SDN在廣電網(wǎng)中的應(yīng)用與優(yōu)化

侯曉婷

(安徽廣播電視臺播控中心，安徽 合肥 230071)

SDN在廣電網(wǎng)中的應(yīng)用與優(yōu)化

侯曉婷

(安徽廣播電視臺播控中心，安徽 合肥 230071)

在信息技術(shù)日漸成熟的今天，業(yè)務(wù)帶寬成為提高用戶體驗的首要因素，不斷改進(jìn)升級，促進(jìn)廣電網(wǎng)絡(luò)信息化、智能化并保證網(wǎng)絡(luò)安全、穩(wěn)定成為廣電運營商必不可少的一項工作。將SDN(Software Defined Network)網(wǎng)絡(luò)架構(gòu)運用于廣電網(wǎng)，可以減少對原有網(wǎng)絡(luò)服務(wù)器的壓力，更加方便網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進(jìn)行管理。針對現(xiàn)有廣電網(wǎng)絡(luò)模型，提出了將SDN設(shè)備接入在網(wǎng)絡(luò)邊緣，再將所有邊緣業(yè)務(wù)逐漸遷移到SDN業(yè)務(wù)體系中，待業(yè)務(wù)完善后將SDN部署到核心業(yè)務(wù)中，并對改進(jìn)模型進(jìn)行了實際應(yīng)用的模擬實驗。實驗結(jié)果表明，SDN通過不斷地更新軟件策略，對DDoS的威脅采取屏蔽、丟棄數(shù)據(jù)包等方式，及時發(fā)現(xiàn)威脅，定期清洗流量等實現(xiàn)了軟件定義安全。

SDN;控制器;防火墻；軟件定義安全

0 引言

在信息技術(shù)不斷更新，生活節(jié)奏不斷加快的同時，網(wǎng)絡(luò)也在不斷提速，智能設(shè)備給人們帶來極大方便的同時，也面臨著許多的挑戰(zhàn)，現(xiàn)有網(wǎng)絡(luò)已經(jīng)不能滿足人們?nèi)粘Ｉa(chǎn)生活的需求。特別地，隨著網(wǎng)絡(luò)視頻規(guī)模的擴(kuò)大，數(shù)據(jù)中心的設(shè)備也逐步在增加，但僅僅是設(shè)備的擴(kuò)充，還是基于建成初期的架構(gòu)，需要擴(kuò)建更多的數(shù)據(jù)中心覆蓋廣電網(wǎng)[1]。隨著網(wǎng)絡(luò)需求的日益增加，當(dāng)前廣電網(wǎng)的問題越來越突出，主要表現(xiàn)在以下幾個方面：

(1)網(wǎng)絡(luò)管理難度大。隨著設(shè)備的更新，各個廣電運營商在添加設(shè)備時考慮到資金、兼容性、擴(kuò)展性的問題，購買設(shè)備不可能在同一個廠家同一個型號，大大增加了管理員的工作難度，由于架構(gòu)的不合理導(dǎo)致頻繁添加/刪除節(jié)點，難以保證網(wǎng)絡(luò)的穩(wěn)定。

(2)網(wǎng)絡(luò)性能不穩(wěn)定。現(xiàn)有數(shù)據(jù)中心設(shè)備，包括交換機(jī)、服務(wù)器等，出口帶寬資源嚴(yán)重不足，有些廣電網(wǎng)絡(luò)在晚上高峰時期出現(xiàn)網(wǎng)絡(luò)延遲較大，甚至?xí)驗榫W(wǎng)絡(luò)的不穩(wěn)定影響到用戶體驗。

為解決上述問題，提高廣電網(wǎng)的承載能力，滿足越來越多的高帶寬業(yè)務(wù)的需求，網(wǎng)絡(luò)升級迫在眉睫。近年來，軟件定義網(wǎng)絡(luò)SDN成為了當(dāng)下討論最多的一個話題。SDN即軟件獨立于硬件，讓硬件標(biāo)準(zhǔn)化、軟件平臺化、信息中心化[2]。SDN成為探索下一代互聯(lián)網(wǎng)的典型代表。SDN的目標(biāo)是實現(xiàn)數(shù)據(jù)平面和控制平面分離，這也是業(yè)界認(rèn)可的一種新型網(wǎng)絡(luò)升級方案。

1 SDN原理

圖1為SDN架構(gòu)圖。SDN體系中，控制器擁有全網(wǎng)數(shù)據(jù)交互視圖，網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)權(quán)限交給控制器，對物理交換機(jī)集群的虛擬網(wǎng)絡(luò)實現(xiàn)管控。本文選用Floodlight控制器作為整個架構(gòu)的核心，其是運行在獨立服務(wù)器上的軟件程序，適用于不同的操作系統(tǒng)。在遭受攻擊威脅時，可由用戶自定義添加的各種防御模塊對常見的攻擊進(jìn)行識別和防護(hù)[3]。

圖1 SDN整體框架圖

圖2為傳統(tǒng)業(yè)務(wù)轉(zhuǎn)向SDN業(yè)務(wù)示意圖。將傳統(tǒng)業(yè)務(wù)向SDN業(yè)務(wù)平滑升級，采用核心交換機(jī)負(fù)責(zé)整個網(wǎng)絡(luò)的數(shù)據(jù)交換。防火墻能有效應(yīng)對TCP三次握手的過程中半連接狀態(tài)過多導(dǎo)致的服務(wù)器無法響應(yīng)的攻擊病毒。建立廣電安全的第一道防線，保證原有業(yè)務(wù)正常運行。傳統(tǒng)業(yè)務(wù)的交換機(jī)仍然運行，在此基礎(chǔ)上加入SDN交換機(jī)，承擔(dān)新的業(yè)務(wù)部署[4]。

圖2 傳統(tǒng)業(yè)務(wù)轉(zhuǎn)向SDN業(yè)務(wù)

根據(jù)模擬廣電網(wǎng)，將一個區(qū)域所有的住宅和辦公樓納入其中，每個樓層的交換機(jī)匯聚到區(qū)域總交換機(jī)上，區(qū)域交換機(jī)接入總交換機(jī)，按照層級管理，使得出現(xiàn)問題的交換機(jī)能夠及時地被控制器發(fā)現(xiàn)，做出響應(yīng)策略，保證網(wǎng)絡(luò)的暢通。

2 SDN在廣電網(wǎng)中的模型設(shè)計與優(yōu)化

圖3為模擬廣電網(wǎng)整體架構(gòu)設(shè)計圖。

圖3 整體網(wǎng)絡(luò)架構(gòu)設(shè)計模型

該模型支持服務(wù)器群、有線、無線和SDN網(wǎng)絡(luò)。為了將傳統(tǒng)業(yè)務(wù)平滑過渡到SDN業(yè)務(wù)上，不能將老設(shè)備丟棄，第一是考慮到成本問題，第二直接丟棄老設(shè)備，很有可能造成原有業(yè)務(wù)的中斷，達(dá)不到預(yù)想的效果。

因此，傳統(tǒng)業(yè)務(wù)仍然按照之前的工作正常運行，整個廣電網(wǎng)絡(luò)結(jié)構(gòu)分為核心區(qū)域、接入?yún)^(qū)域。在不改變原有結(jié)構(gòu)的基礎(chǔ)上增加了一個新的SDN分支，實現(xiàn)局部SDN化導(dǎo)入模式，將收容服務(wù)器、客戶端邊緣網(wǎng)絡(luò)進(jìn)行SDN化，核心路由器的功能則通過控制器和SDN交換機(jī)實現(xiàn)的虛擬路由器完成，也可以通過Floodlight控制器控制物理或虛擬路由器實體完成。核心層是整個網(wǎng)絡(luò)體系中各功能模塊之間可靠、快速、穩(wěn)定傳輸數(shù)據(jù)的通道，使用萬兆鏈路與匯聚層設(shè)備連接。

將SDN網(wǎng)絡(luò)逐步導(dǎo)入現(xiàn)有網(wǎng)絡(luò)，必定出現(xiàn)的是SDN網(wǎng)絡(luò)與現(xiàn)有網(wǎng)絡(luò)共存的情況。原有網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)可能會被相互隔離。配置特定的流透明，使用透過模式，保證局部SDN化對原有網(wǎng)絡(luò)造成的影響是可控制的。同時，可以將不需要使用SDN網(wǎng)絡(luò)的部分完全透明化，即使導(dǎo)入了SDN環(huán)境，配置上也不需要做任何改變。在傳統(tǒng)網(wǎng)絡(luò)上，將邊緣設(shè)備安裝虛擬化的環(huán)境導(dǎo)入虛擬交換機(jī)，并由Floodlight控制器來控制虛擬交換機(jī)從而實現(xiàn)對網(wǎng)絡(luò)的控制。

Floodlight控制器具體操作流程如下：

(1)數(shù)據(jù)中心設(shè)備將采集到的數(shù)據(jù)以sFlow樣本的形式發(fā)送到控制器；

(2)控制器收到采集的設(shè)備信息，把收集到的信息裝進(jìn)容器，收到數(shù)據(jù)流，按照權(quán)重對數(shù)據(jù)流進(jìn)行實時分析；

(3)由SDN的相關(guān)應(yīng)用，包括基于策略的用戶界面和REST APIs，分析和管理容器容量并傳送至控制中心；

(4)控制器將會制定OpenFlow規(guī)則，同時具有可擴(kuò)展性，也就是管理員可以將自己開發(fā)的應(yīng)用放入安全箱中，在網(wǎng)絡(luò)上部署。但是工作一旦結(jié)束，為保護(hù)原有網(wǎng)絡(luò)的安全，安全箱會自動關(guān)閉。

3 廣電網(wǎng)軟件定義安全

網(wǎng)絡(luò)技術(shù)發(fā)展是把雙刃劍，在給人們帶來便利的同時，也存在著許多潛在的安全威脅。同樣地，將SDN網(wǎng)絡(luò)引入傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，安全問題也是需要重視的問題。而廣電網(wǎng)絡(luò)也是一個開放式的平臺，廣電網(wǎng)絡(luò)安全問題成為目前網(wǎng)絡(luò)安全研究的重中之重。本節(jié)將分為兩個模塊在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上采用一些安全機(jī)制對病毒的入侵進(jìn)行檢測和屏蔽[5]。

(1)物理層。物理層是整個系統(tǒng)的基礎(chǔ)，一旦受到威脅，用戶的基本信息將得不到保證。

(2)網(wǎng)絡(luò)層。網(wǎng)絡(luò)層最容易受到攻擊者的青睞，攻擊類型包括分布式拒絕服務(wù)攻擊(DDoS)、應(yīng)用層服務(wù)攻擊和IP地址欺騙等。

本文將針對DDoS攻擊做出相應(yīng)處理，利用軟件定義網(wǎng)絡(luò)的方式定義安全。在硬件上采用防火墻的方式阻止威脅的信息流，在軟件定義網(wǎng)絡(luò)的基礎(chǔ)上采用軟件定義安全，制定一些策略，對智能交換機(jī)實行管控，及時發(fā)現(xiàn)威脅并作相應(yīng)處理。由于Floodlight控制器擁有全網(wǎng)的數(shù)據(jù)交互視圖，網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)權(quán)限全部在控制器中決定，可對基于物理交換機(jī)集群的虛擬網(wǎng)絡(luò)實現(xiàn)管控。因此，在遭到DDoS攻擊威脅時，可由防御模塊對常見的DDoS攻擊進(jìn)行識別與防護(hù)。具體流程如圖4所示。

圖4 開發(fā)DDoS威脅識別和防護(hù)圖

由圖4可知，網(wǎng)絡(luò)控制層包括協(xié)議插件管理器、設(shè)備管理、流表管理、拓?fù)涔芾砗徒y(tǒng)計管理。DDoS威脅識別和防護(hù)層包括數(shù)據(jù)包檢測、網(wǎng)絡(luò)設(shè)備信息表、主機(jī)應(yīng)用征信系統(tǒng)、威脅處理策略、欺騙報文檢測、破壞報文檢測、異常報文檢測等。

為有效地防御DDoS攻擊，通過解析PacketIn消息判斷其真實性；解析出數(shù)據(jù)字段，判斷Ethernet是否是常規(guī)類型，解析出源IP地址、目的IP地址、MAC地址和吸納供應(yīng)的交換機(jī)端口；查找表匹配字段，解析報文標(biāo)志位判斷其是否正常，如果標(biāo)志位正常則啟動異常報文檢測，進(jìn)入異常數(shù)據(jù)報的處理流程，按照哈希表對應(yīng)的計數(shù)器計數(shù)，如果計數(shù)次數(shù)超過了其設(shè)定閾值，則屏蔽相應(yīng)的攻擊程序或者屏蔽相應(yīng)的攻擊主機(jī)。

4 網(wǎng)絡(luò)性能測試及分析

網(wǎng)絡(luò)性能測試指標(biāo)主要包括帶寬、時延和帶寬時延積。參照傳統(tǒng)網(wǎng)絡(luò)的性能參數(shù)，對比SDN網(wǎng)絡(luò)的性能，采用如圖5所示的實驗架構(gòu)。

圖5 SDN實驗拓?fù)鋱D

在傳統(tǒng)交換機(jī)下分別添加兩個不同架構(gòu)的網(wǎng)絡(luò)，分別是傳統(tǒng)網(wǎng)絡(luò)和SDN網(wǎng)絡(luò)，利用mininet工具模擬傳統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D，兩者最大的不同就是SDN網(wǎng)絡(luò)中添加了控制器，控制器采用Floodlight下發(fā)流表，模擬網(wǎng)絡(luò)流量，傳統(tǒng)網(wǎng)絡(luò)中通過發(fā)送大量數(shù)據(jù)包，來驗證網(wǎng)絡(luò)的穩(wěn)定性。

圖6為帶寬測試結(jié)果圖，采用mininet搭建最簡單的網(wǎng)絡(luò)拓?fù)洌瑴y試兩個虛擬主機(jī)之間的帶寬，由h1主機(jī)ping h2主機(jī)，測試6組數(shù)據(jù)包，成功接收，表明網(wǎng)絡(luò)狀態(tài)正常。

圖6 帶寬測試圖

圖7為延時丟包率測試結(jié)果圖，在Windows自帶的命令行窗口中，測試主機(jī)連接百度的丟包率，實驗結(jié)果顯示丟包率為0%，發(fā)送與接收的數(shù)據(jù)包均為8個，網(wǎng)絡(luò)延時為26 ms。

圖7 連通性測試圖

從發(fā)出數(shù)據(jù)包，至接收到反饋數(shù)據(jù)包，花費時間越少越好。時間越少意味著速度越快，延時越小。圖7測試中平均時延小于30 ms，幾乎察覺不出有延遲，使用界面流暢。

圖8為多交換機(jī)測試。在吞吐量模式下，模擬4個交換機(jī)，每個交換機(jī)連接1 000個主機(jī)，每一個測試時長為5 000 ms。從測試結(jié)果可以看出，兩個交換機(jī)下發(fā)相關(guān)策略，總時長大約為6.45 ms。

為了對比上述實驗的準(zhǔn)確性，對控制器進(jìn)行延時測試。從圖9的結(jié)果可以看出，一個交換機(jī)時延時最短，隨著交換機(jī)數(shù)量的遞增，延時也隨之增大。

從上述實驗可以看出，SDN網(wǎng)絡(luò)具有穩(wěn)定的網(wǎng)絡(luò)性能，延時較短，用戶的可控性強(qiáng)，用戶可以隨時變化拓?fù)湟赃_(dá)到最佳效果。相比于傳統(tǒng)網(wǎng)絡(luò)，SDN網(wǎng)絡(luò)在提高管理員工作效率的同時，提升了用戶的操作體驗。

5 結(jié)論

本文針對現(xiàn)有廣電網(wǎng)存在的潛在安全問題，分析使用

圖8 多交換機(jī)測試

圖9 控制器延時測試

軟件定義網(wǎng)絡(luò)解決廣電網(wǎng)可能出現(xiàn)的問題。并模擬實際應(yīng)用場景進(jìn)行實驗及分析，針對DDoS攻擊的TCP全連接攻擊、SYN攻擊，提出SDN的安全防護(hù)方案，引入主機(jī)應(yīng)用征信機(jī)制，對入棧流量實時監(jiān)控并深度解析，最后將傳統(tǒng)網(wǎng)絡(luò)的帶寬、延時與SDN網(wǎng)絡(luò)的帶寬、延時進(jìn)行對比，突出SDN網(wǎng)絡(luò)應(yīng)用于廣電網(wǎng)的優(yōu)勢。

[1] 張衛(wèi)峰.深度解析SDN利益、戰(zhàn)略、技術(shù)、實踐[M].北京:電子工業(yè)出版社,2014.

[2] 周環(huán),劉慧. 基于Floodlight的SDN控制器研究[J]. 計算機(jī)工程與應(yīng)用,2016,52(24):137-147.

[3] 張世軒,劉靜,賴英旭，等. 基于SDN架構(gòu)的DoS/DDoS攻擊檢測與防御體系[J]. 電子技術(shù)應(yīng)用,2015,41(12):113-115.

[4] 胡章豐,郭春梅,畢學(xué)堯. 云計算及SDN與安全技術(shù)研究[C]. 全國計算機(jī)安全學(xué)術(shù)交流會,2013(10):40-43.

[5] 王長忠,董學(xué)誠,楊曉，等. 基于SDN的校園網(wǎng)動態(tài)服務(wù)鏈設(shè)計與實現(xiàn)[J]. 計算機(jī)應(yīng)用與軟件,2016,33(12):80-83.

The application and optimization of SDN in broadcasting network

Hou Xiaoting

(Broadcasting Center of Anhui TV Station, Hefei 230071, China)

Today, with the progress of information technology, many new mobile internet applications appear. Service bandwidth has become the most important factor to improve user experience. Continuous improving the network quality based on existing equipment, and making the broadcasting network intelligent, safe and stable has become an essential task for these service provider. Applying SDN (Software Defined Network) network architecture to the broadcasting network can reduce the pressure of the original broadcasting networks’ server, and give network administrators more tools to control the whole network. We make a network model based on the existing broadcasting network, put the SDN access equipment at the edge of the network, and then gradually migrate the whole network to the SDN business system. Experimental results show that SDN implements the software defined security by dynamically using different software strategy, detecting threats in time and shielding and discarding the packets from threat like the DDoS attack.

Software Defined Network(SDN); controller; firewall; Software Defined Security(SDS)

TP393.0

A

10.19358/j.issn.1674- 7720.2017.23.021

侯曉婷.SDN在廣電網(wǎng)中的應(yīng)用與優(yōu)化[J].微型機(jī)與應(yīng)用，2017,36(23)：73-75,79.

2017-06-15)

侯曉婷(1968-)， 女，本科，工程師，主要研究方向: 通信網(wǎng)絡(luò)和網(wǎng)絡(luò)安全。