网络和VPC简单介绍

网络和VPC

传统网络

传统网络从一开始就是一个分布式的网络，没有中心的控制节点，网路中的各个设备之间通过口口相传的方式学习网络的可达信息，由每台设备自己决定要如何转发，这直接导致了没有整体观念，不能从整个网络的角度对流量进行调控。

由于是口口相传，就必须使用大家都会的语言，这就是网络协议。各个设备供应商不能自己随便开发协议，否则不同厂商各执己见，网络还是不通。这样全球性的组织就诞生了，比如IETF，而RFC就是网络协议的法律，相当于国际法，各个设备供应商遵从国际法行事，就基本保证了整个网络世界的正常运行。

网络虚拟化

网络虚拟化是将以前基于硬件的网络转变为基于软件的网络。与所有形式的IT虚拟化一样，网络虚拟化的基本目标是在物理硬件和利用该硬件的活动之间引入一个抽象层。也就是说网络虚拟化允许独立于硬件来交付网络功能、硬件资源和软件资源，即虚拟网络。

要实现网络虚拟化，最基础的技术就是分层，主要有两种层面的网络：

Underlay：物理网络，底层网络，负责互联互通；
Overlay：虚拟网络，基于隧道实现，流量需要跑在Underlay之上。

在Underelay搭建好之后，只需要关心Overlay，在Overlay中搭建隧道就可以了：

而在Overlay中，通过搭建不同的隧道从而进行了服务的隔离：

SDN网络

软件定义网络(SDN)是一种创新的网络架构，它通过集中式的控制层面和分布式的数据层面，两个层面相互分离，控制层面利用控制―数据接口对数据层面上的路由器进行集中式控制，方便软件来控制网络。

网络层的主要任务是转发和路由选择。可以把网络层抽象地划分为数据层面(也称转发层面)和控制层面，转发是数据层面实现的功能，而路由选择是控制层面实现的功能。

在传统互联网中，每个路由器既有转发表又有路由选择软件，也就是说既有数据层面也有控制层面。当前的SDN网络一般都是如下形式：有一个控制器(或集群)，他负责收集整个网络的拓扑、流量等信息，计算流量转发路径，通过OpenFlow协议将转发表项下发给路由器，路由器按照表项执行转发动作。和控制器对应，执行转发动作的路由器一般称为转发器。控制面从传统网络的单个设备上剥离，集中到了控制器上，转发面由转发器构成。

网络部署有两种形式：

一种是underlay的网络，这种网络中，所有的转发行为都由控制器决定，控制器通过OpenFlow协议或者定制的BGP协议将转发表项下发给转发器，转发器仅仅执行动作，没有单独的控制面；
另一种是overlay的网络，这种网络的转发器一般都是传统设备，不支持OpenFlow，或者私有定制协议不能部署。这时就要用到隧道技术，基础网络还是传统网络形式，通过路由协议打通各个节点，但是在服务器接入点，采用隧道技术将数据报文进行封装或者解封装。对传统网络来说见到的就是普通的数据报文，转发即可。隧道技术实际上就是报文的马甲，迷惑网络设备，让设备以为是自己人，但是实际上报文的心是虚拟化的心。现在一般采用VxLan、GRE、NVGRE等隧道技术。而这些也是新增的协议，也需要升级现有网络设备才能支持。穿马甲虽然能够在不进行大的改造的情况下增加新的功能，但无疑会降低网路性能，underlay方式一定是SDN网络的终极形式。

这样，网络又变成集中控制的，本来互联网是分布式的。SDN并非要把整个互联网都改造成如图所示的集中控制模式，这是不现实的。然而在某些具体条件下，特别是像一些大型的数据中心之间的广域网，使用SDN模式来建造，就可以使网络的运行效率更高。

SDN的可编程性是通过为开发者们提供强大的编程接口，从而使网络有很好的编程性。对上层应用的开发者，SDN提供的编程接口称为北向接口，北向接口提供了一系列丰富的API，开发者可以在此基础上设计自己的应用而不必关心底层的硬件细节。SDN控制器和转发设备建立双向会话的接口称为南向接口，通过不同的南向接口协议，SDN控制器就可以兼容不同的硬件设备，同时可以在设备中实现上层应用的逻辑。SDN控制器集群内部控制器之间的通信接口称为东西向接口，用于增强整个控制平面的可靠性和可拓展性。

SDN的优点:

全局集中式控制和分布式高速转发，一方面利于控制层面的全局优化，另一方面利于高性能的网络转发；
灵活可编程与性能的平衡，控制和转发功能分离后，使得网络可以由专有的自动化工具以编程方式配置；
降低成木，控制和数据层面分离后，尤其使用开放的接口协议后，就实现了网络设备的制造与功能软件的开发相分离，从而有效降低成本。

SDN的问题:

安全风险，集中管理容易受攻击，如果崩溃，整个网络会受到影响；
瓶颈问题，原本分布式的控制层面集中化后，随着网络规模扩大，控制器有可能成为网络性能的瓶颈。

VPC

介绍

专有网络VPC (Virtual Private Cloud)是基于阿里云构建的一个隔离的网络环境，专有网络之间逻辑上彻底隔离。托管在VPC内的是我们在私有云上的服务资源，如云主机、负载均衡、云数据库等。

VPC主要提供了两个能力：

用户可以自定义网络拓扑，包括选择自有IP地址范围、划分网段、配置路由表和网关等；
通过专线或VPN与原有数据中心连接，云上和云下的资源使用同一个网络地址规划，实现应用的平滑迁移上云。

优点

（1）安全隔离

（2）灵活

（3）易扩展

（4）免费

应用场景

（1）安全网络

通过 VPC 网络构建起具有严格安全访问控制的网络，同时兼顾核心数据的安全隔离和来自公网访问的有效接入。用户可以将处理核心数据和业务的核心服务器或数据库系统部署在公网无法访问的子网中，而将面向公网访问的web服务器部署于另一个子网环境中，并将该子网设置与公网连接。在 VPC 网络中，用户可以通过子网间的访问控制来实现对核心数据和业务服务器的访问控制，在确保核心数据安全可控的同时满足公网的访问需求。

（2）混合云网络

通过 VPC 网络提供的隧道或 VPN 服务，建立一套安全高效的网络连接。在 VPC 中部署 Web 应用，通过分布式防火墙获得额外的隐私保护和安全性。用户可以创建防火墙规则，使 Web 应用响应 HTTP/HTTPS 等请求的同时拒绝访问 Internet，以此巩固网站的安全保护，从而实现部署于公有云上的应用与部署在自有数据中心的业务之间的互联互通，构建混合云的架构。

（3）托管网站

通过 VPC 网络提供的目的地址 NAT 功能，实现无 EIP 的安全访问互联网。

（4）解决网络瓶颈

通过 VPC 网络提供的隧道/VPN/专线服务，方便将企业应用部署到云中。

（5）灾难恢复

通过 VPC 网络提供的隧道/VPN/专线服务，方便构建灾备环境。

CGN

技术背景：电信运营商一方面在大力部署移动互联网、拓展宽带用户并积极推进三网融合，另一方面却不得不面对IPv4地址枯竭所带来的现实问题。

目前有两种主要的解决思路：

IPv6：可从根本上解决地址耗尽问题，但因目前大部分内容和应用还是基于IPv4，硬性的全面切换到IPv6可能将面临现有业务无法继承的风险；
NAT：延续使用IPv4发展业务，通过规模化部署IPv4私有地址，以达到对目前公网，lPv4地址的统计复用，从而可以在相当长的时间内解决IPv4地址问题；

NAT方案由于无需更换家庭网关设备，大大降低了运营商的投资成本。

CGN: Carrier Grade NAT，运营商级NAT，又称LSN (Large Sca。000le NAT，大规模部署NAT)

相对传统NAT，主要在支持并发用户数、性能、溯源等方面有很大提升，以适应运营商的大规模商业部署；
包含多种技术和应用场景，例如：NAT444、DS-Lite等

NAT444：将传统NAT (NAT44）部署位置提高，由运营商部署NAT44设备CGN，部署方便，只需在汇聚层或核心层增加CGN设备即可，无需进行较大规模的设备替换。

弹性公网IP

弹性公网IP(Elastic lP Address，简称EIP)，独立的公网IP资源，可以绑定到阿里云专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上，并可以动态解绑，实现公网IP和ECS、NAT网关、SLB的解耦，满足灵活管理的要求。

高速通道

高速通道是一款为用户提供网络互连能力的产品，为用户实现高速、稳定、安全的私网互通。高速通道可实现云下IDC接入阿里云、IDC与云上VPC互通以及云上VPC之间跨地域互通的能力。

VPN网络

VPN网关(VPN Gateway)是一款基于Internet，通过加密通道将企业数据中心、企业办公网络、或internet终端和阿里云专有网络(Virtual Private Cloud)安全可靠连接起来的服务。

（1）VPN类型：

SSL适合拨号的远程访问连接，IPSec适合站点到站点的连接。

MPLS VPN是不加密的。

（2）根据组网的方式：

（3）根据实现层、协议：