王奇 刘紫亮 黄逸翠 张永芳

【摘要】    随着信息技术的发展，互联网的发展日新月异。在互联网时代，人们的教育、娱乐和购物阵地已经转移，甚至工作方式也转移到网络平台[1]。网络的稳定性、安全性成为大众关心话题，对网络维护提出了新的要求。本文将通过传统网络和以OpenFlow为核心的SDN服务链的对比研究，从而为实际网络部署提供有效参考。

【关键词】    SDN    OpenFlow    服务链

引言

随着信息技术的飞速发展，电商等数字经济产业也随之蓬勃发展。在移动端、大流量应用并不普及的时代，基于传统的TCP/IP模型设计的网络结构，能够通过串联WAF、IPS、IDS、FireWall、Qos、堡垒机等安全設备，并制定合理的安全策略来抵御来自外部的攻击、以及突发情况。

近年来，互联网技术发展进入了大流量时代，一大批如抖音、快手、火山视频、斗鱼直播等“杀手”级应用井喷发展，对网络的各个节点的正常运行带来了极大的挑战。尤其是以高校、大型企业为代表的用户，面临大流量、多设备等问题，其网络节点在处理数据流时的稳定性极其重要。在遇到大量数据流、物理攻击以及网络攻击时其网络是否能够正常运行。这对网络的安全性、可靠性、可扩展性等方面提出了新的要求，本文将从OpenFlow协议、服务链的角度进行论述。

一、传统链路

传统的网络基于TCP/IP模型，如图1所示选用三层交换机作为核心交换机以便于网络的扩展，并串联WAF、IPS、FW、出口路由。

1.1 工作方式

当PCA通过HTTP访问百度官网，由于IP地址是由数字组成且不方便记忆，在使用百度域名时，通过DNS解析得到百度IP地址180.101.49.11。PCA得知通往百度的目的IP地址，未知百度服务器的MAC地址。此时，PCA通过子网掩码计算得出百度IP地址与自己不在同一个网段，PCA向网关发送ARP报文以获取网关的MAC地址，核心交换机端口1收ARP数据报后解封装后发现目的IP地址时自己，核心交换机做出响应并将PCA的MAC地址放进自己的缓存MAC地址表中，此时的源、目的地址为网关（核心交换机）的MAC和PCA的MAC。PCA收到来自网关的ARP响应报文，解封装得到网关的MAC。故PCA封装数据包如图2所示，从以太口发出。网关的1端口收到报文解封装，发现目的MAC地址为端口MAC，继续解封装发现目的IP为180.101.49.11，非本机的IP，通过查路由表得知下一跳IP地址10.0.0.2/24，却不知道其MAC地址，发送ARP请求报文。

WAF（二层代理透明模式）的1端口收到从网关2端口发出的报文，通过解析报文匹配规则库，发现报文符合安全规则，代为转发数据报至IPS的1端口，ISP（二层透明模式）解析封装类比安全库，判断安全放行数据报。FW（三层模式）的1端口收到报文后解封装发现IP地址为本机地址，回应ARP包将本端口的MAC地址打包封装发送给网关。网关收到回应报文后，更改源、目的MAC地址，继续向FW发送数据报;FW收到WAF转发的数据报后，解封装并查表得到下一跳地址为出口路由地址（第一次会话时无出口路由的MAC），向出口路由发送ARP请求报文，得到出口路由的MAC地址。出口路由查表下一跳的IP地址，到ISP处继续查表得到百度的网关IP，最终到达百度的服务器。

百度服务器收到SYN请求后，对PCA进行ACK响应并发送SYN请求报，PCA收到来自百度服务器的报文后，再次发送ACK应答报文。百度服务器收到响应报文后，此时PCA与百度服务器的通话链路已经开启，可以进行会话。

1.2传统链路的不足之处

由于传统链路的核心节点主要以串联为主，面对内部攻击、外部入侵时处理速度较慢，可能造成网络的延时甚至网络瘫痪;遇到主机数量几何倍增加时，其网络的可扩展性较差;此外，人脸识别、网页浏览、影音视频等应用的缓存日志的内存过大，其处理的能力较弱，也会造成网络的崩溃。

二、基于SDN的服务链

SDN（software defined network）在当今的计算机网络声名显赫，其内容丰富，却未被一些组织或企业进行标准定义。SDN要求网络系统中的控制平面和转发平面必须分离[2]。在转发平面，网络管理员的意志最重要，与协议无关。SDN的架构如图3所示，应用层，不同应用通过控制层开放的API管理控制设备的报文转发功能;控制层，由SDN软件组成，与下层可用OpenFlow协议通信;基础设施层，由网络设备（交换机、路由器、防火墙等）组成。

2.1什么是OpenFlow

SDN是一个框架，不是一门技术;它的核心是OpenFlow协议。OpenFlow协议是由斯坦福大学提出来的，最初的出发点是为了更好地构建用于研究的网络[1]。传统的网络中，路由器等网络节点既要数据传输又要控制处理。而OpenFlow的典型特点是将数据面（发送数据包的网络）和控制面分离，是一种可实现多种功能的技术，能够实现多种现象

2.2什么是服务链

一直以来，网络出口会串接很多的设备，比如，防火墙、WAF、IPS、抗DDOS攻击、上网行为、防毒墙等安全及性能管理设备，我们把这些设备称为服务节点（Service Node）。当网络流量按照业务逻辑所要求的顺序，经过这些节点，这就是服务链。

2.3 基于SDN的服务链

传统网络与网络拓扑紧密结合，弹性不足，一旦设备部署完毕之后不易调整，会涉及重新布线、业务中断等一系列问题。基于OpenFlow的服务链，能够解决传统网络结构的不足之处。由于SDN中北向接口的可编程性，服务链可以通过北向接口与OpenFlow Controller进行通信。OpenFlow Switch通过OpenFlow Controller和南向接口对服务链的流量进行控制和转发 [4]。在OpenFlow Switch上并行挂载WAF、IPS、FW等安全设备，如图4所示。

PC机访问外网时，数据包进入OpenFlow Switch 的接口1，查看流表0中的流表项匹配字段，如图5所示。如果流表0无法匹配，转流表1继续匹配，流表1中无表项匹配则转流表N，直到匹配成功，执行行动。若最终无匹配，则OpenFlow Switch向控制器发送Packet-IN包，寻求解决方案。其流程如图6所示。

当OpenFlow交换机的并行挂载的FW掉线时，其表项号自动删除表项号8直接执行表项号9。

2.4 SDN服务链的优势

（1）割接

在添加、减少物理设备时，不需要像传统服务链那样选时中断设备;直接服务将服务节点上线或下线，大大降低网络割接的难度，减轻网络管理人员负担。

（2）编排

在不改变物理拓扑结构的情况下，通过拖拽设备图标的方式进行网络调整，从而更改业务流量出入服务节点的路径。发现内部攻击时，可以将图5中的防火墙位置调整到离内网近侧，保障网络的安全通畅。

（3）健康检查

对服务节点中的设备的物理接口、管理IP可达性、流量比阈值等状态实时监控，在遇到服务链挂载设备异常时提供自动下线功能，确保服务链在各种层面的故障下不断网。

（4）服务映射

可以根据应用场景的需求，灵活地调整流量。服从管理员的意志，使流量通过不同的安全设备。

三、總结

本文详细地讲述了传统网络架构与SDN网络架构下的服务链，以及OpenFlow的转发原理。通过对比发现，配置网络变得越来越麻烦，因为网络操作员必须执行越来越复杂的网络管理任务。两个主要原因是：低层次设备的网络设备;改变网络状态[5]。在大数据时代，传统网络处理爆炸性流量越来越力不从心。SDN的出现，即时解决了传统网络的不足，也为公众提供了安全、稳定、可靠、灵活的网络环境;为网络管理人员减轻了运行维护的压力、强化排故能力。

参  考  文  献

[1]侯丽波.大数据时代泛关系下个人信息安全保护研究[J].网络安全技术与应用，2020（10）

[2]晃通[日]，宫永直树[日]，岩田淳[日].图解OpenFlow[M].人民邮电出版社，2016

[3]范恂毅，张晓和.新一代SDN VMware NSX网络原理与实践[M].人民邮电出版社，2016

[4]周凯.基于SDN安全服务链的研究与设计[J].网络安全技术与应用，2020（7）

[5] Hyojoon Kim ，Nick Feamster. Improving Network Management with Software Defined Networking[J]. IEEE Communications Magazine，2013