面向软件定义网络的流表优化方案

针对目前软件定义网络中细粒度的流匹配机制造成的网络流表项空间开销和查询开销爆炸式增长等问题,提出了一种全新的基于布隆过滤器(Bloom Filter)的多级流表结构。该结构为混合流表结构,采用Bloom Filter多级流表结构来存储流表项,主要着眼于提高软件定义网络(SDN)交换机流表的容量和加快流表项的匹配速度;在流表项语义层面,设计并实现了控制器与SDN交换机之间的中间适配层模块来解决语义冲突问题。基于真实流量的实验结果表明,在规则占用空间上,与传统流表相比,Bloom Filter在流表越精细的情况下优化比率越高,最高可达90.7%。随着流表项规则的增加,匹配耗时优化效率提高,匹配时间最多可减少99.4%。该问题的解决可望为SDN网络的大规模实用化部署奠定数据层面的基础。     

软件定义网络中OpenFlow流表空间优化技术研究进展

OpenFlow是软件定义网络(SDN)南向通信标准协议,SDN控制平面为北向通信提供编程接口,通过OpenFlow向数据平面下发流表表项实现路由管理、流量调度等功能.针对OpenFlow流表空间有限性和有效性问题,从硬件、软件、软硬件结合方面对当前OpenFlow流表空间优化技术进行比较分析,归纳并阐述流表存储机制改进、基于软件的流表扩容和流表超时时间管理3种优化方案,最后总结并展望流表空间优化未来的方向.     

软件定义网络流表溢出脆弱性分析及防御方法

软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。     

基于时序与集合的SDN流表更新策略

流表更新是软件定义网络中不可忽视的问题.针对SDN(软件定义网络)流表更新一致性问题提出一种基于时序与集合的流表更新方案,将交换机根据新旧路径分类,分类集合按次序分别进行更新,首先将新流表更新完毕以保证传输,最后删除旧流表.仿真实验表明,在相同网络速率下,方案保证了流表更新的一致性,更新时间较短,控制负载较低,并减小了交换机流表空间的占用.     

SDN流表更新的调度与快速响应

软件定义网络(SDN)中,流表规则匹配域之间相互重叠,使得流表更新问题变得复杂。一条更新规则往往会触发多条三态内容寻址存储器(TCAM)表项移动,导致更新时间长。另外,现有SDN交换机采用的TCAM多为单端口设计,当TCAM进行流表更新时,数据包查找会被阻塞,导致数据平面的转发性能受到影响。因此,如何实现快速更新并保障数据包查找,是提高网络性能的一个重要研究问题。该文以采用TCAM查找方案的SDN交换机为硬件基础,设计并实现了流表更新系统。多个网络应用的更新经过前端整合并同时下达时,系统对规则之间的依赖关系进行高效检测,赋予延时需求高的规则高优先级,使其能得到快速响应。该更新算法不会阻塞TCAM查找,可以实现查找和更新穿插执行。实验结果表明：通过采用不同的调度策略,系统性能在更新优先策略与查找优先策略之间取得了平衡。     

TCAM存储高效的OpenFlow多级流表映射机制

基于流表的转发机制为OpenFlow提供了灵活的可编程能力,但是随着网络功能的不断膨胀,OpenFlow交换机中的流表规模呈现出不断增长的趋势,这些流表难以在交换机有限的三态内容寻址存储器(TCAM)中进行存储,成为网络发展的一个瓶颈。为了高效地利用有限的TCAM资源进行流表存储,该文提出一种OpenFlow多级流表结构及其映射算法,将单一流表映射到多级流表中进行高效存储和查找。仿真结果表明:该文所提方法比单一流表的存储方法节省17%~95%的TCAM资源。这对OpenFlow数据平面查找结构及其扩展性设计具有重要意义。     

SDN中基于负载均衡的流表下发方法

通过比对单个域内控制信道与数据信道比例,将所须安装流表项数据以源路由下发和直接下发两种方式动态混合处理,以此来减小控制器负载以及动态调节控制平面和数据平面负载均衡度,同时减小流表下发和端到端传输的时延以及控制逻辑出现不一致的概率.仿真显示:所提方法在控制器负载消耗量、流表安装时延和数据包平均传输时延等方面优于传统的流表直接下发方法以及基于源路由的流表下发方法.     

基于控制信息集约的SDN流表更新策略

在控制器带内模式下，为减小流表更新时间，简化流表下发过程，提出了基于控制信息集约的流表更新策略。从路径创建和路径切换2种场景讨论流表更新过程，引入源路由机制和跟踪包机制，集约化流表更新报文形式，统筹规划下发方式，旨在保证流表更新的一致性的同时，降低控制器端的收发信息量和更新时间。仿真实验表明：在不同链路时延和传输速率的条件下，更新策略相较于基于分类的更新策略(C-FUS)和基于路径及反馈的更新策略(PF-FUS)，流表更新时间大大降低，更新过程不会造成较大的网络传输波动；更新策略下的控制器端收发信息量与PF-FUS相近，都远低于C-FUS。     

基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

动态的 SDN 网络流量模式增量学习算法

针对基于人工神经网络的流量统计特征学习算法在动态适应性和可扩展性等方面尚显不足.提出了一种基于增长型自组织映射(GSOM)的增量学习算法,对软件定义网络(SDN)数据平面交换机的流表统计信息进行持续学习,动态获取网络流量的GSOM神经网络模型.基于DARPA99数据集的实验结果表明:所提出的算法能够通过学习确认安全的SDN流量,获得稳定、可塑的流量模式,对异常流量也有较高的敏感度.