SDN体系结构及关键技术的研究
2020-03-30冯新波
冯新波
【摘要】随着通信技术的不断发展,SDN体系结构给互联网领域带来了的新变革。本文对SDN体系结构的特性和关键技术进行研究,由于其集中管理与接口开放,导致SDN体系结构的安全问题成为关注的焦点。鉴于此,本文基于SDN体系结构的特性,探讨SDN体系结构的关键技术以及安全防护问题,试图为之提供行之有效的可行性建议。
【关键词】SDN;体系结构;特性;安全
随着网络技术的不断发展,网络通信管理过程中遇到的难度也越来越大,一些新功能难以及时有效的部署。为了能够解决上述问题,需要重新定义网络体系结构,而SDN体系结构,给未来网络通信发展方向提供了一个新的思路。软件定义网络(Software Defined Networking,SDN)是一种数据控制分离、软件可编程的新型网络体系构架,通过灵活高效的网络部署,以适应灵活多变的网络需求。SDN体系结构实现了网络逻辑的集中控制,将应用与网络服务、设备之间的交互紧密结合,使得操作方面得到极大的便利性。SDN体系结构通过控制器实现对网络的集中式控制,通过编排、协调促进与原设备之间的交互程序,通过现代化的、双向的编程接口来实现抽象化的网络功能和操作。
1. SDN体系结构特性
SDN体系结构作为一种新型的网络结构,实现了控制平面与数据平面的相互分离,增加了网络可编程功能,在网络的灵活性和控制性方面较传统网络体系有较大优势。SDN体系结构建立在开放软件的基础上,不依靠特定的硬件设备,有效降低了网络业务部署和维护的成本。此外,SDN体系结构具备交换设备数据平面和控制平面分离的特性,通过逻辑上集中的控制器和开放、标准的交换设备编程接口,网络信息的转发行为可以灵活、快速的由控制器上根据业务逻辑编写的程序定制,从而方便网络管理,促进网络领域的创新发展。SDN体系结构具有以下特性:
1.1 集中控制
SDN体系结构的集中控制,主要体现在对应用层、控制层以及基础数据层进行的统一、集中管理。在SDN体系结构中,控制器会担负收集和管理所有网络状态信息的工作,逻辑集中控制器是SDN体系结构的基础,同时SDN体系结构也为网络自动化管理提供了可能。
1.2 开放接口
SDN体系架构具有较强的开放性体现在应用层、控制层以及基础数据层之间拥有统一的开放性接口(Application Programming Interface,API),方便用户进行编程,以此来实现网络配置、管理等一系列控制。此外,SDN并不是一种具体的网络协议,而是一种具体的网络体系框架,这种框架中可以包含多种接口协议。SDN体系结构拥有应用层和网络层的无缝集成,应用层确保网络运行以满足业务带宽、延时需求、计费对路由的影響等应用需求。
1.3 网络虚拟化
SDN体系结构虚拟化就是创建一个运行在被抽象的实际物理实体之上的高层次抽象,这一特性使得控制平面和数据平面之间,可以独立完成体系结构演进,不再受彼此影响。计算和存储服务器虚拟化技术的发展,为网络虚拟化提供了便利,可以帮助网络管理员更加便利的创建网络,扩展和收缩已存在的网络。同时,网络可以获得更多可编程能力的架构基础,便于根据业务需要配置、迁移、不受物理位置限制、支持多用户同步使用,每个用户可以自定义带宽需求和私有编址。
2. SDN体系结构关键技术及实现
随着数字化技术和云计算的兴起,用户对网络服务的要求越来越高。因此,以SDN为主的新一代网络架构应运而生。研究得知,SDN体系结构主要包括:应用层、控制层、基础数据层三个部分。应用层主要由网络管理应用、网络开放编程、数据中心、等若干个应用服务元素组成;控制层包括网络控制器、网络智能,网络负载均衡、全局优化;基础设施层包括硬件交换机、软件交换机;SDN体系结构如图1所示:
在SDN体系结构中开放性的接口,可以帮助上层软件实现网络中的资源共享以及控制网络资源流量,并且按照应用的实际需求灵活调度这些流量。下面从网络应用层、网络控制层、数据转换层、Open Flow协议、南向接口和北向接口六个方面分析SDN体系结构的关键技术:
2.1 应用层关键技术
SDN体系结构的应用层,包括网络资源管理以及基于SDN的应用开发。应用层基于北向接口和控制层提供的网络视图进行编程,实现各种不同的网络应用,使得网络的转发行为能够通过软件进行定义,实现网络智能化。将虚拟化的网络资源纳入云资源管理平台,实现资源的统一管控。Quantum是云管理平台Open Stack的网络服务组件,支持虚拟二层网络和虚拟端口,支持网络隔离以及多种类型设备。SDN体系结构实现了对传统网络应用能力的优化升级,对网络访问进行有效控制,网络运行速度也得到了有效提升,降低系统的CAPEX/OPEX。替换或者扩展传统网络中需要利用硬件实现的功能。此外,SDN体系结构实现了网络系统的快速部署,加速了网络智能化和自动化运作,利用北向API调用网络能力,编程加速网络创新业务能力,制定灵活的配置和管控策略,定义高级别的安全性和可靠性。
2.2 控制层关键技术
SDN体系结构控制层,包含SDN控制软件和网络服务。通过利用南向接口控制基础设施层的网络设备,构建并维护全局的网络视图,实现传统网络设备中控制平面的功能。SDN控制器作为控制层的核心,控制层通过SDN控制器读取信息,输入控制指令,实现策略管理、资源调度和智能化管理。此外,SDN体系结构控制层采用分布式结构,需要接口协议来负责控制器之间的通信,从而实现对全网资源的统一管理,利用控制层的这个特性,可以动态创建并维护网络全局视图,用最直观的形式呈现给网络管理者每提高网络管理效率,简化故障定位,降低网络管理的复杂程度。
2.3 基础设施层关键技术
基础设施层由经过资源抽象的网络设备组成,这些网络设备可实现网络转发等数据平面功能。基础设施层主要有NOX、Floodlight、Open Daylight和ONOS(开放网络操作系统)。NOX是针对软件定义网络架构下网络控制器的一种开源实现,支持C++/Python,主要由Nicira公司支持。ONF标准组织推广开放SDN和Open Flow协议及标准。ONF标准组织定义的SDN体系结构最突出的特点就是标准化的南向接口协议,实现了基础设施层的网络设备拥有标准化的接口协议,这就使得控制平面和应用平面可以轻松互联,控制平面可以使用标准的南向接口协议来控制基础设施层的网络设备。
2.4 Open Flow协议
控制器与网络设备需要使用统一的协议实现相互通信,即为Open Flow协议。作为网络通信协议,Open Flow能够控制网上交换器或路由器的转发平面,从而改变网络数据包的传播路径。Open Flow能够启动远程的控制器,经由网络交换器,决定网络数据包要由何种路径通过网络交换机。在Open Flow协议中转发面设备被抽象为一个多级流表驱动的转发模型。Open Flow控制器位于SDN架构中的控制层,通过Open Flow协议南向指导设备的转发。目前主流的Open Flow控制器分为两大类:开源控制器和厂商开发的商用控制器。其中开源控制器主要由开源组织创建,该控制器提供开源编程接口,开发人员可以使用C++或者Python 语言,在这些接口上实现自己的应用;商用控制器则是针对一些公司创建的具有针对性构架的控制器。Open Flow控制器可以对数据平面流量进行有效部署,在Open Flow控制器中交换机匹配一张流表,每张表包含不同表项,其中每一个表项都表征一个“流”以及相应的处理方法,通过相对应的流表进行匹配然后实现数据分组,如果符合流表中某项特征,则按照相应的动作进行转发,否则将会封装并通过安全通道交给控制器,并且由Open Flow控制器决定下一步处理。
2.5 南向接口关键技术
南向接口(South Bound Interface)主要是指控制层和基础数据层之间向下的通信接口。南向接口提供对其他厂家网元的管理功能,支持多种形式的接口协议,包括SSH、SNMP、TR069、SOAP等接口。SDN控制器通过南向接口接收来自交换机的数据信息,并向其发送数据包。通过Open Flow协议,可以通过远程操作添加、更新或者删除交换机流表中的记录。ONF标准组织定义的Open Flow协议,可以将转发面抽象为一个由多级流表组成的转发模型。Open Flow协议可被视为控制器和交换机之间进行的一种交互方案,即交换硬件和网络控制器之间的通信。在网络安全性方面,Open Flow协议提供了可选的加密通信支持,以及SDN控制器和交换机之间的证书交换机制。
2.6 北向接口关键技术
北向接口(North Bound Interface)为业务提供网络逻辑抽象和模型。当外部管理系统或者网络应用提取下层网络信息或者对网络实行某种控制时,或者SDN 控制器之间需要进行通信时,需要一个北向接口提供服务。但现阶段,尚不存在被广泛接受的北向接口标准,因为,多数北向接口都是在软件中被定义的,而SDN 控制器和交换机之间的通信需要硬件方案做支撑。SDN 体系结构中需要一个明确定义的接口,用于应用程序与交换机、与其他应用程序进行交互、使用系统提供的服务。不同的控制器具备有不同的北向API集合,包含了交换机状态采集、静态流表推送、防火墙策略等类型接口。从技术角度分析,部分传统的网络设备厂商倾向于在现有的设备上提供编程接口供业务App调用,许多上层应用的开发者也比较倾向于采用 REST API 接口的形式。
3. SDN体系结构安全防护
SDN体系结构的集中管理和开放性接口,在提供便利的同时也存在一定的安全隐患。因此,SDN体系结构的安全防护问题就显得尤为重要。SDN体系结构集中管理,使SDN控制器一旦遭受病毒攻击,具有非常严重的风险。此外,SDN体系结构集中管理也使得攻击者更容易锁定目标,极大的降低了攻击成本。因此,由于SDN体系结构具有很强的开放性,一方面方便网络设备管理,另一方面也增加了网络安全隐患。下文将对SDN体系结构安全防护进行研究:
3.1 SDN控制器安全策略
SDN体系结构要通过建立一个系统完善的安全防护体系,来确保网络的正常运行和控制器指令准确执行。SDN体系结构的可编程性和集中控制给其带来一系列安全问题,而控制器又是安全防护的核心。SDN体系结构中多数北向接口都是在软件中被定义的,容易产生安全隐患。而且北向接口用于应用程序与交换机、与其他应用程序进行交互、使用系统提供的服务,如果交换机向SDN控制器发送大量请求时,控制器会因为资源限制发生崩溃,从而导致整个网络系统瘫痪。同时,交换机流表如果耗尽,SDN控制器无法接收流表插入请求,网络资源将彻底失去控制。因此,需要通过安全控制器为SDN体系结构提供安全的网络开发环境,安全控制器使用模块化控制结构,每一个模块都需要通过身份识别才能进入。首先网络管理者生成“应用AD-密钥对”,然后模块将应用ID嵌入到FRESCO脚本语言中,使用私钥对脚本进行加密。解密过程正好相反,需要先查询模块名对应的ID,再用公钥进行解密。当交换机流表空间不足时,资源管理器会选择删掉一些重复或者不用的流表项。然后通过对应用分级,安全内核保证安全应用流表下发优先执行,此时非安全性的应用规则将会被强行覆盖。
3.2 SDN体系结构流量安全策略
SDN体系结构具有可编程特点,可以进一步实现网络全局视图,即对网络中流量执行监控和操作。SDN控制器可以通过南向接口想交换机下发指令,通过更改制定流量的数据包,可以避免异常流量导入设备的现象,也将产生影响流量的路由规则。基于Open Flow的主机IP动态随机突变技术,将确保每一个主机获得一个随机匹配的虚拟IP地址,而且该虚拟IP会随着时间不断变动,有效减少黑客攻击、病毒入侵的成功率。通过SDN控制器向Open Flow交换机下发流表规则,在交换机处将流量数据包修改并转发到真实IP地址的主机上。再通过一个专用算法,整个网络中主机的虚拟IP频繁而无规律的突变,导致无法获得网络主机端口信息。
3.3 SDN体系结构安全策略
SDN体系结构安全策略,主要是通过增加审计监控措施来提升网络结构的安全性。SDN体系结构对转发层设备的安全管理主要由控制器负责。SDN控制器不仅需要安全策略,还需要将该策略有效的转换成指令并执行。SDN控制器通过南向接口向交换机发送指令,实现了对交换机运行状态的实时控制。在应用层安全防护方面,通过成熟的安全检测机制对访问SDN控制器接口的应用程序进行进行严格检查,确认其合法性,以此来提供更加健康、优质的服务。
3.4 Open Flow安全通道的建立与维护
Open Flow安全通道需要通过交换证书进行認证,Open Flow协议提供了可选的加密通信支持,以及SDN控制器和交换机之间的证书交换机制。通过安全信道传输的双向流量,不用与流表进行比对,交换机在进行查表比对之前,需要把输入的流量视为本地流量。如果SDN控制器与交换机之间的通信中断时,加密通信会显示超时,或者交换机中断与其他连接并尝试连接备用控制器。经过多次连接控制器依然失败时,交换机将会立即进入紧急模式,并且重置当前的TCP连接。此时,匹配过程由紧急流表记录进行控制,交换机进入紧急模式后,所有正常记录将全部删除,重新与SDN控制器建立连接后,会保留紧急流记录,而SDN控制器可以根据情况选择是否继续保留。
4. 总结
综上所述,SDN体系结构作为一种全新的网络体系,它将应用层与服务层、基础设施层紧密结合在一起,利用一个逻辑上集中式的网络控制,即SDN控制器来实现。本文主要阐述SDN体系结构集中控制、开放接口、网络虚拟化的三个特点,通过对控制器能力进行拆分,优化网络架构,通过控制器对网络服务进行监控。然后从应用层、控制层、基础数据层以及南北向接口等方面分析了SDN体系结构的关键技术,并且在SDN控制器、流量、体系结构的安全防护、Open Flow安全通道的建立与维护方面进行探讨。通过分析得知SDN体系结构管理分工明确,可以有效提升安全管理的灵活性,也提高SDN体系结构的安全性。
参考文献:
[1]赵汉佳.SDN控制平面安全防御研究[D].电子科技大学.2018
[2]张鉴,唐洪玉.基于软件定义的5G网络安全能力架构[J].中兴通讯技术.2019(04)
[3]李丹荔.基于SDN的5G移动通信网络架构[J].中国新通信. 2019(11)