SDN网络访问策略冲突的检测和解决方法
本文关键词: 策略冲突 头部空间解析 流表 标记 访问控制列表 出处:《大连海事大学》2017年硕士论文 论文类型:学位论文
【摘要】:SDN是一种新兴的基于软件的网络架构及技术,最大的特点是具有松耦合控制平面与数据平面,使转发平面和控制平面进行分离。由于OpenFlow无状态性,可以对数据包进行自由修改,因此会导致与已知设定的防火墙策略发生冲突,使得数据流可以绕过既定的策略,会使得网络安全性能降低,容易受到外部攻击。本文针对这一问题本提出了利用流表的转发规则和流表的特性同时借助MPLS思想,制定以双标记的方式解决冲突发生。在SDN新型网络中,本文对OpenFlow协议中流表进行深入研究,了解流表的构造以及转发策略和规则。在出现策略冲突时,运用头部空间解析算法进行策略冲突的检测,通过头部空间解析计算出流表项中每条路径整合的起始和结束IP地址,并且与网络中已经设定存在的策略进行对比,判断出是否出现冲突策略,并由控制器下放流表对数据包进行追踪双标记,即对出现敏感源IP地址的数据包进行标记,同时追踪出现敏感目的IP地址的数据包进行标记。如果同时出现双标记,则把数据包进行统一处理。最后将防火墙的安全策略进行部署下移,使用访问控制列表进行优化设置,避免了数据流与控制器交互,减轻控制器负担,在特定环境下,优化了网络设置并且提升控制器使用效率。基于在应用层开发,定义了 4个模块实现策略冲突发现和解决方案。各个模块分别为:拓扑建立模块,冲突检测与发现模块,触发机制模块,以及流表下发模块。并且用仿真工具Mininet和Floodlight控制器进行试验测试,通过对简单网络和复杂网络进行对比,检测是否可以有效的阻止策略冲突的发生并且通过控制器CPU的使用率来直观的判断增加访问控制列表对控制器效率的提升。
[Abstract]:SDN is a new software-based network architecture and technology. The most important feature is that it has loosely coupled control plane and data plane, which separates the forwarding plane from the control plane. Due to the stateless nature of OpenFlow, data packets can be modified freely. This can lead to conflicts with known firewall policies that allow data streams to bypass established policies and reduce network security performance. In order to solve this problem, this paper proposes to use the forwarding rules of stream table and the characteristics of stream table, and with the help of MPLS thought, to solve the conflict in a dual-label way. In the new SDN network, a new type of network is proposed. In this paper, we deeply study the stream table in OpenFlow protocol, understand the structure of the flow table and the forwarding policy and rules. When there is a policy conflict, we use the header space parsing algorithm to detect the policy conflict. The beginning and end IP addresses of each path integration in the stream table are calculated by header space analysis, and compared with the existing policies in the network, the conflict strategy is judged. The data packet is tagged by the flow table under the controller, that is, the packet with the sensitive source IP address is marked, and the packet with the sensitive destination IP address is tagged at the same time. Finally, the security policy of the firewall is deployed downwards, and the access control list is used to optimize the setup, which avoids the interaction between the data flow and the controller, lightens the burden of the controller, and in a specific environment, Based on the development of application layer, four modules are defined to realize policy conflict detection and solution. Each module is: topology building module, conflict detection and discovery module. The trigger mechanism module, and the flow table sending module. The simulation tool Mininet and Floodlight controller are used to test, and the simple network and complex network are compared. Detection can effectively prevent the occurrence of policy conflicts and through the controller CPU usage to directly determine the increase in access control list to improve the efficiency of the controller.
【学位授予单位】:大连海事大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.0
【相似文献】
相关期刊论文 前10条
1 朱敏华;浅谈网络运行预警[J];电信技术;2004年12期
2 ;华为3Com“安全渗透网络”解决方案正式发布[J];电力信息化;2005年04期
3 孙德和;业务融合网络的魅力[J];信息安全与通信保密;2005年04期
4 单滤斌;中国联通本地传输网络的优化[J];电信技术;2003年07期
5 ;计算机与网络[J];军民两用技术与产品;2005年04期
6 刘明辉;;合理架构校园网络的分析与研究[J];长春大学学报;2010年12期
7 周方方;;如何做好专网光网络建设维护[J];信息通信;2013年10期
8 林晓霞;;本地电层传输网络的优化思路浅析[J];沿海企业与科技;2008年07期
9 边锋;网络,决战于“安全”[J];中国计算机用户;2005年11期
10 崔海东;;移动网络IP化的趋势、内涵和策略[J];现代电信科技;2008年04期
相关会议论文 前6条
1 黄建玉;;浅谈3G的网络安全规划[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
2 叶作亮;高千惠;代丽;张梦;;回文网络——探析Web信息的结构和形成机制[A];第六届(2011)中国管理学年会——信息管理分会场论文集[C];2011年
3 商宗雁;;光网络发展展望[A];黑龙江省通信学会学术年会论文集[C];2005年
4 陈钢;;MSTP技术在3G传输网络建设中的重要意义及其发展趋势[A];中国通信学会信息通信网络技术委员会2005年年会论文集[C];2005年
5 陈文雄;;OTN技术在城域光网络的应用分析[A];第十届中国科协年会信息化与社会发展学术讨论会分会场论文集[C];2008年
6 马润斌;;IP网络发展的基石——服务质量(QoS)[A];中国通信学会信息通信网络技术委员会2005年年会论文集[C];2005年
相关重要报纸文章 前10条
1 ;渗透网络演绎安全神话[N];中国计算机报;2005年
2 王晓光;农资营销网络建设思路[N];农资导报;2005年
3 高国栋;堵住漏点 不留缝隙[N];中国计算机报;2003年
4 湖北大学网络中心 李超;易于管理的网络[N];计算机世界;2005年
5 ;透视世界第一部网络战争法规[N];中国航天报;2011年
6 华为3Com 孙德和;业务融合网络的魅力[N];中国电脑教育报;2005年
7 CPW记者 张戈;华为3Com“安全渗透网络”突破传统思路[N];电脑商报;2005年
8 孙保红;3G UMTS网络架构建议[N];通信产业报;2002年
9 本报记者 杨 谷;王之认为: 网络和制造是中国IT业的机会[N];光明日报;2000年
10 花荣军;高楼平地起[N];中华合作时报;2003年
相关博士学位论文 前9条
1 石海佳;基于复杂网络的产业生态系统结构复杂性研究[D];清华大学;2015年
2 张蕊;网络经济及其在中国的发展[D];四川大学;2002年
3 禚钊;复杂网络局域同步的实证、动力学和若干应用问题研究[D];中国科学技术大学;2012年
4 傅荣;商务网络成因与演化——基于资源观理论的分析[D];厦门大学;2003年
5 熊巧;区域综合交通网络布局优化与决策研究[D];西南交通大学;2015年
6 陶洋;网络性能提升技术研究[D];中国科学院研究生院(计算技术研究所);2001年
7 童俊杰;服务网络中若干关键问题的研究[D];北京邮电大学;2014年
8 柯文前;高速公路交通流网络的时空特征与城市空间关联研究[D];南京师范大学;2015年
9 张莹莹;清开灵多组分干预脑缺血模型蛋白质网络主要模块的识别与比较[D];中国中医科学院;2014年
相关硕士学位论文 前10条
1 巩庆良;链路预测和符号网络社区检测研究[D];西安电子科技大学;2014年
2 袁熹;高可靠网络中实时性保障技术研究与应用[D];南华大学;2015年
3 黄炳杰;某中等职业技术学校校园网络改造规划和设计[D];华南理工大学;2015年
4 徐浩;税务关系网络数据可视化研究[D];东南大学;2015年
5 文强;SDN网络业务量工程技术研究[D];电子科技大学;2016年
6 姚飞亚;顶点带属性网络的链接预测[D];扬州大学;2016年
7 李聪;基于电信无线网的传输网络优化方案研究[D];长春理工大学;2016年
8 吴永亮;异质网络中重叠社区发现技术研究[D];兰州交通大学;2016年
9 张洁;网络功能、有意识的知识溢出与知识创造关系研究[D];东北财经大学;2016年
10 杜丹;基于复杂网络的和弦生成和歌词创作算法的研究[D];东北大学;2015年
,本文编号:1533460
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/1533460.html
