基于Open vSwitch虚拟网络的细粒度访问控制
发布时间:2021-11-25 09:19
随着云计算的发展,虚拟化技术的研究成为热点之一,网络的虚拟化也得到了空前发展。所谓虚拟化技术,就是对物理硬件进行虚拟化,作为资源池向外界提供统服务。虚拟化技术可以提高硬件的使用效率,简化软件的重新配置过程。网络虚拟化,减少了对物理交换机的依赖,用虚拟的交换机,降低了成本,同时也简化了配置。虚拟化技术发展的同时,也带来了一系列的安全问题,例如虚拟化后的内存共享增加了虚拟机信息泄露的风险,由Hypervisor管理虚拟机,原来由客户自自主控制的策略,现在已部分转移到运营商;基于物理边界节点(如交换机、路由器、防火墙等)的控制机制对虚拟机不再有效,并且控制粒度不够满足需求。本文主要对虚拟网络中的访问控制策略进行研究,增加细粒度的访问控制策略。并以Open vSwitch为具体研究对象。本文首先分析了OpenFlow的虚拟交换机架构,研究其Controller的工作过程,其次研究Open vSwitch的switch功能,并着重研究Open vSwitch的以OpenFlow协议为基础的control-switch机制,及其访问控制规则,然后根据细粒度访问控制的需求修改了controller中...
【文章来源】:复旦大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:51 页
【学位级别】:硕士
【部分图文】:
图2.1:在同一个网络基础上的逻靖网络划分??2丄:L1.网络
??/?■??图2.1:在同一个网络基础上的逻靖网络划分??2丄:L1.虚巧网络架构??虚拟化的网络架构的组成,或分为H个主要部分组成。它们是:访问控制,??路径隔离,最后是所谓的虚拟服务。下图显示出了H个姐成部分形成的体系结构??的一个虚拟网络的总结。????表2.1;网络虚拟化架构???? ̄?i方I'司控审IJ?路径隔离?服务边界??功终端认证(包括用户、设备和在网络层基础上区别提供访问服务:共??能应用)尝试网络访问?管理通信?享、上传、??授权终端加入?对网络层划分的进行为每个子网提供策??拒绝未授权终端?流量隔离?略??在访问和服务上映射隔离应用环境????I网络层隔离路径????第一个虚拟网络组件是访问控制。这个模块决定允许对网络访问的用户或设??各,并且会到被分配到相应的组W对应适当的逻辑分区。用户可W分割成不同的??组,根据角色不同:员工,承建商,顾问或客人。此外,提供对接入控制的认证??是安全的关键因素。第二个组件是路径隔离。该组件是指基于共享物理网络基础??设施创建独立的逻辑链路。通过该组件可til管理维护划分在一个共同的物理网络??基础设施上的各个子网。??在一个共同的物理网络基础设施上创建独立的還辑链路传输路径的主要目??7??
不同于基于端曰划分的VLAN,基于MAC地址划分的VLAN具有更高的??移动性,如果一台虚拟机在同一个VLAN内移动,并不需要任何额外配置,只有??当虚拟机移到其他VLAN,才需要进行配置。图2.3为基于MAC地址划分的虚巧??局域网。??if?rn??!?mcjai?RAC^ta?mnc..m?wc..化?画wac..4??mac.说?游L?j?I????I?;?SSSgS?I?aSSjlp?..^S33g^,?raSjSgP*-?去淳琼爭护?:'巧巧灣*百,*?f??I-10*?以?Bl,?1^龄?1公?W?皆;??乂\\?'’‘?//'?i?W?-??G31B3?aamii??村泣?3?\?NO?.4?化.S??fmim^?OTpKD??\?/??I?袋蛾?j?终??I?Ip?mp?vttfri?j??k*H*w?"f—麵?vr?es?'?;??i?l'jfffF^l???????*_'??J??图2.3基于MAC地址划分的VLAN??这个方式的优点是即使物理机所在的位置不同,也不影响其所在的VLAN的??运作。但缺点是必须在交换机中设置每一台设备MAC地址与VLAN间的映射关??系表,并且不能给多个VLAN分配同一个MAC地址。?.??2丄2.2.3.基于协议划分??VLAN也可W定义自己的网络或网络层地址。在该方法中,各个设备通过使??用协议或网络层地址被分配到对应的VLAN,同时考虑数据包传输的协议和网络??层地址。特别的是
本文编号:3517851
【文章来源】:复旦大学上海市 211工程院校 985工程院校 教育部直属院校
【文章页数】:51 页
【学位级别】:硕士
【部分图文】:
图2.1:在同一个网络基础上的逻靖网络划分??2丄:L1.网络
??/?■??图2.1:在同一个网络基础上的逻靖网络划分??2丄:L1.虚巧网络架构??虚拟化的网络架构的组成,或分为H个主要部分组成。它们是:访问控制,??路径隔离,最后是所谓的虚拟服务。下图显示出了H个姐成部分形成的体系结构??的一个虚拟网络的总结。????表2.1;网络虚拟化架构???? ̄?i方I'司控审IJ?路径隔离?服务边界??功终端认证(包括用户、设备和在网络层基础上区别提供访问服务:共??能应用)尝试网络访问?管理通信?享、上传、??授权终端加入?对网络层划分的进行为每个子网提供策??拒绝未授权终端?流量隔离?略??在访问和服务上映射隔离应用环境????I网络层隔离路径????第一个虚拟网络组件是访问控制。这个模块决定允许对网络访问的用户或设??各,并且会到被分配到相应的组W对应适当的逻辑分区。用户可W分割成不同的??组,根据角色不同:员工,承建商,顾问或客人。此外,提供对接入控制的认证??是安全的关键因素。第二个组件是路径隔离。该组件是指基于共享物理网络基础??设施创建独立的逻辑链路。通过该组件可til管理维护划分在一个共同的物理网络??基础设施上的各个子网。??在一个共同的物理网络基础设施上创建独立的還辑链路传输路径的主要目??7??
不同于基于端曰划分的VLAN,基于MAC地址划分的VLAN具有更高的??移动性,如果一台虚拟机在同一个VLAN内移动,并不需要任何额外配置,只有??当虚拟机移到其他VLAN,才需要进行配置。图2.3为基于MAC地址划分的虚巧??局域网。??if?rn??!?mcjai?RAC^ta?mnc..m?wc..化?画wac..4??mac.说?游L?j?I????I?;?SSSgS?I?aSSjlp?..^S33g^,?raSjSgP*-?去淳琼爭护?:'巧巧灣*百,*?f??I-10*?以?Bl,?1^龄?1公?W?皆;??乂\\?'’‘?//'?i?W?-??G31B3?aamii??村泣?3?\?NO?.4?化.S??fmim^?OTpKD??\?/??I?袋蛾?j?终??I?Ip?mp?vttfri?j??k*H*w?"f—麵?vr?es?'?;??i?l'jfffF^l???????*_'??J??图2.3基于MAC地址划分的VLAN??这个方式的优点是即使物理机所在的位置不同,也不影响其所在的VLAN的??运作。但缺点是必须在交换机中设置每一台设备MAC地址与VLAN间的映射关??系表,并且不能给多个VLAN分配同一个MAC地址。?.??2丄2.2.3.基于协议划分??VLAN也可W定义自己的网络或网络层地址。在该方法中,各个设备通过使??用协议或网络层地址被分配到对应的VLAN,同时考虑数据包传输的协议和网络??层地址。特别的是
本文编号:3517851
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3517851.html
