Bên trong Hypervisor, trong mặt phẳng chuyển tiếp dữ liệu của mô hình SDN, thực hiện chuyển tiếp, đóng gói mở gói lưu lượng người dùng bằng VXLAN trước khi gửi ra mạng vật lý, thực hiện chính sách lưu lượng L2-L4 được định nghĩa bởi VSD (Hình 2.4). Một VRS (Virtual Routing and Switching) kết nối tới nhiều VSC khác nhau để dự phòng, cân bằng tải và mỗi VRS thiết lập phiên OpenFlow sử dụng mạng Underlay, thông qua cổng TCP 6633.
- VRS bao gồm hai thành phần chính:
VRS Agent, giao tiếp với VSC bằng OpenFlow. Chịu trách nhiệm lập trình FIB L2/L3 và trả lời tất cả ARP.
Open vSwitch (OVS), cung cấp các thành phần chuyển mạch và định tuyến và đường hầm (tunnel) để chuyển tiếp lưu lượng.
- VRS hỗ trợ một loạt các phương thức đóng gói L2 và L3 (VXLAN, Vlan, MPLSoGRE) để nó có thể giao tiếp với một loạt các điểm cuối mạng bên ngoài (các bộ định tuyến khác, bộ định tuyến dựa trên IP hoặc MPLS).
- Nuage Networks sử dụng các mã nguồn mở, như libvert, OVS và OpenFlow: Virt-Manager: Dành cho GUI
Virsh: Các lệnh (CLI)
- Open vSwitch (OVS) thực hiện kết nối L2 và học địa chỉMAC. OpenFlow được sử dụng để cấu hình vSwitch. Được sử dụng cho Linux Network và là một phần của Linux Kernel.
- Mạng Overlay: Ảo hóa trên cơ sở hạ tầng mạng vật lý. Các máy chủ không biết về lớp phủ. VXLAN: VXLAN dùng 24 bit để đánh số VLAN ID (so với VLAN là 12 bit tạo ra 4096 VLAN ID), cho phép 16 triệu ID người thuê khác nhau.
- Tất cả các VTEP trong mặt phẳng điều khiển VXLAN cần kết nối IP. VTEP vai trò là cổng mặc định cho tất cả các mạng con mà VM được lưu trữ của nó thuộc về. Để thực hiện việc này, VTEP sẽđược chỉ định một địa chỉ MAC và địa chỉ IP trong mỗi mạng con đó.
- BGP EVPN là một họ địa chỉ có thể bao gồm cả địa chỉ IP và MAC cho một end point. Các bảng chuyển tiếp trên mỗi hypervisor chứa thông tin về tất cả các VM trong tất cả các mạng con (mỗi mạng con tương ứng với một thể hiện EVPN khác nhau). Các đường hầm VXLAN tồn tại để tới được các mạng con trên tất cả các hypervisor.
- VRS ở lớp mạng underlay, OVS ở lớp mạng overlay. Tất cả Hypervisor cần giao diện kết nối tới mạng underlay. Cũng có thể gán VTEP tới ToR Switch thay cho một Hypervisor.
- VSG (Virtual Services Gateway) cho phép kết nối giữa miền vật lý và miền ảo hóa. Chuyển tiếp dựa trên VLAN to VxLAN (VxLAN hướng tới lớp overlay mạng Nuage, VLAN tới lớp cơ sở hạ tầng. Có hai phiên bản Nuage (cho vật lý và ảo hóa), một phiên bản cho “White Boxes” [7].
- VSN là node dịch vụ ảo, bao gồm 1 VSC và nhóm các VRS. VSC điều khiển các VRS (các hypervisor). VSN cung cấp cho các nhà điều hành mạng một cái nhìn toàn diện về tất cả thành phần mạng.
2.1.1.4. Chính sách bảo mậtvà chuỗi dịch vụ
- Chính sách bảo mật được định nghĩaở Domain, chuyển tới các Zone, Subnet (Hình 2.5).
Hình 2.5 –Cơ chế làm việc chính sách bảo mật
- Ví dụ: INGRESS là cổng mà lưu lượng đi vào OVS, EGRESS là cổng mà lưu lượng đi ra khỏi OVS.
- Tại thời điểm tạo, một Policy Group Type được gán cho từng chính sách bảo mật: Phần cứng: dành cho máy chủ và cầu nối vPort được lưu trữ trong Nuage VSG / VSA Gateways và phần mềm: VRS và VRS-G lưu trữ vPort, bao gồm VM, máy chủ lưu trữ và cầu nối vPort.
- Tính năng ACL Sandwich cho phép quản trị viên mạng xác định danh sách lưu lượng truy cập. Người dùng cuối sở hữu tên miền sau đó có thể kết hợp các quy tắc ACL thành các ACL được xác định ở cấp thể hiện tên miền.
- Chuỗi dịch vụ VSP cung cấp chính sách chuyển tiếp để kiểm soát việc chuyển hướng các gói, là chuỗi dịch vụ. Nuage hỗ trợ thiết bị/cụm thiết bị ảo L4-7 vật lý và ảo làm đích chuyển hướng và nó cung cấp tùy chọn tạo chính sách chuyển hướng nâng cao, cung cấp tùy chọn chuyển hướng lưu lượng truy cập đến một cổng TCP/UDP nhất định.
2.1.2. Giải pháp SDN của Juniper - Contrail
Juniper Network Contrail là một giải pháp SDN mã nguồn mở tự động điều phối, tạo các mạng ảo có khả năng mở rộng lớn. Các mạng ảo giúp chúng ta có khả năng khai thác đám mây cho các ứng dụng và dịch vụ mạng. Contrail là một mô hình giải pháp mạng mã nguồn mở có thể tích hợp với các router và switch vật lý giúp giải quyết các vấn đề khó khăn của mạng Private và Public cloud [8].
Contrail có thể làm việc với các thiết bị mạng vật lý bên trong mạng truyền thống giúp giải quyết các vấn đề của mạng một cách tự động. Với kiến trúc của Contrail có thể giúp giảm chi phí đầu tư ban đầu. Tất cả các chức năng mạng như switching, routing,
load balancing được chuyển từ các phần cứng vật lý trở thành các phần mềm chạy trên nền hypervisor kernel được quản lý bởi hệ thống điều phối trung tâm. Nó cho phép hệ thống giảm chi phí đầu tư hạ tầng chuyển mạch vật lý khi mở rộng. Các phần cứng chuyển mạch không có thông tin trạng thái của máy ảo, khách hàng, ứng dụng mà chỉ tham gia vào việc định tuyến lưu lượng từ một máy chủ sang máy chủ khác. Hệ thống contrail sẽ giải quyết vấn đề một cách linh hoạt, cho phép tự động hóa dịch vụ mạng và tích hợp với các hệ thống điều phối đám mây như OpenStack và CloudStack bằng Rest API.
2.1.2.1. Kiến trúc Contrail
Hệ thống Contrail gồm 2 phần: Contrail SDN controller và những Contrail vRouter đóng vai trò là các thiết bị chuyển mạch mềm được triển khai trên hypervisor của các máy chủ ảo đa chức năng. Contrail SDN Controller cung cấp giao diện northbound REST API được sử dụng cho lớp ứng dụng để mở rộng hệ thống điều phối đám mây.Được sử dụng bởi Openstack thông qua Neutron, OSS/BSS hoặc GUI (Hình 2.6).
Hệ thống Contrail cung cấp 3 giao diện interface. Northbound REST API được sử dụng giao tiếp giữa hệ thống điều phối và các ứng dụng. Southbound interface được sử dụng để truyền thông giữa các phần tử mạng ảo như Contrail vRouter hoặc các phần tử mạng vật lý như gateway router và switch. East-West interface được sử dụng để kết nối với các Controller khác. East-West interface là chuẩn BGP. XMPP là southbound
interface cho Contrail vRouter. BGP và NETCONF là southbound interface của gateway router và switch.
2.1.2.2. Contrail SDN controller
Contrail SDN controller bao gồm 3 thành phần chính (Hình 2.7). (adsbygoogle = window.adsbygoogle || []).push({});
Analytics node chịu trách nhiệm thu thập dữ liệu từ các phần tử mạng và mô tả chúng vào một form thích hợp để lớp ứng dụng có thể sử dụng. Analytics node giao tiếp với các ứng dụng sử dụng giao diện phía bắc REST API, với các analytics node khác sử dụng các kỹ thuật đồng bộ, với các phần tử khác trong control và configuration node bằng XML (Hình 2.8).
Chức năng Analytics node:
o Trao đổi bản tin Sandesh (Sandesh là một giao thức dựa trên XML-based để báo cáo thông tin phân tích) với các thành phần trong control node và configuration node thu thập thông tin phân tích.
o NoSQL database lưu trữ thông tin đó.
o Các quy tắc tự động thu thập trạng thái hoạt động khi xảy ra các sự kiện cụ thể.
Configuration node chịu trách nhiệm biên dịch mô hình dữ liệu mức cao thành mức thấp hơn phù hợp đểtương tác với các phần tử mạng. Configuration node giao tiếp với hệ thống điều phối thông qua giao diện REST. Với các Configuration node khác bằng kỹ thuật đồng bộ phân phối. Và với control node thông qua IF-MAP (Hình 2.9).
Hình 2.9 - Configuration Node Hình 2.8 - Analytics Node
Configuration node cung cấp dịch vụ Discovery cho khách hàng sử dụng có thể định vị các nhà cung cấp dịch vụ. Ví dụ khi vRouter agent trong compute node kết nối với một control node. Nó sử dụng dịch vụ Discovery để khám phá địa chỉ IP của các control node. Máy khách có thể dử dụng để cấu hình cục bộ DHCP hoặc SDN để xác định vị trí của service discovery server.
Configuration node bao gồm các thành phần:
o REST API server.
o Một bus bản tin Redis.
o Cassandra database.
o Schema transformer.
o Server IF-MAP.
o Zookeeper.
Control node chịu trách nhiệm truyền đạt các dữ liệu trạng thái mức thấp đó tới các phần tử mạng và kết nối với các hệ thống khác một cách nhất quán.
Control node giao tiếp với nhiều node khác nhau (Hình 2.10):
Hình 2.10 – Control Node
o Nhận trạng thái cấu hình từ configuration node sử dụng giao thức if-map
o Trao đổi định tuyến với các control node khác bằng giao thức iBGP
o Trao đổi định tuyến với các vRouter agent trong compute node bằng giao thức XMPP
o Trao đổi định tuyến với gateway node sử dụng BGP và cũng có thể gửi trạng thái cấu hình sử dụng NETCONF
2.1.2.3. Contrail vRouter
Ngoài 3 thành phần chính trình bày ở trên, Contrail SDN controller còn bao gồm 3 phần tử quan trọng khác, đó là:Computer Node, Gateway node và Service node:
Compute node là các server ảo hóa lưu trữ các VM. Các VM này có thể sử dụng để cho thuê chạy các ứng dụng hoặc có thể là các máy ảo dịch vụ chạy các dịch vụ mạng như Load Balancer, virtual firewall. Mỗi Compute node chứa một Contrail vRouter thực hiện việc chuyển tiếp và phân phối một phần của lớp điều khiển.
Contrail vRouterlà các phần tử mạng được triển khai bằng phần mềm. Nó chịu trách nhiệm chuyển tiếp các gói tin từ một VM tới các VM khác thông qua đường kết nối giữa các server. Bản chất Contrail vRouter là một server x86 chứa các máy ảo. Các VM này được chạy các ứng dụng cá nhân như Web server, database server, các ứng dụng doanh nghiệp hoặc các dịch vụ ảo để tạo chuỗi dịch vụ. Contrail vRouter bao gồm vRouter forwarding plane(mặt phẳng chuyển tiếp) nằm trên Linux kernel, và
vRouter agentlà Local forwarding plane (mặt phẳng điểu khiển cục bộ). Hai khối trong Compute node tạo lên Contrail vRouter là vRouter agent và vRouter forwarding plane (Hình 2.11)
Hình 2.11 – Computer Node
vRouter agent thực hiện các chức năng:
o Trao đổi trạng thái điều khiển như định tuyến với control node sử dụng XMPP. (adsbygoogle = window.adsbygoogle || []).push({});
o Nhận các trạng thái cấu hình cấp thấp như trường hợp định tuyến và nhận chính sách chuyển tiếp từ control node qua giao thức XMPP
o Báo cáo các phân tích trạng thái như logs, statics, các sự kiện tới analytics nodes.
o Thiết lập trạng thái chuyển tiếp vào lớp chuyển tiếp.
o Phát hiện sự tồn tại và thuộc tính của các máy ảo khi kết hợp với Nova agent.
o Mỗi vRouter agent kết nối với ít nhất 2 control node để dự phòng. vRouter forwarding plane thực hiện các chức năng:
o Đóng gói mở gói tin được gửi đi hoặc nhận từ overlay network
o Các gói tin nhận được từ overlay network được chỉ định tới 1 trường hợp định tuyến trên cơ sở nhãn MPLS hoặc VNI-virtual network identifier.
o Là giao diện ảo cho các máy ảo nhảy tới các trường hợp định tuyến.
o Nó thực hiện tìm kiếm địa chỉ đích trong cơ sở dữ liệu chuyển tiếp (FIB) tương tự như các bảng chuyển tiếp để chuyển tiếp gói tin đúng tới đích. Việc định tuyến có thể thực hiện ở Layer 3 IP hoặc Layer 2 MAC.
o Các chính sách chuyển tiếp có thể được ứng dụng cho các flow table.
o Match các gói tin với flow table và ứng dụng các flow action.
o Gửi các gói tin không match với flow table tới vRouter agent để cài đặt rule mới vào flow table.
o Gửi các gói tin như DHCP, ARP, MDNS tới vRouter agent để proxying
o Mặt phẳng chuyển tiếp hỗ trợ MPLS dưới GRE/UDP và đóng gói VXLAN ở Overlay. Mặt phẳng chuyển tiếp hỗ trợ cả chuyển tiếp layer 3 và layer 2. Hiện tại mặt phẳng chuyển tiếp vRouter hỗ trợ Ipv4 và có thể hỗ trợ Ipv6 trong tương lai. Gateway node là các gateway router hoặc switch vật lý kết nối các máy ảo hoặc mạng ảo tới mạng vật lý như internet, VPN cá nhân, các data center khác hoặc các server không phải ảo hóa.
Service node là các thành phần mạng vật lý cung cấp các dịch vụ mạng như DPI, IDP, IPS, tối ưu WAN và cân bằng tải. Chuỗi dịch vụ có thể bao gồm nhiều dịch vụảo như triển khai VM trong compute node và dịch vụ vật lý như lưu trữ trên các node dịch vụ.
2.1.2.4. Các giao thức quản lý và điều khiển
Giao thức IF-MAP
IF-MAP: giao diện truy cập Metadata là một giao thức giữa máy chủ và máy khách tiêu chuẩn mở được phát triển bởi Trusted Computing Group (TCG) là một trong những giao thức cốt lõi của kiến trúc kết nối mạng mở đáng tin cậy.
IF-MAP cung cấp giao diện giữa Metadata Access Point (MAPs), một database server đóng vai trò trao đổi thông tin về các sự kiện bảo mật, thiết bị bảo mật và các thành phần khác của kiến trúc kết nối mạng đáng tin cậy.
IF-MAP cung cấp các kỹ thuật mở rộng đểđịnh nghĩa mô hình dữ liệu. Định nghĩa giao thức để công bố, mô tả, tìm kiếm trong nơi lưu trữ dữ liệu.
Contrail sử dụng IF-MAP để phân phối thông tin cấu hình từ Configuration node tới Control node.
Giao thức XMPP
Là một giao thức truyền thông cho bản tin định hướng trung gian dựa trên XML. XMPP ban đầu được đặt tên là Jabber được sử dụng để nhắn tin tức thì, hiện diện thông tin, và bảo trì danh sách liên lạc.
Contrail sử dụng XMPP làm bus thông tin giữa các compute node và control node đểtrao đổi thông tin bao gồm routes, configuration, operational state, statistics, logs và các sự kiện.
Contrail sử dụng BGP (RFC 4271) để trao đổi thông tin định tuyến giữa các control node. BGP cũng có thểđược sử dụng đểtrao đổi thông tin định tuyến giữa control node và gateway node.
Giao thức Sandesh
Sandesh là một giao thức dựa trên XML để báo cáo thông tin phân tích. Các thành phần của mọi node đều kết nối với analytics node và trao đổi thông tin thông qua bản tin Sandesh.
2.1.3. So sánh giải pháp giữa Nuage Nokia và Contrail Juniper
Đánh giá kết quả nghiên cứu, thử nghiệm giải pháp SDN cho Telco Cloud Data Center của 2 nhà cung cấp Juniper (Contrail) và Nokia (Nuage) có thể đưa ra một số nhận định và lợi ích nổi bật, cụ thể như sau:
- Với việc sử dụng công nghệ VXLAN giúp số lượng VLAN ID tăng lên 16 triệu, kết quả này giải quyết vấn đề nhu cầu tăng trưởng kết nối giữa các Data center trong tương lai. (adsbygoogle = window.adsbygoogle || []).push({});
- Quá trình quy hoạch, cấp phát, thu hồi tài nguyên IP trong DC được thực hiện tự động, dễ dàng tạo các chuỗi dịch vụ, tự động đấu nối liên kết các tài nguyên hạ tầng mạng (Switch, Router, Firewall, Load Balancer…) giúp giảm đánh kể thời gian triển khai, nhanh chóng đưa dịch vụ đến khách hàng.
- Các tác vụ trong quản lý, vận hành hệ thống thực hiện tập trung và được đơn giản hóa giúp giảm yêu cầu về nhân lực vận hành, cũng như giảm chi phí vận hành mạng lưới.
- Một số thiết bị, chức năng mạng nhưSwitch, Router, Firewall, Load balancer… được ảo hóa để có thể triển khai trên White box hoặc máy ảo giúp giảm chi phí đầu tư hạ tầng mạng.
Để làm rõ ưu/nhược điểm của từng giải pháp, ta đưa ra bảng so sánh chi tiết trong bảng sau:
Giải pháp Nuage Nokia Contrail Juniper
Đánh giá
- Triển khai end to end trong DC: tốt - Khảnăng cài đặt: tốt
- Khảnăng tùy biến hệ thống: rất tốt - Tốc độ thực hiện: tốt
- Kết quả test case: tốt
- Triển khai end to end trong DC: tốt - Khảnăng cài đặt: tốt
- Khảnăng tùy biến hệ thống: tốt - Tốc độ thực hiện: tốt
- Kết quả test case: chưa hoàn thiện