SDN網(wǎng)絡(luò)訪問策略沖突的檢測和解決方法.pdf

1、SDN是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù)，最大的特點(diǎn)是具有松耦合控制平面與數(shù)據(jù)平面，使轉(zhuǎn)發(fā)平面和控制平面進(jìn)行分離。由于OpenFlow無狀態(tài)性，可以對數(shù)據(jù)包進(jìn)行自由修改，因此會導(dǎo)致與已知設(shè)定的防火墻策略發(fā)生沖突，使得數(shù)據(jù)流可以繞過既定的策略，會使得網(wǎng)絡(luò)安全性能降低，容易受到外部攻擊。本文針對這一問題本提出了利用流表的轉(zhuǎn)發(fā)規(guī)則和流表的特性同時(shí)借助MPLS思想，制定以雙標(biāo)記的方式解決沖突發(fā)生。
　　本文對OpenFlow協(xié)議中流表進(jìn)

2、行深入研究，了解流表的構(gòu)造以及轉(zhuǎn)發(fā)策略和規(guī)則。在出現(xiàn)策略沖突時(shí)，運(yùn)用頭部空間解析算法進(jìn)行策略沖突的檢測，通過頭部空間解析計(jì)算出流表項(xiàng)中每條路徑整合的起始和結(jié)束IP地址，并且與網(wǎng)絡(luò)中已經(jīng)設(shè)定存在的策略進(jìn)行對比，判斷出是否出現(xiàn)沖突策略，并由控制器下放流表對數(shù)據(jù)包進(jìn)行追蹤雙標(biāo)記，即對出現(xiàn)敏感源IP地址的數(shù)據(jù)包進(jìn)行標(biāo)記，同時(shí)追蹤出現(xiàn)敏感目的IP地址的數(shù)據(jù)包進(jìn)行標(biāo)記。如果同時(shí)出現(xiàn)雙標(biāo)記，則把數(shù)據(jù)包進(jìn)行統(tǒng)一處理。最后將防火墻的安全策略進(jìn)行部署下移，

3、使用訪問控制列表進(jìn)行優(yōu)化設(shè)置，避免了數(shù)據(jù)流與控制器交互，減輕控制器負(fù)擔(dān)，在特定環(huán)境下，優(yōu)化了網(wǎng)絡(luò)設(shè)置并且提升控制器使用效率?；谠趹?yīng)用層開發(fā)，定義了4個(gè)模塊實(shí)現(xiàn)策略沖突發(fā)現(xiàn)和解決方案。各個(gè)模塊分別為:拓?fù)浣⒛K，沖突檢測與發(fā)現(xiàn)模塊，觸發(fā)機(jī)制模塊，以及流表下發(fā)模塊。并且用仿真工具M(jìn)ininet和Floodlight控制器進(jìn)行試驗(yàn)測試，通過對簡單網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)進(jìn)行對比，檢測是否可以有效的阻止策略沖突的發(fā)生并且通過控制器CPU的使用率來直觀