劉亮龍　方獻(xiàn)梅

摘要：軟件定義網(wǎng)絡(luò)作為一種新型網(wǎng)絡(luò)架構(gòu)，將網(wǎng)絡(luò)設(shè)備的控制平面和數(shù)據(jù)平面分離，受到了各界的關(guān)注與支持。介紹了SDN的產(chǎn)生背景、特點(diǎn)及發(fā)展現(xiàn)狀，分析了SDN體系架構(gòu)，探討了SDN的產(chǎn)業(yè)應(yīng)用及安全問(wèn)題。SDN這種創(chuàng)新的架構(gòu)實(shí)現(xiàn)了網(wǎng)絡(luò)前所未有的可編程性和可控性，必將促進(jìn)網(wǎng)絡(luò)技術(shù)變革和創(chuàng)新發(fā)展。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；SDN；OpenFlow；網(wǎng)絡(luò)架構(gòu)；安全性

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）13-0047-02

Abstract： As a new network architecture， in which the data plane and control plane are separated， software-defined networking has been concerned and supported by people. This paper mainly introduces the background， characteristic and current situations of SDN， analyses SDN architecture， and explores the industrial application and security of SDN. Innovation of SDN architecture achieves unprecedented programmability and controllability， and will facilitate change and development of network technology.

Key words： software-defined networking； SDN； OpenFlow； network architecture； security

1 引言

隨著云計(jì)算、物聯(lián)網(wǎng)等技術(shù)迅猛發(fā)展，大數(shù)據(jù)時(shí)代已經(jīng)到來(lái)，這使得計(jì)算機(jī)網(wǎng)絡(luò)所承載的信息量急劇膨脹。然而，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)在經(jīng)歷數(shù)十年的發(fā)展后，因其由不同技術(shù)標(biāo)準(zhǔn)、不同廠商的網(wǎng)絡(luò)設(shè)備組成，使得設(shè)備之間數(shù)據(jù)交換越來(lái)越復(fù)雜，且網(wǎng)絡(luò)性能提升的空間越來(lái)越小。在大數(shù)據(jù)時(shí)代，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)對(duì)處理日益龐大的數(shù)據(jù)已經(jīng)顯得力不從心，常常難以滿足當(dāng)今企業(yè)、運(yùn)營(yíng)商以及用戶的需求。

2006年，斯坦福大學(xué)啟動(dòng)了“Clean-Slate Design for the Internet”項(xiàng)目[1]，該項(xiàng)目旨在研究提出一項(xiàng)新的網(wǎng)絡(luò)技術(shù)，突破當(dāng)前互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的限制，以更好地支持新的技術(shù)應(yīng)用和創(chuàng)新。其核心理念是使網(wǎng)絡(luò)軟件化，并充分實(shí)現(xiàn)網(wǎng)絡(luò)開(kāi)放，從而使得網(wǎng)絡(luò)能夠像軟件一樣便捷、靈活，以提高網(wǎng)絡(luò)創(chuàng)新能力。

為了支持這個(gè)項(xiàng)目的實(shí)現(xiàn)，2008年斯坦福大學(xué)的Nick Mckeown教授提出了OpenFlow，其核心思想是將傳統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)平面和控制平面分離，通過(guò)集中控制器以標(biāo)準(zhǔn)化接口對(duì)各種網(wǎng)絡(luò)設(shè)備進(jìn)行分配和管理[2]。后經(jīng)由斯坦福Clean Slate項(xiàng)目推廣，以及GENI（Global Environment for Network Innovations）項(xiàng)目中的應(yīng)用，這個(gè)概念被逐漸擴(kuò)展并成為了SDN（軟件定義網(wǎng)絡(luò)）。

2 SDN體系架構(gòu)

SDN通過(guò)將控制平面和數(shù)據(jù)平面分離，以達(dá)到控制平面可編程和數(shù)據(jù)平面抽象化的目的。SDN的參考體系架構(gòu)如圖1所示[3]。

2.1 可編程控制平面

控制平面可以直接進(jìn)行集中化編程，具有3個(gè)開(kāi)放的接口：控制平面的南向接口，北向接口和東西向接口[4]。

（1）南向接口：位于可編程控制平面和數(shù)據(jù)平面之間的接口。南向接口可以抽象物理網(wǎng)絡(luò)資源信息，從而形成虛擬化網(wǎng)絡(luò)，可以極大簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和運(yùn)行。

（2）北向接口：位于應(yīng)用程序/服務(wù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施（或控制器）之間的接口。SDN控制器負(fù)責(zé)維護(hù)全局網(wǎng)絡(luò)視圖，并向上層應(yīng)用提供用于實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)的可編程接口。

（3）東西向接口：控制器之間的接口，將整個(gè)網(wǎng)絡(luò)定義為一個(gè)邏輯的交換機(jī)。利用控制器提供的應(yīng)用程序編程接口，網(wǎng)絡(luò)操作人員可以靈活地編寫(xiě)多種網(wǎng)絡(luò)應(yīng)用程序。

2.2 數(shù)據(jù)平面抽象化

數(shù)據(jù)平面抽象化要求SDN很好定義通用的數(shù)據(jù)平面模型，而不用關(guān)心某些特定硬件，具體的數(shù)據(jù)平面抽象模型包括數(shù)據(jù)包轉(zhuǎn)發(fā)抽象模型、電路交換抽象模型等。

SDN使得網(wǎng)絡(luò)關(guān)注重心從硬件轉(zhuǎn)移到軟件，在一定程度上屏蔽了硬件層面的差異性，使上層用戶不再疲于應(yīng)付不同廠家的設(shè)備。同時(shí)，分離控制平面和數(shù)據(jù)平面后，廠商可以根據(jù)不同業(yè)務(wù)需求自行開(kāi)發(fā)控制平面，重新洗牌傳統(tǒng)的網(wǎng)絡(luò)通信行業(yè)，也給IT企業(yè)帶來(lái)新的發(fā)展機(jī)遇。

3 SDN產(chǎn)業(yè)現(xiàn)狀及分析

3.1 SDN產(chǎn)業(yè)現(xiàn)狀

近年來(lái)，SDN不但是學(xué)術(shù)界研究熱點(diǎn)，也是成為產(chǎn)業(yè)界熱議的焦點(diǎn)，尤其是其商業(yè)前景。業(yè)界預(yù)測(cè)，從2013年到2016年，SDN產(chǎn)業(yè)將達(dá)到20億美元以上[5]。2012年，Google宣布其內(nèi)部骨干網(wǎng)已經(jīng)全部實(shí)現(xiàn)SDN全面部署，見(jiàn)證了SDN商業(yè)化的重要里程碑。此外，VMWare宣布以12.6億美元收購(gòu)SDN服務(wù)商，正式向商業(yè)化邁入重要一步。

2012年SDN峰會(huì)上，國(guó)內(nèi)外多家芯片廠商推出了支持OpenFlow協(xié)議的新功能芯片，宣告了主流芯片廠商們已經(jīng)把OpenFlow提上產(chǎn)品日程。2013年，SDN峰會(huì)宣布設(shè)立SDN專業(yè)技術(shù)培訓(xùn)板塊，得到了國(guó)際權(quán)威組織ONF的全面支持。此次峰會(huì)上國(guó)內(nèi)三大運(yùn)營(yíng)商中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通齊聚，共同探討SDN在運(yùn)營(yíng)商層面的挑戰(zhàn)和機(jī)遇。至此，SDN預(yù)示著即將帶來(lái)一個(gè)網(wǎng)絡(luò)新時(shí)代。

3.2 SDN應(yīng)用分析

隨著近幾年SDN技術(shù)的發(fā)展，雖然目前SDN具體的應(yīng)用尚未普及，但隨著SDN關(guān)鍵技術(shù)的不斷發(fā)展，未來(lái)一定有廣闊的應(yīng)用前景。比如在諸如數(shù)據(jù)中心網(wǎng)絡(luò)、廣域網(wǎng)、以及移動(dòng)網(wǎng)絡(luò)等網(wǎng)絡(luò)環(huán)境中，SDN都可有用武之地。因此，互聯(lián)網(wǎng)將可能進(jìn)入SDN時(shí)代。

在數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境中，所有網(wǎng)絡(luò)資源都可通過(guò)SDN技術(shù)整合起來(lái)，進(jìn)一步實(shí)現(xiàn)路徑優(yōu)化和負(fù)載均衡，從而提高資源的利用率，降低能量消耗。同時(shí)，在多個(gè)數(shù)據(jù)中心利用SDN網(wǎng)絡(luò)虛擬化技術(shù)，可以輕松實(shí)現(xiàn)虛擬專用網(wǎng)（VPN）的映射以及虛擬機(jī)的遷移。

在廣域網(wǎng)以及移動(dòng)網(wǎng)中使用SDN技術(shù)，也可進(jìn)一步提高網(wǎng)絡(luò)服務(wù)質(zhì)量。通過(guò)SDN技術(shù)，將不同異構(gòu)網(wǎng)抽象成控制平面集中控制，統(tǒng)一管理網(wǎng)絡(luò)，從而進(jìn)一步融合網(wǎng)絡(luò)。利用SDN技術(shù)可以在固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)中實(shí)現(xiàn)無(wú)縫控制，提高VPN管理的靈活性等。在運(yùn)營(yíng)商網(wǎng)絡(luò)中利用SDN技術(shù)，不但能有效降低網(wǎng)絡(luò)管理難度，還能加快網(wǎng)絡(luò)業(yè)務(wù)部署進(jìn)度，提供網(wǎng)絡(luò)服務(wù)的適應(yīng)能力[6]。

4 SDN安全分析

安全性是所有信息技術(shù)必須面對(duì)的研究課題。信息安全的含義主要包括信息的完整性、可用性、保密性和可靠性。SDN作為一個(gè)新興的信息產(chǎn)業(yè)技術(shù)，安全尤為重要。

4.1 SDN安全特點(diǎn)

不同于傳統(tǒng)網(wǎng)絡(luò)，因其創(chuàng)新架構(gòu)，SDN的安全性具有自身特點(diǎn)。

（1）SDN控制器的集中性帶來(lái)的安全風(fēng)險(xiǎn)。SDN的架構(gòu)使得網(wǎng)絡(luò)配置、網(wǎng)絡(luò)服務(wù)訪問(wèn)控制、網(wǎng)絡(luò)安全服務(wù)等都集中在控制器上，這就使控制器成了最易受攻擊的目標(biāo)。攻擊者只需攻陷SDN控制器就可以影響整個(gè)網(wǎng)絡(luò)，而云平臺(tái)強(qiáng)大的計(jì)算能力讓這種攻擊更容易實(shí)現(xiàn)。

（2）SDN的開(kāi)放性帶來(lái)的安全風(fēng)險(xiǎn)。SDN可以實(shí)現(xiàn)統(tǒng)一管理、配置異構(gòu)網(wǎng)絡(luò)設(shè)備、提供可編程性，但這就需要開(kāi)放各種接口。在應(yīng)用層面，SDN控制器提供了大量可編程接口，而這些接口則很可能被攻擊者利用，如監(jiān)聽(tīng)、截獲、DDOS攻擊等，從而使得這些接口變成安全漏洞。因此，為了防止開(kāi)放性帶來(lái)的安全威脅，如何評(píng)估開(kāi)放的接口將是設(shè)計(jì)SDN控制器需要考慮的重要問(wèn)題。

4.2 SDN的安全現(xiàn)狀

從SDN架構(gòu)來(lái)看，Hartman S等人認(rèn)為SDN的安全問(wèn)題需求主要集中在控制平面和應(yīng)用平面之間[7]。在這兩個(gè)平面之間，現(xiàn)有的OpenFlow相關(guān)規(guī)范基本可以保證一個(gè)交換機(jī)被一個(gè)控制器控制的情況下的安全性，但無(wú)法應(yīng)對(duì)一個(gè)交換機(jī)被多個(gè)控制器控制的情況。

4.2.1 控制平面的安全

集中化的控制平面承載網(wǎng)絡(luò)環(huán)境中所有的控制流，其安全性直接關(guān)系網(wǎng)絡(luò)服務(wù)的可用性、可靠性和數(shù)據(jù)安全性?？刂破矫婷媾R的主要威脅包括：

（1）網(wǎng)絡(luò)監(jiān)聽(tīng)。攻擊者通過(guò)開(kāi)放接口，獲取控制器的控制指令。

（2）篡改。攻擊者監(jiān)聽(tīng)到控制指令后，可以篡改或偽造控制指令，比如修改IP地址進(jìn)行IP欺騙。

（3）DDOS攻擊。攻擊者不斷向控制器的開(kāi)放接口發(fā)送大量合法的服務(wù)請(qǐng)求，使得控制器因過(guò)載而不能向正常用戶提供服務(wù)。

（4）蠕蟲(chóng)、病毒以及木馬攻擊。攻擊者通過(guò)控制器中存在的漏洞，獲取控制器的控制權(quán)，執(zhí)行惡意代碼。

4.2.2 應(yīng)用平面的安全

應(yīng)用平面提供各種網(wǎng)絡(luò)服務(wù)，主要包括以下兩種安全威脅。

（1）惡意應(yīng)用：通過(guò)應(yīng)用層植入蠕蟲(chóng)等病毒，達(dá)到竊取網(wǎng)絡(luò)信息、更改網(wǎng)絡(luò)配置、占用網(wǎng)絡(luò)資源等目的，從而干擾控制平面正常工作的進(jìn)程，影響網(wǎng)絡(luò)的可靠性和可用性。

（2）應(yīng)用的安全規(guī)則沖突：為確?？刂破鹘涌诘陌踩?，應(yīng)用層根據(jù)不同的網(wǎng)絡(luò)服務(wù)制定相應(yīng)的安全訪問(wèn)規(guī)則，但應(yīng)用越來(lái)越多時(shí)，不同應(yīng)用之間的安全規(guī)則可能會(huì)產(chǎn)生沖突，這就增加了網(wǎng)絡(luò)管理的復(fù)雜度。

針對(duì)前面所述的一些SDN安全問(wèn)題，學(xué)術(shù)界和產(chǎn)業(yè)界已經(jīng)提出了相應(yīng)解決方案。2014年，Radware公司發(fā)布了業(yè)界第一個(gè)SDN安全應(yīng)用——Defense4All。 Defense4All可以為運(yùn)營(yíng)商和云服務(wù)商提供DoS/DDoS攻擊檢測(cè)和防護(hù)方案。該應(yīng)用通過(guò)Open Daylight SDN[8]控制器對(duì)具有SDN功能的網(wǎng)絡(luò)進(jìn)行編程，使之成為DoS/DDoS攻擊防護(hù)服務(wù)的一部分，并允許運(yùn)營(yíng)商按照虛擬網(wǎng)段或按照用戶的形式提供DoS/DDoS攻擊防護(hù)服務(wù)。

5 未來(lái)展望

SDN控制平面與轉(zhuǎn)發(fā)平面分離的理念為未來(lái)網(wǎng)絡(luò)發(fā)展提供了全新的思路，順應(yīng)了當(dāng)前網(wǎng)絡(luò)的應(yīng)用趨勢(shì)，具有巨大的潛力和應(yīng)用市場(chǎng)空間，并加速了網(wǎng)絡(luò)創(chuàng)新和發(fā)展進(jìn)程。

從應(yīng)用角度上看，SDN很可能對(duì)整個(gè)通信產(chǎn)業(yè)產(chǎn)生巨大的沖擊和影響。對(duì)于傳統(tǒng)的通信設(shè)備制造商而言，SDN技術(shù)的出現(xiàn)改變了網(wǎng)絡(luò)產(chǎn)業(yè)軟硬件一體化的生產(chǎn)方式，轉(zhuǎn)變?yōu)榈讓痈咝阅苻D(zhuǎn)發(fā)/存儲(chǔ)以及上層智能靈活調(diào)度的架構(gòu)。這對(duì)現(xiàn)有占據(jù)市場(chǎng)主要份額的公司將造成巨大沖擊。

對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言，現(xiàn)有的網(wǎng)絡(luò)硬件的控制與轉(zhuǎn)發(fā)架構(gòu)將發(fā)生改變，運(yùn)營(yíng)維護(hù)模式也必須做出相應(yīng)的調(diào)整策略。網(wǎng)絡(luò)的核心將向網(wǎng)絡(luò)操作系統(tǒng)轉(zhuǎn)移，SDN的管理和控制也將成為運(yùn)營(yíng)商的一個(gè)新的探索研究方向。

作為一種新型網(wǎng)絡(luò)體系架構(gòu)，隨著技術(shù)的發(fā)展和成熟，SDN很可能將使網(wǎng)絡(luò)發(fā)生革命性的變化。

參考文獻(xiàn)：

[1] Adrian Lara， Anisha Kolasani， Byrav Ramamurthy. Simplifying Network Management Using Software Defined Networking and OpenFlow. 2012 IEEE International Conference on ANTS[C]. USA： University of Nebraska-Lincoln， 2012.

[2] McKeown N. Software-Defined networking[EB/OL]. Proc. of the INFOCOM Key Note， 2009. http：//infocom2009.ieee-infocom.org/technicalProgram.htm.

[3] Myung-Ki Shin， Ki-Hyuk Nam， Hyoung-Jun Kim. Software-Defined Networking（SDN）：A Reference Architecture and Open APIs. ICT Convergence[C]. Korea， 2012：360-361.

[4] Open Networking Foundation. Software-Defined networking： The new norm for networks[EB/OL]. ONF White Paper， 2012.https：//www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[5] ONS. SDN： Transforming networking to accelerate business agility[EB/OL]. 2013， http：//www.opennetsummit.org/archives/mar14/site/why-sdn.html.

[6] 王茜，趙慧玲，王巖，解云鵬. SDN在通信網(wǎng)絡(luò)中的應(yīng)用方案探討[J].電信網(wǎng)技術(shù)，2013（3）：26-27.

[7] Hartman S， Wasserman M， Zhang D. Security Requirements in the Software Defined Networking Model[EB/OL]. IETF Draft ， 2013， http：//tools.ietf.org/html/draft-hartman-sdnsec-requirements-00

[8] Open DayLight[EB/OL]. 2014， http：//www.opendaylight.org.