简述如何利用SDN技术解决网络安全问题？

Posted 2023-04-11

SDN的三个特征：

1、控制平面与数据平面的分离： 此处的分离是指控制平面与数据平面的解耦合。控制平面和数据平面之间不再相互依赖， 两者可以独立完成体系结构的演进， 双方只需要遵循统一的开放接口进行通信即可。 控制平面与数据平面的分离是 SDN 架构区别于传统网络体系结构的重要标志，是网络获得更多可编程能力的架构基础。

2、网络开放可编程： SDN 建立了新的网络抽象模型，为用户提供了一套完整的通用 API，使用户可以在控制器上编程实现对网络的配置、 控制和管理， 从而加快网络业务部署的进程。

3、逻辑上的集中控制： 主要是指对分布式网络状态的集中统一管理。 在 SDN 架构中，控制器会担负起收集和管理所有网络状态信息的重任。 逻辑集中控制为软件编程定义网络功能提供了架构基础，也为网络自动化管理提供了可能。

在这三个特征中，控制平面和数据平面分离为逻辑集中控制创造了条件，逻辑集中控制为开放可编程控制提供了架构基础，而网络开放可编程才是 SDN 的核心特征。

网络可视性将确保更好的网络监控。以安全为中心的SDN的范式包含五个基本属性，从数据平面解耦安全、监控和交换元件，这将允许企业更好地控制流经网络的流量。网络可视性将确保更好 的网络监控。简化的安全基础设施将提高网络的灵活性，从而更好地整合多种安全设备和解决方案。这种灵活性使企业能够将多个最佳安全解决方案编排为统一的优 化的防御层。另外，自动化配置不仅能够减少网络复杂性，还能够支持更好的访问管理。总而言之，这五个属性能够大大提高网络的安全性。

这种网络中的每个现有安全组件随后都可以分配为解决特定的风险和漏洞问题。这种网络作为一个整体，能够根据所检测到的威胁来调整自己的行为，转移可疑流 量、改变安全设备的响应，或者阻止数据包，所有这些操作几乎不需要人为干预。这种以安全为中心的SDN还能够承担多个安全工具的职责，抵御攻击 参考技术A 正确答案：(1)提供网络结构的统一视图：对整个网络架构实现统一的查看，从而简化配置、管理和优化。
(2)高利用率：集中化的流量工程使得我们能够有效地调整端到端的流量路径，从而达到网络资源的高效利用。
(3)快速故障修复：链路、节点故障都能实现快速修复。而且系统能够快速的聚合网络资源，实现平均分配，并且对于一些网络行为可进行预测。
(4)平滑升级：控制平面和转发/数据平面的分离可以做到软件平滑升级的同时保证没有数据丢包或者性能衰减。
(5)弹性计算：大规模的计算、路径分析都被集成在子控制器中，由最新代的服务器完成。 参考技术B 正确答案：(1)提供网络结构的统一视图：对整个网络架构实现统一的查看，从而简化配置、管理和优化。
(2)高利用率：集中化的流量工程使得我们能够有效地调整端到端的流量路径，从而达到网络资源的高效利用。
(3)快速故障修复：链路、节点故障都能实现快速修复。而且系统能够快速的聚合网络资源，实现平均分配，并且对于一些网络行为可进行预测。
(4)平滑升级：控制平面和转发/数据平面的分离可以做到软件平滑升级的同时保证没有数据丢包或者性能衰减。
(5)弹性计算：大规模的计算、路径分析都被集成在子控制器中，由最新代的服务器完成。 参考技术C 正确答案：(1)提供网络结构的统一视图：对整个网络架构实现统一的查看，从而简化配置、管理和优化。
(2)高利用率：集中化的流量工程使得我们能够有效地调整端到端的流量路径，从而达到网络资源的高效利用。
(3)快速故障修复：链路、节点故障都能实现快速修复。而且系统能够快速的聚合网络资源，实现平均分配，并且对于一些网络行为可进行预测。
(4)平滑升级：控制平面和转发/数据平面的分离可以做到软件平滑升级的同时保证没有数据丢包或者性能衰减。
(5)弹性计算：大规模的计算、路径分析都被集成在子控制器中，由最新代的服务器完成。

我们为什么需要SDN？

引言：SDN为什么会出现？是什么原因使得学术界提出SDN？我们为什么需要SDN？如果你刚接触SDN方案时，你一定有这样的疑问。而问题的答案是：我们需要拥有更多可编程能力的网络，来支持快速增长的网络业务需求。
本文选自《重构网络：SDN架构与实现》。

　　众所周知，相比发展迅速的计算机产业，网络产业的创新十分缓慢。每一个创新都需要等待数年才能完成技术标准化。为了解决这个问题，SDN创始人Nick McKeown教授对计算机产业的创新模式和网络产业的创新模式进行了研究和对比。在分析了计算机产业的创新模式之后，他总结出支撑计算机产业快速创新的如下三个因素。

• 计算机工业找到了一个面向计算的通用硬件底层：通用处理器，使得计算机的功能可以通过软件定义的方式来实现。

• 计算机功能的软件定义方式带来了更加灵活的编程能力，使得软件应用的种类得到爆炸式的增长。

• 计算机软件的开源模式，催生了大量的开源软件，加速了软件开发的进程，推动了整个计算机产业的快速发展，Linux开源操作系统就是最好的证明。

相比之下，传统的网络设备与上世纪60年代的IBM大型机类似，网络设备硬件、操作系统和网络应用三部分紧耦合在一起组成一个封闭的系统。这三部分相互依赖，通常隶属于同一家网络设备厂商，每一部分的创新和演进都要求其余部分做出同样的升级。这样的架构严重阻碍了网络创新进程的开展。如果网络产业能像当今计算机产业一样，也具备通用硬件底层、软件定义功能和开源模式三要素，一定能获得更快的创新速度，最终像计算机产业一样取得空前的发展。

　　正是在这种思路的影响下，McKeown教授团队提出了一个新的网络体系结构：SDN。在SDN架构中，网络的控制平面与数据平面相分离，数据平面将变得更加通用化，变得与计算机通用硬件底层类似，不再需要具体实现各种网络协议的控制逻辑，而只需要接收控制平面的操作指令并执行即可。网络设备的控制逻辑转而由软件实现的SDN控制器和SDN应用来定义，从而实现网络功能的软件定义化。随着开源SDN控制器和开源SDN开放接口的出现，网络体系结构也拥有了通用底层硬件、支持软件定义和开源模式三个要素。从传统网络体系结构到SDN网络体系结构的演进关系如下。

　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　传统网络架构向SDN架构演进示意图

　　所以可以看出，Nick McKeown教授在分析计算机产业创新模式的基础上，对传统网络系统的三部分功能模块进行了重新划分，在每层之间建立统一的开放接口，从而形成类似计算机架构的SDN体系结构。

　　除了从Nick McKeown教授的思路去理解为什么SDN会出现以外，还可以从另外一位SDN创始者Shenker教授的观点中顺藤摸瓜，进一步了解为什么SDN会出现。

　　“为了让系统更好地工作，早期需要管理复杂性而后期需要提取简单性”是由美国学者唐·诺曼提出的系统设计理念。在这个理念的启发下，Shenker教授对现阶段的网络系统进行了分析，并得出了结论：网络发展了这么多年，仍然处于“管理复杂性”阶段，越来越多的网络新协议和新算法使得网络控制平面变得越来越复杂。但是现在的网络用户却对网络的易用性有更高的要求，希望网络具有更多的可编程能力，从而自动化、智能化网络管理。所以对于当下的网络而言，当务之急是如何解决从“管理复杂性”阶段转变到“提取简单性”阶段的问题。

　　Shenker教授以计算机软件编程为例进行分析。编程语言发展初期，程序员必须处理所有底层硬件细节，整个编程方式处于“管理复杂性”阶段；后来出现的高级编程语言对底层硬件细节进行了抽象，提出了操作系统、文件系统和面向对象等抽象概念，使得编程变得更加容易。从计算机软件编程的发展中可以看出，“抽象”是完成这个转变的关键。

　　而对于网络而言，现有的分层协议可以看作一种数据平面抽象模型，但是控制平面依然只是网络功能和网络协议的堆砌，缺少合适的抽象模型。所以，网络需要建立控制平面的抽象模型。

　　而在SDN架构中，SDN控制平面、数据平面通用抽象模型和全局网络状态视图三种抽象模型实现了包括控制平面抽象在内的网络抽象架构。SDN控制平面抽象模型支持用户在控制平面上进行编程去控制网络，而无须关心数据平面的实现细节；SDN数据平面通用抽象模型将不同协议的匹配表整合起来，形成多字段匹配表，解决了网络协议堆砌问题；集中式的SDN控制平面也可以统计网络状态信息，提供描述网络状态的抽象模型。因此，通过进一步的抽象，SDN可以使网络从“管理复杂性”阶段到“提取简单性”阶段转变，满足网络用户对易用性的需求，使网络管理更加简单，更加自动化和智能。这也是为什么需要SDN的原因之一。

　　对比两位SDN创始人的观点：Nick McKeown教授从“系统功能重构（Refactoring Functionality）”的角度来分析、解决当下的网络问题，而Scott Shenker教授却从“重新定义抽象（Redefining Abstractions）”的角度来尝试解决现有的网络问题。归根结底，这两种思路从不同的角度阐述了当下网络需要更多可编程能力的事实，而这也正是为什么需要SDN的真正原因。虽然两位教授的思路不同，但殊途同归，有异曲同工之妙。

　　本文选自《重构网络：SDN架构与实现》，点此链接可在博文视点官网查看此书。
　　　　　　　　　　　　　　　　　　　　
　　想及时获得更多精彩文章，可在微信中搜索“博文视点”或者扫描下方二维码并关注。
　　　　　　　　　　　　　　　　　　　　　　　

本文出自 “博文视点官方博客” 博客，请务必保留此出处http://bvbroadview.blog.51cto.com/3227029/1917011