本文關(guān)鍵詞： 策略沖突 頭部空間解析 流表 標記 訪問控制列表　出處：《大連海事大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

【摘要】：SDN是一種新興的基于軟件的網(wǎng)絡(luò)架構(gòu)及技術(shù),最大的特點是具有松耦合控制平面與數(shù)據(jù)平面,使轉(zhuǎn)發(fā)平面和控制平面進行分離。由于OpenFlow無狀態(tài)性,可以對數(shù)據(jù)包進行自由修改,因此會導(dǎo)致與已知設(shè)定的防火墻策略發(fā)生沖突,使得數(shù)據(jù)流可以繞過既定的策略,會使得網(wǎng)絡(luò)安全性能降低,容易受到外部攻擊。本文針對這一問題本提出了利用流表的轉(zhuǎn)發(fā)規(guī)則和流表的特性同時借助MPLS思想,制定以雙標記的方式解決沖突發(fā)生。在SDN新型網(wǎng)絡(luò)中,本文對OpenFlow協(xié)議中流表進行深入研究,了解流表的構(gòu)造以及轉(zhuǎn)發(fā)策略和規(guī)則。在出現(xiàn)策略沖突時,運用頭部空間解析算法進行策略沖突的檢測,通過頭部空間解析計算出流表項中每條路徑整合的起始和結(jié)束IP地址,并且與網(wǎng)絡(luò)中已經(jīng)設(shè)定存在的策略進行對比,判斷出是否出現(xiàn)沖突策略,并由控制器下放流表對數(shù)據(jù)包進行追蹤雙標記,即對出現(xiàn)敏感源IP地址的數(shù)據(jù)包進行標記,同時追蹤出現(xiàn)敏感目的IP地址的數(shù)據(jù)包進行標記。如果同時出現(xiàn)雙標記,則把數(shù)據(jù)包進行統(tǒng)一處理。最后將防火墻的安全策略進行部署下移,使用訪問控制列表進行優(yōu)化設(shè)置,避免了數(shù)據(jù)流與控制器交互,減輕控制器負擔(dān),在特定環(huán)境下,優(yōu)化了網(wǎng)絡(luò)設(shè)置并且提升控制器使用效率。基于在應(yīng)用層開發(fā),定義了 4個模塊實現(xiàn)策略沖突發(fā)現(xiàn)和解決方案。各個模塊分別為:拓撲建立模塊,沖突檢測與發(fā)現(xiàn)模塊,觸發(fā)機制模塊,以及流表下發(fā)模塊。并且用仿真工具Mininet和Floodlight控制器進行試驗測試,通過對簡單網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)進行對比,檢測是否可以有效的阻止策略沖突的發(fā)生并且通過控制器CPU的使用率來直觀的判斷增加訪問控制列表對控制器效率的提升。
[Abstract]:SDN is a new software-based network architecture and technology. The most important feature is that it has loosely coupled control plane and data plane, which separates the forwarding plane from the control plane. Due to the stateless nature of OpenFlow, data packets can be modified freely. This can lead to conflicts with known firewall policies that allow data streams to bypass established policies and reduce network security performance. In order to solve this problem, this paper proposes to use the forwarding rules of stream table and the characteristics of stream table, and with the help of MPLS thought, to solve the conflict in a dual-label way. In the new SDN network, a new type of network is proposed. In this paper, we deeply study the stream table in OpenFlow protocol, understand the structure of the flow table and the forwarding policy and rules. When there is a policy conflict, we use the header space parsing algorithm to detect the policy conflict. The beginning and end IP addresses of each path integration in the stream table are calculated by header space analysis, and compared with the existing policies in the network, the conflict strategy is judged. The data packet is tagged by the flow table under the controller, that is, the packet with the sensitive source IP address is marked, and the packet with the sensitive destination IP address is tagged at the same time. Finally, the security policy of the firewall is deployed downwards, and the access control list is used to optimize the setup, which avoids the interaction between the data flow and the controller, lightens the burden of the controller, and in a specific environment, Based on the development of application layer, four modules are defined to realize policy conflict detection and solution. Each module is: topology building module, conflict detection and discovery module. The trigger mechanism module, and the flow table sending module. The simulation tool Mininet and Floodlight controller are used to test, and the simple network and complex network are compared. Detection can effectively prevent the occurrence of policy conflicts and through the controller CPU usage to directly determine the increase in access control list to improve the efficiency of the controller.
【學(xué)位授予單位】：大連海事大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.0

【相似文獻】

相關(guān)期刊論文 前10條

1 朱敏華;淺談網(wǎng)絡(luò)運行預(yù)警[J];電信技術(shù);2004年12期

2 ;華為3Com“安全滲透網(wǎng)絡(luò)”解決方案正式發(fā)布[J];電力信息化;2005年04期

3 孫德和;業(yè)務(wù)融合網(wǎng)絡(luò)的魅力[J];信息安全與通信保密;2005年04期

4 單濾斌;中國聯(lián)通本地傳輸網(wǎng)絡(luò)的優(yōu)化[J];電信技術(shù);2003年07期

5 ;計算機與網(wǎng)絡(luò)[J];軍民兩用技術(shù)與產(chǎn)品;2005年04期

6 劉明輝;;合理架構(gòu)校園網(wǎng)絡(luò)的分析與研究[J];長春大學(xué)學(xué)報;2010年12期

7 周方方;;如何做好專網(wǎng)光網(wǎng)絡(luò)建設(shè)維護[J];信息通信;2013年10期

8 林曉霞;;本地電層傳輸網(wǎng)絡(luò)的優(yōu)化思路淺析[J];沿海企業(yè)與科技;2008年07期

9 邊鋒;網(wǎng)絡(luò),決戰(zhàn)于“安全”[J];中國計算機用戶;2005年11期

10 崔海東;;移動網(wǎng)絡(luò)IP化的趨勢、內(nèi)涵和策略[J];現(xiàn)代電信科技;2008年04期

相關(guān)會議論文 前6條

1 黃建玉;;淺談3G的網(wǎng)絡(luò)安全規(guī)劃[A];2007中國科協(xié)年會——通信與信息發(fā)展高層論壇論文集[C];2007年

2 葉作亮;高千惠;代麗;張夢;;回文網(wǎng)絡(luò)——探析Web信息的結(jié)構(gòu)和形成機制[A];第六屆（2011）中國管理學(xué)年會——信息管理分會場論文集[C];2011年

3 商宗雁;;光網(wǎng)絡(luò)發(fā)展展望[A];黑龍江省通信學(xué)會學(xué)術(shù)年會論文集[C];2005年

4 陳鋼;;MSTP技術(shù)在3G傳輸網(wǎng)絡(luò)建設(shè)中的重要意義及其發(fā)展趨勢[A];中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2005年年會論文集[C];2005年

5 陳文雄;;OTN技術(shù)在城域光網(wǎng)絡(luò)的應(yīng)用分析[A];第十屆中國科協(xié)年會信息化與社會發(fā)展學(xué)術(shù)討論會分會場論文集[C];2008年

6 馬潤斌;;IP網(wǎng)絡(luò)發(fā)展的基石——服務(wù)質(zhì)量(QoS)[A];中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2005年年會論文集[C];2005年

相關(guān)重要報紙文章 前10條

1 ;滲透網(wǎng)絡(luò)演繹安全神話[N];中國計算機報;2005年

2 王曉光;農(nóng)資營銷網(wǎng)絡(luò)建設(shè)思路[N];農(nóng)資導(dǎo)報;2005年

3 高國棟;堵住漏點 不留縫隙[N];中國計算機報;2003年

4 湖北大學(xué)網(wǎng)絡(luò)中心 李超;易于管理的網(wǎng)絡(luò)[N];計算機世界;2005年

5 ;透視世界第一部網(wǎng)絡(luò)戰(zhàn)爭法規(guī)[N];中國航天報;2011年

6 華為3Com 孫德和;業(yè)務(wù)融合網(wǎng)絡(luò)的魅力[N];中國電腦教育報;2005年

7 CPW記者　張戈;華為3Com“安全滲透網(wǎng)絡(luò)”突破傳統(tǒng)思路[N];電腦商報;2005年

8 孫保紅;3G UMTS網(wǎng)絡(luò)架構(gòu)建議[N];通信產(chǎn)業(yè)報;2002年

9 本報記者　楊　谷;王之認為： 網(wǎng)絡(luò)和制造是中國IT業(yè)的機會[N];光明日報;2000年

10 花榮軍;高樓平地起[N];中華合作時報;2003年

相關(guān)博士學(xué)位論文 前9條

1 石海佳;基于復(fù)雜網(wǎng)絡(luò)的產(chǎn)業(yè)生態(tài)系統(tǒng)結(jié)構(gòu)復(fù)雜性研究[D];清華大學(xué);2015年

2 張蕊;網(wǎng)絡(luò)經(jīng)濟及其在中國的發(fā)展[D];四川大學(xué);2002年

3 禚釗;復(fù)雜網(wǎng)絡(luò)局域同步的實證、動力學(xué)和若干應(yīng)用問題研究[D];中國科學(xué)技術(shù)大學(xué);2012年

4 傅榮;商務(wù)網(wǎng)絡(luò)成因與演化——基于資源觀理論的分析[D];廈門大學(xué);2003年

5 熊巧;區(qū)域綜合交通網(wǎng)絡(luò)布局優(yōu)化與決策研究[D];西南交通大學(xué);2015年

6 陶洋;網(wǎng)絡(luò)性能提升技術(shù)研究[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2001年

7 童俊杰;服務(wù)網(wǎng)絡(luò)中若干關(guān)鍵問題的研究[D];北京郵電大學(xué);2014年

8 柯文前;高速公路交通流網(wǎng)絡(luò)的時空特征與城市空間關(guān)聯(lián)研究[D];南京師范大學(xué);2015年

9 張瑩瑩;清開靈多組分干預(yù)腦缺血模型蛋白質(zhì)網(wǎng)絡(luò)主要模塊的識別與比較[D];中國中醫(yī)科學(xué)院;2014年

相關(guān)碩士學(xué)位論文 前10條

1 鞏慶良;鏈路預(yù)測和符號網(wǎng)絡(luò)社區(qū)檢測研究[D];西安電子科技大學(xué);2014年

2 袁熹;高可靠網(wǎng)絡(luò)中實時性保障技術(shù)研究與應(yīng)用[D];南華大學(xué);2015年

3 黃炳杰;某中等職業(yè)技術(shù)學(xué)校校園網(wǎng)絡(luò)改造規(guī)劃和設(shè)計[D];華南理工大學(xué);2015年

4 徐浩;稅務(wù)關(guān)系網(wǎng)絡(luò)數(shù)據(jù)可視化研究[D];東南大學(xué);2015年

5 文強;SDN網(wǎng)絡(luò)業(yè)務(wù)量工程技術(shù)研究[D];電子科技大學(xué);2016年

6 姚飛亞;頂點帶屬性網(wǎng)絡(luò)的鏈接預(yù)測[D];揚州大學(xué);2016年

7 李聰;基于電信無線網(wǎng)的傳輸網(wǎng)絡(luò)優(yōu)化方案研究[D];長春理工大學(xué);2016年

8 吳永亮;異質(zhì)網(wǎng)絡(luò)中重疊社區(qū)發(fā)現(xiàn)技術(shù)研究[D];蘭州交通大學(xué);2016年

9 張潔;網(wǎng)絡(luò)功能、有意識的知識溢出與知識創(chuàng)造關(guān)系研究[D];東北財經(jīng)大學(xué);2016年

10 杜丹;基于復(fù)雜網(wǎng)絡(luò)的和弦生成和歌詞創(chuàng)作算法的研究[D];東北大學(xué);2015年

，

本文編號：1533460