Áp dụng SDN OpenFlow trong mạng LAN

Một phần của tài liệu Công nghệ mạng điều khiển bằng phần mềm và ứng dụng trong doanh nghiệp (Trang 61 - 66)

5 Triển khai SDN trong mạng IP

5.1 Triển Khai SDN Trong Mạng LAN Của Doanh Nghiệp

5.1.2 Áp dụng SDN OpenFlow trong mạng LAN

Kiến trúc SDN dựa trên Open Flow sẽ đơn giản hóa mạng LAN nội bộ trong khi vẫn đảm bảo được sự linh hoạt đángkể:

- Triển khai dịch vụ và hủy bỏ dịch vụ nhanh chóng mà khơng tác động đến các thành phần mạng khác.

- Cải tiến tính sẵn sàng của dịch vụ bởi vì có nhiều đường có thể được tính tốn trước, tính đáp ứng nhanh khi có thay đổi trong mạng.

- Cách ly lưu lượng về mặt logic ở cả lớp 2 và lớp 3

- Tối ưu việc sử dụng tài nguyên, bởi vì việc quản trị, dịch vụ và ứng dụng được ảo hóa để tối đa hóa trong khi tối thiểu hóa khơng gian và hao tổn điện năng. Open Flow đưa ra mơ hình kiến trúc đa lớp, cung cấp điều khiển ở mứccao hơn. Bằng việc ảo hóa mạng LAN thành những lát mỏng, những chính sách chi tiết (granular) có thể được áp dụng tới từng nhóm Flow riêng ở Controller tập trung. Ví dụ, những chính sách truy nhập có thể được ép buộc cho những phịng ban khác nhau, cho những loại truy nhập khác nhau ( mạng có dây và khơng dây), thậm chí là những người dùng nội bộ và người dùng từ xa. Việc thực hiện những chính sách như vậy được tiến hành đơn giản hơp nhiều đặc biệt là khi nhu cầu di chuyển trong công việc càng tăng.

Dưới đây là một sẽ mơ tả một ví dụ về việc thực hiện cách ly lưu lượng và đơn giản hóa việc quản trị.

Ví dụ trong một mơi trường doanh nghiệp về giáo dục (có thể là trường đại học, trường tư, viện nghiên cứu…). Mạng của một trường đại học thông thường cần phục vụ nhiều “khách hàng” (tenant) gồm khoa, các sinh viên, phương tiện ty tế, thư viện, phòng

62

an ninh, nhà ăn và hiệu sách. Mỗi khách hàng này có thể cần một mơ hình địa chỉ IP riêng có thể chồng lên nhau. Một số khách hàng yêu cầu tuân theo quy chuẩn như PCI

và SOX.

***PCI hay Payment Card Industry Data Security Standard (PCI DSS) là một tập các yêu cầu thiết kế để đảm bảo tồn bộ các cơng ty xử lý, lưu trữ hoặc giao nhận các dữ liệu thẻ tín dụng được duy trì trong mơi trường bảo mật.

*** Sarbanes-Oxley Act (SOX): là bộ luật yêu cầu các cơ quan tổ chức phải xây dựng quy trình điều khiển và thủ tục nội bộ cho báo cáo tài chính giảm thiểu khẳ năng gian lận. Toàn bộ hệ thống mạng và máy chủ cần tuần theo các yêu cầu bảo mật

Điều này yêu cầu mạng của trường đại học cần cách ly lưu lượng giữa nhiều khách hàng và vận hành mạng logic qua một hạ tầng mạng vật lý duy nhất. SDN có thể cho phép những chính sách theo ứng dụng như chỉ cho phép truy nhập đến những tài nguyên mạng nhất định.

Hình 11 mơ tả, một mạng điển hìnhcủa trường đại học với một hạ tầng vật lý duy nhất được chia sẽ giữa nhiều thực thể trong một địa điểm duy nhất.

63

Hình 14: Mơ hình SDN cho doanh nghiệp

Mạng LAN yêu cầu cần phải phân chia mạng về mặt logic, với mỗi phân vùng sẽ có các chính sách riêng. Hiện tại, giải pháp như MPLS hay VRF được sử dụng để tạo ra các vùng mạng tách riêng về logic trên nền của một hạ tầng vật lý chung. Triển khai và quản trị các công nghệ này là tĩnh, tốn kém thời gian, cồng kềnh. SDN/Open Flow làm việc này một cách nhanh chóng chỉ trong vài phút. Những Switch này cũng có thể áp đặt những chính sách linh hoạt để điều khiển và giời hạn các hoạt động tương tác trong những mạng logic.

SDN dựa trên OpenFlow có thể khắc phục giới hạn của mạng LAN hiện tại.

Thông thường, một mạng logic được tạo bằng cách kết hợp một cổng vật lý trên một Switch hoặc một VLAN với một mạng logic, với những giao thức định tuyến và bảng chuyển tiếp riêng. Khi gói tin cần được chuyển tiếp, nó sẽ được kết hợp với mạng logic dựa trên cổng mà nó đến hoặc VLAN ID. Giải pháp này có một vài hạn chế. Một cổng

64

mạng hay một VLAN có thể thuộc chỉ một mạng logic và do đó khơng thể hỗ trợ nhiều Flow trên các mạng logic khác nhau. Thêm nữa, những phương pháp này là phụ thuộc hãng và khơng tương thích với nhau.

Với SDN, Controller có thể xác định mạng logic cho mọi Flow, sau đó tạo đường hầm cho lưu lượng đó đến mạng logic đích. Nó trở nên dễ dàng hơn khi định nghĩa mạng logic và tránh được việc phải tạo các giao thức định tuyến cho mọi router với mỗi mạng logic. Giải pháp này có tính mở rộng cao hơn và linh hoạt hơn VLAN/VRF. Thêm nữa, mạng logic dựa trên SDN có thể dễ dàng được tạo ra, cập nhật, hủy bỏ theo yêu cầu động. Bằng việc lập trình các quy tắc chuyển tiếp lưu lượng qua những thiết bị chuyện tiếp dữ liệu, nó trở nên dễ dàng khi sắp xếp lại dịch vụ và cài đặt chuỗi dịch vụ. Một ưu điểm khách là dễ dàng triển khai những chính sách qua những mạng logic để cho phép dữ liệu đi trong toàn mạng.

Vấn đề Yêu cầu hay khó

khăn thống Giải pháp truyền SDN Giải pháp dùng

Vấn đề ảo hóa/

phân tách mạng những chính sách của Các quy chuẩn và doanh nghiệp yêu cầu một lưu lượng nào đó cần được cách chia tách khỏi những lưu lượng khác trong mạng. Xử dụng VRF/VRF- Lite/MPLS/Virtual LANs (VLANs) để tạo ra nhiều mạng ảo. Chia tách mạng thành các Flow khác nhau tương ứng với mỗi mạng logic. Cải thiện vấn đề bảo mật và thực thi các chính sách Chính sách bảo mật tĩnh khơng thể kiểm sốt được mạng hay người dùng một cách liên tục theo hoàn cảnh. Tăng nguy cơ hiểm họa ở bên trong mạng và từ bên ngồi mạng. Sử dụng ACLs, IDS/IPS, 802.1X, xác thực MAC. Có nhiều cơng cụ để đạt được các chính sách bảo mật mong muốn. Cải thiện vấn đề bảo mật bằng việc thực thi động các luật chi tiết theo từng trường, từng hồn cảnh của người dùng. Nó cũng cho phép các chính sách tách rời khỏi yếu tố vị trí vật lý, điều có ý nghĩa cực kỳ quan

65 trọng với những người dùng thường xuyên di chuyển. Vấn đề di chuyển và mang thiết bị cá nhân đến mơi trường làm việc (BYOD)

Khó khăn khi cung cấp một trải nghiệm nhất quán qua mạng

dây và không dây.

Đồng thời cũng khơng thể đưa ra những chính sách theo hồn cảnh. Tích hợp Controller vào Switch, sử dụng QoS, IEEE 802.1X,access control, VLANs bị giới hạn. Khi sử dụng OpenFlow cho phép Switch và Access Points có thể nhận ra đó là cùng một người dùng hay cùng một thiết bị từ đó thực thực thi cùng một chính sách. Việc này hồn tồn độc lập với mạng truy nhập và cung cấp điều khiển chi tiết (tinh) hơn.

Mạng nhận biết

được ứng dụng dịch vụ có thể yêu cầu Các ứng dụng và tài nguyên từ màng tại một thời điểm nào đó.

Xây dựng chính sách QoS tính , dự đốn và xử lý lưu lượng mạng. Cho phép ứng dụng tương tác trực tiếp với mạng qua

SDN Controller,

tự động thực thi

các chính sách và

Qos thích hợp. Quản trị đơn giản Nhiều thiết bị mạng

với giao diện quản trị riêng và cấu hình tĩnh gây khó khăn cho việc vận hành. Quản trị bằng câu lệnh, giao diện Script, các công cụ quản trị SNMP chỉ hỗ trợ với một nhóm thiết bị. Controller với các công cụ quản trị giúp thiết lập những chính sách và cung cấp một cái nhìn động về tồn mạng, mà khơng cần cấu hình ở từng thiết bị. Tự động áp đặt cấu hình, giảm thời gian triển khai những tính năng, dịch vụ và ứng dụng mới.

66 Video và dịch vụ

cộng tác cung cấp cho nhiều Video trực tuyến thiết bị nhận (kể cả có

dây và khơng dây),

độc lập với thiết bị (

smart

phone/tablet/laptop).

Multicast được sử dụng để giải quyết

bài tốn này. Tuy

nhiên khơng phải lúc nào nó cũng triển khai được. Khi đó cần sử dụng

unicast. Điều này làm tăng lưu lượng mạng không cần thiết và tải cho

server.

SDN controller

xây dựng sơ đồ của mạng, nguồn và đích của một luồng

multicast. SDN có

thể xây dựng một cây multicast tối ưu mà không cần sử dụng các giao thức phức tạp, tối ưu hóa luồng video

theo từng thiết bị nhận.

5.2 Công C Cisco onePK Và ng Dng Trong Doanh Nghip 5.2.1 Gii thiu

Một phần của tài liệu Công nghệ mạng điều khiển bằng phần mềm và ứng dụng trong doanh nghiệp (Trang 61 - 66)

Tải bản đầy đủ (PDF)

(85 trang)