基于层次CPN的OpenFlow建模研究

CPN作为一种形式化方法,得到了广泛的研究与应用,其在网络协议上和工业系统中的应用尤为突出。OpenFlow是一种新的网络交换模型,包含OpenFlow交换机和控制器。文中首先介绍了OpenFlow协议及CPN(Coloured Petri Nets),然后基于层次CPN对OpenFlow网络进行了建模,对每一层的模型都做了详细的说明,充分体现OpenFlow的工作机制。在建模的过程中,详细地考虑了模型中token的选取和变量的定义,使得CPN模型的执行可以描述OpenFlow的动态工作过程。通过CPN工具生成的状态空间对模型的性质进行了简单的分析,证明了它的活性、有界性。最后给出了下一步的研究工作。     

基于软件定义网络的防火墙系统设计与实现

基于软件定义网络系统架构,提出新型防火墙安全系统。分析新型防火墙系统的架构及主要功能模块,并详述防火墙的数据流处理过程。最后利用Open Flow设备和Floodlight控制器创建了一个软件定义网络防火墙验证环境,针对不同场景进行试验,试验结果证明了防火墙的有效性和效率。     

基于OpenF1oW的可编程终端设计与实现

随着互联网和网络接入技术的不断发展,终端配备多个网络接口已经十分普遍,多个接口同时接入网络,会建立多条连接,现有的多接口终端除了修改内核之外,没有一种灵活的方法管理多个连接。OpenFlow技术已经吸gj了越来越多网络研究人员的关注,本文中将OpenFlow技术应用到终端,兼容现有的网络协议栈的同时,使终端具有可编程性,并提供了一种在可编程终端上管理多连接的方法,基于终端控制器开发实现了连接管理组件,并且在Linux系统上成功实现。     

基于虚拟化环境下的网络安全监控技术应用

在某大型国企的数据中心虚拟化环境背景下,分析虚拟化与云计算安全在网络接入层的"虚拟以太网交换机"(Virtual Ethernet Bridge,VEB)技术在目前的实现方式中的优缺点,研究业界为解决其不足之处所提出的相关方案,阐述采用基于新型网络架构"软件定义网络"(Software Defined Network,SDN)中OpenFlow框架的可行性,提出采用该框架下的Open vSwitch开源技术来实现虚拟网络隔离、QoS配置、流量监控以及数据包分析等虚拟化网络安全监控工作的应用思路。本研究在虚拟网络交换的数据转发与安全控制的解耦、网络安全服务的独立和虚拟网络的安全控制等方面具有创新性,为采用虚拟化和云计算技术的信息系统在接入安全方面提供了参考价值。     

基于OpenFlow的移动切换框架研究

现有移动切换的相关研究方案在实际部署时配置繁琐、工作量大、网络运维成本高,有些方案还存在三角路由问题,导致切换时延增大.为了解决移动切换过程中的这些问题,提高移动切换的性能,提出了一种基于OpenFlow的移动切换框架,通过理论分析证明了该切换框架的可行性;另外,通过搭建基于OpenFlow的移动切换实验平台,与传统移动IP方案进行性能对比分析.实验结果显示,基于OpenFlow的移动切换框架能够有效地控制数据流路径,避免三角路由问题,并且较传统方案其切换时延降低,说明提出的移动切换框架能够有效节省网络带宽资源和优化移动切换效率.     

一种针对基于OpenFlow的SDN网络中控制层面的DoS攻击研究

针对OpenFlow协议报文交换机制里所有非数据报文均需要通过PACKET_IN报文上传控制器的弱点,提出一种不停查询未知转发地址从而造成SDN网络控制层面资源耗尽的新型DoS攻击方式,同时基于SDN网络可编程性提出检测攻击与降低网络时延的解决策略。首先通过SDN控制器北向应用接口,使用Defense4ALL应用中自定义功能,针对DoS攻击特性检测网络中恶意流量。然后利用控制器动态配置特性,实时更新交换机配置文件,改变网络转发策略,从而减轻攻击对整个网络造成的影响。实验仿真表明,在大规模高速攻击中,该方法的检测成功率接近100%,在攻击源较少的慢速攻击中检测成功率低于80%,整体网络延迟降低10ms以上。所提出的解决策略可以有效减少针对控制平面的DoS攻击对整个网络的干扰。     

软件定义网络控制平面可扩展性研究进展

软件定义网络（software-defined networking,简称SDN）遵循控制转发分离的设计原则,其控制平面采用集中的控制逻辑,在提供灵活高效的网络控制的同时,也面临着严重的可扩展性问题.对SDN控制平面可扩展性相关工作进行综述.首先分析控制平面可扩展性的影响因素并给出改善思路;在此基础上,从数据平面缓存优化、高性能控制器、分布式控制平面和控制资源优化分配4种技术路线出发,论述了主要的解决方案和研究进展.最后,给出总结并展望了未来的研究工作.     

软件定义网络研究综述

现有网络设备支持的协议体系庞大, 导致高度复杂, 不仅限制了IP网络的技术发展, 更无法满足当前云计算、大数据和服务器虚拟化等应用趋势。软件定义网络（SDN）作为一种最新网络架构, 对网络设备控制面、转发面和应用层功能进行重新定义抽象, 使得网络设备软件可编程, 有望改变上述局面。介绍了OpenFlow技术的产生背景、特点及发展现状, 分析了基于OpenFlow的SDN体系结构和平台设计的关键技术, 并探究了SDN技术在网络管理自动化、光网络传输与IP承载的统一控制、无线网络的平滑切换、网络虚拟化和QoS保证等方向的应用。     

SDN网络虚拟化中规则映射研究

软件定义网络（SDN）为网络虚拟化提供了新的解决方案,通过网络虚拟化技术可以将一套基础设施虚拟化为多个逻辑网络从而满足不同的网络需求.本文研究了SDN网络虚拟化时多个物理交换机虚拟为一个大虚拟交换机的过程中,虚拟网络规则与物理网络规则的映射问题.综合考虑链路负载、规则分布以及节点负载,提出了三段式规则映射优化算法.首先根据虚拟网络的规则请求生成组播源节点和目的节点集,采用MPH算法生成规则映射树;然后采用入节点最近原则,将虚拟网络规则请求的指令序列部署到规则映射树中的中间节点和叶子节点中;最后考虑节点负载,对规则部署进行微调,最终生成虚拟规则映射策略.通过仿真实验,与直接边缘节点部署相比,平均降低了网络节点规则总数量40%以上.     

Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments

Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-plane programmability of switched substrates. As a result, rich functionality in traffic management, load balancing, routing, firewall configuration, etc. that may pertain to specific flows they control, may be easily developed. In this paper we extend these functionalities with an efficient and scalable mechanism for performing anomaly detection and mitigation in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious events (typically massive Distributed Denial of Service attacks) and subsequently assist networked resource owners/operators to raise mitigation policies against these threats. First, we demonstrate that OF statistics collection and processing overloads the centralized control plane, introducing scalability issues. Second, we propose a modular architecture for the separation of the data collection process from the SDN control plane with the employment of sFlow monitoring data. We then report experimental results that compare its performance against native OF approaches that use standard flow table statistics. Both alternatives are evaluated using an entropy-based method on high volume real network traffic data collected from a university campus network. The packet traces were fed to hardware and software OF devices in order to assess flow-based data-gathering and related anomaly detection options. We subsequently present experimental results that demonstrate the effectiveness of the proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead imposed on usage of system resources. Finally, we conclude by demonstrating that once a network anomaly is detected and identified, the OF protocol can effectively mitigate it via flow table modifications.