摘要:数据包在网络中传输时,会根据用户的业务逻辑要求,按顺序经过不同的网络功能(Network Functions,NFs),例如...数据包在网络中传输时,会根据用户的业务逻辑要求,按顺序经过不同的网络功能(Network Functions,NFs),例如防火墙、负载均衡等,来保证网络满足用户需求,这也被称为服务功能链(Service Function Chain,SFC)。在SDN(Software Defined Networking)网络中是否正确部署服务功能链直接影响到网络的服务性能,在部署时尽早排除故障并进行诊断具有重要意义。网络功能的存在不仅加大了故障定位的难度,而且还会影响相关的网络性能参数,如时延和丢包等。测量这些重要的网络性能参数,可以为网络运营商提供网络监控、管理与维护的参考数据。由于网络功能大多都是对状态敏感的,在验证以及测量过程中,如果发送的探测包进入到网络功能内部,则会破坏网络功能的内部状态和逻辑,影响对正常用户数据的处理。为了解决这个问题,本文提出了透明的SFC验证方案和测量方案,能够保证不破坏网络功能的内部状态和逻辑。本文的主要工作有:(1)针对现有的SFC验证问题,提出了SFC透明验证工具Track。Track是一种在具有网络功能的SDN网络中查询路径的有效工具。Track主要包含了两部分功能,通过运行Correlation模块来收集数据包并推断网络功能的行为,然后Tracing模块根据Correlation的反馈结果以正确的顺序连接所有的网络功能路径。Track不会向网络功能发送探测分组,保证了对网络功能的透明。同时Track也不会修改正常数据包的转发规则,以免影响网络性能。(2)利用SDN网络管理的特性,根据网络功能自身的特性,对SFC中涉及的时延、丢包和带宽等参数设计了透明测量工具TMon。根据网络的状态特征,分析了造成时延和丢包的原因,确定了测量位置以及测量对象,并针对不同的性能参数提供了不同的测量方案。为了在测量过程中保证对网络功能的透明性,主要采用的是被动测量的方式,通过获取网络状态信息测量相关性能参数。同时还设置了非透明的对比测量方案。本文为验证任务和测量任务设计了实现方案,并在Mininet仿真平台和Ryu控制器中进行了部署和实验。实验结果表明,本文的方案在对网络功能保持透明的情况下对SFC的验证能够达到95%的准确率。同时,在不同的网络环境配置中,针对不同参数进行测量,能够在保证对网络功能透明的前提下,准确获得相应的SFC网络性能参数的测量数值。更多还原显示全部
摘要:随着现代技术的不断推陈出新,网络用户规模的不断扩大和海量数据的增长,传统的网络架构已经不能满足人们日...随着现代技术的不断推陈出新,网络用户规模的不断扩大和海量数据的增长,传统的网络架构已经不能满足人们日益增长的用网需求。因为传统网络的结构是封闭的,僵硬的,并且出于厂家自身盈利的目的,其中作为网络核心的路由器只对开发人员开放少量的编程接口,开发人员难以在现有的架构上改进和开发新的网络架构。现有的网络虽然也进行了诸多改进,比如采用虚拟化技术、云计算技术、数据中心合并等等,但是新技术的复杂性给传统网络架构带来了更多的压力。在这种情况下,软件定义网络(Software Defined Network,SDN)作为一种2008年才正式提出的新型的网络架构,可以很好的解决这个问题。SDN架构的本质是将转发和控制平面分离,管理人员可以通过编写应用程序来直接控制硬件设备的转发行为,并且这种控制行为不依赖于特定的硬件设备。这样做可以大大减少运营成本,简化网络结构,并且拥有巨大的灵活性和可编程性。本文首先对SDN架构和协议基础进行了探讨,分析了SDN的优势和其应用场景,针对其中的两个应用场景,校园网和车载网的应用分别提出一个无线SDN的实现方案。1)在校园网的WLAN接入认证中,本文提出的方案结合了SDN的架构,根据MAC地址来验证用户是否在白名单内,如果是白名单用户就可以直接访问外网。该方案只需要在SDN控制器应用上修改下发流表策略和编写认证服务器程序就可以实现。该方案中用户二次接入时不需要重复验证账号密码,并且管理人员可以灵活地修改策略和控制用户的接入。2)针对车载网,本文探讨并改进了一个基于CloudMAC方案的车载网络原型系统。将CloudMac框架和AP虚拟化技术结合,再应用隧道技术、HostAP技术,在实验室利用电脑和路由器搭建该系统,使接入该系统的车载终端在不同的无线覆盖点范围内移动时,保持数据连接畅通。更多还原显示全部
摘要:随着移动互联网的兴起和飞速发展,无线局域网(Wireless Local Area Network,WLAN)由于方便、快捷、价格低廉...随着移动互联网的兴起和飞速发展,无线局域网(Wireless Local Area Network,WLAN)由于方便、快捷、价格低廉的优点成为移动终端接入互联网的主要选择之一。正是由于无线局域网的这些优点,导致无线局域网目前面临着更加严峻的安全挑战。一方面,IP协议在设计之初并没有考虑到对用户的源地址进行验证,使得源地址伪造类的分布式拒绝服务(Distributed Denial of Service,DDOS)攻击成为了网络最大的安全威胁之一。另一方面,目前无线网络接入移动应用存在入侵他人WiFi网络和窃取用户个人信息,给网络和用户信息安全带来了新的挑战。随着下一代互联网IPv6技术的应用和普及,因此在无线局域网中基于IPv4/v6技术部署和应用多种安全方案也是本文研究的主要方向。本文分析了无线局域网目前所面临的主要威胁,调研了多种源地址验证的解决方案,选择了在国际标准RFC 7039中提出的接入子网源地址验证(Source Address Validation Improvements,SAVI)方案和创新网络框架软件定义网络(Software Defined Network,SDN)技术,基于SDN实现了SAVI功能和接入用户身份认证功能。本文的创新点在于,开创性的将SAVI方案部署到了无线接入交换机上,并且在SDN平台上实现了IPv4/v6源地址验证功能。最后将源地址验证方案与应用层安全方案相结合,共同构成WLAN的安全防御体系。论文的研究重点在于首先在无线接入交换机上基于SDN技术实现了SAVI和身份认证功能,对SAVI方案的功能和性能以及用户身份认证的功能进行测试。然后将SDN在网络全局管理方面的优势与应用层的用户管理方案相结合,构成了在无线局域网中对流量监控、网络拓扑、用户身份等信息管理的完整方案。最后分析了论文存在的不足以及未来可扩展的领域,本文是软件定义网络在无线局域网安全方向的一个具体应用。系统目前已经在实验室正常部署和使用,并且为两个创新项目提供了技术支持。更多还原显示全部
