随着虚拟化技术的发展与云计算的进步,越来越多的厂家都在发展自己的云数据中心,小厂家也将很多自己的业务主机都部署在购买的数据中心的虚拟机中。云数据中心的发展,也更加推动了适合数据中心使用的技术的发展,在其中,软件定义网络(Software-defiend Network,SDN)作为一种全新的计算机网络技术架构,不论是从灵活的可配置、可管控能力,还是从网络规模来讲,都适合作为数据中心网络层的基础设施。在数据中心中,由于虚拟机及其负载的业务可以随意迁移,新业务的创建及承载相关业务的虚拟机创建与删除也十分频繁,所以网络中的流量分布的变动多,并且没有规律,这种网络的特性对于网络稳定的运行也有着很高的挑战。运维、安全部门需要获得网络中特定主机的流量并且对其进行分析和监控,为了获得特定虚拟机的流量,这些部门需要通过SDN控制器下发流表以改变相关数据流的转发行为,使其通过特定的监控设备或清洗设备,这往往需要SDN控制器开放相关网络转发规则修改请求接口。但是,网络数据流转发路径的改变可能会带来一些风险,从而使得用户的业务系统、甚至整个网络的稳定运行受到影响,因此需要一种保障和审计的机制来确保来自于第三方的网络业务请求,不会影响用户网络和用户业务的正常运行。本文的主要工作以及创新点如下:我们设计并搭建了基于SDN的数据中心试验床,并且在试验床中,实现了基于业务请求的主动审计功能,以及路由环路的被动检测功能,最后将以上功能封装成可调用的系统功能模块。首先,本文提出的网络业务请求主动审计功能,在请求相关的流表还未在网络中造成实质性改变之前,对网络中数据流的转发行为进行模拟,配合算法计算得到相关数据流的转发行为。对于计算得到的转发行为,从路由环路和路由黑洞的角度分析,确保网络业务请求不会影响网络的转发,保障网络及用户业务流正常运行。其次,作为对于主动审计功能的补充功能,本文提出了基于数据流TTL值的路由环路被动检测算法,通过对TTL的统计及时频域转换分析,周期性检测网络中是否有路由环路的出现,从而本方案在主动审计和被动检测方面都能够准确地对路由环路进行避免。本文提出的主动审计功能,相比已有算法,具有更小的空间复杂度,并且在算法运算时,只需要更少的控制器与交换机信令交互次数。本文提出基于TTL值统计的路由环路被动检测算法,经实验验证,在低采样率及更频繁的检测周期等更加严苛场景下,依然保持高准确率,具有很好的实践意义。