SDN網(wǎng)絡(luò)訪問策略沖突的檢測和解決方法.pdf

1、SDN是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)，最大的特點是具有松耦合控制平面與數(shù)據(jù)平面，使轉(zhuǎn)發(fā)平面和控制平面進行分離。由于OpenFlow無狀態(tài)性，可以對數(shù)據(jù)包進行自由修改，因此會導(dǎo)致與已知設(shè)定的防火墻策略發(fā)生沖突，使得數(shù)據(jù)流可以繞過既定的策略，會使得網(wǎng)絡(luò)安全性能降低，容易受到外部攻擊。本文針對這一問題本提出了利用流表的轉(zhuǎn)發(fā)規(guī)則和流表的特性同時借助MPLS思想，制定以雙標(biāo)記的方式解決沖突發(fā)生。
　　本文對OpenFlow協(xié)議中流表進

2、行深入研究，了解流表的構(gòu)造以及轉(zhuǎn)發(fā)策略和規(guī)則。在出現(xiàn)策略沖突時，運用頭部空間解析算法進行策略沖突的檢測，通過頭部空間解析計算出流表項中每條路徑整合的起始和結(jié)束IP地址，并且與網(wǎng)絡(luò)中已經(jīng)設(shè)定存在的策略進行對比，判斷出是否出現(xiàn)沖突策略，并由控制器下放流表對數(shù)據(jù)包進行追蹤雙標(biāo)記，即對出現(xiàn)敏感源IP地址的數(shù)據(jù)包進行標(biāo)記，同時追蹤出現(xiàn)敏感目的IP地址的數(shù)據(jù)包進行標(biāo)記。如果同時出現(xiàn)雙標(biāo)記，則把數(shù)據(jù)包進行統(tǒng)一處理。最后將防火墻的安全策略進行部署下移，

3、使用訪問控制列表進行優(yōu)化設(shè)置，避免了數(shù)據(jù)流與控制器交互，減輕控制器負擔(dān)，在特定環(huán)境下，優(yōu)化了網(wǎng)絡(luò)設(shè)置并且提升控制器使用效率。基于在應(yīng)用層開發(fā)，定義了4個模塊實現(xiàn)策略沖突發(fā)現(xiàn)和解決方案。各個模塊分別為:拓撲建立模塊，沖突檢測與發(fā)現(xiàn)模塊，觸發(fā)機制模塊，以及流表下發(fā)模塊。并且用仿真工具Mininet和Floodlight控制器進行試驗測試，通過對簡單網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)進行對比，檢測是否可以有效的阻止策略沖突的發(fā)生并且通過控制器CPU的使用率來直觀