SDN架構(gòu)與Open Flow技術(shù),計算機網(wǎng)絡(luò)論文

SDN架構(gòu)與OpenFlow技術(shù),計算機網(wǎng)絡(luò)論文本篇論文目錄導(dǎo)航：【題目】【第一章】【第二章】SDN架構(gòu)與OpenFlow技術(shù)【第三章】【第四章】【第五章】【總結(jié)/以下為參考文獻(xiàn)】第二章相關(guān)背景知識介紹本章主要內(nèi)容是SDN架構(gòu)和OpenFlow技術(shù)的背景知識介紹，以及圍繞數(shù)據(jù)包回溯技術(shù)和故障排除技術(shù)為中心對SDN安全策略進(jìn)行分析介紹。2.1節(jié)中介紹SDN架構(gòu)和OpenFlow協(xié)議的流表項和控制器與交換機之間的通信機制，2.2節(jié)和2.3節(jié)分別介紹數(shù)據(jù)包回溯技術(shù)和故障排除技術(shù)背景知識和相關(guān)研究內(nèi)容。2.1SDN架構(gòu)與OpenFlow技術(shù)本節(jié)首先介紹SDN架構(gòu)的背景，然后介紹OpenFlow協(xié)議的流表項和三種消息類型。SDN是構(gòu)造網(wǎng)絡(luò)的一種新型概念，而OpenFlow協(xié)議是SDN控制平面與數(shù)據(jù)平面之間一種通信接口。如此圖2.1所示，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)將控制軟件固化在網(wǎng)絡(luò)設(shè)備中，無論是控制軟件還是數(shù)據(jù)轉(zhuǎn)發(fā)都是分布式的。相比于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，SDN架構(gòu)中控制平面和數(shù)據(jù)平面分離，將網(wǎng)絡(luò)服務(wù)從網(wǎng)絡(luò)設(shè)備提取出來集中到控制層中，由分布式控制轉(zhuǎn)變?yōu)榧锌刂?。SDN架構(gòu)中的數(shù)據(jù)包轉(zhuǎn)發(fā)是基于流的，而不是基于目的地址的。廣義上的流是定義在數(shù)據(jù)包字段的值集合上的匹配標(biāo)準(zhǔn)和動作，狹義上的流是源地址和目的地址之間的數(shù)據(jù)包的序列。屬于同一個流的所有數(shù)據(jù)包在網(wǎng)絡(luò)設(shè)備上有一樣的轉(zhuǎn)發(fā)規(guī)則，而不必考慮路由器、交換機、防火墻或中間盒等網(wǎng)絡(luò)設(shè)備的差異性。對流的編程有很大的靈敏性，編程粒度僅受限于流表的支持范圍。控制邏輯被轉(zhuǎn)移到稱作控制器或NOS〔NetworkOperatingNetwork,網(wǎng)絡(luò)操作系統(tǒng)〕的外部實體上面。NOS是運行在商品服務(wù)器上的軟件技術(shù)平臺，提供底層資源的抽象接口，以知足用戶基于全局網(wǎng)絡(luò)視圖對轉(zhuǎn)發(fā)設(shè)備的編程，其作用類似一個傳統(tǒng)的操作系統(tǒng)。SDN的一個基本特征就是通過NOS實現(xiàn)網(wǎng)絡(luò)的可編程性，NOS的作用是軟件應(yīng)用程序與數(shù)據(jù)平面的網(wǎng)絡(luò)設(shè)備進(jìn)行交互的媒介。NOS的消息使用開放的技術(shù)方案OpenFlow解釋成基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備能夠理解的指令，這些指令對流表[6]〔FlowTable〕進(jìn)行編程。利用OpenFlow協(xié)議，將實際的數(shù)據(jù)流轉(zhuǎn)化為用于生產(chǎn)和研發(fā)的抽象的流，研究人員通過捕獲路由器上的數(shù)據(jù)包獲得流，然后進(jìn)行處理。研究人員還能夠嘗試新的路由協(xié)議、安全模型、尋址方案，甚至放棄傳統(tǒng)的IP協(xié)議。在一樣的網(wǎng)絡(luò)中，用于生產(chǎn)的數(shù)據(jù)流也能夠與用于研究的數(shù)據(jù)流分離并被單獨處理。OpenFlow交換機的數(shù)據(jù)途徑包括流表、操作，操作在一個最小匹配集合的基礎(chǔ)上是可擴展的。綜上所述，相比于傳統(tǒng)網(wǎng)絡(luò)的IP轉(zhuǎn)發(fā)協(xié)議，SDN架構(gòu)中的OpenFlow協(xié)議的基本思想很簡單：利用以太網(wǎng)交換機和路由器的流表來實現(xiàn)共同的網(wǎng)絡(luò)功能集，如防火墻、NAT〔NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換〕、QoS〔QualityofService,服務(wù)質(zhì)量〕和信息的收集統(tǒng)計。固然每個供給商實現(xiàn)的流表是不同的，但是通用的功能集是確定的，并且能夠在大部分交換機和路由器中運行功能集。OpenFlow協(xié)議的目的就是為了開發(fā)這個共同的功能集。2.1.1流表項在最早的OpenFlow1.0協(xié)議中沒有考慮多級匹配規(guī)則，每個流表項僅包括匹配域、動作和計數(shù)器三部分。如表2.1所示，匹配域指要匹配的數(shù)據(jù)包的報頭部分，包含網(wǎng)絡(luò)入口、以太網(wǎng)端口和IP協(xié)議數(shù)據(jù)包報頭等，并通過掩碼能夠選擇在任意位置進(jìn)行匹配。如表2.2所示，動作指協(xié)議中定義的動作集或管道處理，計數(shù)器指計算匹配的數(shù)據(jù)包的數(shù)目。對進(jìn)入交換機的數(shù)據(jù)包作為值與流表項的匹配域進(jìn)行比擬，單次比擬既能夠匹配特定值，可以以直接使用ANY匹配任意值。假如OpenFlow交換機支持任意比特位匹配，利用掩碼能夠選擇以太網(wǎng)源地址、目的地址或IP源地址、目的地址等字段更精到準(zhǔn)確地指定匹配域。數(shù)據(jù)包匹配的優(yōu)先級基于與流表項關(guān)聯(lián)的值。優(yōu)先級的數(shù)值越大，表示具有更高層次的優(yōu)先級。帶有精到準(zhǔn)確匹配的流表項具有最高優(yōu)先級，帶有通配符的流表項通過相關(guān)聯(lián)的值進(jìn)行比擬，高優(yōu)先級的流表項必須在低優(yōu)先級的之前被匹配。假如多個流表項具有一樣的優(yōu)先級，交換機隨機選擇進(jìn)行匹配。對于每個匹配成功的流表項，計數(shù)器在匹配后被更新。假如數(shù)據(jù)包最后沒有匹配成功，則由OpenFlow交換機通過安全通道發(fā)送給控制器。OpenFlow協(xié)議定義了很多原子動作，便于交換機處理數(shù)據(jù)包，也便于解釋控制器下發(fā)的消息，通過這些動作控制基于流的細(xì)粒度的數(shù)據(jù)包轉(zhuǎn)發(fā)。OpenFlow協(xié)議將接入網(wǎng)、私人主機、服務(wù)器和控制器等網(wǎng)絡(luò)元素相互連接在一起，無論何時何地，網(wǎng)絡(luò)管理員直接通過控制器獲得全局視圖，對網(wǎng)絡(luò)進(jìn)行流表配置。因而網(wǎng)絡(luò)配置的更新和維護(hù)都不需要交換機上任何固件的改變，只需要網(wǎng)絡(luò)管理員通過上層應(yīng)用進(jìn)行自動化配置。2.1.2消息信道[25]是OpenFlow交換機連接到控制器的消息通道?？刂破髟诎l(fā)送消息配置和管理交換機之前，要先接收交換機發(fā)送到控制器的Hello消息，并返回Hello消息到交換機完成信道建立的經(jīng)過?？刂破髋c交換機之間的消息是能夠由用戶自個定義的，但所有的OpenFlow信道傳輸?shù)南⒅灰籓penFlow協(xié)議格式化以后才能夠正常通信。信道的安全性具體表現(xiàn)出在傳輸?shù)南⒅С諸LS〔TransportLayerSecurityProtocol,安全傳輸層協(xié)議〕加密，用戶可以以選擇直接用TCP〔TransmissionControlProtocol,傳輸控制協(xié)議〕進(jìn)行傳輸通信。信道支持控制器與OVS[26]〔OpenVirtualSwitch,開放虛擬交換機〕之間進(jìn)行通信，而OVS是駐留在虛擬機內(nèi)的管理程序并提供了虛擬機與物理機之間接口的軟件交換機。OpenFlow協(xié)議支持三種消息類型，控制器-交換機消息、異步消息和對稱消息，每種消息都有多個子消息類型。控制器-交換機消息由控制器發(fā)起，用于管理或檢查交換機的狀態(tài)，需要交換機應(yīng)答。異步消息用來將網(wǎng)絡(luò)事件或交換機狀態(tài)的變化更新到控制器，由交換機發(fā)起。對稱消息可由交換機或控制器任意一側(cè)發(fā)起。有些如Packet-in、Packet-out、Flow-mod、Flow-removed、Barrier-request/reply等消息類型在OpenFlow協(xié)議中有特殊的用法，下面詳細(xì)解釋。Packet-in消息用于當(dāng)交換機收到的數(shù)據(jù)包沒有匹配成功時將其發(fā)送到控制器，控制器使用該消息中攜帶的數(shù)據(jù)包來開創(chuàng)建立流表項。Packet-out消息是控制器用來將數(shù)據(jù)包發(fā)送給交換機，控制器能夠使用這個消息將自個開創(chuàng)建立的數(shù)據(jù)包從交換機轉(zhuǎn)發(fā)出去，或者用來將Packet-in消息中的數(shù)據(jù)包重新發(fā)回給交換機。Flow-mod消息用來將控制器開創(chuàng)建立的流表項發(fā)送給交換機，該流表項有硬超時和空閑超時兩個定時器。硬超時用來講明流表項在指定的時間內(nèi)失效，而空閑超時沒有失效時間。Flow-removed消息是交換機用來通知控制器將流表項刪除的原因，消息內(nèi)容還包含計數(shù)器和流表項的生命周期。Barrier-request/reply消息的用法比擬特殊，交換機收到Flow-mod和Packet-out消息后無論能否執(zhí)行都不會將結(jié)果通知控制器。假如控制器需要知道執(zhí)行結(jié)果，則發(fā)送Barrier-request消息給交換機，當(dāng)交換機收到這個消息并且執(zhí)行完成后，就發(fā)送一個Barrier-reply消息。2.2數(shù)據(jù)包回溯策略本節(jié)內(nèi)容介紹傳統(tǒng)IP回溯與SDN回溯中的相關(guān)研究熱門，傳統(tǒng)IP回溯遭到硬件交換機內(nèi)部固件的兼容性制約，技術(shù)復(fù)雜而且實現(xiàn)困難。SDN回溯策略則不受這種制約，可供選擇的技術(shù)更多，從用處上大體能夠分為兩類。一類是作為網(wǎng)絡(luò)服務(wù)集成到框架工具中，只是提供數(shù)據(jù)包回溯功能的組件，數(shù)據(jù)包回溯并不是框架工具的核心功能。另一類是在測試環(huán)境中用于改善基于OpenFlow的上層應(yīng)用的效率，如統(tǒng)計數(shù)據(jù)包數(shù)量或者數(shù)據(jù)平面負(fù)載不平衡的問題，這類應(yīng)用數(shù)據(jù)包回溯是核心功能。IP回溯中具有代表性的是基于網(wǎng)絡(luò)入口的回溯方案[27]和基于數(shù)據(jù)包標(biāo)記的回溯方案[28].基于網(wǎng)絡(luò)入口的回溯方案[27]在入口處記錄并過濾數(shù)據(jù)包，并且拒絕非法IP地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，路由器需要對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行合法性檢查。入口過濾存在的缺乏是每一個路由器都要配置過濾功能，而這會影響路由器的轉(zhuǎn)發(fā)能力?；跀?shù)據(jù)包標(biāo)記的IP回溯[28]在數(shù)據(jù)包傳輸時，指定的關(guān)鍵路由器要對所轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行復(fù)制、計算并存儲每個數(shù)據(jù)包的內(nèi)容摘要，由回溯系統(tǒng)根據(jù)數(shù)據(jù)包內(nèi)容摘要信息，根據(jù)路由器的轉(zhuǎn)發(fā)經(jīng)過中的內(nèi)容摘要信息構(gòu)造出數(shù)據(jù)包的完好傳輸途徑。其它的數(shù)據(jù)包回溯技術(shù)[29]如鏈路測試法、基于ICMP〔InternetControlMessageProtocol,Internet控制報文協(xié)議〕的追蹤方式方法、日志記錄法等方式方法客觀上存在的限制因素過多，而數(shù)據(jù)包標(biāo)記法相對來講只需要管理員記錄追蹤、不需要數(shù)據(jù)包改變報頭。另外一些適用于特定場景的IP回溯的技術(shù)方案。李國劍等人在文獻(xiàn)[30]提出基于神經(jīng)網(wǎng)絡(luò)的主動IP源地址回溯方案，回溯方案在偽造IP源地址的攻擊手段場景下仍然有效。根據(jù)神經(jīng)網(wǎng)絡(luò)技術(shù)與陷阱技術(shù)相結(jié)合的思想設(shè)計實驗流程及算法，對正常路由轉(zhuǎn)發(fā)的影響很少并且具有較低的錯誤率。斯通等人在文獻(xiàn)[31]提出的IP回溯方案中，網(wǎng)絡(luò)管理員首先需要通過IP隧道連接邊界路由器和中心路由器建立覆蓋網(wǎng)。當(dāng)邊界路由器連接的用戶遭到來自網(wǎng)絡(luò)的攻擊時，使用動態(tài)路由不直接轉(zhuǎn)發(fā)攻擊數(shù)據(jù)包，而是發(fā)給中心路由器。數(shù)據(jù)包溯源時，從離用戶近期的中心路由器開場，沿著lP隧道逐跳地回溯攻擊數(shù)據(jù)包經(jīng)過的路由器，直到回溯至離攻擊數(shù)據(jù)包近期的邊界路由器為止。埃貢等人在文獻(xiàn)[32]提出的IP回溯方案基于日志記錄，通過路由器緩存數(shù)據(jù)包報頭TTL〔TimeToLive〕域的值進(jìn)行數(shù)據(jù)包回溯。實際緩存的數(shù)據(jù)包信息數(shù)量應(yīng)該基于路由器緩存空間大小，假如超過最大容量則把信息轉(zhuǎn)移到外存上，最好每隔固定時間進(jìn)行一次緩存，回溯時則通過檢查路由器緩存信息計算數(shù)據(jù)包的轉(zhuǎn)發(fā)途徑。為了減小路由器上的存儲數(shù)據(jù)包信息的緩存空間，一般對數(shù)據(jù)包信息采用哈希函數(shù)壓縮后再存儲。SDN回溯策略作為網(wǎng)絡(luò)調(diào)試和故障排除中常用的技術(shù)之一，PathTracer[26]能夠?qū)?shù)據(jù)鏈路層的轉(zhuǎn)發(fā)途徑進(jìn)行回溯，允許通過數(shù)據(jù)包跟蹤來檢查低級別的轉(zhuǎn)發(fā)行為。OpenSample[33]提出的SDN回溯方案，實現(xiàn)對數(shù)據(jù)包進(jìn)行實時、低延遲和靈敏的監(jiān)控功能，而不會明顯影響控制平面的負(fù)載和性能。sFlow[34]提出的解決方案采取抽樣技術(shù)，適用于SDN這種高速的數(shù)據(jù)包轉(zhuǎn)發(fā)網(wǎng)絡(luò)，以組件方式能夠靈敏的集成到應(yīng)用程序中，提供高性能和高效的網(wǎng)絡(luò)監(jiān)控。SDNtraceroute[35]提出數(shù)據(jù)包途徑跟蹤方案，允許用戶查詢關(guān)于經(jīng)過轉(zhuǎn)發(fā)設(shè)備的以太網(wǎng)數(shù)據(jù)包的途徑和用于檢查數(shù)據(jù)包的轉(zhuǎn)發(fā)行為，但是不能具體表現(xiàn)出出上層應(yīng)用策略的安全特征。2.3故障排除策略本節(jié)在介紹故障排除技術(shù)的背景知識之前，首先介紹事件和故障這兩個故障排除中重要的概念，然后對故障排除技術(shù)在SDN中的研究熱門分別進(jìn)行介紹。事件[36]〔Event〕是網(wǎng)絡(luò)元素的狀態(tài)的外在或內(nèi)在的變化。一般情況下伴隨著故障出現(xiàn)事件也會出現(xiàn)，但是兩者并沒有必然的關(guān)系，即有事件發(fā)生但不能肯定故障的存在。能夠確定故障存在的事件稱為陽性事件，不能確定的則稱為陰性事件。根據(jù)事件發(fā)生的位置能夠分為外部事件和內(nèi)部事件，外部事件由環(huán)境引起，內(nèi)部事件由內(nèi)部軟件觸發(fā)。故障[36]〔Fault,Problem或Rootcause〕代表另一類網(wǎng)絡(luò)狀態(tài)，它可能引起其它事件，但本身不由其它事件引起。故障根據(jù)持續(xù)時間的長短分為〔1〕永久的〔2〕間歇性的〔3〕瞬時性的。永久故障在網(wǎng)絡(luò)中的一直存在，直到采取措施故障消除為止。間歇故障是不連續(xù)的或周期性地發(fā)生，能夠短時間內(nèi)稍微影響服務(wù)質(zhì)量，但是頻繁的重復(fù)發(fā)生的間歇性故障會顯著危及服務(wù)質(zhì)量。瞬時故障指存在時間短，對服務(wù)質(zhì)量的影響也是最小的，瞬時故障通常由自動恢復(fù)程序主動修復(fù)。NetSight[37]是SDN中較早出現(xiàn)的策略層故障排除工具，主動收集數(shù)據(jù)包的歷史元數(shù)據(jù)信息，并把這些信息能夠通過接口封裝后應(yīng)用到網(wǎng)絡(luò)調(diào)試、回溯、監(jiān)控、分層網(wǎng)絡(luò)探測等領(lǐng)域。Tulip[38]采用了基于帶外探針的主動探測技術(shù)，解決的問題包括單向數(shù)據(jù)包丟失和亂序，無法解決瞬時或特定應(yīng)用的丟包問題。Orchid[39]通過維護(hù)數(shù)據(jù)包中的計數(shù)器，記錄下沿途徑的每個路由器信息。通過比照數(shù)據(jù)包中的計數(shù)器和路由器上對該數(shù)據(jù)流所維護(hù)的計數(shù)器，路由器知道數(shù)據(jù)流的下一個數(shù)據(jù)包，這樣就由計數(shù)器來對數(shù)據(jù)包的傳輸負(fù)責(zé)。系統(tǒng)能夠收集這些數(shù)據(jù)包的計數(shù)器信息來統(tǒng)計有關(guān)數(shù)據(jù)包丟失的數(shù)量和確定丟失的位置。Barak等人在文獻(xiàn)[40]提出帶外故障定位方案，定位經(jīng)過通過途徑節(jié)點間交換一種強加密的內(nèi)容摘要實現(xiàn)，華而不實一個節(jié)點能夠隨意丟棄、修改或注入數(shù)據(jù)包。Argyraki等人在文獻(xiàn)[41]提出了另一種帶外的故障定位方案，每個管理域通過發(fā)送反應(yīng)每個數(shù)據(jù)流的流量來確定數(shù)據(jù)包的丟失和延遲。Ofrewind[42]是較早提出在SDN中進(jìn)行故障排除的方案，基于日志記錄和回放完成故障排除，在交換機和控制器間的中間層代理對全局網(wǎng)絡(luò)配置信息進(jìn)行記錄，通過回放選出最小的錯誤事件的集合。NDB[43]〔NetworkDebugger〕提供了另外