网络攻防学习笔记 Day50

软件定义网络（Software-Defined Network，SDN），将传统网络中的网络管理控制从网络数据转发层中分离出来，即将控制平面和数据平面分离，用集中统一的软件管理底层硬件，让网络交换设备成为单一的数据转发设备，控制则由逻辑上的集中控制器完成，实现网络管理控制的逻辑中心化和可编程化。

SDN 架构，包含应用层、控制层和数据层三个层次。应用层与控制层之间通过北向接口（应用程序编程接口）进行交互，用户可以通过调用北向接口实现业务操作。控制层与数据转发层之间的南向接口（控制数据平面接口）隔离了底层设备对控制层的可见性，使得控制层能够通过统一接口调用所有底层设备。

SDN 架构具有三个基本特性：①集中控制，②开放的接口，③网络虚拟化。

开放网络基金会 ONF 制定并发布了 SDN 网络中控制层与数据层的南向接口标准 OpenFlow。基于 OpenFlow，控制层与数据层采用开放的统一接口，有利于规范控制器下发流表（Flow Table）和交换机的规则执行。

控制层与数据层之间的南向接口 SBI（Southbound Interface）和应用层与控制层之间的北向接口 NBI（Northbound Interface）实现了应用到控制器再到网络基础设施的无缝集成，在整个 SDN 体系中占据重要地位。

网络功能虚拟化（Network FunctionVirtualization,NFV）NFV 架构包括三部分，虚拟网络功能、NFV 基础设施和 NFV 管理与编排。

SDN 和 NFV 高度互补，但又不相互依赖。NFV 可以为 SDN 软件提供其运行所需的基础设施，而 NFV 则可以利用 SDN 提出的控制和数据分离的思想，进一步提升其部署服务的性能并简化互操作性，从而减轻运维的负担。

在数据层中，通常将支持 OpenFlow 协议的交换机称为“OpenFlow 交换机”或“OF 交换机”。OpenFlow 交换机进行数据转发的依据是流表（Flow Table）。流表是 OpenFlow 对网络设备的数据转发功能的一种抽象。

OpenFlow 流表的每个流表项都由 3 部分组成：用于数据包匹配的包头域（HeaderFields），用于统计匹配数据包个数的计数器（Counters），用于指示对匹配的数据包如何处理的操作（Actions）。

OpenFlow 交换机的每个流表项可以对应有零至多个操作（如果有多个操作，则操作可以有优先级），如果没有定义转发操作，那么与流表项包头域匹配的数据包将被默认丢弃。必备操作主要有：转发（Forward）、丢弃（Drop），可选操作主要有：排队（Enqueue）、修改域（Modify Field）。