论文部分内容阅读
摘 要:建立高效可靠的网络管理策略,一直是网络建设的重点和难点。SDN技术的出现,为这一课题提供了全新的思路。本课题基于SDN网络技术,通过对局域网管理的策略的研究,提出了基于不同优先级,不同时间范围、不同协议、不同应用进程、不同主机或主机组等多维度组合的各种策略。从而实现有效管理复杂局域网络,规范上网用户行为的目的。
关键词:关键词:局域网;SDN技术;策略
软件定义网络(software-defined networking, SDN)技术明确区分了数据平面与控制平面。在数据平面,用简单的硬件,实现单纯的功能——分组高速转发。在控制平面,以软件方法描述网络需求,进而决定在数据平面如何进行分组转发,以适应各种不同的用户应用需求(今天的或未来的)。SDN解耦了网络基础设施与网络体系结构之间的依赖,正好為解决局域网管理监控系统,提供了全新的思路。
在策略的制定上,由于系统面向不同的用户,用户将从IP地址、物理地址、时间、协议、端口号、优先级等多方面来管理应用程序。因此,用户所制定出的策略难免会产生一定的冲突。本系统将对不同用户制定的策略规则进行冲突验证检查,并处理冲突差错,根据输入的策略参数生成一条或多条规则。最后将所制定的策略表以方便处理的方式下发给数据平面,从而实现对局域网的管理、监控。
1 匹配域和操作
1.1 Match匹配域
(1)MAC地址:存储的为16进制数共12位,用以代表48二进制数的MAC地址,格式例如:00-0c-29-4d-3b-7b
(2)IP地址:存储的为点分十进制形式的IP地址,用以表示32位二进制数的IP地址,格式例如:192.168.0.0/26(网段) 或192.168.0.7/32(主机)
(3)Datetime:存储的为策略生效的日期信息,格式例如:2014-05-01
(4)Starttime:存储的为日期基础上的策略生效的时间起点,格式例如:08:05 或 19:08
(5)Endtime:存储的为在日期基础上的策略失效的时间终点,格式同上。
(6)Protocol:存储的为管理的网络协议类型,如ftp dns tcp udp icmp arp等等
(7)Port:存储的为协议基础上的对应的端口号(若有,如icmp无端口号),格式例如:2425 80 21
(8)Process:存储的为网络管理中要管理的应用程序名,格式例如:Feiq Web CS反恐
(9)Priority:存储的为策略匹配过程中的优先级,数字大的优先级高,例如:4>2,则4的策略优先级高于2的策略,优先被匹配。
1.2 Action操作
指示相应的策略匹配的包应该执行的动作,动作例如:allow允许使用 forbid禁止使用等。
2 策略制定
用户可以选择Match域中任意几项来制定策略。
2.1 通过物理地址、时间来管理某项进程
第一条策略:在某台主机08:00-12:00禁止学生打Dota游戏。(这里就可以选择Match域中的物理地址,日期,开始时间,结束时间,协议,端口号,应用进程这几项参数来制定策略,限制学生打游戏)
第二条:该主机在09:00-10:00允许学生打Dota游戏。
这里策略之间就出现了冲突、歧义。为了解决这个问题:就添加了优先级这一项,优先级为:1-5,数字越大优先级越高。如上所述,如果第一条策略优先级为1,第二条优先级为2,这两条策略就将进行重组,两条策略变为三条策略。在08:00-09:00禁止学生打Dota游戏,9:00-10:00允许学生打Dota游戏,10:00-12:00禁止学生打Dota,将其存取在数据库中。
因此,如果添加的策略中出现相同的物理地址,相同的应用进程,时间上出现冲突,那么就将进行策略冲突检查并进行处理。
经分析,分类讨论(此处只匹配物理地址,时间,应用进程,优先级)如下:
(1)当物理地址或者应用进程不相同时,所添加的策略不会存在冲突。
(2)当物理地址或者应用进程相同时,如果时间不冲突,那么所添加的策略也不会冲突。
2.2 通过IP地址块,时间限制统一进程
根据实际应用意义,如果单独通过限制某个IP地址对局域网管理是没有任何意义的,因为用户可以随时更改IP地址。因此,这里需要限制IP地址块来制定策略。
经分析,此处所添加的策略在IP地址上和时间上都可能会和已存在的策略存在冲突。那么,当添加一条策略时,首先应该将此策略的IP地址块和已存在策略的IP地址块进行冲突检测,看IP地址块是否包含或者不包含(判断IP地址块是否包含,本系统采用的方法是将IP地址块拆分,取出掩码位数和网络号,然后将网络号转换为二进制数,然后逐位比较二进制数,通过掩码数和二进制逐位比较情况来进行判断)。
(1)如果IP地址块相离,即使时间冲突,策略也不会冲突。
(2)如果IP地址块出现包含情况,并且所填加的优先级不大于已存在的优先级,将弹出没有足够的优先级添加提示框。如果所填加的优先级大于已存在的优先级,那么将根据所添加策略的时间和已存在的策略时间进行分类讨论,经分析,如果时间不冲突,所添加的策略也不会出现冲突。如果时间出现冲突,当所添加的策略的IP地址块包含已存在的地址块时,并且其时间也包含已存在策略的时间,此种情况,将删除已存在的策略。其余所有情况,只需将策略按优先级由高到底排序,存在数据库中即可。
3 遇到的问题及解决办法
在策略制定的过程中,也遇到过不少问题,现选取有代表性的列举如下。起初阶段,由于疏忽,在设置IP地址数据格式时,将IP地址写成的是IP地址段,这样不仅不符合网络管理的实际意义,而且IP地址段格式也不好处理,因此容易走弯路,白白耗费精力和时间。
例如:管理IP地址段。
第一条策略:IP地址在192.168.28.1/24--192.168.28.255/24范围内的主机不允许Feiq聊天,优先级为1。
第二条策略:IP地址在192.168.28.100/24--192.168.28.150/24范围内的主机允许Feiq聊天,优先级为2。
这两条策略的IP地址段出现冲突,然后根据优先级,将IP地址段进行重组。将上述两条策略重组为以下:
(1)IP地址在192.168.28.100/24--192.168.28.150/24范围内的主机允许Feiq聊天;
(2)IP地址在192.168.28.1/24--192.168.28.99/24范围内的主机不允许Feiq聊天;
(3)IP地址在192.168.28.151/24--192.168.28.255/24范围内的主机不允许Feiq聊天。
将时间和IP地址段结合起来进行策略制定,由于时间和IP地址段都会存在冲突,两个时间段组合存在5种情况(相离、包含、被包含、两种相交情况),两个IP地址段组合也会出现5种情况,如果同时添加时间和IP地址段参数,策略将出现5*5=25种情况。由于在认识上的局限性和不足,自己也在此耗费了不少的精力与时间。因此在做规划之前一定要有大局观念、全局意识,要仔细分析问题,深入思考,要明白自己所做的有没有意义,结果能不能行得通,能不能满足各种各种情况。
参考文献:
[1]王峰,王茜.SDN核心技术剖析和实战指南[M].电子工业出版社,2010.8.
[2]宋金玉,陈萍.数据库原理与应用[M].清华大学出版社,2011.6.
[3]高屹.网络应用程序设计[M].机械工业出版社,2008.8.
关键词:关键词:局域网;SDN技术;策略
软件定义网络(software-defined networking, SDN)技术明确区分了数据平面与控制平面。在数据平面,用简单的硬件,实现单纯的功能——分组高速转发。在控制平面,以软件方法描述网络需求,进而决定在数据平面如何进行分组转发,以适应各种不同的用户应用需求(今天的或未来的)。SDN解耦了网络基础设施与网络体系结构之间的依赖,正好為解决局域网管理监控系统,提供了全新的思路。
在策略的制定上,由于系统面向不同的用户,用户将从IP地址、物理地址、时间、协议、端口号、优先级等多方面来管理应用程序。因此,用户所制定出的策略难免会产生一定的冲突。本系统将对不同用户制定的策略规则进行冲突验证检查,并处理冲突差错,根据输入的策略参数生成一条或多条规则。最后将所制定的策略表以方便处理的方式下发给数据平面,从而实现对局域网的管理、监控。
1 匹配域和操作
1.1 Match匹配域
(1)MAC地址:存储的为16进制数共12位,用以代表48二进制数的MAC地址,格式例如:00-0c-29-4d-3b-7b
(2)IP地址:存储的为点分十进制形式的IP地址,用以表示32位二进制数的IP地址,格式例如:192.168.0.0/26(网段) 或192.168.0.7/32(主机)
(3)Datetime:存储的为策略生效的日期信息,格式例如:2014-05-01
(4)Starttime:存储的为日期基础上的策略生效的时间起点,格式例如:08:05 或 19:08
(5)Endtime:存储的为在日期基础上的策略失效的时间终点,格式同上。
(6)Protocol:存储的为管理的网络协议类型,如ftp dns tcp udp icmp arp等等
(7)Port:存储的为协议基础上的对应的端口号(若有,如icmp无端口号),格式例如:2425 80 21
(8)Process:存储的为网络管理中要管理的应用程序名,格式例如:Feiq Web CS反恐
(9)Priority:存储的为策略匹配过程中的优先级,数字大的优先级高,例如:4>2,则4的策略优先级高于2的策略,优先被匹配。
1.2 Action操作
指示相应的策略匹配的包应该执行的动作,动作例如:allow允许使用 forbid禁止使用等。
2 策略制定
用户可以选择Match域中任意几项来制定策略。
2.1 通过物理地址、时间来管理某项进程
第一条策略:在某台主机08:00-12:00禁止学生打Dota游戏。(这里就可以选择Match域中的物理地址,日期,开始时间,结束时间,协议,端口号,应用进程这几项参数来制定策略,限制学生打游戏)
第二条:该主机在09:00-10:00允许学生打Dota游戏。
这里策略之间就出现了冲突、歧义。为了解决这个问题:就添加了优先级这一项,优先级为:1-5,数字越大优先级越高。如上所述,如果第一条策略优先级为1,第二条优先级为2,这两条策略就将进行重组,两条策略变为三条策略。在08:00-09:00禁止学生打Dota游戏,9:00-10:00允许学生打Dota游戏,10:00-12:00禁止学生打Dota,将其存取在数据库中。
因此,如果添加的策略中出现相同的物理地址,相同的应用进程,时间上出现冲突,那么就将进行策略冲突检查并进行处理。
经分析,分类讨论(此处只匹配物理地址,时间,应用进程,优先级)如下:
(1)当物理地址或者应用进程不相同时,所添加的策略不会存在冲突。
(2)当物理地址或者应用进程相同时,如果时间不冲突,那么所添加的策略也不会冲突。
2.2 通过IP地址块,时间限制统一进程
根据实际应用意义,如果单独通过限制某个IP地址对局域网管理是没有任何意义的,因为用户可以随时更改IP地址。因此,这里需要限制IP地址块来制定策略。
经分析,此处所添加的策略在IP地址上和时间上都可能会和已存在的策略存在冲突。那么,当添加一条策略时,首先应该将此策略的IP地址块和已存在策略的IP地址块进行冲突检测,看IP地址块是否包含或者不包含(判断IP地址块是否包含,本系统采用的方法是将IP地址块拆分,取出掩码位数和网络号,然后将网络号转换为二进制数,然后逐位比较二进制数,通过掩码数和二进制逐位比较情况来进行判断)。
(1)如果IP地址块相离,即使时间冲突,策略也不会冲突。
(2)如果IP地址块出现包含情况,并且所填加的优先级不大于已存在的优先级,将弹出没有足够的优先级添加提示框。如果所填加的优先级大于已存在的优先级,那么将根据所添加策略的时间和已存在的策略时间进行分类讨论,经分析,如果时间不冲突,所添加的策略也不会出现冲突。如果时间出现冲突,当所添加的策略的IP地址块包含已存在的地址块时,并且其时间也包含已存在策略的时间,此种情况,将删除已存在的策略。其余所有情况,只需将策略按优先级由高到底排序,存在数据库中即可。
3 遇到的问题及解决办法
在策略制定的过程中,也遇到过不少问题,现选取有代表性的列举如下。起初阶段,由于疏忽,在设置IP地址数据格式时,将IP地址写成的是IP地址段,这样不仅不符合网络管理的实际意义,而且IP地址段格式也不好处理,因此容易走弯路,白白耗费精力和时间。
例如:管理IP地址段。
第一条策略:IP地址在192.168.28.1/24--192.168.28.255/24范围内的主机不允许Feiq聊天,优先级为1。
第二条策略:IP地址在192.168.28.100/24--192.168.28.150/24范围内的主机允许Feiq聊天,优先级为2。
这两条策略的IP地址段出现冲突,然后根据优先级,将IP地址段进行重组。将上述两条策略重组为以下:
(1)IP地址在192.168.28.100/24--192.168.28.150/24范围内的主机允许Feiq聊天;
(2)IP地址在192.168.28.1/24--192.168.28.99/24范围内的主机不允许Feiq聊天;
(3)IP地址在192.168.28.151/24--192.168.28.255/24范围内的主机不允许Feiq聊天。
将时间和IP地址段结合起来进行策略制定,由于时间和IP地址段都会存在冲突,两个时间段组合存在5种情况(相离、包含、被包含、两种相交情况),两个IP地址段组合也会出现5种情况,如果同时添加时间和IP地址段参数,策略将出现5*5=25种情况。由于在认识上的局限性和不足,自己也在此耗费了不少的精力与时间。因此在做规划之前一定要有大局观念、全局意识,要仔细分析问题,深入思考,要明白自己所做的有没有意义,结果能不能行得通,能不能满足各种各种情况。
参考文献:
[1]王峰,王茜.SDN核心技术剖析和实战指南[M].电子工业出版社,2010.8.
[2]宋金玉,陈萍.数据库原理与应用[M].清华大学出版社,2011.6.
[3]高屹.网络应用程序设计[M].机械工业出版社,2008.8.