青云SDN网络2.0

青云SDN网络

北京优帆科技有限公司

2014

组网需求

在物理世界中，当我们拥有服务器之后，还需要为这些服务器构建一个或多个局域网，并根据需要选择与互联网的连接。在云计算的世界里，当我们获取到主机（Instance）后，同样需要为这些资源构建网络。

典型的组网需求包括：

n⏹多个主机分布在多个局域网中，这些局域网可以根据需求进行连通或者隔离；

n⏹当前IP 地址资源少且贵，能否为主机分配私有IP，通过网关让这些主机还都能上网；

n⏹在局域网中，主机可以动态获取IP 地址，或者指定一个静态IP 地址；

n⏹部分主机需要访问互联网，部分主机需要被互联网所访问；

n⏹跨过互联网进行不同地域的局域网之间的互联互通。

青云的SDN 网络

青云提供了两种组网方式：基础网络、私有网络（VxNet）。前者是一个由青云系统维护的全局网络，后者是用户各自自行组建的网络。

基础网络的好处是简单、无需用户做任何配置与管理，即可直接使用，但正因为它是全局网络，所以其安全保障是依靠防火墙（Security Group）来实现的。与之相对应，私有网络需要用户创建并管理（为了简化管理，青云提供了路由器来帮助用户），但私有网络之间是100%隔离的，以满足对安全的100%追求。私有网络是通过青云SDN（软件定义网络）技术来实现。

私有网络类似物理世界中使用交换机（L2 Switch）将多台服务器连接在一起，组成的局域网。它有两种管理方式：受管（Managed）、自管（Unmanaged）。路由器用于多个受管私有网络之间互联，并提供三项附加服务：DHCP 服务、端口转发、VPN 隧道服务，涵盖了常用的网络配置与管理工作。如果青云提供的路由器功能无法满足您对网络管理的需求，您可以创建自管私有网络，并自行配置和管理该网络。

私有网络具备以下特点：

1、完全隔离

创建两个或多个私有网络，并把主机分布在不同的私有网络里，那么这些不同私有网络之间是完全隔离的，就如同物理世界中没有连接的孤立的以太网交换机一样，没有任何流量的进出，保障私有网络内主机的安全性。例如：我们创建的主机将分配给财务部和研发部使用，为了保障机密财务数据的安全性，我们可以将财务部主机与研发部主机分别部署在不同私有网络里。

2、简化管理的受管私有网络

当您自己创建私有网络时，您可以选择将该私有网络处于受管状态，即通过青云路由器去管理和配置该私有网络。此外路由器还可以实现的管理功能如下：

n⏹连通互联网

为了让您的私有网络内所有主机轻松实现对互联网的访问，您只需将弹

性公网IP绑定到路由器即可。

n⏹ DHCP服务

可以动态获取私有IP地址，并根据需要将获取的IP地址固化下来。

n⏹端口转发 Port forwarding

当您希望通过互联网能够访问私有网络内某个主机时，典型应用场景

是：您在私有网络内某个主机上做了一个网站，私有网络内主机都是私

有IP地址，怎么才能让互联网上所有人都能访问这个网站呢？您需要激

活Port forwarding功能，把做网站主机的80端口映射到公网IP地址上

的80端口。当互联网上有人访问这个公网IP时，就会把这个请求传送

到这个主机，从而实现对网站的访问。

n⏹隧道服务 Tunnel Services

隧道是在公用网络上建立专用网络的技术，被广泛用作企业办公机构之

间安全的互联，或是个人安全访问企业内部资源的方法。青云提供隧道

服务，涵盖了跨互联网的数据封装、加密和身份验证链接等工作，支持

的协议包括：

PPTP

点对点隧道协议（PPTP）是由包括微软和3Com等公司组成的PPTP 论坛开发的一种点对点隧道协，基于PPP协议使用PAP或CHAP之类的加密算法，或使用微软的点对点加密算法MPPE。其通过跨越基于

TCP/IP的数据网络创建VPN实现了从远程客户端到专用企业服务器之间数据的安全传输。

L2TP

L2TP即第二层隧道协议是IETF基于L2F（Cisco的第二层转发协议）开发的PPTP的后续版本。是一种工业标准互联网隧道协议，其可以为跨越面向数据包的媒体发送点到点协议（PPP）框架提供封装。PPTP 和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。

IPSec

IPSec是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。

Open VPN

OpenVPN是一个用于创建虚拟专用网络加密通道的软件包，最早由

James Yonan编写。OpenVPN允许创建的VPN使用公开密钥、电子证书、或者用户名／密码来进行身份验证。

目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、

NetBSD、Mac OS X与Windows 2000／XP／Vista/Windows 7以及Android上运行，并包含了许多安全性的功能。

n GRE隧道 GRE Tunnel

三层 GRE 隧道

L3 over L3 是 GRE 最常见用法，得到了所有主流网络设备的支持，也得到了各种操作系统的支持。三层 GRE 隧道是一个很灵活的技术，可以用来组建各种网络拓扑，常见的树型、星型、总线型(串型)、环型和混合型均可实现。

如下图所示，假设您在青云中的路由器使用的公网 IP 是 3.3.3.3，您自己数据中心的路由器使用的公网 IP 是 6.6.6.6，这两个路由器背后各连接有两个私有网络，它们将通过 L3 GRE 隧道连接在一起。

二层 GRE 隧道

虽然三层 GRE 隧道用途广泛，但是有些应用场景之下确实需要 L2 over L3，比如大二层的建构、需要广播或多播的场景等。

如上图所示，假设您在青云中的路由器使用的公网 IP 是 3.3.3.3，您自己数据中心的路由器使用的公网 IP 是 6.6.6.6，这两个路由器背后各连接有一些服务器，它们将通过 L2 GRE 隧道连接成一个二层网络。

如此，VxNet可以很好地与客户现有投资（硬件、软件系统）集成在一起，以实现无缝的混合云。