基于NFV的网络功能虚拟化执行平台

沙特国王大学学报基于NFVBata Krishna Tripathya，Kshira Sagar Sahoob，Ashish Kr.Luhachc，新西兰詹吉，Swagat Kumar Jenaea印度布巴内斯瓦尔印度理工学院电气科学学院b印度海得拉巴VNR VJIET信息技术部巴布亚新几内亚理工大学（PNG University of Technology，Papua New Guinea）d马来西亚泰勒大学计算机科学与工程学院Trident Academy of Technology，Bhubaneswar，印度阿提奇莱因福奥文章历史记录：收到2019年2020年2月20日修订2020年3月1日接受2020年3月12日在线提供保留字：软件定义的网络网络功能虚拟化安全A B S T R A C T软件定义网络（SDN）范例从数据平面扩展了网络控制功能，并提供了一组用于灵活和受控的网络管理的软件组件。 SDN承诺在按需配置、自动化负载平衡、精简物理基础设施以及扩展网络资源的灵活性方面提供众多优势。为了实现这些网络服务产品，非常需要开发高效、健壮和安全的执行平台。作为一个主要的贡献，我们提出了一种新的虚拟执行平台使用网络功能虚拟化（NFV）的OpenFlow控制器。从理论上讲，NFV可以应用于任何网络功能，可以简化异构数据平面的管理。我们提出的体系结构的特点包括流水线处理的网络流量，虚拟化和复制执行的网络功能，任务节点之间的隔离，和随机映射的流量到任务节点。建议的架构有两个主要组成部分：一个网络分组转发器（RTP）和一个任务引擎（TE）。TE由任务节点（TN）组成，这些任务节点负责在各种业务流上执行不同的网络功能，并且每个TN被实现为虚拟机。在接收到来自数据平面的流量时，RNC分析流量的功能要求和不同的控制器性能参数。然后，它将业务分配给适当的TN，以执行必要的网络功能。在这方面，它在SDN平台上处理流量流时提供了性能优势、鲁棒性、细粒度模块化和强隔离安全性。我们提出的架构的有效性已被证明与案例研究。©2020作者（S）。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍互联网的发展已经将世界转变为一个数字社会，其目标是连接一切并从任何地方访问（Wood，2015年; Blenk，2016年; Sahoo等人，2019年）。在跨IP网络中，控制和管理具有垂直集成的网络控制功能集的大型网络系统变得越来越复杂。在这方面，软件定义*通讯作者。电子 邮件地址 ：bt10@iitbbs.ac.in （ B.K. Tripathy） ，ashishluhach@acm.org（A.Kr.Luhach），noorzaman.taylors.edu.my（N.Z.Jhanjhi），swagatkumar.jena@tat。 ac.in（S.K. 耶拿）。沙特国王大学负责同行审查制作和主办：Elsevier网络（SDN）和OpenFlow是有望改变网络技术现状的新兴范例，其中网络控制逻辑与其底层硬件隔离（Sahoo等人，2016; Nishtha等人，2014; Sahoo等人， 2019年）。它提供了一组软件组件，用于灵活和受控的网络管理，其中网络功能可以从流量转发和流量控制监控到安全执行（Li和Yong，2015; Karakus和Murat，2017）。SDN的显著优势包括能够更快地引入网络创新，并通过按需配置从根本上简化和自动化大型网络的管理（Ghodsi等人，2011; Ferrús等人，2016年）。尽管SDN具有多项优势，但也存在各种挑战，例如管理网络可扩展性和安全性等。由于缺乏标准化的执行平台、控制-数据平面接口和安全执行功能，因此会出现不同的挑战（Jammal，2014）。Metzler（2012）报告说，当网络规模扩大时，SDN控制器可以成为https://doi.org/10.1016/j.jksuci.2020.03.0011319-1578/©2020作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comB.K. Tripathy等人/沙特国王大学学报965一个关键的瓶颈。当交换机和通信流的数量增加时，更多的请求在控制器处排队。反过来，它会增加请求事件的响应时间。此外，基于OpenFlow的API和这些功能的集中管理可能会给底层网络带来各种安全威胁。这些挑战要求SDN控制平面的无缝且高效的执行平台，以服务于不同的网络功能并防止各种安全威胁的可能性（Martins等人，2014;Koponen等人，2014; Sahoo，2019）。在本文中，我们提出了一种用于SDN控制平面的新型虚拟执行平台，该平台使用了NFV的概念（Zahoor和Naaz Mir，2018）。NFV涉及广泛的网络功能，主要由新的网络需求驱动。它将专用硬件设备发布的网络服务与虚拟化软件一起放回。需要专用硬件的网络服务，通过NFV技术，它们可以在标准商品服务器上运行，从而降低了整体成本（Almusaylim和Zaman，2019）。该系统由任务引擎和网络包转发器两大部分组成。TE负责对各种业务流执行不同的网络功能。这些TE维护一个数据结构，以记录它所服务的不同功能的几个实例。此外，TCP将流量分配给适当的任务节点（TN），以执行必要的网络功能。TE由任务节点组成该架构的重要特征包括网络流量的流水线处理、网络功能的虚拟化和复制执行以及流量到TN的随机映射（Tripathy等人， 2016年）。本文的其余部分组织如下。第2节介绍了拟议的SDN控制器平台。我们在第3节中描述了拟建平台上的交通控制流程。第4节介绍了所提出的体系结构的性能增强第5节中的案例研究以及第6节中的结论性评论证明了对所提出的体系结构的评估。2. SDN控制器执行平台架构本节介绍所提出的SDN控制器平台的架构。总体架构的抽象视图已在图1中示出。在说明所提出的执行平台之前，让我们简要讨论一下SDN控制器中涉及的实体。存在两个主要实体：（i）用户网络应用和（ii）网络功能。用户可以请求具有各种要求的特定网络服务。此类服务请求包括称为用户网络应用。 例如，企业网络的雇员可能想要使用VPN服务以高带宽、最小延迟和适当的安全实施连接到组织的RD子网。相反，网络功能是网络控制操作或任务以对应于用户应用程序来执行。 通常需要执行网络功能的序列或列表以服务于网络功能。我们考虑六种可能的网络功能，即（i）路由控制，（ii）流监控，（iii）策略检查，（iv）带宽保证，（v）安全执行，和（vi）负载平衡。所提出的用于SDN控制器的执行平台的架构在图2中示出。它由两个部分组成，即网络包调度器和任务引擎。网络分组交换机称为交换机，分组交换机（PS）是其组成部分。任务引擎也称为TE，任务节点（TN）是TE的组件。这些节点负责对各种业务流执行不同的网络功能，而分组调度器智能地将业务分配给适当的节点。这些组件的详细功能如下所述，而用于不同参数的缩写/符号见表1。(See 图 3）。2.1. 任务节点及其实现TN充当用于运行一组网络功能的执行单元。每个TN负责执行由阈值（d）限制的有限数量（>1）的网络功能参数d指示并行的最大程度，其可以随着在其上运行的网络功能的类型和应用上下文而变化。为了简单起见，我们考虑与每个任务节点相关联的预定义d。在节点中，网络功能（NF）与用于引用对应节点中的该功能的唯一标签相关联网络功能可以由多个任务节点服务。每个TN被实现为具有预定义的固定的计算和存储资源集合的虚拟机。TN有一个输入队列（先进先出），用于跟踪从RTP接收的数据包处理请求。分组处理请求由分组报头和包含关于任务节点（TN）的信息的列表组成。有关该列表的详细信息，请参阅后面的部分。为了图1.一、总体架构的抽象视图图二、提出了SDN控制器的虚拟执行平台966B.K. Tripathy等人/沙特国王大学学报我表1论文中使用的缩写和符号缩略语/符号含义TN任务节点NF网络函数PS分组交换TN第i个任务节点PS第ii个数据包NFiith网络函数NFi;kTNk中NFi的标记SEQIDNO：NF的序列NFAT NF分配表TNAT TN状态表（即，对应的PS）并将分组发送到列表上的下一个TN。TN间的通信是通过消息传递来实现的。TN可以根据需求加载新的NF或在现有NF上更新。此配置由PS管理和同步。在此配置期间，保存相应TN的环境，并将状态设置为阻塞状态。保存状态由分配给它的NF、它的分组处理状态、队列内容等组成。一旦配置过程结束，TN就变为活动状态（ACTIVE状态）。然后从保存的环境恢复执行。如果TN由于某些错误而崩溃，则TN被挂起TNPTN中的当前队列大小并将错误消息发送到相关联的PS。TNi;第一个TNi的当前状态NFtAvg. NFi的完成时间2.2. 分组调度器分组调度器跟踪关于TN的信息。该信息包括每个TN的状态、在这些TN上运行的网络功能以及它们的标签、以及处理统计（平均分组处理时间、故障率、当前队列大小等）。网络分组调度器具有两个主要任务，即NF序列确定和TN分配：NF-序列测定：PS从分组报头提取包括源和目的地IP地址、源和目的地端口等的信息。然后，它确定需要被执行以处理分组请求的NF的列表及其序列。此NF列表是使用基于提取字段的筛选条件创建的，并且条件由不同的应用程序提供。特定于应用程序的数据包必须通过相应应用程序所需的IP子网或端口号进行过滤。一个数据包应提供所有的NF在序列中的应用程序的成功执行。● TN分配：PS将列表L置为空。该列表将包含2元组TNk;NFi;k>的条目。<对于每个第i个<详细讨论了元组的创建过程在算法1中。它需要两种数据结构：–网络功能分配表（NFAT）–任务节点状态表（TNST）这些结构的详细描述在以下部分中描述图3.第三章。通过此控制器的数据包流为了服务分组，TN从队列中取出分组，读取分组的标签，将该标签与其NF标签进行匹配，并执行与分组上的匹配标签相对应的功能在成功完成网络功能后，TN更新分组的状态此外，它还向客户端发送确认消息，在通过迭代NF序列更新列表之后，分组调度器将分组发送到序列中的第一个TN。TN在成功执行TN中相应的网络功能后，向相应的PS发送确认。PS更新TN的统计。通常存在多于一个PS，每个PS负责调度与其连接的数据平面交换机的分组请求。当分组到达控制器时，基于与分组相关联的标签将其转发到对应的PS。由于多个服务器同时工作，因此它允许同时服务多个请求，从而提供容错，如本文稍后所述。此外，PS控制新网络功能的负载，并根据上下文或用户需求的变化将现有网络功能更新到TN。在这种情况下，分组调度器解码要求，找到服务于要求的网络功能的列表，并且相应地更新过滤标准和网络功能（如果必要的话）。所有的分组转发器相互通信，并保持系统的一致状态。对任何TN或我●B.K. Tripathy等人/沙特国王大学学报967ðÞminJmin）ðÞminmin我pJminJKjmin由TN发送的任何更新都已反映给所有转发器。下一节介绍了通过所提出的控制器执行架构的数据包的控制流。3. 在建议的平台本节将详细描述数据包如何流经我们提出的控制器执行平台。图2示出了描绘控制流程的流程图。控制流程由如下所述的四个步骤组成。步骤1.新的数据包被映射到适当的数据包调度器当分组到达数据平面交换机时，如果没有找到与对应交换机的流规则的匹配，则将分组发送到控制器。与分组相关联的标签位这是通过一个简单的模块化的散列为基础的映射ping功能的一些领域的数据包报头。f：tag[packet]PS岛步骤2.数据包排队-将数据包从其队列中取出并分配适当的任务节点。此步骤包括以下任务。 [subtask-a]：提取<来自数据包报头的PORT src;PORT duration;IP src;IP duration>。设这个元组为H。 创建网络函数序列，SEQ NF i 基于H和有关应用程序要求的可用信息。[subtas k-b]：初始化列表L1/4。 迭代通过SEQIDNO：1。 对于每个NF i，找到活动任务节点TN k和对应的标签NF i;k。算法1对分组请求的任务节点分配FINDTASKNODE2：将列表L初始化为空3：对于SEQIDN0：1中的每个N1：1，4：TN p= INT-MAX5：将TNmin初始化为空6：对于每个TNj;TNp>，在NFAT[NFi]do中<7：如果TNST /2TNj]：状态1/4ACTIVE，则8：如果TNpTNp，则<9：TN p¼TN10：将TNmin设置为空11：将TNj附加到TNmin12：否则，如果TN pTN p然后13：将TNj附加到TNmin14：如果结束15：如果结束16：结束17：½TNopt;NFtag]=FOTN（TNmin;NFi）//FOTN：FindOptTaskNode18：将TNopt;NFtag>附加到L 19：结束<20：更新TN选项第21章：一个女人22：结束程序23：程序FINDOPTTASKNODETNmin;NFi24： TN t =INT-MAX将TNk;NFi;k>加到L。<二十五：minNFi;k 表示NFi在TNk标签NFi;k.将TNopt初始化为空26：NF标签¼0[subtask-c]：将数据包连同序列一起发送到列表中的第一个任务节点（TN）27：foreachTNj> inTN<民岛步骤3.任务节点中网络功能的执行。在接收到分组时，相应的任务节点从列表中移除条目，读取标签并运行相应的网络功能。TN在成功完成网络功能后向PS发送确认，并将分组转发到列表中的下一个TN。步骤4.迭代步骤3迭代步骤3，直到所有的网络功能都在数据包上执行。3.1. 实现控制流为了实现上述控制流操作的步骤2（b），需要以下两个数据结构。1. 网络功能分配表（NFAT）：该表记录了任务节点执行网络功能的可用性。NF可能在多个任务节点上可用。该表按NF编号索引，NFAT的一个条目具有以下形式：< NF i;TN j;TN p>; ：：;;：;<

下载后可阅读完整内容，剩余1页未读，立即下载