王奇 劉紫亮 黃逸翠 張永芳

【摘要】? ? 隨著信息技術的發(fā)展，互聯(lián)網(wǎng)的發(fā)展日新月異。在互聯(lián)網(wǎng)時代，人們的教育、娛樂和購物陣地已經(jīng)轉(zhuǎn)移，甚至工作方式也轉(zhuǎn)移到網(wǎng)絡平臺[1]。網(wǎng)絡的穩(wěn)定性、安全性成為大眾關心話題，對網(wǎng)絡維護提出了新的要求。本文將通過傳統(tǒng)網(wǎng)絡和以OpenFlow為核心的SDN服務鏈的對比研究，從而為實際網(wǎng)絡部署提供有效參考。

【關鍵詞】? ? SDN? ? OpenFlow? ? 服務鏈

引言

隨著信息技術的飛速發(fā)展，電商等數(shù)字經(jīng)濟產(chǎn)業(yè)也隨之蓬勃發(fā)展。在移動端、大流量應用并不普及的時代，基于傳統(tǒng)的TCP/IP模型設計的網(wǎng)絡結構，能夠通過串聯(lián)WAF、IPS、IDS、FireWall、Qos、堡壘機等安全設備，并制定合理的安全策略來抵御來自外部的攻擊、以及突發(fā)情況。

近年來，互聯(lián)網(wǎng)技術發(fā)展進入了大流量時代，一大批如抖音、快手、火山視頻、斗魚直播等“殺手”級應用井噴發(fā)展，對網(wǎng)絡的各個節(jié)點的正常運行帶來了極大的挑戰(zhàn)。尤其是以高校、大型企業(yè)為代表的用戶，面臨大流量、多設備等問題，其網(wǎng)絡節(jié)點在處理數(shù)據(jù)流時的穩(wěn)定性極其重要。在遇到大量數(shù)據(jù)流、物理攻擊以及網(wǎng)絡攻擊時其網(wǎng)絡是否能夠正常運行。這對網(wǎng)絡的安全性、可靠性、可擴展性等方面提出了新的要求，本文將從OpenFlow協(xié)議、服務鏈的角度進行論述。

一、傳統(tǒng)鏈路

傳統(tǒng)的網(wǎng)絡基于TCP/IP模型，如圖1所示選用三層交換機作為核心交換機以便于網(wǎng)絡的擴展，并串聯(lián)WAF、IPS、FW、出口路由。

1.1 工作方式

當PCA通過HTTP訪問百度官網(wǎng)，由于IP地址是由數(shù)字組成且不方便記憶，在使用百度域名時，通過DNS解析得到百度IP地址180.101.49.11。PCA得知通往百度的目的IP地址，未知百度服務器的MAC地址。此時，PCA通過子網(wǎng)掩碼計算得出百度IP地址與自己不在同一個網(wǎng)段，PCA向網(wǎng)關發(fā)送ARP報文以獲取網(wǎng)關的MAC地址，核心交換機端口1收ARP數(shù)據(jù)報后解封裝后發(fā)現(xiàn)目的IP地址時自己，核心交換機做出響應并將PCA的MAC地址放進自己的緩存MAC地址表中，此時的源、目的地址為網(wǎng)關（核心交換機）的MAC和PCA的MAC。PCA收到來自網(wǎng)關的ARP響應報文，解封裝得到網(wǎng)關的MAC。故PCA封裝數(shù)據(jù)包如圖2所示，從以太口發(fā)出。網(wǎng)關的1端口收到報文解封裝，發(fā)現(xiàn)目的MAC地址為端口MAC，繼續(xù)解封裝發(fā)現(xiàn)目的IP為180.101.49.11，非本機的IP，通過查路由表得知下一跳IP地址10.0.0.2/24，卻不知道其MAC地址，發(fā)送ARP請求報文。

WAF（二層代理透明模式）的1端口收到從網(wǎng)關2端口發(fā)出的報文，通過解析報文匹配規(guī)則庫，發(fā)現(xiàn)報文符合安全規(guī)則，代為轉(zhuǎn)發(fā)數(shù)據(jù)報至IPS的1端口，ISP（二層透明模式）解析封裝類比安全庫，判斷安全放行數(shù)據(jù)報。FW（三層模式）的1端口收到報文后解封裝發(fā)現(xiàn)IP地址為本機地址，回應ARP包將本端口的MAC地址打包封裝發(fā)送給網(wǎng)關。網(wǎng)關收到回應報文后，更改源、目的MAC地址，繼續(xù)向FW發(fā)送數(shù)據(jù)報;FW收到WAF轉(zhuǎn)發(fā)的數(shù)據(jù)報后，解封裝并查表得到下一跳地址為出口路由地址（第一次會話時無出口路由的MAC），向出口路由發(fā)送ARP請求報文，得到出口路由的MAC地址。出口路由查表下一跳的IP地址，到ISP處繼續(xù)查表得到百度的網(wǎng)關IP，最終到達百度的服務器。

百度服務器收到SYN請求后，對PCA進行ACK響應并發(fā)送SYN請求報，PCA收到來自百度服務器的報文后，再次發(fā)送ACK應答報文。百度服務器收到響應報文后，此時PCA與百度服務器的通話鏈路已經(jīng)開啟，可以進行會話。

1.2傳統(tǒng)鏈路的不足之處

由于傳統(tǒng)鏈路的核心節(jié)點主要以串聯(lián)為主，面對內(nèi)部攻擊、外部入侵時處理速度較慢，可能造成網(wǎng)絡的延時甚至網(wǎng)絡癱瘓;遇到主機數(shù)量幾何倍增加時，其網(wǎng)絡的可擴展性較差;此外，人臉識別、網(wǎng)頁瀏覽、影音視頻等應用的緩存日志的內(nèi)存過大，其處理的能力較弱，也會造成網(wǎng)絡的崩潰。

二、基于SDN的服務鏈

SDN（software defined network）在當今的計算機網(wǎng)絡聲名顯赫，其內(nèi)容豐富，卻未被一些組織或企業(yè)進行標準定義。SDN要求網(wǎng)絡系統(tǒng)中的控制平面和轉(zhuǎn)發(fā)平面必須分離[2]。在轉(zhuǎn)發(fā)平面，網(wǎng)絡管理員的意志最重要，與協(xié)議無關。SDN的架構如圖3所示，應用層，不同應用通過控制層開放的API管理控制設備的報文轉(zhuǎn)發(fā)功能;控制層，由SDN軟件組成，與下層可用OpenFlow協(xié)議通信;基礎設施層，由網(wǎng)絡設備（交換機、路由器、防火墻等）組成。

2.1什么是OpenFlow

SDN是一個框架，不是一門技術;它的核心是OpenFlow協(xié)議。OpenFlow協(xié)議是由斯坦福大學提出來的，最初的出發(fā)點是為了更好地構建用于研究的網(wǎng)絡[1]。傳統(tǒng)的網(wǎng)絡中，路由器等網(wǎng)絡節(jié)點既要數(shù)據(jù)傳輸又要控制處理。而OpenFlow的典型特點是將數(shù)據(jù)面（發(fā)送數(shù)據(jù)包的網(wǎng)絡）和控制面分離，是一種可實現(xiàn)多種功能的技術，能夠?qū)崿F(xiàn)多種現(xiàn)象

2.2什么是服務鏈

一直以來，網(wǎng)絡出口會串接很多的設備，比如，防火墻、WAF、IPS、抗DDOS攻擊、上網(wǎng)行為、防毒墻等安全及性能管理設備，我們把這些設備稱為服務節(jié)點（Service Node）。當網(wǎng)絡流量按照業(yè)務邏輯所要求的順序，經(jīng)過這些節(jié)點，這就是服務鏈。

2.3 基于SDN的服務鏈

傳統(tǒng)網(wǎng)絡與網(wǎng)絡拓撲緊密結合，彈性不足，一旦設備部署完畢之后不易調(diào)整，會涉及重新布線、業(yè)務中斷等一系列問題。基于OpenFlow的服務鏈，能夠解決傳統(tǒng)網(wǎng)絡結構的不足之處。由于SDN中北向接口的可編程性，服務鏈可以通過北向接口與OpenFlow Controller進行通信。OpenFlow Switch通過OpenFlow Controller和南向接口對服務鏈的流量進行控制和轉(zhuǎn)發(fā) [4]。在OpenFlow Switch上并行掛載WAF、IPS、FW等安全設備，如圖4所示。

PC機訪問外網(wǎng)時，數(shù)據(jù)包進入OpenFlow Switch 的接口1，查看流表0中的流表項匹配字段，如圖5所示。如果流表0無法匹配，轉(zhuǎn)流表1繼續(xù)匹配，流表1中無表項匹配則轉(zhuǎn)流表N，直到匹配成功，執(zhí)行行動。若最終無匹配，則OpenFlow Switch向控制器發(fā)送Packet-IN包，尋求解決方案。其流程如圖6所示。

當OpenFlow交換機的并行掛載的FW掉線時，其表項號自動刪除表項號8直接執(zhí)行表項號9。

2.4 SDN服務鏈的優(yōu)勢

（1）割接

在添加、減少物理設備時，不需要像傳統(tǒng)服務鏈那樣選時中斷設備;直接服務將服務節(jié)點上線或下線，大大降低網(wǎng)絡割接的難度，減輕網(wǎng)絡管理人員負擔。

（2）編排

在不改變物理拓撲結構的情況下，通過拖拽設備圖標的方式進行網(wǎng)絡調(diào)整，從而更改業(yè)務流量出入服務節(jié)點的路徑。發(fā)現(xiàn)內(nèi)部攻擊時，可以將圖5中的防火墻位置調(diào)整到離內(nèi)網(wǎng)近側(cè)，保障網(wǎng)絡的安全通暢。

（3）健康檢查

對服務節(jié)點中的設備的物理接口、管理IP可達性、流量比閾值等狀態(tài)實時監(jiān)控，在遇到服務鏈掛載設備異常時提供自動下線功能，確保服務鏈在各種層面的故障下不斷網(wǎng)。

（4）服務映射

可以根據(jù)應用場景的需求，靈活地調(diào)整流量。服從管理員的意志，使流量通過不同的安全設備。

三、總結

本文詳細地講述了傳統(tǒng)網(wǎng)絡架構與SDN網(wǎng)絡架構下的服務鏈，以及OpenFlow的轉(zhuǎn)發(fā)原理。通過對比發(fā)現(xiàn)，配置網(wǎng)絡變得越來越麻煩，因為網(wǎng)絡操作員必須執(zhí)行越來越復雜的網(wǎng)絡管理任務。兩個主要原因是：低層次設備的網(wǎng)絡設備;改變網(wǎng)絡狀態(tài)[5]。在大數(shù)據(jù)時代，傳統(tǒng)網(wǎng)絡處理爆炸性流量越來越力不從心。SDN的出現(xiàn)，即時解決了傳統(tǒng)網(wǎng)絡的不足，也為公眾提供了安全、穩(wěn)定、可靠、靈活的網(wǎng)絡環(huán)境;為網(wǎng)絡管理人員減輕了運行維護的壓力、強化排故能力。

參? 考? 文? 獻

[1]侯麗波.大數(shù)據(jù)時代泛關系下個人信息安全保護研究[J].網(wǎng)絡安全技術與應用，2020（10）

[2]晃通[日]，宮永直樹[日]，巖田淳[日].圖解OpenFlow[M].人民郵電出版社，2016

[3]范恂毅，張曉和.新一代SDN VMware NSX網(wǎng)絡原理與實踐[M].人民郵電出版社，2016

[4]周凱.基于SDN安全服務鏈的研究與設計[J].網(wǎng)絡安全技術與應用，2020（7）

[5] Hyojoon Kim ，Nick Feamster. Improving Network Management with Software Defined Networking[J]. IEEE Communications Magazine，2013