#SDN閒談
今天來簡單跟大家科普聊聊所謂的 SDN(Software-Defined Networks) 軟體定義網路的簡單概念,到底其代表什麼,以及在什麼情況下我們需要去理或使用它
SDN 一詞的發展最早可以追朔到 2008 年由 Nick 教授所發表的論文,該論文中設計了一種嶄新的網路協定,稱為 Openflow, 期望透過 Openflow 這種協定來定義該如何傳輸封包,簡單的說就是「看到什麼樣的內容/標頭,就做什麼事情」。
SDN 的重大核心概念就是透過「軟體」去「定義」你的「網路行為」,系統中會有一個控制器,該控制器透過一種集中化的方式以上帝視角去窺視整個網路拓墣,並基於此架構下去進行網路封包傳輸的設計,譬如「我想要讓符合特定規則的封包可以通過,請幫我設定網路裝置A,B,C,D 來符合我需求」
發展了多個年頭後, Openflow 實際使用上遇到瓶頸,對於純軟體概念來說, OpenFlow 可以使用,但是要將這個精神給套用到硬體交換機上來達到又快速,又彈性的功能時就會遇到挑戰,因此後續又有新的技術誕生,P4(Programming Protocol-Independent Packet Processors),透過這套技術漂亮的解決過往 Openflow 太過制式化的問題。
SDN 的領域中,也有很多的相關開源專案,從常見的 OpenVswitch, ONOS, OpenDaylight 到 Stratum, SONIC 等都從不同面向來搭建出這樣的網路架構
但是,我自己認為 SDN 就是一個精神,你可以談廣義的 SDN,也可以談狹義的 SDN,有些人會認為 2008 以後所談的概念與技術才有資格稱為 SDN,也有人認為只要我能夠用軟體去控制這些封包傳輸,我就是 SDN,譬如我自己寫一套軟體去大量控管多節點的 iptables 來實現多節點的防火牆設計。
這種情況下,說是「軟體定義網路」也通,只是要如何解讀就是每個人信仰的不同罷了,其實沒有必要爭論誰才是正統,
SDN 就如同 DevOps, CI/CD 等概念一樣,都有一個參考的文化與概念,但是並沒有一定的實作方式,結果論來說就是,整個網路架構如何打造,對於開發者,對於維運者如何使用而已。
從我自己的角度出發,去看待這個產業反而最大的一個議題是,要同時找到會寫程式也有網路概念的人真的很難。
過往仰賴廠商解決方案的人,可能非常熟稔各自的操作模式,譬如各式各樣的 CLI 操作介面。
然而當這一切生態系被打破時,任何人都能夠透過撰寫程式來控管,用你習慣的程式語言來控制整個網路功能,譬如決定什麼樣的封包從哪個網孔出去,修改什麼樣標頭內容,又或是要如何解讀這些封包。要同時擁有寫程式以及網路概念就變得非常困難。
這邊的網路並不是單純大家熟悉的 TCP/IP 而已,實際上有非常多的概念與面向,譬如 Segment Routing, BGP/OSPF, VXLAN/GRE/GTP, VLAN/QINQ, MLAG/Bonding,甚至更複雜的 Broadband (OLT, ONU..), Mobile Core (LTE/5G)... 等
如果你對於 SDN 這個概念有興趣,非常推薦由 Open Networking Foundation (開放網路基金會) CTO 與他人一同撰寫的電子書,從系統化的角度帶你認識 SDN 的發展,從過去到未來
https://sdn.systemsapproach.org/index.html
「ospf設定」的推薦目錄:
- 關於ospf設定 在 矽谷牛的耕田筆記 Facebook 的最佳解答
- 關於ospf設定 在 Jan Ho 的網絡世界 Facebook 的最佳解答
- 關於ospf設定 在 Jan Ho 的網絡世界 Facebook 的最讚貼文
- 關於ospf設定 在 Re: [除錯] ospf不穩定,要如何解? - 看板Network 的評價
- 關於ospf設定 在 網路規劃與管理技術:OSPF 繞路設定 - YouTube 的評價
- 關於ospf設定 在 Jan Ho 的網絡世界- 更新了OSPF 教學 的評價
- 關於ospf設定 在 IOS 中OSPF 的"network area" 命令, Wildcard Mask 其實可以是 ... 的評價
- 關於ospf設定 在 使用Ansible對Cumulus Linux設定OSPF路由協定 - Code Gleaner 的評價
ospf設定 在 Jan Ho 的網絡世界 Facebook 的最佳解答
GRE over IPSec ◀️▶️ IPSec over GRE
本文探討 GRE over IPSec 及 IPSec over GRE 兩種技術的差異,兩者雖然相似,但結構和設定方法截然不同。
➡️ GRE over IPSec
第一個方法是 GRE over IPSec,即 IPSec 在最外層(或稱最底層)。意思是先在 R1 與 R2 之間建立 IPSec Tunnel,把裡面的 GRE Tunnel 整個進行加密,Routing Protocol 在 GRE Tunnel 裡面完成 Route 交換,最後 Data 在 GRE Tunnel 裡面傳送。從下圖所見,因整個 GRE Tunnel 被加密,所以裡面的 Routing Protocol 及 Data 都會被加密。
➡️ IPSec over GRE
另一個方法是 IPSec over GRE,即 GRE 在最外層(或稱最底層)。在 R1 與 R2 之間先建立 GRE Tunnel,在 GRE Tunnel 裡面再建 IPSec Tunnel,有趣的是:由於 IPSec 並不支緩 Multicast,因此通常把 Routing Protocol 建在 GRE Tunnel 進行 Route 交換,並無加密,只有 Data 在 IPSec Tunnel 裡面被加密。如堅持把 Routing Protocol 也放在 IPSec Tunnel 中,可以透過設定 Unicast IP Address 建立 Neighbor,但這樣做 Router 就無法自動建立 Neighbor 關係,如果 Router 數量多起來,設定方面肯定比較痛苦。如想了解關於 Unicast 設定,可參考本網關於 OSPF 或 EIGRP 的文章。
詳情請參考以下文章:
https://www.jannet.hk/zh-Hant/post/gre-over-ipsec-vs-ipsec-over-gre/
ospf設定 在 Jan Ho 的網絡世界 Facebook 的最讚貼文
更新了 OSPF 教學,加入了 Summarization 和 優化 OSPF timer 等設定方法。
https://www.jannet.hk/zh-Hant/post/open-shortest-path-first-ospf/
ospf設定 在 Jan Ho 的網絡世界- 更新了OSPF 教學 的推薦與評價
更新了OSPF 教學,加入了Summarization 和優化OSPF timer 等設定方法。 https://www.jannet.hk/zh-Hant/post/open-shortest-path-first-ospf/ ... <看更多>
ospf設定 在 Re: [除錯] ospf不穩定,要如何解? - 看板Network 的推薦與評價
※ 引述《mikevada (vada)》之銘言:
: 總公司和分公司有形成一個vpn lan,分公司有二條專線做流量的分流,和總公司跑ospf(
: 中間經過中華電信機房),
不是很清楚你們公司用的是甚麼架構,是哪一種VPN?中華的MPLS VPN
還是自行建置的DMVPN、IPSECVPN之類
所以就不多提了,但是造成OSPF不穩的因素也可能在這段
因為分公司的數量一多,可能會讓總公司router負荷過高,造成OSPF因為缺乏資源而不穩
可以連總公司router看看是不是所有分行OSPF都有發生同樣問題
釐清問題點可能在總公司或是分公司
: 可是一直以來都有看到介面的log像下面,
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.48 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.75 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.254 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.254 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.52 on GigabitEthernet1/0/1 from 2WAY
: to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.254 on GigabitEthernet1/0/2 from
: FULL to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.254 on GigabitEthernet1/0/2 from
: FULL to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.48 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.254 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.75 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.254 on GigabitEthernet1/0/2 from
: LOADING to FULL, Loading Done
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.254 on GigabitEthernet1/0/2 from
: FULL to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.254 on GigabitEthernet1/0/2 from
: FULL to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.4.254 on GigabitEthernet1/0/1 from
: FULL to DOWN, Neighbor Down: Dead timer expired
: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.254 on GigabitEthernet1/0/1 from
: FULL to DOWN, Neighbor Down: Dead timer ex
: 線路就一直在LOADING to FULL, Loading Done、from FULL to DOWN, Neighbor Down:
: Dead timer expired之間切換,
這裡的IP其實是RID,可能你們公司的OSPF沒有手動設定RID或是用loop介面IP來當RID
所以LAN IP被拿來當作RID了,所以同介面連到看似不同網段的IP是可能的
太久沒用OSPF都忘了XD
同樣的,你也可以從這裡跟總公司的LOG比較一下,是不是這台router的OSPF特別不穩
釐清問題在哪一點
如果只有分公司會這樣,最好先檢查分公司這邊的設備狀況。
: 在正常的狀態下可以看到對外都有從兩路線路學到路由,在異常時從分公司的路由表也會
: 看到其中一路的路由會不見,然後又起來的不
: 穩定情形,請問有可能是什麼問題?已經困擾很久了。
你們公司的網路運作應該有一段時間了,所以應該不太可能會是OSPF架構或設定有
嚴重錯誤,除非最近有修改過設定
sh ip ospf neighbor 看一下Dead time如果常常倒數到0表示封包常常收不到
網路的第二層可能有問題。
得先看看interface設定是否正確,常被忽略的有MTU設定不匹配也會讓OSPF出問題。
sh run int port號看一下相關設定
再來就是網路port是否有掉封包之類的,port或是網路線也可能是問題的原因之一
ping 224.0.0.5 repeat n(次數) 看看封包有沒有順利收送
如果可以的話貼個相關設定檔還有網路架構上來看看應該會比較有幫助
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 60.249.10.16
※ 編輯: deadwood 來自: 60.249.10.16 (12/13 16:59)
※ 編輯: deadwood 來自: 60.249.10.16 (12/13 17:16)
... <看更多>