OpenFlow交换机流表溢出缓解技术研究综述

软件定义网络的转发控制分离、集中控制、开放接口等特性使网络变得灵活可控,其架构得到了充分的发展.由于与各种云化业务的良好结合,软件定义网络(software defined networking, SDN)在近些年来得到了大量的商业部署.在基于OpenFlow的SDN架构中,为了实现流表项的快速查找、掩码匹配等目标,商业部署的硬件交换机大多使用三态内容寻址存储器(ternary content addressable memory, TCAM)来存储控制器下发的流表项.但受限于TCAM的容量和价格,目前商用OpenFlow交换机至多能支持存储数万条流表项,导致其存在因突发流和流表攻击等原因而产生流表溢出问题,严重影响了网络性能.因此,如何建立高效的流表溢出缓解机制引起了研究人员的广泛关注.首先对OpenFlow交换机流表溢出问题产生的原因及其影响进行了分析,在此基础上按照流量突发和攻击行为2种情况归纳对比了流表溢出缓解技术的研究现状,总结分析了现有研究存在的问题与不足,并展望了未来的发展方向和面临的挑战.     

基于ARMA模型预测的交换机流表更新算法

针对SDN网络中交换机在网络流量高峰期流表匹配率低以及控制器负载过重的问题,提出了一种基于自回归移动平均（ARMA）模型预测的交换机流表更新算法。算法首先收集每个取样周期内的新增流表项数量作为历史数据,然后使用ARMA模型对收集的历史数据进行分析,预测下一个周期内新增加的流表项数量,并结合当前流表空间的使用情况,清除交换机中过去一段时间内使用频率较低的流表项。采用真实数据中心网络数据的模拟实验结果表明,与流表更新的一般方法相比,该算法有效地提高了交换机流表的匹配率,并减少了交换机与控制器之间交互的次数,降低了控制器端的负载。     

基于匹配动作表模型的可编程数据平面流表归并

与传统网络技术相比,SDN技术将网络的控制平面与数据平面分离,使网络具有一定的可编程能力。以OpenFlow、POF、P4等为代表,领域内常见的SDN交换机大多基于匹配动作表模型实现。与协议相关的OpenFlow等技术不同,协议无感知的SDN技术使用{偏移,长度}等结构表示协议字段,从而实现对任意协议字段的解析和处理。然而,待处理的数据包可能带有不同长度的数据包头,所以这些数据包中特定协议字段的偏移也会不同,需要多个匹配域偏移不同的流表去完成数据流的解析,从而造成流表和流水线结构复杂。针对上述问题,本文提出一种基于MAT模型的可编程数据平面流表归并方案,扩展MAT模型中的动作集,在数据包查询流表时使用特定的动作动态地调整数据包的起始偏移,使不同数据包同一协议字段的偏移保持一致,实现匹配域相同的流表的归并。本文方案在兼容VLAN、QinQ的POF Switch实验场景下,以跳转流表时多执行一条动作为代价,缩减了约69%的流表内存消耗。     

软件定义网络中交换机处理时延的仿真

针对目前的网络仿真工具在对软件定义网络(SDN)的仿真过程中,未考虑交换机的处理时延的问题,提出一种处理时延的仿真方法,目的是为了使仿真结果更加真实和准确。该方法首先将交换机的转发处理过程分解为对流表的查询操作和执行不同的动作;然后,利用交换机的处理器频率和访存周期,将查询流表和执行动作转换为处理时间。实验中测量了真实环境中不同配置的交换机处理时延,并与利用该方法仿真出的处理时延进行对比。实验结果表明,利用该方法仿真出的处理时延和真实交换机的处理时延基本一致,该方法能够较准确地仿真交换机处理时延。     

基于分类和时序的SDN流表更新一致性方案

软件定义网络（Software Defined Networking, SDN）实现了网络的集中控制和网络资源的灵活调度,已成为下一代网络的热点。确保SDN网络流表更新的一致性,对保障网络配置更新过程的正确性,和SDN网络的有效、安全运行,具有重要的意义。本文针对SDN网络配置更新所引起的数据包处理不一致问题,提出一种基于分类和时序的SDN流表更新一致性方案。通过设计交换机分类方案及优化更新顺序,实现了SDN流表更新的一致性和新、旧路径的数据并行传输,在保证方案良好通用性和隔离性的基础上,有效控制了更新时间和交换机存储空间的占用率,并降低了控制器的上传负载。     

软件定义的VANET下流表用量感知的QoS路由机制

VANET可以提供各类安全和非安全相关的服务,但现有的VANET难以保障应用服务的QoS需求.软件定义网络(software defined networking, SDN)以系统化的灵活控制网络的方式出现,其分离的数据与控制平面为网络带来了可编程性.因此首先设计了一种面向异构多网接入的软件定义的VANET架构;接着提出一种流表用量感知的动态QoS保障框架,允许使用模块化的方式管理网络,并支持业务流的动态加入和退出;最后建立了多业务流多约束条件下流表用量感知的QoS路由模型,该模型不仅考虑了丢包、时延和吞吐量等链路参数,还考虑了业务需求和流表使用情况,从而为VANET应用服务提供并发的QoS路由.实验表明：流表用量感知的动态QoS路由机制不仅能够满足多业务对各自丢包、时延和吞吐量的要求,还能够感知流表用量,从而避免流表溢出对QoS路由机制的影响,进一步提高了网络QoS保障的性能.     

基于预测缓存的OpenFlow虚拟流表高效查找方法

OpenFlow支持通配符查找,会造成严重的流表查找性能瓶颈。为此,基于网络流量局部性,提出一种OpenFlow虚拟流表查找方法。通过缓存在数据包流中近期频繁出现的连接和对应的掩码,对大部分数据包直接定位其掩码,进而查找流表,无需逐个探测掩码数组。理论分析和实验结果表明,相比于目前主流虚拟交换机中的流表查找方法OFT-OVS,该方法的平均查找长度较小,可有效提升OpenFlow虚拟交换机的数据转发性能。     

软件定义网络流的安全要素知识图谱研究

流表是软件定义网络控制平面与数据平面交互的核心组件,也是实现安全策略全局协同及动态映射的关键。然而,构建具备相关安全策略的流表却需应对流知识要素过于分散、不断扩充、难以通过独立应用或预设规则满足等诸多难点。针对这一现状问题,本文通过采取在软件定义网络控制、数据和应用等三大平面之外新建知识平面的方式,构建流表及其相关安全知识要素聚集的流知识图谱,并基于此选择或生成流表规则。在流规则选择方面,构建同源-目的地址单条/合成流规则合并的流规则搜索树并关联流知识图谱,达到对已有流规则快速选择并决策的目的;在流规则学习生成方面,以流规则搜索树图融合的方式分裂生成流规则安全决策图,以此根据流标记生成或选择流规则。在评估部分,本文通过与应用平面交互、流规则选择、流规则学习等三个角度观察流知识图谱的实际应用方向及可能性,并通过实验衡量了基于流知识图谱的关键算法性能。以流知识平面的图谱等为基础设施,可近一步深入具体场景,通过流安全标记与应用相结合的方式,促进流规则演进等实践开展。     

一种协议无感知交换机的设计与实现

协议无感知转发(POF)支持任意协议的解析和处理,增强了软件定义网络(SDN)的可编程能力.为应对高速网络的性能需求,设计并实现了基于多核网络处理器平台的POF交换机,通过引入流缓存以提高POF数据路径的执行效率;为优化交换机的多核性能扩展性,基于硬件平台实现了基于流的负载均衡,以及流缓存的管理方案.实验结果表明,基于...     

软件定义网络架构下基于流调度代价的数据中心网络拥塞控制路由算法

针对传统数据中心网络极易发生拥塞的问题,提出了在软件定义网络（SDN）的架构下设计基于流调度代价的拥塞控制路由算法加以解决。首先,进行拥塞链路上的大小流区分,并对所有大流的各条等价路径进行路径开销权重的计算,选择权重最小的路径作为可用调度路径;然后,使用调度后路径开销变化量和流占用带宽比例来共同定义流调度代价;最终选择调度代价最小的流进行调度。仿真结果表明,所提算法能在网络发生拥塞时降低了拥塞链路上的负荷,并且与仅进行流路径选择的拥塞控制算法相比,提高了链路利用率,减少了流传输时间,使得网络链路资源得到更好的利用。     

基于软件定义网络的虚拟数据中心管理平台

针对已有虚拟数据中心（VDC）管理平台具有代码固化、后续升级困难等缺陷,设计和实现一种基于软件定义网络（SDN）的VDC管理平台。该平台由VDC管理子系统（VDCM）、VDC计算资源控制子系统（VDCCRC）和VDC网络资源控制子系统（VDCNRC）组成,子系统之间通过RESTful API交互建立起松耦合架构。VDCNRC通过SDN控制器管理数据中心网络资源,VDCCRC通过开源云平台管理数据中心计算资源,VDC管理子系统中内置VDC管理算法框架,可快速开发适用于实际生产环境的VDC管理算法。使用Mininet、Openstack、Floodlight搭建了测试环境,验证了该平台可通过Openstack来控制虚拟机的启动、迁移和删除,可通过Openflow控制器实现VDC网络带宽资源隔离,并支持VDC创建、删除和修改等操作。     

软件定义车联网的数据转发策略和路由选择技术

针对目前车联网（VANET）数据转发效率低的问题,提出了软件定义网络（SDN）的数据转发策略和路由选择技术。首先,采用了软件定义车联网的分层控制结构,由局部控制器和全局控制器组成,实现数据转发和控制分离,可灵活控制数据转发的方向;然后,设计了单条路段的车辆路由机制,该机制预测车辆节点位置并采用贪心策略,实现数据的稳定传输;其次,设计了多个需求间的路段路由机制,该机制采用广度优先搜索（BFS）算法和边集相结合的方式,实现多个需求间路径不相交,缓解带宽瓶颈问题;最后,通过仿真验证,对比无线自组网按需平面距离向量（AODV）路由,所提出的数据转发策略和路由选择算法在数据分组接收率上提高40%以上,平均延迟时间降低60%左右。实验结果表明,软件定义车联网的数据转发策略和路由选择技术能够提高数据转发效率,减少平均收包延时。     

基于软件定义网络的智能变电站网络架构设计

随着智能变电站二次装置标准化、智能化水平的提升,需要有一种更高效、智能的通信网络以满足变电站运行和维护要求,能够实现设备即插即用、智能监测、子网间安全隔离以及设备通用互换。针对智能站网络统一管理、子网间安全隔离以及设备兼容性、互换性的应用需求,提出了一种基于软件定义网络（SDN）技术的变电站网络架构,将IEC61850和OpenFlow协议用于网络架构设计,利用OpenFlow控制器管控和隔离各独立子网,以实现网络设备管理和子网安全隔离。实验结果表明,所提架构可实现流量基于业务类型的精准控制和数据的安全隔离,对于提升变电站运行和维护水平有着非常重要的应用价值。     

一种改进的软件定义网络低开销一致性更新算法*

针对SDN流表更新一致性、规则空间开销和更新时延问题,提出一种改进的低开销一致性算法。在确保更新过程一致性的前提下,设置基于数据包报头字段和包的位置的谓词,采用线性规划的方法对谓词进行选择排序;优化通过分析对流表项设置优先级的部分,并套用最新的两阶段更新算法进行更新。实验结果表明,与原算法对比,该算法不失其初始功能,并节约3%左右的总更新时间,该算法是一种具有可行性、较快较好的算法。     

SDN数据安全处理机制关键模块的研究与实现

针对软件定义网络（SDN）的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制。首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加（解）密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试。实验结果表明：该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45%~60%浮动,开销较大,有待后续优化。     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

基于多目标优化的软件定义网络负载均衡方案

针对软件定义网络（SDN）中控制平面的负载均衡问题,提出了一种基于多目标优化的动态交换机迁移算法（M-DSMA）。该算法首先将交换机与控制器之间的映射关系转变为0-1矩阵优化问题;其次,通过基于NSGA-Ⅱ的多目标遗传算法同时优化控制平面负载均衡度和交换机迁移所产生的通信开销这两个相互冲突的目标。在多目标优化过程中,利用适应度函数选择个体进行交叉变异,随后采用快速非支配排序对种群进行精英策略,产生下一代种群,使得整个种群不断进化,搜索较优的解。仿真实验结果表示,相比于动态交换机迁移算法（DSMA）,M-DSMA在有效均衡控制平面负载的同时,降低了30%~50%的通信开销,且在提高控制平面可扩展性方面具有明显优势。