Academy Network Day Software Defined Network Referent Sven Stein
2 Software Defined Network Theoretische und praktische Mehrwerte Agenda: Klassische Netzwerkarchitektur Software Defined Network Theorie & Praxis Use Cases & Praxistests Fazit
3 Klassische Netzwerke Aufbau und Protokolle Vielzahl von verschiedenen Layer 2 / 3 Protokolle & Technologien (ARP, LACP, STP, SPB, TRILL, OSPF, VRRP, NAT, ) Komplexe und fehleranfällig Konfiguration Verteilt Intelligenz Switch Control-Plane Data-Plane Konfigurationsanpassungen müssen auf jeder Komponenten durchgeführt werden Switch Control-Plane Data-Plane Switch Control-Plane Data-Plane
4 Klassische Netzwerke Fabric Switches werden zu einer logischen Layer 2 Fabric zusammengeschlossen Basiert auf SPB und TRILL Optimale Redundanz und Wegfindung Switch A Switch B Switch C SRV B Switch D Network Functions Virtualization PC A Switch E Netzwerk Komponenten wie Router, Firewalls oder IDS / IPS werden virtualisiert Ziel: geringer Kosten, mehr Flexibilität
5 Software Defined Network Die Intelligenz verlagert sich vom Switch in den Controller und die Applications Application Application Application Ziel von SDN: Flexible, effiziente, robuste Netzwerke Controller Control-Plane geringerer Komplexität und Konfigurationsaufwand reduzierten Kosten Switch Switch Switch Data-Plane Data-Plane Data-Plane
6 SDN Controller Allgemein Virtuell oder Hardware Appliance Verfügbar für verschiedene Betriebssysteme Kommerzielle und OpenSource Produkte OpenSource: NOX/POX, FloodLight, Kommerzielle: Big Switch, NEC, HP, Aufbau Southbound API OpenFlow Northbound API z.b. JSON/REST East and Westbound API? Northbound API Southbound API Application Controller Control-Plane Switch Data-Plane
7 Southbound API OpenFlow Protokoll Kommunikationsprotokoll Entwicklung maßgeblich in Stanford und Berkley Von der Open Networking Foundation standardisiert Aktuelle OpenFlow Version 1.4.0 Traffic definiert durch Flows OpenFlow Protokoll Controller Control-Plane Switch Data-Plane
8 OpenFlow Flow Table & Flow Entry Match Fields Priority Counters Cookies Timeouts Instructions Flow 255 Entry 1 Flow Entry 2 0 Instructions Forward to port Forward to controller Modify packet Drop packet Ingress Port Ethernet VLAN IP TCP/UDP SRC- MAC DST- MAC TYPE ID Prio SRC- IP DST- IP Proto TOS SRC- Port DST- Port Forward to Flow Table (ID)
9 OpenFlow Flow Tables Table 0 SRC-MAC: A SRC-MAC: B DST-MAC: A Table 1 SRC-IP: E SRC-IP: F Table 3 DST-MAC: G SRC-MAC: H Table n Table 2 SRC-Port: K
10 OpenFlow Pipeline Processing Wird nur in eine Richtung durchlaufen, von niedriger zu hoher ID Beginnt immer mit ID 0 Incoming Packet Table 0 Table 1 Table n Outgoing Packet X X
11 OpenFlow Vergleich der OpenFlow Versionen OpenFlow Ver. 0.8.9 OpenFlow Ver. 0.9 OpenFlow Ver. 1.0 OpenFlow Ver. 1.1 OpenFlow Ver. 1.2 OpenFlow Ver. 1.3 OpenFlow Ver. 1.4 Unterstützung von Netmasks Einfacher Failover Mechanismus Match von IP Fields bei ARP Paketen Unterstützung von Multiple Flow Tables IPv6 Support Erweiterung der Table-miss Funktion Flow Monitoring Erweiterbarkei t durch Hersteller Match von VLAN Priority Bits Match von IP ToS Bit Einführung von Groups IPv6 Support weiter ausgebaut Bug Fixes & Erweiterungen Hard-Timeout für Flow Entries MPLS & VLAN Unterstützung QoS Pro Flow möglich Einführung von Virtual Ports Counter Erweiterung
12 OpenFlow - Switch Firmware vs. Modul Switchmode ASIC OpenFlow-hybrid OpenFlow-only Vergrößerung des Layer 3 / 4 Speicherkapazität Optimierung für OpenFlow Prozesse L2 176 KB L3 64 KB L4 16KB Logic, Connections, Interne Architektur für OpenFlow optimiert Herstellerunabhängig Virtuell = Physikalisch
13 Software Defined Network Northbound API / Application Kommunikation über verschiedene APIs NOX/POX (Nicira/VMWare) JSON/REST (Big Switch, FloodLight) NEC (eigene API, sollte Teil von Open DayLight) Eine Application kann den Traffic leiten, filtern, modifizieren und duplizieren Beispiele: DefenseFlow (Security); Big Tap (Monitoring); Avior (Konfiguration) Sehr schnell im Netzwerk verfügbar Orchestration und Rechtemanagement z.b. JSON/REST API Application Controller Control-Plane
14 OpenFlow FlowVisor Zwischen Controller und Switch Controller 1 Controller 2 Controller 3 Ähnlich HyperVisor Mehrere logische Netzwerke über eine Infrastruktur FlowVisor Switch
15 SDN vs. Hersteller I Switch Brocade anfänglich passiv, inzwischen jedoch aktiver, mit NOS 4.1 Support für OF 1.3, aktiver Partner im Open DayLight Project Cisco: sehr aktiv, jedoch mit Fokus auf proprietären Lösung: Cisco one PK OpenFlow Support für wenigen Modellen aktiver Partner im Open DayLight Project
16 SDN vs. Hersteller II Switch Extreme: HP sehr aktiv derzeit nur Support für OF 1.0 OpenFlow Modul frei verfügbar sehr aktiv, OpenFlow Module für eine Vielzahl von Switches, OpenFlow Modul läuft virtualisiert auf den Komponenten, Portfolio umfasst die gesamte Spanne von SDN Produkten (Switch, Controller, Application)
17 SDN vs. Hersteller III Switch Juniper: Quanta: anfänglich passiv, bevorzugt proprietären Ansatz (früher Beta Status) aktuell OpenFlow Support nur für die MX Router Series aktiver Partner im Open DayLight Projekt Aktiv Biete in Kombination mit SwitchLight Firmware eine OpenFlow-only Switch
18 Open DayLight Project Alternative zum OpenFlow Controller Zusammenschluss führender Netzwerkunternehmen (Brocade, Cisco, HP, NEC, Juniper, ) Modularer Aufbau
Kunde A Kunde A Kunde B Kunde B Neue VM - Kunde B Neue VM - Kunde A 10.16.1.10 10.16.1.11 10.16.2.10 10.16.2.11 10.16.2.12 10.16.1.12 Academy Network Day Software Defined Network 19 Use Case DataCenter Hinzufügen von neuen virtuellen Maschinen Verschieben von virtuellen Maschinen in Abhängigkeit der Host-Auslastung Controller vswitch 1 vswitch 2 Switch 3 Ingress SRC- DST- TYPE VLAN Prio SRC-IP DST- Proto TOS SRC- DST- Action Int. MAC MAC ID IP Port Port any any any any any any 10.16.1.0/24 any any 1 any any SW 4: Int 37 any any any any any any 10.16.2.0/24 any any 3 any any SW 5: Int 24
20 Use Case Service Chain Application Aufbau eine Service Chain, durch Filterung auf Layer 2 4 Headerinformationen und entsprechendes Routing Controller Zone: LAN 192.168.10.0/24 Switch Zone: WAN 0.0.0.0/0 FTP HTTP Mail AV IPS 1 IPS 2 Anti- Spam
21 Use Case Troubleshooting Mirror-Port vs. SDN Klassisches Netzwerk Software Defined Network SRV B Switch 3 Switch 3 SRV B Switch 2 Probe Probe Switch 2 PC A Switch 1 Switch 1 PC A
22 Use Case Monitoring (NPB) Tap-Punkte Filtern, aggregieren und duplizieren anhand von Layer 2-4 Informationen NPB Gigamon, VSS Tap-Punkte Switch Switch Probe 1 Probe 2 Probe 3
23 Praxistests Netzwerk & Security Aufbau eine Layer 3 Umgebung Nicht möglich, da Routingfunktion noch fehlerhaft Aufbau eine Service Chain mit FW, IDS/IPS und AV Bug in Firmware und Controller, daher kein Filtern auf Layer 4 Informationen möglich Monitoring & Analyse Ersatz für traditionelle NPBs Bug in Firmware und Controller, daher kein Filtern auf Layer 4 Informationen möglich, Layer 2 & 3 Filterung fehlerfrei Kombination aus SDN und NPB Problemlos möglich
24 Produktiv Google Interner Backbone zu 100% SDN Komponenten Eigenentwicklungen
25 Fazit Enorm viel Potential, gerade im Bereich Application Entwicklung hat erst gerade begonnen Vieles noch unklar Monitoring & Analyse weit fortgeschritten DataCenter & Security Bereich Beta Stadium Kompletter Ersatz für Layer 2/3 Umgebung?
26 What is SDN? A network in which the control plane is physically separate from the forwarding plane and a single control plane controls several forwarding devices. (That s it) It s just an idea and a starting point. (Nick McKeown, Prof. an der Stanford University & Leiter des OpenFlow Projekts )