Đồ án tốt nghiệp đại học
Lời cảm ơn
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT CHO MẠNG SDN VÀ THỬ
NGHIỆM TRONG MÔI TRƯỜNG MẠNG ẢO MININET
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự
hỗ trợ và giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của mọi người xung
quanh. Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến
Nguyễn Văn Uy – D12VT7
1
Đồ án tốt nghiệp đại học
Lời cảm ơn
nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của các thầy cô, gia đình
và bạn bè. Đầu tiên, em xin được gửi lời cảm ơn đến Ban Giám hiệu Học viện
Công nghệ Bưu chính Viễn thông đã tạo cho em môi trường rèn luyện tốt để em
có thể học tập và tiếp thu được những kiến thức quý báu trong những năm qua.
Em xin được gửi lời cảm ơn sâu sắc nhất đến thầy Đỗ Văn Tráng, người
đã trực tiếp hướng dẫn em thực hiện đồ án này. Thầy đã luôn nhiệt tình, tâm
huyết hướng dẫn em trong suốt quãng thời gian dài qua, từ trước khi bắt đầu
thực hiện đến khi hoàn thiện đồ án.
Mặc dù đã cố gắng hết sức, song đồ án không tránh khỏi những thiếu sót.
Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô và các
bạn để em có thể hoàn thành tốt hơn đồ án tốt nghiệp này.
4
Đồ án tốt nghiệp đại học
Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
SDN
Software Define Network
QoS
Quality of Service
ATTT
Mạng đụng nghĩa bằng phần
mềm
Chất lượng dịch vụ
An toàn thông tin
CapEx
Capital Expenditure
Chi phí đầu tư
5
Đồ án tốt nghiệp đại học
Thuật ngữ viết tắt
NETCONF
OS
Open system
Phần mềm cài đặt, cấu hình và
xóa cấu hình cho thiết bị mạng
Hệ điều hành mở
DDos
Distributed Denial Of Service
Tấn công từ chối dịch vụ
CSDL
Cơ sở dữ liệu
ONF
Open Network Foundation
DC
Data Center
Trung tâm dữ liệu
STT
Stateless Transport Tunneling
VXLAN
Virtual Extensible LAN
OTV
Cisco Overlay Transport
Virtualization
Layer 2 Multi-Path
L2MP
CSDL
Nguyễn Văn Uy – D12VT7
Cơ Sở Dữ Liệu
6
Nguyễn Văn Uy – D12VT7
Chương 1: Tổng quan về SDN
8
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
CHƯƠNG 1: TỔNG QUAN VỀ SDN
1.2. Giới thiệu về công nghệ mạng SDN
Hiện nay nhu cầu về ứng dụng của các end-user đang ngày càng gia tăng,
kéo theo đó là nhu cầu khác nhau của người dùng về mạng kết nối. Mô hình
mạng cần phải đáp ứng việc thay đổi nhanh chóng các thông số về trễ, băng
thông, định tuyến, bảo mật… theo các yêu cầu của các ứng dụng. Một mạng có
thể lập trình sẽ đáp ứng được yêu cầu trên, mở ra nhiều cánh cửa mới tới các
ứng dụng.
Tổ chức phi lợi nhuận ONF (Open Networking Foundation), được thành
lập bởi các công ty Deutsche Telekom, Facebook, Google, Microsoft, Verizon,
và Yahoo! đã định nghĩa công nghệ SDN như là giải pháp để cung cấp một
mạng như vậy. SDN là một kiến trúc linh hoạt, dễ quản lý, hiệu suất cao và thích
nghi tốt, khiến công nghệ này lý tưởng cho các ứng dụng đòi hỏi băng thông cao
và cần sự linh hoạt hiện nay. Trong SDN, phần điều khiển mạng được tách ra
khỏi phần chuyển tiếp và có thể cho phép lập trình trực tiếp được.
1.1.1. Đặc điểm của mô hình mạng truyền thống.
Trong một kiến trúc mạng truyền thống data plane Data Plane và control
plane đều cùng nằm trên một thiết bị vật lý, và mỗi thiết bị độc lập với nhau.
Nguyễn Văn Uy – D12VT7
10
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
Hình 1.3: Khó khăn cho người vận hành.
Các thay đổi mô hình lưu thông, sự gia tăng của các dịch vụ đám mây, và
phát triển nhu cầu của các nhà khai thác băng thông có dịch vụ dẫn đầu để tìm
giải pháp sáng tạo. Vì công nghệ mạng truyền thống không thể đáp ứng những
nhu cầu đó và nảy sinh các vấn đề. Các yếu tố hạn chế:
•
•
•
•
Phức tạp.
Chính sách không nhất quán.
Khả năng mở rộng quy mô kém.
Phụ thuộc vào nhà cung cấp.
1.1.2. Đặc điểm của mô hình mạng SDN.
SDN hay mạng điều khiển bằng phần mềm (Software Defined Networking) ra
đời dựa trên cơ chế tách riêng việc kiểm soát một luồng mạng với luồng dữ liệu.
Mặt phẳng điều khiển ( controll plane ) sẽ tách biệt hoàn toàn với mặt phẳng dữ
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
Hình 1.6: Vận hành mạng thông qua một giao diện duy nhất.
1.2. Kiến trúc của mạng SDN
Kiến trúc của SDN gồm 3 lớp riêng biệt: lớp ứng dụng, lớp điều khiển, và
lớp cơ sở hạ tầng (lớp chuyển tiếp).
Nguyễn Văn Uy – D12VT7
13
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
Hình 1.7: Kiến trúc 3 lớp mô hình mạng SDN
1.2.1. Lớp ứng dụng.
Là các ứng dụng được doanh nghiệp triển khai trên mạng, được kết nối tới
lớp điều khiển thông qua các API, cung cấp khả năng cho phép lớp ứng dụng lập
trình lại (cấu hình lại) mạng (điều chỉnh các tham số trễ, băng thông, định
tuyến, …) thông qua lớp điều khiển.
Lớp ứng dụng cung cấp các giao diện có khả năng lập trình mở, cho phép
các nhà cung cấp dịch vụ điện toán đám mây cung cấp các dịch vụ đám mây
công cộng tự động cho các doanh nghiệp. Các tổ chức, doanh nghiệp có thể tạo
tuyến và truy cập mạng. Bộ điều khiển còn có vai trò cung cấp API để có thể xây
dựng các ứng dụng cho hệ thống mạng, và thu nhận thông tin từ hệ thống mạng
vật lý, điều khiển hệ thống mạng vật lý.
OpenFlow là một giao thức sử dụng các API ( giao diện lập trình ứng
dụng – application programming interfaces ) để cấu hình các thiết bị chuyển
mạch trong một mạng lưới.
Hình 1.8 cho thấy chức năng cơ bản của bộ điều khiển ( control plane ) đó là
việc điều khiển lưu lượng, thiết lập đường đi, các chính sách cho toàn bộ các bộ
chuyển mạch ( SwitchSwitch ) ở lớp dữ liệu ( data plane Data Plane ).
Nguyễn Văn Uy – D12VT7
15
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
Hình 1.8: Bộ điều khiển SDN
1.2.3. Lớp cơ cở hạ tầng.
Là các thiết bị mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp
gói tin theo sự điều khiển của lớp điểu khiển. Một thiết bị mạng có thể hoạt
động theo sự điều khiển của nhiều bộ điều khiển khác nhau, điều này giúp tăng
cường khả năng ảo hóa của mạng.
1.2.4. Xu thế phát triển của SDN.
Hiện nay, SDN thực sự là một hướng đi được quan tâm đặc biệt trong cả
nghiên cứu lẫn ứng dựng. Ta có thể dễ dàng nhận ra, SDN phù hợp với những
môi trường hệ thống mạng tập trung và có mức lưu lượng đi quan cực kỳ lớn
bao gồm: Các hệ thống mạng doanh nghiệp, mạng campus và mạng trung tâm
ảo hóa máy chủ, và giới hạn của nó bao gồm các vấn đề gỡ lỗi, và chi phí cho
việc quản lý cơ sở hạ tầng.
Nguyễn Văn Uy – D12VT7
17
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
Hình 1.10: Mô hình Overlay SDN
Mô hình SDN hybrid kết hợp hai mô hình đầu tiên, và cho phép một sự
chuyển đổi trơn tru hướng tới một thiết kế chuyển switchSwitch-based. Các thiết
bị không hỗ trợ đường hầm overlay như các máy chủ được liên kết thông qua
các cổng trong mô hình này.
Hình 1.11: Mô hình SDN hybrid
1.2.6. Trung tâm dữ liệu trong mạng SDN.
Một trung tâm dữ liệu là một kho lưu trữ tập trung, hoặc là vật lý hay ảo,
và sử dụng nhiều tổ chức các máy chủ và các thiết bị mạng mà xử lý yêu cầu và
liên kết nối đến máy chủ khác trong mạng hoặc mạng Internet công cộng. Các
Nguyễn Văn Uy – D12VT7
18
và xử lý sự cố một số ít ở cuối.Hơn nữa phụ thuộc vào nhà cung cấp đã hạn chế
các công cụ độc quyền và phát triển ứng dụng, trong khi đó nhu cầu nhà điều
Nguyễn Văn Uy – D12VT7
19
Đồ án tốt nghiệp đại học
Chương 1: Tổng quan về SDN
hành mạng cho các chính sách cấp cao phức tạp cho việc phân phối giao thông
được mở rộng nhanh chóng.
Ba vấn đề lớn của quản lý mạng được cập nhật thường xuyên thay đổi
trạng thái mạng, chính sách hỗ trợ cao cấp và cung cấp kiểm soát tốt hơn để
chẩn đoán và xử lý sự cố mạng. Trong kiến trúc, các nguồn sự kiện tham khảo
các thành phần mạng có khả năng gửi các sự kiện năng động để điều khiển như
hệ thống xác thực, hệ thống giám sát băng thông, thông số SNMP, và phát hiện
xâm nhập hệ thống vv..
1.2.9. Ưu nhược điểm của SDN.
Với kiến trúc như trên, SDN cung cấp các khả năng:
•
•
Lớp điều khiển có thể được lập trình trực tiếp.
Mạng được điều chỉnh, thay đổi một cách nhanh chóng thông qua việc
•
thay đổi trên lớp điều khiển.
•
Chương 1: Tổng quan về SDN
Truyền tải nhanh chóng và linh hoạt : giúp các tổ chức triển khai
nhanh hơn các ứng dụng, các dịch vụ và cơ sở hạ tầng để nhanh chóng
đạt được các mục tiêu kinh doanh.
•
Cho phép thay đổi: cho phép các tổ chức tạo mới các kiểu ứng dụng,
dịch vụ và mô hình kinh doanh, để có thể tạo ra các luồng doanh thu
mới và nhiều giá trị hơn từ mạng.
•
Mở ra cơ hội cho các nhà cung cấp thiết bị trung gian khi phần điều
khiển được tách rời khỏi phần cứng.
Không thể phủ nhận kiến trúc mạng SDN có nhiều ưu điểm vượt trội,
mang lại hiệu quả cao khi áp dụng trong lĩnh vực ATTT. Kiến trúc này cho phép
các luồng dữ liệu được lập trình xử lý ngay khi truyền qua thiết bị. Do đó, các hệ
thống IPS/IDS xây dựng trên mô hình kiến trúc SDN không những có khả năng
lọc dữ liệu tức thời với hiệu năng cao, song song với quá trình chuyển mạch mà
còn ảnh hưởng rất ít đến độ trễ truyền dẫn.
Bên cạnh những lợi ích thì thành phần điều khiển cũng ẩn chứa những
điểm yếu lớn, có thể bị kẻ xấu khai thác nhằm mục đích tấn công hệ thống
mạng. Một số giải pháp khắc phục điểm yếu này đã được đề xuất, chủ yếu với
hướng tiếp cận nâng cao tính bảo mật trong vấn đề tương tác giữa các thành
phần của kiến trúc hệ thống, như: FortNox, Fresco, FermOF.... Các giải pháp
Việc ảo hóa các thực thể mạng của kiến trúc SDN cho phép việc mở rộng
trong DC, di cư tự động các máy ảo, tích hợp chặt chẽ hơn với kho lưu trữ, sử
dụng server tốt hơn, sử dụng năng lượng thấp hơn, và tối ưu băng thông.
c.
Áp dụng đối với dịch vụ Cloud
Khi được sử dụng để hỗ trợ một môi trường đám mây riêng hoặc tích hợp,
SDN cho phép các tài nguyên mạng được cấp phát theo phương thức linh hoạt
cao, cho phép dự phòng nhanh các dịch vụ đám mây và hand off linh hoạt hơn
với các nhà cung cấp đám mây bên ngoài. Với các công cụ để quản lý an toàn
các mạng ảo của mình, các doanh nghiệp và các đơn vị kinh doanh sẽ tin vào
các dịch vụ đám mây hơn.
1.3. Tổng quan về OpenFlow.
1.3.1. Giới thiệu về OpenFlow.
OpenFlow là một công nghệ mới nổi lên gần đây với khả năng tiềm tàng
có thể nâng cao một cách đáng kể giá trị của các dịch vụ mà các trung tâm dữ
liệu có thể cung cấp. Triển khai OpenFlow có thể cung cấp cho các nhà quản lý
mạng khả năng điều khiển nhiều hơn các nguồn tài nguyên họ quản trị, khả năng
quản trị máy chủ và mạng tích hợp, và một giao tiếp quản trị mở cho các hệ
thống Router và SwitchSwitch.
OpenFlow tách biệt hẳn phần điều khiển ra khỏi phần chuyển tiếp và cung
cấp khả năng lập trình cho lớp điều khiển. OpenFlow là tiêu chuẩn đầu tiên,
cung cấp khả năng truyền thông giữa các giao diện của lớp điều khiển và lớp
Nguyễn Văn Uy – D12VT7
22
lập trình trên cơ sở luồng lưu lượng. Một kiến trúc SDN trên cơ sở
OpenFlow cung cấp điều khiển ở mức cực kỳ chi tiết, cho phép mạng
phản hồi sự thay đổi theo thời gian thực của ứng dụng, người dùng và
mức phiên. Mạng định tuyến trên cơ sở IP hiện tại không cung cấp mức
này của điều khiển, tất cả các luồng lưu lượng giữa hai điểm cuối phải
theo cùng một đường thông qua mạng, mặc dù yêu cầu của chúng khác
•
nhau.
Một thiết bị OpenFlow bao gồm ít nhất 3 thành phần:
Nguyễn Văn Uy – D12VT7
23
Đồ án tốt nghiệp đại học
•
Chương 1: Tổng quan về SDN
Flow Table: một liên kết hành động tương ứng với mỗi luồng, giúp thiết
bị xử lý thông tin.
Hình 1.11: Ví dụ về Flow table trên một thiết bị.
•
•
Secure Channel: kênh kết nối thiết bị tới bộ điều khiển (controller).
quản lý phức tạp. Những lợi ích mà các doanh nghiệp và nhà khai thác mạng có
thể đạt được thông qua kiến trúc SDN trên cơ sở OpenFlow bao gồm:
•
Tập trung hóa điều khiển trong môi trường nhiều nhà cung cấp
thiết bị: phần mềm điều khiển SDN có thể điều khiển bất kỳ thiết bị
mạng nào cho phép OpenFlow từ bất kỳ nhà cung cấp thiết bị nào, bao
•
gồm switchSwitch, router, và các switchSwitch ảo.
Giảm sự phức tạp thông qua việc tự động hóa: kiến trúc SDN trên
cơ sở OpenFlow cung cấp một framework quản lý mạng tự động và
linh hoạt. Từ framework này có thể phát triển các công cụ tự động hóa
•
các nhiệm vụ hiện đang được thực hiện bằng tay.
Tốc độ đổi mới cao hơn: việc áp dụng OpenFlow cho phép các nhà
khai thác mạng lập trình lại mạng trong thời gian thực để đạt được các
nhu cầu kinh doanh và yêu cầu người dùng cụ thể khi có sự thay đổi.
Nguyễn Văn Uy – D12VT7
25
Copyright: Tài liệu đại học ©