刘亮龙　方献梅

摘要：软件定义网络作为一种新型网络架构，将网络设备的控制平面和数据平面分离，受到了各界的关注与支持。介绍了SDN的产生背景、特点及发展现状，分析了SDN体系架构，探讨了SDN的产业应用及安全问题。SDN这种创新的架构实现了网络前所未有的可编程性和可控性，必将促进网络技术变革和创新发展。

关键词：软件定义网络；SDN；OpenFlow；网络架构；安全性

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）13-0047-02

Abstract： As a new network architecture， in which the data plane and control plane are separated， software-defined networking has been concerned and supported by people. This paper mainly introduces the background， characteristic and current situations of SDN， analyses SDN architecture， and explores the industrial application and security of SDN. Innovation of SDN architecture achieves unprecedented programmability and controllability， and will facilitate change and development of network technology.

Key words： software-defined networking； SDN； OpenFlow； network architecture； security

1 引言

随着云计算、物联网等技术迅猛发展，大数据时代已经到来，这使得计算机网络所承载的信息量急剧膨胀。然而，传统的网络架构在经历数十年的发展后，因其由不同技术标准、不同厂商的网络设备组成，使得设备之间数据交换越来越复杂，且网络性能提升的空间越来越小。在大数据时代，传统的网络架构对处理日益庞大的数据已经显得力不从心，常常难以满足当今企业、运营商以及用户的需求。

2006年，斯坦福大学启动了“Clean-Slate Design for the Internet”项目[1]，该项目旨在研究提出一项新的网络技术，突破当前互联网基础架构的限制，以更好地支持新的技术应用和创新。其核心理念是使网络软件化，并充分实现网络开放，从而使得网络能够像软件一样便捷、灵活，以提高网络创新能力。

为了支持这个项目的实现，2008年斯坦福大学的Nick Mckeown教授提出了OpenFlow，其核心思想是将传统网络设备的数据平面和控制平面分离，通过集中控制器以标准化接口对各种网络设备进行分配和管理[2]。后经由斯坦福Clean Slate项目推广，以及GENI（Global Environment for Network Innovations）项目中的应用，这个概念被逐渐扩展并成为了SDN（软件定义网络）。

2 SDN体系架构

SDN通过将控制平面和数据平面分离，以达到控制平面可编程和数据平面抽象化的目的。SDN的参考体系架构如图1所示[3]。

2.1 可编程控制平面

控制平面可以直接进行集中化编程，具有3个开放的接口：控制平面的南向接口，北向接口和东西向接口[4]。

（1）南向接口：位于可编程控制平面和数据平面之间的接口。南向接口可以抽象物理网络资源信息，从而形成虚拟化网络，可以极大简化网络的设计和运行。

（2）北向接口：位于应用程序/服务和网络基础设施（或控制器）之间的接口。SDN控制器负责维护全局网络视图，并向上层应用提供用于实现网络服务的可编程接口。

（3）东西向接口：控制器之间的接口，将整个网络定义为一个逻辑的交换机。利用控制器提供的应用程序编程接口，网络操作人员可以灵活地编写多种网络应用程序。

2.2 数据平面抽象化

数据平面抽象化要求SDN很好定义通用的数据平面模型，而不用关心某些特定硬件，具体的数据平面抽象模型包括数据包转发抽象模型、电路交换抽象模型等。

SDN使得网络关注重心从硬件转移到软件，在一定程度上屏蔽了硬件层面的差异性，使上层用户不再疲于应付不同厂家的设备。同时，分离控制平面和数据平面后，厂商可以根据不同业务需求自行开发控制平面，重新洗牌传统的网络通信行业，也给IT企业带来新的发展机遇。

3 SDN产业现状及分析

3.1 SDN产业现状

近年来，SDN不但是学术界研究热点，也是成为产业界热议的焦点，尤其是其商业前景。业界预测，从2013年到2016年，SDN产业将达到20亿美元以上[5]。2012年，Google宣布其内部骨干网已经全部实现SDN全面部署，见证了SDN商业化的重要里程碑。此外，VMWare宣布以12.6亿美元收购SDN服务商，正式向商业化迈入重要一步。

2012年SDN峰会上，国内外多家芯片厂商推出了支持OpenFlow协议的新功能芯片，宣告了主流芯片厂商们已经把OpenFlow提上产品日程。2013年，SDN峰会宣布设立SDN专业技术培训板块，得到了国际权威组织ONF的全面支持。此次峰会上国内三大运营商中国电信、中国移动、中国联通齐聚，共同探讨SDN在运营商层面的挑战和机遇。至此，SDN预示着即将带来一个网络新时代。

3.2 SDN应用分析

随着近几年SDN技术的发展，虽然目前SDN具体的应用尚未普及，但随着SDN关键技术的不断发展，未来一定有广阔的应用前景。比如在诸如数据中心网络、广域网、以及移动网络等网络环境中，SDN都可有用武之地。因此，互联网将可能进入SDN时代。

在数据中心网络环境中，所有网络资源都可通过SDN技术整合起来，进一步实现路径优化和负载均衡，从而提高资源的利用率，降低能量消耗。同时，在多个数据中心利用SDN网络虚拟化技术，可以轻松实现虚拟专用网（VPN）的映射以及虚拟机的迁移。

在广域网以及移动网中使用SDN技术，也可进一步提高网络服务质量。通过SDN技术，将不同异构网抽象成控制平面集中控制，统一管理网络，从而进一步融合网络。利用SDN技术可以在固定网络和移动网络中实现无缝控制，提高VPN管理的灵活性等。在运营商网络中利用SDN技术，不但能有效降低网络管理难度，还能加快网络业务部署进度，提供网络服务的适应能力[6]。

4 SDN安全分析

安全性是所有信息技术必须面对的研究课题。信息安全的含义主要包括信息的完整性、可用性、保密性和可靠性。SDN作为一个新兴的信息产业技术，安全尤为重要。

4.1 SDN安全特点

不同于传统网络，因其创新架构，SDN的安全性具有自身特点。

（1）SDN控制器的集中性带来的安全风险。SDN的架构使得网络配置、网络服务访问控制、网络安全服务等都集中在控制器上，这就使控制器成了最易受攻击的目标。攻击者只需攻陷SDN控制器就可以影响整个网络，而云平台强大的计算能力让这种攻击更容易实现。

（2）SDN的开放性带来的安全风险。SDN可以实现统一管理、配置异构网络设备、提供可编程性，但这就需要开放各种接口。在应用层面，SDN控制器提供了大量可编程接口，而这些接口则很可能被攻击者利用，如监听、截获、DDOS攻击等，从而使得这些接口变成安全漏洞。因此，为了防止开放性带来的安全威胁，如何评估开放的接口将是设计SDN控制器需要考虑的重要问题。

4.2 SDN的安全现状

从SDN架构来看，Hartman S等人认为SDN的安全问题需求主要集中在控制平面和应用平面之间[7]。在这两个平面之间，现有的OpenFlow相关规范基本可以保证一个交换机被一个控制器控制的情况下的安全性，但无法应对一个交换机被多个控制器控制的情况。

4.2.1 控制平面的安全

集中化的控制平面承载网络环境中所有的控制流，其安全性直接关系网络服务的可用性、可靠性和数据安全性。控制平面面临的主要威胁包括：

（1）网络监听。攻击者通过开放接口，获取控制器的控制指令。

（2）篡改。攻击者监听到控制指令后，可以篡改或伪造控制指令，比如修改IP地址进行IP欺骗。

（3）DDOS攻击。攻击者不断向控制器的开放接口发送大量合法的服务请求，使得控制器因过载而不能向正常用户提供服务。

（4）蠕虫、病毒以及木马攻击。攻击者通过控制器中存在的漏洞，获取控制器的控制权，执行恶意代码。

4.2.2 应用平面的安全

应用平面提供各种网络服务，主要包括以下两种安全威胁。

（1）恶意应用：通过应用层植入蠕虫等病毒，达到窃取网络信息、更改网络配置、占用网络资源等目的，从而干扰控制平面正常工作的进程，影响网络的可靠性和可用性。

（2）应用的安全规则冲突：为确保控制器接口的安全性，应用层根据不同的网络服务制定相应的安全访问规则，但应用越来越多时，不同应用之间的安全规则可能会产生冲突，这就增加了网络管理的复杂度。

针对前面所述的一些SDN安全问题，学术界和产业界已经提出了相应解决方案。2014年，Radware公司发布了业界第一个SDN安全应用——Defense4All。 Defense4All可以为运营商和云服务商提供DoS/DDoS攻击检测和防护方案。该应用通过Open Daylight SDN[8]控制器对具有SDN功能的网络进行编程，使之成为DoS/DDoS攻击防护服务的一部分，并允许运营商按照虚拟网段或按照用户的形式提供DoS/DDoS攻击防护服务。

5 未来展望

SDN控制平面与转发平面分离的理念为未来网络发展提供了全新的思路，顺应了当前网络的应用趋势，具有巨大的潜力和应用市场空间，并加速了网络创新和发展进程。

从应用角度上看，SDN很可能对整个通信产业产生巨大的冲击和影响。对于传统的通信设备制造商而言，SDN技术的出现改变了网络产业软硬件一体化的生产方式，转变为底层高性能转发/存储以及上层智能灵活调度的架构。这对现有占据市场主要份额的公司将造成巨大冲击。

对于网络运营商而言，现有的网络硬件的控制与转发架构将发生改变，运营维护模式也必须做出相应的调整策略。网络的核心将向网络操作系统转移，SDN的管理和控制也将成为运营商的一个新的探索研究方向。

作为一种新型网络体系架构，随着技术的发展和成熟，SDN很可能将使网络发生革命性的变化。

参考文献：

[1] Adrian Lara， Anisha Kolasani， Byrav Ramamurthy. Simplifying Network Management Using Software Defined Networking and OpenFlow. 2012 IEEE International Conference on ANTS[C]. USA： University of Nebraska-Lincoln， 2012.

[2] McKeown N. Software-Defined networking[EB/OL]. Proc. of the INFOCOM Key Note， 2009. http：//infocom2009.ieee-infocom.org/technicalProgram.htm.

[3] Myung-Ki Shin， Ki-Hyuk Nam， Hyoung-Jun Kim. Software-Defined Networking（SDN）：A Reference Architecture and Open APIs. ICT Convergence[C]. Korea， 2012：360-361.

[4] Open Networking Foundation. Software-Defined networking： The new norm for networks[EB/OL]. ONF White Paper， 2012.https：//www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[5] ONS. SDN： Transforming networking to accelerate business agility[EB/OL]. 2013， http：//www.opennetsummit.org/archives/mar14/site/why-sdn.html.

[6] 王茜，赵慧玲，王岩，解云鹏. SDN在通信网络中的应用方案探讨[J].电信网技术，2013（3）：26-27.

[7] Hartman S， Wasserman M， Zhang D. Security Requirements in the Software Defined Networking Model[EB/OL]. IETF Draft ， 2013， http：//tools.ietf.org/html/draft-hartman-sdnsec-requirements-00

[8] Open DayLight[EB/OL]. 2014， http：//www.opendaylight.org.