20、软件定义网络控制器的挑战与应用

软件定义网络控制器的挑战与应用

1. 设计SDN控制器的主要挑战

1.1 控制器安全问题

控制器在逻辑上是集中式的，它保存着整个网络的全局视图，对应用程序而言就像一个逻辑上的单一实体。因此，大多数网络安全问题都围绕着被锁定的控制器展开。如果没有适当的安全措施，网络将极易受到不可信更改或恶意攻击的影响，这两种情况都可能导致网络完全瘫痪。

SDN控制器本身无法以统一的方式捕获TCP数据包并保存TCP会话数据等基本状态跟踪数据，但可以使用专门的应用程序来完成。在使用TCP时，最好采用替代安全程序来防止对OpenFlow SSL通道的窥探、入侵或其他攻击。在讨论集中式控制时，会出现几个关键问题：
- 谁可以访问控制器？
- 控制器在有利的时间内是否可用于业务连续性？
- 控制器与网络实体之间的连接是否安全？

本质上，有两个问题：一是利用SDN增强网络安全，二是增强SDN本身的安全性。可以使用SDN来提高现有网络的安全性，例如在网络的最前端入口点执行安全策略。在混合网络中，还可以通过可编程设备在更大的网络范围内应用安全策略，而无需将整个基础设施迁移到OpenFlow。SDN还成功用于其他重要的安全目标，如主动安全和检测DDoS洪水攻击。

目前有一些关于确定SDN关键安全威胁以及提高其安全性和可靠性的研究思路。早期技术尝试采用简单的技术，如策略优先级和应用程序分组，以确保安全应用程序创建的策略不会被优先级较低的应用程序取代。其他方法则试图为改进SDN中的安全应用程序提供一个框架。然而，SDN环境的可靠性和安全性仍有很长的路要走。

1.2 控制器放置

SDN技术分离了控制平面，