基于OpenFlow的SDN专利技术分析

软件定义网络(SDN)作为一种新的网络架构,为打破传统的TCP/IP架构提供了可能,实现了控制平面与数据平面的解耦,可以满足未来互联网的需求。基于OpenFlow的SDN可以为新的网络应用与未来互联网技术的发展提供支持。基于此,从专利角度系统梳理基于OpenFlow的SDN技术的专利申请,对国内外专利申请量趋势、重要申请人分布及研究和发展重点进行可视化展示。     

基于SDN的OpenFlow交换机数据包流水线处理机制

目前,软件定义网络(Software Defined Networking,SDN)已成为网络研究与开发的重点,但相关的研究与开发工作还仅仅局限于园区网络和数据中心网络等。由于SDN控制层与数据层处理效率的限制,SDN面向互联网这样超大规模网络的研究还基本处于空白阶段。为了提升SDN的性能以使其适应大规模网络的特点,挖掘SDN数据层中并行加速处理的可能性,提出了将流水线技术应用到SDN数据层中交换机对数据包的转发过程。另外,结合SDN南向接口OpenFlow协议提供的交换机工作规范,设计了适用于OpenFlow交换机数据包转发的三级流水线处理机制。仿真实验说明,将流水线应用到SDN中能有效加快OpenFlow交换机的数据包转发速度。     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

OpenFlow路由机制研究

OpenFlow为软件定义网络提供了一种很好的实现方案,为科研人员研究下一代互联网技术提供了一种途径.OpenFlow对二层交换支持较为成熟,但缺少对三层路由的支持.提出了一种在虚拟机上运行开源路由软件Quagga进行路由计算,利用OpenFlow控制器通过获取虚拟机的路由表来控制OpenFlow交换机数据转发的OpenFlow路由实现机制.     

基于虚拟化安全网络扩展的SDN安全架构

采用控制、转发分离架构的软件定义网络（SDN）为网络的可编程性与开放性提供极大便利,但也给网络的安全性带来诸多挑战。提出一种虚拟安全网络（Virtualized Security Networks）与数据层中间盒扩展相结合的SDN安全架构,给出该架构的实现要点,并以实验验证其架构实现。测试表明该架构较其他方式具有更好的性能与可扩展性,同时其更有利于传统网络环境下的安全保障机制面向SDN网络架构的过渡迁徙。     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

基于软件定义网络的流量管理应用的研究和实现

基于软件定义网络架构,研究和实现了流量管理应用。分析网络流量管理应用的实现原理和功能模块,介绍流量管理的工作流程。使用Openflow设备和Floodlight控制器创建软件定义网络试验环境,并在不同的场景中进行验证。验证结果证明了流量管理应用的有效性和准确性。     

一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法

软件定义网络SDN(Software-Defined Networking)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构,可通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,也极大地推动了下一代互联网的发展.OpenFlow是SDN的主要协议,定义了SDN控制器与交换机之间的通信标准.目前,很多基于OpenFlow的SDN设备已经在实际中得到了部署.但是,基于OpenFlow的SDN却面临很多安全挑战.其中一个重要的挑战是如何建立一个安全可靠的SDN防火墙应用.由于OpenFlow协议的无状态性,现有的SDN防火墙可以被通过改写交换机中的流表项轻松绕过.针对这一安全威胁,作者提出了基于Flowpath的实时动态策略冲突检测与解决方法.通过获取实时的SDN网络状态,能够准确地检测防火墙策略的直接和间接违反,并且一旦发现冲突,可以基于Flowpath进行自动化和细粒度的冲突解决.最后,作者在开源控制器Floodlight上实现了一个安全增强的防火墙应用FlowVerifier,并基于Mininet对FlowVerifier的性能进行了评估.结果表明FlowVerifier能够检测和自动化地解决SDN网络中由于流表改写而引入的策略冲突及其带来的安全威胁.     

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow 的SDN 技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4 个方面分析了基于OpenFlow 的SDN 技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.     

OpenFlow协议IPv6属性测试研究

鉴于SDN网络中数据转发与控制相互分离的特性,OpenFlow协议在其南向接口中扮演着重要的角色。随着下一代互联网的发展,IPv4可供分配的地址资源已然耗尽,瓶颈地位益发凸显。如何尽快部署IPv6,使其服务于社会生产与生活,使得当前网络与IPv6网络长期共存或平滑过渡到IPv6网络是工业界与学术界要解决的问题。SDN则提供了这样一个选项,其中OpenFlow协议是否支持IPv6协议便成为我们关注的重点。通过形式化方法对OpenFlow协议进行形式化建模,得到其非确定性有限状态机模型,在此基础上得到其测试生成树,以指导测试。同时,对于其是否支持IPv6进行重点关注,利用组合测试的方法,产生了167条测试例。 完成了测试引擎的开发,支持高效的测试生成算法,以及测试执行与判定。利用此测试引擎,以上述测试例为测试输入,执行测试过程,同时进一步对测试结果进行分析,得到了定量的分析结果,符合预期要求。     

基于SDN的胖树数据中心网络的多路径路由算法

近年来,具有多路径能力的胖树拓扑结构已经被应用在很多数据中心网络(DCNs)中,以提高网络带宽和容错性。但其使用的传统路由协议对多路径路由的支持是非常有限的,并没有充分利用胖树数据中心网络的多余的可用带宽。因此研究了基于SDN的胖树网络的多路径路由。首先提出一个属于线性规划范畴的问题并证明它的NP完全性;然后提出了一个利用软件定义网络架构优点的实用算法,其依赖于一个中心控制器来收集网络状态信息,以作出最优的路由转发决策;最后把算法实现为OpenFlow控制器的一个模块并进行仿真验证。实验结果表明,所提算法无论在提高吞吐量还是减小端到端时延方面都优于传统的基于拓扑感知启发式的多路径算法。     

基于流量特征的OpenFlow南向接口开销优化技术

软件定义网络(software defined networking, SDN)分离的数据平面和控制平面,给网络管理带来了开放性和灵活性.但同时控制器与交换机之间的接口(控制器南向接口)需要更频繁的交互各种消息以实现对网络的控制.一方面,数据平面触发Table-Miss的数据包需要通过Packet-In消息往返于交换机与控制器之间,时延增大的同时也给控制器南向接口带来繁重的通信开销,数据平面和控制平面之间的交互容易成为网络性能的瓶颈.另一方面,控制器在下发新的流表项时,由于缺乏新表项对应的数据流特征信息,易出现已有的大流表项被下发的小流表项替换的情况,造成冗余的Flow-Mod消息(流表更新消息)和Packet-In消息,进一步加重了南向接口的通信开销,降低了网络的整体性能.提出一种基于流量特征的OpenFlow南向接口开销优化技术uFlow,在控制器上通过对Packet-In消息中数据流量特征的识别以及对小流的直接转发,达到消除南向接口冗余开销的目的.对uFlow的原型系统进行了实现,并通过真实网络中的流量对uFlow优化效果进行了验证.实验结果显示：与传统的OpenFlow网络处理方式相比,uFlow消除了冗余的交换机流表项更新,显著地降低了OpenFlow南向接口的交互开销：在不同的网络负载和流表容量的情况下,uFlow平均能减少70%以上的Flow-Mod消息.     

基于SDN的混合分段路由概率流调度机制

针对数据中心网络流量路径分配不均匀、易造成大流碰撞,以及控制器流表开销大等问题,提出了一种基于SDN的混合分段路由概率流调度机制SRPFS（segment routing probability flow scheduling）。利用SDN集中控制与全局视图特性,首先采用混合分段路由完成流量初始转发;然后选用粒子群优化算法,重定义粒子群内部寻优过程来对流量进行筛选;最后构造全局节点概率矩阵,设计概率调度算法选举出流量转发最优路径。实验结果表明混合分段路由转发技术在流表开销方面优势较大,并且SRPFS相比于其他较典型的流传输机制,在平均网络吞吐量、链路利用率、标准网络吞吐率等方面有明显优势,能够有效减轻控制器的流表负载,保证了较好的网络性能。     

针对IPv6路由扩展首部的入侵检测机制*

针对IPv6路由扩展首部漏洞所带来的安全问题,设计并实现了一种适用于IPv6路由扩展首部的入侵检测机制。以开源入侵检测系统Snort为基础,不改变其原有的数据包检测规则结构,采用IPv6协议分析技术对Snort数据包解析模块进行改进。设计实现了支持IPv6路由扩展首部的解析模块、内部网络受保护系统模块(IPSM),并给出了实验验证过程和结果分析。实验证明该设计方案能准确检测出利用IPv6路由扩展首部漏洞所实施的攻击行为。     

软件定义的内容中心网络的多域分段路由机制*

为提高软件定义的内容中心网络(SD-CCN)分域多控制器架构中的路由传输效率,减轻控制器的负载压力,设计了软件定义的内容中心网络的多域分段路由机制(MDSR)。将基于内容名称的路由查找在控制平面执行,数据平面转化为基于节点标签的路由查找,上行链路经过的每个域的控制器选取最优路径并下发分段标签序列引导各自的域内路由,通过跨域节点对域标签的识别实现域间路由中继,从而以少量控制信息实现对上行链路的整体控制。仿真结果表明,本路由机制相比于随机转发等传统路由机制提高了缓存命中率,降低了平均请求时延及平均路由跳数。     

软件定义网络中基于分段路由的多路径调度算法

针对当前软件定义网络(SDN)在应对大量数据流时造成的流表利用率低、转发响应较慢以及当前网络调度算法容易造成网络局部拥塞和负载不均衡等问题,提出一种基于分段路由的多路径调度算法SRMF。首先,SDN控制器根据网络拓扑连接情况下发初始流表;综合考虑网络链路剩余带宽、丢包率和数据流估测带宽需求进行路径权重计算;最后,根据路径权重选择最优路径并构造分段流表下发到边缘交换机。实验结果表明分段路由转发技术在多种网络拓扑下较一般转发技术在流表项开销方面有明显优势,SRMF算法与Hedera、ECMP相比,在业务流端到端时延、端到端时延抖动、网络吞吐率、丢包率等方面有一定的优势。     

基于SDN的无线网状网络缓存位置决策和操作分配方案

针对信息中心网络缓存管理效率较低的问题,提出一种旨在提高缓存管理效率的方法,且充分利用了无线网状网络(WMN)环境中软件定义网络(SDN)的概念。主要工作体现在SDN内容管理上,缓存位置决策考虑了网络拓扑位置、内容尺寸和缓存节点资源的位置。缓存操作考虑了请求客户端和缓存节点位置,且操作分为通过分支点的off-path缓存和通过缓存节点内容流的on-path缓存。控制器通过缓存内容表来确定工作的分配。实验在两种环境下进行:含有局部聚合客户端的小型网络和局部分布式客户端的大型网络。结果显示,所提方案仅利用每秒5.13kb的控制流量负荷即可将随机缓存位置方案的平均响应延迟减少23.95%。相比于其他网络缓存方案,所提方案最大化了WMN的节点缓存效率,明显提升了内容缓存分配性能,且系统没有较大的额外开销。     

一种改进的基于位置信息的AdHoc路由协议

近几年地理Ad Hoc路由以其独立选路由、避免泛洪以及有良好的可扩展性和适应性而得到快速发展。地理路由面临一个由贪婪方式转发而失败的本地最小问题,该文根据提出的启发式的地理位置辅助路由协议AGAR进行改进,主要是对本地最小问题造成的三角环路以及最短路径查找方面做出改善,仿真结果表明,改进后的算法有较好的投包率和较低的开销。     

基于软件定义网络的卫星网络容错路由机制

鉴于卫星网络对安全性和应对故障的能力有很高的要求，引入了软件定义网络（SDN）技术，在网络中放置中央控制器来增强网络对故障的应对能力。首先，基于SDN的思想设计了一种卫星网络模型，计算了三层轨道上卫星运行的参数并构建星座；然后，采用分层路由的方法，设计了一种针对卫星网络的容错路由机制；最后，在Mininet平台上进行了仿真实验，将容错路由算法（FTR）的实验结果与基于链路感知的星间路由算法（LRSR）和多层卫星网络路由算法（MLSR）的实验结果进行了对比。对比结果表明，在网络中无损坏节点和链路的情况下，FTR的路由总延时比LRSR平均降低了6.06%，说明了引入SDN集中控制的有效性；FTR的丢包率比同样以最小延时为目标的MLSR降低了25.79%，说明了在网络模型中为中轨道（MEO）卫星设计临时存储路由机制的有效性。而当网络中节点和链路的失效情况比较严重时，FTR的路由总延时比LRSR降低了3.99%，比MLSR降低了19.19%；其丢包率比LRSR降低了16.94%，比MLSR降低了37.95%，说明了FTR的容错有效性。实验结果验证了基于SDN的卫星网络路由机制具有更好的容错能力。