SDN架构与Open Flow技术,计算机网络论文.docx

《SDN架构与Open Flow技术,计算机网络论文.docx》由会员分享，可在线阅读，更多相关《SDN架构与Open Flow技术,计算机网络论文.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SDN架构与Open Flow技术,计算机网络论文本篇论文目录导航：【题目】【第一章】【第二章】 SDN架构与Open Flow技术【第三章】【第四章】【第五章】【总结/以下为参考文献】 第二章 相关背景知识介绍 本章主要内容是 SDN 架构和 OpenFlow 技术的背景知识介绍，以及围绕数据包回溯技术和故障排除技术为中心对 SDN 安全策略进行分析介绍。2.1 节中介绍 SDN 架构和 OpenFlow协议的流表项和控制器与交换机之间的通信机制，2.2 节和 2.3 节分别介绍数据包回溯技术和故障排除技术背景知识和相关研究内容。 2.1 SDN 架构与 OpenFlow 技术 本节首先介绍

2、 SDN 架构的背景，然后介绍 OpenFlow 协议的流表项和三种消息类型。SDN是构造网络的一种新型概念，而 OpenFlow 协议是 SDN 控制平面与数据平面之间一种通信接口。如此图 2.1 所示，传统网络架构将控制软件固化在网络设备中，无论是控制软件还是数据转发都是分布式的。相比于传统网络架构，SDN 架构中控制平面和数据平面分离，将网络服务从网络设备提取出来集中到控制层中，由分布式控制转变为集中控制。SDN 架构中的数据包转发是基于流的，而不是基于目的地址的。广义上的流是定义在数据包字段的值集合上的匹配标准和动作，狭义上的流是源地址和目的地址之间的数据包的序列。属于同一个流的所有数

3、据包在网络设备上有一样的转发规则，而不必考虑路由器、交换机、防火墙或中间盒等网络设备的差异性。对流的编程有很大的灵敏性，编程粒度仅受限于流表的支持范围。控制逻辑被转移到称作控制器或 NOSNetwork Operating Network,网络操作系统的外部实体上面。NOS 是运行在商品服务器上的软件技术平台，提供底层资源的抽象接口，以知足用户基于全局网络视图对转发设备的编程，其作用类似一个传统的操作系统。SDN 的一个基本特征就是通过 NOS 实现网络的可编程性，NOS 的作用是软件应用程序与数据平面的网络设备进行交互的媒介。 NOS 的消息使用开放的技术方案 OpenFlow 解释成基础设

4、施层的网络设备能够理解的指令，这些指令对流表6Flow Table进行编程。利用 OpenFlow 协议，将实际的数据流转化为用于生产和研发的抽象的流，研究人员通过捕获路由器上的数据包获得流，然后进行处理。 研究人员还能够尝试新的路由协议、安全模型、寻址方案，甚至放弃传统的 IP 协议。在一样的网络中，用于生产的数据流也能够与用于研究的数据流分离并被单独处理。OpenFlow 交换机的数据途径包括流表、操作，操作在一个最小匹配集合的基础上是可扩展的。 综上所述，相比于传统网络的 IP 转发协议，SDN 架构中的 OpenFlow 协议的基本思想很简单：利用以太网交换机和路由器的流表来实现共同的

5、网络功能集，如防火墙、NATNetworkAddress Translation,网络地址转换、QoSQuality of Service,服务质量和信息的收集统计。 固然每个供给商实现的流表是不同的，但是通用的功能集是确定的，并且能够在大部分交换机和路由器中运行功能集。OpenFlow 协议的目的就是为了开发这个共同的功能集。 2.1.1 流表项 在最早的 OpenFlow1.0 协议中没有考虑多级匹配规则，每个流表项仅包括匹配域、动作和计数器三部分。如表 2.1 所示，匹配域指要匹配的数据包的报头部分，包含网络入口、以太网端口和 IP 协议数据包报头等，并通过掩码能够选择在任意位置进行匹配

6、。如表 2.2 所示，动作指协议中定义的动作集或管道处理，计数器指计算匹配的数据包的数目。 对进入交换机的数据包作为值与流表项的匹配域进行比拟，单次比拟既能够匹配特定值，可以以直接使用 ANY 匹配任意值。假如 OpenFlow 交换机支持任意比特位匹配，利用掩码能够选择以太网源地址、目的地址或 IP 源地址、目的地址等字段更精到准确地指定匹配域。 数据包匹配的优先级基于与流表项关联的值。优先级的数值越大，表示具有更高层次的优先级。带有精到准确匹配的流表项具有最高优先级，带有通配符的流表项通过相关联的值进行比拟，高优先级的流表项必须在低优先级的之前被匹配。假如多个流表项具有一样的优先级，交换机

7、随机选择进行匹配。对于每个匹配成功的流表项，计数器在匹配后被更新。假如数据包最后没有匹配成功，则由 OpenFlow 交换机通过安全通道发送给控制器。 OpenFlow 协议定义了很多原子动作，便于交换机处理数据包，也便于解释控制器下发的消息，通过这些动作控制基于流的细粒度的数据包转发。OpenFlow 协议将接入网、私人主机、服务器和控制器等网络元素相互连接在一起，无论何时何地，网络管理员直接通过控制器获得全局视图，对网络进行流表配置。因而网络配置的更新和维护都不需要交换机上任何固件的改变，只需要网络管理员通过上层应用进行自动化配置。 2.1.2 消息 信道25是 OpenFlow 交换机连

8、接到控制器的消息通道。控制器在发送消息配置和管理交换机之前，要先接收交换机发送到控制器的 Hello 消息，并返回 Hello 消息到交换机完成信道建立的经过。控制器与交换机之间的消息是能够由用户自个定义的，但所有的 OpenFlow 信道传输的消息只要被 OpenFlow 协议格式化以后才能够正常通信。信道的安全性具体表现出在传输的消息支持 TLSTransport Layer Security Protocol,安全传输层协议加密，用户可以以选择直接用 TCPTransmission Control Protocol,传输控制协议进行传输通信。信道支持控制器与 OVS26Open Virt

9、ual Switch,开放虚拟交换机之间进行通信，而 OVS 是驻留在虚拟机内的管理程序并提供了虚拟机与物理机之间接口的软件交换机。 OpenFlow 协议支持三种消息类型，控制器-交换机消息、异步消息和对称消息，每种消息都有多个子消息类型。控制器-交换机消息由控制器发起，用于管理或检查交换机的状态，需要交换机应答。异步消息用来将网络事件或交换机状态的变化更新到控制器，由交换机发起。对称消息可由交换机或控制器任意一侧发起。有些如 Packet-in、Packet-out、Flow-mod、Flow-removed、Barrier-request/reply 等消息类型在 OpenFlow 协议

10、中有特殊的用法，下面详细解释。 Packet-in 消息用于当交换机收到的数据包没有匹配成功时将其发送到控制器，控制器使用该消息中携带的数据包来开创建立流表项。Packet-out 消息是控制器用来将数据包发送给交换机，控制器能够使用这个消息将自个开创建立的数据包从交换机转发出去，或者用来将 Packet-in 消息中的数据包重新发回给交换机。Flow-mod 消息用来将控制器开创建立的流表项发送给交换机，该流表项有硬超时和空闲超时两个定时器。硬超时用来讲明流表项在指定的时间内失效，而空闲超时没有失效时间。Flow-removed 消息是交换机用来通知控制器将流表项删除的原因，消息内容还包含计

11、数器和流表项的生命周期。Barrier-request/reply 消息的用法比拟特殊，交换机收到 Flow-mod 和 Packet-out 消息后无论能否执行都不会将结果通知控制器。假如控制器需要知道执行结果，则发送 Barrier-request 消息给交换机，当交换机收到这个消息并且执行完成后，就发送一个 Barrier-reply 消息。 2.2 数据包回溯策略 本节内容介绍传统 IP 回溯与 SDN 回溯中的相关研究热门，传统 IP 回溯遭到硬件交换机内部固件的兼容性制约，技术复杂而且实现困难。SDN 回溯策略则不受这种制约，可供选择的技术更多，从用处上大体能够分为两类。一类是作为

12、网络服务集成到框架工具中，只是提供数据包回溯功能的组件，数据包回溯并不是框架工具的核心功能。另一类是在测试环境中用于改善基于 OpenFlow 的上层应用的效率，如统计数据包数量或者数据平面负载不平衡的问题，这类应用数据包回溯是核心功能。IP 回溯中具有代表性的是基于网络入口的回溯方案27和基于数据包标记的回溯方案28. 基于网络入口的回溯方案27在入口处记录并过滤数据包，并且拒绝非法 IP 地址的数据包进入网络，路由器需要对网络中的数据包进行合法性检查。入口过滤存在的缺乏是每一个路由器都要配置过滤功能，而这会影响路由器的转发能力。基于数据包标记的 IP 回溯28在数据包传输时，指定的关键路由

13、器要对所转发的数据包进行复制、计算并存储每个数据包的内容摘要，由回溯系统根据数据包内容摘要信息，根据路由器的转发经过中的内容摘要信息构造出数据包的完好传输途径。其它的数据包回溯技术29 如链路测试法、基于 ICMPInternet Control Message Protocol,Internet 控制报文协议的追踪方式方法、日志记录法等方式方法客观上存在的限制因素过多，而数据包标记法相对来讲只需要管理员记录追踪、不需要数据包改变报头。 另外一些适用于特定场景的 IP 回溯的技术方案。李国剑等人在文献30提出基于神经网络的主动 IP 源地址回溯方案，回溯方案在伪造 IP 源地址的攻击手段场景下

14、仍然有效。根据神经网络技术与陷阱技术相结合的思想设计实验流程及算法，对正常路由转发的影响很少并且具有较低的错误率。斯通等人在文献31提出的 IP 回溯方案中，网络管理员首先需要通过 IP隧道连接边界路由器和中心路由器建立覆盖网。当边界路由器连接的用户遭到来自网络的攻击时，使用动态路由不直接转发攻击数据包，而是发给中心路由器。数据包溯源时，从离用户近期的中心路由器开场，沿着 lP 隧道逐跳地回溯攻击数据包经过的路由器，直到回溯至离攻击数据包近期的边界路由器为止。埃贡等人在文献32提出的 IP 回溯方案基于日志记录，通过路由器缓存数据包报头 TTLTime To Live域的值进行数据包回溯。实际

15、缓存的数据包信息数量应该基于路由器缓存空间大小，假如超过最大容量则把信息转移到外存上，最好每隔固定时间进行一次缓存，回溯时则通过检查路由器缓存信息计算数据包的转发途径。为了减小路由器上的存储数据包信息的缓存空间，一般对数据包信息采用哈希函数压缩后再存储。 SDN 回溯策略作为网络调试和故障排除中常用的技术之一，PathTracer26能够对数据链路层的转发途径进行回溯，允许通过数据包跟踪来检查低级别的转发行为。OpenSample33提出的 SDN 回溯方案，实现对数据包进行实时、低延迟和灵敏的监控功能，而不会明显影响控制平面的负载和性能。sFlow34提出的解决方案采取抽样技术，适用于 SD

16、N 这种高速的数据包转发网络，以组件方式能够灵敏的集成到应用程序中，提供高性能和高效的网络监控。 SDN traceroute35提出数据包途径跟踪方案，允许用户查询关于经过转发设备的以太网数据包的途径和用于检查数据包的转发行为，但是不能具体表现出出上层应用策略的安全特征。 2.3 故障排除策略 本节在介绍故障排除技术的背景知识之前，首先介绍事件和故障这两个故障排除中重要的概念，然后对故障排除技术在 SDN 中的研究热门分别进行介绍。 事件36Event是网络元素的状态的外在或内在的变化。一般情况下伴随着故障出现事件也会出现，但是两者并没有必然的关系，即有事件发生但不能肯定故障的存在。能够确定

17、故障存在的事件称为阳性事件，不能确定的则称为阴性事件。根据事件发生的位置能够分为外部事件和内部事件，外部事件由环境引起，内部事件由内部软件触发。故障36Fault,Problem或 Root cause代表另一类网络状态，它可能引起其它事件，但本身不由其它事件引起。故障根据持续时间的长短分为1永久的2间歇性的3瞬时性的。永久故障在网络中的一直存在，直到采取措施故障消除为止。间歇故障是不连续的或周期性地发生，能够短时间内稍微影响服务质量，但是频繁的重复发生的间歇性故障会显着危及服务质量。瞬时故障指存在时间短，对服务质量的影响也是最小的，瞬时故障通常由自动恢复程序主动修复。 NetSight37是

18、 SDN 中较早出现的策略层故障排除工具，主动收集数据包的历史元数据信息，并把这些信息能够通过接口封装后应用到网络调试、回溯、监控、分层网络探测等领域。 Tulip38采用了基于带外探针的主动探测技术，解决的问题包括单向数据包丢失和乱序，无法解决瞬时或特定应用的丢包问题。Orchid39通过维护数据包中的计数器，记录下沿途径的每个路由器信息。通过比照数据包中的计数器和路由器上对该数据流所维护的计数器，路由器知道数据流的下一个数据包，这样就由计数器来对数据包的传输负责。系统能够收集这些数据包的计数器信息来统计有关数据包丢失的数量和确定丢失的位置。Barak 等人在文献40提出带外故障定位方案，定

19、位经过通过途径节点间交换一种强加密的内容摘要实现，华而不实一个节点能够随意丢弃、修改或注入数据包。Argyraki 等人在文献41提出了另一种带外的故障定位方案，每个管理域通过发送反应每个数据流的流量来确定数据包的丢失和延迟。Ofrewind42是较早提出在 SDN 中进行故障排除的方案，基于日志记录和回放完成故障排除，在交换机和控制器间的中间层代理对全局网络配置信息进行记录，通过回放选出最小的错误事件的集合。NDB43Network Debugger提供了另外一种 SDN 调试工具，该方案为每一个数据包开创建立了一个邮戳Postcard，邮戳包含数据包报头、匹配的流规则、交换机信息和转发的端

20、口。通过邮戳管理系统，网络管理员使用原语实现数据包途径中断点回溯功能。 为了检测途径中有故障的链路，SDN-RADAR44提供了一种启发式算法，将网络中链路关联特定权重值，较大的权重表示有较高概率发生故障。该算法发现由越多性能不好的途径分享的链路，该链路上发生服务质量问题的可能性也越大，因而给这条链路指定较高的权重。假如通过该链路的途径都没有发生服务质量问题，则它会得到最小的权重值零。通过以上分析，根据能否对数据包封装的分类方式方法，分成带内和带外两种故障排除技术。 带外的技术能够跟踪辨别端到终端的途径，但这些工具有时是不准确的，由于它们不能辨别数据包丢失的位置，好处是不需要交换机固件支持。带内的技术大多利用数据包报头内不经常使用的字段，需要交换机固件支持。 2.4 本章小结 本章首先介绍 SDN 架构及 OpenFlow 协议及相关技术的发展现在状况，然后介绍了数据包回溯和故障排除相关方案的研究进展。传统 IP 回溯技术由于遭到交换机硬件技术限制，无法深切进入解决数据包传输经过中丢包、修改等安全问题，因而需要利用 SDN 技术通过控制面安全策略形象化描绘叙述，然后才能进一步对故障事件分析、设计算法、软件编程。通过对 OpenFlow技术进行综合分析，为下面进行基于 SDN 的应用开发和网络仿真打下基础。