摘要:本文主要探索在網(wǎng)絡(luò)安全教學(xué)及網(wǎng)絡(luò)中采用云平臺(tái)和SDN網(wǎng)絡(luò)結(jié)合的方法來滿足各種教學(xué)網(wǎng)絡(luò)安全模擬、網(wǎng)絡(luò)攻防及網(wǎng)絡(luò)執(zhí)法演練�����。同時(shí)配合SDN網(wǎng)絡(luò)及控制器技術(shù)來實(shí)現(xiàn)各種級(jí)別的網(wǎng)絡(luò)攻擊模擬�,流量控制,流量分發(fā)和牽引的處理��。同時(shí)通過SDN網(wǎng)絡(luò)體系來滿足各種級(jí)別的網(wǎng)絡(luò)安全教學(xué)模擬和實(shí)際仿真試驗(yàn)��。
關(guān)鍵詞:云平臺(tái)�����、SDN���、KVM����、虛擬機(jī)模板���、流量控制�����、OpenFlow�、Vmware
針對(duì)國(guó)內(nèi)目前日益嚴(yán)重的網(wǎng)絡(luò)安全形勢(shì)�����,需要加速人才培訓(xùn)和環(huán)境模擬試驗(yàn)?��?墒蔷W(wǎng)絡(luò)安全涉及的面廣���,環(huán)境復(fù)雜。很難全面地反映整個(gè)方面的問題����,如何解決網(wǎng)絡(luò)安全人員的培訓(xùn)和環(huán)境模擬試驗(yàn)成了一個(gè)重要的問題。我們針對(duì)整個(gè)需求設(shè)計(jì)了一套完善而可靠的基于大數(shù)據(jù)云計(jì)算環(huán)境的網(wǎng)絡(luò)安全人員培訓(xùn)和網(wǎng)絡(luò)安全實(shí)訓(xùn)模擬試驗(yàn)環(huán)境���。
采用大數(shù)據(jù)云計(jì)算環(huán)境和靈活性是*符合網(wǎng)絡(luò)安全模擬環(huán)境和靈活性要求����。因?yàn)樗峁┝俗銐蜢`活的環(huán)境建設(shè)和環(huán)境靈活設(shè)置的模式����?���?梢园褵o限多的可能性都通過系統(tǒng)模板的方式保存和建立起來����。以便隨時(shí)調(diào)用和重組����。采用大數(shù)據(jù)云計(jì)算方式來組建和搭建網(wǎng)絡(luò)安全環(huán)境模擬和網(wǎng)絡(luò)執(zhí)法仿真。
由于網(wǎng)絡(luò)安全與執(zhí)法需要的環(huán)境復(fù)雜涉及的面相對(duì)多���。需要一套可以靈活滿足這樣需求的系統(tǒng)和網(wǎng)絡(luò)體系�。在具體設(shè)計(jì)和應(yīng)用中�����,我們采用全部基于SDN的網(wǎng)絡(luò)體系來配套并滿足這樣的需求���。
SDN技術(shù)
SDN(Software Define Network簡(jiǎn)寫)網(wǎng)絡(luò)的zui終目標(biāo)是服務(wù)于多樣化的業(yè)務(wù)應(yīng)用創(chuàng)新�。因此隨著SDN技術(shù)的部署和推廣�����,將會(huì)有越來越多的業(yè)務(wù)應(yīng)用被研發(fā)����,這類應(yīng)用將能夠便捷地通過SDN北向接口調(diào)用底層網(wǎng)絡(luò)能力��,按需使用網(wǎng)絡(luò)資源���。
SDN推動(dòng)業(yè)務(wù)創(chuàng)新已經(jīng)是業(yè)界不爭(zhēng)的事實(shí),它可以被廣泛地應(yīng)用在云數(shù)據(jù)中心�、寬帶傳輸網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)等種種場(chǎng)景中��,其中為云計(jì)算業(yè)務(wù)提供網(wǎng)絡(luò)資源服務(wù)就是一個(gè)非常典型的案例���。*����,在當(dāng)前的云計(jì)算業(yè)務(wù)中����,服務(wù)器虛擬化、存儲(chǔ)虛擬化都已經(jīng)被廣泛應(yīng)用�����,它們將底層的物理資源進(jìn)行池化共享�,進(jìn)而按需分配給用戶使用����。相比之下����,傳統(tǒng)的網(wǎng)絡(luò)資源遠(yuǎn)遠(yuǎn)沒有達(dá)到類似的靈活性�����,而SDN的引入則能夠很好地解決這一問題�。
SDN通過標(biāo)準(zhǔn)的南向接口屏蔽了底層物理轉(zhuǎn)發(fā)設(shè)備的差異,實(shí)現(xiàn)了資源的虛擬化�,同時(shí)開放了靈活的北向接口供上層業(yè)務(wù)按需進(jìn)行網(wǎng)絡(luò)配置并調(diào)用網(wǎng)絡(luò)資源。現(xiàn)有所有的云計(jì)算領(lǐng)域中的OpenStack��、CloudStack����、Hpyer-V、Vmware等就是可以工作在SDN應(yīng)用層的云管理平臺(tái)��,通過在其網(wǎng)絡(luò)資源管理組件中增加SDN管理插件�,管理者和使用者可利用SDN北向接口便捷地調(diào)用SDN控制器對(duì)外開放的網(wǎng)絡(luò)能力。當(dāng)有云主機(jī)組網(wǎng)需求(例如建立用戶專有的VLAN)被發(fā)出時(shí)����,相關(guān)的網(wǎng)絡(luò)策略和配置可以在云管理平臺(tái)的界面上集中制定并進(jìn)而驅(qū)動(dòng)SDN控制器統(tǒng)一地自動(dòng)下發(fā)到相關(guān)的網(wǎng)絡(luò)設(shè)備上����。
因此����,網(wǎng)絡(luò)資源可以和其他類型的虛擬化資源一樣,以抽象的資源能力的面貌統(tǒng)一呈現(xiàn)給業(yè)務(wù)應(yīng)用���,無需針對(duì)底層網(wǎng)絡(luò)設(shè)備的差異耗費(fèi)大量開銷從事額外的適配工作���,這有助于業(yè)務(wù)應(yīng)用的快速創(chuàng)新。
SDN控制器及北向接口技術(shù)初探
SDN控制層是SDN的大腦�����,負(fù)責(zé)對(duì)底層轉(zhuǎn)發(fā)設(shè)備的集中統(tǒng)一控制�,同時(shí)向上層業(yè)務(wù)提供網(wǎng)絡(luò)能力調(diào)用的接口,在SDN架構(gòu)中具有舉足輕重的作用�����,SDN控制器也是SDN關(guān)注的焦點(diǎn)���。從技術(shù)實(shí)現(xiàn)上看����,控制器除了南向的網(wǎng)絡(luò)控制和北向的業(yè)務(wù)支撐外�,還需要關(guān)注東西的擴(kuò)展,以避免SDN集中控制導(dǎo)致的性能和安全瓶頸問題�,SDN控制器也在南向、北向�����、東西向上引入了相應(yīng)的核心技術(shù)�����,有效解決與各層通信以及控制集群橫向擴(kuò)展的難題����。
當(dāng)前,業(yè)界有很多基于OpenFlow控制協(xié)議的開源的控制器實(shí)現(xiàn)�����,例如NOX�����、Onix、Floodlight等����,它們都有各自的特色設(shè)計(jì),能夠?qū)崿F(xiàn)鏈路發(fā)現(xiàn)��、拓?fù)涔芾?���、策略制定、表?xiàng)下發(fā)等支持SDN網(wǎng)絡(luò)運(yùn)行的基本操作����。雖然不同的控制器在功能和性能上仍舊存在差異,但是從中已經(jīng)可以總結(jié)出 SDN控制器應(yīng)當(dāng)具備的技術(shù)特征����,從這些開源系統(tǒng)的研發(fā)與實(shí)踐中得到的經(jīng)驗(yàn)和教訓(xùn)將有助于推動(dòng)SDN控制器的規(guī)范化發(fā)展。
另外�,用于網(wǎng)絡(luò)集中化控制的控制器作為SDN網(wǎng)絡(luò)的核心,其性能和安全性非常重要��,其可能存在的負(fù)載過大��、單點(diǎn)失效等問題一直是SDN領(lǐng)域中亟待解決的問題。當(dāng)前����,業(yè)界對(duì)此也有了很多探討,從部署架構(gòu)�����、技術(shù)措施等多個(gè)方面提出了很多有創(chuàng)見的方法���。
SDN控制器對(duì)網(wǎng)絡(luò)的控制主要是通過南向接口協(xié)議實(shí)現(xiàn),包括鏈路發(fā)現(xiàn)、拓?fù)涔芾?�、策略制定�、表?xiàng)下發(fā)等,其中鏈路發(fā)現(xiàn)和拓?fù)涔芾碇饕强刂破淅媚舷蚪涌诘纳闲型ǖ缹?duì)底層交換設(shè)備上報(bào)信息進(jìn)行統(tǒng)一監(jiān)控和統(tǒng)計(jì)�;而策略制定和表項(xiàng)下發(fā)則是控制器利用南向接口的下行通道對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一控制。
SDN北向接口是通過控制器向上層業(yè)務(wù)應(yīng)用開放的接口�,其目標(biāo)是使得業(yè)務(wù)應(yīng)用能夠便利地調(diào)用底層的網(wǎng)絡(luò)資源和能力。通過北向接口���,網(wǎng)絡(luò)業(yè)務(wù)的能以軟件編程的形式調(diào)用各種網(wǎng)絡(luò)資源��;同時(shí)上層的網(wǎng)絡(luò)資源管理系統(tǒng)可以通過控制器的北向接口全局把控整個(gè)網(wǎng)網(wǎng)絡(luò)的資源狀態(tài)�,并對(duì)資源進(jìn)行統(tǒng)一調(diào)度。因?yàn)楸毕蚪涌谑侵苯訛闃I(yè)務(wù)應(yīng)用服務(wù)的�����,因此其設(shè)計(jì)需要密切業(yè)務(wù)應(yīng)用需求�,具有多樣化的特征。同時(shí)���,北向接口的設(shè)計(jì)是否合理�����、便捷�,以便能被業(yè)務(wù)應(yīng)用廣泛調(diào)用�����,會(huì)直接影響到SDN控制器廠商的市場(chǎng)前景�。
與南向接口方面已有OpenFlow等標(biāo)準(zhǔn)不同,北向接口方面還缺少業(yè)界*的標(biāo)準(zhǔn)�����,因此����,北向接口的協(xié)議制定成為當(dāng)前SDN領(lǐng)域競(jìng)爭(zhēng)的焦點(diǎn)�����,不同的參與者或者從用戶角度出發(fā)��,或者從運(yùn)營(yíng)角度出發(fā)����,或者從產(chǎn)品能力角度出發(fā)提出了很多方案�����。據(jù)悉��,目前至少有20種控制器,每種控制器會(huì)對(duì)外提供北向接口用于上層應(yīng)用開發(fā)和資源編排�����。雖然北向接口標(biāo)準(zhǔn)當(dāng)前還很難達(dá)成共識(shí)���,但是充分的開放性、便捷性���、靈活性將是衡量接口優(yōu)劣的重要標(biāo)準(zhǔn)�����,例如REST API就是上層業(yè)務(wù)應(yīng)用的比較喜歡的接口形式�����。部分傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠商在其現(xiàn)有設(shè)備上提供了編程接口供業(yè)務(wù)應(yīng)用直接調(diào)用�,也可被視作是北向接口之一,其目的是在不改變其現(xiàn)有設(shè)備架構(gòu)的條件下提升配置管理靈活性�,應(yīng)對(duì)開放協(xié)議的競(jìng)爭(zhēng)。
控制器負(fù)責(zé)整個(gè)SDN網(wǎng)絡(luò)的集中化控制���,對(duì)于把握全網(wǎng)置資源視圖�、改善網(wǎng)絡(luò)資源交付都具有非常重要的作用�����。但控制能力的集中化�,也意味著控制器局的安全性和性能成為全網(wǎng)的瓶頸;另外���,單一的控制器也無法應(yīng)對(duì)跨多個(gè)地域的SDN網(wǎng)絡(luò)問題�����,需要多個(gè)SDN控制器組成的分布式集群�����,以避免單一的控制器節(jié)點(diǎn) 在可靠性��、擴(kuò)展性���、性能方面的問題�。目前���,用于多個(gè)控制器之間溝通和的東西向接口還沒定義標(biāo)準(zhǔn)����,但專家表示�����,一些非常成熟的集群技術(shù)可以被運(yùn)用到 SDN網(wǎng)絡(luò)中來解決上述難題���。
SDN交換機(jī)及南向接口技術(shù)初探
SDN的核心理念之一就是將控制功能從網(wǎng)絡(luò)設(shè)備中剝離出來�����,通過中央控制器實(shí)現(xiàn)網(wǎng)絡(luò)可編程��,從而實(shí)現(xiàn)資源的優(yōu)化利用���,提升網(wǎng)絡(luò)管控效率。
工作在基礎(chǔ)設(shè)施層的SDN交換機(jī)雖然不在需要對(duì)邏輯控制進(jìn)行過多考慮����,但作為SDN網(wǎng)絡(luò)中負(fù)責(zé)具體數(shù)據(jù)轉(zhuǎn)發(fā)處理的設(shè)備,為了完成高速數(shù)據(jù)轉(zhuǎn)發(fā)�,還是 要遵循交換機(jī)工作原理。本質(zhì)上看���,傳統(tǒng)設(shè)備中無論是交換機(jī)還是路由器�,其工作原理都是在收到數(shù)據(jù)包時(shí)�,將數(shù)據(jù)包中的某些特征域與設(shè)備自身存儲(chǔ)的一些表項(xiàng)進(jìn)行比對(duì),當(dāng)發(fā)現(xiàn)匹配時(shí)則按照表項(xiàng)的要求進(jìn)行相應(yīng)處理�。SDN交換機(jī)也是類似的原理,但是與傳統(tǒng)設(shè)備存在差異的是�,設(shè)備中的各個(gè)表項(xiàng)并非是由設(shè)備自身根據(jù)周邊的網(wǎng)絡(luò)環(huán)境在本地自行生成的,而是由遠(yuǎn)程控制器統(tǒng)一下發(fā)的,因此各種復(fù)雜的控制邏輯(例如鏈路發(fā)現(xiàn)�、地址學(xué)習(xí)、路由計(jì)算等等)都無需在SDN交換機(jī)中實(shí)現(xiàn)���。
SDN交換機(jī)可以忽略控制邏輯的實(shí)現(xiàn)�,全力關(guān)注基于表項(xiàng)的數(shù)據(jù)處理�����,而數(shù)據(jù)處理的性能也就成為評(píng)價(jià)SDN交換機(jī)優(yōu)劣的zui關(guān)鍵指標(biāo)�,因此,很多高性能 轉(zhuǎn)發(fā)技術(shù)被提出�,例如基于多張表以流水線方式進(jìn)行高速處理的技術(shù)。另外��,考慮到SDN和傳統(tǒng)網(wǎng)絡(luò)的混合工作問題�����,支持混合模式的SDN交換機(jī)也是當(dāng)前設(shè)備 層技術(shù)研發(fā)的焦點(diǎn)�����。同時(shí)����,隨著虛擬化技術(shù)的出現(xiàn)和完善,虛擬化環(huán)境將是SDN交換機(jī)的一個(gè)重要應(yīng)用場(chǎng)景����,因此SDN交換機(jī)可能會(huì)有硬件、軟件等多種形態(tài)����。 例如,OVS(Open vSwitch�����,開放虛擬交換標(biāo)準(zhǔn))交換機(jī)就是一款基于開源軟件技術(shù)實(shí)現(xiàn)的能夠集成在服務(wù)器虛擬化Hypervisor中的交換機(jī)����,具備完善的交換機(jī)功 能,在虛擬化組網(wǎng)中起到了非常重要的作用����。
SDN交換機(jī)只負(fù)責(zé)網(wǎng)絡(luò)高速轉(zhuǎn)發(fā),保存的用于轉(zhuǎn)發(fā)決策的轉(zhuǎn)發(fā)表信息來自控制器���,SDN交換機(jī)需要在遠(yuǎn)程控制器的管控下工作��,與之相關(guān)的設(shè)備狀態(tài)和控制指令都需要經(jīng)由SDN的南向接口傳達(dá)���,從而實(shí)現(xiàn)集中化統(tǒng)一管理���。
在本項(xiàng)目中和設(shè)計(jì)中*采用基于SDN交換機(jī)構(gòu)建整個(gè)網(wǎng)絡(luò)體系就可以滿足越發(fā)復(fù)雜的需求。同時(shí)靈活調(diào)度相關(guān)的網(wǎng)絡(luò)資源和重新構(gòu)建各種網(wǎng)絡(luò)形態(tài)�。同時(shí)SDN控制器就可以滿足整個(gè)模擬系統(tǒng)復(fù)雜的網(wǎng)絡(luò)方面的應(yīng)用需求。
OpenFlow技術(shù)
伴隨SDN技術(shù)同步發(fā)展的還有Openflow協(xié)議�。OpenFlow標(biāo)準(zhǔn)的名稱是OpenFlow Switch Specification,因此它本身是一份設(shè)備規(guī)范���,其中規(guī)定了作為SDN基礎(chǔ)設(shè)施層轉(zhuǎn)發(fā)設(shè)備的OpenFlow交換機(jī)的基本組件和功能要求�����,以及用于由遠(yuǎn)程控制器對(duì)交換機(jī)進(jìn)行控制的OpenFlow協(xié)議����。
當(dāng)前zui的南向接口莫過于ONF倡導(dǎo)的OpenFlow協(xié)議�����。作為一個(gè)開放的協(xié)議���,OpenFlow突破了傳統(tǒng)網(wǎng)絡(luò)設(shè)備廠商對(duì)設(shè)備能力接口的壁壘�,經(jīng)過多年的發(fā)展�����,在業(yè)界的共同努力下�����,當(dāng)前已經(jīng)日臻完善�����,能夠全面解決SDN網(wǎng)絡(luò)中面臨的各種問題�。
當(dāng)前,OpenFlow已經(jīng)獲得了業(yè)界的廣泛支持�����,并成為了SDN領(lǐng)域的事實(shí)標(biāo)準(zhǔn)�����,例如OVS交換機(jī)就能夠支持OpenFlow協(xié)議����。 OpenFlow解決了如何由控制層把SDN交換機(jī)所需的用于和數(shù)據(jù)流做匹配的表項(xiàng)下發(fā)給轉(zhuǎn)發(fā)層設(shè)備的問題�,同時(shí)ONF還提出了OF-CONFIG協(xié)議���, 用于對(duì)SDN交換機(jī)進(jìn)行遠(yuǎn)程配置和管理�����,其目標(biāo)都是為了更好地對(duì)分散部署的SDN交換機(jī)實(shí)現(xiàn)集中化管控���。
OpenFlow在SDN領(lǐng)域中的重要地位不言而喻,甚至大家一度產(chǎn)生過OpenFlow就等同于SDN的誤解�����。實(shí)際上����,OpenFlow只是基于開放協(xié)議的SDN實(shí)現(xiàn)中可使用的南向接口之一,后續(xù)可能還會(huì)有很多的南向接口(例如ForCES�����、PCE-P等等)被陸續(xù)應(yīng)用和推廣���。但必須承認(rèn)的 是����,OpenFlow就是為SDN而生的�,因此它與SDN的契合度zui高。相信在以O(shè)NF為領(lǐng)導(dǎo)的產(chǎn)業(yè)各方的大力推動(dòng)下��,它在未來的發(fā)展前景也將更加明朗�����。
OpenFlow交換機(jī)利用基于安全連接的OpenFlow協(xié)議與遠(yuǎn)程控制器相通信�。其中,流表(Flow Table)是OpenFlow交換機(jī)的關(guān)鍵組件�����,負(fù)責(zé)數(shù)據(jù)包的高速查詢和轉(zhuǎn)發(fā)���。
流表概念
在OpenFlow v1.1和v1.2中��,交換機(jī)中的流表項(xiàng)雖然還是由三部分組成����,但是相應(yīng)的名稱已經(jīng)發(fā)生了變化。其中�����,v1.0中定義的包頭域(Header Fields)和動(dòng)作(Actions)被分別更名為匹配域(Match Fields)和指令(Instructions)��。之所以對(duì)包頭域進(jìn)行改名��,是因?yàn)榱鞅眄?xiàng)中的入端口等元組信息并不是屬于數(shù)據(jù)包頭的內(nèi)容�����,因此將其改為匹配域?qū)⒏鼮榇_切���。而使用指令一詞替代動(dòng)作�,則主要是因?yàn)镺penFlow交換機(jī)中多流表的引入��。在多流表場(chǎng)景中�,雖然數(shù)據(jù)包在前*表中出現(xiàn)了匹配,但是交換機(jī)后續(xù)的操作仍舊可能是將其轉(zhuǎn)到下*表中繼續(xù)進(jìn)行匹配�����,而并非像v1.0一樣馬上依照流表動(dòng)作對(duì)數(shù)據(jù)包做具體操作。因此��,新版本的OpenFlow將相關(guān)的動(dòng)作統(tǒng)一更名為指令����。OpenFlow v1.1和v1.2中定義的流表結(jié)構(gòu)如圖1-2所示。
圖1-2 OpenFlow v1.1和v1.2的流表結(jié)構(gòu)
而在OpenFlow v1.3之后��,流表結(jié)構(gòu)的內(nèi)容又一次發(fā)生了變化���,增加了優(yōu)先級(jí)(Priority)、超時(shí)定時(shí)器(Timeouts)和Cookie等內(nèi)容�����,從而將原來流表結(jié)構(gòu)中的三部分?jǐn)U展至六部分���,如圖1-3所示��。
圖1-3 OpenFlow v1.3的流表結(jié)構(gòu)
如圖1-3所示�����,OpenFlow v1.3的流表結(jié)構(gòu)的各個(gè)域的說明如下�。
匹配域:對(duì)數(shù)據(jù)包匹配����。包括入端口和數(shù)據(jù)包報(bào)頭��,以及由前一個(gè)表的可選的元數(shù)據(jù)�����。
優(yōu)先級(jí):流表項(xiàng)的匹配次序����。
計(jì)數(shù)器:更新匹配數(shù)據(jù)包的計(jì)數(shù)��。
指令:修改動(dòng)作集或流水線處理���。
超時(shí)定時(shí)器:一個(gè)流的zui長(zhǎng)有效時(shí)間或zui大空閑時(shí)間�����。
Cookie:由控制器選擇的不透明數(shù)據(jù)值����?�?刂破饔脕磉^濾流統(tǒng)計(jì)數(shù)據(jù)、流改變和流刪除�。但處理數(shù)據(jù)包時(shí)不能使用。
Openflow關(guān)鍵技術(shù)
OpenFlow提供了一個(gè)開放的協(xié)議,用戶可以通過該協(xié)議對(duì)不同的交換機(jī)中的流表進(jìn)行控制���。研究者可以通過選擇數(shù)據(jù)轉(zhuǎn)發(fā)通路以及它們需要怎樣的處理來輕松地控制數(shù)據(jù)流的走向����。通過這種方式,研宄人員可以在網(wǎng)絡(luò)中嘗試創(chuàng)新型的路由協(xié)議��、安全網(wǎng)絡(luò)模型�、新型網(wǎng)絡(luò)服務(wù)、甚至可以用其替換現(xiàn)有的TCP/IP協(xié)議�����。一個(gè)完整的OpenFlow網(wǎng)絡(luò)是由一個(gè)OpenFlow控制器和一個(gè)或者多個(gè)OpenFlow交換機(jī)組成��。
OpenFlow交換機(jī)是整個(gè)OpenFlow網(wǎng)絡(luò)的核心部件,主要管理數(shù)據(jù)層的轉(zhuǎn)發(fā)�����。OpenFlow交換機(jī)接收到數(shù)據(jù)包后,首先會(huì)在本地的流表上查找轉(zhuǎn)發(fā)端口,如果沒有匹配,則把數(shù)據(jù)包轉(zhuǎn)發(fā)給控制器,由控制層決定轉(zhuǎn)發(fā)端口����。OpenFlow交換機(jī)主要由三個(gè)部分組成:交換機(jī)中的流表、與遠(yuǎn)程控制器連接的安全通道���、連接交換機(jī)與控制器之間通信使用的標(biāo)準(zhǔn)OpenFlow協(xié)議:
(1)交換機(jī)流表表中的每一個(gè)表項(xiàng)包含一個(gè)動(dòng)作,Flow按表項(xiàng)匹配后執(zhí)行相應(yīng)的動(dòng)作����。
(2)安全通道連接交換機(jī)和控制器的接口,實(shí)現(xiàn)控制器和交換機(jī)之間網(wǎng)絡(luò)數(shù)據(jù)包以及交互指令的傳輸����。
(3)OpenFlow協(xié)議描述控制器和交換機(jī)之間交互所用信息的標(biāo)準(zhǔn),以及控制器和交換機(jī)接口標(biāo)準(zhǔn)。
OpenFlow交換機(jī)具體工作原理如下:
(1)開啟OpenFlow控制器,通過安全通道與OpenFlow交換機(jī)進(jìn)行信息交互并完成連接����。
(2) OpenFlow交換機(jī)中的流表中可以保存若干流表項(xiàng),每個(gè)流表項(xiàng)由匹配域,計(jì)數(shù)器和動(dòng)作組成。
(3)數(shù)據(jù)流進(jìn)入OpenFlow交換機(jī)后根據(jù)流表項(xiàng)中的匹配域進(jìn)行匹配,找到流表項(xiàng)的數(shù)據(jù)流修改計(jì)數(shù)值,然后OpenFlow交換機(jī)根據(jù)查詢的動(dòng)作對(duì)數(shù)據(jù)包進(jìn)行處理���。
(4)若進(jìn)入OpenFlow交換機(jī)的數(shù)據(jù)流沒有匹配成功,則通過安全通道發(fā)送到控制器,由控制器的決策模塊進(jìn)行處理���。
OpenFlow控制器負(fù)責(zé)控制OpenFlow交換機(jī)中的流表。包括對(duì)流表的添加�����、修改以及刪除等基本操作�。這些基本操作功能的實(shí)現(xiàn)基于在控制器上開發(fā)的程序�。實(shí)現(xiàn)控制器的硬件設(shè)備較為靈活,可以是一臺(tái)運(yùn)行簡(jiǎn)單應(yīng)用的PC機(jī),也可以通過虛擬機(jī)模擬完成��?���?刂破魃峡刂瞥绦虻墓δ茉O(shè)計(jì)使得OpenFlow網(wǎng)絡(luò)得以提供豐富的應(yīng)用,體現(xiàn)OpenFlow網(wǎng)絡(luò)的靈活性和擴(kuò)展性的特點(diǎn)。
OpenFlow網(wǎng)絡(luò)中交換機(jī)和控制器之間通信采用OpenFlow協(xié)議���。OpenFlow協(xié)議規(guī)定交換機(jī)和控制器之間互通控制信息時(shí),通過可靠傳輸?shù)陌踩ǖ肋M(jìn)行消息的傳輸�?��?刂菩畔ń⑦B接消息��、配置交換機(jī)消息����、讀取狀態(tài)消息�、修改狀態(tài)消息�、配置隊(duì)列消息等?���?刂破飨⒌闹饕δ苁菍?shí)現(xiàn)交換機(jī)通過安全通道向控制器發(fā)送數(shù)據(jù)包以及控制器向交換機(jī)下發(fā)命令等操作����。
多云環(huán)境模擬
在網(wǎng)絡(luò)安全及執(zhí)法專業(yè)中需要用到大量的實(shí)驗(yàn)和網(wǎng)絡(luò)模擬試驗(yàn)����。如果需要構(gòu)建一個(gè)完善而可靠的系統(tǒng),必然非常困難而且無法實(shí)現(xiàn)����。因?yàn)樵诰W(wǎng)絡(luò)安全和執(zhí)法中需要熟悉和了解的知識(shí)太多,而且非常復(fù)雜�����。我們希望通過虛擬化云技術(shù)和SDN網(wǎng)絡(luò)技術(shù)來進(jìn)行靈活構(gòu)建一套完善而可靠的網(wǎng)絡(luò)安全及執(zhí)法的環(huán)境仿真和試驗(yàn)環(huán)境�。通過這樣的方式來滿足教學(xué)和實(shí)際的需求。
核心包括幾個(gè)方面����。包括目前所有的網(wǎng)絡(luò)虛擬化化環(huán)境(KVM系列、Vmware��、Xen���、微軟Hyper-V等)���。滿足所有的網(wǎng)絡(luò)安全的環(huán)境需求�����。所有的交換機(jī)全部采用高密度的SDN交換機(jī)��。接口全部是萬兆光纖���。SDN交換機(jī)之間采用40G直連。
SDN系統(tǒng)與云系統(tǒng)的連接示意圖如下:
多云系統(tǒng)整體連接架構(gòu)圖如下:
系統(tǒng)中包含目前所有的虛擬化環(huán)境��。這樣可以滿足實(shí)際教育的需求��。其中Vmware和微軟Azure均為商業(yè)化產(chǎn)品�����。Xen及KVM系列為開源類產(chǎn)品���。通過在各種虛擬化環(huán)境的系統(tǒng)來滿足各種各樣的環(huán)境模擬需求�。涉及網(wǎng)絡(luò)方面的可以通過SDN控制器��、OpenFlow配置和其他軟件配合完成�。
典型案例DDOS攻擊清洗。我們采用以下的SDN架構(gòu)就可以滿足這個(gè)實(shí)驗(yàn)需求���。
網(wǎng)絡(luò)安全及執(zhí)法試驗(yàn)環(huán)境模擬����,通過虛擬化平臺(tái)把各種平臺(tái)和環(huán)境做成標(biāo)準(zhǔn)模板庫�����。方便共享和調(diào)用��?���?梢园ㄎ④沇indows Server系列、Linux系列�、FreeBSD系列、Solaris系列�����、Mac OS系列等均可以建立成標(biāo)準(zhǔn)的環(huán)境���,然后生成標(biāo)準(zhǔn)模板共所有的用戶調(diào)用���、整合和應(yīng)用��。
系統(tǒng)鏡像
可以展示當(dāng)前的鏡像信息���,包括:鏡像名稱、操作系統(tǒng)類型��、操作系統(tǒng)版本����、操作系統(tǒng)架構(gòu)、鏡像可用狀態(tài)����、鏡像大小、創(chuàng)建時(shí)間
可以查看共有鏡像和私有鏡像
通過建立統(tǒng)一的安全環(huán)境鏡像(公有鏡像和私有鏡像)��。公有鏡像為統(tǒng)一的環(huán)境和結(jié)構(gòu)����。私有鏡像為特殊的或的系統(tǒng)來構(gòu)建。通過鏡像環(huán)境和SDN網(wǎng)絡(luò)配合,就可以滿足我們的設(shè)計(jì)要求��。涉及網(wǎng)絡(luò)攻擊的試驗(yàn),就需要在SDN上配置封鎖域和做流量牽引�,以保證系統(tǒng)和網(wǎng)絡(luò)安全。
總結(jié)
以上技術(shù)的探討為一種初步的經(jīng)驗(yàn)總結(jié)����。由于網(wǎng)絡(luò)安全及執(zhí)法需要涉及的技術(shù)和靈活性是無法估量的�����。采用傳統(tǒng)的架構(gòu)和方式是無法滿足需求的�。我們希望在此拋磚引玉和同行共同探討相關(guān)技術(shù)和完善架構(gòu)。目前采用多云架構(gòu)和SDN網(wǎng)絡(luò)來構(gòu)建是能滿足目前已知的網(wǎng)絡(luò)安全及執(zhí)法教學(xué)需求�����。同時(shí)希望大家共同研究進(jìn)步�����。
