侯曉婷

(安徽廣播電視臺(tái)播控中心，安徽 合肥 230071)

SDN在廣電網(wǎng)中的應(yīng)用與優(yōu)化

侯曉婷

(安徽廣播電視臺(tái)播控中心，安徽 合肥 230071)

在信息技術(shù)日漸成熟的今天，業(yè)務(wù)帶寬成為提高用戶體驗(yàn)的首要因素，不斷改進(jìn)升級(jí)，促進(jìn)廣電網(wǎng)絡(luò)信息化、智能化并保證網(wǎng)絡(luò)安全、穩(wěn)定成為廣電運(yùn)營商必不可少的一項(xiàng)工作。將SDN(Software Defined Network)網(wǎng)絡(luò)架構(gòu)運(yùn)用于廣電網(wǎng)，可以減少對(duì)原有網(wǎng)絡(luò)服務(wù)器的壓力，更加方便網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)進(jìn)行管理。針對(duì)現(xiàn)有廣電網(wǎng)絡(luò)模型，提出了將SDN設(shè)備接入在網(wǎng)絡(luò)邊緣，再將所有邊緣業(yè)務(wù)逐漸遷移到SDN業(yè)務(wù)體系中，待業(yè)務(wù)完善后將SDN部署到核心業(yè)務(wù)中，并對(duì)改進(jìn)模型進(jìn)行了實(shí)際應(yīng)用的模擬實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果表明，SDN通過不斷地更新軟件策略，對(duì)DDoS的威脅采取屏蔽、丟棄數(shù)據(jù)包等方式，及時(shí)發(fā)現(xiàn)威脅，定期清洗流量等實(shí)現(xiàn)了軟件定義安全。

SDN;控制器;防火墻；軟件定義安全

0 引言

在信息技術(shù)不斷更新，生活節(jié)奏不斷加快的同時(shí)，網(wǎng)絡(luò)也在不斷提速，智能設(shè)備給人們帶來極大方便的同時(shí)，也面臨著許多的挑戰(zhàn)，現(xiàn)有網(wǎng)絡(luò)已經(jīng)不能滿足人們?nèi)粘Ｉa(chǎn)生活的需求。特別地，隨著網(wǎng)絡(luò)視頻規(guī)模的擴(kuò)大，數(shù)據(jù)中心的設(shè)備也逐步在增加，但僅僅是設(shè)備的擴(kuò)充，還是基于建成初期的架構(gòu)，需要擴(kuò)建更多的數(shù)據(jù)中心覆蓋廣電網(wǎng)[1]。隨著網(wǎng)絡(luò)需求的日益增加，當(dāng)前廣電網(wǎng)的問題越來越突出，主要表現(xiàn)在以下幾個(gè)方面：

(1)網(wǎng)絡(luò)管理難度大。隨著設(shè)備的更新，各個(gè)廣電運(yùn)營商在添加設(shè)備時(shí)考慮到資金、兼容性、擴(kuò)展性的問題，購買設(shè)備不可能在同一個(gè)廠家同一個(gè)型號(hào)，大大增加了管理員的工作難度，由于架構(gòu)的不合理導(dǎo)致頻繁添加/刪除節(jié)點(diǎn)，難以保證網(wǎng)絡(luò)的穩(wěn)定。

(2)網(wǎng)絡(luò)性能不穩(wěn)定。現(xiàn)有數(shù)據(jù)中心設(shè)備，包括交換機(jī)、服務(wù)器等，出口帶寬資源嚴(yán)重不足，有些廣電網(wǎng)絡(luò)在晚上高峰時(shí)期出現(xiàn)網(wǎng)絡(luò)延遲較大，甚至?xí)驗(yàn)榫W(wǎng)絡(luò)的不穩(wěn)定影響到用戶體驗(yàn)。

為解決上述問題，提高廣電網(wǎng)的承載能力，滿足越來越多的高帶寬業(yè)務(wù)的需求，網(wǎng)絡(luò)升級(jí)迫在眉睫。近年來，軟件定義網(wǎng)絡(luò)SDN成為了當(dāng)下討論最多的一個(gè)話題。SDN即軟件獨(dú)立于硬件，讓硬件標(biāo)準(zhǔn)化、軟件平臺(tái)化、信息中心化[2]。SDN成為探索下一代互聯(lián)網(wǎng)的典型代表。SDN的目標(biāo)是實(shí)現(xiàn)數(shù)據(jù)平面和控制平面分離，這也是業(yè)界認(rèn)可的一種新型網(wǎng)絡(luò)升級(jí)方案。

1 SDN原理

圖1為SDN架構(gòu)圖。SDN體系中，控制器擁有全網(wǎng)數(shù)據(jù)交互視圖，網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)權(quán)限交給控制器，對(duì)物理交換機(jī)集群的虛擬網(wǎng)絡(luò)實(shí)現(xiàn)管控。本文選用Floodlight控制器作為整個(gè)架構(gòu)的核心，其是運(yùn)行在獨(dú)立服務(wù)器上的軟件程序，適用于不同的操作系統(tǒng)。在遭受攻擊威脅時(shí)，可由用戶自定義添加的各種防御模塊對(duì)常見的攻擊進(jìn)行識(shí)別和防護(hù)[3]。

圖1 SDN整體框架圖

圖2為傳統(tǒng)業(yè)務(wù)轉(zhuǎn)向SDN業(yè)務(wù)示意圖。將傳統(tǒng)業(yè)務(wù)向SDN業(yè)務(wù)平滑升級(jí)，采用核心交換機(jī)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。防火墻能有效應(yīng)對(duì)TCP三次握手的過程中半連接狀態(tài)過多導(dǎo)致的服務(wù)器無法響應(yīng)的攻擊病毒。建立廣電安全的第一道防線，保證原有業(yè)務(wù)正常運(yùn)行。傳統(tǒng)業(yè)務(wù)的交換機(jī)仍然運(yùn)行，在此基礎(chǔ)上加入SDN交換機(jī)，承擔(dān)新的業(yè)務(wù)部署[4]。

圖2 傳統(tǒng)業(yè)務(wù)轉(zhuǎn)向SDN業(yè)務(wù)

根據(jù)模擬廣電網(wǎng)，將一個(gè)區(qū)域所有的住宅和辦公樓納入其中，每個(gè)樓層的交換機(jī)匯聚到區(qū)域總交換機(jī)上，區(qū)域交換機(jī)接入總交換機(jī)，按照層級(jí)管理，使得出現(xiàn)問題的交換機(jī)能夠及時(shí)地被控制器發(fā)現(xiàn)，做出響應(yīng)策略，保證網(wǎng)絡(luò)的暢通。

2 SDN在廣電網(wǎng)中的模型設(shè)計(jì)與優(yōu)化

圖3為模擬廣電網(wǎng)整體架構(gòu)設(shè)計(jì)圖。

圖3 整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)模型

該模型支持服務(wù)器群、有線、無線和SDN網(wǎng)絡(luò)。為了將傳統(tǒng)業(yè)務(wù)平滑過渡到SDN業(yè)務(wù)上，不能將老設(shè)備丟棄，第一是考慮到成本問題，第二直接丟棄老設(shè)備，很有可能造成原有業(yè)務(wù)的中斷，達(dá)不到預(yù)想的效果。

因此，傳統(tǒng)業(yè)務(wù)仍然按照之前的工作正常運(yùn)行，整個(gè)廣電網(wǎng)絡(luò)結(jié)構(gòu)分為核心區(qū)域、接入?yún)^(qū)域。在不改變?cè)薪Y(jié)構(gòu)的基礎(chǔ)上增加了一個(gè)新的SDN分支，實(shí)現(xiàn)局部SDN化導(dǎo)入模式，將收容服務(wù)器、客戶端邊緣網(wǎng)絡(luò)進(jìn)行SDN化，核心路由器的功能則通過控制器和SDN交換機(jī)實(shí)現(xiàn)的虛擬路由器完成，也可以通過Floodlight控制器控制物理或虛擬路由器實(shí)體完成。核心層是整個(gè)網(wǎng)絡(luò)體系中各功能模塊之間可靠、快速、穩(wěn)定傳輸數(shù)據(jù)的通道，使用萬兆鏈路與匯聚層設(shè)備連接。

將SDN網(wǎng)絡(luò)逐步導(dǎo)入現(xiàn)有網(wǎng)絡(luò)，必定出現(xiàn)的是SDN網(wǎng)絡(luò)與現(xiàn)有網(wǎng)絡(luò)共存的情況。原有網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)可能會(huì)被相互隔離。配置特定的流透明，使用透過模式，保證局部SDN化對(duì)原有網(wǎng)絡(luò)造成的影響是可控制的。同時(shí)，可以將不需要使用SDN網(wǎng)絡(luò)的部分完全透明化，即使導(dǎo)入了SDN環(huán)境，配置上也不需要做任何改變。在傳統(tǒng)網(wǎng)絡(luò)上，將邊緣設(shè)備安裝虛擬化的環(huán)境導(dǎo)入虛擬交換機(jī)，并由Floodlight控制器來控制虛擬交換機(jī)從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制。

Floodlight控制器具體操作流程如下：

(1)數(shù)據(jù)中心設(shè)備將采集到的數(shù)據(jù)以sFlow樣本的形式發(fā)送到控制器；

(2)控制器收到采集的設(shè)備信息，把收集到的信息裝進(jìn)容器，收到數(shù)據(jù)流，按照權(quán)重對(duì)數(shù)據(jù)流進(jìn)行實(shí)時(shí)分析；

(3)由SDN的相關(guān)應(yīng)用，包括基于策略的用戶界面和REST APIs，分析和管理容器容量并傳送至控制中心；

(4)控制器將會(huì)制定OpenFlow規(guī)則，同時(shí)具有可擴(kuò)展性，也就是管理員可以將自己開發(fā)的應(yīng)用放入安全箱中，在網(wǎng)絡(luò)上部署。但是工作一旦結(jié)束，為保護(hù)原有網(wǎng)絡(luò)的安全，安全箱會(huì)自動(dòng)關(guān)閉。

3 廣電網(wǎng)軟件定義安全

網(wǎng)絡(luò)技術(shù)發(fā)展是把雙刃劍，在給人們帶來便利的同時(shí)，也存在著許多潛在的安全威脅。同樣地，將SDN網(wǎng)絡(luò)引入傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，安全問題也是需要重視的問題。而廣電網(wǎng)絡(luò)也是一個(gè)開放式的平臺(tái)，廣電網(wǎng)絡(luò)安全問題成為目前網(wǎng)絡(luò)安全研究的重中之重。本節(jié)將分為兩個(gè)模塊在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上采用一些安全機(jī)制對(duì)病毒的入侵進(jìn)行檢測(cè)和屏蔽[5]。

(1)物理層。物理層是整個(gè)系統(tǒng)的基礎(chǔ)，一旦受到威脅，用戶的基本信息將得不到保證。

(2)網(wǎng)絡(luò)層。網(wǎng)絡(luò)層最容易受到攻擊者的青睞，攻擊類型包括分布式拒絕服務(wù)攻擊(DDoS)、應(yīng)用層服務(wù)攻擊和IP地址欺騙等。

本文將針對(duì)DDoS攻擊做出相應(yīng)處理，利用軟件定義網(wǎng)絡(luò)的方式定義安全。在硬件上采用防火墻的方式阻止威脅的信息流，在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上采用軟件定義安全，制定一些策略，對(duì)智能交換機(jī)實(shí)行管控，及時(shí)發(fā)現(xiàn)威脅并作相應(yīng)處理。由于Floodlight控制器擁有全網(wǎng)的數(shù)據(jù)交互視圖，網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)權(quán)限全部在控制器中決定，可對(duì)基于物理交換機(jī)集群的虛擬網(wǎng)絡(luò)實(shí)現(xiàn)管控。因此，在遭到DDoS攻擊威脅時(shí)，可由防御模塊對(duì)常見的DDoS攻擊進(jìn)行識(shí)別與防護(hù)。具體流程如圖4所示。

圖4 開發(fā)DDoS威脅識(shí)別和防護(hù)圖

由圖4可知，網(wǎng)絡(luò)控制層包括協(xié)議插件管理器、設(shè)備管理、流表管理、拓?fù)涔芾砗徒y(tǒng)計(jì)管理。DDoS威脅識(shí)別和防護(hù)層包括數(shù)據(jù)包檢測(cè)、網(wǎng)絡(luò)設(shè)備信息表、主機(jī)應(yīng)用征信系統(tǒng)、威脅處理策略、欺騙報(bào)文檢測(cè)、破壞報(bào)文檢測(cè)、異常報(bào)文檢測(cè)等。

為有效地防御DDoS攻擊，通過解析PacketIn消息判斷其真實(shí)性；解析出數(shù)據(jù)字段，判斷Ethernet是否是常規(guī)類型，解析出源IP地址、目的IP地址、MAC地址和吸納供應(yīng)的交換機(jī)端口；查找表匹配字段，解析報(bào)文標(biāo)志位判斷其是否正常，如果標(biāo)志位正常則啟動(dòng)異常報(bào)文檢測(cè)，進(jìn)入異常數(shù)據(jù)報(bào)的處理流程，按照哈希表對(duì)應(yīng)的計(jì)數(shù)器計(jì)數(shù)，如果計(jì)數(shù)次數(shù)超過了其設(shè)定閾值，則屏蔽相應(yīng)的攻擊程序或者屏蔽相應(yīng)的攻擊主機(jī)。

4 網(wǎng)絡(luò)性能測(cè)試及分析

網(wǎng)絡(luò)性能測(cè)試指標(biāo)主要包括帶寬、時(shí)延和帶寬時(shí)延積。參照傳統(tǒng)網(wǎng)絡(luò)的性能參數(shù)，對(duì)比SDN網(wǎng)絡(luò)的性能，采用如圖5所示的實(shí)驗(yàn)架構(gòu)。

圖5 SDN實(shí)驗(yàn)拓?fù)鋱D

在傳統(tǒng)交換機(jī)下分別添加兩個(gè)不同架構(gòu)的網(wǎng)絡(luò)，分別是傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)，利用mininet工具模擬傳統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D，兩者最大的不同就是SDN網(wǎng)絡(luò)中添加了控制器，控制器采用Floodlight下發(fā)流表，模擬網(wǎng)絡(luò)流量，傳統(tǒng)網(wǎng)絡(luò)中通過發(fā)送大量數(shù)據(jù)包，來驗(yàn)證網(wǎng)絡(luò)的穩(wěn)定性。

圖6為帶寬測(cè)試結(jié)果圖，采用mininet搭建最簡單的網(wǎng)絡(luò)拓?fù)洌瑴y(cè)試兩個(gè)虛擬主機(jī)之間的帶寬，由h1主機(jī)ping h2主機(jī)，測(cè)試6組數(shù)據(jù)包，成功接收，表明網(wǎng)絡(luò)狀態(tài)正常。

圖6 帶寬測(cè)試圖

圖7為延時(shí)丟包率測(cè)試結(jié)果圖，在Windows自帶的命令行窗口中，測(cè)試主機(jī)連接百度的丟包率，實(shí)驗(yàn)結(jié)果顯示丟包率為0%，發(fā)送與接收的數(shù)據(jù)包均為8個(gè)，網(wǎng)絡(luò)延時(shí)為26 ms。

圖7 連通性測(cè)試圖

從發(fā)出數(shù)據(jù)包，至接收到反饋數(shù)據(jù)包，花費(fèi)時(shí)間越少越好。時(shí)間越少意味著速度越快，延時(shí)越小。圖7測(cè)試中平均時(shí)延小于30 ms，幾乎察覺不出有延遲，使用界面流暢。

圖8為多交換機(jī)測(cè)試。在吞吐量模式下，模擬4個(gè)交換機(jī)，每個(gè)交換機(jī)連接1 000個(gè)主機(jī)，每一個(gè)測(cè)試時(shí)長為5 000 ms。從測(cè)試結(jié)果可以看出，兩個(gè)交換機(jī)下發(fā)相關(guān)策略，總時(shí)長大約為6.45 ms。

為了對(duì)比上述實(shí)驗(yàn)的準(zhǔn)確性，對(duì)控制器進(jìn)行延時(shí)測(cè)試。從圖9的結(jié)果可以看出，一個(gè)交換機(jī)時(shí)延時(shí)最短，隨著交換機(jī)數(shù)量的遞增，延時(shí)也隨之增大。

從上述實(shí)驗(yàn)可以看出，SDN網(wǎng)絡(luò)具有穩(wěn)定的網(wǎng)絡(luò)性能，延時(shí)較短，用戶的可控性強(qiáng)，用戶可以隨時(shí)變化拓?fù)湟赃_(dá)到最佳效果。相比于傳統(tǒng)網(wǎng)絡(luò)，SDN網(wǎng)絡(luò)在提高管理員工作效率的同時(shí)，提升了用戶的操作體驗(yàn)。

5 結(jié)論

本文針對(duì)現(xiàn)有廣電網(wǎng)存在的潛在安全問題，分析使用

圖8 多交換機(jī)測(cè)試

圖9 控制器延時(shí)測(cè)試

軟件定義網(wǎng)絡(luò)解決廣電網(wǎng)可能出現(xiàn)的問題。并模擬實(shí)際應(yīng)用場(chǎng)景進(jìn)行實(shí)驗(yàn)及分析，針對(duì)DDoS攻擊的TCP全連接攻擊、SYN攻擊，提出SDN的安全防護(hù)方案，引入主機(jī)應(yīng)用征信機(jī)制，對(duì)入棧流量實(shí)時(shí)監(jiān)控并深度解析，最后將傳統(tǒng)網(wǎng)絡(luò)的帶寬、延時(shí)與SDN網(wǎng)絡(luò)的帶寬、延時(shí)進(jìn)行對(duì)比，突出SDN網(wǎng)絡(luò)應(yīng)用于廣電網(wǎng)的優(yōu)勢(shì)。

[1] 張衛(wèi)峰.深度解析SDN利益、戰(zhàn)略、技術(shù)、實(shí)踐[M].北京:電子工業(yè)出版社,2014.

[2] 周環(huán),劉慧. 基于Floodlight的SDN控制器研究[J]. 計(jì)算機(jī)工程與應(yīng)用,2016,52(24):137-147.

[3] 張世軒,劉靜,賴英旭，等. 基于SDN架構(gòu)的DoS/DDoS攻擊檢測(cè)與防御體系[J]. 電子技術(shù)應(yīng)用,2015,41(12):113-115.

[4] 胡章豐,郭春梅,畢學(xué)堯. 云計(jì)算及SDN與安全技術(shù)研究[C]. 全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì),2013(10):40-43.

[5] 王長忠,董學(xué)誠,楊曉，等. 基于SDN的校園網(wǎng)動(dòng)態(tài)服務(wù)鏈設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用與軟件,2016,33(12):80-83.

The application and optimization of SDN in broadcasting network

Hou Xiaoting

(Broadcasting Center of Anhui TV Station, Hefei 230071, China)

Today, with the progress of information technology, many new mobile internet applications appear. Service bandwidth has become the most important factor to improve user experience. Continuous improving the network quality based on existing equipment, and making the broadcasting network intelligent, safe and stable has become an essential task for these service provider. Applying SDN (Software Defined Network) network architecture to the broadcasting network can reduce the pressure of the original broadcasting networks’ server, and give network administrators more tools to control the whole network. We make a network model based on the existing broadcasting network, put the SDN access equipment at the edge of the network, and then gradually migrate the whole network to the SDN business system. Experimental results show that SDN implements the software defined security by dynamically using different software strategy, detecting threats in time and shielding and discarding the packets from threat like the DDoS attack.

Software Defined Network(SDN); controller; firewall; Software Defined Security(SDS)

TP393.0

A

10.19358/j.issn.1674- 7720.2017.23.021

侯曉婷.SDN在廣電網(wǎng)中的應(yīng)用與優(yōu)化[J].微型機(jī)與應(yīng)用，2017,36(23)：73-75,79.

2017-06-15)

侯曉婷(1968-)， 女，本科，工程師，主要研究方向: 通信網(wǎng)絡(luò)和網(wǎng)絡(luò)安全。