文档介绍:关于SDN网络安全问题的思考
——构建具备应用感知、故障定位和攻击隔离的SDN网络
演讲人:武汉绿色网络公司 CEO 叶志钢
绿网公司和SDN的关系
Software work OpenFFlow
武汉绿色网络公司成立10年
1年:我们用硬件方案建流实现与用网络设备
9年:我们用软件方案建流实现与用网络设备
Software work Device
传统网络的典型场景计算虚拟化+网络虚拟化的典型场景
虚拟网络部门n
虚拟网络部门1
……
A-3 C-2
A-1 B-3 B-2
部门A …… C-1 ……
A-1 A-1
A-2 Server 1 A-2 Server 1
Switch OpenFlow
A-3 A-3
Switch
A-4 A-4
部门B
B-1 B-1
B-2 Server 2 B-2 Server 2
Switch OpenFlow
B-3 B-3 OpenFlow Switch+DPI
Switch Switch
B-4 B-4
部门C Controller
C-1 C-1
虚拟服务器
C-2 Server 3 C-2 Server 3
Switch
C-3 C-3 OpenFlow ……
Switch
C-4
C-4 VS1、VS2、VS3、VS4……VSn
如何构建具备应用感知、故障定位和攻击隔离的SDN网络
虚拟网络部门n
虚拟网络部门1 内网安全的多个威胁特征具备应用感知能力的
…… OpenFlow交换机
A-3 C-2
A-1 B-3
…… C-1 ……B-2
A-1
A-2 Server 1 标准OpenFlow交换机功能
OpenFlow 基于应用的交换能力
A-3 Switch+DPI
A-4 应• Controller可根据应用管理
用•应用感知、内容识别
感•
B-1 全端口交换、全端口DPI
•内网安全
知 OpenFlow
B-2 Server 2
交 Switch+DPI •安全预警
•
OpenFlow 换故障预判
B-3 •
Switch+DPI 机攻击隔离
B-4 Controller •海量日志存储和查询
• WEBOS模式UI人机接口
C-1 虚拟服务器
C-2 Server 3
OpenFlow ……
C-3
Switch+DPI
C-4 VS1、VS2、VS3、VS4……VSn
SDN的应用场景
使用SDN网络的迫切性预测
互联网涉密高校运营商的核心网、
IDC 企业网驻地网
公司机构网络城域网、接入网等
1 1 2 3 3 4 5
SDN场景下
80%-90%会用标准的OpenFlow交换机——会使用交换芯片解决方案(例如博
科、盛科)
10%-20%用全端口带应用感知能力的OpenFlow交换机
互联网公司对SDN网络的需求:trouble shooting、负债均衡、流量清洗等。
软件方式实现OpenFlow的优势
功能性能
1 2
4 3
成本可靠性
功能丰富
功能多样性灵活的可编程性灵活的软件升级能力
网络虚拟化
网络管理
资源动态分配 FLOWSWITCH的两个趋势
应用识别
内网安全 1. 简单化:无需升级,标准化,多
故障/攻击感知厂家兼容。
故障/攻击预警 2. 复杂化:功能丰富、集成安全功
故障/攻击隔离能;易于升级;适应SDN早期功
海量日志存储和溯源能未定型场景,强调编程灵活性。
WEBOS方式UI管理界面
性能强劲
整体性能
采用sandibridge架构的X86平台
双至强5660CPU 发展趋势
可支持两条万兆链路目前实验室内已经达到20Mpps、
10Mpps、40Gbps性能 80Gbps性能
明年2月,采用两颗intel 82599芯片
组的40GE网卡就会面世,支持线速
性能强劲 40GE链路已经指日可待
明年5月,intel下一代CPU推出,单
板潜在处理性能预计可再增加一倍
预计2015戒 2016年单板可能支持线
速100GE
架构选择
采用ATCA架构,目前整机处理可达
到480Gbps。
40G设备外观
整机性能 40Gbps、10Mpps
8个扩展槽•每扩展槽支持2×10GE、8×SFP GE、8×GE UTP
10G模块•单模块2个10GE,整