摘要

面對日益嚴重的網絡安全問題時，網絡管理員主要使用解決特定問題的工具如 ping、traceroute、SNMP、tcpdump 等，能否找到故障位置的關鍵是網絡管理員的經驗和能力，因此出現故障以后，沒有經驗的網絡管理員往往不能正確應對，可能對網絡服務造成極大的二次損失。另一方面，通用工具或者框架工具，使用復雜的同時也無法滿足用戶靈活配置的需求。

論文在 SDN 中提出意向回溯和分類故障排除兩種擴展的網絡安全策略。

基于逆向轉發的數據包回溯通過運行在控制器上的應用管理程序來實現，對于無法使用數據包抽象信息的問題，提出的意向回溯策略將底層 IP 地址、端口信息抽象為邏輯上具有應用軟件、控制器、移動設備的意向特征。意向回溯策略由控制應用組件統一管理，用戶使用時通過接口調用，并由運行時系統環境負責對其進行解釋、轉換和維護。

通過路徑查詢得到數據包的上游和下游路徑信息，對于不確定存在的故障事件，提出基于路徑查詢進行故障發現的方法，以便于盡可能提前確認網絡內有無故障。結合故障排除算法，故障定位通過計算處于故障路徑上的鏈路權重，對鏈路的權重分析得到最大可能發生故障的位置，從而為下一步修復故障提供依據，搭建實驗環境測試故障排除策略的實際效果。

通過分析實驗結果，意向回溯策略和分類故障排除策略對現有網絡 SDN 安全策略具有重要補充意義，意向回溯策略是滿足了用戶根據不同的意向進行回溯的需求，故障排除策略能夠幫助網絡管理員盡早確定故障類型，便于對故障的深入分析和積累經驗。

關鍵詞： 軟件定義網絡，故障排除，意向策略，分類策略

Abstract

With the increasing number of security problems, network operators solve specific problemsthat mainly use the tool such as ping, traceroute, SNMP, tcpdump and so on. The key to finding thelocation of the fault is the experience and capability, for inexperienced operators that may cause asecondary damage to network services. However, the configuration of general-purpose tools andframework tools is not only sophisticated but also not flexible enough. This paper presents twonetwork security policies, intentional packet traceback and classifying troubleshooting.

Packet traceback application that based on backward policy runs on the control plane, for theproblem that people cannot use abstract information of packets, this paper presents the policy ofintentional traceback, which mapping IP addresses and port numbers or other low-level featureswith abstractions to intents such as some high-level features, like people, applications and devices,which is managed by a control application component and called by the interface when used. Therun-time environment is responsible for the interpretation of the intentional traceback policy, as wellas the transformation and the maintenance.

Path query can return upstream or downstream information of captured packets, for uncertainexisting of fault event, this paper presents a way of fault detection based on path query, in order toconfirm the existence of fault as soon as possible. Combined with the troubleshooting algorithm,calculating the link weight, which is on the path of fault and analyzing the weight of the link to getthe most possible position of the root cause, thus above way provides the basis for the next step offault recovery, which is tested in an experimental environment.

From the results, the policies of intentional traceback and classifying troubleshootingcomplement existing SDN security policies well. The policy of intentional tracetrack is used tomeet the needs of the user for tracing packet back according to different intents, and the policy ofclassifying troubleshooting may help network operators detect the fault as soon as possible, analyzethoroughly of the fault and accumulate experience.

Key words: Software defined networks, troubleshooting, intentional policy, classifying policy


目錄

第一章 緒論

1.1 研究背景和意義

1.2 研究現狀

1.2.1 SDN 安全架構現狀

1.2.2 SDN 安全策略現狀

1.3 論文主要研究內容

1.4 論文章節安排

第二章 相關背景知識介紹

2.1 SDN 架構與 OpenFlow 技術

2.1.1 流表項

2.1.2 消息

2.2 數據包回溯策略

2.3 故障排除策略

2.4 本章小結

第三章 基于 SDN 的安全策略擴展

3.1 基于依賴關系圖的回溯策略

3.2 基于因果圖的故障排除策略

3.3 擴展的 SDN 安全策略

3.3.1 逆向轉發技術

3.3.2 路徑查詢技術

3.3.3 網絡分層技術

3.4 本章小結

第四章 基于逆向轉發的意向回溯策略

4.1 意向策略

4.2 意向回溯策略

4.2.1 帶應用特征的意向回溯

4.2.2 帶控制器特征的意向回溯

4.2.3 帶移動設備特征的意向回溯

4.3 意向回溯實驗驗證

4.3.1 模塊化組件

4.3.2 拓撲策略

4.3.3 迭代回溯

4.4 本章小結

第五章 基于路徑查詢的分類故障排除策略

5.1 分類策略

5.2 分類故障排除策略

5.2.1 故障排除實例

5.2.2 故障排除框架

5.2.3 故障排除算法

5.3 故障排除實驗驗證

5.3.1 實驗方案

5.3.2 實驗環境

5.3.3 測試和結果

5.4 本章小結

第六章 總結與展望

6.1 論文工作總結

6.2 參考文獻

致謝