基于虚拟化安全网络扩展的SDN安全架构

采用控制、转发分离架构的软件定义网络（SDN）为网络的可编程性与开放性提供极大便利,但也给网络的安全性带来诸多挑战。提出一种虚拟安全网络（Virtualized Security Networks）与数据层中间盒扩展相结合的SDN安全架构,给出该架构的实现要点,并以实验验证其架构实现。测试表明该架构较其他方式具有更好的性能与可扩展性,同时其更有利于传统网络环境下的安全保障机制面向SDN网络架构的过渡迁徙。     

基于SDN的CDN体系架构及关键技术研究

互联网应用带来流量持续增长,CDN成为提升用户体验的必然选择。在新业务需求和新技术的双重驱动下,电信运营商CDN需要提升CDN智能化能力,以适应快速变化的新业务。SDN是一种新型网络架构,通过将网络设备控制平面与数据转发平面分离,实现了网络的灵活控制。本文首先分析了SDN对CDN发展的影响,然后介绍了基于SDN的CDN体系架构,最后对实现基于SDN的CDN的关键技术进行探讨。     

基于SDN和NFV技术的网络安全架构

基于软件定义网络(SDN)和网络功能虚拟化(NFV)的新型网络取代传统网络势在必行,因此研究基于新网络环境的网络安全体系结构迫在眉睫.介绍了一种开放且通用的软件定义的SDS安全架构,它可以为安全服务、安全设备和安全管理提供一个开放的接口,并且支持不同的网络安全供应商部署其安全产品和安全解决方案.此外,可以实现虚拟安全功...     

SDN架构的高校图书馆虚拟社区

结合大学生网络社交特点,高效的图书馆虚拟社区可以增强大学生与图书馆的粘合度。本文提出构建基于软件定义网络(SDN)架构的高校图书馆虚拟社区,在虚拟社区服务器与网络设备间建立一个控制层,控制层由OpenFlow交换机和集中控制器组成。OpenFlow交换机控制图书馆网络中的数据流,集中控制器进行网络功能的协调和配置,实现高校图书馆为在校大学生提供高速、便捷网络资源服务的功能。     

基于SDN架构的垂直切换算法

针对当前大部分垂直切换算法采用分布式局部寻优策略,容易导致网络拥塞的问题,提出一种基于软件定义网络(softwaredefinednetwork,SDN)架构的垂直切换算法。利用SDN获得全局网络状态信息,设计模糊逻辑控制模型对网络多属性参数进行归一化决策处理与收益计算,结合二阶马尔可夫模型预测未来全局网络的实际状态,实现异构无线网络的集中控制与切换决策。实验结果表明,所提算法在节点移动的动态性条件下能获得较优的切换性能,可以满足异构无线网络通信的切换需求。     

SDN架构下的空间信息网络业务识别技术

针对传统的离线业务流量识别方法消耗时间长、实时性差的问题,通过对空间信息网络管控和网络资源的高效编排,提出一种基于软件定义网络(SDN)架构的空间信息网络业务识别技术。运用OpenFlow协议在线收集业务流量,提取流中前5个数据包作为一条子流,在SDN控制器上实现基于机器学习的在线业务分类,同时给出一种具有噪声过滤功能的协同训练算法Dif-TriTraining。实验结果表明,与传统的Tri-Training算法相比,该算法能够有效提升业务识别的准确率。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于SDN架构的电力通信网络质量感知技术研究

电力工业是国民经济的基础支柱,其通信网络是电力生产、经营和管理的一个重要组成部分;针对现通信网中业务流实时监测的难题,提出引入一种基于SDN架构设计的新型流量感知监测技术方案,经实际网络延迟数据与RLI算法、MDI指标中的DF参数、VTD指标互作对比;为此搭建基于NetMag可编程网络设备的实验环境通过验证及建模对比,均达到预期效果;论证该项质量感知技术能为电力通信网提供可视化、实时、智能的运维平台作部署,这将使运维管理工作更加主动、有效,有利于提高网络运行的效率与稳定性。     

对SDN技术的研究与思考

SDN将网络的控制平面从交换机和路由器中的数据平面分离出来,代表着虚拟化从服务器到网络的演变。SDN如今已深入到网络架构的各个方面,其最大优势在于可以动态地为不同的互联网业务分配带宽资源。本文从SDN的定义及内涵入手,归纳SDN的关键技术和标准化研究进程,并结合网络设备商和运营商的SDN部署情况对产业现状进行深入的分析和总结。     

面向SDN环境的软件定义安全架构

Open Flow协议无深度包检测能力使其在安全应用中受限,同时现有安全解决方案不能适应软件定义网络(software-defined networking,SDN)的发展。提出了一个分布式的软件定义安全架构(software-defined security architecture,SDSA),可将安全功能从SDN控制器解耦到专有的安全控制器和安全APP,提供了全局流和局部数据包层面的检测和防护,以抵御SDN和虚拟化环境中的各类攻击。全局视图和知识库有助于进行快速准确的决策,安全数据和控制分离既极大简化了安全设备的处理逻辑,又使得安全控制器具有灵活的控制平面,并且实时下发策略到设备和动态牵引流量,从而使得整个防护响应大大加快。实验表明SDSA架构可有效防护Do S、端口扫描和异常大流量等各类攻击。     

基于SDN分级分域架构的QoS约束路由算法

传统分布式的网络架构制约路由算法的创新,软件定义网络的出现为路由算法的优化提供了新思路。已有研究中,启发式算法广泛应用于服务质量路由,但由于计算复杂度高而无法在大型网络中应用。而其他算法均存在不同程度的问题,要么复杂度较高,要么算法性能较差,如最短路径算法。基于 SDN 分级分域架构,提出了 LC-LD 路由算法,综合时延条件和代价度量约束并在计算复杂度和算法性能之间保持平衡。仿真分析表明,LC-LD路由算法在有较低的计算复杂度的同时还有较高的服务质量路由选路性能。     

云环境下基于SDN的高效流量监控方案

针对云环境下传统安全设备难以采集东西向流量且现有SDN方案采集效率低的问题,提出一种基于SDN的高效流量监控方案,通过控制器应用自适应的频率调节算法对东西向流量采样并检测分类,随后分级别地响应流表策略,放行可被识别的流量,完成对流量进行牵引至软件安全检测系统前的预处理,减小待牵引流量的规模。对比实验结果表明,所提方案能在不影响SDN控制器性能的前提下,降低安全控制信道的负载,能使安全检测系统保持较高的检测率。     

SDN环境下基于QLearning算法的业务划分路由选路机制

随着当前网络的多元化发展,用户对于网络的需求也不断增加,网络的承载性受到极大挑战。在软件定义网络环境下,提出一种以业务属性为依据、基于QLearning算法的路由选路机制,设计了链路发现、链路分类、强化学习训练及Q值表下发4个模块,根据网络的实施情况对不同属性的业务流分配不同的路径以保障用户路由的 QoS。实验结果表明,所提算法可使数据流的总体分组丢失率低于 5%,对于部分属性的业务流可接近0分组丢失,同时对于时延也有大幅降低。     

TMP-TIE:基于流量迁移预测的域间出口选择算法

出口选择算法是域间路由策略的直接体现,并具备流量工程能力。针对可调域间路由出口选择算法引起的大幅流量迁移问题,以控制与转发分离的网络架构为背景,提出了基于流量迁移预测的出口选择算法TMP-TIE。该算法在TIE算法的基础上加入对流量迁移的预测和判定,避免出口变化引起的大幅流量迁移,降低对域间流量传输的影响。通过模拟实验比较了热土豆、TIE和TMP-TIE的性能,实验结果说明,TMP-TIE具有最小的路由敏感性和流量敏感性,能降低故障条件下的网络代价和网络拥塞的概率,有利于实现域间流量工程。     

基于SDN架构的高性能网络拥塞避免策略

拥塞管理是高性能网络领域的重要研究方向,网络拥塞会对网络的全局性能产生较大影响。现有的拥塞管理多采用分布式拥塞避免策略,能够在一定程度上解决网络的拥塞问题,但其处理过程基于局部信息,不能充分利用网络资源,处理效率偏低。近期,人们提出软件定义网络(SDN)架构,该架构采用集中控制器和多层网络技术,能够较好地获取网络的全局信息。在原有工作的基础上提出了一种基于SDN架构的全局拥塞避免策略OSCP,该策略在拥塞信息获取和控制信息的传输上,改进了原有的解决方案,并结合自适应传输进行网络路由。实验结果表明,该策略可以较好地避免和解决网络中存在的拥塞问题,降低网络延迟并提高饱和吞吐率。     

基于Floodlight的SDN控制器研究

目前正在使用的网络架构已有30年的历史。在此架构下,交换机/路由器需要在超过6 000个分布式协议中使整个网络正常运行。这意味着只要有一个网元增加一种新的协议,其他网元都必须在结构上做出变更。SDN（Software Defined Network,软件定义网络）则打破了这种桎梏,它使得网络可编程,从而让网络在满足用户需求方面更具灵活性。SDN架构将控制和转发解耦,将控制功能集中到逻辑独立的控制环境之中,同时为应用层提供底层网络的抽象视图。结果就是SDN可以为用户提供可编程性极强的网络、网络自动化管理以及网络控制等功能,从而满足日益变化与丰富的网络需求。SDN控制器在SDN架构中的作用至关重要,它既要与基础设施层交互也需要与应用层经由API交互。首先分析了SDN架构的产生背景、原理和其发展现状;随后研究并分析了一个SDN控制器的开源项目Floodlight;最后通过对当前7种控制器的实验以及SDN相关原理对SDN控制器的特性进行了总结与分析。     

数据中心网络中基于SDN的大象流负载均衡的研究

针对数据中心网络中大象流携带大量数据造成网络拥塞和负载不均衡的问题,提出基于SDN(software defined network)的大象流负载均衡(elephant flow load balancing ,EFLB)。当网络负载超过阈值时,控制器利用Openflow特性将检测到的大象流分裂为多个老鼠流,并根据收集的网络拓扑和链路状态动态地计算负载最小的下一跳交换机,确保负载均衡。实验结果表明,相比于等价多路径路算法(equal-cost mulit-path routing ,ECMP),EFLB机制提高网络吞吐量和链路利用率,更好地实现网络负载均衡。     

SDN商用化现状及未来发展趋势分析

在物联网、云计算、移动互联网、大数据等带动下,信息通信业正面临一场大变局,传统产业格局将被打破,新的产业格局正在形成。在分析了SDN及其商用化现状的基础上,对SDN未来发展趋势也作了进一步的预测与分析。     

SDN架构下基于ICMP流量的网络异常检测方法

互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.     

一种基于拓扑划分的SDN多控制器部署方法

随着SDN网络应用的普及,基于单控制器的控制层可靠性方面不足日益暴露,基于多控制器的SDN控制层架构研究逐渐得到重视。然而现有工作或针对多控制器的协作,或针对控制器热备份等机制,较少基于控制器及其与转发设备链路失效场景,针对多控制器部署问题展开研究。针对上述不足,提出一种基于拓扑划分的SDN多控制器部署方法,首先从拓扑分析入手,研究基于最小f-平衡边割的拓扑划分算法,确定控制器数量和部署区域,然后针对控制器与转发设备距离不平衡问题,提出基于带外连接和拓扑划分的控制器部署方法,为控制器切换提供支撑。校园网环境下的实验结果证明,本文方法能够实现一个高可靠的SDN网络控制层面,在控制器切换后的收敛速度、控制指令下发的执行效率以及传输任务保障能力方面有较大优势。