馮新波

【摘要】隨著通信技術(shù)的不斷發(fā)展，SDN體系結(jié)構(gòu)給互聯(lián)網(wǎng)領(lǐng)域帶來(lái)了的新變革。本文對(duì)SDN體系結(jié)構(gòu)的特性和關(guān)鍵技術(shù)進(jìn)行研究，由于其集中管理與接口開(kāi)放，導(dǎo)致SDN體系結(jié)構(gòu)的安全問(wèn)題成為關(guān)注的焦點(diǎn)。鑒于此，本文基于SDN體系結(jié)構(gòu)的特性，探討SDN體系結(jié)構(gòu)的關(guān)鍵技術(shù)以及安全防護(hù)問(wèn)題，試圖為之提供行之有效的可行性建議。

【關(guān)鍵詞】SDN;體系結(jié)構(gòu);特性;安全

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)通信管理過(guò)程中遇到的難度也越來(lái)越大，一些新功能難以及時(shí)有效的部署。為了能夠解決上述問(wèn)題，需要重新定義網(wǎng)絡(luò)體系結(jié)構(gòu)，而SDN體系結(jié)構(gòu)，給未來(lái)網(wǎng)絡(luò)通信發(fā)展方向提供了一個(gè)新的思路。軟件定義網(wǎng)絡(luò)（Software Defined Networking，SDN）是一種數(shù)據(jù)控制分離、軟件可編程的新型網(wǎng)絡(luò)體系構(gòu)架，通過(guò)靈活高效的網(wǎng)絡(luò)部署，以適應(yīng)靈活多變的網(wǎng)絡(luò)需求。SDN體系結(jié)構(gòu)實(shí)現(xiàn)了網(wǎng)絡(luò)邏輯的集中控制，將應(yīng)用與網(wǎng)絡(luò)服務(wù)、設(shè)備之間的交互緊密結(jié)合，使得操作方面得到極大的便利性。SDN體系結(jié)構(gòu)通過(guò)控制器實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的集中式控制，通過(guò)編排、協(xié)調(diào)促進(jìn)與原設(shè)備之間的交互程序，通過(guò)現(xiàn)代化的、雙向的編程接口來(lái)實(shí)現(xiàn)抽象化的網(wǎng)絡(luò)功能和操作。

1. SDN體系結(jié)構(gòu)特性

SDN體系結(jié)構(gòu)作為一種新型的網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)了控制平面與數(shù)據(jù)平面的相互分離，增加了網(wǎng)絡(luò)可編程功能，在網(wǎng)絡(luò)的靈活性和控制性方面較傳統(tǒng)網(wǎng)絡(luò)體系有較大優(yōu)勢(shì)。SDN體系結(jié)構(gòu)建立在開(kāi)放軟件的基礎(chǔ)上，不依靠特定的硬件設(shè)備，有效降低了網(wǎng)絡(luò)業(yè)務(wù)部署和維護(hù)的成本。此外，SDN體系結(jié)構(gòu)具備交換設(shè)備數(shù)據(jù)平面和控制平面分離的特性，通過(guò)邏輯上集中的控制器和開(kāi)放、標(biāo)準(zhǔn)的交換設(shè)備編程接口，網(wǎng)絡(luò)信息的轉(zhuǎn)發(fā)行為可以靈活、快速的由控制器上根據(jù)業(yè)務(wù)邏輯編寫的程序定制，從而方便網(wǎng)絡(luò)管理，促進(jìn)網(wǎng)絡(luò)領(lǐng)域的創(chuàng)新發(fā)展。SDN體系結(jié)構(gòu)具有以下特性：

1.1 集中控制

SDN體系結(jié)構(gòu)的集中控制，主要體現(xiàn)在對(duì)應(yīng)用層、控制層以及基礎(chǔ)數(shù)據(jù)層進(jìn)行的統(tǒng)一、集中管理。在SDN體系結(jié)構(gòu)中，控制器會(huì)擔(dān)負(fù)收集和管理所有網(wǎng)絡(luò)狀態(tài)信息的工作，邏輯集中控制器是SDN體系結(jié)構(gòu)的基礎(chǔ)，同時(shí)SDN體系結(jié)構(gòu)也為網(wǎng)絡(luò)自動(dòng)化管理提供了可能。

1.2 開(kāi)放接口

SDN體系架構(gòu)具有較強(qiáng)的開(kāi)放性體現(xiàn)在應(yīng)用層、控制層以及基礎(chǔ)數(shù)據(jù)層之間擁有統(tǒng)一的開(kāi)放性接口（Application Programming Interface，API），方便用戶進(jìn)行編程，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)配置、管理等一系列控制。此外，SDN并不是一種具體的網(wǎng)絡(luò)協(xié)議，而是一種具體的網(wǎng)絡(luò)體系框架，這種框架中可以包含多種接口協(xié)議。SDN體系結(jié)構(gòu)擁有應(yīng)用層和網(wǎng)絡(luò)層的無(wú)縫集成，應(yīng)用層確保網(wǎng)絡(luò)運(yùn)行以滿足業(yè)務(wù)帶寬、延時(shí)需求、計(jì)費(fèi)對(duì)路由的影響等應(yīng)用需求。

1.3 網(wǎng)絡(luò)虛擬化

SDN體系結(jié)構(gòu)虛擬化就是創(chuàng)建一個(gè)運(yùn)行在被抽象的實(shí)際物理實(shí)體之上的高層次抽象，這一特性使得控制平面和數(shù)據(jù)平面之間，可以獨(dú)立完成體系結(jié)構(gòu)演進(jìn)，不再受彼此影響。計(jì)算和存儲(chǔ)服務(wù)器虛擬化技術(shù)的發(fā)展，為網(wǎng)絡(luò)虛擬化提供了便利，可以幫助網(wǎng)絡(luò)管理員更加便利的創(chuàng)建網(wǎng)絡(luò)，擴(kuò)展和收縮已存在的網(wǎng)絡(luò)。同時(shí)，網(wǎng)絡(luò)可以獲得更多可編程能力的架構(gòu)基礎(chǔ)，便于根據(jù)業(yè)務(wù)需要配置、遷移、不受物理位置限制、支持多用戶同步使用，每個(gè)用戶可以自定義帶寬需求和私有編址。

2. SDN體系結(jié)構(gòu)關(guān)鍵技術(shù)及實(shí)現(xiàn)

隨著數(shù)字化技術(shù)和云計(jì)算的興起，用戶對(duì)網(wǎng)絡(luò)服務(wù)的要求越來(lái)越高。因此，以SDN為主的新一代網(wǎng)絡(luò)架構(gòu)應(yīng)運(yùn)而生。研究得知，SDN體系結(jié)構(gòu)主要包括：應(yīng)用層、控制層、基礎(chǔ)數(shù)據(jù)層三個(gè)部分。應(yīng)用層主要由網(wǎng)絡(luò)管理應(yīng)用、網(wǎng)絡(luò)開(kāi)放編程、數(shù)據(jù)中心、等若干個(gè)應(yīng)用服務(wù)元素組成;控制層包括網(wǎng)絡(luò)控制器、網(wǎng)絡(luò)智能，網(wǎng)絡(luò)負(fù)載均衡、全局優(yōu)化;基礎(chǔ)設(shè)施層包括硬件交換機(jī)、軟件交換機(jī);SDN體系結(jié)構(gòu)如圖1所示：

在SDN體系結(jié)構(gòu)中開(kāi)放性的接口，可以幫助上層軟件實(shí)現(xiàn)網(wǎng)絡(luò)中的資源共享以及控制網(wǎng)絡(luò)資源流量，并且按照應(yīng)用的實(shí)際需求靈活調(diào)度這些流量。下面從網(wǎng)絡(luò)應(yīng)用層、網(wǎng)絡(luò)控制層、數(shù)據(jù)轉(zhuǎn)換層、Open Flow協(xié)議、南向接口和北向接口六個(gè)方面分析SDN體系結(jié)構(gòu)的關(guān)鍵技術(shù)：

2.1 應(yīng)用層關(guān)鍵技術(shù)

SDN體系結(jié)構(gòu)的應(yīng)用層，包括網(wǎng)絡(luò)資源管理以及基于SDN的應(yīng)用開(kāi)發(fā)。應(yīng)用層基于北向接口和控制層提供的網(wǎng)絡(luò)視圖進(jìn)行編程，實(shí)現(xiàn)各種不同的網(wǎng)絡(luò)應(yīng)用，使得網(wǎng)絡(luò)的轉(zhuǎn)發(fā)行為能夠通過(guò)軟件進(jìn)行定義，實(shí)現(xiàn)網(wǎng)絡(luò)智能化。將虛擬化的網(wǎng)絡(luò)資源納入云資源管理平臺(tái)，實(shí)現(xiàn)資源的統(tǒng)一管控。Quantum是云管理平臺(tái)Open Stack的網(wǎng)絡(luò)服務(wù)組件，支持虛擬二層網(wǎng)絡(luò)和虛擬端口，支持網(wǎng)絡(luò)隔離以及多種類型設(shè)備。SDN體系結(jié)構(gòu)實(shí)現(xiàn)了對(duì)傳統(tǒng)網(wǎng)絡(luò)應(yīng)用能力的優(yōu)化升級(jí)，對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行有效控制，網(wǎng)絡(luò)運(yùn)行速度也得到了有效提升，降低系統(tǒng)的CAPEX/OPEX。替換或者擴(kuò)展傳統(tǒng)網(wǎng)絡(luò)中需要利用硬件實(shí)現(xiàn)的功能。此外，SDN體系結(jié)構(gòu)實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)的快速部署，加速了網(wǎng)絡(luò)智能化和自動(dòng)化運(yùn)作，利用北向API調(diào)用網(wǎng)絡(luò)能力，編程加速網(wǎng)絡(luò)創(chuàng)新業(yè)務(wù)能力，制定靈活的配置和管控策略，定義高級(jí)別的安全性和可靠性。

2.2 控制層關(guān)鍵技術(shù)

SDN體系結(jié)構(gòu)控制層，包含SDN控制軟件和網(wǎng)絡(luò)服務(wù)。通過(guò)利用南向接口控制基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備，構(gòu)建并維護(hù)全局的網(wǎng)絡(luò)視圖，實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備中控制平面的功能。SDN控制器作為控制層的核心，控制層通過(guò)SDN控制器讀取信息，輸入控制指令，實(shí)現(xiàn)策略管理、資源調(diào)度和智能化管理。此外，SDN體系結(jié)構(gòu)控制層采用分布式結(jié)構(gòu)，需要接口協(xié)議來(lái)負(fù)責(zé)控制器之間的通信，從而實(shí)現(xiàn)對(duì)全網(wǎng)資源的統(tǒng)一管理，利用控制層的這個(gè)特性，可以動(dòng)態(tài)創(chuàng)建并維護(hù)網(wǎng)絡(luò)全局視圖，用最直觀的形式呈現(xiàn)給網(wǎng)絡(luò)管理者每提高網(wǎng)絡(luò)管理效率，簡(jiǎn)化故障定位，降低網(wǎng)絡(luò)管理的復(fù)雜程度。

2.3 基礎(chǔ)設(shè)施層關(guān)鍵技術(shù)

基礎(chǔ)設(shè)施層由經(jīng)過(guò)資源抽象的網(wǎng)絡(luò)設(shè)備組成，這些網(wǎng)絡(luò)設(shè)備可實(shí)現(xiàn)網(wǎng)絡(luò)轉(zhuǎn)發(fā)等數(shù)據(jù)平面功能?；A(chǔ)設(shè)施層主要有NOX、Floodlight、Open Daylight和ONOS（開(kāi)放網(wǎng)絡(luò)操作系統(tǒng)）。NOX是針對(duì)軟件定義網(wǎng)絡(luò)架構(gòu)下網(wǎng)絡(luò)控制器的一種開(kāi)源實(shí)現(xiàn)，支持C++/Python，主要由Nicira公司支持。ONF標(biāo)準(zhǔn)組織推廣開(kāi)放SDN和Open Flow協(xié)議及標(biāo)準(zhǔn)。ONF標(biāo)準(zhǔn)組織定義的SDN體系結(jié)構(gòu)最突出的特點(diǎn)就是標(biāo)準(zhǔn)化的南向接口協(xié)議，實(shí)現(xiàn)了基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備擁有標(biāo)準(zhǔn)化的接口協(xié)議，這就使得控制平面和應(yīng)用平面可以輕松互聯(lián)，控制平面可以使用標(biāo)準(zhǔn)的南向接口協(xié)議來(lái)控制基礎(chǔ)設(shè)施層的網(wǎng)絡(luò)設(shè)備。

2.4 Open Flow協(xié)議

控制器與網(wǎng)絡(luò)設(shè)備需要使用統(tǒng)一的協(xié)議實(shí)現(xiàn)相互通信，即為Open Flow協(xié)議。作為網(wǎng)絡(luò)通信協(xié)議，Open Flow能夠控制網(wǎng)上交換器或路由器的轉(zhuǎn)發(fā)平面，從而改變網(wǎng)絡(luò)數(shù)據(jù)包的傳播路徑。Open Flow能夠啟動(dòng)遠(yuǎn)程的控制器，經(jīng)由網(wǎng)絡(luò)交換器，決定網(wǎng)絡(luò)數(shù)據(jù)包要由何種路徑通過(guò)網(wǎng)絡(luò)交換機(jī)。在Open Flow協(xié)議中轉(zhuǎn)發(fā)面設(shè)備被抽象為一個(gè)多級(jí)流表驅(qū)動(dòng)的轉(zhuǎn)發(fā)模型。Open Flow控制器位于SDN架構(gòu)中的控制層，通過(guò)Open Flow協(xié)議南向指導(dǎo)設(shè)備的轉(zhuǎn)發(fā)。目前主流的Open Flow控制器分為兩大類：開(kāi)源控制器和廠商開(kāi)發(fā)的商用控制器。其中開(kāi)源控制器主要由開(kāi)源組織創(chuàng)建，該控制器提供開(kāi)源編程接口，開(kāi)發(fā)人員可以使用C++或者Python 語(yǔ)言，在這些接口上實(shí)現(xiàn)自己的應(yīng)用;商用控制器則是針對(duì)一些公司創(chuàng)建的具有針對(duì)性構(gòu)架的控制器。Open Flow控制器可以對(duì)數(shù)據(jù)平面流量進(jìn)行有效部署，在Open Flow控制器中交換機(jī)匹配一張流表，每張表包含不同表項(xiàng)，其中每一個(gè)表項(xiàng)都表征一個(gè)“流”以及相應(yīng)的處理方法，通過(guò)相對(duì)應(yīng)的流表進(jìn)行匹配然后實(shí)現(xiàn)數(shù)據(jù)分組，如果符合流表中某項(xiàng)特征，則按照相應(yīng)的動(dòng)作進(jìn)行轉(zhuǎn)發(fā)，否則將會(huì)封裝并通過(guò)安全通道交給控制器，并且由Open Flow控制器決定下一步處理。

2.5 南向接口關(guān)鍵技術(shù)

南向接口（South Bound Interface）主要是指控制層和基礎(chǔ)數(shù)據(jù)層之間向下的通信接口。南向接口提供對(duì)其他廠家網(wǎng)元的管理功能，支持多種形式的接口協(xié)議，包括SSH、SNMP、TR069、SOAP等接口。SDN控制器通過(guò)南向接口接收來(lái)自交換機(jī)的數(shù)據(jù)信息，并向其發(fā)送數(shù)據(jù)包。通過(guò)Open Flow協(xié)議，可以通過(guò)遠(yuǎn)程操作添加、更新或者刪除交換機(jī)流表中的記錄。ONF標(biāo)準(zhǔn)組織定義的Open Flow協(xié)議，可以將轉(zhuǎn)發(fā)面抽象為一個(gè)由多級(jí)流表組成的轉(zhuǎn)發(fā)模型。Open Flow協(xié)議可被視為控制器和交換機(jī)之間進(jìn)行的一種交互方案，即交換硬件和網(wǎng)絡(luò)控制器之間的通信。在網(wǎng)絡(luò)安全性方面，Open Flow協(xié)議提供了可選的加密通信支持，以及SDN控制器和交換機(jī)之間的證書交換機(jī)制。

2.6 北向接口關(guān)鍵技術(shù)

北向接口（North Bound Interface）為業(yè)務(wù)提供網(wǎng)絡(luò)邏輯抽象和模型。當(dāng)外部管理系統(tǒng)或者網(wǎng)絡(luò)應(yīng)用提取下層網(wǎng)絡(luò)信息或者對(duì)網(wǎng)絡(luò)實(shí)行某種控制時(shí)，或者SDN 控制器之間需要進(jìn)行通信時(shí)，需要一個(gè)北向接口提供服務(wù)。但現(xiàn)階段，尚不存在被廣泛接受的北向接口標(biāo)準(zhǔn)，因?yàn)椋鄶?shù)北向接口都是在軟件中被定義的，而SDN 控制器和交換機(jī)之間的通信需要硬件方案做支撐。SDN 體系結(jié)構(gòu)中需要一個(gè)明確定義的接口，用于應(yīng)用程序與交換機(jī)、與其他應(yīng)用程序進(jìn)行交互、使用系統(tǒng)提供的服務(wù)。不同的控制器具備有不同的北向API集合，包含了交換機(jī)狀態(tài)采集、靜態(tài)流表推送、防火墻策略等類型接口。從技術(shù)角度分析，部分傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠商傾向于在現(xiàn)有的設(shè)備上提供編程接口供業(yè)務(wù)App調(diào)用，許多上層應(yīng)用的開(kāi)發(fā)者也比較傾向于采用 REST API 接口的形式。

3. SDN體系結(jié)構(gòu)安全防護(hù)

SDN體系結(jié)構(gòu)的集中管理和開(kāi)放性接口，在提供便利的同時(shí)也存在一定的安全隱患。因此，SDN體系結(jié)構(gòu)的安全防護(hù)問(wèn)題就顯得尤為重要。SDN體系結(jié)構(gòu)集中管理，使SDN控制器一旦遭受病毒攻擊，具有非常嚴(yán)重的風(fēng)險(xiǎn)。此外，SDN體系結(jié)構(gòu)集中管理也使得攻擊者更容易鎖定目標(biāo)，極大的降低了攻擊成本。因此，由于SDN體系結(jié)構(gòu)具有很強(qiáng)的開(kāi)放性，一方面方便網(wǎng)絡(luò)設(shè)備管理，另一方面也增加了網(wǎng)絡(luò)安全隱患。下文將對(duì)SDN體系結(jié)構(gòu)安全防護(hù)進(jìn)行研究：

3.1 SDN控制器安全策略

SDN體系結(jié)構(gòu)要通過(guò)建立一個(gè)系統(tǒng)完善的安全防護(hù)體系，來(lái)確保網(wǎng)絡(luò)的正常運(yùn)行和控制器指令準(zhǔn)確執(zhí)行。SDN體系結(jié)構(gòu)的可編程性和集中控制給其帶來(lái)一系列安全問(wèn)題，而控制器又是安全防護(hù)的核心。SDN體系結(jié)構(gòu)中多數(shù)北向接口都是在軟件中被定義的，容易產(chǎn)生安全隱患。而且北向接口用于應(yīng)用程序與交換機(jī)、與其他應(yīng)用程序進(jìn)行交互、使用系統(tǒng)提供的服務(wù)，如果交換機(jī)向SDN控制器發(fā)送大量請(qǐng)求時(shí)，控制器會(huì)因?yàn)橘Y源限制發(fā)生崩潰，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。同時(shí)，交換機(jī)流表如果耗盡，SDN控制器無(wú)法接收流表插入請(qǐng)求，網(wǎng)絡(luò)資源將徹底失去控制。因此，需要通過(guò)安全控制器為SDN體系結(jié)構(gòu)提供安全的網(wǎng)絡(luò)開(kāi)發(fā)環(huán)境，安全控制器使用模塊化控制結(jié)構(gòu)，每一個(gè)模塊都需要通過(guò)身份識(shí)別才能進(jìn)入。首先網(wǎng)絡(luò)管理者生成“應(yīng)用AD-密鑰對(duì)”，然后模塊將應(yīng)用ID嵌入到FRESCO腳本語(yǔ)言中，使用私鑰對(duì)腳本進(jìn)行加密。解密過(guò)程正好相反，需要先查詢模塊名對(duì)應(yīng)的ID，再用公鑰進(jìn)行解密。當(dāng)交換機(jī)流表空間不足時(shí)，資源管理器會(huì)選擇刪掉一些重復(fù)或者不用的流表項(xiàng)。然后通過(guò)對(duì)應(yīng)用分級(jí)，安全內(nèi)核保證安全應(yīng)用流表下發(fā)優(yōu)先執(zhí)行，此時(shí)非安全性的應(yīng)用規(guī)則將會(huì)被強(qiáng)行覆蓋。

3.2 SDN體系結(jié)構(gòu)流量安全策略

SDN體系結(jié)構(gòu)具有可編程特點(diǎn)，可以進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)全局視圖，即對(duì)網(wǎng)絡(luò)中流量執(zhí)行監(jiān)控和操作。SDN控制器可以通過(guò)南向接口想交換機(jī)下發(fā)指令，通過(guò)更改制定流量的數(shù)據(jù)包，可以避免異常流量導(dǎo)入設(shè)備的現(xiàn)象，也將產(chǎn)生影響流量的路由規(guī)則。基于Open Flow的主機(jī)IP動(dòng)態(tài)隨機(jī)突變技術(shù)，將確保每一個(gè)主機(jī)獲得一個(gè)隨機(jī)匹配的虛擬IP地址，而且該虛擬IP會(huì)隨著時(shí)間不斷變動(dòng)，有效減少黑客攻擊、病毒入侵的成功率。通過(guò)SDN控制器向Open Flow交換機(jī)下發(fā)流表規(guī)則，在交換機(jī)處將流量數(shù)據(jù)包修改并轉(zhuǎn)發(fā)到真實(shí)IP地址的主機(jī)上。再通過(guò)一個(gè)專用算法，整個(gè)網(wǎng)絡(luò)中主機(jī)的虛擬IP頻繁而無(wú)規(guī)律的突變，導(dǎo)致無(wú)法獲得網(wǎng)絡(luò)主機(jī)端口信息。

3.3 SDN體系結(jié)構(gòu)安全策略

SDN體系結(jié)構(gòu)安全策略，主要是通過(guò)增加審計(jì)監(jiān)控措施來(lái)提升網(wǎng)絡(luò)結(jié)構(gòu)的安全性。SDN體系結(jié)構(gòu)對(duì)轉(zhuǎn)發(fā)層設(shè)備的安全管理主要由控制器負(fù)責(zé)。SDN控制器不僅需要安全策略，還需要將該策略有效的轉(zhuǎn)換成指令并執(zhí)行。SDN控制器通過(guò)南向接口向交換機(jī)發(fā)送指令，實(shí)現(xiàn)了對(duì)交換機(jī)運(yùn)行狀態(tài)的實(shí)時(shí)控制。在應(yīng)用層安全防護(hù)方面，通過(guò)成熟的安全檢測(cè)機(jī)制對(duì)訪問(wèn)SDN控制器接口的應(yīng)用程序進(jìn)行進(jìn)行嚴(yán)格檢查，確認(rèn)其合法性，以此來(lái)提供更加健康、優(yōu)質(zhì)的服務(wù)。

3.4 Open Flow安全通道的建立與維護(hù)

Open Flow安全通道需要通過(guò)交換證書進(jìn)行認(rèn)證，Open Flow協(xié)議提供了可選的加密通信支持，以及SDN控制器和交換機(jī)之間的證書交換機(jī)制。通過(guò)安全信道傳輸?shù)碾p向流量，不用與流表進(jìn)行比對(duì)，交換機(jī)在進(jìn)行查表比對(duì)之前，需要把輸入的流量視為本地流量。如果SDN控制器與交換機(jī)之間的通信中斷時(shí)，加密通信會(huì)顯示超時(shí)，或者交換機(jī)中斷與其他連接并嘗試連接備用控制器。經(jīng)過(guò)多次連接控制器依然失敗時(shí)，交換機(jī)將會(huì)立即進(jìn)入緊急模式，并且重置當(dāng)前的TCP連接。此時(shí)，匹配過(guò)程由緊急流表記錄進(jìn)行控制，交換機(jī)進(jìn)入緊急模式后，所有正常記錄將全部刪除，重新與SDN控制器建立連接后，會(huì)保留緊急流記錄，而SDN控制器可以根據(jù)情況選擇是否繼續(xù)保留。

4. 總結(jié)

綜上所述，SDN體系結(jié)構(gòu)作為一種全新的網(wǎng)絡(luò)體系，它將應(yīng)用層與服務(wù)層、基礎(chǔ)設(shè)施層緊密結(jié)合在一起，利用一個(gè)邏輯上集中式的網(wǎng)絡(luò)控制，即SDN控制器來(lái)實(shí)現(xiàn)。本文主要闡述SDN體系結(jié)構(gòu)集中控制、開(kāi)放接口、網(wǎng)絡(luò)虛擬化的三個(gè)特點(diǎn)，通過(guò)對(duì)控制器能力進(jìn)行拆分，優(yōu)化網(wǎng)絡(luò)架構(gòu)，通過(guò)控制器對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行監(jiān)控。然后從應(yīng)用層、控制層、基礎(chǔ)數(shù)據(jù)層以及南北向接口等方面分析了SDN體系結(jié)構(gòu)的關(guān)鍵技術(shù)，并且在SDN控制器、流量、體系結(jié)構(gòu)的安全防護(hù)、Open Flow安全通道的建立與維護(hù)方面進(jìn)行探討。通過(guò)分析得知SDN體系結(jié)構(gòu)管理分工明確，可以有效提升安全管理的靈活性，也提高SDN體系結(jié)構(gòu)的安全性。

參考文獻(xiàn)：

[1]趙漢佳.SDN控制平面安全防御研究[D].電子科技大學(xué).2018

[2]張鑒，唐洪玉.基于軟件定義的5G網(wǎng)絡(luò)安全能力架構(gòu)[J].中興通訊技術(shù).2019（04）

[3]李丹荔.基于SDN的5G移動(dòng)通信網(wǎng)絡(luò)架構(gòu)[J].中國(guó)新通信. 2019（11）