SDN(Software Defined Network)軟件定義網(wǎng)絡(luò),字面釋義都說了是“軟件”來定義“網(wǎng)絡(luò)”,但有心之人會想,這個“軟件”到底是如何定義了我們所熟知的“網(wǎng)絡(luò)”?眾所周知,SDN軟件定義網(wǎng)絡(luò),核心思想就是所謂的“轉(zhuǎn)發(fā)、控制分離”,但引入SDN之后,其安全可靠性又如何呢?
SDN的核心特征
SDN歸結(jié)起來有幾大特征。Controller控制器集中控制:集中式/分布式控制器無非是把原本網(wǎng)絡(luò)設(shè)備從孤立的單點(diǎn)做了橫向的擴(kuò)張,將所有SDN化的網(wǎng)絡(luò)設(shè)備統(tǒng)一控制起來。這就好比將N臺SDN小交換機(jī)“揉”成一臺SDN大交換機(jī),統(tǒng)一管理,統(tǒng)一配置。
標(biāo)準(zhǔn)協(xié)議接口化:控制器與SDN設(shè)備之間的南向協(xié)議的標(biāo)準(zhǔn)化以及控制器北向API接口的標(biāo)準(zhǔn)化都是強(qiáng)調(diào)了SDN畢竟還是處理“網(wǎng)絡(luò)”的工作,應(yīng)用的事SDN“甭管”。可以類比到OSI七層模型,每層對應(yīng)了每層的工作,彼此調(diào)用互不干涉。
通用硬件:這里和NFV沒有關(guān)系。這里的SDN通用硬件指的是帶有SDN處理芯片的網(wǎng)絡(luò)設(shè)備或者是能實(shí)現(xiàn)SDN功能的網(wǎng)絡(luò)設(shè)備。并非NFV所強(qiáng)調(diào)的x86取代ASIC的設(shè)備。
把SDN抽象出來看,其實(shí)包括了五個部分。SDN網(wǎng)絡(luò)設(shè)備:網(wǎng)絡(luò)設(shè)備(硬件網(wǎng)絡(luò)設(shè)備或x86里面的軟件網(wǎng)絡(luò)設(shè)備,如vSR/vFW等)+SDN能力(可以是SDN芯片或開啟SDN功能)。SDN控制器:能處理SDN功能的控制器,可以是軟件方式或軟件嵌入硬件的方式。SDN APP:這更像是我們熟悉的網(wǎng)絡(luò)上層功能,例如QoS、路由功能、Overlay功能等等。相比于傳統(tǒng)網(wǎng)絡(luò),原本孤立的管理/配置如今被SDN統(tǒng)一化了,一個App代表了整個SDN管理域內(nèi)的所有App功能。南向控制協(xié)議:這里場景的控制協(xié)議是Openflow,但絕非僅僅是Openflow。可以實(shí)現(xiàn)控制功能的協(xié)議其實(shí)很多,除了最知名的Openflow以外,還有Netconf、PCEP、LISP、MP-BGP、SNMP等等。北向API:此API的主要作用在于提供SDN控制器及其以下部分(南向控制協(xié)議、網(wǎng)絡(luò)設(shè)備),能夠作為網(wǎng)絡(luò)驅(qū)動供上層應(yīng)用調(diào)用。
兩種模式的SDN交換機(jī)
通常情況下,啟用SDN的交換機(jī)可以分成兩種模式:純SDN交換機(jī)和混雜模式交換機(jī)。純SDN交換機(jī)無腦工作,所有處理過程均依賴于Openflow或類似南向控制協(xié)議,主流的有:BGP/LISP/SNMP/NETCONF等。此時的交換機(jī)也叫做白盒交換機(jī),其中交換機(jī)簡化很多芯片功能,但增強(qiáng)了流表轉(zhuǎn)發(fā)的功能,其中流表主要由ACL的TCAM芯片提供。只有這類TCAM能匹配SDN里面的十五元組,可以根據(jù)組特性進(jìn)行轉(zhuǎn)發(fā)。
混雜模式交換機(jī)顧名思義,就是帶有Openflow功能的傳統(tǒng)交換機(jī),可以根據(jù)需要將交換機(jī)的一部分轉(zhuǎn)換成SDN,而其實(shí)質(zhì)是傳統(tǒng)交換機(jī),有所有相關(guān)的轉(zhuǎn)發(fā)、控制ASIC芯片。
Openflow標(biāo)準(zhǔn)定義了控制器與交換機(jī)之間的交互協(xié)議,以及一組交換機(jī)操作。這個控制器—交換機(jī)協(xié)議運(yùn)行在安全傳輸層協(xié)議(TLS)或無保護(hù)TCP連接之上。Openflow使用TCP端口6633或6653。
每個流表中每個流條目包括三個部分:(1)匹配match——使用ingress port、packet header以及前一個flow table傳遞過來的metadata;(2)計(jì)數(shù)counter——對匹配成功的包進(jìn)行計(jì)數(shù);(3)操作instruction——修改action set或者流水線處理。
交換機(jī)針對SDN有一個比較重要的消息類型:Packet-In,主要針對未知數(shù)據(jù)流無法命中流表的時候,作上送控制器的操作。同樣,SDN控制器也有一個比較重要的消息類型:Packet-Out,主要針對下游SDN被管理設(shè)備,用于控制器指定從交換機(jī)的特定端口發(fā)送數(shù)據(jù)包,或者用于轉(zhuǎn)發(fā)通過Packet-in消息接收到的數(shù)據(jù)包。Packet-Out報(bào)文中包含明確的Action動作。
安全隱患依然存在
更深入闡述SDN的大致工作過程,可以從“軟件定義”的角度來闡釋傳統(tǒng)網(wǎng)絡(luò)中常見的拓?fù)浒l(fā)現(xiàn)、ARP通信等問題。
可以看到,最關(guān)鍵的應(yīng)該是第三步,即Controller發(fā)送偽裝ARP報(bào)文給全局同網(wǎng)段交換機(jī),以此來實(shí)現(xiàn)ARP廣播的同樣效果。但也正是這樣一個看似合理的安全行為,帶來了很多不安全的隱患。可以設(shè)想,Controller有幾種方式可以獲取終端主機(jī)的MAC情況。1.通過免費(fèi)ARP的方式。2.定時申請下游終端的MAC方式,都可以保證對下游終端MAC的始終更新。但同樣,集中Controller的方式也帶來了單點(diǎn)安全的風(fēng)險(xiǎn)考慮,一旦一臺下游主機(jī)中毒,不斷變化自己的MAC不斷做更新動作,此時會極大消耗Controller的資源,形成DOS攻擊。同樣,Controller的安全如果不是很堅(jiān)固,則一旦被攻破,所有終端信息將一覽無余。
由此可見,SDN在安全可靠性上還有很多路要走。
京公網(wǎng)安備 11010502049343號