sdnopenflow网络安全研究.docx

sdnopenflow网络安全研究 0 软件定义网络sdn 随着云计算时代的到来，新磁盘技术将成为连接应用程序、数据和服务的重要领域。在新型数据中心的建设中,云计算对网络架构的可靠性、扩展性、灵活性和管理维护性能提出了更高的要求。 软件定义网络(Software-Defined Networking,SDN)的思想起源于斯坦福大学Ethane项目,此后SDN架构随着技术研究的深入和发展得到了学术界和工业界的广泛认可,成为了未来网络发展的新方向。SDN技术架构通过把原有封闭的体系解耦为数据平面、控制平面和应用平面,如图1所示,提供了一种可编程的网络实现,从而将革命性地改变现有的网络架构。在数据中心网络采用SDN架构,可以便捷实现转发路径优化以及负载均衡,从而使得数据交换更加迅速。 1 sdn和开放空间技术的起源和发展 1.1 sdn/红外展下的研究项目 SDN/Open Flow技术起源于美国斯坦福大学(Stanford University)。2006年,以斯坦福大学为主导,联合美国国家自然科学基金会(National ScienceFoundation,NSF)以及7家左右的工业界合作伙伴一起启动了Clean-Slate Design for the Internet(简称Clean Slate)项目,负责人是斯坦福大学的Nick Mc Keown教授。Clean Slate项目旨在创建一个全新的互联网络,使其能够摆脱当今互联网基础架构的限制,采纳新技术,支持新应用、新服务,继续提供创新实验平台。作为Clean Slate项目在企业网安全方面的一个子项,2006年,当时的博士生Martin Casado和其它几位团队成员提出了Ethane架构,该架构通过一个中央控制器向基于流(Flow)的以太网交换机下发策略,从而对流的准入和路由进行统一管理。Ethane架构被认为是SDN/Open Flow技术的发展源头。 2007年,Nick Mc Keown教授、Scott Shenker教授(加州大学伯克利分校)、Martin Casado博士合创了致力于网络虚拟化的公司Nicira,最先提出了SDN的概念。2008年,Nick Mc Keown教授在ACM SIGCOMM的杂志《Computer Communication Review》上发表文章《Open Flow:Enabling Innovation in Campus Networks》,提出了让研究者能够在每天使用的网络(例如校园网)上进行创新实验的方法——Open Flow。自此SDN/Open Flow技术开始被工业界和学术界广泛关注,并且迅速发展起来。 美国国家自然科学基金启动的GENI(Global Environment for Network Innovations)项目将Open Flow技术用于部分试验平台的构建。2011年,在Facebook、Yahoo等几家公司的倡议下,开放网络基金会(Open Networking Foundation,ONF)成立,致力于SND/Open Flow技术的标准化(规范制定)以及商业化。目前,已有包括网络设备商、网络运营商、服务器虚拟化厂商、网络虚拟化厂商等在内的70家成员。在开放网络峰会(Open Networking Summit,ONS)2010/2011、Interop 2011/2012上,众多成员展示了在SDN/Open Flow领域的研究成果。2012年,斯坦福大学的Clean Slate项目结题,SDN/Open Flow技术的研究在斯坦福大学与加州大学伯克利分校联合成立的开放网络研究中心(Open Networking Research Center,ONRC)继续开展。 1.2 f过滤协议的发展 Open Flow技术被认为是SDN架构的控制平面和数据层平面间的第一个标准通信接口。至今Open Flow技术还在不断发展完善当中,这里以《Open Flow交换机规范1.1》为例,对该技术进行简要介绍。如图2所示,Open Flow控制器负责转发策略的制定,通过Open Flow协议与Open Flow交换机进行通信建立、策略下发、状态监控。Open Flow控制器与Open Flow交换机之间的工作模式一般是多对多、一对多。Open Flow交换机可以是仅支持Open Flow技术的交换机,也可以是在传统交换机上进行扩展而形成的混合型交换机。 Open Flow交换机的转发策略主要保存在一个或多个流表(Flow Table)和一个组表(Group Table)内。在最初的设计中仅包含一个流表,为了提高存储资源利用率、加快检索速度,流水线式的多表结构被提出。交换机的每个流表都包含一系列流表项(Flo