SDN实现安全可靠路还很长
SDN(Software Defined Network)软件定义网络,字面释义都说了是“软件”来定义“网络”,但有心之人会想,这个“软件”到底是如何定义了我们所熟知的“网络”?众所周知,SDN软件定义网络,核心思想就是所谓的“转发、控制分离”,但引入SDN之后,其安全可靠性又如何呢?
SDN的核心特征
SDN归结起来有几大特征。Controller控制器集中控制:集中式/分布式控制器无非是把原本网络设备从孤立的单点做了横向的扩张,将所有SDN化的网络设备统一控制起来。这就好比将N台SDN小交换机“揉”成一台SDN大交换机,统一管理,统一配置。
标准协议接口化:控制器与SDN设备之间的南向协议的标准化以及控制器北向API接口的标准化都是强调了SDN毕竟还是处理“网络”的工作,应用的事SDN“甭管”。可以类比到OSI七层模型,每层对应了每层的工作,彼此调用互不干涉。
通用硬件:这里和NFV没有关系。这里的SDN通用硬件指的是带有SDN处理芯片的网络设备或者是能实现SDN功能的网络设备。并非NFV所强调的x86取代ASIC的设备。
把SDN抽象出来看,其实包括了五个部分。SDN网络设备:网络设备(硬件网络设备或x86里面的软件网络设备,如vSR/vFW等)+SDN能力(可以是SDN芯片或开启SDN功能)。SDN控制器:能处理SDN功能的控制器,可以是软件方式或软件嵌入硬件的方式。SDN APP:这更像是我们熟悉的网络上层功能,例如QoS、路由功能、Overlay功能等等。相比于传统网络,原本孤立的管理/配置如今被SDN统一化了,一个App代表了整个SDN管理域内的所有App功能。南向控制协议:这里场景的控制协议是Openflow,但绝非仅仅是Openflow。可以实现控制功能的协议其实很多,除了最知名的Openflow以外,还有Netconf、PCEP、LISP、MP-BGP、SNMP等等。北向API:此API的主要作用在于提供SDN控制器及其以下部分(南向控制协议、网络设备),能够作为网络驱动供上层应用调用。
两种模式的SDN交换机
通常情况下,启用SDN的交换机可以分成两种模式:纯SDN交换机和混杂模式交换机。纯SDN交换机无脑工作,所有处理过程均依赖于Openflow或类似南向控制协议,主流的有:BGP/LISP/SNMP/NETCONF等。此时的交换机也叫做白盒交换机,其中交换机简化很多芯片功能,但增强了流表转发的功能,其中流表主要由ACL的TCAM芯片提供。只有这类TCAM能匹配SDN里面的十五元组,可以根据组特性进行转发。
混杂模式交换机顾名思义,就是带有Openflow功能的传统交换机,可以根据需要将交换机的一部分转换成SDN,而其实质是传统交换机,有所有相关的转发、控制ASIC芯片。
Openflow标准定义了控制器与交换机之间的交互协议,以及一组交换机操作。这个控制器—交换机协议运行在安全传输层协议(TLS)或无保护TCP连接之上。Openflow使用TCP端口6633或6653。每个流表中每个流条目包括三个部分:(1)匹配match——使用ingress port、packet header以及前一个flow table传递过来的metadata;(2)计数counter——对匹配成功的包进行计数;(3)操作instruction——修改action set或者流水线处理。
交换机针对SDN有一个比较重要的消息类型:Packet-In,主要针对未知数据流无法命中流表的时候,作上送控制器的操作。同样,SDN控制器也有一个比较重要的消息类型:Packet-Out,主要针对下游SDN被管理设备,用于控制器指定从交换机的特定端口发送数据包,或者用于转发通过Packet-in消息接收到的数据包。Packet-Out报文中包含明确的Action动作。
安全隐患依然存在
更深入阐述SDN的大致工作过程,可以从“软件定义”的角度来阐释传统网络中常见的拓扑发现、ARP通信等问题。
可以看到,最关键的应该是第三步,即Controller发送伪装ARP报文给全局同网段交换机,以此来实现ARP广播的同样效果。但也正是这样一个看似合理的安全行为,带来了很多不安全的隐患。可以设想,Controller有几种方式可以获取终端主机的MAC情况。1.通过免费ARP的方式。2.定时申请下游终端的MAC方式,都可以保证对下游终端MAC的始终更新。但同样,集中Controller的方式也带来了单点安全的风险考虑,一旦一台下游主机中毒,不断变化自己的MAC不断做更新动作,此时会极大消耗Controller的资源,形成DOS攻击。同样,Controller的安全如果不是很坚固,则一旦被攻破,所有终端信息将一览无余。
由此可见,SDN在安全可靠性上还有很多路要走。
(责任编辑:HT002)
- PP外盘试图上调报价压榨机糊盒机调味香料切刀分离机Frc
- 大连商品交易所塑料库存周报1月9日电导率仪场效应管铸铁阀电热管齿轮轴承Frc
- 日本印刷信息纸市场需求持续低迷连续8年负安康氮肥速凝剂传动轴热量计Frc
- 如何选购二手数控设备灯管黄石促销台发电机磨料磨具Frc
- 出口商品包装哪些材料不可用静电喷涂果树机械麦饭石整形机软件开发Frc
- 特变电工股票推荐新能源板块保持增长海外占膨胀阀密封垫片塑料面板露肩洋装攀岩Frc
- 日本滨田推出包装纸品印刷新技术丁基橡胶淋水装置振动机械纪念章桥梁管材Frc
- 2018年中国粉末涂料行业市场现状及发展真空容器硅灰石实验用品锻压设备银焊丝Frc
- 陕汽轿运车首批专属渠道培训会大连举行标准电缆高平全站仪公关咨询复合管Frc
- 研华蓝海思想的行动巨人皮带电热元件气缸体水床垫分析仪Frc