基于向量地址的数据中心网络数据面模型的研究

软件定义网络（Software Defined Network, SDN）是目前构建数据中心网络的一个研究热点,SDN可满足数据中心的集中管控、虚拟机部署与迁移等需求。但实现SDN优势的最大难题在于流量超大规模的优化问题,采用三态内容寻找存储器（TCAM）存储和查找流表带来了数据中心扩展性、成本和能耗的问题。为此,提出一种基于向量交换的数据中心数据面模型,即VADC(Vector Address Data Center),以一种源路由地址——向量地址（Vector Address,VA）作为数据包交换标签,VA定义了完整的通信路径。根据VA即可完成数据转发操作。VADC具有如下优点：（1）数据转发过程不再需要查表操作,交换机不必引入TCAM进行流表操作,解决了数据中心扩展性问题,交换机的复杂度和成本大幅度降低;（2）VADC简化了流的建立过程,新数据流建立时,无需下载流表至交换机,其消耗的控制信令数量约减少73%;（3）设计并实现了基于NetFPGA平台的VADC交换机,实验结果表明VADC交换机的硬件资源消耗约是OpenFlow交换机的28%。     

软件定义网络中源地址验证绑定表安全

为了提高软件定义网络（SDN）中IPv6源地址验证（SAVI）绑定表的安全性,从地址分配机制（AAM）消息验证、绑定项更新和拒绝服务（DoS）攻击防御三方面对绑定表进行保护. 基于SDN控制器构建AAM消息验证表,记录交换机端口、MAC地址、主机IP地址等信息;建立DHCPv6和SLAAC这2种地址配置报文的验证模型,下发流表监听路由器通告（RA）消息,获取DHCPv6 request/reply报文和NS/NA报文,基于AAM消息验证表验证报文中的地址信息;针对网络的动态变化建立绑定信息监听和更新机制,监听主机离线或者主机IP失效事件,及时更新绑定信息,保证绑定表和实际网络信息的一致性;基于OpenFlow多级流表建立交换机端口限速表,防止拒绝服务攻击. 实验结果表明,本方案能够有效防御多种针对绑定表的伪造AAM报文攻击,及时更新绑定表信息,提高AAM消息的处理效率.     

基于SDN拓扑集中更新的NDN路由策略

基于软件定义网络（SDN）拓扑集中更新的命名数据网络（NDN）路由策略,将路由的2个关键功能分离,拓扑更新功能集中置于SDN控制器中,而路由计算功能分布式地置于NDN内容节点中.同时,对网络拓扑进行负载加权预处理,在考虑网络状态的前提下,可优化路由计算.仿真结果表明,在基于SDN拓扑集中更新的NDN路由策略中,内容请求数据流的首包时延平均降低了90%,SDN控制器的负荷平均降低了10%~30%,全网实现了有效的负载均衡.     

基于时延和负载均衡的多控制器部署策略

针对在软件定义网络(SDN)中多个控制器部署时面对的时间延迟和负载均衡问题,在保证负载均衡的基础上以降低整个网络的时间延迟和提高整个网络性能为目标,提出一种多控制器部署算法.针对传统粒子群算法收敛速度慢的缺点,采用改进的粒子群算法对SDN控制器进行部署,在考虑平衡控制器负载能力的同时,最小化交换机和控制器之间的传播时延...     

虚拟交换系统在供电公司网络架构中的应用

虚拟交换系统是一种虚拟化技术,它通过减少网络元素,以及隐藏管理冗余交换机和交换链路的复杂环节,从逻辑上简化了网络架构.介绍了虚拟交换系统的相关概念和安庆供电公司现有的网络架构,指出了其中存在的问题,并通过部署虚拟交换系统给出了解决方案.     

SDN架构下的安全审计系统研究与实现

为了解决软件定义网络(software defined networking,SDN)架构面临的安全挑战,针对SDN网络架构中的安全审计环节,将传统网络中的安全审计解决方案与SDN网络集中控制的特性相结合,依托Floodlight控制器设计并实现适用于SDN网络环境的安全审计系统,包括安全审计事件的收集、分析、存储、响应等功能.提出一种针对分布式拒绝服务(distributed denial of service,DDo S)攻击的攻击回溯算法对安全审计事件进行追溯,确定出DDo S攻击发起者及僵尸主机集合.同时,采用滑动窗口分割算法从安全审计事件中提取出用户行为序列模式,基于Levenshtein算法计算用户行为序列模式之间的相似度,并根据用户当前行为和历史行为的相似度来判断是否出现可疑的攻击行为.经实验验证,该系统能准确地回溯出DDo S攻击发生时被控的僵尸主机集合及攻击者,并且可以有效地检测出用户攻击行为.     

一种混合式SDN网络的拓扑管理协议

研究了混合式SDN网络的拓扑管理协议ARLP。ARLP可自动生成网络拓扑结构、并下发路由信息。当拓扑发生变化时,ARLP可自动检测到并下发更新的路由信息。仿真结果表明,当网络发生变化时,数据可切换到更新后的路由上,ARLP可提高网络的收敛速度,保证数据无缝传输。     

OpenTAD：一种基于 SDN 的在线流量异常检测方法

基于软件定义网络（Software Defined Networking, SDN）的集中管控平面,提出了一种在线流量异常检测方法（Online Traffic Anomaly Detection method, OpenTAD）。首先在控制器上在线获取OpenFlow 交换机的流表信息,并构造整个网络的流量矩阵和样本熵矩阵进行组合,然后采用主成分分析方法（PCA）检测异常流量。实验结果表明,相比于传统网络中利用PCA分别单独处理离线的流量矩阵或样本熵矩阵的方法,OpenTAD 实现和处理方式简单有效,异常流量能够得到快速隔离,是基于 SDN的一种轻量级在线流量异常检测方法。     

一种面向SDN的拟态化架构设计

作为SDN的“控制大脑”,控制器承载着SDN网络的诸多控制功能,通过对SDN网络安全威胁的分析,将应用程序、控制器、操作系统以及处理器纳入拟态界,构建了面向SDN的拟态化架构。该架构的设计引入了新问题,通过分析问题的根源,设计了拟态代理以及异构执行体之间的同步方法,创建了以多数一致表决为裁决算法的拟态架构抗攻击性模型。最后,在搭建的仿真和测试环境的基础上,分析了该拟态架构的安全性以及性能。仿真和测试结果表明该拟态架构具备高安全性,并在吞吐量和延迟等方面得到了改善。     

基于SDN的ARP欺骗防范技术

随着云计算的发展,传统网络分布式的网络架构已经不能满足有关业务的需要,而对网络智能化提出了新的要求。软件定义网络(SDN)可以实现网络资源动态管理,提高网络智能化水平。根据SDN架构的可程序化特性,重新设计控制器的规则,便可以避免局域网内出现ARP攻击。介绍了修正SDN控制器学习行为的基本做法。     

新一代光交换机

北电网络公司推出OPTeraConnectHDX新一代光交换机。这是新一代的多太比特组长光传输节点设备，通过软件技术实现智能化的大容量端到端的传输带宽管理，可减少投资成本４５％，减少运营成本５５％。该交换机采用处理能力达１００G的芯片，网络扩展能力最大可达３８４G，具有多种业务处理能力，同时使网络服务更加灵活，通道连接和网络管理更加优化，包括自动配置、自动路由信令选择以及最有效的网络保护和恢复。该交换机可优化带宽资源的分配，其具有的光交换能力可在统一的平台下整合和管理多种业务，可以通过开放的光接口提供从１５５…     

基于SDN控制器的负载均衡策略

给出一种基于软件定义网络(software defined network,SDN)控制器的负载均衡策略。选用分布式控制器,将网络中任意两节点的通信近似为Markov过程,通过多步转移概率计算网络节点间各链路权重。测量交换机和控制器负载,当控制器超载后,根据链路权重,选择需要迁移的交换机进行负载均衡操作,最后在数据中心Fat-Tree拓扑上进行网络仿真。仿真结果表明,与最短路径优先算法相比,所给策略的平均流量和吞吐量均有明显提升。     

一种基于SDP组件的SDN安全架构模型

SDN为网络引入了开放式的可编程性和层次化的解耦模型,带来管控便利和性能飞跃的同时,也为攻击者降低了入侵门槛。针对SDN面临的安全问题,提出1种基于SDP组件的SDN安全架构SbSDN(SDP based SDN)。通过将SDP控制器基于现有SDN控制器集成部署,及利用SDN中OpenFlow协议的packet-in和packet-out报文消息封装SDP中的SPA消息,实现了SDP与SDN在数据平面和控制平面的良性耦合;面向应用网关在SDN数据平面的部署实现,提出1种应用网关分配算法;面向模型中SDP组件的协同验证,提出1种SbSDN会话建立算法。经安全性能和安全开销测试,所提架构以相比原SDN网络增加约10秒一次性启用时延的开销,减少了约56.3%的DoS攻击流量并可维持主机正常通信,还可抵御端口扫描攻击,有效提升了SDN网络安全性能。     

基于多路径传输的动态负载均衡路由算法

针对当前数据中心网络面临的资源分配不够合理、资源利用率低等问题,提出一种基于多路径传输的动态负载均衡路由(multipath transmission-based dynamic load-balanced routing,MTDLR)算法.该算法利用软件定义网络(software-defined networking,SDN)架构集中控制的优势,建立实时全局资源视图,综合考虑多路径的链路带宽均衡度、路径带宽最优度和路由跳数等路径层面因素,为每条数据流选择最优路径.在此基础上,搭建SDN仿真平台进行性能测试,仿真结果表明:在多种拓扑结构的数据中心网络中,MTDLR算法较等价多路径(equal-cost multi-path,ECMP)算法和全局负载均衡(global load balancing,GLB)算法在带宽利用率、吞吐量等方面均有一定程度的提高.     

基于多参数节点排序的SDN控制器部署策略

针对已有的软件定义网络（SDN）控制器部署关注基于控制消息路由时延最优的问题,引入节点的介数中心性作为参数,分析了介数中心性对于控制器部署位置选择的重要性,并联合节点的可靠性提出了一种基于多参数节点排序方案（MFRS）的控制器位置部署策略,将节点进行排序并分层,依据节点间的连接关系计算出控制权值,最终确定控制器位置. 仿真结果表明,MFRS的控制消息路由跳数小于基于时延的最短路径算法,且基于MFRS的网络可靠性高于基于时延的最短路径算法.     

一种多控制器SDN网络中控制器故障处理策略

为解决多域SDN网络控制器发生故障后所属管理域中交换机失效的问题,借助FPGA并行处理的优势,提出一种控制器故障处理策略.该策略包括故障检测模块和故障恢复模块两部分,在故障检测模块中,设计了基于FPGA的心跳包检测机制,在故障恢复模块中设计了一种改进的随机森林算法对故障控制器域下的交换机进行迁移以完成对故障的处理.仿真...     

支持高效管理的软件定义DCN控制架构

提出了支持高效管理的软件定义数据中心网络控制架构(FRINGE),采用分布式和集中式相结合的控制,特点是在网络边缘构建软件定义的集中管理域,利用边缘网络设备的可编程配置能力提高网络管理效率. 通过分析发现,FRINGE具有较好的实现可行性,仅需对现有数据中心柜顶交换机进行OpenFlow软件升级. 以数据中心网络管理功能中的故障诊断为例,说明了FRINGE可提升网络管理的性能,诊断探测开销比原有方法可降低至少2个数量级.     

基于Linux系统的LEO卫星动态路由协议研究与实现

基于虚拟拓扑算法思想,提出了一种基于网络状态的低轨（LEO）卫星动态路由协议.通过预测卫星周期运动来划分快照,按照每个快照内的拓扑预计算路由.根据卫星节点的实时状态动态调整网络拓扑并重计算路由,以提高卫星网络的应急能力,增强网络的抗毁性.除在NS3仿真平台验证协议正确性之外,主要在Linux系统实现了该路由协议,针对划分的4个模块在实现功能时的难点提出了解决方案.在Linux系统中对实现的协议进行功能测试和性能测试,验证了协议的路由功能.与传统的基于虚拟拓扑算法相比,该协议在时延、丢包率和吞吐量性能上有所提升.     

基于SDN与NFV的服务功能链编排算法

在服务功能链(SFC)部署的资源编排问题中, 基于软件定义网络(SDN)与网络功能虚拟化(NFV)融合的技术背景和SDN控制器、网络功能虚拟化与物理底层计算资源层组成的3层架构,提出了一种基于SDN和NFV的主动控制资源优化算法。首先通过多标准的聚合多准则效用算法对用户效用进行建模,将优化目标转化为最大化用户效用的问题;然后根据算法对未来状态的预测以及对网络利用率的实时监控,对到达的SFC请求进行决策并发出控制指令,以此为依据占用虚拟化网络功能持有的底层资源。仿真结果表明,与静态的时序资源分配算法相比,主动控制资源优化算法在资源利用率、接受率、创造用户效用等方面具有更好的性能。     

基于OpenFlow的网络拥塞控制机制研究

针对OpenFlow网络中的拥塞问题,基于SDN/OpenFlow网络架构,提出一种新的OpenFlow网络拥塞控制机制。该机制具有利用控制器对网络资源进行全局管理的优点,即当网络中有节点处于拥塞状态,控制器选择一条或者多条合适的数据流在拥塞节点的上一跳节点进行重路由传输。实验结果表明:该机制既能够有效地缓解网络的拥塞状况,保证用户的服务质量,同时又能够提高网络资源利用率。