بخشی از مقاله
چکیده - مدیریت شبکه مساله چالش برانگیزی است و برای راه اندازی، امنیت شبکه ارتباطات، اپراتورهای شبکه باید با ساختار سطح پایین سازنده خاص، جهت توسعه سیاست های پیچیده سطح بالای شبکه درگیر شوند. پیش از این بسیاری از طرح های مدیریت آسانتر شبکه ارائه شده است ولی به دلیل تغییر در زیرساخت در حد راه حل باقی مانده است. شبکه مبتنی برنرم فزار - - Software Defined Networking یک طرح جدید می باشد که جداسازی پلن داده از پلن کنترل را ارائه می نماید. در پلن دیتا، توسط سوئیچ، ارسال بسته بسادگی انجام می پذیرد و نرم افزار مرکزی به طور منطقی رفتار دیتا در شبکه را کنترل می نماید.
توسط SDN امکانات جدید جهت مدیریت شبکه ارائه می شود و متدهایی را جهت پیکربندی در نظر گرفته است.تمرکز منطقی بر هوشمندی شبکه فرصت ها و چالش های هیجان انگیزی بر افزایش امنیت این شبکه ها ارائه می نماید، که شامل روش های جدید جهت پیشگیری، حفاظت و واکنش به حملات می باشد، همچنین برنامه ها و سرویس های امنیتی جدید براساس قابلیت های SDN ساخته شده است.
-1 مقدمه
شبکه های مبتنی برنرم افزار به عنوان یک استراتژی ظهور کرده است که قابلیت های شبکه را افزایش می دهد، هزینه ها و پیچیدگی سخت افزار را کاهش می دهد و تحقیقات نوآورانه را امکانپذیر می سازد. مدل های معماری SDN شامل سه لایه می باشد: لایه زیرساخت که شامل تجهیزات شبکه - بعنوان مثال، سوئیچ ها، روترها، سوئیچ های مجازی، access point های بی سیم - ، لایه کنترل شامل کنترلر SDN می باشد.
- بعنوان مثال، Floodlight, Beacon, POX, NOX, MUL, Open daylight و غیره - و لایه کاربرد که شامل برنامه هایی جهت پیکربندی SDN می باشد - بعنوان مثال، کنترل دسترسی، مانیتورینگ امنیت/ترافیک، شبکه با انرژی موثر، مدیریت شبکه - . [1] در SDN تجهیزات شبکه، تجهیزات ارسال بسته ساده هستند - پلن دیتا - ، در صورتیکه "مغز" یا منطق کنترل در کنترلر - پلن کنترل - پیاده سازی می شود.این طرح مزایای متعددی نسبت به متدهای قدیمی ارائه می نماید. اول اینکه بسیار آسان است، معرفی ایده ی جدید در شبکه توسط برنامه نرم افزاری، تغییر و دستکاری به مجموعه دستورات ثابت در تجهیزات شبکه اختصاصی آسانتر می باشد.
دوم اینکه SDN مزایای روش های مرکزی در پیکربندی شبکه را معرفی می نماید در مقابل مدیریت توزیع شده، اپراتورها مجبور به پیکربندی کل تجهیزات شبکه برای تغییر در روش شبکه نیستند، بجای آن تصمیمات حمل و نقل ترافیک گسترده در یک محل منطقی در کنترلر به همراه اطلاعات سراسری از وضعیت شبکه ایجاد می کند.SDN اساس طراحی و مدیریت شبکه ها را تغییر داد در SDN کنترلر متمرکز منطقی دارد که مستقیما توسط توابع مدیریت بسته سوئیچ های شبکه کنترل می شود. به صورت استاندارد از API همانند OpenFlow استفاده می نماید. [2]
-2 شبکه های مبتنی بر نرم افزار - SDN -
SDN امیدبخش ترین راه حل برای حل چالش های مربوط به کنترل شبکه های پیچیده و مشکل، تشخیص داده شده است. SDN تعهد خود را با جداسازی توابع کنترل شبکه از اجزاء سوئیچ شبکه ارائه داد. با حرکت پلن کنترل از اجزاء شبکه به سمت سرورهای Stand-alone اجزاء سوئیچینگ می توانند ساده، برای اهداف عمومی، مقرون به صرفه باشند و همزمان پلن کنترل می تواند تکیه بر اصل طراحی سیستم های توزیع شده داشته باشند بجای اینکه پروتکل های مسیریابی توزیع شده را در پیاده سازی های خود محدود نمایند.[3]
SDN طرحی است که برنامه نرم افزار مرکزی، کنترلر را فراخوانی می نماید رفتار شبکه overall را دیکته می نماید. در SDN تجهیزات شبکه، تجهیزات ارسال بسته ساده هستند - پلن دیتا - ، در صورتیکه "مغز" یا منطق کنترل در کنترلر - پلن کنترل - پیاده سازی می شود. این طرح مزایای متعددی نسبت به متدهای قدیمی ارائه می نماید. اول اینکه بسیار آسان است، معرفی ایده ی جدید در شبکه توسط برنامه نرم افزاری، تغییر و دستکاری نسبت به مجموعه دستورات ثابت در تجهیزات شبکه اختصاصی آسانتر می باشد.
دوم اینکه SDN مزایای روش های مرکزی در پیکربندی شبکه را معرفی می نماید در مقابل مدیریت توزیع شده، اپراتورها مجبور به پیکربندی کل تجهیزات شبکه برای تغییر در روش شبکه نیستند، بجای آن تصمیمات حمل و نقل ترافیک گسترده در یک محل منطقی در کنترلر به همراه اطلاعات سراسری از وضعیت شبکه ایجاد می کند.[2]
SDN اساس طراحی و مدیریت شبکه ها را تغییر داد در SDN کنترلر متمرکز منطقی دارد که مستقیما توسط توابع مدیریت بسته سوئیچ های شبکه کنترل می شود. به صورت استاندارد از API همانند OpenFlow استفاده می نماید. سوئیچ OpenFlow جدولی از قواعد مدیریت بسته دارد، جاییکه هر قاعده، الگویی دارد - که با بیت هایی که در هدر بسته می باشد مطابقت دارد - ، لیستی از actionها - به عنوان مثال drop، flood، forward out header، تغییر فیلد هدر یا ارسال بسته به کنترلر - ، مجموعه شمارنده ها - پیگیری تعداد بایت ها و بسته ها - و priority - مبهم بین قواعد با الگوهایی که باهم تداخل دارند - .
توسط بسته دریافتی، سوئیچ OpenFlow بالاترین اولویت را که با قاعده منطبق می باشد را شناسایی می نماید و به action مورد نظر مجوز داده و شمارنده را افزایش می دهد. با توجه به قاعده ای که توسط برنامه کنترلر نصب شده است، سوئیچ OpenFlow می تواند همانند یک روتر، سوئیچ، مترجم آدرس شبکه یا چیزی در این بین رفتار نماید.
-3 پروتکل OPENFLOW
مفهوم این استاندارد برای نخستین بار توسط محققانی از دانشگاه استندفورد به نام های نیک مک اوون، مارتین کاسادو و ... مطرح شد. اولین مشخصات آن در دسامبر سال 2008 منتشر شد. هدف این محققان ساختن یک محیط برای ارتباط با پروتکل های شبکه های تولیدی صنعتی پردیس بود. این تحقیق در یک محیط بدون صرف هزینه یا ساخت شبکه های آزمایشی یا تاثیرگذاری ترافیک تولیدی در شبکه انجام شد. نخستین توجه خارج از دانشگاه به OpenFlow به عنوان یک ابزار مقیاس پذیری پهنای باند از سوی مراکز داده وسیع صورت گرفت.
بنیاد ONF در سال 2011 با هدف ترویج شکل جدیدی از شبکه های SDN سازگار با پروتکل OpenFlow آغاز به کار کرد. برای این منظور، این بنیاد مسئولیت استاندارد سازی پروتکل OpenFlow را عهده دار شده است. بنیاد ONF برخلاف بیشتر گروه ها یا کنسرسیوم های صنعتی استانداردسازی IT، توسط تامین کنندگان فناوری های زیرساختی تاسیس نشد بلکه توسط شرکت هایی تاسیس شد که به استفاده از این فناوری مشتاق بودند مانند: گوگل، فیسبوک، میکروسافت، یاهو و 19 شرکت دیگر.[4]
-1-3 معماری OpenFlow
یک سوئیچ اترنت شامل بخش های کنترل و داده می باشد. بخش داده به صورت سخت افزاری اداره می شود و بخش کنترل به صورت نرم افزاری و پروتکل OpenFlow در بخش نرم افزاری پیاده سازی می گردد. در ابتدا OpenFlow کنترلر مرکزی را تعریف می کند و بعد می گوید چگونه این کنترلر می تواند به صورت امن به دستگاه های شبکه متصل و آن را کنترل کند.
سپس OpenFlow مشخص می کند که چگونه باید بسته های دریافتی را دستکاری و پردازش و دوباره ارسال کرد. قبل از OpenFlow، هیچ استانداردی برای دستکاری و ارسال رو به جلو جدول مسیریابی وجود نداشت، بنابراین، SDN بدون OpenFlow ناچار بود به صورت انحصاری اجرا شود یا با کاستی ها و عیب هایی در عملکرد روبرو باشد.
در شکل 1، SDN روی بخش کنترل شبکه ها متمرکز شده است و کاربران و مدیران IT می توانند با نوشتن قوانین و سیاست هایی برای کنترلرهای مرکزی، مسیریابی و ترافیک داده ها را در سوئیچ ها کنترل کنند. در این گونه شبکه ها بخش های ارسال و داده به صورت توزیعی میان سوئیچ ها و روترهای مبتنی بر OpenFlow نگهداری می شوند و هوشمندی شبکه در کنترلر مرکزی است.
کنترلر در اصل همان بخش کنترل جداشده از سوئیچ است و برای کاربران این قابلیت را ایجاد می کند که بخش ارسال و داده را برنامه ریزی کنند. کنترلر بخش ارسال و داده با افزودن، تغییر یا حذف مدخل های جدول مسیریابی سوئیچ مدیریت می کند و برای ارتباط با سوئیچ ها در زیرساخت های شبکه از کانال امن بهره می گیرد که از پروتکل احراز هویت TLS و یا SSL به جای پروتکل ساده ناامن TCP استفاده می کنند.
شکل - 1 شبکه با کنترلر مرکزی [4]
پیام ها در سراسر کانال های امن به صورت قابل اعتماد ارسال می شوند اگر چه هیچ تضمینی برای دریافت پاسخ از سوی مقصد وجود ندارد. این پیام ها در سه گروه اصلی قرار می گیرند: پیام های کنترلر به سوئیچ، پیام های نامتقارن و پیام های متقارن.[4] بنابراین OpenFlow یک پروتکل استاندارد شده می باشد که برای مفهوم مزبور SDN توسعه پیدا کرده است.
برای تعامل بین سوئیچ شبکه، تشکیل پلن دیتا و کنترلر، تشکیل پلن کنترل استفاده می شود. سوئیچ ارسال بسته را با استفاده از یک یا چند جدول جریان - flow table - انجام می دهد.این جدول ها شامل قوانین تطبیق برای عبور جریان از سوئیچ - به عنوان مثال تطبیق با الگوهای هدر بسته - ، اقدامات متناظر - به عنوان مثال ارسال یا بازنویسی هدر - و شمارنده ای برای اندازه گیری می باشد. قوانین جریان برای سوئیچ توسط کنترلر نصب می شود.کنترلر می تواند آنها را بصورت فعالانه با توافق شخصی خود نصب نماید یا واکنشی در پاسخ به یک اخطار توسط سوئیچ به علت عدم تطابق هدر بسته با قوانین موجود نشان می دهد.[5]
-4 فریمورک SDN
کامل ترین چارچوب برای SDN معماری سه لایه توسط ONF مطرح می شود که شامل لایه زیرساخت ، لایه کنترل، لایه کاربرد می باشد که در شکل 2 نشان داده شده است. زیربنای شبکه بعنوان پلن ارسال در سوئیچینگ/روتینگ اصلی می باشد، که به آن همچنین سوئیچ OpenFlow می گویند. لایه کنترل، چکیده منابع را براساس زیربنای شبکه می سازد و نمای چکیده سراسری برای برنامه بالا می سازد و مشکل را کنترل می کند تا تجهیز سخت افزاری شبکه و توابع کنترل شبکه به هم پیوند بخورند.
