基于联合多维动态Bloom过滤器的SDN多属性查找结构研究

软件定义网络(SDN)作为一种新型的网络架构,可以为核心网络及应用的创新提供良好的平台.作为SDN实现的关键技术Openflow在实际的应用中仍然存在一些技术瓶颈.本文提出一种联合多维动态Bloom过滤器(CMDDBF)查找结构来替代Openflow交换机中的三态内容寻址存储器(TCAM)来实现流表的转发和处理.CMDDBF解决了TCAM空间利用率低和价格昂贵的缺点,能够有效实现多字段数据的查找和处理操作,并根据流表的规模动态调整内存空间.实验表明:CMDDBF不仅可以有效实现多字段数据的查找,而且在降低误识率方面具有很好的性能.     

SDN数据中心网络基于流表项转换的流表调度优化

针对基于软件定义网络(SDN)架构的数据中心网络中,SDN交换机流表资源的有限性导致的流表溢出或控制器拥塞等问题,引入空闲流表资源代价的概念描述了网络资源的利用率,并分析了空闲流表资源量与重复下发的流表项数量之间的关系,提出了一个基于流表超时机制的流表调度策略,依据流表项生存时间和匹配计数来进行静态流表项和动态流表项之间的实时转换.在Fat-tree拓扑SDN数据中心网络仿真实验中,对该机制对流表资源优化的有效性进行了验证.     

TCAM存储高效的OpenFlow多级流表映射机制

基于流表的转发机制为OpenFlow提供了灵活的可编程能力,但是随着网络功能的不断膨胀,OpenFlow交换机中的流表规模呈现出不断增长的趋势,这些流表难以在交换机有限的三态内容寻址存储器(TCAM)中进行存储,成为网络发展的一个瓶颈。为了高效地利用有限的TCAM资源进行流表存储,该文提出一种OpenFlow多级流表结构及其映射算法,将单一流表映射到多级流表中进行高效存储和查找。仿真结果表明:该文所提方法比单一流表的存储方法节省17%~95%的TCAM资源。这对OpenFlow数据平面查找结构及其扩展性设计具有重要意义。     

基于时序与集合的SDN流表更新策略

流表更新是软件定义网络中不可忽视的问题.针对SDN(软件定义网络)流表更新一致性问题提出一种基于时序与集合的流表更新方案,将交换机根据新旧路径分类,分类集合按次序分别进行更新,首先将新流表更新完毕以保证传输,最后删除旧流表.仿真实验表明,在相同网络速率下,方案保证了流表更新的一致性,更新时间较短,控制负载较低,并减小了交换机流表空间的占用.     

面向软件定义网络的流表优化方案

针对目前软件定义网络中细粒度的流匹配机制造成的网络流表项空间开销和查询开销爆炸式增长等问题,提出了一种全新的基于布隆过滤器(Bloom Filter)的多级流表结构。该结构为混合流表结构,采用Bloom Filter多级流表结构来存储流表项,主要着眼于提高软件定义网络(SDN)交换机流表的容量和加快流表项的匹配速度;在流表项语义层面,设计并实现了控制器与SDN交换机之间的中间适配层模块来解决语义冲突问题。基于真实流量的实验结果表明,在规则占用空间上,与传统流表相比,Bloom Filter在流表越精细的情况下优化比率越高,最高可达90.7%。随着流表项规则的增加,匹配耗时优化效率提高,匹配时间最多可减少99.4%。该问题的解决可望为SDN网络的大规模实用化部署奠定数据层面的基础。     

面向软件定义信息中心型网络的快速转发机制

针对软件定义信息中心型网络中数据平面面临的控制器可伸缩性、查找延迟较大等问题,提出了一种面向软件定义信息中心型网络的基于流转发的快速转发机制.该机制设计了名字映射系统来解决控制器可伸缩性问题,并基于快速转发机制建立了流表,在转发阶段可以优先在流表中进行兴趣包和数据包的查找,解决了信息中心型网络名字前缀数量庞大导致的查找延迟较大的问题.同时,该机制的统一索引结构解决了查找切换耗费较高而限制转发速度的问题.实验结果表明,相比原转发机制,快速转发机制吞吐量提升约60%,查找时间减少约51%,转发速率提升约70%,具有较好的性能.     

采用OpenFlow交换机的服务器负载均衡策略

云数据中心对服务器的海量并发访问十分普遍.传统网络架构难以全局控制流量转发,需要配置昂贵的负载均衡器应对这一应用场景.软件定义网络SDN(software defined network)能够通过控制器全局掌控网络状态,并以交换机作为负载均衡器,从而降低部署成本.文中提出一种采用OpenFlow交换机的服务器负载均衡策略,通过多地址定向流表对服务请求进行分区映射,以活动连接数作为负载评估参数,通过蚁群算法求解最佳负载重定向方案.在负载迁移时,采用单地址定向流表来保证不同阶段流量的有序转发.实验结果显示,该策略能有效控制流表规模,并较传统均衡策略具有更优的性能.     

软件定义网络流表溢出脆弱性分析及防御方法

软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。     

软件定义网络中的快速移动性管理

软件定义网络(SDN)是未来互联网研究领域中的重要课题。该文首先测量和分析SDN中现有的移动性管理方案所面临的问题,包括用户移动过程中数据包时延大和网络控制开销大等;并以减少时延和降低控制开销为目标,设计一种快速移动性管理方案,该方案采用隧道和流表转发相结合的方式来实现移动性管理,减少数据平面与控制平面的交互。模拟实验表明:与SDN中现有的移动性管理方案相比,快速移动性管理方案使得终端移动过程中的数据包往返时延减少了10倍左右,SDN为移动用户而产生的控制开销降低了一半以上。     

提高软件定义网络交换机存储能力的流表压缩算法

针对目前软件定义网络(SDN)中流表规模不断增大且存储效率较低的问题,提出了一种新的提高SDN交换机存储能力的流表压缩算法。首先对传统前缀编码算法分析,发现2的指数幂(2ⁿ)范围编码后字符串最高有效位递增,且其余低位均为通配符;其次对流表中范围字段按照2的指数幂进行分割,得到多个范围字段,利用最高位和通配符实现仅用一条表项编码2的指数幂范围字段,其他范围字段采用前缀编码;最后将编码结果存储至不同三态内容寻址存储器,进行分类存储。实验结果表明,与已有的算法相比,所提流表压缩算法在独立于流表内容的基础上具备更高的更新速度与更低的最坏情况拓展比,在防火墙类型规则集编码后平均可减少86%和83%的表项数量,且不需要占用额外比特位,从更细粒度层次实现了存储空间的优化使用,具有良好的应用前景。     

一种支持TCAM规则更新与压缩方法

提出了一种TCAM空间划分和规则压缩相结合的方法,使得OpenFlow网络在支持实时更新的同时能采用小容量的TCAM芯片来存储网络中的规则.所提方法将TCAM芯片空间划分为实时更新区和压缩存储区,实时更新区处在TCAM芯片的前部,用于存放中央控制器发送过来的实时更新规则.后台服务器以一定的时间周期将TCAM芯片中的实时更新区的规则以及压缩存储区中的规则进行压缩,并将压缩后的规则存入TCAM的压缩区,保持实时更新区具有空间接收实时更新规则.分析了区间划分的比率问题,并利用ClassBench工具产生原始规则集进行了仿真实验,实验结果验证了本文方法的有效性.     

基于控制集群的SDN流表更新机制

借助服务器集群技术构建了SDN控制集群,并在以控制集群为中心的网络拓扑基础上,设计出一种基于过渡规则集的流表更新方法。集群技术提高了控制系统的可靠性和效率,而更新机制通过逻辑验证,证实了其正确性和可行性,完全实现了更新一致性的要求。     

用于TCAM的元组快速包分类

通过引入元组概念组织分类器，对TCAM上路由查寻算法CAO—OPT进行改进，实现了多维数据包的快速分类和更新。     

基于FPGA技术的网络包头分类的研究

在基于FPGA技术的入侵检测系统的研究中,提出了一类结合三态内容可寻址内存(TCAM)和普通存储器(RAM)的网络包包头分类方案.将检测规则编号并位图化,使用RAM存储与包头结构相关的规则位图,通过TCAM上的数据匹配操作,快速关联待分析的网络数据包与入侵检测规则.在Quartus II 5.0上的仿真结果表明,时钟频率100 MHz下的片内分类速度达到1.8 Gbps.     

针对SDN基础设施的拒绝服务攻击防护框架

为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.     

一种基于SDN的自适应多路径负载均衡策略

针对传统多路径路由方法在复杂网络中的负载不均衡、吞吐量低、网络时延等问题,提出一种基于SDN的自适应多路径负载均衡策略(SDN based adaptive multipath load balancing,SDN-AMLB).利用SDN获取全局网络视图的能力,在控制层结合Adaboost算法进行自适应路由计算实现重路由,计算过程中根据网络节点负载、链路负载和数据包大小进行自适应评估并更新路径表,将评估结果引入模型更新分类器参数,通过Mininet工具进行模拟.结果表明SDNAMLB可提高全网数据传输效率和吞吐量,实现网络负载均衡,满足复杂网络环境中用户对网络传输、时延的要求.     

基于TCAM的二维前缀报文分类算法

报文分类已成为保障网络应用的服务质量及安全性的重要手段，而二维的前缀报文分类则是其中最为常用的．通过对规则冲突的分析，提出了一个基于三态内容可寻址存储器(TCAM)的二维前缀报文分类算法，该算法借助TCAM的并行查找能力，在一个指令周期内找到前缀的最长匹配，采用内存映像及相关数据结构消除了规则之间的冲突，实现了快速的二维前缀分类查找．与其他二维分类算法相比，该算法具有最小的查找时间复杂度和较小的内存空间复杂度．     

软件定义网络中OpenFlow流表空间优化技术研究进展

OpenFlow是软件定义网络(SDN)南向通信标准协议,SDN控制平面为北向通信提供编程接口,通过OpenFlow向数据平面下发流表表项实现路由管理、流量调度等功能.针对OpenFlow流表空间有限性和有效性问题,从硬件、软件、软硬件结合方面对当前OpenFlow流表空间优化技术进行比较分析,归纳并阐述流表存储机制改进、基于软件的流表扩容和流表超时时间管理3种优化方案,最后总结并展望流表空间优化未来的方向.     

基于时序流的移动流量实时分类方法

移动互联网的快速发展,产生了网络测量、网络安全和服务质量等方面的新问题.为了深入研究移动互联网的特性,研究人员需要从传统网络流量中快速准确分类出移动流量.本文提出了一种采用轻量级流表与深度数据包检测技术（DPI）相结合的移动流量实时分类方法,将网络流按照时间间隔关系扩展为时序流,并通过DPI时序流前N个特征数据包准确地分类出移动流量,缩减了流表规模,减少了实际DPI开销.通过实时的网络流量实验表明,DPI时序流前8个特征数据包时,提出的方法识别准确率达到91.55%,单次深度数据包检测的平均开销为20个数据包,并且流表的规模缩减到原来的0.21%.与P0F比较,方法识别准确率等性能有明显提升.      

基于LE-Trie的SDN访问控制策略研究

为解决SDN(software defined networks)网络面临的网络安全问题,提出了基于集中控制思想的访问控制策略,将访问控制规则下发到源交换机,由此可以在源头上抑制无效的数据流.通过采用区间值起止点的最大公共前缀作为构建LE-Trie的基本元素,解决了IP地址和端口的区间无法在树中进行构造的问题.在此基础上,提出了基于多区域LE-Trie(multi-area-domain LE-Trie MADLT)的规则检测和匹配方法.该算法将对规则的顺序匹配转化为对多域的匹配,减少了匹配次数,从而提高了访问控制服务器的工作效率.对比实验结果表明,在进行冲突检测时,MADLT在时间性能上较顺序算法平均提高2.97倍,较传统Tiie算法平均提高30.4％;在进行规则匹配时,MADLT在时间性能上较顺序算法平均提高2.3倍,较传统Trie算法平均提高16.3％.由此证明,本文提出的集中访问控制策略可以有效地实现SDN网络中的数据访问控制.