校园级SDN

校园级SDN（精选4篇）

校园级SDN 篇1

作为推动网络通信技术发展的关键,网络创新试验平台不仅能够对网络通讯的创新进行有效验证,而且还能够对创新后的网络通信技术或产品等进行评价和推广。因此,加强对SDN创新试验平台的研究和应用力度,确保网络核心设备性能,进而提高网络管控能力和网络安全已成为网络通信领域需要共同面对和解决的问题。

1 SDN的工作原理与应用方向

SDN即软件定义网络,是网络体系架构的主要发展趋势之一,其将控制平面集中到一个远端逻辑控制器处,从而将网络数据与平面数据进行分离,在提高网络控制平面的灵活性与可扩展性的同时,为验证互联网构架协议提供了稳定且可靠的虚拟试验平台[1]。

现阶段,SDN的应用方向主要由2 方面,首先,SDN集中控制模型能够对网络架构进行有效管理;同时,提高网络灵活性,故而被应用到具有特殊需求的网络环境中。例如,SDN在网络服务商和数据中心的互联网结构中的应用。其次,通过软件定义,SDN对流表进行动态修改,从而为网络虚拟化提供具有较高操作性的平台。例如,Fire中的Ofelia项目便是借助SDN技术对网络创新试验平台进行构建的。

2 SDN创新试验平台建设

2.1 网络拓扑设计

图1 给出了校园级网络试验创新平台的网络拓扑结构。由图1 可知,校园级网络创新试验平台是以SDN的关键技术Open Flow为基础的。SDN试验平台结构为分域结构,通过在每个区域部署一个控制器,使其共同构成基础控制平面,为用户提供更为稳定的传统网络服务。在校园级SDN网络创新试验平台的拓扑结构中,网络汇聚节点应设置在校内科研的楼科技展厅处,以便后续对网络结构的调整和优化。此外,在接入实验室部署节点时,设计者可根据其自身的业务需求对专用的设备或其他网络设施进行严格部署,通常情况下,为了确保校园网的各项正常业务不受影响,SDN试验平台应同校园网进行隔离,其面向对象也大都以全校学术团队的创新和测试服务为主,通过进行理论验证以及技术创新,逐步将新业务引入至网络结构中,以不同实验的需求为依据,为其提供定制化的网络服务。

2.2 数据平面设计

对SDN技术进行分析可知,其主要思想大都集中在控制和转发分离方面,相较于传统网络结构,该技术下的网络交换设备并不会进行转发决策,而是单独进行数据转发,故其需要对Open Flow等控制协议予以支持,进而实现网络的人具体功能。校园级SDN网络创新试验平台的建设选取在部署方面具有较强灵活性的Open v Switch方案,通过将Open v Witch安置在多网卡服务器中,从而实现Open Flow交换机的相关功能[2]。同时,为了进一步强化试验平台设备本身的多样性,实验网还引入了商用的Open Flow设备,将其设置为网络核心节点当中,使所设计的校园级SDN网络创新试验平台具有良好的完备性。

2.3 控制平面设计

平台对可扩展控制框架进行了定义和研发,进而感知和维护全局网络视图,同时,对全网资源进行分配和调度。在控制器方面,选取稳定性和易用性较强的Floodlight作为常被控制器,为用户提供正常的网络服务。Foodlight是基于Java的开源企业级控制器,经由Aaache授权,具备较为丰富的API(预先定义函数)与实例代码,故开发者可借助其进行试验平台的二次开发,进一步确保SDN网络创新试验平台的稳定性。

3 SDN创新试验平台管理

3.1 平台接入

以学校网络基础设施的实际情况为出发点,通过将汇聚设备部署在各个实验楼中,并采用两对光纤同时将数据与控制平面接到实验网的核心设备中,为平台投入运行夯实基础。还需说明的是,为了进一步解决SDN网络中真实用户引入问题,还需在每个接入点对网络规模进行扩展。例如,接入点实验室的用户可以借助有线连接的方式将实验网接入到自身系统终端;而校园网络中的无线用户,则可经由AP(可编程)热点连接到实验网,以此来确保实验网具有较广阔的覆盖范围[3]。

3.2 虚拟化管理

为了使校园级SDN的网络虚拟隔离问题得到良好解决,可引入对网络虚拟化具有良好支持且具有较高隔离可靠性的网络虚拟化代理控制器,即CNVP控制器。对CNVP进行分析可知,其可以对SDN实验网中用户控制器彼此间的控制规则的混淆以及流表空间的冲突进行高校控制;同时,还能够对流表资源以及CPU资源与贷款等进行适当隔离,从整体上避免虚网间的相互冲突与影响。

4 网络创新实践

校园SDN创新试验平台建成后,其管理配置更加多样化,且灵活性也越来越高。目前,在校园SDN创新试验平台完成的实验很多,其中,内容中心网络,即CCN的部署试验较为著名。作为互联网创新体系构架的重要组成部分,CCN的部署是以传输内容的中心实现网络层为基础的,实验通过借助覆盖层技术,确保CCN技术在SDN创新试验网的部署和以CCN协议为基础的各类文件的传输与移动切换功能得以顺利实现,使得基于CCN部署试验创新互联网体系架构的可行性得到了进一步验证。

5 结论

本文通过对SDN技术的工作原理和应用的主要方向进行分析,进而从网络拓扑结构、数据平面和控制平面3 方面对展开对校园级SDN创新试验平台建设的分析,在此基础上,对SDN创新试验平台的接入和虚拟化管理做出了进一步研究,并给出了基于CCN部署的平台创新实践。研究表明,加强对校园级SDN网络创新平台的研发与应用力度,对于提高校园内网络虚拟切片化能力、网络规模以及网络管控能力等具有重要的现实意义。

校园级SDN 篇2

1 WLAN无线校园网络方案需求

在进行网络设计时要充分考虑各种影响因素,达到网络需要的性能和要求,如网络系统的规模,网络应达到的性能,网络所需的带宽,网络能达到的速率,网络能处理的最大流量等[2]。根据校园网络现状总结出了如下需求:

1.1 新建有线无线网络需求

新建网络需要承载视频组播、Voip、学生和教职工有线无线接入上网等业务,满足未来五年内最多5000 用户终端同时在线,每人平均至少保障2M业务带宽的需求,同时需要适应未来先进科研业务带来的数据量持续增长的需要。

1.2 无线信号全面覆盖需求

需要覆盖先进园区各楼宇内科室、实验室、办公室等各个区域,并且无线用户在校园内可以漫游。

1.3 统一认证与策略管控需求

学校里会有各院系学生、教职工、访客多种角色的用户,有线无线多种接入方式,自带便携和智能终端等多种接入设备,这些都需要实现统一认证和权限控制。具体权限控制需求有:

一个用户的多个终端可同时在线;

用户所属不同部门需要根据策略隔离及互访;

用户通过有线接入或者无线接入时,在不同的位置接入,获取的网络访问权限需要相同;

访客仅允许访问互联网,认证方式要简单;

针对内网用户和访客的上网行为进行审计。

1.4 管理需求

整网高可靠,有线无线网络能统一管理,运维尽量简单,网络中策略控制的设备要尽量集中,避免分散带来不易管理的问题

2 网络解决方案

校园网络的架设以现有有线网络为基础,不会破坏现有网络的物理结构,通过精巧的设计使得整个布线过程符合当前学校网络设计的要求,把有线网络作为无线网络布设的参照点,在安装设施上面增加无线网络的布设点[3]。围绕网络需求,制定如下网络方案。采用了先进的有线无线一体化接入方案,在核心层保持不变的情况下,汇聚层采用全万兆绿色园区交换机S6700,接入层采用5700 系列千兆交换机以及AP6010 室内布放型交换机,实现千兆桌面。业务通过核心层与园区核心网设备互联。如图1所示:

2.1 万兆校园

千兆接入,万兆汇聚、核心,适应未来网络扩容需求;采用大二层网络架构,网络结构清晰、管理运维方便;且兼容性强,对核心层以及校本部无冲击,不影响原有业务的在线。

2.2 无缝校园

采用6010/7110高性能室内布放型AP,领先的芯片技术提升性能20%以上,单AP可接入40人左右正常上网,适配校园高密无线接入的需求;并统一采用本地转发模式,用户数据经接入交换机直接转发。支持50ms快速切换,真正实现移动中的无缝校园。

2.3 统一安全控制

只有从加密技术和密钥管理技术两方面来提供保障,才能真正地保证WLAN的安全[4]。可通过安全策略中心的部署实现访客、教职工、学生通过有线、无线接入时的统一认证、接入情景感知和网络访问控制,从而实现内网不同院系用户流量隔离,相同用户不同方式接入时权限相同,访客仅能访问外网等网络访问控制策略。同时为访客接入提供账号自注册和管理流程,配合流控与上网行为管理设备,可实现基于用户的一体化网络行为管理和行为审计,协助用户实现符合业务需要的精细化网络管理和控制、行为审计。

2.4 统一管理

预留了网管平台北向接口,可充分与网管平台兼容,可集中提供网络资源和性能管理、链路质量管理、WLAN管理等功能,融合管理有线、无线网络,通过有线无线一体化拓扑等可视化的设计直观看到网络上设备的情况,对于无线设备,还能做到射频可视、终端定位、干扰源识别和定位。

3 总结

将有线和无线网络相结合,清除网络覆盖的“盲点”,使得网络结构更合理,应用更丰富、网络生活更多彩[5]。此方案实现了千兆无线接入、万兆汇聚的大带宽网络;有线和无线统一化,在整个校园中具有网络权限的用户可以在任何一个地点,实现一致性的网络访问,无论是使用PC还是其他智能终端,都可以使用统一的账号认证登陆,并且在无线AC覆盖范围内,实现园区内的无缝漫游。网络层的认证设备与安全设备账号信息互通,从而实现极为简便的精细化全网管理。

摘要：随着信息化建设的深入,校园的业务系统不断完善,虽然绝大多数高校的基础网络已基本完成,部分学校也部署了无线网络,但是针对应用开发数量过多且至今无法实现共建共享的应用系统,产生了很多信息孤岛,迫切需要整合各方面的信息资源,推动和深化信息整合与业务改革。该文将探讨如何部署一个基于SDN思想的有线无线一体化的校园网络,实现管理的“扁平化”,真正实现校园内的无缝漫游,推动学校行政部门从“管理本位”向“服务导向”的转变。

关键词：SDN,扁平化,统一认证,权限控制

参考文献

[1]左青云,陈鸣.基于Open Flow的SDN技术研究[J].软件学报,2013(5):1078-1097.

[2]谭荣艺.高校校园无线网络的构建和应用[D].华南理工大学,2012.

[3]万琪.校园无线网络的设计与实现[D].南昌大学,2014.

[4]赵剑锋.高校无线校园网方案设计及工程实践[D].北京邮电大学,2012.

校园级SDN 篇3

用户体验是一种纯主观的、在用户使用产品过程中建立起来的感受［１］。信息时代用户体验为本,网络环境中信息用户体验是用户与网络信息服务相互作用过程中产生的一种主观复杂的情绪和心理感受,它带有一定的不确定性,同时具有个体差异性［２］。校园网络中网络资源有限, 用户量大,平均的网络资源严重不足。用户行为分散化, 不同的用户角色根据自己需要进行着差异化极大的资源索求。学校的教学网络管理职责,一方面是管理好用户的网络行为,规范用户权限;另一方面是优化用户使用体验, 充分发挥网络资源的使用价值。传统的网络设备(交换机、路由器)固件是由设备制造商锁定和控制,大家希望将网络控制与物理拓扑分离,从而摆脱硬件对网络架构的限制,这样网络管理者便可像升级、安装软件一样对网络架构进行修改,满足学校对整个网络架构调整、扩容或升级的需要。而低层的交换机、路由器等硬件则无需替换,在节省大量成本的同时,网络架构迭代周期将大大缩短。

1用户体验提升策略

1.1 SDN技术发展现状

软件定义网络(Software-defined networking,简称SDN)不是一种具体的技术,而是一种思想、一种理念, SDN的核心诉求是让软件应用参与到网络控制中并起到主导作用,为了满足这种核心诉求,SDN思想指导下的网络必须设计一个新的架构:1开放控制层北向接口的SDN,这种思路研究数据网络开放控制面与业务应用之间的北向接口,向上提供资源抽象,实现软件可编程控制的网络架构;2开放控制层南向接口的SDN,这种思路就是大家通常理解的SDN,即数据网络中控制平面与数据平面的分离,目前比较热的ONF的Openflow协议和IETF的Forces协议都是工作在这个层面的,都是定义控制平面与数据平面分离后两者之间的通信协议;3控制器/ Controller对网络的抽象层、NOS网络操作系统、屏蔽硬件,为应用开发提供开发接口。

SDN网络应具备3个最基本的特点:1架构角度:控制平面与数据平面分离,逻辑集中管理(集中控制器上); 2业务角度:通过控制器,使低层网络抽象出来的网络资源变成服务,实现了应用程序与网络设备的操作系统解耦合,应用看到的是网络服务;3运营角度:网络可以通过编程的方式来访问,从而实现应用程序直接影响网络。一些新型的接口,可以实现传统网络管理不能做到的网络优化。

1.2用户层面的个性化管理策略

传统的基于数据库的数据处理技术很难处理不同来源的互联网数据,网络管理员虽然掌握着互联网入口,但对全网数据的挖掘不够［２］。SDN技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案［３］。面向SDN演进的校园网络解决方案包含全部可编程、质量感知以及平滑演进三大架构创新,具有如下优势:核心集中管控架构,高效共享,安全隔离;有线无线一体化深度融合,精简部署;可灵活定义业务网络、业务开通零等待;开放业务接口,教育云端业务无限扩展;可自由编程校园网,个性化教学;面向未来平滑演进,让网络能够快速、灵活地为教育信息化应用服务。

网络方案致力于提升校园用户体验、优化网络管理、 助力教研创新。通过集中控制网络、解放设备运维束缚理念对应运维效率提升之需求;网络虚拟化更好地整合云业务系统理念,对应快速业务拓展之需求;通用平台虚拟化忽略设备形态差异理念,对应有线无线深度融合之需求;网络能力开放让创新应用随时加载,对应教学科研创新平台之需求［５］。上层网络开放的应用编程接口,实现基于NOS的开放化,支持NOS软件的多样化及客户可以定制的网络功能。NOS对应用接口进行封装并进而向上层应用者开放。运营商或者应用APP根据自己的需要灵活地增加、删除业务,允许用户定制、二次开发以及集成第三方业务。应用开放接口允许用户和策略管理之间灵活地协同,可以更好地满足智能管道时代用户的各种业务需求,提升用户体验。

1.2.1提升体验的基础:灵活认证、精细策略

灵活认证、精细策略如图1所示:1综合实名认证方式:PPPOE/Web/802.1x/Mac多种认证方式结合,灵活便捷;有线无线统一认证,统一策略管控,提升运营效率; IPv4/IPv6用户可单独认证,精确管理;2精确用户服务管理:基于用户的权限及深度策略控制,精确管理;智能感知业务,灵活制定业务计费策略;精细化五级H-Qos,为师生提供个性化品质保证;3全面融合协作开放:运营商协作运营,满足多方诉求;标准开放的Radius接口,适应个性化需求;大二层扁平化架构,网络更兼容开放。

以实名认证为基础,可编程面向SDN演进的网络系统在认证成功后,由系统下发属性,调用定义的访问策略, 根据用户身份、用户终端类型、上线时段、接入位置等多维度信息,进行精确的权限管理和控制,包括施行不同的访问权限、Qos优先级、业务带宽、选择策略等,充分保障个性化的业务体验。

1.2.2体验为中心:情感感知的集中式策略

如图2所示,利用可编程面向SDN演进的网络系统, 对校园网进行统一管理,用户的体验和管理与接入层设备解除关联,用户的体验全在中心进行统一管控,用户可在任何地点、任何时间、任何终端实现统一的使用体验。

校内用户设定账户资源后,无论是使用有线还是无线,在宿舍或是在教室、图书馆,使用VPN拨入内网,相关的网络资源和权限是一致的,这样就去除了网络的位置限制,建立了随时随地的校园网络体验。为了让技术的研究演进和现实的业务稳定两方面兼容,支持在同一张物理网通过SDN软件定义成多个业务系统,通过一网双平面技术实现传统网络与SDN共存,通过扁平化架构实现业务快速部署、网络高效共享和安全隔离。网络中的SDN技术紧紧围绕着业务需求进行创新,针对高校多业务而定制,更好地支持教学科研工作。

2结语

在用户分类的基础上,对不同顾客群的使用行为进行了探讨,结果表明不同类别的用户在网络使用行为上存在差异,尤其是智力导向型网络用户,感知易用性对他们的网络使用行为存在显著的负向影响［６］。可编程面向SDN演进的校园网络,让网络实时感知用户体验和业务质量, 当用户体验降低时,网络需要自动发现问题并提供精确的定位信息,而不是无连接状态下完全无法获取用户感受。 解决方案将关注点转移到如何提供卓越的用户体验和快速引入业务创新,尽量屏蔽技术和设备细节,这里已不是以技术、设备和网络连通作为核心的传统网络;方案的设计更加关注整个校园网的整体功能,提供整体的服务和整体的体验,而不是以单台设备为中心,各自为政的传统方式。

摘要：随着信息社会的发展,网络应用越来越广泛,如电子邮件、MSN、网络社交、网络游戏等等,网络改变着人们的生活。在高校校园网中,应用层次不仅涵盖了上诉提到的方方面面,更要服务于教学,包括远程教育、教学资源共享、精品课程建设、教学视频共享等,这对校园网性能提出了更高的要求。以可编程面向SDN演进网络为基础,重点研究了校园网络用户体验提升策略。

校园级SDN 篇4

传统校园网络物理架构一般为三层网络,即核心层、汇聚层和接入层。核心层与汇聚层采用静态路由、OSFP等路由协议,核心层负责边界路由,并在主干链路接入计费与访问安全控制等各类设备,汇聚层承载L3转发,接入上行通过生成树协议收敛。三层架构一旦建成很难做结构调整,较难动态设置网络服务,运维复杂且利用效率低,不适应虚拟化要求,进化能力薄弱。近些年逐渐流行扁平化大二层架构,但与三层架构类似的,大二层网络也较难实现网络服务的动态调整。究其缘由,大多数校园服务(如:防火墙、DDOS攻击检测、网络数据分析等)都是基于特定的硬件设备来进行实现的,通过特定的物理连线,顺次绑定到网络的物理结构中。这种设备自身封闭,协议不公开,管理员很难对网络实施灵活调整。

一般网络中有多种服务,为了灵活提供系列服务,可以有机地对这些服务进行组织和协调形成逻辑服务整体,构成所谓的组合服务。

当前组合服务主要有以下两种实现方式:

(1)串联方式:将提供服务的硬件节点按照一定的顺序,串接在一起,对外提供服务。

(2)旁路方式:将提供相关服务的硬件节点以旁路的形式并联到物理网络中,形成并行的服务提供模式。

在对串联或者是旁路方式进行调整时常需解决以下问题:

(1)向网络中添加一个新的服务节点,需考虑节点在网络中的部署位置,并实际变动上下游拓扑的物理连接。

(2)从已有的服务组合中删除掉一个服务节点时:

对于串行服务方式,如果不变动底层网络的物理连接方式,就需要在删除的节点上进行服务的重配置,简单转发流经的数据包,或修改需要删除节点的前驱服务节点。串行服务模式中的业务之间依赖性很强,当某个服务发生故障,会因单点故障造成整个链式服务的崩溃。

对于旁路服务提供方式,如果不变动网络的物理连接方式,可重配置需要被删除的节点或直接断开该节点。旁路方式虽然降低了服务之间的依赖性,避免了单点故障,但却增加了网络中数据包的数量,对网络中资源的要求比较高。

基于以上分析,两种服务提供模式都是通过静态物理连接实现的,不能满足管理员对网络用户的个性化服务动态定制需求。因此本文提出了基于SDN的校园网动态服务链的设计与实现,主要贡献如下:

(1)在不改变网络底层物理连接方式和现有服务配置前提下,动态增删新的服务,促进网络架构进化。

(2)动态编排网络中的软服务和硬服务,充分利用网络的虚拟化特性。

(3)基于用户的配置生成策略,增强网络的可管理性和安全性。

1 相关工作

文献[1]对每个数据包的包头进行二次封装构成新的数据包头,这需要所有服务节点或者网络转发硬件设备的支持,只有如此才能实现数据包在各个不同的网络节点之间的通信。文献[[2]]提出了一种新的上层概念和架构,利用SDN将网络中的服务整合到服务链中,但该文没有关注网络管理员对服务的个性化定制需求。文献[3]提供了具有的服务功能的部署相关联的问题的概述,“服务功能链”是用来描述定义以及这些服务功能的实例的有序列表的实例。文献[4]提出St EERING,这是一个动态可扩展的框架,管理网络中通过多个辅助设备的流量。采用基于策略的路由方法,在SDN的顶部,St EERING能够支持有效转发和大规模的应用的扩展。文献[5]中,提出了一个面向服务的SDN控制器,允许对数据传输路径的可编程性提供通过动态建立虚拟中间件功能的序列,从而完成在NGSON中适应网络服务链的部署。文献[6,7]中提出了一个高层次的概念和体系结构,将使服务链和SDN结合在一起,并对SDN网络中服务链的动态性和虚拟化进行了分析。

2 基于SDN的动态服务链设计

为保证快速实施,本文最大限度地采用原来的校园网物理结构,将所有的校园网服务连接到核心层。由此减少业务节点之间数据流动的时延,提升整个网络的服务效率,便于管理员对服务的集中管理。

2.1 网络服务架构

鉴于三层网络架构的主流特性,本文基于该架构提出了一种基于SDN的校园网动态服务链的设计。在保持物理架构不变的基础上对整体服务架构上进行变革,用以服务为核心的网络架构代替以连通为目的的网络架构。将网络中的服务以动态服务链的形式对外提供服务,校园网新型服务架构如图1所示。

在网络架构中增加了控制层,所有交换机由控制器进行集中控制,网络中的数据流转发依靠控制器下发到交换机中的规则。网络管理员以动态服务链的形式为网络用户提供组合服务。网络控制器根据用户向管理员申请的服务来完成初期策略的定制。当策略完成之后,控制器中的网络动态优化模块会自动的根据网络中数据流的状况来进行网络性能的优化。当网络中的服务发生迁移时,控制器可以根据对网络中流的学习完成旧规则的回收和新规则的下发。

2.2 动态服务链展示与SDN简介

SDN通过控制与转发相分离、逻辑集中化控制、可编程以及网络拓扑可视化等特性大大降低了网络管理的复杂性;同时SDN网络利用对数据包的修改和对数据流的导向作用,使管理员可以在更精细的层面上对网络中的信息进行管理。SDN的这种特性可以很好地满足用户的自定义需求,结合动态服务链的思想,管理员可以灵活地为网络中不同服务定制不同的策略,使得网络中的服务虽然在物理上分散,但是在逻辑上却是按照一定的规则集中在了一起,并最终以组合服务的形式来满足用户的需求。图2以DNS相关常见服务示例了动态服务链逻辑结构。

在图2中,假设用户请求的是DNS域名解析服务,为了用户能够快速、安全地得到DNS响应,在DNS之前放置了负载均衡、DDo S检测、DNS防篡改、恶意网站检测、路径动态优化等服务。

图2中的虚线和实线分别代表了两个互不相同的服务链。虚线服务链中包含了路径动态优化服务[8]、恶意网站检测服务[9]、DNS防篡改服务、负载均衡[10]、DNS域名解析服务。实线服务链包括恶意网站检测、DDo S攻击检测服务[11]、负载均衡[12]、DNS域名解析服务。两条不同的服务链有着共同的交集:恶意网站检测、负载均衡、DNS域名解析。其中虚线代表的服务链中包含了软件与硬件服务的协调。实线代表的服务链和虚线代表的服务链既有物理上的共用,又有逻辑上的隔离,充分体现了动态服务链中网络管理员可以为网络用户动态的制定服务策略。

2.3 服务链分析

服务链是将网络中的各种服务在逻辑上按照一定的规则组合在一起的一组服务。服务链中的各种服务在逻辑上存在一定的先后顺序,下面给出更为形式化的服务链描述,服务链Service Chain={service1,service2,…,service N}是一个集合。其中的各个服务间可能有偏序关系,即当且仅当网络中的数据流成功地经过Service I时,数据流才能到达Service I+1,1≤I<N假设service I是网络中的一个服务节点;当构建服务链时,当且仅当Service I满足服务链的偏序规则(假如有)时service I才能加入到Service Chain。

服务链的工作步骤如下:

(1)启动各个服务节点,并根据各个节点的不同配置与网络中的信息库进行同步。

(2)网络管理员通过管理界面为网络用户所请求的服务配置防护或负载均衡服务,内部通过调用控制器API接口将配置参数传递到控制器。

(3)控制器接收到配置参数之后,将用户的服务请求组合存储到本地数据库中,同时在服务链池中动态的创建一条新的服务链,并将用户所需要的服务节点添加到服务链中。

(4)利用控制器内的全局网络拓扑将规则缓存到控制器中。

(5)控制器首先同步内存中的服务链和本地数据库中存储的服务链的信息,并完成控制器中规则的初始化。

(6)当数据流首次到达控制器的时,控制器将与流内容相匹配的规则下发到交换机上,引导网络中数据流的流向。

(7)数据流在到达各自相关的服务节点之后分别进行检测。如果发现危险则服务节点向控制器报告并向用户发送危险提示,同时控制器向用户直接相连的交换机下发规则,丢弃该数据包,保证用户访问网络的安全性。

下面对服务链工作机制作特别说明:

网络中的数据流经过服务链中的各个服务节点和控制器向核心交换机下发规则的过程如图3所示。

Controller首先完成服务链池的初始化,在内存中创建Service Pool(服务链池)。之后管理员为用户指定的服务定制安全和负载均衡策略,定制成功之后控制器在内存中创建Service Chain(服务链),并将策略对应的Service Node(服务节点)和用户指定的服务添加到服务链中,然后将Service Chain放到服务链池Service Pool中。图3中展现了网络中服务链实现后,数据流在网络中的流动方向。过程如下:

用户数据流到达核心交换机Core Switch;核心交换机根据流信息在交换机中查找规则,如果发现不存在相关的规则,则将数据包以Packet In消息的形式发送给控制器Controller,控制器进行规则的查找并将相关的规则下发到特定的交换机上;数据流根据指定的规则依次走完服务链上的所有服务节点。

当向网络中添加或删除服务时,只要将新的服务节点连接到核心交换机或者是将要删除的服务节点与交换机断开即可,剩余的工作控制器会通过链路发现协议来自动的完成。网络运行过程中,控制器会读取交换机中的统计信息,并利用统计信息对网络进行动态优化。最后,管理员可以通过管理界面动态调整已有的服务链,对服务链上的软硬服务进行编排。

3 实验

本文通过原型实现来验证基于SDN的动态服务链的网络服务架构功能性需求,实现模型(见图1)包括拓扑管理、服务链管理、数据持久化存储管理、服务节点管理、控制器规则生成管理等模块。同时进行了控制器中内存信息和本地数据库中信息一致性的检测。

本实验以mininet模拟器为基础,创建了6个服务哑元进行实验验证,分别是恶意网站检测、DDo S攻击、DNS防篡改、数据流的动态路径优化、DNS域名解析、以及负载均衡。根据各个服务的特点,实验中将数据流的路径动态优化服务放在控制器中来运行,恶意网站检测、DDo S攻击、DNS防篡改、DNS域名解析以及负载均衡单独放在不同的服务节点上。由于仅关注动态服务链功能验证,因此简化后的实验网络架构如图4所示。

图4中包括了控制器层、核心交换层、用户和服务层。其中核心交换层包括4个交换机,采用全互连的形式。用户和服务层包括多个网络用户和服务,不同用户的需求构成不同的服务链。

在实验中,所有的用户均以请求数据中心内的DNS域名解析服务为目的,管理员为不同用户定制不同的安全和负载均衡策略。管理员通过管理界面向管理系统中加入用户和服务。管理员根据不同用户的需求为其定制不同的服务策略。控制器根据用户的需求和网络拓扑信息完成规则的初始化,并根据需求完成网络中服务的编排。

通过实验证明,基于SDN的校园网动态服务链服务架构的设计是可行的,可以保证数据流正确的依次经过网络中的服务节点,提高了网络应对服务节点故障的能力。

4 结语

本文基于SDN校园网动态服务链的设计,很好地实现了在不改变网络物理连线的同时动态增删新的服务,可以充分利用网络的虚拟化特性,动态编排网络中的软服务和硬服务,由此简化了网络管理,提升了网络的安全性。

动态服务链的设计增加了校园网提供服务的灵活性,对于网络架构进化提出了一种很好的建议,给出了一种网络服务架构模型,并基于该模型介绍了基于校园网动态服务链的设计,并以示例展示了实验原型。

未来将会完成该服务架构性能的测试,并与传统网络服务架构环境中的串行和并行的服务方式进行性能上的对比,进一步对该服务设计架构进行改进。并将与云相结合,对网络功能进一步扩充。

参考文献

[1]Quinn P,Guichard J,Fernando R,et al.Network service header[J].Internet-Droft,2015:1-38.

[2]Blendin J,Rückert J,Leymann N,et al.Position Paper:Software-Defined Network Service Chaining[C]//EWSDN Workshop,2014:109-114.

[3]Quinn P,Nadeau T.Problem Statement for Service Function Chaining[J].Intemet Engineering Task Force,2015:1-13.

[4]Zhang Y,Beheshti N,Beliveau L,et al.Steering:A software-defined networking for inline service chaining[C]//Network Protocols(IC-NP),2013 21st IEEE International Conference on.IEEE,2013:1-10.

[5]Martini B,Paganelli F,Mohammed A A,et al.SDN controller for context-aware data delivery in dynamic service chaining[C]//Network Softwarization(NetS oft),2015 1st IEEE Conference on.IEEE,2015:1-5.

[6]Blendin J,Ruckert J,Leymann N,et al.Position paper:Software-defined network service chaining[C]//Software Defined Networks(EWSDN),2014 Third European Workshop on.IEEE,2014:109-114.

[7]Ding W,Qi W,Wang J,et al.Open SCaaS:an open service chain as a service platform toward the integration of SDN and NFV[J].Network,IEEE,2015,29(3):30-35.

[8]陶智勇,高潮.基于Open Flow网络的流媒体传输QoS研究与设计[J].电视技术,2015,39(3):133-135.

[9]Hsiao H W,Chen D N,Wu T J.Detecting hiding malicious website using network traffic mining approach[C]//Education Technology and Computer(ICETC),2010 2nd International Conference on.IEEE,2010,5:276-280.

[10]Li J,Chang X,Ren Y,et al.An Effective Path Load Balancing Mechanism Based on SDN[C]//Trust,Security and Privacy in Computing and Communications(TrustC om),2014 IEEE 13th International Conference on.IEEE,2014:527-533.

[11]严芬,王佳佳,赵金凤,等.DDoS攻击检测综述[J].计算机应用研究,2008,25(4):966-969.