軟件定義網絡（SDN）

SDN，軟件定義網絡(Software-Defined Networking)由 Stanford大學的NickMcKeown教授提出，其最大的特點在于控制平面與數據平面分離、支持集中化的網絡狀態控制、實現底層網絡設施對上層應用的透明。SDN網絡架構通過將傳統一體化網絡設備中的控制平面和轉發平面分割開來，使得底層網絡基礎設施能夠被視為一個虛擬的邏輯實體，同時利用可編程化技術，使得網絡不同的應用和服務通可以在其上進行開放、靈活和抽象的配置。

ONF是一家非盈利的組織機構，是當前業界最活躍、規模最大的SDN標準組織，致力于SDN的發展和標準化，根據ONF的定義，SDN是一種新型的網絡架構，具有動態性、可控性、高性價比和高適應性等特性。這種架構抽象了底層的基礎實施，對網絡控制進行直接編程，從而解耦了功能控制和數據轉發。從廣義上講，只要是控制層和數據轉發層相分離，數據轉發層能夠接受控制層的集中控制，并且應用層能夠通過開發接口靈活地控制網絡，都可以成為一種SDN。

SDN的網絡架構包括基礎設施層，控制層，應用層，以及層與層之間的南北接口。各個層與接口的功能簡要概述如下：

(1)基礎設施層：基礎設施層中包含了各種類型的網絡設備，該層主要負責將具體的用戶數據在不同的網絡節點之間進行轉發。

(2)控制層：控制層負責對網絡設備進行管理，該層包含了大量的業務邏輯，用以獲取和維護各種類型的信息，如網絡信息、設備狀態信息、拓撲細節等等。

(3)應用層：應用層面向用戶，為用戶提供所需的業務及應用，其相關應用包括網絡的可視化(如拓撲結構、網絡狀態、網絡統計等)，網絡的自動化(如網絡配置管理，網絡監控，網絡故障排除，網絡安全策略等)以及其他用戶自主開發的業務應用。

(4)南向接口：南向接口的作用是連接控制層與數據層之間的數據通信，該接口將底層物理基礎轉發設施的差異性進行屏蔽，從而實現了資源的虛擬化。

(5)北向接口：北向接口的作用是連接應用層和控制層之間的數據通信，應用層利用該接口對網絡進行便捷的配置，并根據需求調用網絡提供的不同資源^[1]。

SDN控制器在軟件定義網絡架構中充當著中央大腦的角色，網絡中所有相關決策的事務都依賴于它，開放網絡基金會發布的SDN通用架構模型，控制器位于中間部位，是連接上下應用層和轉發層的橋梁，控制器通過南向接口實現對全局網絡的拓撲發現、流量監測、安全配置以及流表下發等操作，同時應用層可以通過控制層提供的北向標準接口傳達更精確的指令和靈活的配置，實現全網資源的合理利用，并且降低了網絡維護人員對轉發層的操作難度，軟件定義的特性還讓配置可移植性成為信手拈來的事。在ONF組織的推崇之下，OpenFlow幾乎已經被全行業接納和認可，各種類型的控制器也相繼出現，各種開源的商用的控制器也隨之產生，不同的控制器通過不同的開發語言來實現，不同的控制器各有自己的特點

OpenFlow協議是控制器和交換機之間第一個標準通信協議，是SDN概念初期發展所定義的協議?，F有的SDN架構的實現主要依賴于OpenFlow協議，該協議的目標是通過直接定義網絡設備的轉發行為來實現軟件靈活定義網絡。OpenFlow協議可用于實現對網路中交換機、路由器等的控制，而實現OpenFlow規范的交換機稱為OpenFlow交換機。在OpenFlow協議中，網絡設備維護一個或者若干個流表，數據流進入設備中首先匹配流表信息，接著執行這些流表中的操作并轉發數據包。而當流表不匹配時則詢問SDN控制器，SDN控制器通過添加，更新和刪除流條目來操縱交換機的流表。OpenFlow協議中所定義的流表項由一些關鍵字和執行動作組成的靈活規則，決定著如何處理和轉發數據包，并且每個關鍵字字段都是可以通配的。在實際應用中，網絡管理人員可以通過配置流表項中具體的匹配關鍵字來決定使用何種粒度的流轉發規則。例如，如果只需要根據目的IP進行路由，那么下發流表項時，關鍵字只匹配目的IP字段，其他關鍵字全通配，而動作中只需要一個出端口即可實現常規的IP路由轉發。

OpenFlow協議架構如圖所示，說明如下：當數據包到達交換機時，交換機提取包頭字段并根據流表條目的匹配字段部分進行匹配。若匹配成功，交換機就會執行與匹配的流表項關聯的操作。若匹配失敗，交換機所采取的操作將取決于表缺失流條目所定義的指令。每個流表必須包含一個表缺失項，以便處理表缺失。當交換機接收到新的數據包時，且沒有相應的流表項與之匹配，將通過OpenFlow通道將數據包轉發給控制器?？刂破髟诮邮盏较⒑髸祿M行處理，并回復相應的消息給交換機以通知它如何處理該數據包^[2]。

(1)網絡開放可編程。SDN不再遵循傳統的網絡抽象模型，而是達到了高度的開放性，網絡維護人員和科研人員可以通過北向接口的通用API來訪問控制層的SDN控制器，網絡操作接口的加入使得SDN允許開發人員根據自身需求開發對應的應用程序。通過這種方式，用戶可以定制控制器上的個性化編程服務，從而達到對網絡狀態的監控、對網絡信息的調用和對網絡配置的管理，簡化了網絡業務的部署。網絡開發可編程性是網絡獲得更高自由度和更多自治功能的架構基礎

(2)控制功能與轉發功能的分離。SDN解除了傳統網絡架構在控制功能和轉發功能的高度耦合性，將轉發功能從控制平面分離出來，放在了底層設備上?？刂茖記Q定轉發功能的業務邏輯和轉發方式，基礎設施層則負責根據控制器指令完成轉發操作，兩者可以獨立工作，降低了彼此的依賴程度?？刂茖雍图夹g設施層之間的通信是通過統一的開放接口進行的，轉發功能和控制功能的分離是SDN區別于傳統網絡體系結構的根本特征，大大提高了網絡硬件的通用化，打破了各個硬件廠家的壟斷局面，降低了設備成本。

(3)邏輯上的集中控制?？刂破骶哂羞壿嬌系暮诵奈恢?，擔任收集網絡信息和管理網絡狀態的重要任務，可以對分布式網絡狀態進行集中控制和統一管理?？刂茖涌梢詫⑷志W絡抽象為網絡狀態視圖，獲取全局網絡的狀態信息，因而可以同時集中控制多個基礎設施層的轉發設備，降低了網絡安全的維護難^[3]。

SDN簡化了傳統網絡的部署方式，簡化了底層硬件的復雜性，簡化了管理運維的工序，但其帶來便利的同時也引入了新的風險，主要的威脅有：

(1)控制層的安全威脅：控制層對SDN進行集中管控，使得管理配置都變得簡略，但攻擊者會針對控制器的核心地位實施各種網絡攻擊。其中，比較常見的是拒絕服務攻擊，通過消耗控制層的各種應用資源使得控制器無法提供正常服務，使得整個SDN網絡無法正常運行

(2)應用層的安全威脅：為了根據用戶需求進行自定義編程，SDN架構為應用層提供了大量可編程的接口，這種開放性會像控制層一樣帶來風險，由于授權機制不完善，攻擊者會在應用層安裝惡意應用或者具有攻擊性的軟件，或者是利用北向接口通過控制層進行攻擊。

(3)數據平面的安全威脅：OpenFlow作為SDN下的傳輸協議，會經常遭遇攻擊者利用協議的漏洞的攻擊。在OpenFlow協議中存在安全傳輸和普通傳輸，在普通傳輸模式下，攻擊者可能利用協議漏洞向交換機發送大量虛假請求信息，從而導致交換機不能正常運行。

(4)北向接口安全威脅：北向接口面向應用層，由于應用程序種類復雜，不同的接口提供不同的服務，各種接口也沒有統一的規定，這種編程的開放性給一些攻擊者提供了安全的漏洞，使得攻擊者利用這些漏洞訪問一些重要的資源，從而產生數據泄露、消息篡改等一系列安全問題

(5)南向接口安全威脅：南向接口的OpenFlow協議有一定的局限性，該協議通過SSL/TLS對數據進行加密，但該加密協議并不是必選項，有時控制器允許通道不加密進行數據傳輸，所以面臨著數據泄密、控制器假冒等風險^[4]。

參考資料：

[1]李瑞鵬.基于深度學習的網絡切片資源分配研究[D].四川:電子科技大學，2021.

[2]倪曉鈴.SDN架構下基于分段路由的匿名通信技術研究[D].江蘇:江蘇大學，2021.

[3]涂偉陽.SDN網絡架構下基于網絡異常行為的DDoS攻擊檢測方法研究[D].湖北:華中師范大學，2021.

[4]杜祥通.SDN下基于三支決策的入侵防御技術的研究與應用[D].江蘇:江蘇科技大學，2021.

SDN相關報告：

頭豹研究院：2019年中國SDN軟件定義網絡行業研究報告（27頁）.pdf

計世資訊：2016-2017年中國SDN市場發展狀況白皮書（37頁）.pdf

中國移動：5G 智能終端切片白皮書(54頁).pdf

專注網絡創新技術：中國軟件定義廣域網（SD-WAN）生態與技術報告（65頁）.pdf