积分商城

最新搜索: FPGA VHDL串口 JTAGICE mkII CGT C2000 定向声波 PADS
您现在的位置是:首页 > 技术资料 > 软件定义网络中基于流量管理的分布式防火墙策略
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

软件定义网络中基于流量管理的分布式防火墙策略

更新时间:2019-12-30 18:06:40 大小:976K 上传用户:songhuahua查看TA发布的资源 标签:软件定义网络流量管理分布式防火墙 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

在软件定义网络中将防火墙策略定义为访问控制型规则,并将其分布式地部署在网络中能够提高会话的服务质量。为了减少放置在网络中规则的数量,文中提出多路复用和合并的启发式规则放置算法(HARA)。算法考虑到了商品交换机TCAM存储空间和端点交换机相连链路的流量负载,通过建立以最小化规则放置数量为目标的混合整数线性规划模型,解决不同吞吐量的多路由单播会话的规则放置问题。实验结果表明,与nonRM-CP算法相比,在保证不同会话服务质量的前提下,该算法最多能节省56%的TCAM空间,平均能减少13.1%的带宽资源利用率。


部分文件列表

文件名 大小
软件定义网络中基于流量管理的分布式防火墙策略.pdf 976K

【关注视频号领20积分】   【关注公众号立即送20积分】

部分页面预览

(完整内容请下载后查看)
41卷 第 1 期  
20191月  
Vol. 41No. 1  
Jan. 2019  
Journal of Electronics & Information Technology  
软件定义网络中基于流量管理的分布式防火墙策略  
史久根  
*  
徐 皓  
(合肥工业大学计算机与信息学院 合肥 230009)  
摘 要:在软件定义网络中将防火墙策略定义为访问控制型规则,并将其分布式地部署在网络中能够提高会话的  
服务质量。为了减少放置在网络中规则的数量,文中提出多路复用和合并的启发式规则放置算法(HARA)。算法  
考虑到了商品交换机TCAM存储空间和端点交换机相连链路的流量负载,通过建立以最小化规则放置数量为目标  
的混合整数线性规划模型,解决不同吞吐量的多路由单播会话的规则放置问题。实验结果表明,与nonRM-CP算  
法相比,在保证不同会话服务质量的前提下,该算法最多能节省56%TCAM空间,平均能减少13.1%的带宽资  
源利用率。  
关键词:软件定义网络;分布式防火墙策略;规则放置;TCAM;流量负载  
中图分类号:TP393  
文献标识码:A  
文章编号:1009-5896(2019)01-0091-08  
DOI: 10.11999/JEIT180223  
Distributed Firewall Policy Based on Traffic Engineering in  
Software Defined Network  
SHI Jiugen  
WANG Ji  
ZHANG Jing  
XU Hao  
(School of Computer and Information, Hefei University of Technology, Hefei 230009, China)  
Abstract: Firewall policy is defined as access control rules in Software Definition Network (SDN), and  
distributing these ACL (Access Control List) rules across the networks, it can improve the quality of service. In  
order to reduce the number of rules placed in the network, the Heuristic Algorithm of Rules Allocation (HARA)  
of rule multiplexing and merging is proposed in this paper. Considering TCAM storage space of commodity  
switches and connected link traffic load of endpoint switches, a mixed integer linear programming model which  
minimize the number of rules placed in the network is established, and the algorithm solves the rules placement  
problem of multiple routing unicast sessions of different throughputs. Compared with the nonRM-CP  
algorithms, simulations show that HARA can save 18% TCAM at most and reduce the bandwidth utilization  
rate of 13.1% at average.  
Key words: Software Defined Network (SDN); Distributed firewall policy; Rules allocation; Ternary Content  
Addressable Memory (TCAM); Traffic load  
1 引言  
流量需求,选择合适的路由能够减少对带宽资源的  
使用。  
软件定义网络(Software Defined Network, SDN)  
架构中,控制器用支持Open Flow协议的链路与特  
定的控制信息和各交换机进行通信连接[1]。此外,  
控制器通过发送相关命令,将规则安装在交换机的  
流表中来规定流的行为,但考虑到TCAM有限的空  
间,将规则全都沿着传输路径进行安装,这样会造  
成巨大的流表开销,再者,考虑到不同单播会话的  
针对以上问题,部署防火墙策略能够有效地保  
证单播会话的QoS。由于防火墙策略可被定义为访  
问控制型规则(Access Control List rules),即  
ACL规则,该类型规则决定数据包是否允许通过交  
换机,故主动式地部署ACL规则可使会话服务质量  
得到可靠保障[2]。为此,本文提出基于端点交换机  
流量管理的分布式防火墙策略,由于端点策略定义  
好了各组单播会话端点交换机对,即流从网络边缘  
的入口交换机进入,从网络边缘的出口交换机流出[3]。  
所以,本文依据单播会话吞吐量需求,部署分布式  
防火墙策略,实现相关链路负载更加均衡的目标。  
在规则放置问题中,需要考虑多个网络资源限  
收稿日期:2018-03-09;改回日期:2018-07-26;网络出版:2018-08-06  
*通信作者: 王继ꢀ
基金项目:国家重大科学仪器设备开发专项(2013YQ030595)  
Foundation Item: The National Major Scientific Instruments De-  
velopment Project (2013YQ030595)  
92  
41 卷  
制条件。在有限的TCAM空间以及链路带宽限制等  
条件下,文献[3]将网络抽象为 “Big Switch”,  
并将其划分为多条路径,通过估计每条路径上交换  
机总容量,将聚集的规则沿着传输路径进行放置;  
文献[4]提出PBDCBD流表分割算法,将SDN流  
表分割成不同数量的子表来平衡各交换机TCAM;  
文献[5]提出非均匀流表的规则分割和放置模型,改  
善了规则缓存所造成的延时;文献[6]提出贪心的  
OFFICER启发式算法,对选择的默认路径利用偏  
转法得到多条转发路径,解决了在预定义的网络中  
规则放置及最大流问题;文献[7]提出多路由单播会  
话的规则复用计划,解决了以保证单播会话服务质  
量的前提下,规则分配和最小化规则放置数量的问  
题;文献[8]在链路带宽等网络资源总是有界的前提  
下,提出了帕累托优化模型,将链路利用率作为约  
束条件,得到帕累托最优解——规则数量;文献[9]  
提出能量感知的路由策略,解决了规则放置的线性  
规划模型;文献[10]提出自适应规则放置算法,该  
算法考虑到DROPPERMIT规则的优先级所造成  
的规则循环依赖问题,构建了规则依赖关系图实现  
了规则合并。  
行传输,当吞吐量在链路带宽之间时,则选择多条  
满足带宽条件的路由。  
(2) 最小化规则数量:经上述的选路过后,需  
放置ACL规则以保证会话的服务质量和流的可靠传  
输。本文提出规则的多路复用和合并的方式减少放  
置在交换机的规则数量,文献[7]首次提出规则多路  
复用(rule multiplexing)的概念,指在单播会话的  
多条传输路径中,放置在不同交换机的规则能被原  
会话的流匹配。文献[10]中提出规则合并(rule mer-  
ging)的概念,指不同会话有相同匹配域和行为的  
规则能够进行合并。  
2.2 系统模型  
用图G = (V, E)表示SDN网络模型,V 代表有  
限的Open Flow交换机集,E代表链路集,每条链  
(i, j) E的路由花销用w(i, j)表示。控制器通过  
控制链路控制所有的交换机,每个交换机i V的  
TCAM存储容量为Ci ,每条链路(i, j) E的带宽  
B(i, j)K表示单播会话集,每组会话(a, b)的吞  
吐量需求为dk , Pk表示第k组会话候选路径集。将  
每组会话ACL规则集利用PBD流表分割算法[4]均匀  
地分割成Rk个规则子集,每个规则子集的规则数  
量为ru,用ruf(k)映射函数表示规则子集Rk中应  
分配规则的数量,tp表示路径p的传输速率,tp(i,j)表  
示路径p中链路(i, j)的传输速率。  
综上所述,大部分研究都是在受限的网络资源  
下,从流和规则的关系来研究规则放置问题,但是  
它们未考虑到不同吞吐量需求对路由造成的影响,  
本文作为一种主动式的规则放置方法,取消了规则  
建立的延时以及减少控制链路中交互信息的数量。  
其中,本文利用入、出口交换机度数建立了候选路  
径集,然后,以最小化放置规则数量为目标,依据  
每组会话的吞吐量需求,选择从入口交换机不同的  
链路出发到不同链路的出口交换机的传输路径来放  
ACL规则。  
定义 1ꢀ任意独立的网络拓扑图中,与节点关  
联的出弧的数目称为该节点的出度,即degi+,入弧  
的数目称之为入度,即degi-,两者的总和称为该节  
点的度数。在一个有向流网络N = (V, E)中,必须  
满足以下3个条件,才可以保证单播多路由的端点  
策略完整性:  
(1) 每组会话的源边缘交换机a没有入弧,只  
有出弧;  
2 问题提出与系统模型  
(2) 每组会话目的边缘交换机b没有出弧,只有  
入弧;  
本节将讨论最小化规则数量和端点交换机相连  
链路的流量负载问题,并为求解这些问题构建系统  
模型。  
(3) 源交换机经过多路转发到达目的交换机的  
吞吐量是守恒的,即  
表中间节点的交换机。  
vV tav  
=
vV tvb, 代  
2.1 问题描述  
该模型需要解决的问题是,依据入、出口交换  
机度数建立候选路径集,根据会话集吞吐量需求,  
从候选路径集中选路并放置规则。  
决策变量的定义:用式(1)表示是否从候选路  
径中选择该条传输路径,同理,用l(pi,j)表示传输路  
p的链路(i, j)是否被选取,l(pi,j) ∈ {0, 1。  
(1) 端点交换机相连链路的流量负载:为了均  
衡端点交换机相连链路的流量负载,应依据不同吞  
吐量需求从候选路径集中选择不同条数的传输路  
径,由于每条路径的瓶颈链路带宽决定了相应路径  
传输流量的大小,所以,当吞吐量远小于瓶颈链路  
的带宽时,则从候选路径集中选择任意一条路径进  
1,  
0,  
p
, k K, p Pk  
lp =  
(1)  
传输路径是由一系列的交换机点i组成,其与  
规则子集u的关系用式(2)表示为  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号