面向网络安全资源池的智能服务链系统设计与分析

传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求。面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题。基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署。通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低65%。所设计系统有望运用于园区...     

安全服务链中虚拟网络功能分配与调度算法研究

安全服务链中的虚拟网络功能（virtual network function,VNF）将传统网络安全功能与硬件设备解耦,使得服务功能的部署更具动态性和可扩展性。然而,VNF向节点的合理分配以及节点上VNF的高效调度问题仍亟待解决。为此,基于软件定义网络（software defined network,SDN）和网络功能虚拟化（network function virtualization,NFV）环境,提出基于优化算法的解决方案。首先,对资源分配与调度问题进行举例并形式化定义问题的优化目标;其次,提出基于贪心算法的资源分配方案和基于混合蜂群算法的资源调度方案,统一协调解决VNF的资源分配与调度问题。最后,设计仿真实验,验证所提算法的时间复杂性和在总资源成本和总服务收益方面的提升;同时,对比混合蜂群算法和传统蜂群算法,结果显示前者具有更快的收敛速度。     

两段式虚拟网络功能硬件加速资源部署机制

设计硬件加速机制,解决软件定义网络/网络功能虚拟化（SDN/NFV）架构中虚拟网络功能（VNF）的性能受限问题,成为当前的研究热点。在引入VNF硬件加速资源后,如何实现对加速资源的统一管理和部署,是亟待解决的问题。为此,首先提出了基于服务器端加速卡和OpenFlow交换机的VNF加速资源的统一管理架构;在此基础上,对加速资源部署问题进行建模,通过分析VNF加速资源对服务链映射的影响,提出了VNF加速资源部署策略的评价指标;最后,设计了两段式的加速资源部署算法求解该问题。实验结果表明,与只考虑节点单一属性的部署算法（SARD）和均匀部署算法（UARD）相比,所提机制能够优化部署加速资源,加速资源承载的流量和加速资源的利用率分别提升41.4%和14.5%。     

煤矿企业数据中心网络安全服务链技术研究

目前,煤矿企业生产网络和数据中心之间的网络安全设备大多采用串行部署方式,存在单点故障、链路瓶颈、运维耦合等问题。针对上述问题,研究了基于软件定义网络（SDN）的煤矿企业数据中心网络安全服务链技术。设计了煤矿企业数据中心安全设备并行部署方式,在物理拓扑上串入1台服务功能链（SFC）交换机,将各安全设备接入SFC交换机,通过SDN控制器控制安全设备及经过SFC交换机的流量,通过SFC交换机定期向安全设备发送检测报文来实现安全设备健康状况检测,并根据配置实现安全设备故障、升级、增加情况下的SDN安全服务链,保障安全设备无感知上下线。测试结果表明,该技术支持安全服务资源的可视化灵活调度,可按需启用/停用服务链上安全服务或配置不同优先级的服务链,在安全设备故障情况下可自动更新安全服务路径,且丢包率低,实现了无感知切换。     

基于SDN和NFV技术的网络安全架构

基于软件定义网络(SDN)和网络功能虚拟化(NFV)的新型网络取代传统网络势在必行,因此研究基于新网络环境的网络安全体系结构迫在眉睫.介绍了一种开放且通用的软件定义的SDS安全架构,它可以为安全服务、安全设备和安全管理提供一个开放的接口,并且支持不同的网络安全供应商部署其安全产品和安全解决方案.此外,可以实现虚拟安全功...     

基于资源拆分的虚拟网络功能服务链映射算法

针对网络虚拟化环境下虚拟网络功能服务链的资源分配以及部署问题,提出了基于资源拆分的虚拟网络功能服务链部署策略。通过对租户的资源需求进行主动拆分,利用更小的资源分配粒度达到提高物理资源利用率的目的。利用最优化理论将虚拟网络功能服务链的资源分配问题建模成具有链式拓扑结构的虚拟网络映射问题,并通过设计高效的启发式算法以有效地解决这一问题。实验结果表明,该算法与其它虚拟网络映射算法相比,能有效提高物理资源的利用率以及租户请求的接收率。     

网络服务功能链技术研究与建模

伴随着数据业务量的急剧增长,传统的静态网络服务模型日渐不能满足应用的需求,其构架中网络服务与专用硬件设备之间一一对应的紧耦合关系造成了网络资源不能共享、新业务难以融合等弊端。当网络规模扩大时,传统的管理和部署方式需要投入更多的成本来部署新业务。随着网络虚拟化的兴起与软件定义网络研究的推进,网络服务功能链这一概念应运而生。网络服务功能链由一个或多个虚拟网络功能组成,旨在降低网络建设与运维成本、提高网络资源利用率、提升网络与业务部署速度。针对当前服务功能链体系的研究及建模和应用进行了阐述,并对业内主流的服务功能链优化模型进行抽象建模。同时针对时延优化问题进行仿真,以启发式贪婪算法为代表,通过不同的启发值,从算法时间复杂度与优化效果的角度将服务功能链中启发式算法与穷举法进行对比。在网格状网络的环境下,启发式算法能取得更快的响应速度,并且能取得和穷举法相当的优化效果。因此,得出在大规模工业互联网中部署服务功能链过程中启发式算法能有更快的响应速度,且能达到或者接近最优解的结论。最后,就当前建模与部署存在的问题以及服务功能链未来的研究方向进行论述。     

基于加权图的链路映射算法

服务功能链(Service Function Chain, SFC)作为一种服务部署概念,为网络提供了更高的灵活性。文中研究服务功能部署中的映射问题,针对服务功能链的业务编排平面部署提出一种基于加权图的链路映射算法,来平衡功能服务节点部署到物理节点上的负载要求。给出了一种服务功能虚拟链路的映射算法,即先进行服务功能组合,随后针对实际的链路情况进行建模分析,利用效率矩阵求解初值,最后利用启发式算法对前者进行纠正。通过建模分析,并与降低链路带宽需求的图匹配策略的特征向量分解算法进行对比,该算法可以在链路节点负载和链路带宽均衡的情况下完成服务请求,并且在服务链长度不断增长和流量数增加的过程中,算法对于吞吐量的变化更加稳定,可以降低对于现有物理网络进行映射的代价。     

一种基于软件定义网络的服务功能链优化部署机制

针对软件定义网络环境下现有服务链部署方法未能充分考虑全网资源利用率的问题,提出了一种基于高效启发式算法的服务链优化部署机制。首先,给出了服务链部署的总体结构,并引入了整数线性规划模型对其进行数学建模;其次,提出了一种高效启发式的模型求解算法,该算法以先排序后贪心的方式,能够在满足资源和时延约束下有效利用网络资源和均衡负载。仿真结果表明,与其他部署算法相比,该算法在降低负载均衡度和时间复杂度的同时提高了请求接受率。     

多源多播服务功能链优化部署算法

在软件定义网络和网络功能虚拟化环境下,针对多播中的服务功能链（SFC）部署,探究了多源多播中的联合虚拟网络功能（VNF）部署和流量路由问题,目的是最小化节点资源消耗和链路资源消耗总成本。同时考虑到节点、链路及带宽延迟限制,建立了整数线性规划模型,并提出一种名为多源多播树优化的启发式算法。该算法旨在为所有用户找到最近的源节点,获得多个源、目节点组,为每个组构造一棵多播服务功能树,然后优化多播服务功能树。实验仿真结果表明,与其他启发式算法相比,该算法有效地降低了总成本、链路利用率及时延。