劉亮龍　方獻梅

摘要：軟件定義網(wǎng)絡作為一種新型網(wǎng)絡架構，將網(wǎng)絡設備的控制平面和數(shù)據(jù)平面分離，受到了各界的關注與支持。介紹了SDN的產(chǎn)生背景、特點及發(fā)展現(xiàn)狀，分析了SDN體系架構，探討了SDN的產(chǎn)業(yè)應用及安全問題。SDN這種創(chuàng)新的架構實現(xiàn)了網(wǎng)絡前所未有的可編程性和可控性，必將促進網(wǎng)絡技術變革和創(chuàng)新發(fā)展。

關鍵詞：軟件定義網(wǎng)絡；SDN；OpenFlow；網(wǎng)絡架構；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）13-0047-02

Abstract： As a new network architecture， in which the data plane and control plane are separated， software-defined networking has been concerned and supported by people. This paper mainly introduces the background， characteristic and current situations of SDN， analyses SDN architecture， and explores the industrial application and security of SDN. Innovation of SDN architecture achieves unprecedented programmability and controllability， and will facilitate change and development of network technology.

Key words： software-defined networking； SDN； OpenFlow； network architecture； security

1 引言

隨著云計算、物聯(lián)網(wǎng)等技術迅猛發(fā)展，大數(shù)據(jù)時代已經(jīng)到來，這使得計算機網(wǎng)絡所承載的信息量急劇膨脹。然而，傳統(tǒng)的網(wǎng)絡架構在經(jīng)歷數(shù)十年的發(fā)展后，因其由不同技術標準、不同廠商的網(wǎng)絡設備組成，使得設備之間數(shù)據(jù)交換越來越復雜，且網(wǎng)絡性能提升的空間越來越小。在大數(shù)據(jù)時代，傳統(tǒng)的網(wǎng)絡架構對處理日益龐大的數(shù)據(jù)已經(jīng)顯得力不從心，常常難以滿足當今企業(yè)、運營商以及用戶的需求。

2006年，斯坦福大學啟動了“Clean-Slate Design for the Internet”項目[1]，該項目旨在研究提出一項新的網(wǎng)絡技術，突破當前互聯(lián)網(wǎng)基礎架構的限制，以更好地支持新的技術應用和創(chuàng)新。其核心理念是使網(wǎng)絡軟件化，并充分實現(xiàn)網(wǎng)絡開放，從而使得網(wǎng)絡能夠像軟件一樣便捷、靈活，以提高網(wǎng)絡創(chuàng)新能力。

為了支持這個項目的實現(xiàn)，2008年斯坦福大學的Nick Mckeown教授提出了OpenFlow，其核心思想是將傳統(tǒng)網(wǎng)絡設備的數(shù)據(jù)平面和控制平面分離，通過集中控制器以標準化接口對各種網(wǎng)絡設備進行分配和管理[2]。后經(jīng)由斯坦福Clean Slate項目推廣，以及GENI（Global Environment for Network Innovations）項目中的應用，這個概念被逐漸擴展并成為了SDN（軟件定義網(wǎng)絡）。

2 SDN體系架構

SDN通過將控制平面和數(shù)據(jù)平面分離，以達到控制平面可編程和數(shù)據(jù)平面抽象化的目的。SDN的參考體系架構如圖1所示[3]。

2.1 可編程控制平面

控制平面可以直接進行集中化編程，具有3個開放的接口：控制平面的南向接口，北向接口和東西向接口[4]。

（1）南向接口：位于可編程控制平面和數(shù)據(jù)平面之間的接口。南向接口可以抽象物理網(wǎng)絡資源信息，從而形成虛擬化網(wǎng)絡，可以極大簡化網(wǎng)絡的設計和運行。

（2）北向接口：位于應用程序/服務和網(wǎng)絡基礎設施（或控制器）之間的接口。SDN控制器負責維護全局網(wǎng)絡視圖，并向上層應用提供用于實現(xiàn)網(wǎng)絡服務的可編程接口。

（3）東西向接口：控制器之間的接口，將整個網(wǎng)絡定義為一個邏輯的交換機。利用控制器提供的應用程序編程接口，網(wǎng)絡操作人員可以靈活地編寫多種網(wǎng)絡應用程序。

2.2 數(shù)據(jù)平面抽象化

數(shù)據(jù)平面抽象化要求SDN很好定義通用的數(shù)據(jù)平面模型，而不用關心某些特定硬件，具體的數(shù)據(jù)平面抽象模型包括數(shù)據(jù)包轉發(fā)抽象模型、電路交換抽象模型等。

SDN使得網(wǎng)絡關注重心從硬件轉移到軟件，在一定程度上屏蔽了硬件層面的差異性，使上層用戶不再疲于應付不同廠家的設備。同時，分離控制平面和數(shù)據(jù)平面后，廠商可以根據(jù)不同業(yè)務需求自行開發(fā)控制平面，重新洗牌傳統(tǒng)的網(wǎng)絡通信行業(yè)，也給IT企業(yè)帶來新的發(fā)展機遇。

3 SDN產(chǎn)業(yè)現(xiàn)狀及分析

3.1 SDN產(chǎn)業(yè)現(xiàn)狀

近年來，SDN不但是學術界研究熱點，也是成為產(chǎn)業(yè)界熱議的焦點，尤其是其商業(yè)前景。業(yè)界預測，從2013年到2016年，SDN產(chǎn)業(yè)將達到20億美元以上[5]。2012年，Google宣布其內(nèi)部骨干網(wǎng)已經(jīng)全部實現(xiàn)SDN全面部署，見證了SDN商業(yè)化的重要里程碑。此外，VMWare宣布以12.6億美元收購SDN服務商，正式向商業(yè)化邁入重要一步。

2012年SDN峰會上，國內(nèi)外多家芯片廠商推出了支持OpenFlow協(xié)議的新功能芯片，宣告了主流芯片廠商們已經(jīng)把OpenFlow提上產(chǎn)品日程。2013年，SDN峰會宣布設立SDN專業(yè)技術培訓板塊，得到了國際權威組織ONF的全面支持。此次峰會上國內(nèi)三大運營商中國電信、中國移動、中國聯(lián)通齊聚，共同探討SDN在運營商層面的挑戰(zhàn)和機遇。至此，SDN預示著即將帶來一個網(wǎng)絡新時代。

3.2 SDN應用分析

隨著近幾年SDN技術的發(fā)展，雖然目前SDN具體的應用尚未普及，但隨著SDN關鍵技術的不斷發(fā)展，未來一定有廣闊的應用前景。比如在諸如數(shù)據(jù)中心網(wǎng)絡、廣域網(wǎng)、以及移動網(wǎng)絡等網(wǎng)絡環(huán)境中，SDN都可有用武之地。因此，互聯(lián)網(wǎng)將可能進入SDN時代。

在數(shù)據(jù)中心網(wǎng)絡環(huán)境中，所有網(wǎng)絡資源都可通過SDN技術整合起來，進一步實現(xiàn)路徑優(yōu)化和負載均衡，從而提高資源的利用率，降低能量消耗。同時，在多個數(shù)據(jù)中心利用SDN網(wǎng)絡虛擬化技術，可以輕松實現(xiàn)虛擬專用網(wǎng)（VPN）的映射以及虛擬機的遷移。

在廣域網(wǎng)以及移動網(wǎng)中使用SDN技術，也可進一步提高網(wǎng)絡服務質量。通過SDN技術，將不同異構網(wǎng)抽象成控制平面集中控制，統(tǒng)一管理網(wǎng)絡，從而進一步融合網(wǎng)絡。利用SDN技術可以在固定網(wǎng)絡和移動網(wǎng)絡中實現(xiàn)無縫控制，提高VPN管理的靈活性等。在運營商網(wǎng)絡中利用SDN技術，不但能有效降低網(wǎng)絡管理難度，還能加快網(wǎng)絡業(yè)務部署進度，提供網(wǎng)絡服務的適應能力[6]。

4 SDN安全分析

安全性是所有信息技術必須面對的研究課題。信息安全的含義主要包括信息的完整性、可用性、保密性和可靠性。SDN作為一個新興的信息產(chǎn)業(yè)技術，安全尤為重要。

4.1 SDN安全特點

不同于傳統(tǒng)網(wǎng)絡，因其創(chuàng)新架構，SDN的安全性具有自身特點。

（1）SDN控制器的集中性帶來的安全風險。SDN的架構使得網(wǎng)絡配置、網(wǎng)絡服務訪問控制、網(wǎng)絡安全服務等都集中在控制器上，這就使控制器成了最易受攻擊的目標。攻擊者只需攻陷SDN控制器就可以影響整個網(wǎng)絡，而云平臺強大的計算能力讓這種攻擊更容易實現(xiàn)。

（2）SDN的開放性帶來的安全風險。SDN可以實現(xiàn)統(tǒng)一管理、配置異構網(wǎng)絡設備、提供可編程性，但這就需要開放各種接口。在應用層面，SDN控制器提供了大量可編程接口，而這些接口則很可能被攻擊者利用，如監(jiān)聽、截獲、DDOS攻擊等，從而使得這些接口變成安全漏洞。因此，為了防止開放性帶來的安全威脅，如何評估開放的接口將是設計SDN控制器需要考慮的重要問題。

4.2 SDN的安全現(xiàn)狀

從SDN架構來看，Hartman S等人認為SDN的安全問題需求主要集中在控制平面和應用平面之間[7]。在這兩個平面之間，現(xiàn)有的OpenFlow相關規(guī)范基本可以保證一個交換機被一個控制器控制的情況下的安全性，但無法應對一個交換機被多個控制器控制的情況。

4.2.1 控制平面的安全

集中化的控制平面承載網(wǎng)絡環(huán)境中所有的控制流，其安全性直接關系網(wǎng)絡服務的可用性、可靠性和數(shù)據(jù)安全性?？刂破矫婷媾R的主要威脅包括：

（1）網(wǎng)絡監(jiān)聽。攻擊者通過開放接口，獲取控制器的控制指令。

（2）篡改。攻擊者監(jiān)聽到控制指令后，可以篡改或偽造控制指令，比如修改IP地址進行IP欺騙。

（3）DDOS攻擊。攻擊者不斷向控制器的開放接口發(fā)送大量合法的服務請求，使得控制器因過載而不能向正常用戶提供服務。

（4）蠕蟲、病毒以及木馬攻擊。攻擊者通過控制器中存在的漏洞，獲取控制器的控制權，執(zhí)行惡意代碼。

4.2.2 應用平面的安全

應用平面提供各種網(wǎng)絡服務，主要包括以下兩種安全威脅。

（1）惡意應用：通過應用層植入蠕蟲等病毒，達到竊取網(wǎng)絡信息、更改網(wǎng)絡配置、占用網(wǎng)絡資源等目的，從而干擾控制平面正常工作的進程，影響網(wǎng)絡的可靠性和可用性。

（2）應用的安全規(guī)則沖突：為確?？刂破鹘涌诘陌踩裕瑧脤痈鶕?jù)不同的網(wǎng)絡服務制定相應的安全訪問規(guī)則，但應用越來越多時，不同應用之間的安全規(guī)則可能會產(chǎn)生沖突，這就增加了網(wǎng)絡管理的復雜度。

針對前面所述的一些SDN安全問題，學術界和產(chǎn)業(yè)界已經(jīng)提出了相應解決方案。2014年，Radware公司發(fā)布了業(yè)界第一個SDN安全應用——Defense4All。 Defense4All可以為運營商和云服務商提供DoS/DDoS攻擊檢測和防護方案。該應用通過Open Daylight SDN[8]控制器對具有SDN功能的網(wǎng)絡進行編程，使之成為DoS/DDoS攻擊防護服務的一部分，并允許運營商按照虛擬網(wǎng)段或按照用戶的形式提供DoS/DDoS攻擊防護服務。

5 未來展望

SDN控制平面與轉發(fā)平面分離的理念為未來網(wǎng)絡發(fā)展提供了全新的思路，順應了當前網(wǎng)絡的應用趨勢，具有巨大的潛力和應用市場空間，并加速了網(wǎng)絡創(chuàng)新和發(fā)展進程。

從應用角度上看，SDN很可能對整個通信產(chǎn)業(yè)產(chǎn)生巨大的沖擊和影響。對于傳統(tǒng)的通信設備制造商而言，SDN技術的出現(xiàn)改變了網(wǎng)絡產(chǎn)業(yè)軟硬件一體化的生產(chǎn)方式，轉變?yōu)榈讓痈咝阅苻D發(fā)/存儲以及上層智能靈活調度的架構。這對現(xiàn)有占據(jù)市場主要份額的公司將造成巨大沖擊。

對于網(wǎng)絡運營商而言，現(xiàn)有的網(wǎng)絡硬件的控制與轉發(fā)架構將發(fā)生改變，運營維護模式也必須做出相應的調整策略。網(wǎng)絡的核心將向網(wǎng)絡操作系統(tǒng)轉移，SDN的管理和控制也將成為運營商的一個新的探索研究方向。

作為一種新型網(wǎng)絡體系架構，隨著技術的發(fā)展和成熟，SDN很可能將使網(wǎng)絡發(fā)生革命性的變化。

參考文獻：

[1] Adrian Lara， Anisha Kolasani， Byrav Ramamurthy. Simplifying Network Management Using Software Defined Networking and OpenFlow. 2012 IEEE International Conference on ANTS[C]. USA： University of Nebraska-Lincoln， 2012.

[2] McKeown N. Software-Defined networking[EB/OL]. Proc. of the INFOCOM Key Note， 2009. http：//infocom2009.ieee-infocom.org/technicalProgram.htm.

[3] Myung-Ki Shin， Ki-Hyuk Nam， Hyoung-Jun Kim. Software-Defined Networking（SDN）：A Reference Architecture and Open APIs. ICT Convergence[C]. Korea， 2012：360-361.

[4] Open Networking Foundation. Software-Defined networking： The new norm for networks[EB/OL]. ONF White Paper， 2012.https：//www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[5] ONS. SDN： Transforming networking to accelerate business agility[EB/OL]. 2013， http：//www.opennetsummit.org/archives/mar14/site/why-sdn.html.

[6] 王茜，趙慧玲，王巖，解云鵬. SDN在通信網(wǎng)絡中的應用方案探討[J].電信網(wǎng)技術，2013（3）：26-27.

[7] Hartman S， Wasserman M， Zhang D. Security Requirements in the Software Defined Networking Model[EB/OL]. IETF Draft ， 2013， http：//tools.ietf.org/html/draft-hartman-sdnsec-requirements-00

[8] Open DayLight[EB/OL]. 2014， http：//www.opendaylight.org.