隨著云計(jì)算的發(fā)展,虛擬化技術(shù)的研究成為熱點(diǎn)之一,網(wǎng)絡(luò)的虛擬化也得到了空前發(fā)展。所謂虛擬化技術(shù),就是對(duì)物理硬件進(jìn)行虛擬化,作為資源池向外界提供統(tǒng)服務(wù)。虛擬化技術(shù)可以提高硬件的使用效率,簡(jiǎn)化軟件的重新配置過(guò)程。網(wǎng)絡(luò)虛擬化,減少了對(duì)物理交換機(jī)的依賴,用虛擬的交換機(jī),降低了成本,同時(shí)也簡(jiǎn)化了配置。虛擬化技術(shù)發(fā)展的同時(shí),也帶來(lái)了一系列的安全問(wèn)題,例如虛擬化后的內(nèi)存共享增加了虛擬機(jī)信息泄露的風(fēng)險(xiǎn),由Hypervisor管理虛擬機(jī),原來(lái)由客戶自自主控制的策略,現(xiàn)在已部分轉(zhuǎn)移到運(yùn)營(yíng)商；基于物理邊界節(jié)點(diǎn)（如交換機(jī)、路由器、防火墻等）的控制機(jī)制對(duì)虛擬機(jī)不再有效,并且控制粒度不夠滿足需求。本文主要對(duì)虛擬網(wǎng)絡(luò)中的訪問(wèn)控制策略進(jìn)行研究,增加細(xì)粒度的訪問(wèn)控制策略。并以O(shè)pen vSwitch為具體研究對(duì)象。本文首先分析了OpenFlow的虛擬交換機(jī)架構(gòu),研究其Controller的工作過(guò)程,其次研究Open vSwitch的switch功能,并著重研究Open vSwitch的以O(shè)penFlow協(xié)議為基礎(chǔ)的control-switch機(jī)制,及其訪問(wèn)控制規(guī)則,然后根據(jù)細(xì)粒度訪問(wèn)控制的需求修改了controller中... 

【文章來(lái)源】：復(fù)旦大學(xué)上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：51 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２．１：在同一個(gè)網(wǎng)絡(luò)基礎(chǔ)上的邏靖網(wǎng)絡(luò)劃分??２丄：Ｌ１．網(wǎng)絡(luò)

??／?■??圖２．１：在同一個(gè)網(wǎng)絡(luò)基礎(chǔ)上的邏靖網(wǎng)絡(luò)劃分??２丄：Ｌ１．虛巧網(wǎng)絡(luò)架構(gòu)??虛擬化的網(wǎng)絡(luò)架構(gòu)的組成，或分為Ｈ個(gè)主要部分組成。它們是：訪問(wèn)控制，??路徑隔離，最后是所謂的虛擬服務(wù)。下圖顯示出了Ｈ個(gè)姐成部分形成的體系結(jié)構(gòu)??的一個(gè)虛擬網(wǎng)絡(luò)的總結(jié)。????表２．１；網(wǎng)絡(luò)虛擬化架構(gòu)????￣?ｉ方Ｉ＇司控審ＩＪ?路徑隔離?服務(wù)邊界??功終端認(rèn)證（包括用戶、設(shè)備和在網(wǎng)絡(luò)層基礎(chǔ)上區(qū)別提供訪問(wèn)服務(wù)：共??能應(yīng)用）嘗試網(wǎng)絡(luò)訪問(wèn)?管理通信?享、上傳、??授權(quán)終端加入?對(duì)網(wǎng)絡(luò)層劃分的進(jìn)行為每個(gè)子網(wǎng)提供策??拒絕未授權(quán)終端?流量隔離?略??在訪問(wèn)和服務(wù)上映射隔離應(yīng)用環(huán)境????Ｉ網(wǎng)絡(luò)層隔離路徑????第一個(gè)虛擬網(wǎng)絡(luò)組件是訪問(wèn)控制。這個(gè)模塊決定允許對(duì)網(wǎng)絡(luò)訪問(wèn)的用戶或設(shè)??各，并且會(huì)到被分配到相應(yīng)的組Ｗ對(duì)應(yīng)適當(dāng)?shù)倪壿嫹謪^(qū)。用戶可Ｗ分割成不同的??組，根據(jù)角色不同：?jiǎn)T工，承建商，顧問(wèn)或客人。此外，提供對(duì)接入控制的認(rèn)證??是安全的關(guān)鍵因素。第二個(gè)組件是路徑隔離。該組件是指基于共享物理網(wǎng)絡(luò)基礎(chǔ)??設(shè)施創(chuàng)建獨(dú)立的邏輯鏈路。通過(guò)該組件可ｔｉｌ管理維護(hù)劃分在一個(gè)共同的物理網(wǎng)絡(luò)??基礎(chǔ)設(shè)施上的各個(gè)子網(wǎng)。??在一個(gè)共同的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上創(chuàng)建獨(dú)立的還輯鏈路傳輸路徑的主要目??７??

不同于基于端曰劃分的ＶＬＡＮ，基于ＭＡＣ地址劃分的ＶＬＡＮ具有更高的??移動(dòng)性，如果一臺(tái)虛擬機(jī)在同一個(gè)ＶＬＡＮ內(nèi)移動(dòng)，并不需要任何額外配置，只有??當(dāng)虛擬機(jī)移到其他ＶＬＡＮ，才需要進(jìn)行配置。圖２．３為基于ＭＡＣ地址劃分的虛巧??局域網(wǎng)。??ｉｆ?ｒｎ??！?ｍｃｊａｉ?ＲＡＣ＾ｔａ?ｍｎｃ．．ｍ?ｗｃ．．化?畫(huà)ｗａｃ．．４？?ｍａｃ．說(shuō)?游Ｌ?ｊ?Ｉ?？??Ｉ?；?ＳＳＳｇＳ?Ｉ?ａＳＳｊｌｐ?．．＾Ｓ３３ｇ＾，?ｒａＳｊＳｇＰ＊－?去淳瓊爭(zhēng)護(hù)?：＇巧巧灣＊百，＊?ｆ??Ｉ－１０＊?以?Ｂｌ，?１＾齡?１公?Ｗ?皆；??乂＼＼?＇’‘?／／＇?ｉ?Ｗ?－??Ｇ３１Ｂ３?ａａｍｉｉ??村泣?３?＼?ＮＯ?．４?化．Ｓ??ｆｍｉｍ＾?ＯＴｐＫＤ??＼?／??Ｉ?袋蛾?ｊ?終??Ｉ?Ｉｐ?ｍｐ?ｖｔｔｆｒｉ?ｊ??ｋ＊Ｈ＊ｗ?＂ｆ—麵?ｖｒ？ｅｓ?＇？；??ｉ?ｌ＇ｊｆｆｆＦ＾ｌ???????＊＿＇??Ｊ??圖２．３基于ＭＡＣ地址劃分的ＶＬＡＮ??這個(gè)方式的優(yōu)點(diǎn)是即使物理機(jī)所在的位置不同，也不影響其所在的ＶＬＡＮ的??運(yùn)作。但缺點(diǎn)是必須在交換機(jī)中設(shè)置每一臺(tái)設(shè)備ＭＡＣ地址與ＶＬＡＮ間的映射關(guān)??系表，并且不能給多個(gè)ＶＬＡＮ分配同一個(gè)ＭＡＣ地址。?．??２丄２．２．３．基于協(xié)議劃分??ＶＬＡＮ也可Ｗ定義自己的網(wǎng)絡(luò)或網(wǎng)絡(luò)層地址。在該方法中，各個(gè)設(shè)備通過(guò)使??用協(xié)議或網(wǎng)絡(luò)層地址被分配到對(duì)應(yīng)的ＶＬＡＮ，同時(shí)考慮數(shù)據(jù)包傳輸?shù)膮f(xié)議和網(wǎng)絡(luò)??層地址。特別的是


本文編號(hào)：3517851