当SSO邂逅SDN

作者: M.S-Group.皮皮熊,M.S-Group组织主要成员之一,数通行业老兵,精通传统数通网络技术,SDN/NFV新技术的狂热拥护者!

一、SDN在企业网也大有作为

1.1 SDN特点之控制和转发分离

1.1.1控制和转发分离

SDN(Software Defined Network)网络,区别于传统网络,最大的特点就是控制和转发分离。如下图所示:

SDN网络由三层组成:

  • 基础设施层
    该层主要是承担数据转发功能。设备组成由传统的数通设备和新型的SDN网络设备。
    SDN网络设备,包括SDN交换机、SDN网关、SDN路由器以及各种NFV的交换机等。实际上,在SDN网络中,交换机和路由器,逐步没有本质的区别。因为SDN网络设备,都接受SDN控制器的指令,按照下发的流转发规则进行数据报文处理转发。在这里强调的SDN路由器和SDN交换机,主要区别指使用纯SDN交换芯片进行转发的为SDN交换机;使用CPU模拟转发,同时提供三层路由、传统路由器特有功能如PPPoE、NAT等功能的为SDN路由器;
  • 控制层
    主要是网络转发的控制管理面,主要组成部分是SDN控制器。
    SDN控制器是整个网络的大脑,控制中心,主要功能是按照配置的逻辑,产生对应的数据平面的流转发规则,通过下发给SDN网络设备,控制其进行数据转发;为了保证网络平滑演进,传统设备使用NetConf等协议进行控制下发。
  • 应用层
    应用层,指的的网络应用。通过SDN控制器提供的北向接口,如REST接口,实现应用和网络的联动,打动SDN软件定义网络的事实效果。

1.1.2 企业网络受益

A.集中控制
使用SDN网络,整个网络的控制管理,统一在SDN 控制器进行,这样可以实现集中的控制管理,尤其对于具备企业分支网络,各分支VPN接入公司总部,使用统一的内部服务的企业网络,可以极大简化企业IT运维人员网络管理负担,同时减少分支网络运维人员的投入。

B.统一调度
集中控制的前提下,对于整网的业务策略,如业务QOS策略、用户角色管理、带宽测量等,可以统一进行配置和管理,实现整网的统一调度。区别于传统网络,在各层、各网络设备分别配置管理的方式,集中管理、统一调度大大可以提高企业运维效率。

1.2 SDN特点之流转发

1.2.1流表和流转发

SDN网络设备,是根据SDN控制器下发的流量转发规格进行报文转发。流量规则如上图所示,其基本原理是匹配报文和流规则中对应信息(匹配域),若匹配,则根据对应流规则中的指令(输出、丢弃、入队、添加/去除标签等)进行对应的报文处理;整个数据包从入口,根据各级表项匹配动作,直到按指令输出到端口。

1.2.2 企业网络受益
C. 业务识别、全局可视
SDN网络的转发控制统一由控制器进行管理,所有会话转发的首包都会经由SDN网络设备,通过PacketIn报文发送到控制器(如图二的②所示),触发控制器根据对应的配置规则(路由规则、策略规则等)产生对应的流量转发表下发到SDN网络设备,用于后续(同一条流)的报文转发。因此,SDN网络结合DPI(数据报文识别)应用,可以做到整网的业务流量的识别,并在控制器统一可视。

D. 精致控制、智能调度
流规则如上图流表所示,OpenFlow协议定义的流表项目前(已实现的)多达20项,较传统数通设备五元组能更加精致的识别业务流量特征,从而进一步通过控制器统一的调度策略,进行集中控制,做到智能调度。

1.3 SDN特点之网络设备白牌化

1.3.1网络设备白牌化

SDN和NFV的结合,目的是推进所有网络设备通用化、平台化,最终效果是不同的网络功能软体,可以运行在通用的x86平台的服务器上,各种网络设备硬件平台白牌化,不同厂家的软件都可以安装运行。这样一方面,可以打破传统数通设备厂家的垄断;另外一方面,各业务厂家也可以集中精力聚焦到自己强项的数通相关模块功能开发,如安全、策略、QOS、WAN加速等,而避免大量的基础模块、平台,如路由、转发等的开发投入,类似当前的PC市场,分化为:数通白牌设备生产厂家、数通设备OS厂家、数通软件厂家集中类型,大家在开放的、统一标准的接口下,各自分工,完成数通各类设备的联合开发,真正的实现CT和IT的融合。

1.3.2 企业网络受益

E.平滑扩展弹性扩容
企业网络部署需要的:
1)功能组件,如防火墙、三层交换设备、行为控制设备等,可以视情况逐步扩展,所有功能类似不同的APP,在需要时选择扩展安装即可,可以逐步部署、平滑扩展。
2)设备容量,如转发设备支持1Gbp到10Gbps的能力扩展、防火墙支持并发流量的能力扩展、行为控制设备支持的最大用户数的能力扩展等,可以根据企业员工规模,弹性扩容,容量只受限于平台设备的硬件能力或部署虚拟机的硬件资源占用分配等,类似云技术的弹性拓展,可以做到快速逐步扩容,而不需要类似传统的网络建设,一开始根据预期发展规模,即需要购置比较昂贵的、高性能的数通设备,大大减少初期构建成本。

F.网络设备投资保障
所有网络设备白牌化、x86平台化,因此不同的数通设备,使用的硬件平台,唯一的差别就是硬件处理能力和接口密度的区别,因此所有网络设备的硬件平台极大的通用,网络扩容也只是增加类似服务器群、服务阵列等,硬件设备的统一,既减少购置成本,又极大的保证了设备的维护管理通用性,保证了企业设备的投资有效性。

二、当SSO邂逅SDN

2.1 SSO方案简介

SSO(Single Sign On,单点登录),是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。在信息安全管理中,访问控制(Access Controls)环绕四个过程:Identification;Authentication;Authorization;Accountability。单点登录(Single Sign On)属于Authentication认证系统。

SSO系统的技术原理如下图所示:

首次登录系统:
①:用户第一次访问应用系统(邮箱)
②:用户未登录,引导到应用统一身份认证管理系统认证
③:SSO系统向用户推送统一认证的界面
④:用户输入用户名、密码认证
⑤:认证通过,SSO系统通知(邮箱)应用,认证通过
⑥:(邮箱)应用推送正常的业务页面。

当客户接下来访问,SSO认证系统的其它应用服务,如OA服务时:
A: 用户登录OA
B: OA系统同SSO进行用户认证
C: OA直接返回用户已认证
D: OA直接返回用户OA的正常业务界面
从用户角度,用户登录多业务系统,只输入了一次用户名密码,不需要重复多次输入不同业务系统的账号信息,达到单点认证的基本效果。

2.2 SSO和SDN的完美结合

如下图,在企业网络中,通过在企业边界网络和服务网络边界将传统网络设备切换为SDN网络设备,通过overlay方式部署SDN方案。并通过SDN控制器和SSO统一身份认证管理系统的访问接口对接,实现在企业网络中SSO和SDN方案的结合组网。

图四 企业内部SSO和SDN联合组网图

图中所示两部分业务流程:

  • 流程A,企业员工访问互联网服务流程
  • 流程B,企业员工访问企业内部网络服务流程

2.3 组合方案产生的神奇效果

2.3.1 认证范围外延极大扩展

如图四企业员工访问互联网服务流程。其基本的数据流步骤为:

  • A1,企业员工发起对互联网的访问。
  • A2,SDN Gateway,接收到对应数据流,通过Packet In(OpenFlow协议)报文,向SDN控制器进行申请流量处理规则,进行访问外网的流量认证。
  • A3,SDN控制器,通过和SSO管理系统,进行用户权限认证。用户可以通过设备MAC/IP跟对应用户进行静态配置绑定关联,也可以有SSO认证系统,通过动态的用户登录信息,将用户和用户当前使用的设备的MAC/IP绑定。
  • A4,SSO认证管理服务器,进行认证权限的返回。认证权限包括:是否允许访问、访问的网络带宽占用能力如何等。
  • A5,SDN控制器,根据SSO的授权,进行对应流量规则的建立,并下发给SDN Gateway,进行对应的流量控制。下放的广义权限包括:通断、流量优先级、流量带宽占用等。
  • A6,SDN Gateway依据流表规则,进行对应的流量转发和QOS控制管理等。

由上可以看出,通过这种组合组网,SSO对于用户的认证管理,从传统的认证登录业务系统的能力,进行了范围外延扩展:

  • 认证用户对于互联网的访问权限
  • 认证用户对于互联网不同服务的访问权限(如访问淘宝、访问社交媒体、访问论坛等的鉴权认证及根据用户角色的区别管理等)
  • 推而广之,通过该种方案,对于企业WIFI用户接入访问的集中控制等、企业拜访客户(Guest)接入的访问控制等,都可以做到集中认证。

2.3.2 对IT资源的综合授权

如2.3.1的认证机制,在其基础上的授权,也做到了扩展。可以对企业IT资源(包括网络带宽、网络传输优先级、企业服务资源(流量、会话、CPU/内存占用)等进行综合授权。

如上述例子,在互联网访问鉴权基础上,可以对用户访问出口,占用带宽能力、占用带宽的业务流量优先级进行集中授权控制,这样保证网络的更加有效调度,保证关键业务、关键客户的流量顺利传输,使网络更加有序、有效的支撑企业用户业务和内部服务。

2.3.3 应用服务的增强安全保障

如图四,企业员工访问企业内部网络服务流程。其基本的数据流步骤为:

  • B1,企业员工发起对内网服务的访问;
  • B2,SDN Switch(部署在企业服务网络边界),接收到对应数据流,通过PacketIn,向SDN控制器进行申请流量处理规则,进行内网服务访问的流量认证。
  • B3,SDN控制器,通过和SSO管理系统,进行用户权限认证。该处用户的关联绑定,是通过SSO系统提供的定向的登录界面,进行流量和用户的管理绑定。这样可以做到不同用户可以在同一台PC上访问而实现不同的权限控制。
  • B4,SSO认证管理服务器,进行认证权限的返回。认证权限包括:是否允许访问、访问的能力(如并发访问服务会话数)如何等。
  • B5,SDN控制器,根据SSO的授权,进行对应流量规则的建立,并下发给SDN Switch,进行对应的流量控制。
  • B6/B6’,访问OA和邮箱系统的流量,认证通过;访问ERP系统的流量,因为权限问题,直接在SDN Switch上进行阻断,不允许访问;
    可以看出,通过这种组合组网,SSO对于用户访问业务服务系统的认证管理,既能做到传统的统一认证登录的效果,又对服务系统提供了一层更加坚固的安全屏障:
    若用户为非法用户,则其访问的流量,在SDN Switch上即进行了阻断。异常业务流量根本到达不了服务器,传统的网络(通过大量异常占用访问服务的连接而影响正常访问)攻击,基本上在这种组网中不可能发生。、

2.4邂逅产生的化学反应综述

三、后记

SDN并结合NFV技术,带来的网络组网的变化,其显要的特征包括:

  • 集中管理、统一网络调度
  • 业务识别、智能IT资源使用策略
  • 安全联动、全网动态的安全机制
  • 软件网络联动、更加智能的业务保障
  • 灵活部署、平滑扩展的网络业务和容量

我们有理由相信,随着技术的成熟、各种方案的推出,企业网络建设也必然从当前传统的方式,逐步转换到可视、可管、智能调度、业务联动的SDN方案中,企业的信息化建设必将踏上一个新的台阶,更好助力企业的快速发展!


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/22480.html
分享到:
相关文章
条评论

登录后才可以评论

m.s-group.皮皮熊 发表于18-10-12
3