《SDN技术及应用》课件_第7章.pptx

第7章SDN应用编程案例;

本章给出了三个SDN应用编程案例，分别是

（1）基于SDN的ARP代理服务器；

（2）基于SDN的防DDOS网络攻击；

（3）基于OpenDaylight的RESTAPI的应用与开发。

在SDN中，用户可以通过下发流表的方式改变特定类型数据包的接收目标主机，然后通过接收目标主机上的接收程序捕获相应的数据帧并进行分析，从而产生一种新的网络应用。;

例如，ARP代理服务器就是通过集中捕获ARP请求数据帧，记录不同IP地址对应的MAC地址，并构造ARP响应包发送给请求主机的方式实现ARP代理服务器的功能。类似地，基于SDN的防DDOS网络攻击也是将可能存在攻击的数据包转到“清洗服务器”上进行特征检测，对可疑的数据包不进行转发，正常的数据包则被转发到目标服务器上。基于OpenDaylight的RESTAPI的应用与开发则是采用Java语言编程的方式，通过调用OpenDaylight提供的RESTAPI实现流表的提取和下发操作，充分展示了SDN可编程的特点。



;

7.1基于SDN的ARP代理服务器

;

地址解析协议是建立在网络中各个主机互相信任的基础上的，网络中的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

ARP协议的处理机制存在两个问题：其一是可能造成网络的不安全。例如，攻击者可以向某一主机发送伪ARP应答报文，使其发送的信息到达错误的主机，或无法到达预期的主机，或者直接删除，从而构成了一个ARP欺骗。其二是ARP请求包以广播的方式发送给网络上所有的主机，这无疑会占用一定的网络资源。;

因此，在一些关键的网络中，可能采取ARP代理服务器而非ARP广播方式。例如，在电力系统的网络中，通常禁止使用ARP广播。所谓ARP代理服务器，就是由中间设备代替其他主机响应ARP请求，实际上就是一台专门用于接收所有ARP请求、并根据本地存储的MAC地址和IP地址的对应关〖HJ*5/9〗系数据库生成ARP响应数据包的软件。这样既可以避免ARP造成的网络不安全的问题，又能节省网络带宽资源。

;

此外，在一些大型的服务器上每天都会收到???千上万台终端的ARP请求，每当服务器接收到相应的ARP请求时，必然要对其进行应答，这无疑会占用服务器的一定资源。同时，ARP请求会产生一定的网络广播，占据一部分的网络带宽，在有环的网络中还会产生网络广播风暴，有网络瘫痪的风险。因此，将ARP的应答功能从服务器中剥离出来是十分必要的。

;

在传统网络中，ARP代理服务器通常设置在路由器上。例如，主机PC1（00）和主机PC2（00）虽然属于不同的广播域，但它们处于同一网段中，所以当PC1向PC2发出ARP请求广播包，请求获得PC2的MAC地址时，由于路由器不会转发广播包，因此ARP请求只能到达路由器，不能到达PC2。而当在路由器上启用ARP代理后，路由器会查看ARP请求，发现IP地址00属于它连接的另一个网络，因此路由器就会用自己的接口MAC地址代替PC2的MAC地址，向PC1发送了一个ARP应答。;

PC1收到ARP应答后，会认为路由器的MAC地址就是PC2的MAC地址，不会感知到ARP代理的存在。这种路由器上的ARP实际上并不是专为解决ARP所带来两个问题，而是专注于网络的透明传输。ARP代理服务器的设计思路是设置一台专门的主机用于接收所有的ARP请求，这就要求交换机可以识别ARP请求数据包，并将该数据包以单播的方式发送给ARP代理服务器，代理服务器解析接收到的数据包，根据所请求的IP地址查找本地数据库，找到对应MAC地址，再封装成ARP响应包发送给请求者。

;

传统的交换机由于无法直接进行编程，所以除非厂商自己，其他用户很难在普通的交换机上实现上述识别ARP请求并进行转发到特定主机的功能。但在SDN交换机上由于流表可以由用户自己设定，因而利用SDN技术可以轻松实现识别ARP请求并进行转发到特定主机的功能。

;

7.1.1基于SDN的ARP代理服务器实现原理

本节中ARP代理服务器是利用SDN技术实现的，远端PC的ARP请求包通过SDN交换机时，SDN交换机应用流表将该数据包转发到ARP代理服务器，ARP代理服务器捕获该数据包并进行ARP代答，具体实现流程如图7-1所示。终端主机数据包通过入端口进入SDN交换机，在SDN交换机上配置相应的流表，该流表设置为：判断进入的数据包是否为ARP请求包，动作设置为出端口到代理服务器所连接的物理端口上。;

代理服务器收到