軟件定義網(wǎng)絡(luò)（SDN）實(shí)戰(zhàn)教程課件

SDN在數(shù)據(jù)中心的應(yīng)用第7章7.1 軟件定義的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)7.2校園網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)SDN規(guī)劃應(yīng)用7.3 面向數(shù)據(jù)中心網(wǎng)絡(luò)的SDN控制器設(shè)計(jì)7.4 多粒度安全控制器架構(gòu)數(shù)據(jù)中心是提供各種網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)（數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)儲(chǔ)存）的服務(wù)中心它由計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)、數(shù)據(jù)儲(chǔ)存系統(tǒng)、制冷設(shè)備、管理設(shè)備等組成采用Internet與無(wú)線移動(dòng)方式接入互聯(lián)網(wǎng)，要求機(jī)房溫度、溫度每天都必須保持在一定范圍之內(nèi)數(shù)據(jù)中心是互聯(lián)網(wǎng)的一部分，不能脫離互聯(lián)網(wǎng)單獨(dú)存在，所以，我們可以將數(shù)據(jù)中心視為互聯(lián)網(wǎng)分工（細(xì)分化、專(zhuān)業(yè)化）的新發(fā)展。反過(guò)來(lái)，數(shù)據(jù)中心又打破了不同企業(yè)間的信息壁壘，擴(kuò)展了互聯(lián)網(wǎng)的高度、深度和廣度，促進(jìn)了互聯(lián)網(wǎng)的發(fā)展。7.1軟件定義的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)7.1軟件定義的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)7.1.1傳統(tǒng)行業(yè)數(shù)據(jù)中心發(fā)展面臨數(shù)據(jù)架構(gòu)瓶頸7.1.2基于SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)7.1.3數(shù)據(jù)中心的Spine-LeaLf組網(wǎng)架構(gòu)7.1.4數(shù)據(jù)中心的Overlay網(wǎng)絡(luò)7.1.1傳統(tǒng)行業(yè)數(shù)據(jù)中心發(fā)展面臨數(shù)據(jù)架構(gòu)瓶頸互聯(lián)網(wǎng)的快速發(fā)展導(dǎo)致了信息量的爆炸式增長(zhǎng)，給數(shù)據(jù)中心帶來(lái)了巨大挑戰(zhàn)。當(dāng)前，數(shù)據(jù)中心面臨硬件存儲(chǔ)需求增加、服務(wù)器負(fù)載提升、系統(tǒng)處理能力增強(qiáng)等問(wèn)題，同時(shí)伴隨著能耗、資金、空間、管理、人才、設(shè)備兼容性、軟件升級(jí)和運(yùn)維難度等多方面的壓力當(dāng)前，行業(yè)數(shù)據(jù)中心普遍沿用傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，路由器、交換機(jī)、應(yīng)用軟件、系統(tǒng)軟件高度集成耦合，數(shù)據(jù)面與控制面統(tǒng)一，形成封閉式結(jié)構(gòu)，進(jìn)行分布式控制。這種網(wǎng)絡(luò)架構(gòu)難以適應(yīng)大數(shù)據(jù)的發(fā)展，已經(jīng)成為束縛數(shù)據(jù)中心發(fā)展的瓶頸。7.1.1傳統(tǒng)行業(yè)數(shù)據(jù)中心發(fā)展面臨數(shù)據(jù)架構(gòu)瓶頸由于數(shù)據(jù)流量總在變化之中，而網(wǎng)絡(luò)架構(gòu)卻是固定不變的，所以各臺(tái)服務(wù)器之間難以實(shí)現(xiàn)流量均衡，經(jīng)常發(fā)生網(wǎng)絡(luò)擁堵，甚至吞吐量崩潰由于控制面與數(shù)據(jù)面集中在一起，服務(wù)器的內(nèi)存利用率接近飽和，而CPU利用率在10%以下（甚至3%），且不能均衡配置數(shù)據(jù)層與應(yīng)用層的負(fù)載由于實(shí)行分布式控制，鏈路資源利用率一般只有30%目前網(wǎng)絡(luò)設(shè)備交換能力最高只能達(dá)到GB級(jí)，而數(shù)據(jù)中心每天數(shù)據(jù)吞吐量達(dá)到了TB級(jí)，已經(jīng)難以適應(yīng)4G時(shí)代7.1.1傳統(tǒng)行業(yè)數(shù)據(jù)中心發(fā)展面臨數(shù)據(jù)架構(gòu)瓶頸求助于越來(lái)越復(fù)雜的智能算法分配數(shù)據(jù)流量，結(jié)果就是數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越來(lái)越復(fù)雜，大大降低了網(wǎng)絡(luò)的穩(wěn)定性與靈活性數(shù)據(jù)中心擁有的網(wǎng)絡(luò)資源在不斷增長(zhǎng)，而分布式設(shè)計(jì)決定了網(wǎng)絡(luò)架構(gòu)不可能及時(shí)跟上并全方位覆蓋這些新的網(wǎng)絡(luò)資源；分布式設(shè)計(jì)更造成了數(shù)據(jù)中心的網(wǎng)絡(luò)控制面不能統(tǒng)一，不同執(zhí)行架構(gòu)、安全架構(gòu)、運(yùn)維架構(gòu)疊床架屋，增大了系統(tǒng)的脆弱性由于缺乏統(tǒng)一的網(wǎng)絡(luò)控制面，也就不能對(duì)整個(gè)網(wǎng)絡(luò)實(shí)行實(shí)時(shí)、動(dòng)態(tài)的全面流量控制，不能靈活修改路由協(xié)議與網(wǎng)絡(luò)參數(shù)，造成了大量系統(tǒng)資源與帶寬資源的閑置與浪費(fèi)，同時(shí)，另一些服務(wù)器卻出現(xiàn)數(shù)據(jù)堵塞、吞吐量崩潰?；赟DN的云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)從邏輯上將網(wǎng)絡(luò)劃分為4個(gè)層面，從上到下分別是應(yīng)用層面、編排層面、控制層面和轉(zhuǎn)發(fā)層面應(yīng)用層面主要由云管理平臺(tái)與若干SDN應(yīng)用程序組成，同時(shí)還包括傳統(tǒng)網(wǎng)管與SDN網(wǎng)管的部分功能編排層面主要由SDN編輯器組成，主要負(fù)責(zé)對(duì)多個(gè)SDN控制域進(jìn)行協(xié)同編排，以便根據(jù)應(yīng)用平面的業(yè)務(wù)需要靈活地對(duì)網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一管理和自動(dòng)化部署，綜合實(shí)現(xiàn)網(wǎng)絡(luò)資源的控制功能7.1.2基于SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)控制層面由一組SDN控制器組成，能夠在每個(gè)控制器域內(nèi)實(shí)現(xiàn)資源調(diào)度，以滿足SDN應(yīng)用及服務(wù)器對(duì)網(wǎng)絡(luò)資源的需求轉(zhuǎn)發(fā)層面主要由SDN轉(zhuǎn)發(fā)設(shè)備組成，由于現(xiàn)存網(wǎng)絡(luò)中還存在傳統(tǒng)網(wǎng)絡(luò)設(shè)備，故轉(zhuǎn)發(fā)層面也包含部分傳統(tǒng)網(wǎng)絡(luò)設(shè)備，基于SDN的數(shù)據(jù)中心網(wǎng)管系統(tǒng)中也將出現(xiàn)傳統(tǒng)網(wǎng)管和SDN網(wǎng)管并存的現(xiàn)象，SDN網(wǎng)管系統(tǒng)可以獨(dú)立建設(shè)，也可以與傳統(tǒng)網(wǎng)管系統(tǒng)進(jìn)行集成。7.1.2基于SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)7.1.2基于SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)自從1876年電話被發(fā)明之后，電話交換網(wǎng)絡(luò)歷經(jīng)了人工交換機(jī)、步進(jìn)制交換機(jī)、縱橫制交換機(jī)等多個(gè)階段。20世紀(jì)50年代，縱橫制交換機(jī)處于鼎盛時(shí)期?？v橫交換機(jī)的核心，是縱橫連接器這種交換架構(gòu)，是一種開(kāi)關(guān)矩陣，每個(gè)交點(diǎn)（Crosspoint）都是一個(gè)開(kāi)關(guān)。交換機(jī)通過(guò)控制開(kāi)關(guān)，來(lái)完成從輸入到輸出的轉(zhuǎn)發(fā)。7.1.3數(shù)據(jù)中心的Spine-LeaLf組網(wǎng)架構(gòu)開(kāi)關(guān)矩陣很像一塊布的纖維，所以，交換機(jī)的內(nèi)部架構(gòu)，被稱(chēng)為SwitchFabric隨著電話用戶數(shù)量急劇增加，網(wǎng)絡(luò)規(guī)?？焖贁U(kuò)大，基于crossbar模型的交換機(jī)在能力和成本上都無(wú)法滿足要求7.1.3數(shù)據(jù)中心的Spine-LeaLf組網(wǎng)架構(gòu)開(kāi)關(guān)矩陣（交點(diǎn)數(shù)量=N2）CharlesClos提出的網(wǎng)絡(luò)模型，核心思想是：用多個(gè)小規(guī)模、低成本的單元，構(gòu)建復(fù)雜、大規(guī)模的網(wǎng)絡(luò)CharlesClos提出的網(wǎng)絡(luò)模型7.1.3數(shù)據(jù)中心的Spine-LeaLf組網(wǎng)架構(gòu)到了20世紀(jì)80年代，隨著計(jì)算機(jī)網(wǎng)絡(luò)的興起，開(kāi)始出現(xiàn)了各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，例如星型、鏈型、環(huán)型、樹(shù)型2000年之后，互聯(lián)網(wǎng)從經(jīng)濟(jì)危機(jī)中復(fù)蘇，以谷歌和亞馬遜為代表的互聯(lián)網(wǎng)巨頭開(kāi)始崛起。他們開(kāi)始推行云計(jì)算技術(shù)，建設(shè)大量的數(shù)據(jù)中心（IDC），甚至超級(jí)數(shù)據(jù)中心。面對(duì)日益龐大的計(jì)算規(guī)模，傳統(tǒng)樹(shù)型網(wǎng)絡(luò)肯定是不行的了一種改進(jìn)型樹(shù)型網(wǎng)絡(luò)開(kāi)始出現(xiàn)，它就是胖樹(shù)（Fat-Tree）架構(gòu)胖樹(shù)（Fat-Tree）就是一種CLOS網(wǎng)絡(luò)架構(gòu)。相比于傳統(tǒng)樹(shù)型，胖樹(shù)（Fat-Tree）更像是真實(shí)的樹(shù)，越到樹(shù)根，枝干越粗。從葉子到樹(shù)根，網(wǎng)絡(luò)帶寬不收斂.7.1.3數(shù)據(jù)中心的Spine-LeaLf組網(wǎng)架構(gòu)胖樹(shù)胖樹(shù)架構(gòu)胖樹(shù)基本理念：使用大量的低性能交換機(jī)，構(gòu)建出大規(guī)模的無(wú)阻塞網(wǎng)絡(luò)。對(duì)于任意的通信模式，總有路徑讓他們的通信帶寬達(dá)到網(wǎng)卡帶寬。胖樹(shù)架構(gòu)被引入到數(shù)據(jù)中心之后，數(shù)據(jù)中心變成了傳統(tǒng)的三層結(jié)構(gòu)。接入層：用于連接所有的計(jì)算節(jié)點(diǎn)。通常以機(jī)柜交換機(jī)（TOR，TopofRack，柜頂交換機(jī)）的形式存在。匯聚層：用于接入層的互聯(lián)，并作為該匯聚區(qū)域二三層的邊界。各種防火墻、負(fù)載均衡等業(yè)務(wù)也部署于此。核心層：用于匯聚層的互聯(lián)，并實(shí)現(xiàn)整個(gè)數(shù)據(jù)中心與外部網(wǎng)絡(luò)的三層通信。2010年之后，為了提高計(jì)算和存儲(chǔ)資源的利用率，所有的數(shù)據(jù)中心都開(kāi)始采用虛擬化技術(shù)。網(wǎng)絡(luò)中開(kāi)始出現(xiàn)了大量的虛擬機(jī)（VM，VirtualMachine）與此同時(shí)，微服務(wù)架構(gòu)開(kāi)始流行，很多軟件開(kāi)始推行功能解耦，單個(gè)服務(wù)變成了多個(gè)服務(wù)，部署在不同的虛擬機(jī)上。虛擬機(jī)之間的流量，大幅增加。核心交換機(jī)和匯聚交換機(jī)的工作壓力不斷增加。要支持大規(guī)模的網(wǎng)絡(luò)，就必須有性能最好、端口密度最大的匯聚層核心層設(shè)備。這樣的設(shè)備成本高，價(jià)格非常昂貴網(wǎng)絡(luò)工程師們提出了“Spine-Leaf網(wǎng)絡(luò)架構(gòu)”——葉脊網(wǎng)絡(luò)（脊葉網(wǎng)絡(luò)）。葉脊網(wǎng)絡(luò)葉脊網(wǎng)絡(luò)架構(gòu)，和胖樹(shù)結(jié)構(gòu)一樣，同屬于CLOS網(wǎng)絡(luò)模型。相比于傳統(tǒng)網(wǎng)絡(luò)的三層架構(gòu)，葉脊網(wǎng)絡(luò)進(jìn)行了扁平化，變成了兩層架構(gòu)葉脊網(wǎng)絡(luò)Spine-Leaf網(wǎng)絡(luò)架構(gòu)葉交換機(jī)，相當(dāng)于傳統(tǒng)三層架構(gòu)中的接入交換機(jī)，作為T(mén)OR（TopOfRack）直接連接物理服務(wù)器。葉交換機(jī)之上是三層網(wǎng)絡(luò)，之下都是個(gè)獨(dú)立的L2廣播域。如果說(shuō)兩個(gè)葉交換機(jī)下的服務(wù)器需要通信，需要經(jīng)由脊交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。脊交換機(jī)，相當(dāng)于核心交換機(jī)。葉和脊交換機(jī)之間通過(guò)ECMP（EqualCostMultiPath）動(dòng)態(tài)選擇多條路徑。脊交換機(jī)下行端口數(shù)量，決定了葉交換機(jī)的數(shù)量。而葉交換機(jī)上行端口數(shù)量，決定了脊交換機(jī)的數(shù)量。它們共同決定了葉脊網(wǎng)絡(luò)的規(guī)模。葉脊網(wǎng)絡(luò)葉脊網(wǎng)絡(luò)脊交換機(jī)與葉交換機(jī)葉脊網(wǎng)絡(luò)的優(yōu)勢(shì)1、帶寬利用率高：每個(gè)葉交換機(jī)的上行鏈路，以負(fù)載均衡方式工作，充分地利用了帶寬。2、網(wǎng)絡(luò)延遲可預(yù)測(cè)：在以上模型中，葉交換機(jī)之間的連通路徑的條數(shù)可確定，均只需經(jīng)過(guò)一個(gè)脊交換機(jī)，東西向網(wǎng)絡(luò)延時(shí)可預(yù)測(cè)。3、擴(kuò)展性好：當(dāng)帶寬不足時(shí)，增加脊交換機(jī)數(shù)量，可水平擴(kuò)展帶寬。當(dāng)服務(wù)器數(shù)量增加時(shí)，增加脊交換機(jī)數(shù)量，也可以擴(kuò)大數(shù)據(jù)中心規(guī)模?？傊?，規(guī)劃和擴(kuò)容非常方便。葉脊網(wǎng)絡(luò)葉脊網(wǎng)絡(luò)的優(yōu)勢(shì)4、帶寬利用率高：每個(gè)葉交換機(jī)的上行鏈路，以負(fù)載均衡方式工作，充分地利用4、降低對(duì)交換機(jī)的要求：南北向流量，可以從葉節(jié)點(diǎn)出去，也可從脊節(jié)點(diǎn)出去。東西向流量，分布在多條路徑上。這樣一來(lái)，不需要昂貴的高性能高帶寬交換機(jī)。5、安全性和可用性高：傳統(tǒng)網(wǎng)絡(luò)采用STP協(xié)議，當(dāng)一臺(tái)設(shè)備故障時(shí)就會(huì)重新收斂，影響網(wǎng)絡(luò)性能甚至發(fā)生故障。葉脊架構(gòu)中，一臺(tái)設(shè)備故障時(shí)，不需重新收斂，流量繼續(xù)在其他正常路徑上通過(guò)，網(wǎng)絡(luò)連通性不受影響，帶寬也只減少一條路徑的帶寬，性能影響微乎其微葉脊網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)是通過(guò)網(wǎng)絡(luò)虛擬化技術(shù)，在同一張Underlay網(wǎng)絡(luò)上構(gòu)建出的一張或者多張?zhí)摂M的邏輯網(wǎng)絡(luò)。不同的Overlay網(wǎng)絡(luò)雖然共享Underlay網(wǎng)絡(luò)中的設(shè)備和線路，但是Overlay網(wǎng)絡(luò)中的業(yè)務(wù)與Underlay網(wǎng)絡(luò)中的物理組網(wǎng)和互聯(lián)技術(shù)相互解耦。Overlay網(wǎng)絡(luò)的多實(shí)例化，既可以服務(wù)于同一租戶的不同業(yè)務(wù)（如多個(gè)部門(mén)），也可以服務(wù)于不同租戶，是SD-WAN以及數(shù)據(jù)中心等解決方案使用的核心組網(wǎng)技術(shù)。Overlay網(wǎng)絡(luò)和Underlay網(wǎng)絡(luò)是一組相對(duì)概念，Overlay網(wǎng)絡(luò)是建立在Underlay網(wǎng)絡(luò)上的邏輯網(wǎng)絡(luò)。而為什么要建立Overlay網(wǎng)絡(luò)，就要從底層Underlay網(wǎng)絡(luò)的概念以及局限講起。計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下兩大類(lèi)威脅：被動(dòng)攻擊和主動(dòng)攻擊。7.1.4數(shù)據(jù)中心的Overlay網(wǎng)絡(luò)Underlay是Overlay網(wǎng)絡(luò)的底層物理基礎(chǔ)Underlay網(wǎng)絡(luò)可以是由多個(gè)類(lèi)型設(shè)備互聯(lián)而成的物理網(wǎng)絡(luò)，負(fù)責(zé)網(wǎng)絡(luò)之間的數(shù)據(jù)包傳輸U(kuò)nderlay網(wǎng)絡(luò)典型的Underlay網(wǎng)絡(luò)在Underlay網(wǎng)絡(luò)中，互聯(lián)的設(shè)備可以是各類(lèi)型交換機(jī)、路由器、負(fù)載均衡設(shè)備、防火墻等，但網(wǎng)絡(luò)的各個(gè)設(shè)備之間必須通過(guò)路由協(xié)議來(lái)確保之間IP的連通性。Underlay網(wǎng)絡(luò)可以是二層也可以是三層網(wǎng)絡(luò)。、二層網(wǎng)絡(luò)通常應(yīng)用于以太網(wǎng)，通過(guò)VLAN進(jìn)行劃分。三層網(wǎng)絡(luò)的典型應(yīng)用就是互聯(lián)網(wǎng)，其在同一個(gè)自治域使用OSPF、IS-IS等協(xié)議進(jìn)行路由控制，在各個(gè)自治域之間則采用BGP等協(xié)議進(jìn)行路由傳遞與互聯(lián)。隨著技術(shù)的進(jìn)步，也出現(xiàn)了使用MPLS這種介于二三層的WAN技術(shù)搭建的Underlay網(wǎng)絡(luò)Underlay網(wǎng)絡(luò)傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)包的轉(zhuǎn)發(fā)都基于硬件，其構(gòu)建而成的Underlay網(wǎng)絡(luò)也產(chǎn)生了如下的問(wèn)題由于硬件根據(jù)目的IP地址進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以傳輸?shù)穆窂揭蕾?lài)十分嚴(yán)重。新增或變更業(yè)務(wù)需要對(duì)現(xiàn)有底層網(wǎng)絡(luò)連接進(jìn)行修改，重新配置耗時(shí)嚴(yán)重?；ヂ?lián)網(wǎng)不能保證私密通信的安全要求。網(wǎng)絡(luò)切片和網(wǎng)絡(luò)分段實(shí)現(xiàn)復(fù)雜，無(wú)法做到網(wǎng)絡(luò)資源的按需分配。多路徑轉(zhuǎn)發(fā)煩瑣，無(wú)法融合多個(gè)底層網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)負(fù)載均衡。Underlay網(wǎng)絡(luò)為了擺脫Underlay網(wǎng)絡(luò)的種種限制，現(xiàn)在多采用網(wǎng)絡(luò)虛擬化技術(shù)在Underlay網(wǎng)絡(luò)之上創(chuàng)建虛擬的Overlay網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)拓?fù)湓贠verlay網(wǎng)絡(luò)中，設(shè)備之間可以通過(guò)邏輯鏈路，按照需求完成互聯(lián)形成Overlay拓?fù)湎嗷ミB接的Overlay設(shè)備之間建立隧道，數(shù)據(jù)包準(zhǔn)備傳輸出去時(shí)，設(shè)備為數(shù)據(jù)包添加新的IP頭部和隧道頭部，并且被屏蔽掉內(nèi)層的IP頭部，數(shù)據(jù)包根據(jù)新的IP頭部進(jìn)行轉(zhuǎn)發(fā)。當(dāng)數(shù)據(jù)包傳遞到另一個(gè)設(shè)備后，外部的IP報(bào)頭和隧道頭將被丟棄，得到原始的數(shù)據(jù)包，在這個(gè)過(guò)程中Overlay網(wǎng)絡(luò)并不感知Underlay網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)有著各種網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)，包括VXLAN、NVGRE、SST、GRE、NVO3、EVPN等Overlay網(wǎng)絡(luò)隨著SDN技術(shù)的引入，加入了控制器的Overlay網(wǎng)絡(luò)，有著如下的優(yōu)點(diǎn)流量傳輸不依賴(lài)特定線路。Overlay網(wǎng)絡(luò)使用隧道技術(shù)，可以靈活選擇不同的底層鏈路，使用多種方式保證流量的穩(wěn)定傳輸。Overlay網(wǎng)絡(luò)可以按照需求建立不同的虛擬拓?fù)浣M網(wǎng)，無(wú)需對(duì)底層網(wǎng)絡(luò)作出修改通過(guò)加密手段可以解決保護(hù)私密流量在互聯(lián)網(wǎng)上的通信。支持網(wǎng)絡(luò)切片與網(wǎng)絡(luò)分段。將不同的業(yè)務(wù)分割開(kāi)來(lái)，可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的最優(yōu)分配支持多路徑轉(zhuǎn)發(fā)。在Overlay網(wǎng)絡(luò)中，流量從源傳輸?shù)侥康目赏ㄟ^(guò)多條路徑，從而實(shí)現(xiàn)負(fù)載分擔(dān)，最大化利用線路的帶寬。Overlay網(wǎng)絡(luò)隨著數(shù)據(jù)中心架構(gòu)演進(jìn)，現(xiàn)在數(shù)據(jù)中心多采用Spine-Leaf架構(gòu)構(gòu)建Underlay網(wǎng)絡(luò)，通過(guò)VXLAN技術(shù)構(gòu)建互聯(lián)的Overlay網(wǎng)絡(luò)，業(yè)務(wù)報(bào)文運(yùn)行在VXLANOverlay網(wǎng)絡(luò)上，與物理承載網(wǎng)絡(luò)解耦數(shù)據(jù)中心的Overlay網(wǎng)絡(luò)Leaf與Spine全連接，等價(jià)多路徑提高了網(wǎng)絡(luò)的可用性。Leaf節(jié)點(diǎn)作為網(wǎng)絡(luò)功能接入節(jié)點(diǎn)，提供Underlay網(wǎng)絡(luò)中各種網(wǎng)絡(luò)設(shè)備接入VXLAN網(wǎng)絡(luò)功能，同時(shí)也作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備承擔(dān)VTEP（VXLANTunnelEndPoint）的角色。Spine節(jié)點(diǎn)即骨干節(jié)點(diǎn)，是數(shù)據(jù)中心網(wǎng)絡(luò)的核心節(jié)點(diǎn)，提供高速I(mǎi)P轉(zhuǎn)發(fā)功能，通過(guò)高速接口連接各個(gè)功能Leaf節(jié)點(diǎn)數(shù)據(jù)中心的Overlay網(wǎng)絡(luò)7.2.1 數(shù)據(jù)中心網(wǎng)絡(luò)SDN總體設(shè)計(jì)7.2.2 數(shù)據(jù)中心SDN整體部署7.2校園網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)SDN規(guī)劃應(yīng)用7.2.1數(shù)據(jù)中心網(wǎng)絡(luò)SDN總體設(shè)計(jì)高校校園網(wǎng)傳統(tǒng)數(shù)據(jù)中心基本上都是層次化、模塊化的建設(shè)模式弊端：資源利用率不高、建設(shè)及交付時(shí)間長(zhǎng)、重復(fù)資金投入、網(wǎng)絡(luò)規(guī)劃復(fù)雜等計(jì)算虛擬化技術(shù)的應(yīng)用和普及，將高校校園網(wǎng)數(shù)據(jù)中心實(shí)現(xiàn)了計(jì)算資源池化部署。為了滿足計(jì)算虛擬化對(duì)網(wǎng)絡(luò)技術(shù)提出的大二層互通等新需求，開(kāi)始應(yīng)用Vxlan等網(wǎng)絡(luò)虛擬化技術(shù)，網(wǎng)絡(luò)管理部門(mén)負(fù)責(zé)規(guī)劃建設(shè)和擴(kuò)容，業(yè)務(wù)部門(mén)按照自身的需求主動(dòng)申請(qǐng)池化資源，項(xiàng)目新建及擴(kuò)容工作不會(huì)再與業(yè)務(wù)部門(mén)具體需求強(qiáng)相關(guān)和強(qiáng)耦合。隨著云計(jì)算技術(shù)的發(fā)展，數(shù)據(jù)中心的網(wǎng)絡(luò)支撐進(jìn)入到SDN時(shí)代。云平臺(tái)上集中統(tǒng)一整合了對(duì)數(shù)據(jù)中心的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)池化資源，幫助業(yè)務(wù)部門(mén)將業(yè)務(wù)上線時(shí)間大大縮短，真正實(shí)現(xiàn)了面向應(yīng)用的自動(dòng)化部署數(shù)據(jù)中心SDN構(gòu)架圖數(shù)據(jù)中心SDN構(gòu)架由三大關(guān)鍵部分構(gòu)成，形成“一網(wǎng)雙平面”的松耦合架構(gòu)，作為業(yè)務(wù)平面，CloudOS面向交付，用來(lái)支撐DevOps模型作為運(yùn)維平面，F(xiàn)abricDirector面向運(yùn)營(yíng)，支撐業(yè)務(wù)運(yùn)營(yíng)體系VCFFabric作為面向云的新一代IT基礎(chǔ)架構(gòu)，包含SDN控制器VCFC以及所有軟硬件網(wǎng)元，負(fù)責(zé)接入數(shù)據(jù)中心的計(jì)算及存儲(chǔ)池化資源，統(tǒng)籌實(shí)現(xiàn)用戶從業(yè)務(wù)平面及運(yùn)維平面下發(fā)的業(yè)務(wù)模型和運(yùn)維指令。7.2.2數(shù)據(jù)中心SDN整體部署在云平臺(tái)申請(qǐng)計(jì)算資源、存儲(chǔ)資源、虛擬網(wǎng)絡(luò)的場(chǎng)景下，計(jì)算和存儲(chǔ)資源是業(yè)務(wù)部署需要，而虛擬網(wǎng)絡(luò)則必須要將計(jì)算資源和存儲(chǔ)資源有機(jī)的連接起來(lái)，所以必須支持完整的軟件定義網(wǎng)絡(luò)模型來(lái)保證滿足不同業(yè)務(wù)的網(wǎng)絡(luò)互通或隔離需求。必須提供完整的網(wǎng)絡(luò)抽象模型，抽象端口，二層、三層網(wǎng)絡(luò)及應(yīng)用層網(wǎng)絡(luò)服務(wù)。用戶可以自由定義網(wǎng)絡(luò)，而物理網(wǎng)絡(luò)保持不變?？紤]到各類(lèi)Overlay組網(wǎng)及網(wǎng)關(guān)角色的特點(diǎn)，主機(jī)/混合Overlay會(huì)配合集中式網(wǎng)關(guān)使用，網(wǎng)絡(luò)Overlay會(huì)配合分布式網(wǎng)關(guān)使用典型組網(wǎng)場(chǎng)景關(guān)鍵特性場(chǎng)景一：主機(jī)/混合Overlay+集中控制模型+集中式網(wǎng)關(guān)場(chǎng)景二：網(wǎng)絡(luò)Overlay+集中控制模型+集中式網(wǎng)關(guān)場(chǎng)景三：網(wǎng)絡(luò)Overlay+松散控制模型+分布式網(wǎng)關(guān)轉(zhuǎn)發(fā)性能中高高流量模型最優(yōu)存在繞行最優(yōu)計(jì)算虛擬化兼容性與廠商支持度相關(guān)好好組網(wǎng)規(guī)模中小規(guī)模組網(wǎng)中小規(guī)模組網(wǎng)無(wú)限制網(wǎng)絡(luò)可靠性中中高多場(chǎng)景對(duì)比主機(jī)/混合Overlay+集中控制模型+集中式網(wǎng)關(guān)由于運(yùn)行在內(nèi)核態(tài)的虛擬交換機(jī)沒(méi)有實(shí)現(xiàn)完整的TCP/IP協(xié)議棧，無(wú)法承擔(dān)VxlanL3網(wǎng)關(guān)功能，也無(wú)法支持EVPN協(xié)議，因此主機(jī)/混合Overlay組網(wǎng)通常會(huì)選擇集中控制模型和集中式網(wǎng)關(guān)。同時(shí)虛擬交換機(jī)嚴(yán)格按照控制器下發(fā)的流表進(jìn)行轉(zhuǎn)發(fā)，由于不受硬件轉(zhuǎn)發(fā)芯片的格式限制，控制器可以將源和目的均為本數(shù)據(jù)中心內(nèi)主機(jī)的L3轉(zhuǎn)發(fā)表項(xiàng)也下發(fā)到虛擬交換機(jī)，使其具備一部分分布式網(wǎng)關(guān)的功能。對(duì)于源或目的不是本數(shù)據(jù)中心內(nèi)主機(jī)的情況，仍然需要送到專(zhuān)門(mén)的VxlanL3網(wǎng)關(guān)處理。該場(chǎng)景的VxlanL3網(wǎng)關(guān)及L2VTEP均可使用軟件網(wǎng)元承擔(dān)，適用于傳統(tǒng)數(shù)據(jù)中心的SDN改造。網(wǎng)絡(luò)Overlay+集中控制模型+集中式網(wǎng)關(guān)網(wǎng)絡(luò)Overlay組網(wǎng)通常為Spine-Leaf架構(gòu)全硬件組網(wǎng)，硬件設(shè)備可以很好地支持EVPN/Vxlan協(xié)議，使用分布式網(wǎng)關(guān)也保證了硬件轉(zhuǎn)發(fā)流量路徑最優(yōu)。該場(chǎng)景的轉(zhuǎn)發(fā)性能高，同時(shí)分布式網(wǎng)關(guān)適合網(wǎng)絡(luò)橫向擴(kuò)容，是新建數(shù)據(jù)中心大規(guī)模組網(wǎng)的理想選擇。Underlay網(wǎng)絡(luò)自動(dòng)部署Underlay自動(dòng)化部署，由Director和Spine-Leaf網(wǎng)絡(luò)設(shè)備配合完成。（1）Fabric的劃分和規(guī)劃將物理設(shè)備根據(jù)涉及拓?fù)溥B線，包括冗余線路等，在服務(wù)器部署Director管理程序，讓物理設(shè)備和Director同時(shí)接入管理網(wǎng)絡(luò)Underlay網(wǎng)絡(luò)是基礎(chǔ)物理網(wǎng)絡(luò)，同樣需要完成網(wǎng)絡(luò)規(guī)劃，包括接入IP地址、路由等配置，規(guī)劃部署完成后會(huì)自動(dòng)生成基于Spine-Leaf規(guī)劃拓?fù)洹Ｊ褂肈irector軟件對(duì)于已生成的Underlay網(wǎng)絡(luò)進(jìn)行軟件定義，其中主要是一些自動(dòng)化預(yù)配置?；赟pine的設(shè)備角色，通過(guò)Director軟件完成設(shè)備自動(dòng)配置模板，同時(shí)采用兩個(gè)BorderLeaf的方案，指定Fabric的BorderLeaf角色。Underlay網(wǎng)絡(luò)自動(dòng)部署（2）自動(dòng)化配置下發(fā)Underlay網(wǎng)絡(luò)自動(dòng)配置完成后，會(huì)提供一個(gè)IP路由可達(dá)的三層網(wǎng)絡(luò)作為Overlay自動(dòng)化配置下發(fā)使用步驟：設(shè)備上電，基于Spine設(shè)備和Leaf設(shè)備的不同角色，自動(dòng)獲取管理IP地址、版本信息和預(yù)配置模板等。根據(jù)Underlay網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)生成Underlay網(wǎng)絡(luò)載體設(shè)備配置。自動(dòng)下發(fā)IRF配置至設(shè)備，并配置OSPF路由。Underlay網(wǎng)絡(luò)自動(dòng)部署（3）可視化部署Director管理軟件會(huì)根據(jù)已配置的IP地址段掃描設(shè)備，Underlay網(wǎng)絡(luò)的動(dòng)態(tài)拓?fù)?，?shí)時(shí)呈現(xiàn)自動(dòng)化狀態(tài)和部署進(jìn)度：自動(dòng)化部署初始化：根據(jù)設(shè)備角色加載預(yù)配置的軟件版本和模板，進(jìn)入設(shè)備自動(dòng)化開(kāi)始狀態(tài)。查看實(shí)時(shí)拓?fù)錉顟B(tài)和IRF狀態(tài)變更：設(shè)備物理互聯(lián)接口發(fā)生起宕后，端口獲取到IP地址后，路由發(fā)生變化和收斂后，會(huì)上報(bào)至可視化管理平臺(tái)。設(shè)備加入IRF、完成加入IRF、IRF發(fā)生分裂，會(huì)分別以IRF開(kāi)始、IRF結(jié)束、設(shè)備離開(kāi)IRF三個(gè)狀態(tài)上報(bào)至可視化管理平臺(tái)。同時(shí)Spine設(shè)備和Leaf設(shè)備的鏈路三層互聯(lián)狀態(tài)和性能也會(huì)以圖形的形式在管理平臺(tái)展示。自動(dòng)化部署結(jié)束后，F(xiàn)abric自動(dòng)化部署過(guò)程會(huì)呈現(xiàn)結(jié)束狀態(tài)。Underlay網(wǎng)絡(luò)自動(dòng)部署（4）資源納管Underlay網(wǎng)絡(luò)部署自動(dòng)化完成后，Underlay網(wǎng)絡(luò)內(nèi)的所有支撐節(jié)點(diǎn)都會(huì)被Director管理軟件納管。Overlay網(wǎng)絡(luò)部署（1）SDN網(wǎng)絡(luò)模型建立網(wǎng)絡(luò)模型SDN控制器同時(shí)也可以支持整合OpenStackNeutron的標(biāo)準(zhǔn)網(wǎng)絡(luò)模型，既可以通過(guò)云平臺(tái)也可以通過(guò)Director軟件管理界面配置虛擬化網(wǎng)絡(luò)，從而達(dá)到軟件定義網(wǎng)絡(luò)的功能。Overlay網(wǎng)絡(luò)部署（2）Overlay配置下發(fā)到設(shè)備虛擬網(wǎng)絡(luò)模型轉(zhuǎn)換為具體配置后，將向納管網(wǎng)元下發(fā)配置，其中包含類(lèi)型有：VPN實(shí)例配置、三層網(wǎng)絡(luò)VNI配置、接口配置、AC管理器配置，同時(shí)也會(huì)帶入Vxlan和傳統(tǒng)網(wǎng)絡(luò)Vlan的對(duì)應(yīng)關(guān)系配置。下發(fā)配置的方式，按下發(fā)配置的時(shí)間節(jié)點(diǎn)有兩種方式：一種是配置預(yù)先下發(fā)，在配置完成后立刻下發(fā)到網(wǎng)元，不需要使用相關(guān)配置預(yù)先下發(fā)以備設(shè)備上線后直接使用；還有一種是配置按需下發(fā)，使得AC配置在主機(jī)上線時(shí)下發(fā)。Overlay網(wǎng)絡(luò)部署（3）Fabric接入設(shè)置如果將Fabric整體看成一臺(tái)虛擬網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)中心的所有軟硬件資源，包括計(jì)算及存儲(chǔ)資源、數(shù)據(jù)中心出口的外部網(wǎng)絡(luò)，都必須接入到Fabric的某個(gè)端口，才能正常使用。支持接入的資源包括：VM虛擬機(jī)接入：VM虛擬機(jī)通過(guò)ARP/DHCP報(bào)文上線、VM遷移時(shí)支持配置及策略隨遷。外部網(wǎng)絡(luò)網(wǎng)元接入：通過(guò)配置服務(wù)網(wǎng)關(guān)組或者配置虛擬Border實(shí)現(xiàn)。第三方防火墻接入：為了實(shí)現(xiàn)安全引流的功能，需要通過(guò)控制器下發(fā)引流策略。7.3.1 控制器功能設(shè)計(jì)7.3.2 控制器系統(tǒng)架構(gòu)7.3面向數(shù)據(jù)中心網(wǎng)絡(luò)的SDN控制器設(shè)計(jì)7.3.1控制器功能設(shè)計(jì)控制器功能可以分為四個(gè)主要部分，分別為：基礎(chǔ)信息處理、信息處理和決策、業(yè)務(wù)與服務(wù)、可視化7.3.2控制器系統(tǒng)架構(gòu)面向數(shù)據(jù)中心應(yīng)用的SDN控制器架構(gòu)基礎(chǔ)層：主要包括網(wǎng)絡(luò)監(jiān)控模塊和資源管理模塊，通過(guò)南向接口獲取網(wǎng)絡(luò)狀態(tài)信息，對(duì)信息進(jìn)行維護(hù)和存儲(chǔ)，是SDN控制器擁有全局網(wǎng)絡(luò)信息的必要部分。決策層：對(duì)基礎(chǔ)層提供的網(wǎng)絡(luò)拓?fù)湫畔?、?shù)據(jù)統(tǒng)計(jì)信息等進(jìn)行整體，對(duì)網(wǎng)絡(luò)狀態(tài)分析處理，當(dāng)網(wǎng)絡(luò)狀態(tài)滿足一定的條件，觸發(fā)事件，進(jìn)行業(yè)務(wù)層的處理。業(yè)務(wù)層：進(jìn)行業(yè)務(wù)的部署和策略的下發(fā)，進(jìn)行網(wǎng)絡(luò)資源的調(diào)度和分配，基于網(wǎng)絡(luò)負(fù)載情況進(jìn)行路由選擇，動(dòng)態(tài)調(diào)整路由，并對(duì)網(wǎng)絡(luò)故障問(wèn)題進(jìn)行處理，根據(jù)服務(wù)實(shí)現(xiàn)流量控制?？梢暬喊〝U(kuò)展數(shù)據(jù)庫(kù)和可視化界面，將全網(wǎng)的狀態(tài)信息和統(tǒng)計(jì)信息通過(guò)數(shù)據(jù)庫(kù)實(shí)現(xiàn)持久化存儲(chǔ)，進(jìn)行界面的開(kāi)發(fā)，通過(guò)可視化界面展示網(wǎng)絡(luò)狀態(tài)信息。7.4.9

粒計(jì)算理論7.4.8

運(yùn)行機(jī)制7.4.7

模塊設(shè)計(jì)7.4.6

整體架構(gòu)7.4.13

總結(jié)7.4.12

測(cè)試7.4.11

多粒度安全管理模型7.4.10

安全服務(wù)?；?.4.1控制器安全問(wèn)題7.4.5

安全方案7.4.4

南向接口安全問(wèn)題7.4.3 應(yīng)用安全問(wèn)題7.4.2流表安全問(wèn)題7.4多粒度安全控制器架構(gòu)一方面，在傳統(tǒng)的TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)中存在的安全威脅仍然會(huì)成為SDN安全問(wèn)題的一部分。作為底層的網(wǎng)絡(luò)架構(gòu)，必然會(huì)受到竊聽(tīng)、偽裝、重播、篡改等攻擊方式的威脅。另一方面，SDN在新架構(gòu)的環(huán)境下，會(huì)出現(xiàn)新的不同于以往的安全問(wèn)題。7.4多粒度安全控制器架構(gòu)7.4.1控制器安全問(wèn)題控制器攻擊在基于OpenFlow的SDN體系中，控制器是網(wǎng)絡(luò)的核心管理者，其穩(wěn)定性對(duì)網(wǎng)絡(luò)至關(guān)重要。由于控制器數(shù)量有限且設(shè)備管理集中，它們成為網(wǎng)絡(luò)的潛在脆弱點(diǎn)。攻擊者攻擊控制器可能導(dǎo)致整個(gè)網(wǎng)絡(luò)受控。面對(duì)拒絕服務(wù)攻擊，雖然攻擊通常不直接針對(duì)控制器，但根據(jù)OpenFlow協(xié)議，大量流量需經(jīng)控制器處理，可能使控制器負(fù)載過(guò)重，甚至失效。同時(shí)，交換機(jī)緩存可能因大量待處理數(shù)據(jù)包而滿溢，阻礙正常數(shù)據(jù)包傳輸，最終可能引發(fā)網(wǎng)絡(luò)癱瘓。7.4.2流表安全問(wèn)題流表規(guī)則繞過(guò)

在OpenFlow中流表是網(wǎng)絡(luò)功能實(shí)現(xiàn)的基本保障。保障流表的穩(wěn)定、無(wú)誤是保障SDN安全必不可少的條件。網(wǎng)絡(luò)運(yùn)行中添加流表產(chǎn)生的策略不一致問(wèn)題，或惡意的流表寫(xiě)入都可能導(dǎo)致網(wǎng)絡(luò)功能的異常甚至癱瘓。同時(shí)，流表下發(fā)時(shí)，時(shí)延問(wèn)題會(huì)導(dǎo)致交換機(jī)之間的邏輯不一致，這也會(huì)引發(fā)一定的問(wèn)題7.4.3應(yīng)用安全問(wèn)題SDN的開(kāi)放北向接口為開(kāi)發(fā)者提供了開(kāi)發(fā)網(wǎng)絡(luò)應(yīng)用的便利，但同時(shí)也帶來(lái)了安全隱患。若接口被無(wú)限制使用，攻擊者可能通過(guò)惡意應(yīng)用破壞控制層。即使是正常應(yīng)用，不同應(yīng)用的網(wǎng)絡(luò)操作也可能引發(fā)流表安全問(wèn)題。7.4.4南向接口安全問(wèn)題

目前南向接口主要是指OpenFlow協(xié)議，OpenFlow采用SSL/TLS協(xié)議作為控制器與交換機(jī)的通信安全協(xié)議。攻擊者可以利用協(xié)議的弱點(diǎn)，通過(guò)控制交換機(jī)等方式與對(duì)控制器發(fā)動(dòng)攻擊。7.4.5安全方案控制器防御方案流表管理方案應(yīng)用管理方案安全方案擴(kuò)展7.4.5安全方案

對(duì)于控制器的拒絕服務(wù)攻擊，通常的攻擊方式都是利用OpenFlow的Packet-In消息以未知流量發(fā)動(dòng)。依據(jù)對(duì)Packet-In消息的定義，采用基于Packet-In流量特征的檢測(cè)或基于機(jī)器學(xué)習(xí)的檢測(cè)等方法，對(duì)惡意的Packet-In消息進(jìn)行識(shí)別和過(guò)濾，可以防御針對(duì)控制器的DoS攻擊。

1.控制器防御方案7.4.5安全方案若在Packet-In消息發(fā)送到控制器后先進(jìn)行入侵檢測(cè)，那么惡意的消息將被忽略?；镜奶幚砹鞒虨椋航馕鯬acket-In消息，根據(jù)消息字段定義為PacketIn=(in_sw,in_port,in_res,src_mac,dst_mac,src_ip,dst_ip,src_port,dst_port)；通過(guò)控制器的入侵檢測(cè)功能識(shí)別Packet-In消息的安全性；根據(jù)識(shí)別結(jié)果選擇丟棄該消息或由控制器處理該消息。經(jīng)過(guò)入侵檢測(cè)后，控制器只需要處理正常數(shù)據(jù)流產(chǎn)生的Packet-In消息，處理資源將不會(huì)因攻擊而被消耗。1.控制器防御方案7.4.5安全方案

流表安全問(wèn)題的主要根源是配置的一致性問(wèn)題，新流表項(xiàng)的寫(xiě)入需要確保與已存在的流表項(xiàng)不產(chǎn)生邏輯沖突。

在控制器中，將每條轉(zhuǎn)發(fā)策略進(jìn)行存儲(chǔ)并及時(shí)更新，利用沖突檢測(cè)算法對(duì)新策略進(jìn)行檢測(cè)，通過(guò)檢測(cè)的策略才將其流表寫(xiě)入交換機(jī)，這樣就避免了流表邏輯的混亂。2.流表管理方案7.4.5安全方案那么由于交換機(jī)B的流表修改產(chǎn)生的問(wèn)題就會(huì)在控制器中被提前識(shí)別。沖突檢測(cè)基本過(guò)程為：將流表策略簡(jiǎn)化，得到FlowPolicy=(src,dst,action)的形式，以newPolicy和oldPolicy表示新的策略集合和已經(jīng)存在的策略集合；將newPolicy中無(wú)法和oldPolicy匹配的FlowPolicy忽略；將newPolicy中與oldPolicy動(dòng)作相同的FlowPolicy忽略；如果newPolicy和oldPolicy仍然存在交集，則報(bào)告沖突。2.流表管理方案7.4.5安全方案SDN的北向接口開(kāi)放性是應(yīng)用創(chuàng)新的關(guān)鍵，它在一定程度上賦予了開(kāi)發(fā)者網(wǎng)絡(luò)管理的能力。為保障網(wǎng)絡(luò)安全，需對(duì)控制器上的應(yīng)用程序進(jìn)行權(quán)限管理和行為監(jiān)控。首先，要對(duì)應(yīng)用調(diào)用接口的權(quán)限進(jìn)行控制，確?？刂破骱途W(wǎng)絡(luò)管理者知曉所需權(quán)限。其次，應(yīng)用在運(yùn)行前應(yīng)進(jìn)行惡意代碼檢測(cè)，并在沙箱環(huán)境中測(cè)試以防止?jié)撛陲L(fēng)險(xiǎn)。對(duì)于涉及敏感權(quán)限的應(yīng)用，應(yīng)實(shí)施實(shí)時(shí)行為監(jiān)控，以避免對(duì)網(wǎng)絡(luò)運(yùn)行造成破壞。3.應(yīng)用管理方案7.4.5安全方案

控制器作為網(wǎng)絡(luò)的集中控制者，其可靠性對(duì)網(wǎng)絡(luò)運(yùn)行至關(guān)重要。單一控制器的故障可能導(dǎo)致網(wǎng)絡(luò)停滯。為提高可靠性，維護(hù)冗余控制器，并確保主控制器實(shí)時(shí)同步重要信息至冗余控制器?？刂破鬟€應(yīng)提供數(shù)據(jù)平面的安全防護(hù)，包括對(duì)Packet-In消息的檢測(cè)，以過(guò)濾對(duì)控制器和網(wǎng)絡(luò)主機(jī)的攻擊。準(zhǔn)入控制可作為數(shù)據(jù)平面的安全管理工具，運(yùn)行在控制器中，增強(qiáng)網(wǎng)絡(luò)保護(hù)。在流表管理中，也應(yīng)增加策略安全檢測(cè)，確保轉(zhuǎn)發(fā)策略符合準(zhǔn)入控制要求。4.安全方案擴(kuò)展7.4.6整體架構(gòu)SDN控制器安全架構(gòu)本架構(gòu)分為基礎(chǔ)控制模塊和多粒度安全定制模塊。基礎(chǔ)控制模塊遵循SDN架構(gòu)要求實(shí)現(xiàn)基本功能，而多粒度安全定制模塊實(shí)現(xiàn)在控制器中可自定義的安全功能。7.4.7模塊設(shè)計(jì)1、威脅防御模塊提供基于控制器主機(jī)的防御和基于SDN網(wǎng)絡(luò)的流量檢測(cè)。入侵檢測(cè)準(zhǔn)入控制子模塊為網(wǎng)絡(luò)管理者提供全網(wǎng)的流量規(guī)則制定和執(zhí)行功能準(zhǔn)入控制7.4.7模塊設(shè)計(jì)2、流表管理模塊

針對(duì)SDN網(wǎng)絡(luò)中的流表安全問(wèn)題，對(duì)流表項(xiàng)進(jìn)行沖突檢測(cè)和沖突解決，并對(duì)即將寫(xiě)入的流表項(xiàng)可能引發(fā)的安全問(wèn)題進(jìn)行識(shí)別和處理。7.4.7模塊設(shè)計(jì)3、備份模塊

對(duì)控制器中的北向應(yīng)用程序、全網(wǎng)的流表、以及安全策略等其他重要數(shù)據(jù)進(jìn)行備份并不間斷更新，便于單點(diǎn)控制器失效后的快速恢復(fù)，冗余控制器也通過(guò)備份模塊與主控制器同步信息，以便在主控制器出現(xiàn)故障時(shí)及時(shí)接管網(wǎng)絡(luò)。7.4.7模塊設(shè)計(jì)4、應(yīng)用管理模塊

對(duì)控制器中的網(wǎng)絡(luò)應(yīng)用程序進(jìn)行安全管理，包括程序代碼的自動(dòng)審查，程序請(qǐng)求接口的權(quán)限管理，以及程序運(yùn)行中的行為檢測(cè)等。7.4.8運(yùn)行機(jī)制網(wǎng)絡(luò)主要安全運(yùn)行機(jī)制為：1、RTS：PID=GenPktInID(PacketIn)，PktInfo=<PID，PacketIn>RTS→IDS：PktInfo2、IDS：Pi=

PermissionIDS(PacketIn)IDS→ACL：PktInfo，Pi3、ACL：Pa=

PermissionACL(PacketIn)，PT=Pi

·PaACL→RTS：PID，PT4、RTS：FID=GenPolicyID(FlowPolicy)，F(xiàn)PInfo=<FID，F(xiàn)lowPolicy>RTS→FCD：FPInfo5、FCD：Pc=

PermissionFCD(FlowPolicy)FCD→FSD：FPInfo，Pc6、FSD：Ps=

PermissionFSD(FlowPolicy)，PF=Pc

·PsFSD→RTS：FID，PF7、RTS：P=PT

·PF7.4.8運(yùn)行機(jī)制模塊間交互機(jī)制為：模塊交互方式7.4.9粒計(jì)算理論粒計(jì)算理論是人工智能領(lǐng)域的研究熱點(diǎn)，但是粒計(jì)算的思想可以在很多領(lǐng)域運(yùn)用。粒計(jì)算就是以粒度作為計(jì)算機(jī)對(duì)信息的度量，以不同粗細(xì)的粒度來(lái)解決特定的問(wèn)題。粒計(jì)算是一種處理問(wèn)題的方法。粒計(jì)算主要由粒子、粒層和粒結(jié)構(gòu)組成。7.4.10安全服務(wù)?；?/p>

復(fù)雜的安全服務(wù)會(huì)對(duì)增加管理者的管理難度，也容易產(chǎn)生由于安全服務(wù)使用不當(dāng)形成的漏洞。因此對(duì)安全服務(wù)進(jìn)行規(guī)劃十分必要，本節(jié)基于粒計(jì)算思想對(duì)SDN安全服務(wù)進(jìn)行劃分。7.4.10安全服務(wù)?；?/p>

多粒度的安全服務(wù)即由不同粒度構(gòu)成的安全服務(wù)，用可變的粒度實(shí)現(xiàn)可變的服務(wù)。多粒度的安全服務(wù)具備以下特性：服務(wù)的高效組合：多粒度的安全服務(wù)利用粒計(jì)算的思想，使某個(gè)安全等級(jí)所需要的安全服務(wù)可以快速得出；滿足自定義需求：多粒度的安全服務(wù)在服務(wù)資源?；罂梢詫?shí)現(xiàn)靈活的組合，為用戶生成符合需求的安全服務(wù)。1.多粒度服務(wù)定義7.4.10安全服務(wù)?；?.服務(wù)粒度劃分頂部粒層把安全服務(wù)劃分為兩個(gè)粗粒度粒子，域內(nèi)安全服務(wù)僅考慮在單個(gè)自治域內(nèi)需要滿足的安全需求，而域間安全服務(wù)主要考慮的是域間控制器通信的安全需求。中間粒層將安全服務(wù)粒度細(xì)化，以頂層的粒度為基礎(chǔ)，劃分出每個(gè)粒子的不同安全層面。底部粒層是最細(xì)的粒度劃分，多粒度安全服務(wù)最終都是由底部粒層的細(xì)粒度粒子構(gòu)成。安全服務(wù)粒度劃分7.4.12測(cè)試實(shí)驗(yàn)環(huán)境基于Floodlight控制器及OpenvSwitch，使用Jpcap和Iptables實(shí)現(xiàn)威脅防御模塊，并使用sFlow及sFlow-RT軟件對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)。實(shí)驗(yàn)環(huán)境物理主機(jī)配置為IntelXeon1.80GHz，16GB內(nèi)存。測(cè)試主機(jī)均為基于Ubuntu14.04系統(tǒng)的虛擬機(jī)，配置為2vCPU1.80GHz，2GB內(nèi)存。7.4.12測(cè)試安全控制器架構(gòu)與流程：1.架構(gòu)組成Floodlight控制器Iptables主機(jī)2.通信機(jī)制基于Jpcap3.威脅防御流程交換機(jī)捕獲數(shù)據(jù)包發(fā)送至Floodlight的威脅防御模塊4.數(shù)據(jù)包過(guò)濾Iptables主機(jī)5.安全數(shù)據(jù)包轉(zhuǎn)