基于预测缓存的OpenFlow虚拟流表高效查找方法

OpenFlow支持通配符查找,会造成严重的流表查找性能瓶颈。为此,基于网络流量局部性,提出一种OpenFlow虚拟流表查找方法。通过缓存在数据包流中近期频繁出现的连接和对应的掩码,对大部分数据包直接定位其掩码,进而查找流表,无需逐个探测掩码数组。理论分析和实验结果表明,相比于目前主流虚拟交换机中的流表查找方法OFT-OVS,该方法的平均查找长度较小,可有效提升OpenFlow虚拟交换机的数据转发性能。     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

基于OpenFlow的SDN专利技术分析

软件定义网络(SDN)作为一种新的网络架构,为打破传统的TCP/IP架构提供了可能,实现了控制平面与数据平面的解耦,可以满足未来互联网的需求。基于OpenFlow的SDN可以为新的网络应用与未来互联网技术的发展提供支持。基于此,从专利角度系统梳理基于OpenFlow的SDN技术的专利申请,对国内外专利申请量趋势、重要申请人分布及研究和发展重点进行可视化展示。     

面向SD-DCN的OpenFlow分组转发能效联合优化模型

在软件定义网络(software-defined networking, SDN)中,OpenFlow交换机通常采用三态内容可寻址存储器(ternary content addressable memory, TCAM)存储流表,以支持快速通配查找.然而,TCAM采用并行查找方式,查找能耗高,因此有必要为OpenFlow交换机选择合适的TCAM容量,以平衡分组转发时延和能耗.针对软件定义数据中心网络(software-defined data center network, SD-DCN)这一典型应用场景,利用多优先级M/G/1排队模型刻画OpenFlow交换机的分组处理过程,进而建立OpenFlow分组转发时延模型.同时,基于网络流分布特性,建立TCAM流表命中率模型,以求解OpenFlow分组转发时延与TCAM容量的关系式.在此基础上,结合TCAM查找能耗,建立OpenFlow分组转发能效联合优化模型,并设计优化算法求解TCAM最优容量.实验结果表明：所提时延模型比现有模型更能准确刻画OpenFlow分组转发时延.同时,利用优化算法求解不同参数配置下的TCAM最优容量,为SD-DC...     

基于OpenFlow架构的域内源地址验证方法

源地址验证对网络安全、管理和计量都有重要意义.清华大学提出包括接入子网、域内和域间三个层次的源地址验证体系结构.其中域内用到一种基于集中计算路径的方法,但在传统网络环境限制下,其实现遇到很多问题.本文将利用软件定义网络对网络革新的便捷支持,基于OpenFlow网络对域内源地址验证方法进行重新设计与实现,并提出两种方案.一种是在已有路由表的基础上计算出域内任意两个子前缀间的路径并生成源地址前缀、目的地址前缀和入接口三元组作为过滤规则;另一种方案是重新设计新的路由算法,生成同时具有路由功能和验证源地址功能的四元组(源地址前缀、目的地址前缀、入接口和出接口)流表.并分别对两种方案做出对比,给出实验结果.     

OpenFlow交换机流表溢出缓解技术研究综述

软件定义网络的转发控制分离、集中控制、开放接口等特性使网络变得灵活可控,其架构得到了充分的发展.由于与各种云化业务的良好结合,软件定义网络(software defined networking, SDN)在近些年来得到了大量的商业部署.在基于OpenFlow的SDN架构中,为了实现流表项的快速查找、掩码匹配等目标,商业部署的硬件交换机大多使用三态内容寻址存储器(ternary content addressable memory, TCAM)来存储控制器下发的流表项.但受限于TCAM的容量和价格,目前商用OpenFlow交换机至多能支持存储数万条流表项,导致其存在因突发流和流表攻击等原因而产生流表溢出问题,严重影响了网络性能.因此,如何建立高效的流表溢出缓解机制引起了研究人员的广泛关注.首先对OpenFlow交换机流表溢出问题产生的原因及其影响进行了分析,在此基础上按照流量突发和攻击行为2种情况归纳对比了流表溢出缓解技术的研究现状,总结分析了现有研究存在的问题与不足,并展望了未来的发展方向和面临的挑战.     

基于OpenFlow的软件定义网络虚拟化方案

软件定义网络(SDN)可以将网络控制平面与数据平面分离开来,为网络虚拟化提供了良好的平台。为了解决SDN中多租户下的虚拟化,提出了一种基于OpenFlow的网络虚拟化方案。通过一个中间代理来转换并匹配物理MAC地址与虚拟MAC地址,以及物理流表项和虚拟流表项,以此实现流量空间的虚拟化。其中,根据实际数据包的惰性计算,使用前缀或通配符来精确匹配流表项。另外,为了保障物理OpenFlow网络上不同租户之间的隔离,将单个虚拟MAC-通配符流表项映射为多个具有精确MAC地址的物理流表项。实验结果表明,该方案成功的实现了网络虚拟化,且虚拟化开销较小,具有可行性。     

Nimble:一种适用于OpenFlow网络的快速流调度策略

突发流量是导致网络拥塞和丢包的重要原因之一.减少网络拥塞的一种方法是在多条可达路径间均衡网络流量,如等价多路径(Equal-Cost Multi-Path,ECMP)路由.然而,大多数等价多路径路由或者静态地将不同的流/数据包哈希到不同的路径,或者依赖于局部的/过时的路径状态信息.OpenFlow技术利用集中式控制器控制网络行为,为控制器根据全局网络状态信息进行动态的数据流优化提供了可能.然而,采用基于轮询的网络状态探测机制在处理突发流量问题上面临诸多困难.文中提出一种用于OpenFlow网络的快速流调度策略,称为Nimble.Nimble架构扩展了OpenFlow协议的packet-in消息,由网络设备自主监测设备状态,并在网络出现拥塞时通过扩展的packet-in消息主动向控制器通告拥塞信息.模拟结果显示Nimble策略能够以近于零的时延检测网络链路拥塞,从而有效提高网络性能.     

基于OpenFlow的SDN状态防火墙

提出了一种基于OpenFlow的状态检测防火墙系统,该方案通过在SDN控制器和交换机中添加状态表和变换流表,并根据包的类型分别制定相应的状态转换规则,实现对SDN网络状态的监测。最后,在开源控制器Floodlight和Open vSwitch上实现了一个基于状态检测的防火墙系统,并对该防火墙的性能进行了评估,结果表明基于OpenFlow的SDN状态检测防火墙能够识别不同类型的包并实现现有SDN防火墙不能实现的基于状态的细粒度访问控制。     

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow 的SDN 技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4 个方面分析了基于OpenFlow 的SDN 技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.     

基于OpenFlow的数据流管控系统的研究与实现

随着网络技术的不断发展,在现有的网络设备及协议基础之上,对已有网络进行创新性试验变得越来越困难。OpenFlow是为支持网络创新究而提出的新型网络技术,它的出现为部署一个大规模的、完全可控、可定制的实验网络平台提供了可能。本文旨在基于OpenFlow设计实现一个数据流管控系统,其主要思想是利用OpenFlow技术实现控制与转发的分离,通过集中控制的方式,实现对全网数据流的管控,提高OpenFlow网络的安全性。     

流测量中基于测量缓冲区的时间分层分组抽样

NetFlow是流测量中广泛应用的解决方案,但NetFlow的抽样方法存在一定的缺陷:泛洪攻击时消耗路由器过多的资源;用户很难选择适合所有流量组成情况的静态抽样率,以平衡资源消耗量和准确率.提出了一种易于实现的分组抽样方法.该方法利用测量缓冲区对定长时间内到达的分组进行固定数量的抽样,既可以使抽样率自适应于流量变化,又可以控制资源的消耗.证明了抽样估计的无偏性,并推导出估计值相对标准差的理论上界.实验结果表明,与已有方法相比,该方法在具有简单性、自适应性及资源可控性的同时不会失去准确性.     

一种基于损失率估算的可变缓冲管理模型

缓冲区作为一种缓存关键信息、协调速度差异的重要手段,在计算机工程领域一直扮演着一个不可忽视的角色。缓冲区的大小对其作用的发挥至关重要。为此,在分析现有缓冲技术的基础上,提出了一种基于损失率估算的可变缓冲管理模型。该模型将缓冲区拥塞视为顾客损失,建立M/M/I/K损失排队系统,根据实时变化的数据流速率和有效处理能力,周期性计算、调整缓冲区大小,以提高资源利用率并保障缓冲区通畅。     

基于OpenFlow的入侵检测评估模型

针对传统测评方法依赖模拟环境来仿真真实网络流量的现状,提出一种基于OpenFlow的入侵检测评估系统.该系统基于软件定义网络技术（OpenFlow）的入侵检测评估模型,随后对该模型的框架、设置方法、具体工作过程等进行详细阐述,设计了基于该模型的测评系统,该系统利用OpenFlow灵活的网络控制能力为IDS测评搭建真实可控的网络环境,提供入侵检测所需的真实网络流量和攻击数据.最后利用该测评系统对该模型进行试验仿真,实验结果表明传统方法相比,本文提出的基于OpenFlow的入侵检测评估模型在测评效果和准确性上有较好的性能.     

HFC网络的缓冲区管理和分组调度联合算法

以HFC网络为背景,针对嵌入式设备的存储资源有限性、网络带宽有限性以及宽带网络中多业务流的特点,提出一种缓冲区管理和分组调度联合算法.该算法通过控制业务流队列长度和设置业务流优先级方程的方式来管理缓冲区和带宽的分配,使内存管理和分组调度协调配合,从而为不同类型的网络数据提供区分服务.通过测试,在本文的仿真设置下,当网络资源紧张时,使用该算法后,可以达到实时业务流的超时数据比未使用该算法时的超时数据少89.6%的效果;而非实时业务流也可以达到平均丢包率比不使用该算法时的平均丢包率低90%的效果.     

基于灰色预测模型的优先级队列缓存管理策略

为解决企业服务总线( ESB)集成平台中的服务队列管理问题,在考虑队列优先级因素的基础上,提出一种优先级消息服务队列缓存管理策略。将不同优先级的业务数据封装为消息服务放入不同队列中,按照消息优先级顺序对其进行服务管理,在下一次业务消息到达前,使用灰色预测模型实时预测优先级队列的缓存分配情况,使得队列缓存分配更合理。实验结果表明,该策略能保障ESB集成平台中高优先级业务和低优先级业务的正常运行,并降低高优先级业务的平均等待时间、平均停留时间及消息队列拥塞的风险。     

一种面向存储服务的缓存管理模型

给出一种适用于网络存储设备的面向存储服务的新型缓存管理模型,它支持可配置的缓存管理策略和可配置策略的缓存分配机制。与通用操作系统中的缓存管理模块相比,该模型的主要优点是使能针对具体存储应用的性能优化,使能多个存储应用之间的数据访问 QoS控制。     

基于模型检测的OpenFlow多交换机数据包转发协议的分析与验证

OpenFlow协议是SDN网络中控制平面与数据转发平面之间进行交互的规范与标准,其正确性将直接影响到整个网络功能的实现。通过模型检测技术实现一种验证OpenFlow协议正确性的形式化方法。首先提取OpenFlow协议的核心子协议,即OpenFlow多交换机数据包转发协议作为验证的实例;然后运用协议行为自动机对该子协议进行形式化建模,并且通过时态逻辑描述协议需要进行验证的性质;最后给出算法验证协议模型是否满足给定的性质要求,以此检测OpenFlow协议是否存在正确性漏洞,以便对其进行修正。     

一种新的基于粒度重要度的三支决策模型

粒度重要度是多粒度粗糙集中的一项重要研究内容。针对现有粒度重要度只考虑单个粒度对决策的直接影响而忽略了其他粒度对决策综合影响的问题,结合多粒度粗糙集近似质量的概念,通过研究粒度重要度的构造方法,提出了一种新的多粒度间的粒度重要度的计算方法,并给出了基于该方法的粒度约简算法。同时,为减少冗余决策信息,将约简集与三支决策理论相结合,构建了基于粒度重要度的三支决策模型,给出了决策规则。最后通过实例证明,新的粒度约简算法可以获得具有更高区分度的数据,且缩小了延迟域范围,使最终决策更合理。