侯晓婷

(安徽广播电视台播控中心，安徽 合肥 230071)

SDN在广电网中的应用与优化

侯晓婷

(安徽广播电视台播控中心，安徽 合肥 230071)

在信息技术日渐成熟的今天，业务带宽成为提高用户体验的首要因素，不断改进升级，促进广电网络信息化、智能化并保证网络安全、稳定成为广电运营商必不可少的一项工作。将SDN(Software Defined Network)网络架构运用于广电网，可以减少对原有网络服务器的压力，更加方便网络管理人员对网络进行管理。针对现有广电网络模型，提出了将SDN设备接入在网络边缘，再将所有边缘业务逐渐迁移到SDN业务体系中，待业务完善后将SDN部署到核心业务中，并对改进模型进行了实际应用的模拟实验。实验结果表明，SDN通过不断地更新软件策略，对DDoS的威胁采取屏蔽、丢弃数据包等方式，及时发现威胁，定期清洗流量等实现了软件定义安全。

SDN;控制器;防火墙；软件定义安全

0 引言

在信息技术不断更新，生活节奏不断加快的同时，网络也在不断提速，智能设备给人们带来极大方便的同时，也面临着许多的挑战，现有网络已经不能满足人们日常生产生活的需求。特别地，随着网络视频规模的扩大，数据中心的设备也逐步在增加，但仅仅是设备的扩充，还是基于建成初期的架构，需要扩建更多的数据中心覆盖广电网[1]。随着网络需求的日益增加，当前广电网的问题越来越突出，主要表现在以下几个方面：

(1)网络管理难度大。随着设备的更新，各个广电运营商在添加设备时考虑到资金、兼容性、扩展性的问题，购买设备不可能在同一个厂家同一个型号，大大增加了管理员的工作难度，由于架构的不合理导致频繁添加/删除节点，难以保证网络的稳定。

(2)网络性能不稳定。现有数据中心设备，包括交换机、服务器等，出口带宽资源严重不足，有些广电网络在晚上高峰时期出现网络延迟较大，甚至会因为网络的不稳定影响到用户体验。

为解决上述问题，提高广电网的承载能力，满足越来越多的高带宽业务的需求，网络升级迫在眉睫。近年来，软件定义网络SDN成为了当下讨论最多的一个话题。SDN即软件独立于硬件，让硬件标准化、软件平台化、信息中心化[2]。SDN成为探索下一代互联网的典型代表。SDN的目标是实现数据平面和控制平面分离，这也是业界认可的一种新型网络升级方案。

1 SDN原理

图1为SDN架构图。SDN体系中，控制器拥有全网数据交互视图，网络的路由转发权限交给控制器，对物理交换机集群的虚拟网络实现管控。本文选用Floodlight控制器作为整个架构的核心，其是运行在独立服务器上的软件程序，适用于不同的操作系统。在遭受攻击威胁时，可由用户自定义添加的各种防御模块对常见的攻击进行识别和防护[3]。

图1 SDN整体框架图

图2为传统业务转向SDN业务示意图。将传统业务向SDN业务平滑升级，采用核心交换机负责整个网络的数据交换。防火墙能有效应对TCP三次握手的过程中半连接状态过多导致的服务器无法响应的攻击病毒。建立广电安全的第一道防线，保证原有业务正常运行。传统业务的交换机仍然运行，在此基础上加入SDN交换机，承担新的业务部署[4]。

图2 传统业务转向SDN业务

根据模拟广电网，将一个区域所有的住宅和办公楼纳入其中，每个楼层的交换机汇聚到区域总交换机上，区域交换机接入总交换机，按照层级管理，使得出现问题的交换机能够及时地被控制器发现，做出响应策略，保证网络的畅通。

2 SDN在广电网中的模型设计与优化

图3为模拟广电网整体架构设计图。

图3 整体网络架构设计模型

该模型支持服务器群、有线、无线和SDN网络。为了将传统业务平滑过渡到SDN业务上，不能将老设备丢弃，第一是考虑到成本问题，第二直接丢弃老设备，很有可能造成原有业务的中断，达不到预想的效果。

因此，传统业务仍然按照之前的工作正常运行，整个广电网络结构分为核心区域、接入区域。在不改变原有结构的基础上增加了一个新的SDN分支，实现局部SDN化导入模式，将收容服务器、客户端边缘网络进行SDN化，核心路由器的功能则通过控制器和SDN交换机实现的虚拟路由器完成，也可以通过Floodlight控制器控制物理或虚拟路由器实体完成。核心层是整个网络体系中各功能模块之间可靠、快速、稳定传输数据的通道，使用万兆链路与汇聚层设备连接。

将SDN网络逐步导入现有网络，必定出现的是SDN网络与现有网络共存的情况。原有网络和SDN网络可能会被相互隔离。配置特定的流透明，使用透过模式，保证局部SDN化对原有网络造成的影响是可控制的。同时，可以将不需要使用SDN网络的部分完全透明化，即使导入了SDN环境，配置上也不需要做任何改变。在传统网络上，将边缘设备安装虚拟化的环境导入虚拟交换机，并由Floodlight控制器来控制虚拟交换机从而实现对网络的控制。

Floodlight控制器具体操作流程如下：

(1)数据中心设备将采集到的数据以sFlow样本的形式发送到控制器；

(2)控制器收到采集的设备信息，把收集到的信息装进容器，收到数据流，按照权重对数据流进行实时分析；

(3)由SDN的相关应用，包括基于策略的用户界面和REST APIs，分析和管理容器容量并传送至控制中心；

(4)控制器将会制定OpenFlow规则，同时具有可扩展性，也就是管理员可以将自己开发的应用放入安全箱中，在网络上部署。但是工作一旦结束，为保护原有网络的安全，安全箱会自动关闭。

3 广电网软件定义安全

网络技术发展是把双刃剑，在给人们带来便利的同时，也存在着许多潜在的安全威胁。同样地，将SDN网络引入传统网络架构中，安全问题也是需要重视的问题。而广电网络也是一个开放式的平台，广电网络安全问题成为目前网络安全研究的重中之重。本节将分为两个模块在软件定义网络的基础上采用一些安全机制对病毒的入侵进行检测和屏蔽[5]。

(1)物理层。物理层是整个系统的基础，一旦受到威胁，用户的基本信息将得不到保证。

(2)网络层。网络层最容易受到攻击者的青睐，攻击类型包括分布式拒绝服务攻击(DDoS)、应用层服务攻击和IP地址欺骗等。

本文将针对DDoS攻击做出相应处理，利用软件定义网络的方式定义安全。在硬件上采用防火墙的方式阻止威胁的信息流，在软件定义网络的基础上采用软件定义安全，制定一些策略，对智能交换机实行管控，及时发现威胁并作相应处理。由于Floodlight控制器拥有全网的数据交互视图，网络的路由转发权限全部在控制器中决定，可对基于物理交换机集群的虚拟网络实现管控。因此，在遭到DDoS攻击威胁时，可由防御模块对常见的DDoS攻击进行识别与防护。具体流程如图4所示。

图4 开发DDoS威胁识别和防护图

由图4可知，网络控制层包括协议插件管理器、设备管理、流表管理、拓扑管理和统计管理。DDoS威胁识别和防护层包括数据包检测、网络设备信息表、主机应用征信系统、威胁处理策略、欺骗报文检测、破坏报文检测、异常报文检测等。

为有效地防御DDoS攻击，通过解析PacketIn消息判断其真实性；解析出数据字段，判断Ethernet是否是常规类型，解析出源IP地址、目的IP地址、MAC地址和吸纳供应的交换机端口；查找表匹配字段，解析报文标志位判断其是否正常，如果标志位正常则启动异常报文检测，进入异常数据报的处理流程，按照哈希表对应的计数器计数，如果计数次数超过了其设定阈值，则屏蔽相应的攻击程序或者屏蔽相应的攻击主机。

4 网络性能测试及分析

网络性能测试指标主要包括带宽、时延和带宽时延积。参照传统网络的性能参数，对比SDN网络的性能，采用如图5所示的实验架构。

图5 SDN实验拓扑图

在传统交换机下分别添加两个不同架构的网络，分别是传统网络和SDN网络，利用mininet工具模拟传统网络拓扑图，两者最大的不同就是SDN网络中添加了控制器，控制器采用Floodlight下发流表，模拟网络流量，传统网络中通过发送大量数据包，来验证网络的稳定性。

图6为带宽测试结果图，采用mininet搭建最简单的网络拓扑，测试两个虚拟主机之间的带宽，由h1主机ping h2主机，测试6组数据包，成功接收，表明网络状态正常。

图6 带宽测试图

图7为延时丢包率测试结果图，在Windows自带的命令行窗口中，测试主机连接百度的丢包率，实验结果显示丢包率为0%，发送与接收的数据包均为8个，网络延时为26 ms。

图7 连通性测试图

从发出数据包，至接收到反馈数据包，花费时间越少越好。时间越少意味着速度越快，延时越小。图7测试中平均时延小于30 ms，几乎察觉不出有延迟，使用界面流畅。

图8为多交换机测试。在吞吐量模式下，模拟4个交换机，每个交换机连接1 000个主机，每一个测试时长为5 000 ms。从测试结果可以看出，两个交换机下发相关策略，总时长大约为6.45 ms。

为了对比上述实验的准确性，对控制器进行延时测试。从图9的结果可以看出，一个交换机时延时最短，随着交换机数量的递增，延时也随之增大。

从上述实验可以看出，SDN网络具有稳定的网络性能，延时较短，用户的可控性强，用户可以随时变化拓扑以达到最佳效果。相比于传统网络，SDN网络在提高管理员工作效率的同时，提升了用户的操作体验。

5 结论

本文针对现有广电网存在的潜在安全问题，分析使用

图8 多交换机测试

图9 控制器延时测试

软件定义网络解决广电网可能出现的问题。并模拟实际应用场景进行实验及分析，针对DDoS攻击的TCP全连接攻击、SYN攻击，提出SDN的安全防护方案，引入主机应用征信机制，对入栈流量实时监控并深度解析，最后将传统网络的带宽、延时与SDN网络的带宽、延时进行对比，突出SDN网络应用于广电网的优势。

[1] 张卫峰.深度解析SDN利益、战略、技术、实践[M].北京:电子工业出版社,2014.

[2] 周环,刘慧. 基于Floodlight的SDN控制器研究[J]. 计算机工程与应用,2016,52(24):137-147.

[3] 张世轩,刘静,赖英旭，等. 基于SDN架构的DoS/DDoS攻击检测与防御体系[J]. 电子技术应用,2015,41(12):113-115.

[4] 胡章丰,郭春梅,毕学尧. 云计算及SDN与安全技术研究[C]. 全国计算机安全学术交流会,2013(10):40-43.

[5] 王长忠,董学诚,杨晓，等. 基于SDN的校园网动态服务链设计与实现[J]. 计算机应用与软件,2016,33(12):80-83.

The application and optimization of SDN in broadcasting network

Hou Xiaoting

(Broadcasting Center of Anhui TV Station, Hefei 230071, China)

Today, with the progress of information technology, many new mobile internet applications appear. Service bandwidth has become the most important factor to improve user experience. Continuous improving the network quality based on existing equipment, and making the broadcasting network intelligent, safe and stable has become an essential task for these service provider. Applying SDN (Software Defined Network) network architecture to the broadcasting network can reduce the pressure of the original broadcasting networks’ server, and give network administrators more tools to control the whole network. We make a network model based on the existing broadcasting network, put the SDN access equipment at the edge of the network, and then gradually migrate the whole network to the SDN business system. Experimental results show that SDN implements the software defined security by dynamically using different software strategy, detecting threats in time and shielding and discarding the packets from threat like the DDoS attack.

Software Defined Network(SDN); controller; firewall; Software Defined Security(SDS)

TP393.0

A

10.19358/j.issn.1674- 7720.2017.23.021

侯晓婷.SDN在广电网中的应用与优化[J].微型机与应用，2017,36(23)：73-75,79.

2017-06-15)

侯晓婷(1968-)， 女，本科，工程师，主要研究方向: 通信网络和网络安全。