唐 寅，何 嘉

(成都信息工程大學(xué) 計(jì)算機(jī)學(xué)院，四川 成都 610225)

0 引 言

隨著電子商務(wù)、社交網(wǎng)絡(luò)、即時(shí)通訊等海量新型互聯(lián)網(wǎng)應(yīng)用的出現(xiàn)，目前以TCP/IP協(xié)議為核心的互聯(lián)網(wǎng)體系架構(gòu)已很難滿足快速增長的業(yè)務(wù)需求，亟需突破傳統(tǒng)的固化封閉式網(wǎng)絡(luò)體系架構(gòu)?；谲浖x網(wǎng)絡(luò)[1](software defined networking，SDN)和網(wǎng)絡(luò)功能虛擬化[2](network function virtualization，NFV)等技術(shù)，如何合理、高效部署滿足用戶多樣化需求的服務(wù)功能鏈(service function chain，SFC)已成為學(xué)術(shù)界和產(chǎn)業(yè)界關(guān)注的熱點(diǎn)問題之一[3-10]。

在已有研究中，文獻(xiàn)[7]將功能部署和流量路由問題建模為混合的整數(shù)線性規(guī)劃問題，降低網(wǎng)絡(luò)時(shí)延并實(shí)現(xiàn)負(fù)載均衡。文獻(xiàn)[8]基于強(qiáng)化學(xué)習(xí)技術(shù)實(shí)現(xiàn)智能化的服務(wù)鏈資源調(diào)度與部署。文獻(xiàn)[9]面向運(yùn)營商網(wǎng)絡(luò)中的資源碎片構(gòu)建服務(wù)鏈優(yōu)化策略，有效提高資源利用效率。但已有研究大多沒有考慮同時(shí)到達(dá)的多條服務(wù)鏈的部署順序，或是忽略了物理節(jié)點(diǎn)可提供的功能類型。本文基于SDN和NFV技術(shù)，開展基于軟件定義的安全服務(wù)部署研究，提出了一種安全功能服務(wù)鏈部署方案。通過預(yù)處理同時(shí)到達(dá)的多個(gè)需求序列，優(yōu)先部署資源需求較大的服務(wù)鏈，避免出現(xiàn)資源瓶頸，有效提升部署成功率；綜合考慮多維度的資源需求和功能需求，降低網(wǎng)絡(luò)成本，保障服務(wù)質(zhì)量。

1 相關(guān)技術(shù)

1.1 軟件定義網(wǎng)絡(luò)

SDN的基本思想是將網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)相互分離，解耦網(wǎng)絡(luò)控制功能和數(shù)據(jù)轉(zhuǎn)發(fā)功能。采用編程模式實(shí)現(xiàn)集中化的管理控制功能，簡化了網(wǎng)絡(luò)管理的復(fù)雜性并促進(jìn)網(wǎng)絡(luò)的發(fā)展和創(chuàng)新。典型SDN采用三層邏輯架構(gòu)，最上層為應(yīng)用層，處理用戶各種不同的業(yè)務(wù)應(yīng)用；最底層的基礎(chǔ)設(shè)施層負(fù)責(zé)基于流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集，中間的控制層為SDN的核心，主要負(fù)責(zé)對基礎(chǔ)設(shè)施層各類資源的編排和管控。

SDN的核心思想主要包括：①將控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分離；②通過集中控制器，實(shí)現(xiàn)網(wǎng)絡(luò)策略、安全策略的集中管理和運(yùn)維狀態(tài)的全局性實(shí)時(shí)監(jiān)控；③標(biāo)準(zhǔn)化南、北向接口，實(shí)現(xiàn)網(wǎng)絡(luò)資源軟件化定義。通過SDN技術(shù)理念，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)管理、應(yīng)用部署自動化，安全管控集中化，同時(shí)提高網(wǎng)絡(luò)傳輸性能。

SDN的上述特點(diǎn)實(shí)現(xiàn)了網(wǎng)絡(luò)能力虛擬化、服務(wù)化，網(wǎng)絡(luò)不再僅僅是基礎(chǔ)設(shè)施，更是一種服務(wù)。在 SDN 框架理念中，通過將控制層和轉(zhuǎn)發(fā)層分離，解決了網(wǎng)絡(luò)節(jié)點(diǎn)繁多并且節(jié)點(diǎn)需要處理的數(shù)據(jù)量大的瓶頸，以及虛擬化節(jié)點(diǎn)增多并且存在無法實(shí)現(xiàn)租戶隔離或者租戶應(yīng)用不在同一區(qū)域時(shí)的應(yīng)用隔離的問題。基于SDN的集群網(wǎng)絡(luò)體系，可以在網(wǎng)絡(luò)搭建環(huán)境中靈活使用集群技術(shù)，當(dāng)新的申請不能在本集群中滿足時(shí)，可以申請其它設(shè)備中的虛擬資源，并且將原集群擴(kuò)展到新的集群。通過將安全資源池化，形成安全資源中心，基于SDN方法可動態(tài)分配虛擬防火墻、WAF、IPS、VLB等虛擬化安全設(shè)備資源，形成安全服務(wù)鏈，為用戶按需分配不同的安全服務(wù)。

1.2 NFV技術(shù)

NFV技術(shù)是由歐洲電信標(biāo)準(zhǔn)化協(xié)會(European telecommunications standards institute，ETSI)為突破傳統(tǒng)電信網(wǎng)絡(luò)架構(gòu)局限性而提出的。NFV技術(shù)旨在通過將傳統(tǒng)專業(yè)網(wǎng)元設(shè)備上的網(wǎng)絡(luò)功能提取出來，并以虛擬化、軟件化的形式運(yùn)行在通用的硬件平臺上，使網(wǎng)絡(luò)資源同計(jì)算資源和存儲資源一樣進(jìn)行池化和虛擬化，提供虛擬主機(jī)的可隔離、移動性、擴(kuò)展性與硬件設(shè)備解耦合等優(yōu)勢，接受統(tǒng)一調(diào)度，實(shí)現(xiàn)軟件化網(wǎng)絡(luò)功能的靈活加載、按需部署和更新，方便遠(yuǎn)程管理和維護(hù)。

典型NFV體系結(jié)構(gòu)如圖1所示。NFV基礎(chǔ)設(shè)施將通用服務(wù)器提供的計(jì)算、存儲和網(wǎng)絡(luò)資源進(jìn)行虛擬化，形成不同類型的資源池。虛擬網(wǎng)絡(luò)在虛擬化資源池的基礎(chǔ)上實(shí)現(xiàn)各種網(wǎng)絡(luò)功能。NFV管理和編排則在縱向上負(fù)責(zé)對上述兩個(gè)部分進(jìn)行配置和系統(tǒng)集成。

圖1 NFV典型架構(gòu)

1.3 軟件定義安全

SDN和NFV架構(gòu)的出現(xiàn)為安全體系提供了新的發(fā)展思路，并在文獻(xiàn)中提出了軟件定義安全(software defined security，SDS)概念。即，軟件定義安全是通過將安全數(shù)據(jù)平面與控制平面分離，在底層將物理安全設(shè)備抽象為安全資源池，支持頂層以編程的方式進(jìn)行統(tǒng)一、按需、靈活的安全服務(wù)編排與管理，以實(shí)現(xiàn)更加靈活、動態(tài)的安全防護(hù)機(jī)制。

借助SDN技術(shù)的流量調(diào)度優(yōu)勢和NFV技術(shù)的動態(tài)管理優(yōu)勢可簡化安全服務(wù)功能的部署難度。通過利用SDN技術(shù)的拓?fù)涓兄土髁靠刂颇芰Γ欣谥贫ǜ又悄艿牟渴鸩呗圆⑦M(jìn)行更快速、便捷的流量調(diào)度?；贜FV技術(shù)可以實(shí)現(xiàn)安全硬件的虛擬化，構(gòu)建包含多種安全功能的安全資源池，并支持安全功能的靈活管理和動態(tài)部署。

2 系統(tǒng)架構(gòu)與問題建模

2.1 系統(tǒng)架構(gòu)

基于SDN和NFV技術(shù)，可以通過安全服務(wù)鏈的方式為虛擬網(wǎng)絡(luò)提供定制化的安全服務(wù)，把匹配的網(wǎng)絡(luò)流量導(dǎo)向安全服務(wù)鏈，進(jìn)行安全控制和審計(jì)，這種方式使得安全防護(hù)服務(wù)部署更加靈活可控，便于操作。

圖2給出一種基于軟件定義安全架構(gòu)的虛擬網(wǎng)絡(luò)安全防護(hù)系統(tǒng)實(shí)現(xiàn)方法，系統(tǒng)主要由以下幾部分組成：虛擬計(jì)算資源池、虛擬安全資源池、虛擬機(jī)監(jiān)控管理器(Hype-rvisor)、支持虛擬接口的交換機(jī)、傳統(tǒng)安全設(shè)備群、SDN控制器和安全控制中心平臺。

圖2 基于軟件定義的虛擬網(wǎng)絡(luò)安全防護(hù)系統(tǒng)架構(gòu)

基于軟件定義的虛擬網(wǎng)絡(luò)安全防護(hù)系統(tǒng)通過將安全資源池化，形成安全資源中心，支持動態(tài)分配虛擬防火墻、WAF、IPS、VLB等虛擬化安全設(shè)備資源，形成安全服務(wù)鏈，為用戶按需分配不同的安全服務(wù)。系統(tǒng)同時(shí)支持內(nèi)嵌式虛擬安全資源池和外掛傳統(tǒng)安全設(shè)備資源群，通過統(tǒng)一的安全控制中心平臺定義規(guī)劃安全服務(wù)鏈，實(shí)現(xiàn)安全資源與物理環(huán)境松耦合，支持安全資源中心動態(tài)擴(kuò)容的同時(shí)業(yè)務(wù)不受影響。

安全控制中心平臺根據(jù)用戶需求，從虛擬安全資源池或外接安全設(shè)備群中獲取安全資源，定制所需安全服務(wù)鏈，隨后向SDN控制器下發(fā)流量牽引指令，將源虛擬機(jī)的流量重定向到該安全服務(wù)鏈，數(shù)據(jù)流經(jīng)過vFW、vIDS等安全設(shè)備或虛擬安全設(shè)備組成的安全服務(wù)鏈的檢測和防護(hù)后，再將流量送回目的虛擬機(jī)，確保了對虛擬化網(wǎng)絡(luò)流量的有效監(jiān)控和管理。以vIDS為例，具體工作過程如下：

(1)識別被牽引的數(shù)據(jù)流所屬網(wǎng)絡(luò)設(shè)備；

(2)判斷系統(tǒng)設(shè)備類型，如果是非虛擬化設(shè)備則轉(zhuǎn)步驟(3)，否則轉(zhuǎn)步驟(4)；

(3)直接從物理網(wǎng)卡上捕獲數(shù)據(jù)包；

(4)否則，讀取虛擬網(wǎng)絡(luò)配置信息，從虛擬網(wǎng)卡上捕獲數(shù)據(jù)包；

(6)對數(shù)據(jù)包進(jìn)行預(yù)處理，將處理后的數(shù)據(jù)包提交給入侵檢測引擎；

(7)入侵檢測引擎根據(jù)數(shù)據(jù)包的域標(biāo)志，選擇相應(yīng)的入侵檢測規(guī)則；

(8)根據(jù)相應(yīng)的入侵檢測規(guī)則，對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解包，提取數(shù)據(jù)包的特征；

(9)入侵檢測引擎從入侵檢測規(guī)則庫中，獲取入侵行為特征；

(10)進(jìn)行特征匹配，如果發(fā)現(xiàn)入侵特征，則根據(jù)安全策略采取相應(yīng)的入侵響應(yīng)。

類似地，數(shù)據(jù)流被引接至按需定制的安全服務(wù)鏈后，在其它(虛擬)安全設(shè)備進(jìn)行檢測與防護(hù)的機(jī)制與傳統(tǒng)安全設(shè)備工作機(jī)制基本相同，只是需要建立與虛擬機(jī)管理器、vSwitch、SDN控制器等的規(guī)范消息格式，從而能夠及時(shí)檢測發(fā)現(xiàn)和阻止安全威脅，并通知安全策略調(diào)整，維護(hù)整個(gè)虛擬網(wǎng)絡(luò)環(huán)境的安全。

2.2 問題描述

在軟件定義安全架構(gòu)中，通過控制轉(zhuǎn)發(fā)分離的特性，網(wǎng)絡(luò)控制變得更加靈活并更具有擴(kuò)展性。通過對底層物理網(wǎng)絡(luò)進(jìn)行虛擬化和邏輯抽象，由SDN控制器引導(dǎo)轉(zhuǎn)發(fā)流量自動通過虛擬服務(wù)節(jié)點(diǎn)，可實(shí)現(xiàn)靈活、便捷、高效的服務(wù)功能，這種流量按序通過虛擬服務(wù)功能節(jié)點(diǎn)組成的序列稱為服務(wù)鏈，如圖3所示。

圖3 服務(wù)鏈

面向用戶的安全服務(wù)需求和由上層編排、下發(fā)的安全服務(wù)鏈，需要選擇一條滿足安全服務(wù)能力、安全功能順序、資源需求的最優(yōu)路徑，該問題即基于服務(wù)鏈的安全功能部署問題(或稱為映射問題)，如圖4所示。其中，圖4(a)為一條安全服務(wù)鏈請求，按其功能請求順序可表示為(FW,NAT,IPS)。存在多種部署方式可滿足安全服務(wù)鏈的功能需求，如圖4(b)和圖4(c)。但從圖中可知，圖4(c)中的第二種部署方式明顯優(yōu)于圖4(b)中的第一種部署方式。因此，需要開展安全功能服務(wù)鏈部署問題的研究，即依據(jù)安全服務(wù)需求序列選擇相應(yīng)的安全功能組件并進(jìn)行路由，在最大限度滿足功能需求、資源需求的前提下降低網(wǎng)絡(luò)成本，保障服務(wù)質(zhì)量。

圖4 兩種安全服務(wù)功能鏈部署方式

2.3 問題建模

底層網(wǎng)絡(luò)拓?fù)淇梢杂靡粋€(gè)加權(quán)圖表示GS=(VS,ES)， 其中VS是由交換節(jié)點(diǎn)、安全功能節(jié)點(diǎn)構(gòu)成的物理節(jié)點(diǎn)集合，VS=TS∪NS。TS表示由M個(gè)路由節(jié)點(diǎn)構(gòu)成的交換節(jié)點(diǎn)集合，NS為防火墻等安全功能節(jié)點(diǎn)集合，共包含N個(gè)安全功能節(jié)點(diǎn)。NS支持實(shí)現(xiàn)φ種安全功能，即安全功能集合Ω={ω1,ω2,…,ωφ}={NAT,FW,IDS,IPS,…}。 ?ni∈NS的計(jì)算資源能力和存儲能力分別表示為Ci和Si，物理節(jié)點(diǎn)ni的安全功能能力Fi?Ω。ES是物理網(wǎng)絡(luò)中鏈路集合， ?es∈ES存在屬性帶寬能力，包含鏈路es的上行帶寬容量B(es↑) 和下行帶寬容量B(es↓)。es=(vi,vj)，vi和vj為鏈路es的起點(diǎn)和終點(diǎn)。 ?vi,vj∈VS， 如果i

圖5 底層網(wǎng)絡(luò)拓?fù)涫纠?/p>

定義同時(shí)到達(dá)的R條服務(wù)鏈請求Φ={Q1,Q2,…,QR}， 其中服務(wù)鏈請求Qr(?Qr∈Φ) 可表示為有向序列Qr=(qr,0,qr,1,qr,2,…,qr,h-1,qr,h,qr,h+1,…,qr,H,qr,H+1)， 共包含H個(gè)安全功能需求。其中，qr,0和qr,H+1分別表示服務(wù)鏈Q(jìng)r的入口節(jié)點(diǎn)和出口節(jié)點(diǎn)，qr,h-1是qr,h的前一個(gè)安全功能需求，qr,h+1是qr,h的后一個(gè)安全功能需求。從qr,h到qr,h+1的需求鏈路表示為link(qr,h,qr,h+1)， 對應(yīng)帶寬表示為bw(qr,h,qr,h+1)。 定義三元組 (fr,h,cr,h,zr,h) 表示 (qr,h所需的安全功能需求和資源需求，即fr,h為qr,h所需的安全功能需求，cr,h和zr,h分別為qr,h的計(jì)算資源需求和內(nèi)存需求。如圖6所示，服務(wù)鏈請求集合Φ={Q1,Q2,Q3}， 其中Q1的入口節(jié)點(diǎn)和出口節(jié)點(diǎn)分別為v1和v8，Q1共包含3個(gè)安全功能需求，依次為f1、f4和f2，f1是f4的前一個(gè)安全功能需求，f2是f4的后一個(gè)安全功能需求。Q1中f1功能需求需滿足的計(jì)算資源需求和存儲資源需求分別為3和1。從f1功能到f4功能的鏈路link(f1,f4) 對應(yīng)的帶寬需求bw(f1,f4)=4 Mbps， 從f4功能到f2功能的鏈路link(f4,f2) 對應(yīng)的帶寬需求bw(f4,f2)=3 Mbps。 在服務(wù)鏈部署過程中，既要滿足安全功能的按序排列，也要滿足安全功能之間的帶寬需求。

圖6 服務(wù)鏈請求示例

(1)

(2)

如果安全服務(wù)鏈請求Qr可成功部署于物理網(wǎng)絡(luò)之上，則定義變量Zr=1，否則Zr=0。因此R條服務(wù)鏈請求Φ的部署問題可形式化為

(3)

s.t.

(4)

(5)

fr,h∈Fi, ?vi∈NS,?r∈[1,R],?h∈[1,H]

(6)

(7)

(8)

(9)

其中,式(4)和式(5)分別保障了選擇的物理節(jié)點(diǎn)能夠滿足安全服務(wù)需求的計(jì)算資源需求和存儲資源需求，式(6)表示選擇的物理節(jié)點(diǎn)能夠提供服務(wù)鏈的安全功能需求。由于服務(wù)鏈中的每個(gè)安全功能需求能且僅能部署在一個(gè)物理安全節(jié)點(diǎn)上，因此定義式(7)以保障每個(gè)安全功能需求能且僅能部署在一個(gè)物理安全節(jié)點(diǎn)。式(8)表示選擇的路由鏈路能夠滿足服務(wù)鏈的帶寬需求。如式(9)所示，服務(wù)鏈部署于物理網(wǎng)絡(luò)后，除接入流量和接出流量外，物理網(wǎng)絡(luò)中所有節(jié)點(diǎn)應(yīng)滿足流量守恒。

3 一種啟發(fā)式服務(wù)鏈部署算法

為了降低部署安全服務(wù)鏈所產(chǎn)生的網(wǎng)絡(luò)成本，本文在滿足服務(wù)鏈帶寬需求、成功部署安全功能的前提下，將網(wǎng)絡(luò)成本最小化作為服務(wù)鏈生成時(shí)的優(yōu)化目標(biāo)，提出一種啟發(fā)式算法PMC(security service function chain placement with minimum cost)。面向同時(shí)到達(dá)的多個(gè)服務(wù)鏈請求，綜合考慮各個(gè)服務(wù)鏈請求的計(jì)算資源需求、存儲資源需求和網(wǎng)絡(luò)資源需求，優(yōu)先部署資源需求較大的服務(wù)鏈，避免物理節(jié)點(diǎn)的資源能力成為服務(wù)鏈部署的瓶頸，滿足更多的服務(wù)鏈部署請求。

3.1 服務(wù)鏈綜合需求定義

由于同時(shí)到達(dá)的服務(wù)鏈需求存在差異，定義W={w1,w2,…,wR} 表示所有R條服務(wù)鏈請求的綜合需求，其中wr∈W為服務(wù)鏈請求Qr的綜合需求。則wr可表示為

(10)

(11)

(12)

(13)

根據(jù)服務(wù)鏈綜合需求大小對服務(wù)鏈請求降序排列，更新Φ為排序后的服務(wù)鏈請求序列，依次部署服務(wù)鏈。

3.2 PMC算法

本文提出一種啟發(fā)式算法，實(shí)現(xiàn)對多樣化安全功能服務(wù)鏈的協(xié)同部署。PMC算法的具體流程如下。

PMC算法：NFC Placement with Minimum Cost

輸入：底層網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)屬性、服務(wù)鏈請求序列Φ

輸出：部署結(jié)果PATH，服務(wù)功能節(jié)點(diǎn)放置結(jié)果。

服務(wù)鏈請求序列到達(dá)；

(1) 根據(jù)式(10)計(jì)算綜合需求W

(2) 對W降序排列，依據(jù)排序結(jié)果更新Φ

(3) for eachQrin Φ do

(4) ifQr中存在特權(quán)節(jié)點(diǎn)then

優(yōu)先部署該節(jié)點(diǎn), update PATH

(5) end if

(6) 根據(jù)帶寬需求大小降序排列Qr中的所有鏈路請求，

(7) for eachlink(qr,h,qr,h+1) inQr

(8) ifxr,h=False andxr,h+1=False, then //兩個(gè)端點(diǎn)均未部署

1、縣域發(fā)展不平衡，且差距較大。受區(qū)位條件、發(fā)展基礎(chǔ)等因素的影響，廣西縣域之間主要經(jīng)濟(jì)指標(biāo)差距較大。如：2016年，縣域經(jīng)濟(jì)總量最大的桂平市，GDP為322.72億元，比排位居后的 10個(gè)縣（市、區(qū)）GDP總和（288.69億元）還多，是排最后1位的鳳山縣（21.24億元）的15.2倍；從財(cái)政收入來看，2016年北流市財(cái)政收入躍居全區(qū)縣（市）第一位（24.86億元），相當(dāng)于排位居后12個(gè)縣（市、區(qū)）財(cái)政收入總和。

y(qr,h,qr,h+1)←1//標(biāo)記為待定狀態(tài)

(9) elseifxr,h=True andxr,h+1=True, then

選擇滿足鏈路帶寬需求且hop數(shù)最小的路徑路由， update PATH；

(10) else //以qr,h尚未部署，qr,h+1已部署為例

(11) ifxr,h-1=True， then

選擇滿足qr,h功能需求、 物理資源需求， 滿足link(qr,h,qr,h+1)和link(qr,h-1,qr,h)兩段鏈路帶寬需求且兩段鏈路網(wǎng)絡(luò)成本之和最小的物理節(jié)點(diǎn)部署qr,h

(12) else

選擇滿足qr,h功能需求、 物理資源需求、link(qr,h,qr,h+1)帶寬需求且與qr,h+1之間hop數(shù)最小的節(jié)點(diǎn)集合

(14) if size(Candi(qr,h))==1, then

選擇Candi(qr,h)中的唯一節(jié)點(diǎn)， 部署qr,h， update PATH;；

(15) else

考慮qr,h的相鄰未部署請求qr,h-1， 為qr,h選擇部署節(jié)點(diǎn)， update PATH

(16) end if

(17) end if

(18) ify(qr,h-1,qr,h)==1 then

返回步驟(8)優(yōu)先部署link(qr,h-1,qr,h)

(19) end if

(20) end for

對于同時(shí)到達(dá)的服務(wù)鏈請求序列，根據(jù)式(10)對每條服務(wù)鏈綜合需求進(jìn)行計(jì)算，并根據(jù)需求大小決定服務(wù)鏈處理順序，優(yōu)先映射需求較大的服務(wù)鏈，以滿足更多的服務(wù)鏈需求，如步驟(1)～步驟(2)。

對于任意一條服務(wù)鏈，入口節(jié)點(diǎn)和出口節(jié)點(diǎn)已確定，即qr,0和qr,H+1已確定。在服務(wù)鏈部署過程中，遍歷服務(wù)鏈中所有安全功能需求，優(yōu)先部署只存在唯一部署方案的服務(wù)鏈功能請求，如步驟(4)～步驟(5)。如圖6中對于服務(wù)鏈Q(jìng)2中的安全功能需求q2,2=f5， 在圖5所示的物理拓?fù)渲兄淮嬖诠?jié)點(diǎn)v15可提供該功能，即該功能需求能且僅能部署在節(jié)點(diǎn)v15上，則將功能需求q2,2部署在節(jié)點(diǎn)v15上(即N(q2,2)=v15)。

對于每條服務(wù)鏈，對通信鏈路按照帶寬需求排序，并依據(jù)此順序依次部署鏈路。如果鏈路link(qr,h,qr,h+1) 的兩端的功能需求qr,h和qr,h+1均未部署，則標(biāo)記鏈路link(qr,h,qr,h+1) 為待定狀態(tài)，即y(qr,h,qr,h+1)， 并部署下一條流量；如果鏈路link(qr,h,qr,h+1) 的一個(gè)端點(diǎn)已經(jīng)成功部署，則對鏈路link(qr,h,qr,h+1) 進(jìn)行部署。

如果鏈路link(qr,h,qr,h+1) 的兩個(gè)端點(diǎn)均已部署，選擇滿足鏈路帶寬需求且hop數(shù)最小的路徑路由，即步驟(9)；如果鏈路link(qr,h,qr,h+1) 的一個(gè)端點(diǎn)已經(jīng)成功部署，則選擇鏈路link(qr,h,qr,h+1) 中尚未部署的另一個(gè)端點(diǎn)(以qr,h為例，則qr,h+1表示已成功部署的端點(diǎn))。如果端點(diǎn)qr,h的前一個(gè)和后一個(gè)安全功能均已部署，則根據(jù)端點(diǎn)qr,h的前一個(gè)安全功能需求qr,h-1和后一個(gè)安全功能需求qr,h+1， 在Gs可提供qr,h功能且滿足計(jì)算資源和存儲資源的候選節(jié)點(diǎn)中，選擇滿足link(qr,h,qr,h+1) 和link(qr,h-1,qr,h) 兩段鏈路帶寬需求且兩段鏈路網(wǎng)絡(luò)成本最小的安全功能物理節(jié)點(diǎn)作為qr,h的部署節(jié)點(diǎn)，即步驟(11)；如果qr,h的前一個(gè)或后一個(gè)安全功能未部署，則采用K最短路徑算法在可提供qr,h功能且滿足計(jì)算資源和存儲資源的所有候選物理節(jié)點(diǎn)中選擇滿足link(qr,h,qr,h+1) 帶寬需求的節(jié)點(diǎn)和鏈路進(jìn)行分配(步驟(13))；如果存在多個(gè)候選節(jié)點(diǎn)，則綜合考慮qr,h的前一個(gè)或后一個(gè)尚未部署的安全功能需求，盡量將兩個(gè)連續(xù)的安全功能需求部署在同一個(gè)物理節(jié)點(diǎn)上(步驟(15))，并判斷Qr中經(jīng)過功能qr,h的另一條鏈路link(qr,h-1,qr,h) 是否處于待定狀態(tài)。如果鏈路link(qr,h-1,qr,h) 處于待定狀態(tài)，則使用相同的方法對鏈路link(qr,h-1,qr,h) 及其端點(diǎn)進(jìn)行部署，并繼續(xù)判斷經(jīng)過功能qr,h-1的未分配鏈路是否處于待定狀態(tài)，即步驟(18))。如果鏈路link(qr,h-1,qr,h) 不是待定狀態(tài)，則根據(jù)帶寬需求排序得到的順序部署下一條鏈路，直至服務(wù)鏈Q(jìng)r中的所有功能需求和鏈路需求均部署完成。如果在部署過程中，Gs無法提供服務(wù)鏈需要的安全功能或無法滿足服務(wù)鏈的資源需求，則該服務(wù)鏈部署失敗。

4 算 例

本文基于圖6所示的小規(guī)模物理網(wǎng)絡(luò)拓?fù)?，分別采用PMC算法和FF算法(優(yōu)先適應(yīng)算法，F(xiàn)irst-Fit)模擬同時(shí)到達(dá)5條服務(wù)鏈請求時(shí)服務(wù)鏈部署實(shí)施的結(jié)果。FF算法的核心思想是在滿足安全功能需求、物理資源需求、網(wǎng)絡(luò)資源需求的節(jié)點(diǎn)和鏈路中選擇與遷移需求節(jié)點(diǎn)距離最短的第一個(gè)物理節(jié)點(diǎn)并部署服務(wù)鏈。兩種算法部署的模擬實(shí)驗(yàn)結(jié)果見表1。

表1 部署效果對比

從表1可看出，采用PMC算法的5條服務(wù)鏈均能成功部署，而采用FF算法只成功部署了4條服務(wù)鏈，1條服務(wù)鏈部署失敗。這是因?yàn)镻MC算法通過對服務(wù)鏈綜合需求進(jìn)行評估，優(yōu)先部署資源需求較大的服務(wù)鏈，有效避免了資源瓶頸導(dǎo)致的部署失敗。此外，在PMC算法中，由于服務(wù)鏈安全功能需求qr,h是在Gs可提供qr,h功能且滿足計(jì)算資源和存儲資源的候選節(jié)點(diǎn)中，選擇滿足link(qr,h,qr,h+1) 和link(qr,h-1,qr,h) 兩段鏈路帶寬需求且兩段鏈路網(wǎng)絡(luò)成本最小的安全功能物理節(jié)點(diǎn)作為qr,h的部署節(jié)點(diǎn)，并且當(dāng)存在多個(gè)候選節(jié)點(diǎn)時(shí)，綜合考慮qr,h的前一個(gè)或后一個(gè)安全功能需求，盡量將兩個(gè)連續(xù)的安全功能需求部署在同一個(gè)物理節(jié)點(diǎn)上，因而可有效節(jié)約部署成本。

5 結(jié)束語

SDN技術(shù)和NFV技術(shù)的興起為傳統(tǒng)安全模式提供了新的發(fā)展思路。本文首先簡要介紹了SDN和NFV的典型架構(gòu)模式，并提出基于軟件定義理念的安全服務(wù)部署問題。通過提出一種啟發(fā)式算法，優(yōu)化安全服務(wù)部署成功率，有效降低網(wǎng)絡(luò)成本，保障服務(wù)質(zhì)量。未來將面向動態(tài)化的安全服務(wù)需求，展開安全功能服務(wù)鏈遷移與重配置技術(shù)研究。