案例一:使用傳統交換機的case
該網絡要連接他們客戶的多個站點,從一個站點到另一個站點要經過別的運營商網絡。經過運營商網絡之前,需要在報文二層頭加一個所經過的運營商分配給他們一個svlan(源交換機完成,依據報文的目的Mac地址打上不同的svlan)。添加svlan不能是基於端口的,因爲同一端口出來的可能到達不同的站點,所以要根據mac地址(因爲是一個大的二層網絡)來分配svlan。
一般交換機是根據源mac,源ip,源端口來分配vlan的,根據這些來加svlan是有理論依據的,但是根據目的mac來加vlan許多交換機不支持。(本案例中原本使用的是E330交換機)
那麼、、、問題來了,如果說可以讓我們的交換機足夠靈活,用戶可以基於任何字段來加vlan就好了。
那麼、、、如果該案例中使用的是V330 openflow交換機又會如何呢?答案是——小菜一碟啦啦啦!
V330的設計並沒有考慮這個功能,也沒考慮IEEE定的什麼vlan classification的功能,可以說沒有考慮任何特定的網絡功能。雖然沒考慮功能,但是因爲根據Openflow的定義,交換機可以根據目的Mac或者源Mac或任何字段來進行匹配,一旦成功就可以做進行加vlan的action。
So,這說明了傳統交換機靈活性不夠,而SDN交換機可以通過用戶軟件變成來靈活滿足不同客戶的需要。
案例二:使用OpenFlow交換機的案例
背景:數據中心服務提供商。多個數據中心通過內部線路互聯在一起。有一個總的internet入口。現在使用Openflow加還擊來防止DDoS攻擊。在整個數據中心的入口路由器和每個子數據中心的入口路由器上掛了一個OpenFlow交換機作爲旁路設備。下面隆重介紹具體方法((☆_☆)/~~):
- 當入侵分析檢測服務器(數據中心入口路由器通過NetFlow將部分報文發送到檢測服務器進行檢測)檢測到某些流是DDoS攻擊流之後,就通過controller去配置路由器的BGP協議。讓它把所有發給受害者設備的報文都發給OpenFlow交換機。
- 同事,配置OpenFlow交換機,在OpenFlow交換機中上將所有發過來的報文,根據源IP+目的IP甚至還有四層的端口號來匹配,將攻擊報文丟棄。非攻擊報文的目的IP更改併發回原路由器(改IP是爲了防止報文被再次送回,防止迴路)
- 當路由器要把這個報文轉發到目標網絡的邊界路由器時,便捷路由器根據這個特意修改過的目的IP把報文送到OpenFlow交換機,OpenFlow交換機將報文的目的IP重新還原後再送回到其直連的邊界路由器。邊界路由器再把它送到最終的目的地址。
傳統的防止DDoS攻擊的方法:
在數據中心入口設備上,通過Netflow將數據流的一些統計數據和特徵數據送到一個遠程服務器進行分析,檢測到某些報文屬於DDoS攻擊報文,然後將報文的特徵告知數據中心入口設備。設備通過BGP協議將所有發往受害者的設備的報文都映射到一條黑洞路由。導致這些報文都被丟棄。通過這種方式來緩解攻擊造成的影響。缺點:被攻擊的這段時間,所有發往被攻擊設備的報文都會被丟掉,不管是非法還是合法。這是一種純粹基於目的IP的方案。採用了SDN以後我們不把所有報文丟棄,而是送到一個數據清洗設備。丟掉非法報文,把合法報文送回去。這種方案是基於目的IP+源IP的方案。
爲何不採用配置普通交換機ACL(Access Control List)的方式配置,而要使用OpenFlow交換機
ACL不僅效率低,而且是人工配置的。大型網絡中存在許多商家,他們的命令都是不同的。
另外,使用ACL時,把數據清洗掉再送回BGP router的時候,因爲目的IP沒有改,BGP router還會把他送回到清洗設備,構成環路:bgp router——cleaner——bgp router——cleaner。。。關鍵是:OpenFlow交換機能改目的IP.而傳統交換機不能。
現在有的成熟的方案例如:arbor network‘s peakflow價格非常昂貴。
本方案中使用SDN交換機最大的亮點:有通用的編程接口,入侵檢測應用程序檢測到攻擊之後只需通知controller通過通用接口去配置OpenFlow交換機,下發靜態流就可以了。並且,不需要對現有設備做任何改動。
