SDN應用下的通信網絡論文

今天小編為大家推薦《SDN應用下的通信網絡論文(精選3篇)》僅供參考，大家一起來看看吧。摘要：云平臺下的虛擬機在物理機內部交互流量，而不通過防火墻等安全組件。針對這類流量無法在網絡邊界被獲取并檢測的問題，分析了OpenFlow技術的原理，提出了一種基于OpenFlow技術將虛擬機流量重定向到入侵檢測系統進行檢測的方案。

SDN應用下的通信網絡論文 篇1：

SDN框架通信網絡的研究與應用

[摘 要]通信網絡技術的發展給人們創造了便利，其應用范圍廣，涉及人們生產生活的諸多方面。而基于SDN框架的通信網絡，更具有一定的優勢，其有利于完善SDN和傳統網絡?；诖?，本文從SDN框架的特征入手，探討了SDN框架通信網絡的研究及應用。

[關鍵詞]SDN框架；通信網絡；研究；應用

doi：10.3969/j.issn.1673 - 0194.2017.08.089

伴隨科技的發展進步，社會的發展離不開現代科技的參與。網絡技術的應用，不僅造福了人類，還有助于社會經濟的發展。SDN框架作為創新型的網絡構想，在傳統通信網絡革新方面有著重要的作用。傳統的通信網絡運行方式是靜態的，其對網絡設備的依賴性太強，并受到設備廠商的限制。隨著大數據時代的到來，海量化的數據對網絡的性能要求更高。而SDN框架的產生符合了通信網絡發展的要求，有利于實現網絡資源充分利用的目標。

1 SDN的架構與特性

1.1 SDN的架構

SDN框架在通信網絡的實際運用中，作為一個集中控制的網絡系統，其表現形式諸多。目前，SDN的重要架構由兩個構成部分組成。一是ONF界說的SDN架構，二是ETSI推介的NFV架構。這兩個組成部分使SDN框架在具體應用中發揮了積極的推動力。ONF架構主要是將SDN技術與許多現代化的科學技術進行了有效的結合，從而滿足了現代化企業發展的要求，進一步推動了社會的發展進步。該架構表現形式具有三個重要的層面，即是控制層面、應用層面以及基礎設備層面。然而ESTI推介的NFV構架，可以保證先進的現代化軟件技術得到充分的利用，特別針對通信網絡功能的虛擬化狀況，其能起到控制及運用的效果。與此同時，該構架還能對控制層面進行有效性的細分，使SDN的管理效率得到提升，進而在企業現代化發展中具有一定的利用作用及價值。

1.2 SDN框架的特性

SDN框架在通信網絡實際應用中，具有顯著的特性，這些特性在人們的生產生活中起到了至關重要的作用。SDN框架最主要的特性具體表現在以下幾點。一是集中控制。在眾多網絡技術中，SDN框架發揮了良好的控制效果，使人們在后期的實際生產生活中有了更好的前提條件。二是擁有開放化的接口。只有具備開放化的網絡接口，才能充分、有效運用SDN框架的功能。三是網絡虛擬化。在虛擬化的網絡中，SDN框架會更加充分、有效的發揮其作用。

2 SDN框架的實行途徑

SDN的主要構想是分離操作，也就是將控制層與轉發層分離出來，使其處在兩個不同的層面。為了達到統一管理，要求將控制操作集中起來。目前，SDN框架的實行對策有以下幾項。一是根據專用接口研制的實行策略。在機制與操作方式正常不變的狀況下，對網絡設備的操作系統進行優化升級改造，使用專用的網絡接口，把接口運行至網絡設備上。該途徑的實現具有顯著的優越性，在用戶對網絡進行開發利用的過程中，可以起到推動作用，從而使網絡設備達到可編程的目的，人性化特點較為明顯。二是根據疊加網絡的實行策略。將傳統的通信網絡結構作為基點，在對網絡設備的控制管理中融入管理邏輯性網絡，同時便于信網絡設備轉發信息。這不僅可以使差異性問題得到良好的解決，還可以實現虛擬化網絡共享的目標。三是根據開放協議的實行策略。與傳統的網絡協議相比，開放網絡協議有所不同，運用開放網絡協議的實行對策，可以使其和通信網中底層的網絡設備實現更好的兼容效果。在開放網絡協議技術支持下，再構建控制器，進而可以統一管控網絡拓撲。

3 SDN框架通信網絡的研究及應用

伴隨SDN框架的不斷完善，要求作出深入的實踐研究。針對互聯網而言，SDN框架的形成具有相應的廣泛性及復雜性。在通信網絡結構中，最主要的實際應用就是對SDN框架的需求。在過去的幾年里，數據中心問題一直是制約互聯網發展的原因，尤其是在大數據時期，以往的網絡結構很難達到互聯網發展的要求。因此，為了促進大數據時代的發展進步，提出了SDN技術?；赟DN框架，它能夠有效處理好虛擬和多用戶之間的問題。

3.1 SDN框架應用于骨干網絡

骨干網絡是整個通信網絡的基礎，具有兩個不同的類型，分別是連接每個區域骨干網絡和連接每個數據中心的骨干網絡。這兩者在傳輸網絡數據時有所不同，他們的功能、承載能力以及流量大小均存在差異性。針對連接每個區域的骨干網路，其能夠承載海量的用戶流量。在設計Open Flow交換機過程中，結合網絡需求量，交換機需要具備良好的緩存與轉發作用。為此，提出了轉發對策與緩存對策。與此同時，由于大范圍網絡具有多節點，還要有效采用集群架構來處理、控制設備存在的問題。針對連接每個數據中心的骨干網絡，主要應用在分布方式的數據中心上，實現數據和信息的有效交換，進而保證數據網絡信息交流的安全可靠性。正是因為數據中心骨干網絡具有良好的信息傳播功能，非常有利于整個通信網絡體系實現平衡構建目標，所以必須要確保攜帶的信息具有完整性，進而深入到各個物理設備中。例如：Google公司的骨干網絡采用了SDN框架，同時在I-scale G網絡和G-scale網絡中分別定制了Open Flow交換機，真正做到了對整個網絡資源進行管理和控制。

3.2 SDN框架應用于城域網邊緣

在引用骨干網絡的過程中，要求具備相應的入口，而城域網邊緣作為重要的入口。一方面，城域網邊緣不但是骨干網絡對信息進行管控的端頭，還是商業網絡體系綜合處理中的主要構成部分。只有處理好用戶的業務請求，商業服務點才能進行切實有效的接受工作。在對用戶的請求處理工作中，依然經過海量的網絡節點，這就是業務鏈。城域網邊緣設備與業務鏈，還有業務路由器可以有效處理用戶的信息，但是這些設備要實現正常運行狀態，就需要較好的功能點來控制。為此，想保證網絡設備的穩定運行狀態，并使配置信息具有安全性，可以在城域邊緣網絡中運用SDN框架，可以對多臺網絡設備實現虛擬化效果，并將不同的集群整合成一個可控制管理集群，就需要通過SDN控制器對網絡設備進行統一配置。

例如，伴隨著通信網絡更加復雜化、業務量更大，對節點與路徑的選用更加重要。為了確保通信網絡安全運行，通常會在城域網邊緣設備上安裝防火墻，其他功能借助路由器來實現SDN框架的轉化功能，進一步達到SDN框架控制過渡的目標。

3.3 SDN框架應用于接入網

在日常生產生活中，接入網作為熟悉的網絡形式，是業務控制層工作介入的有效構成部分。雖然接入網的路徑長度不是特別長，但是網絡結構中的節點較多，且網絡節點呈現逐漸擴大的趨勢。而網絡節點是業務來源的首層設備，在這第一層設備中，通過應用SDN框架，大量的節點可以集中為一臺整體虛擬設備，通過SDN控制器進行統一管控，并有效處理新業務帶來的業務鏈周期太長的弊端。具體來說，在網絡節點這第一層設備中，利用SDB框架可以對用戶的業務信息進行合理配置，還可以對業務控制層接口進行有效的信息連接。在以往的通信網絡中，信息的配置達不到相互關聯的目的，而接入網可以彌補這缺陷。在接入網接受全部用戶的業務需求中，為了確保通信協調的效果，務必將接口的特性和業務的要求達到一致性。在有新的業務請求下，業務的特性會發生改變，務必要對接口進行優化升級，盡量減少升級操作對業務鏈結構造成的影響。

3.4 SDN框架應用于無線網

目前，無線接入網受到不同服務商高度的重視。伴隨移動設備的日漸增多，無線接入網的覆蓋率大大提高，且無線接入網的基站規模逐步擴大化。其中，以IP無線接入網為主，該網絡形式主要采用了IP技術，具有一定的優越性，這不僅使網絡的規模更加擴大，還體現了網絡組網的靈活性，確保無線網絡可靠安全性的運行。通過在無線接入網中引用SDN技術，把SDN控制器設立于中心設備中，通過中心設備來管控無線接入網中的其他設備，基于SDN框架，SDN控制設備具有對遠端設備進行有效管控的作用。除此之外，針對企業網絡來說，企業內部的網絡存在復雜性及豐富性。為了實現企業內部網絡更高的經濟價值，通過引用SDN框架，可以對企業網絡進行統一管控，在保證企業業務的高效率同時，有利于運營商減少管理成本的投入。

5 結 語

SDN框架網絡具備更佳的應用效果，可以推動社會經濟的發展。目前，SDN主要的架構有ONF界說的SDN架構與ETSI推介的NFV架構。同時它們具有集中控制管理的優點，還具有開放性的接口以及網絡虛擬化的特征。針對SDN框架的通信網絡，其有效性的研究及應用體現在骨干網絡、城域網邊緣、接入網以及無線網等方面。

主要參考文獻

[1]趙國鋒，陳婧，韓遠兵，等.5G移動通信網絡關鍵技術綜述[J].重慶郵電大學學報：自然科學版，2015（4）.

[2]肖建龍，何軍.基于云平臺的SDN控制器的設計與實現[J].電子技術與軟件工程，2015（18）.

[3]周桐慶，蔡志平，夏竟，等.基于軟件定義網絡的流量工程[J].軟件學報，2016（2）.

作者：徐顯達 王蒙

SDN應用下的通信網絡論文 篇2：

基于OpenFlow的虛擬機流量檢測系統的設計與實現

摘 要：云平臺下的虛擬機在物理機內部交互流量，而不通過防火墻等安全組件。針對這類流量無法在網絡邊界被獲取并檢測的問題，分析了OpenFlow技術的原理，提出了一種基于OpenFlow技術將虛擬機流量重定向到入侵檢測系統進行檢測的方案。方案使用OpenFlow虛擬交換機和控制器替代傳統交換機，然后基于OpenFlow技術控制流量轉發過程，將其導向外部的安全組件進行處理，并構建了由虛擬交換機、控制單元、入侵檢測和系統配置管理4個模塊組成的流量檢測系統。實驗結果表明，系統能夠在滿足虛擬機網絡正常使用的前提下，將待監管流量導向入侵檢測系統進行處理，而且能夠同時提供交換機級及虛擬機級兩種粒度的流量重定向控制。通過對虛擬機引流的方式實現在傳統場景中解決云計算環境下流量檢測問題，同時能夠基于OpenFlow輕松實現流量處理的擴展操作。

關鍵詞：OpenFlow；虛擬機；流量重定向；流量檢測；云計算

0 引言

在傳統網絡中，安全防護任務主要由網絡邊界的安全組件負責，如防火墻、入侵檢測系統（Intrusion Detection System，IDS）等，這類防護設備通過對流量進行檢測和過濾的手段來保障網絡安全。然而由于云計算底層架構通過虛擬化技術實現，虛擬機（Virtual Machine，VM）間的通信過程在物理機的共享內存中完成[1]，流量并不經過網絡邊界的安全組件，因此如果攻擊來自云內部，則傳統的安全防護措施將完全失效。

針對上述問題，文獻[2-3]采取監控虛擬機運行狀態的方式來保障虛擬機系統的安全，通常的做法是從文件和進程的角度來實施監控。比如監視系統日志文件的異常，保護敏感的數據文件，攔截文件存取操作，禁止非法和高危險的系統調用，攔截操作系統事件并進行語義重構等。文獻[4-5]則通過在虛擬機間執行嚴格的訪問控制機制實現保障措施，如實現或改進BLP（BellLaPadula）模型，基于這類思想，目前也實現了許多典型的應用和模型，比如思科的網絡準入控制（Network Admission Control， NAC）、可信計算組的可信網絡連接（Trusted Network Connect， TNC）和微軟的網絡訪問保護（Network Access Protection， NAP）等。以上這類基于主機的做法在一定程度上提高了虛擬機系統的安全性，但是在其他方面也存在一些不足：1）每臺主機都肩負著自身的防護任務，從而增加了主機的負荷和運行成本；2）由于所有策略都是基于主機的，且缺乏信息交流和共享的機制，因此防護單元無法獲得其他主機的防護信息和攻擊形勢，從而導致防護信息的局限性。

由于傳統的安全防護手段已經發展得較為成熟，為了在云計算場景中使用傳統的安全防護措施，本文提出了一種通過OpenFlow技術[6]進行流量重定向的方法，并據此構建了多模塊的分布式流量檢測系統。在系統中，OpenFlow虛擬交換機和控制器替代傳統交換機協作完成數據包轉發動作，并根據需求動態制定重定向規則，從而保證在可控的情形下將需要檢測的流量重定向到安全設備進行處理。

1 OpenFlow的軟件定義網絡技術

隨著互聯網規模的不斷擴大，各種新型網絡應用層出不窮，因此對網絡創新性的要求也在不斷提高。然而現有的網絡架構在諸多方面存在先天不足，作為網絡核心的路由器和交換機設備無法在當前網絡架構的基礎上提供適應網絡發展要求的擴展性，而且這些設備的處理邏輯燒錄在硬件中，無法輕易修改，從而使得網絡創新更加艱難。為了解決當前TCP/IP體系結構所面臨的問題，許多國家和機構相繼開展了新型互聯網的研究和實驗工作，如美國的GENI（Global Environment for Network Innovations）[7]和PlanetLab項目[8]、歐盟的未來互聯網研究與實驗項目（Future Internet Experimentand Research，FIRE）[9]、日本的CoreLab[10]等。目前，提供可編程接口的軟件化路由方案得到了廣泛的關注，其中軟件定義網絡（Software Defined Network， SDN）的新型網絡架構引起了學術界和產業界的極大反響。與此同時，OpenFlow初步實現了SDN的設計思想，推動了SDN技術向前發展，并成為了應用最為廣泛的SDN的一種實現方式。

OpenFlow的概念最早由斯坦福大學的McKeown等[6]提出，后成為GENI計劃的子項目。OpenFlow的核心思想是將傳統網絡設備的轉發動作進行分解，原來一步完成的動作現由OpenFlow虛擬交換機和控制器協作完成，從而將網絡設備轉發過程中的數據平面和控制平面分離以實現網絡處理層次的扁平化[11]。在這種分離架構中，研究人員可以通過高層的控制平面靈活、高效地制定個性化的轉發策略或測試新的網絡協議等，從而在現有網絡結構的基礎上實現和部署新型網絡架構[12]。

在OpenFlow虛擬網絡中，通常包括兩類最重要的組件：OpenFlow虛擬交換機和控制器。虛擬交換機通過其維護的流表（Flow Table）決定數據包如何轉發，流表定義了許多包括一系列匹配字段（如數據包入口、IP地址、協議類型、鏈路層地址、端口號等）、計數器及動作（如轉發、丟棄、修改包頭域等）的流表項（Flow entry），在轉發時虛擬交換機將抽取數據包信息并與流表項中的字段進行匹配，一旦匹配成功就執行相應的動作[13]。虛擬交換機只負責根據流表指示轉發數據卻不關心流表如何制定，實際上流表由控制器制定并下發給虛擬交換機，并且控制器可以隨時經網絡以OpenFlow定義的形式維護虛擬交換機中的流表，OpenFlow就是通過這種方式實現數據平面與控制平面分離的。

2.2 虛擬交換機模塊

虛擬交換機模塊通過OpenFlow的方式實現一個可控制、易擴展的虛擬交換機的功能，具體的控制策略通過外部的控制器制定，從而實現了轉發過程中數據平面和控制平面的分離。在這種分離的網絡架構中，降低了系統各模塊的耦合性，各模塊各司其職，從而可以更加專注自身的任務和目標。值得一提的是，虛擬交換機模塊只是實現了虛擬交換機的功能，提供了數據包轉發的能力，但是對于重定向等過程毫不知情，因為在OpenFlow虛擬網絡中，該組件只是執行者——根據控制模塊已經制定好的處理規則機械處理。正是由于這種特點，也使得虛擬交換機模塊對外部提供了很好的擴展性，因為制定一項新的擴展功能只需在控制器端制定相應的規則即可。

虛擬交換機模塊提供了可擴展的交換機的功能，從而通過OpenFlow控制器制定相應的規則完成虛擬機流量轉發和重定向任務。在系統中，虛擬交換機模塊基于OpenFlow協議與控制模塊交互，并根據控制模塊下發的數據包處理規則（流表）轉發到達虛擬交換機的流量，虛擬交換機模塊與控制模塊協作以及處理流量重定向的過程為：數據包到達時，虛擬交換機模塊抽取數據包信息并與之維護的流表進行匹配，如果匹配成功則執行相應的動作；否則向控制器發起建立流表的請求，虛擬交換機中的大部分流表都是在這種時機下由控制器建立的。

虛擬交換機模塊的OpenFlow協議部分主要基于Open vSwitch[14]實現，Open vSwitch主要通過C語言實現，因此在UNIX/Linux平臺上具有很好的移植性。與傳統的交換機相比，Open vSwitch通過編程擴展簡化了維護、配置、管理的過程，提供了較高的靈活性和控制性。

2.3 控制模塊

控制模塊作為OpenFlow協議中的控制器協助虛擬交換機處理一般的數據轉發任務，并實現動態配置流量重定向規則的功能?？刂颇K主要基于Nicira公司維護的開源項目NOX[15]實現，NOX為控制一個或多個OpenFlow交換機提供了一個編程平臺，研究人員基于NOX提供的編程接口能夠實現自己的OpenFlow網絡控制管理程序[16]。系統的控制模塊實現了一個管理多個交換機的控制器實例（以下簡稱實例），實例實現了數據包到達、交換機連接、交換機斷開、端口狀態改變等事件的處理過程，并根據這些事件獲取的信息實現了交換機信息學習（維護交換機號dpid、端口信息等）、MAC（Media Access Control）地址學習（維護MAC與端口號的映射關系）等功能，并以此實現了基本交換機的功能。

本文對實例實現時，提供了交換機級和虛擬機級兩種粒度的重定向規則制定和管理功能，其原理是在其內部維護了mac_ids_table和dp_ids_table兩種運行時配置表作為制定重定向規則的依據。

實例制定重定向流表的步驟如圖3的流程圖所示，首先在dp_ids_table表（保存虛擬交換機的重定向信息）中根據dpid（交換機號）查找是否存在該數據包對應的交換機信息，從而判斷是否應該在交換機級下發重定向流表；如果dp_ids_table表中沒有相應的重定向規則，則在mac_ids_table表（保存虛擬機的重定向信息）中根據數據包的src_mac查找，從而決定是否在虛擬機級制定重定向規則。重定向的功能主要通過OpenFlow協議將數據包的目的MAC修改為重定向MAC來實現。

本文在實現時，提供了在運行時對配置表進行遠程動態修改的接口，因此，配置表既可以在運行前根據配置文件指定，又可以在運行期間通過實例提供的接口動態修改。開發人員使用接口配置重定向規則時，只需通過網絡向特定地址和端口發送符合特定格式的消息即可。

2.4 入侵檢測模塊

入侵檢測模塊主要對系統中重定向流量進行檢測并分析，從而發現云計算內部是否有違反安全策略的行為以及攻擊的跡象[17]。入侵檢測模塊主要包括檢測組件、輸出數據庫和數據分析平臺。檢測組件實現IDS的核心功能；輸出數據庫用來保存攻擊流量和告警信息；數據分析平臺對輸出數據庫中的數據進行分析。檢測組件主要基于Snort實現，Snort主要包括數據包嗅探器、預處理器、檢測引擎和輸出模塊幾個部分[18]。本文使用MySQL作為輸出數據庫，數據分析平臺主要基于ACID實現，ACID通過ADODB組件存取MySQL數據庫。

1）虛擬交換機模塊測試分析。

實驗的方法是在無重定向規則及包括重定向規則兩種情景下從VM1分別向VM2及外網發送ICMP數據包，并在虛擬交換機模塊捕獲和分析數據包。實驗結果表明，VM1在兩種情景下都能及時得到ICMP Reply回應，并且在虛擬交換機模塊也能捕獲到處理前后的數據包，因此虛擬交換機模塊實現了為虛擬機提供數據轉發和網絡連接的功能。

2）控制模塊測試分析。

實驗時通過控制模塊提供的接口在交換機級和虛擬機級兩種粒度下動態配置重定向規則，從而引流到入侵檢測模塊。規則生效后在入侵檢測模塊捕獲到了相應的數據包，而且這類數據包的目的MAC地址已被修改成了入侵檢測模塊的MAC地址，這說明流量在傳輸過程中經歷了重定向過程，因此控制模塊實現了基于不同粒度控制的重定向功能。

3）入侵檢測模塊測試分析。

為了驗證入侵檢測模塊對重定向流量的分析能力，本文在檢測模塊啟用了端口掃描檢測功能，并通過控制模塊制定了將VM1流量重定向到入侵檢測模塊的規則，同時在VM1上通過Nmap軟件不斷對VM2進行端口掃描。實驗時，在入侵檢測模塊的ACID分析平臺上產生了大量的port scan告警信息，所以入侵檢測模塊具有分析重定向流量的能力。

通過實驗結果可以看出，系統能夠將原來無法獲取的虛擬機流量重定向到入侵檢測模塊進行處理，入侵檢測模塊也能夠對這類流量進行檢測與分析，這樣，就可以在入侵檢測模塊使用更多發展成熟的傳統安全防護手段，并運用于云計算這種新的架構和應用場景中，從而保障云平臺下虛擬機系統的信息安全。

4 結語

云計算代表了一種新的信息技術服務模式，通過虛擬化技術，云計算實現了按需提供資源和服務的能力。然而新技術的引進也使得傳統解決方案在新的應用場景中不再適用。針對云平臺下的虛擬機之間的網絡流量無法被監控的問題，本文分析了OpenFlow技術的原理，研究并實現了一種基于OpenFlow技術將虛擬機流量重定向到入侵檢測系統進行檢測的方法，并以此設計和實現了一個包括多模塊的分布式流量檢測系統，通過測試驗證了系統的可行性及有效性。與其他研究方法相比，本文沒有采取在虛擬機上進行監控或增強訪問約束的方式來保障系統安全，而是試圖將虛擬機流量監控問題移植到傳統場景中，并使用已經發展成熟的傳統流量檢測方法進行處理。本文基于OpenFlow實現了對流量轉發過程的控制，以流量檢測為例對網絡數據進行了處理；此外，基于OpenFlow極強的擴展性，研究人員還可以針對流量制定許多其他個性化的服務和處理過程（如服務質量、虛擬局域網等），為網絡的測試和創新提供了便捷。然而，本文也存在許多待改進和優化的地方，比如入侵檢測系統的數量及部署需要系統管理員手動配置，如何解決根據網絡狀況自動部署和啟用也是下一步的研究方向。

參考文獻：

[1]ZHANG H. Virtual switch research and design based on Xen [D]. Tianjin： Tianjin University， 2012.（張洪素.基于Xen的虛擬交換技術的研究與設計[D].天津：天津大學，2012.）

[2]XIANG G. Research on security monitoring technology in virtual computing environment [D]. Wuhan： Huazhong University of Science and Technology， 2012.（項國富.虛擬計算環境的安全監控技術研究[D].武漢：華中科技大學，2012.）

[3]LIU Z， MU D. Secure virtualizationbased finegrained process execution monitoring [J]. Journal of Xidian University， 2012， 39（6）： 181-186.（劉哲元，慕德俊.安全虛擬環境中的進程執行精確監控[J].西安電子科技大學學報，2012，39（6）：181-186.）

[4]LIU Q， WANG G， WENG C， et al. A mandatory access control framework in virtual machine system with respect to multilevel security I： theory [J]. China Communications， 2010（4）： 137-143.（劉謙，王觀海，翁楚良，等.一種虛擬機系統中關于多級安全的強制訪問控制框架Ⅰ：理論[J].中國通信，2010（4）：137-143.）

[5]LIU Q， WANG G， WENG C， et al. A mandatory access control framework in virtual machine system with respect to multilevel security II： implementation [J]. China Communications， 2011（2）： 86-94.（劉謙，王觀海，翁楚良，等.一種虛擬機系統下關于多級安全的強制訪問控制框架Ⅱ：實現[J].中國通信，2011（2）：86-94.）

[6]McKEOWN N， ANDERSON T， BALAKRISHNAN H， et al. OpenFlow： enabling innovation in campus networks [J]. ACM SIGCOMM Computer Communication Review， 2008， 38（2）： 69-74.

[7]ELLIOTT C. GENI： opening up new classes of experiments in global networking [J]. IEEE Internet Computing， 2010， 14（1）： 39-42.

[8]CHUN B， CULLER D， ROSCOE T， et al. PlanetLab： an overlay testbed for broadcoverage services [J]. ACM SIGCOMM Computer Communication Review， 2003， 33（3）： 3-12.

作者：邵國林等

SDN應用下的通信網絡論文 篇3：

基于軟件定義網絡的IaaS虛擬機通信訪問控制方法

摘要：針對云計算基礎設施即服務（IaaS）平臺所面臨的虛擬機網絡通信訪問控制問題，提出了一種可適于IaaS平臺的虛擬機通信訪問控制方法。該通信訪問控制方法基于軟件定義網絡（SDN），實現針對虛擬機通信的L2～L4層訪問控制。實驗結果表明：該通信訪問控制方法能夠有效實現對租戶虛擬機通信的靈活訪問控制，保障IaaS平臺中租戶網絡的安全。

關鍵詞：軟件定義網絡；訪問控制；云計算；基礎設施即服務；防火墻

Key words： Software Defined Networking （SDN）； access control； cloud computing； Infrastructure as a Service （IaaS）； firewall

0 引言

隨著IT行業的快速發展，云計算已經成為一個被廣泛接受的計算模式，圍繞如消除前期投資、減少操作費用、按需計算資源、彈性伸縮等核心概念建立了信息技術中的商業模式和計算服務[1]。云計算主要由3種虛擬化技術支撐，即服務器虛擬化、存儲虛擬化和網絡虛擬化技術。

為了解決傳統網絡缺乏統一控制模式與無法適應網絡業務的快速變化等問題，如軟件定義網絡（Software Defined Networking， SDN）[2]與網絡功能虛擬化（Network Functions Virtualization，NFV）[3]等一些新的網絡技術都在云計算環境中得到快速應用，為基礎設施即服務（Infrastructure as a Service， IaaS）平臺業務的快速變化提供網絡保障。然而，在租戶網絡快速變化的同時，租戶網絡的通信訪問控制也面臨挑戰。美國國家標準與技術研究院（National Institute of Standards and Technology， NIST）在關于虛擬網絡的保護措施中指出，大多數的網絡虛擬化平臺擁有創建虛擬交換機的功能，并把虛擬交換機作為虛擬網絡中的一部分，使得同一宿主機上的虛擬機能夠利用虛擬交換機直接進行通信。例如，網絡虛擬化平臺支持在宿主機內部為虛擬機建立虛擬網絡，虛擬機之間通信流量將不經過外部物理鏈路上的網絡安全設備。因此，實現宿主機內部的網絡安全防護，將物理鏈路中網絡安全設備的功能移植到虛擬網絡中是必要的[4]。云安全聯盟（Cloud Security Alliance，CSA）在安全即服務實現指南中指出，網絡訪問控制是云環境安全的基礎，同時應當引入邊界防火墻控制機制[5]。歐洲網絡信息安全機構（European Network and Information Security Agency， ENISA）指出在網絡體系結構的控制中應當具備基于深度包檢測的防護措施[6]。

當前VMware、IBM、H3C、Amazon、青云、UnitedStack等公司提供的IaaS云服務均為租戶提供了網絡通信訪問控制功能。其中VMware NSX作為一種供虛擬機網絡操作模式的領先網絡虛擬化平臺，它在提供可編程化配置的虛擬網絡的同時也提供了一套先進的邏輯防火墻，該分布式防火墻具有啟用內核的線速性能、虛擬化和可識別流量身份功能，并且可以監視活動狀況，以此保證虛擬網絡的通信訪問控制[7]。Amazon的EC2云計算平臺使用安全組來完成網絡安全方面的工作，其安全組起著虛擬防火墻的功能，該安全組規則可控制允許到達與安全組相關聯的虛擬機的入站流量以及允許離開虛擬機的出站流量，支持協議、端口、源地址、目標地址以及安全組名稱等規則標識對安全組規則進行修改。開源云平臺項目OpenStack也提供了安全組功能來解決虛擬網絡的通信訪問控制問題，其安全組功能由Iptables實現，安全組可根據指定協議與IP地址來實現虛擬網絡進出流量的安全訪問控制，由于使用Iptables完成安全組功能，在統一管理與后期安全訪問功能的擴展都不具優勢。目前，UnitedStack的云服務平臺是基于OpenStack完成，其安全組功能與OpenStack類似。IEEE提出了802.1Qgb Edge Virtual Bridging[8]和802.1Br Bridge Port Extension[9]兩種技術解決IaaS平臺中虛擬機的通信訪問控制問題，但是這兩種方法都需要特定的硬件交換機支持。此外，唐煥煥等[10]提出了一種使用OVS （Open vSwitch）虛擬交換機控制虛擬機通信的方法，但是卻未考慮到使用控制器統一控制OVS虛擬交換機的問題。

因此，針對IaaS平臺中的虛擬網絡通信訪問控制問題，同時鑒于OpenStack的普及性，本文分析并研究了OpenStack網絡體系結構，并探討如何利用SDN技術實現針對虛擬機的網絡通信訪問控制。

1 相關工作

1.1 SDN

SDN是一種新型網絡框架，SDN框架實現網絡設備中的控制平面與轉發平面解耦合，并在邏輯集中的控制平面提供可編程的接口，控制平面通過提供網絡智能與網絡狀態的集中管理，實現底層網絡基礎設施向網絡服務功能的抽象。與傳統網絡相比，控制面與轉發面分離、開放的可編程接口、集中化的網絡控制等特征決定了SDN具有清晰的全網視圖、更好的靈活性，更適用于云計算環境下復雜的網絡業務，實現網絡資源的快速調整。目前，OpenFlow協議[11]是SDN的主流實現形式，控制平面借助OpenFlow協議能夠實現對OpenFlow網絡設備中網絡流量轉發的靈活控制。

1.2 云平臺網絡體系結構

基于OpenStack的云計算平臺的一種網絡體系結構如圖1所示，整個IaaS平臺由計算節點、網絡節點、控制節點組成。

1）計算節點。為IaaS平臺的主要組成部分，負責提供計算資源與本地網絡資源的管理控制。其中，運行于計算節點Hypervisor層的OVS模塊負責為虛擬機創建虛擬交換機，該虛擬交換機支持OpenFlow協議1.3版本，并受本地OVS Agent模塊直接管控，其主要作用是對內負責接入虛擬機的網絡，對外通過接入的物理網卡直接與數據鏈路上其他虛擬機通信。

2）網絡節點。主要為租戶提供動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）服務與虛擬路由功能，運行有DHCP Agent模塊、L3 Agent模塊與OVS Agent模塊，其中DHCP Agent為租戶子網實例化DHCP服務，即租戶的每個子網會擁有自己單獨的DHCP服務實例；L3 Agent負責根據租戶的業務需求創建虛擬路由，該虛擬路由器能夠完成租戶指定多個子網之間或租戶子網與外部網絡鏈路通信的連接；OVS Agent模塊功能與計算節點類似，負責管理OVS創建的虛擬交換機。

3）控制節點。運行有RESTful API模塊與Neutron模塊，RESTful API模塊負責接收租戶請求，Neutron發布相關網絡任務；Neutron模塊是OpenStack的網絡控制模塊，擁有網絡全景視圖，可根據租戶請求利用各個節點上的OVS Agent直接控制OVS為虛擬機創建大二層隧道，實現租戶虛擬網絡。目前主流的大二層網絡技術主要有虛擬可擴展局域網（Virtual eXtensible Local Area Network，VxLAN）[12]、網絡虛擬化通用路由封裝（Network Virtualization using Generic Routing Encapsulation，NVGRE）[13]和無狀態隧道傳輸（Stateless Transport Tunneling，STT）[14]等。

2 基于SDN的通信訪問控制

2.1 虛擬機通信訪問控制方法

租戶虛擬網絡旨在為租戶自定義網絡拓撲結構提供技術支撐，保證IaaS平臺內部網絡能夠應對租戶業務需求而快速變化。在IaaS平臺網絡拓撲結構快速變化的同時，虛擬機通信的訪問控制是保證IaaS平臺網絡通信安全的必不可少的條件之一。

基于IaaS平臺虛擬機通信安全的考慮與前期IaaS平臺網絡安全體系的研究[15]，定義IaaS平臺虛擬機L2～L4通信訪問控制策略如表1所示。通過使用SDN技術控制IaaS平臺中虛擬機流量轉發策略，為IaaS平臺提供完善的通信訪問控制機制。如圖2所示，計算節點上虛擬機流量均流經OpenFlow虛擬交換機，本文所設計的通信訪問控制系統使用Ryu作為計算節點上OpenFlow虛擬交換機的控制器，并在以Ryu控制器和OpenFlow虛擬交換機為基礎的SDN框架內建立通信訪問控制機制。虛擬機流量受控于所在計算節點的OpenFlow虛擬交換機通信訪問控制層，在使用Ryu作為OpenFlow虛擬交換機的控制器之后，OpenFlow虛擬交換機根據Ryu控制器下發的通信訪問控制規則對虛擬機進行通信訪問控制。

以Ryu控制器提供的編程接口為基礎，在Ryu控制器中實現RESTful API層、認證層與邏輯控制層。其中：1）RESTful API層，為租戶提供可動態設置虛擬機通信訪問控制策略的API接口；2）認證層，根據租戶通過RESTful API層發送的租戶信息、虛擬機唯一標識與通信訪問控制策略，判斷該租戶是否擁有下發此訪問控制策略的權限；3）邏輯控制層，用于判斷申請策略與原有策略是否重復或產生沖突，以維護全部策略的有效性。

2.2 虛擬機通信訪問控制過程

IaaS云環境下租戶可以根據業務需求搭建子網環境，其租戶子網的實現以大二層網絡技術完成。IaaS平臺在實例化虛擬機時，虛擬機將自動接入到所在計算節點的OpenFlow虛擬交換機。如圖2所示，OpenFlow虛擬交換機根據虛擬機所屬子網為虛擬機端口設置不同VLAN ID，保證同一計算節點不同子網的虛擬機無法直接通信，而跨計算節點的虛擬機通過大二層技術建立虛擬網絡鏈路進行通信，虛擬網絡鏈路不僅可以完成通信還可以保證不同子網在同一物理鏈路上的通信隔離。根據虛擬機所屬計算節點的不同，虛擬機之間通信分為計算節點本地直接通信與利用大二層網絡通信兩種情況，在建立虛擬機通信訪問控制機制后，虛擬機通信過程如下：

1）屬于同一租戶子網的虛擬機位于同一計算節點時，虛擬機可直接利用計算節點中的OpenFlow虛擬交換機進行通信。以圖2中虛擬機VM3與VM4為例討論虛擬機可直接在計算節點本地通信的情況，因兩臺虛擬機屬于同一租戶子網，這兩臺虛擬機接入OpenFlow虛擬交換機的端口擁有相同的VLAN ID。當VM3訪問VM4時，VM3通信流量首先進入OpenFlow虛擬交換機通信訪問控制層，通信訪問控制層維護有與通信訪問控制策略相對的流量轉發規則，直接控制虛擬機流量轉發。其中，流量轉發規則定義如下。

①規則定義情境1。

規則定義 src_IP=VM3_IP，dst_IP=VM4_IP，action=NORMAL。

含義 允許源地址為VM3_IP目的地址為VM4_IP的數據流量通過，即允許VM3訪問VM4。

虛擬交換機行為 依據VM3與VM4擁有相同的VLAN ID，OpenFlow虛擬交換機則直接將VM3流量轉發至VM4。

②規則定義情境2。

規則定義 src_IP=VM3_IP，dst_IP=VM4_IP，action=DROP。

含義 禁止源地址為VM3_IP目的地址為VM4_IP的數據流量通過，即禁止VM3訪問VM4。

虛擬交換機行為 通信訪問控制策略禁止VM3訪問VM4，直接將通信流量丟棄。

2）屬于同一租戶子網的虛擬機不在同一個計算節點上時，它們之間的通信流量會通過大二層網絡（大二層網絡隧道可以為VxLAN、NVGRE、STT等）隧道發送。以圖2中虛擬機VM1與VM3為例討論虛擬機使用大二層網絡通信情況，VM1訪問VM3時，虛擬機流量首先經過通信訪問控制層，其通信訪問控制情況與1）相同，在VM1流量經過通信訪問控制層后，OpenFlow虛擬交換機去除VM1通信流量的VLAN ID，并為VM1通信流量添加大二層網絡模式下的隧道標識，之后送入大二層網絡隧道；待從大二層網絡隧道送到目的虛擬機所在OpenFlow虛擬交換機時，依據大二層網絡標識重新添加VLAN ID并發送給VM3。這樣對于同一租戶的虛擬機而言，即使有多個虛擬機處于不同的計算節點，這些虛擬機仍舊會像在同一個二層網絡上工作。

綜上，在虛擬機通信訪問控制機制建立完成之后，虛擬機通信過程均得到通信訪問控制策略的有效控制，保障租戶網絡安全。

2.3 虛擬機通信訪問控制策略下發流程

本文通過使用SDN控制器Ryu來托管IaaS平臺中OpenFlow虛擬交換機的轉發策略，從而實現對IaaS平臺虛擬機的通信訪問控制。

虛擬機通信訪問控制策略下發具體過程如下：

1）租戶通過Ryu提供的RESTful API，向Ryu控制器下發虛擬機通信訪問控制策略，下發策略時租戶需提供租戶信息、通信訪問控制策略、虛擬機唯一標識等；

2）Ryu控制器在接收到租戶發來的RESTful API請求之后，首先驗證租戶信息的有效性，并根據租戶提供的虛擬機唯一標識查詢該虛擬機是否屬于該租戶，如果租戶請求信息均合法，將該訪問控制策略交由Ryu的邏輯控制層處理；

3）Ryu邏輯控制層收到相關訪問控制策略之后，首先判斷該策略是否已存在，如果不存在，則將策略添加邏輯控制層維護的全網訪問控制策略視圖中，并將新添加的策略使用OpenFlow協議下發至指定計算節點的OpenFlow虛擬交換機上；

4）OpenFlow虛擬交換機響應Ryu控制器下發訪問控制策略，并將通信訪問控制規則以流規則形式展現，這些流規則直接控制虛擬機流量轉發，實現租戶下發的通信訪問控制策略。

3 實現、測試與分析

3.1 實現

基于云計算開源項目OpenStack Icehouse版本，使用普通PC構建IaaS平臺，包含1臺控制節點、1臺網絡節點、3臺計算節點。其中，控制節點部署keystone、glance、nova、Neutron、horizon組件。計算節點運行Ubuntu 14.04 Server x64發行版，Hypervisor使用kvm 3.13.024generic版本，OpenFlow虛擬交換機使用Open vSwitch 2.0.1版本，SDN控制器使用Ryu 3.11版本。其中，Ryu 3.11與Open vSwitch 2.0.1均支持OpenFlow協議1.3版本。數據庫使用MySQL 5.5 x64位版本，實際部署拓撲如圖3所示。

IaaS平臺物理網絡鏈路由3部分組成，管理網絡、數據網絡和外部網絡。

1）管理網絡。用于平臺物理節點之間各個組件之間的通信，其中控制節點向其他節點發送虛擬機、網絡、存儲等資源的創建、刪除等請求均使用此物理網絡鏈路。

2）數據網絡。用于虛擬機之間通信，平臺使用VxLAN技術構建租戶虛擬網絡，保證不同租戶虛擬網絡鏈路在同一物理網絡鏈路上通信時是相互隔離的。

3）外部網絡。用于提供虛擬機對外部互聯網的訪問，虛擬機對外部網絡訪問時，其數據流量先經VxLAN隧道送入網絡節點，經由網絡節點上的虛擬路由器（采用Linux network namespace技術實現）轉發至于外部網絡。

SDN控制器Ryu與OVS虛擬交換機使用管理網絡進行通信，Ryu控制器將通信訪問控制規則下發至OVS虛擬交換機，OVS虛擬交換機以流規則構建通信訪問控制層，對虛擬機的網絡通信進行通信訪問控制。

3.2 有效性測試與分析

IaaS平臺以VxLAN技術為支撐為租戶構建網絡，保障不同租戶網絡之間虛擬機的通信隔離，為確保租戶網絡隔離的有效性，在計算節點2處使用Wireshark對通信流量進行抓包分析。實驗結果如圖4所示，以IP地址為192.168.1.14的虛擬機為例，虛擬機通信流量在經過OVS虛擬交換機后被計算節點封裝入VxLAN隧道，并將VxLAN網絡標識符（VxLAN Network Identifier， VNI）字段填充為2，該VNI字段與虛擬機所屬租戶子網是一一對應關系，保證租戶子網之間的隔離。

以虛擬機L3層通信訪問控制策略為例對虛擬機通信訪問控制進行說明。在云平臺中創建虛擬機VM1與VM2，使用VM1與VM2對虛擬機通信訪問控制策略進行測試，測試環境如表2所示。

表格（有表名）

表2給出測試中需要使用的虛擬機信息，平臺中每個虛擬機有通用唯一標識符（Universally Unique Identifier，UUID）標識與其對應，策略下發時以UUID為標識，將通信訪問策略映射到對應的虛擬機上。通信訪問控制策略如表3所示，向UUID為e8d4beb0c6dd43e08b12d8f5c77f3309的虛擬機（即IP地址為192.168.1.22的虛擬機）設置基于IP地址192.168.1.29的L3層通信訪問控制策略。策略下發直接使用本文為SDN控制器Ryu設計的RESTful API完成，策略下發情形如圖5所示。利用ping工具對上述通信訪問控制策略進行測試，測試結果如圖6所示。結果表明通信訪問控制策略下發后該虛擬機無法與IP地址為192.168.1.29的虛擬機進行通信，虛擬機在IaaS平臺中的通信得到有效控制。

3.3 方法優越性討論

與使用傳統Iptables防火墻完成虛擬機通信訪問控制相比，基于SDN的通信訪問控制方法具有更加完善的策略集中管理與策略下發機制，該方法使用OpenFlow協議可以對IaaS平臺中任一OpenFlow虛擬交換機進行控制，實現租戶可動態修改虛擬機通信訪問控制策略的功能，而傳統Iptables防火墻使用文件配置的方式實現訪問控制規則的管理，較缺乏統一的控制管理機制[16]。

使用Iptables防火墻完成IaaS平臺虛擬機的通信訪問控制時，需借助其他代理程序才能完成對整個IaaS平臺虛擬機的通信訪問控制的管理，如圖7所示，OpenStack安全組結合計算節點上的Agent程序與Iptables共同實現虛擬機的通信訪問控制的管理?；赟DN的虛擬機通信訪問控制方法只需為IaaS平臺中所有OpenFlow虛擬交換機設置統一的SDN控制器，如圖8所示，在為IaaS平臺中所有OpenFlow交換機設置控制器之后，即可實現對整個IaaS平臺所有虛擬機的通信訪問控制。

4 結語

針對云計算IaaS平臺所面臨的網絡通信訪問控制問題，本文調研了國內外NIST、CSA、ENISA等組織機構針對云計算網絡安全防護措施給出的標準及建議，并對當前國內外公司IaaS平臺提供的網絡安全防護解決方案進行分析，提出了一種適于IaaS平臺的虛擬機通信訪問控制方法，并在OpenStack平臺上進行實現與測試。測試結果驗證了該方法能夠對IaaS平臺中虛擬機的通信進行靈活控制，保障租戶網絡安全。

在后續工作中將研究在云平臺大規模部署的情況下，OpenFlow虛擬交換機過多所造成的SDN控制器的性能問題，并研究在平臺中如何使用多控制器實現該通信訪問控制方法，進一步完善該方法。

參考文獻：

[1] MELL P， GRANCE T. The NIST definition of cloud computing， NIST SP 800145[R]. Gaithersburg： National Institute of Standards and Technology， 2011： 1-7.

[2] ONF Market Education Committee. Softwaredefined networking： the new norm for networks[M]. Palo Alto， California： Open Networking Foundation， 2012：1-12.

[3] ETSI. Network function virtualization introductory white paper [EB/OL]. [2014-08-10]. http：//portal.etsi.org/nfv/nfv_white_paper.pdf.

[4] JANSEN W， GRANCE T. Guidelines on security and privacy in public cloud computing， NIST SP 800144[J]. Gaithersburg： National Institute of Standards and Technology， 2011：23-24.

[5] ARCHER J， BOEHM A. Security guidance for critical areas of focus in cloud computing v3.0[R/OL].[2014-06-20].https：//cloudsecurityalliance.org/csaguide.pdf.

[6] CATTEDDU D， HOGBEN G. Cloud computing： information assurance framework[C/OL] .[2014-06-20].http：//www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputinginformationassuranceframework.

[7] VMware， Inc. Next generation security with VMware NSX and Palo Alto networks VMseries [EB/OL]. [2014-09-20]. http：//www.vmware.com/files/pdf/products/nsx/NSXPaloAltoNetworksWP.pdf.

[8] Internetworking task groups of IEEE 802.1. 802.1Qbgedge virtual bridging [EB/OL]. [2014-12-31].http：//www.ieee802.org/1/pages/ 802.1bg.html.

[9] Internetworking task groups of IEEE 802.1. 802. 1BRbridge port extension [EB/OL]. [2014-12-31].http：//www.ieee802.org/1/ pages/802.1br.html.

[10] TANG H， WANG J. Access control method： China， 103701822A[P] . 2014-04-02.（唐煥煥， 王軍林. 訪問控制方法： 中國， 103701822A[P] . 2014-04-02） .

[11] Open Netwroking Foundation. OpenFlow switch specification 1.3.1[EB/OL]. [2014-08-01].https：//www.opennetworking.org/images/stories/downloads/specification/openflowspecv1.3.1.pdf.

[12] MAHALINGAM M， DUTT D， DUDA K， et al. VxLAN： a framework for overlaying virtualized layer 2 networks over layer 3 networks[EB/OL]. [2014-08-01]. http：//tools.ietf.org/html/draftmahalingamduttdcopsvxlan04.

[13] SRIDHARAN M， WANG Y， GRAG P， et al. NVGRE： network virtualization using generic routing encapsulation [EB/OL]. [2014-08-01]. http：//tools.ietf.org/html/draftsridharanvirtualizationnvgre03.

[14] DAVIE B. STT： a stateless transport tunneling protocol for network virtualization[EB/OL]. [2014-08-15]. http：//tools.ietf.org/html/draftdaviestt03.

[15] CHEN L， CHEN X， JIANG J， et al. The research and practice of dynamic network security architecture for IaaS platform[J]. Tsinghua Science and Technology， 2014， 19（5）：496-507.

[16] THAMES J L， ABLER R， KEELING D. A distributed firewall and active response architecture providing preemptive protection[C]// Proceedings of the 46th Annual Southeast Regional Conference on XX. New York： ACM， 2008： 220-225.

作者：韓貞陽　陳興蜀　胡亮　陳林