《基于逆向转发的意向回溯策略,计算机网络论文.docx》由会员分享,可在线阅读,更多相关《基于逆向转发的意向回溯策略,计算机网络论文.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、基于逆向转发的意向回溯策略,计算机网络论文4.2.1带应用特征的意向回溯对不同的业务,如视频、音乐、文件下载等,需要网络管理员细致的分类。但是无论怎样,层出不穷的网络应用仍然难以区别。对某一业务,如视频业务,怎样将其定义为意向策略,是不是我们能够以为访问的主机就是在使用视频业务呢?当然不是,可能用户正在查询、下载,或者只是在网页上阅读,我们无法确定用户在某一时刻的行为。但是事实是用户访问了,就知道用户的主要意向在观看视频,而不是为了查询,由于假如仅仅为了查询,显然专业的搜索引擎愈加有用。这样就能够将视频应用意向广义地定义为访问网址的数据包.在视频意向的网址集合中添加视频网站的网址,控制器根据定
2、义的意向策略,下发到回溯节点,这样实现回溯用户访问网址的数据包.初次成功匹配的数据包上传到控制器进行回溯操作,并将回溯到的数据包途径返回给用户。现实网络环境总是处在不断变化之中,例如在内容分发网络中,由于同样的网址可能解析出不同的IP地址,并且这些IP地址被不同的应用分享,即应用服务器对应多个提供不同的服务IP地址,怎样正确区分出视频服务还是其他的服务,对于网络的管理员来讲总是挑战。即便DNS动态解析出应用服务器对应的所有的IP地址,还需要知道视频网站的源IP地址才能知道确定一个应用特征。4.2.2带控制器特征的意向回溯在SDN回溯系统中,控制器的作用是最重要的,负责意向策略的下发和支持回溯策
3、略的计算。在单一控制器环境中,问题相对简单。我们只要保证意向策略编写正确,准确下发到交换机,交换机能够与控制器正常通信就能够完成意向回溯。在多控制器环境中,来自不同控制器之间的信息交换显得格外重要。由于控制器间信任关系复杂,来自外部网络安全方面的压力不断阻碍新技术的应用。假如能够在设计初期对控制器进行统一标识,用于不同控制器间的信息交互,但是在现有控制器框架下,并没有看到这方面成熟的技术。增加认证中心对控制器以及管理员用户进行身份认证能够有效解决信任问题。这样通过SDN可编程接口解决控制器统一标识问题,下发的意向策略就能够区分出控制器的特征,通过权威认证中心的认证就能够解决控制器的管理员的身份
4、认证问题。这样我们能够给控制器IP地址一个认证的域名c0.controller.org.假设每个控制器是有唯一的网络管理员,这样我们就以为,假如控制器是安全的,那么控制器的属性由管理员确定,而不是由IP地址决定,由于IP地址是能够轻易伪造的。因而通过定义这样的意向回溯控制器C0的数据包这样意向回溯的目的是能够实现的。能够实时回溯到数据包的途径会有助于快速定位网络故障,同样假如数据包携带控制器信息,在匹配的时候就能够通过在意向策略,只回溯指定的控制器的数据包。这样网络管理员能够就通过在回溯节点捕获到的数据包,当然这种回溯还是仅限于本控制器拓扑范围以内,在跨控制器回溯方面则需要不同控制器合作完成。
5、4.2.3带移动设备特征的意向回溯SDN网络中存在设备的多样性是无论怎样都无法忽视的。同一个用户可能将自个的网络设备如手机随身携带到任何地方并连接到互联网。对这种单个用户的网络设备的上网特征假如仅从设备的物理地址开场进行回溯是非常困难的,但是假设讨论某一个区域内移动设备的上网特征则容易的多。网络中大多数手机、平板、PDA等移动设备都能够通过阅读器请求网页服务,在服务器端则能够通过请求数据包判定其能否来自于移动设备,并将其适用于移动设备显示的页面返回给用户。在这里,假如我们将访问结果进行归纳分析的话,则能够推断出从网址的数据包都来自于移动设备.基于这个判定,因而能够这样定义移动设备的意向特征从网
6、址的数据包都来自于移动设备.在不考虑某些移动设备属于某个用户的情况下,将移动设备意向广义地定义为从网址的返回数据包.如前所述,假如站在用户的角度,在网络中所有用户的接入的移动设备进行回溯是很困难的。但是站在网络管理员的角度,只对经过回溯节点的回溯从网址的返回数据包则是相对容易实现的,这种实现更大范围内的对一类数据包行为的回溯,在意向回溯中也是更有价值的。4.3意向回溯实验验证根据上述意向回溯策略的实现目的,本节对Pyretic运行时环境进行扩展来支持所定义的策略。运行时环境还负责对所有用户编写的高级策略进行编译并转换成OpenFlow流规则下发到交换上。Pyretic53提供了这样一个运行时环
7、境,提供在多种拓扑环境中,使用多种策略,在Mininet54对数据包进行意向回溯测试的分析。本节从模块化编程、拓扑策略、迭代回溯三个方面具体描绘叙述意向回溯的实现经过。下面介绍应用策略的编写经过方式方法,Pyretic运行时环境提供了意向回溯策略的语法框架,允许对数据包的虚拟包报头进行直接操作。Pyretic平台还为用户提供了模块化编程的扩展接口,网络管理员通过drop、fwdport、flood等原语对数据包进行操作,还支持对数据包进行类似数据库语言中groupby分组查询操作,由其运行时系统负责将这些虚拟包报头编译成OpenFlow交换机能够理解的流规则并下发到交换机上。由于对于每个数据包
8、报头域来讲,Pyretic会将其视为一个key-value的对应关系,这样编程时只要对主键进行扩展,就能够完成对运行时环境的对更多匹配域的扩展,每个key能够对应多个不同的value,支持用户自由地对数据包报头上字段进行栈上入栈、出栈操作,并且对于多个应用策略现已支持并行和串行两种组合操作。只要编写符合语法规则的程序,运行时系统会自动将高级策略转换成流规则的下发到OpenFlow交换机上。4.3.1模块化组件根据前面的定义,将看作视频应用,或者将主机上开启的80端口看作网页应用。视频应用不仅仅只包含这个网址,但是视频应用意向指定的是,只要匹配的数据包就默认是视频应用。NetAssay52意向监
9、控的DNS解析模块的运行方式类似,我们的模块化组件分成两部分,元数据引擎和控制应用组件。不同的是元数据引擎MetadataEngine由控制应用组件进行管理,通过扩展Pyretic的运行时环境以支持更多意向策略匹配。以视频意向为例,假设我们有3个提供视频业务的服务器:180.149.133.169,180.149.133.159,180.149.133.139,而且它们分享同一个网络网址以便提供高质量的服务。首先扩展元数据引擎对意向进行标识,指定视频意向的网络地址集合,以支持视频类型的意向策略的开创建立及维护。其工作原理就是当把元数据引擎支持的视频意向开创建立,会转换成流规则下发到指定交换机上
10、,以后当有用户访问视频网络地址的请求数据包经过该交换机后,会自动匹配后按定义的动作执行。根据需要修改控制应用ControlApplication支持该元数据引擎的扩展。意向策略开创建立后,控制器对指定的交换机能够使用高级特征进行意向匹配,在低级特征如IP地址、端口发生变化时,由元数据引擎负责实时更新当下的高级特征。4.3.2拓扑策略网络对象53包含的三种不同元素:拓扑、策略、派生网络与真实网络的映射。利用Pyretic提供的拓扑策略的函数集,我们能够方便地模拟出以太网网关、路由器等多种功能网络中间件。在意向回溯模型中,我们利用派生网络模型的便利,在不同网络拓扑环境中检验模型的可靠性。链路策略将转发策略与拓扑策略区分开,数据包在链路上的转发策略,如此图4.2所示,能够其定义为从交换机b到a的链路策略Lba: