Deep Packet Inspection based Application-Aware Traffic Control for Software Defined Networks
Globlecomm2016
-
核心:细化测量粒度,弥补Openflow不足,提升处理性能、丰富服务的提供;
-
问题:SDN中存在测量粒度不够细的问题:只测得网络状态而不能获得流量行为,OpenFlow中只能提供少量的信息,不能提供更丰富的测量信息,流分类不够细导致服务质量不够高。
-
所做工作:为此将DPI引入控制平面,感知应用层信息。将流分类和行为匹配机制引入数据平面(交换机):加速信息交换,建立SDN控制器的交互和互操作。建立数学模型评估框架性能,使用仿真实验验证:实现了应用层的感知,细化了流分类提升处理性能
-
意义:细化测量粒度,提供更丰富的服务、提升处理性能。。
背景
- Openflow中缺少应用层的流量感知,在网络拥塞资源有限的场景下、无法满足Qos的要求。引入DPI,提出了一个流量控制方案,包括流分类和流量行为匹配,结合到控制器当中。在中间设备引入流分类和匹配机制,利用一些数学模型评估框架性能,使用仿真时实验验证,可以提升吞吐量并减少端到端的延迟。
- sdn把网络看成设备的集合,而不是整体资源。流量测量和控制不仅依赖于网络状态,还包括流量行为。在网络拥塞、资源有限的场景下,无法满足Qos的要求。提出一个流量控制方案,网络状态和流量行为都能互助利用。引入了DPI,包分类和行为匹配。基于中间设备的pub/sub被设计出来,分析网络吞吐量和延迟。仿真结果显示,这套设计方案可以提升吞吐量并且减少端到端的延迟。
- SDN打破了传统OSI的架构,南向API,Openflow定义了安全信道连接数据平面和控制平面,流水线加速包转发。感知特定特定设备、自动探测控制,识别了越多的流量,就能创建更细粒度的流量控制规则。
DPI
- IDS入侵检测系统、 IPS入侵防御系统
- 捕获包分析、针对不同应用流量实时分类
- 如今用于流量分类、部署内部网络的IDS和IPS
- SDN通过降低DCN的TCP senders的发送速率,帮助拥塞控制
- SDN的流水线和中心控制促使流量控制更加有效,提升延迟、流量抖动、吞吐量、稳定性、可扩展性、自动化。
存在问题:
- 现有的OpenFLow只能匹配1~4层的OSI的信息OpenFlow数据平面只包括极少的历史信息,比如流表生成时只考虑源于TCAM中的三元信息、记录包数等等,不包括源目的IP或是端口号等信息,粒度不够细,无法满足需求。如果粒度足够细,创造更细的流量转发规则,提供更多服务。
- 资源限制下,多路转发在一些通信连接下不可用。
实现困难
- 难以把应用层特征映射到流表。
- 在数据平面实现应用层感知、降低性能
研究趋势
SDN的应用感知能力、差异化服务提供。但存在:
- 难以映射应用层信息特征到流表
- 当拥塞时,由于每个包的匹配特征,实现数据平面应用感知无法达到Qos的要求
解决方法:
- 用思维导图的方法分析应用层的包的内容,获取流量特征,从相关特征上识别他们的行为,最后从不同的行为上开发差异化的服务。
- 应用感知流量控制方案,包括流量行为和网络状态。
- 将DPI引入控制平面、拓展流表结构。
- 通过流量行为实现流量分类和匹配部署到交换机、
- 将DPI处理结果独立于控制器存放在另一个地方。