảo o Trong suốt khi có sự cố, lỗi kỹ thuật và cấu hình sai  Về logic và tài nguyên BKHN BKHN –– 2011 2011 17 Mục tiêu thiết kế • Khả năng lập trình được – Programmability o o • Dễ dàng và hiệu quả mà không dễ bị tấn công với các mối đe dọa Tính độc lập – Heterogeneity o 4/11/16 4/11/16 Của các phần tử hệ thống như router… Giữa các công nghệ mạng: quang, vô tuyến… BKHN...  Kiến trúc mạng bất kỳ Các chức năng định tuyến và chuyển tiếp Điều khiển tùy biến và dữ liệu Không cần kết hợp với nhà cung cấp khác  Sự thất bại IPv6 không thể xảy ra Khả năng quản lý - Manageability o o Trách nghiệm của nhà cung cấp hạ tầng và dịch vụ Quản lý theo modul BKHN BKHN –– 2011 2011 16 Mục tiêu thiết kế • • 4/11/16 4/11/16 Khả năng mở rộng - Scalability o o Tối đa số mạng ảo (VN) cùng... trên hạ tầng ảo OpenFlow Network – • 4/11/16 4/11/16 Có khả năng lập trình Hệ điều hành mạng BKHN BKHN –– 2011 2011 23 Mạng khả trình ( Programmable Network) • • 4/11/16 4/11/16 Hạ tầng mạng được hỗ trợ công nghệ ảo hóa ( khó)  cung cấp open platform Tính tùy biến cao  người dùng tự định nghĩa và phát triển BKHN BKHN –– 2011 2011 24 Lập trình linh hoạt bằng flow • • 4/11/16 4/11/16 “Flow” = kết hợp... channel phải được định dạng phụ thuộc vào giao thức OpenFlow protocol Kênh này được mã hóa sử dụng TLS, nhưng cũng có thể hoạt động trực tiếp trên nền giao thức TCP BKHN BKHN –– 2011 2011 34 OpenFlow channel • Thiết lập kết nối: switch phải có khả năng thiết lập kết nối đến một trình điều khiển tại một địa chỉ IP khả cấu hình) , sử dụng một cổng do người dùng đặc tả o Nếu switch biết địa chỉ IP của trình... request timeout, TLS session timeout, Nó sẽ cố gắng kết nối với một hay nhiều trình điều khiển sao lưu Switch chuyển sang trạng thái “fail secure mode” hay “ fail standalone mode”, phụ thuộc vào cấu hình hiện tại của switch đó – Fail secure mode: tất cả các gói tin và thông điệp đang được chuẩn bị để gửi đến trình điều khiển sẽ bị mất đi – Fail standalone mode: switch chuyển sang hoạt động như một