SDN網(wǎng)絡(luò)架構(gòu)及安全研究

趙開新,魏 勇

(1.河南工學院 計算機科學與技術(shù)學院,河南 新鄉(xiāng) 453003;2.新鄉(xiāng)市智能工業(yè)大數(shù)據(jù)應(yīng)用工程技術(shù)研究中心,河南 新鄉(xiāng) 453003)

0 引言

傳統(tǒng)網(wǎng)絡(luò)需求相對明確且穩(wěn)定,應(yīng)用與業(yè)務(wù)變化較小或可預(yù)期,在規(guī)劃設(shè)計時,雖留有部分冗余,但擴展性與業(yè)務(wù)彈性不好,后期調(diào)整和應(yīng)對新業(yè)務(wù)空間有限。設(shè)備部署和維護以人工為主,自動為輔,并且網(wǎng)絡(luò)設(shè)備多樣性,廠家來源多樣性,導致管理和維護不靈活、不方便。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)技術(shù)的發(fā)展,多元、多變的網(wǎng)絡(luò)上層應(yīng)用與業(yè)務(wù)、相對穩(wěn)定的網(wǎng)絡(luò)架構(gòu)設(shè)計以及系統(tǒng)運維之間的矛盾日益突出。上層應(yīng)要求規(guī)模擴展和服務(wù)能力靈活,能夠體現(xiàn)以客戶為中心,實現(xiàn)客戶的應(yīng)用服務(wù)和業(yè)務(wù)的自適應(yīng)性和動態(tài)性。而底層傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)擴展性差,不能適應(yīng)像微信、抖音等“殺手級”突發(fā)性的網(wǎng)絡(luò)應(yīng)用,新的軟件定義網(wǎng)絡(luò)技術(shù)(Soft Define Network,SDN)應(yīng)運而生。SDN能夠彈性響應(yīng)上層應(yīng)用的網(wǎng)絡(luò)可編程,引入一個集中統(tǒng)一的控制與管理層,實現(xiàn)全局控制管理以及應(yīng)對上層業(yè)務(wù)的動態(tài)響應(yīng)。

1 SDN技術(shù)

2006年斯坦福大學主導,聯(lián)合NSF及多個工業(yè)界廠商共同啟動Clean-Slate課題項目。該項目研究組提出了一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)SDN,是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式[1]。其核心是通過OpenFlow技術(shù),實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)平面和控制平面的分離,并且實現(xiàn)網(wǎng)絡(luò)可編程,為網(wǎng)絡(luò)的智能管理、擴展性和彈性變化帶來了方便。接著國外Cisco、Juniper、HPE、NEC、ARISTA、IBM等廠商先后發(fā)布了支持OpenFlow的SDN交換機,國內(nèi)華為、中興、盛科等設(shè)備廠商也快速研發(fā)了SDN相關(guān)產(chǎn)品,移動、聯(lián)通、電信等運營商也相繼提出了SDN在互聯(lián)網(wǎng)上的解決方案。SDN網(wǎng)絡(luò)采用層次化結(jié)構(gòu),共劃分應(yīng)用層、控制層和基礎(chǔ)設(shè)施層3層,主要包括4個平面和2個接口,分別是應(yīng)用平面、控制平面、管理平面、數(shù)據(jù)平面、南向接口和北向接口,數(shù)據(jù)平面和控制平面通過南向接口通信,控制平面和應(yīng)用平面通過北向接口通信。

1.1 SDN網(wǎng)絡(luò)中的4個平面

1.1.1 數(shù)據(jù)平面

數(shù)據(jù)平面主要執(zhí)行網(wǎng)絡(luò)控制邏輯,數(shù)據(jù)包的轉(zhuǎn)發(fā)主要通過查詢由控制平面所生成的FIB表來完成[2],SDN網(wǎng)絡(luò)在數(shù)據(jù)平面的主要變化為:在SDN數(shù)據(jù)平面包處理流程所有模塊中實現(xiàn)了可編程和協(xié)議無關(guān);把傳統(tǒng)網(wǎng)絡(luò)設(shè)備中的二層或三層轉(zhuǎn)發(fā)表抽象成流表,給用戶提供一種可通過軟件編程、任意定義網(wǎng)絡(luò)的特定流進行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)的依據(jù)包括物理層的出入端口,數(shù)據(jù)鏈路層的源MAC地址、目的MAC地址、以太網(wǎng)類型、VLAN標簽、VLAN優(yōu)先級,網(wǎng)絡(luò)層的源IP地址、目的IP地址、IP協(xié)議類型,IP服務(wù)類型,傳輸層的TCP/UDP源端口號、TCP/UDP目的端口號等,可以實現(xiàn)更精細的轉(zhuǎn)發(fā),并且通過OpenFlow的計量表,還可以實現(xiàn)簡單的QoS功能。

1.1.2 控制平面

SDN控制平面由一個或多個SDN控制器組成,是網(wǎng)絡(luò)的控制中心,對底層網(wǎng)絡(luò)交換設(shè)備進行集中管理,狀態(tài)監(jiān)測、轉(zhuǎn)發(fā)決策以及處理和調(diào)度數(shù)據(jù)平面的流量,并且向上層應(yīng)用開放多個層次的可編程能力。控制平面由北向接口代理、SDN控制邏輯(Control Logic)和控制數(shù)據(jù)平面接口驅(qū)動組成,目前開源SDN控制器有NOX、POX、FloodLight、RYU、OpenDayLight、ONOS等。

控制平面主要通過南向接口協(xié)議與數(shù)據(jù)平面進行交互,利用上行通道對底層交換設(shè)備上報信息進行統(tǒng)一監(jiān)控和統(tǒng)計,實現(xiàn)鏈路發(fā)現(xiàn)和拓撲管理;利用下行通道對網(wǎng)絡(luò)設(shè)備實施統(tǒng)一控制,實現(xiàn)策略制定和流表項下發(fā)。并且通過北向接口為上層業(yè)務(wù)應(yīng)用以及資源管理系統(tǒng)提供靈活的網(wǎng)絡(luò)資源抽象。控制器定時發(fā)送帶LLDP(Link Layer Discovery Protocol)數(shù)據(jù)包的Packet_out消息,根據(jù)收到交換機發(fā)送的Packet_in消息來發(fā)現(xiàn)鏈路,獲得交換機狀態(tài)信息,實現(xiàn)網(wǎng)絡(luò)地址、VLAN、路由學習,監(jiān)測交換機工作狀態(tài),完成網(wǎng)絡(luò)拓撲視圖更新。然后根據(jù)全局的網(wǎng)絡(luò)資源視圖和一定的定制策略生成流表,并下發(fā)流表到數(shù)據(jù)平面各網(wǎng)絡(luò)設(shè)備。具體交互過程如圖1所示。

控制器是SDN網(wǎng)絡(luò)的大腦,隨著網(wǎng)絡(luò)規(guī)模的擴大,單一控制器成為網(wǎng)絡(luò)性能的瓶頸[3]。為了提高網(wǎng)絡(luò)的可靠性,多控制器技術(shù)被提出,但各控制器保持分布式網(wǎng)絡(luò)節(jié)點狀態(tài)的一致性是亟須解決的關(guān)鍵問題,國內(nèi)外許多學者也提出了許多負載均衡網(wǎng)絡(luò)控制器的算法。

1.1.3 應(yīng)用平面

應(yīng)用平面包括SDN應(yīng)用邏輯與北向接口驅(qū)動,通過北向接口與SDN控制器交互,使用應(yīng)用邏輯提高應(yīng)用的交互能力,可以降低系統(tǒng)的開支和成本,實現(xiàn)網(wǎng)元的虛擬化和集中化控制;加快網(wǎng)絡(luò)的部署,遇到故障能快速發(fā)現(xiàn)與解決,是實現(xiàn)更高智能、自動化運作、應(yīng)用可感知的網(wǎng)絡(luò)。

1.1.4 管理平面

管理平面主要包括網(wǎng)元初始化配置,指定控制器、定義控制器及應(yīng)用的控制范圍,從傳統(tǒng)的通過命令行或圖形化界面對網(wǎng)絡(luò)設(shè)備配置和管理,過渡到通過編程語言來實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理和控制。

1.2 SDN網(wǎng)絡(luò)中的兩個接口

1.2.1 南向接口

南向接口是為控制平面的控制器和數(shù)據(jù)平面的交換機之間的信息交互而設(shè)計,向上收集數(shù)據(jù)平面信息,向下下發(fā)控制策略,指導轉(zhuǎn)發(fā)行為,實現(xiàn)路徑計算和網(wǎng)絡(luò)的配置與管理,主要包括鏈路屬性、鏈路狀態(tài)、和拓撲信息等,主要負責轉(zhuǎn)發(fā)行為控制、設(shè)備性能查詢、統(tǒng)計報告、事件通知等。目前主流的南向接口協(xié)議有OpenFlow、OF-Config和NETCONF等。

其中,主流的南向接口協(xié)議OpenFlow主要架構(gòu)由3部分組成:流表、安全通道和OpenFlow協(xié)議。流表用來指導交換機進行流的處理;OpenFlow交換機通過安全通道與遠端控制器連接,負責控制器與交換機之間的交互;OpenFlow協(xié)議定義了一種南向接口標準,為控制器與交換機之間的通信提供了一種開放標準的方式。

1.2.2 北向接口協(xié)議

北向接口是應(yīng)用平面與控制平面之間的接口,通過控制器向上層業(yè)務(wù)應(yīng)用開放的接口,為上層業(yè)務(wù)應(yīng)用和資源管理系統(tǒng)提供靈活的網(wǎng)絡(luò)資源抽象。北向接口協(xié)議需要滿足多樣性、合理性和開放性,目前未形成業(yè)界公認標準。目前,對北向接口的研究組織包括ONF(Open Networking Foundation)北向接口工作組、IRTF (Internet Research Task Force)的SDN研究工作組和IETF (Internet Engineering Task Force)的SFC工作組。

2 SDN網(wǎng)絡(luò)安全

由于SDN網(wǎng)絡(luò)的開源性和控制器的集中控制管理,SDN網(wǎng)絡(luò)會存在著控制器單點失效、DoS/DDoS(Denial of Service/Distributed Denial of Service)攻擊和信息泄露問題[4]。

2.1 控制器單點失效

控制器是SDN網(wǎng)絡(luò)的大腦,如果SDN控制器出現(xiàn)問題,整個網(wǎng)絡(luò)將會癱瘓。控制器單點失效的情況有兩種,一種是由于軟件故障或者Bug導致的節(jié)點失效,另一種是由于控制器被攻擊導致的單點失效。

針對控制器的單點失效問題,可以通過在網(wǎng)絡(luò)中部署多個控制器來實現(xiàn)。常用的方法有兩種,一種是設(shè)置多個備用控制器來實現(xiàn)可靠性;另外一種是建立控制器的集群,既可以避免單點失效,又可以實現(xiàn)負載分擔,提高SDN網(wǎng)絡(luò)的健壯性。目前現(xiàn)有的OpenDaylight、ONOS控制器均支持集群技術(shù)來解決SDN網(wǎng)絡(luò)單點故障問題。

2.2 DoS/DDoS攻擊

傳統(tǒng)網(wǎng)絡(luò)中DoS/DDoS攻擊是通過向服務(wù)器發(fā)送大量的報文耗盡服務(wù)器資源,從而導致服務(wù)器不能為合法用戶提供正常服務(wù)的一種攻擊方法。在具有集中控制的SDN網(wǎng)絡(luò)中,采用DoS/DDoS攻擊可以消耗控制器資源和通信信道帶寬,造成交換機過載甚至存儲容量不足[5]。

針對DoS/DDoS攻擊問題,目前現(xiàn)有的防御機制主要為防止交換機過載、控制器與交換機之間的通信信道擁塞以及控制器資源耗盡等。

2.3 信息泄露

SDN/OpenFlow架構(gòu)采用分層架構(gòu),信息泄露問題主要發(fā)生在層與層之間,即主要發(fā)生在控制平面的南向接口層與北向接口層[6]。OpenFlow協(xié)議目前成為南向接口事實上的標準,但OpenFlow本身就存在安全隱患。雖然OpenFlow規(guī)范建議可在控制器和交換機之間的安全通道中使用SSL/TLS認證來增強信道的安全性,但并非強制性規(guī)定,大部分控制器默認情況下不開啟。若通信過程中數(shù)據(jù)沒有進行加密,很容易被第三方截獲,從而攻擊者可以通過分析截獲數(shù)據(jù)修改甚至偽造報文進行攻擊。

針對信息泄露問題,通過強制實施SSL/TLS(Secure Sockets Layer/Transport Layer Security)認證實現(xiàn)控制器與交換機之間的雙向認證以及對南向接口通信數(shù)據(jù)進行加密保護。TLS使用數(shù)字證書對交換機和控制器的身份驗證進行,當交換機與控制器之間成功認證之后,交換機與控制器之間采用對稱加密算法進行通信,防止了攻擊者竊聽或篡改數(shù)據(jù),保證了數(shù)據(jù)的機密性與完整性。

3 結(jié)語

本文在SDN架構(gòu)的基礎(chǔ)上,分析了應(yīng)用平面、控制平面、管理平面、數(shù)據(jù)平面4個平面的組成與作用,給出了南向接口和北向接口兩大接口的主要開放協(xié)議、標準以及主要功能,最后指出了SDN網(wǎng)絡(luò)中存在的安全問題以及防范措施。