网络攻防学习笔记 Day145
目前 70%的攻击是发生在应用层,而不是网络层。随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,传统网络防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
SDN 即软件定义网络(Software Defined Networking,SDN),是一种新型的网络技术,它的设计理念是将网络的控制平面与数据转发平面进行分离,并实现可编程化控制。传统络设备紧耦合的网络架构被分拆成应用、控制、转发三层分离的架构。控制功能被转移到了服务器,上层应用、底层转发设施被抽象成多个逻辑实体。SDN 正在逐步替代传统的网络模型,它让网络可以提供更灵活和定制化的服务。
SDN 的三个属性:(1)控制跟转发分离。(2)有开放的编程接口。(3)集中式的控制。
VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)是由 IETF 定义的 NVO3(Network Virtualization Over Layer 3)标准技术之一,采用 L2over L4(MAC-in-UDP)的报文封装模式,将二层报文用三层协议进行封装,可实现二层网络在三层范围内进行扩展,同时满足数据中心大二层虚拟迁移和多租户的需求。NVO3 是基于三层 IP overlay 网络构建虚拟网络的技术的统称,VXLAN 只是 NVO3 技术之一。除此之外,比较有代表性的还有 NVGRE、STT。
VXLAN 是一种将二层报文用三层协议进行封装的技术,可以对二层网络在三层范围进行扩展。它应用于数据中心内部,使虚拟机可以在互相连通的三层网络范围内迁移,而不需要改变 IP 地址和 MAC 地址,保证业务的连续性。
VXLAN 报文
VXLAN 通过在物理网络的边缘设置智能实体 VTEP(VXLAN Tunnel EndPoint),实现了虚拟网络和物理网络的隔离。VTEP 之间建立隧道,在物理网络上传输虚拟网络的数据帧,物理网络不感知虚拟网络。
VTEP:VXLAN 隧道终端,用于多 VXLAN 报文进行封装/解封装,包括 mac 请求报文和正常 VXLAN 数据报文,在一端封装报文后通过隧道向另一端 VTEP 发送封装报文,另一端 VTEP 接收到封装的报文并解封装后根据被封装的 MAC 地址进行转发。VTEP 可由支持 VXLAN 的硬件设备或软件来实现。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/698d00776a87ff0e01fe454b8】。文章转载请联系作者。
评论