SDN数据中心网络基于流表项转换的流表调度优化

针对基于软件定义网络(SDN)架构的数据中心网络中,SDN交换机流表资源的有限性导致的流表溢出或控制器拥塞等问题,引入空闲流表资源代价的概念描述了网络资源的利用率,并分析了空闲流表资源量与重复下发的流表项数量之间的关系,提出了一个基于流表超时机制的流表调度策略,依据流表项生存时间和匹配计数来进行静态流表项和动态流表项之间的实时转换.在Fat-tree拓扑SDN数据中心网络仿真实验中,对该机制对流表资源优化的有效性进行了验证.     

基于时序与集合的SDN流表更新策略

流表更新是软件定义网络中不可忽视的问题.针对SDN(软件定义网络)流表更新一致性问题提出一种基于时序与集合的流表更新方案,将交换机根据新旧路径分类,分类集合按次序分别进行更新,首先将新流表更新完毕以保证传输,最后删除旧流表.仿真实验表明,在相同网络速率下,方案保证了流表更新的一致性,更新时间较短,控制负载较低,并减小了交换机流表空间的占用.     

TCAM存储高效的OpenFlow多级流表映射机制

基于流表的转发机制为OpenFlow提供了灵活的可编程能力,但是随着网络功能的不断膨胀,OpenFlow交换机中的流表规模呈现出不断增长的趋势,这些流表难以在交换机有限的三态内容寻址存储器(TCAM)中进行存储,成为网络发展的一个瓶颈。为了高效地利用有限的TCAM资源进行流表存储,该文提出一种OpenFlow多级流表结构及其映射算法,将单一流表映射到多级流表中进行高效存储和查找。仿真结果表明:该文所提方法比单一流表的存储方法节省17%~95%的TCAM资源。这对OpenFlow数据平面查找结构及其扩展性设计具有重要意义。     

面向软件定义网络的流表优化方案

针对目前软件定义网络中细粒度的流匹配机制造成的网络流表项空间开销和查询开销爆炸式增长等问题,提出了一种全新的基于布隆过滤器(Bloom Filter)的多级流表结构。该结构为混合流表结构,采用Bloom Filter多级流表结构来存储流表项,主要着眼于提高软件定义网络(SDN)交换机流表的容量和加快流表项的匹配速度;在流表项语义层面,设计并实现了控制器与SDN交换机之间的中间适配层模块来解决语义冲突问题。基于真实流量的实验结果表明,在规则占用空间上,与传统流表相比,Bloom Filter在流表越精细的情况下优化比率越高,最高可达90.7%。随着流表项规则的增加,匹配耗时优化效率提高,匹配时间最多可减少99.4%。该问题的解决可望为SDN网络的大规模实用化部署奠定数据层面的基础。     

采用OpenFlow交换机的服务器负载均衡策略

云数据中心对服务器的海量并发访问十分普遍.传统网络架构难以全局控制流量转发,需要配置昂贵的负载均衡器应对这一应用场景.软件定义网络SDN(software defined network)能够通过控制器全局掌控网络状态,并以交换机作为负载均衡器,从而降低部署成本.文中提出一种采用OpenFlow交换机的服务器负载均衡策略,通过多地址定向流表对服务请求进行分区映射,以活动连接数作为负载评估参数,通过蚁群算法求解最佳负载重定向方案.在负载迁移时,采用单地址定向流表来保证不同阶段流量的有序转发.实验结果显示,该策略能有效控制流表规模,并较传统均衡策略具有更优的性能.     

基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

软件定义网络流表溢出脆弱性分析及防御方法

软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。     

软件定义网络中的快速移动性管理

软件定义网络(SDN)是未来互联网研究领域中的重要课题。该文首先测量和分析SDN中现有的移动性管理方案所面临的问题,包括用户移动过程中数据包时延大和网络控制开销大等;并以减少时延和降低控制开销为目标,设计一种快速移动性管理方案,该方案采用隧道和流表转发相结合的方式来实现移动性管理,减少数据平面与控制平面的交互。模拟实验表明:与SDN中现有的移动性管理方案相比,快速移动性管理方案使得终端移动过程中的数据包往返时延减少了10倍左右,SDN为移动用户而产生的控制开销降低了一半以上。     

SDN中基于负载均衡的流表下发方法

通过比对单个域内控制信道与数据信道比例,将所须安装流表项数据以源路由下发和直接下发两种方式动态混合处理,以此来减小控制器负载以及动态调节控制平面和数据平面负载均衡度,同时减小流表下发和端到端传输的时延以及控制逻辑出现不一致的概率.仿真显示:所提方法在控制器负载消耗量、流表安装时延和数据包平均传输时延等方面优于传统的流表直接下发方法以及基于源路由的流表下发方法.     

SDN流表更新的调度与快速响应

软件定义网络(SDN)中,流表规则匹配域之间相互重叠,使得流表更新问题变得复杂。一条更新规则往往会触发多条三态内容寻址存储器(TCAM)表项移动,导致更新时间长。另外,现有SDN交换机采用的TCAM多为单端口设计,当TCAM进行流表更新时,数据包查找会被阻塞,导致数据平面的转发性能受到影响。因此,如何实现快速更新并保障数据包查找,是提高网络性能的一个重要研究问题。该文以采用TCAM查找方案的SDN交换机为硬件基础,设计并实现了流表更新系统。多个网络应用的更新经过前端整合并同时下达时,系统对规则之间的依赖关系进行高效检测,赋予延时需求高的规则高优先级,使其能得到快速响应。该更新算法不会阻塞TCAM查找,可以实现查找和更新穿插执行。实验结果表明：通过采用不同的调度策略,系统性能在更新优先策略与查找优先策略之间取得了平衡。