GIẢI PHÁP AN NINH MẠNG DÙNG SDN

Các host trong mạng đều nhận được gói tin đó và chỉ duynhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tựđộng drop gói tin..  Denial of servic

BÁO CÁO NGHIÊN CỨU KHOA HỌC

GIẢI PHÁP AN NINH MẠNG DÙNG SDN

Giáo viên hướng dẫn: TS.Trương Thu Hương

Nhóm sinh viên:

Nguyễn Cao Nguyên – SHSV- K54

Dương Quang Hưng

Nguyễn Quang Phúc

Trần Minh Hưng

Nội dung

Chương 1: Lời mở đầu 5

Chương 2: Cơ sở lý thuyết 7

2.1 Tổng quát về mạng LAN 7

2.2 Một số tấn công phổ biến trong mạng LAN 7

2.2.1 Tấn công ARP Spoofing 7

2.2.2 Tấn công IP Spoofing 10

2.2.3 Tấn công DHCP Server 13

2.2 Mạng lập trình được (Software Define Network) 16

2.3 Công nghệ OpenFlow 17

2.3.2 Kiến trúc openflow 17

2.4 NetFPGA 21

Chương 3: Thiết kế hệ thống và cài đặt công cụ 25

3.1 Sơ đồ khối 25

3.2 Bộ điều khiển mạng openflow controller (POX) 26

3.2.1 Giới thiệu tổng quan 26

3.2.2 Cài đặt và sử dựng 27

3.3 OpenFlow Switch 28

3.3.1 Giới thiệu tổng quan 28

3.3.2 Cài đặt và sử dụng 28

3.4 Các công cụ phát lưu lượng 30

3.4.1 TCPreplay 30

3.4.2 Yersinia 31

Chương 4 : Một số Module quan trọng trong Controller 34

2

4.1 Dhcp Module 34

4.2 Security Module 34

4.3 Routing Module 34

4.4 Sơ đồ tiến trình xử lý bản tin 35

4.5 Sơ đồ tiến trình DHCP và chống tấn công DHCP 36

4.6 Chống tấn công 36

TÀI LIỆU THAM KHẢO 41

3

Danh mục hình vẽ

Hình 1 - Mô tả quá trình ARP 8

Hình 2 - Mô hình tấn công IP spoofing 11

Hình 3 - Mô hình OpenFlow 18

Hình 4 - Nền tảng NetFPGA 22

Hình 5 – Sơ đồ khối 25

Hình 6 - Giao diện Yersinia 32

Hình 7 - Chọn Interface 33

Hình 8- Chọn kiểu tấn công 33

Hình 9 – Tiến trình xử lý bản tin 35

Hình 10 – Chống tần công DHCP 36

Hình 11 - Lấy địa chỉ IP động từ DHCP Server 37

Hình 12 - Bảng cấu hình trên Client 38

Hình 13 - Bảng lưu thông tin cấp phát IP ứng với từng switch 38

Hình 14 - Log file khi bị tấn công DHCP Server 39

Hình 15 - Nghi ngờ tấn công IP Spoofing và block port 39

Hình 16 - Màn hình Wireshark khi xảy ra tấn công, port đã bị block 40

4

Chương 1: Lời mở đầu

Ngày nay, cùng với sự phát triển nhanh chóng của các công nghệ tiên tiến, nhu cầukết nối và chia sẻ của con người ngày càng gia tăng cả về tốc độ, chất lượng cũng nhưtính thuận tiện Các kiến trúc mạng và các thiết bị mạng cũ đã phần nào để lộ nhữngnhược điểm như tính cứng ngắc, giá thành cao, thiếu khả năng tích hợp nhiều chứcnăng…

Mạng lập trình được hay SDN, là một kiến trúc mạng mới, mà ở đó, các thiết bịchuyển mạch (Switch, Router…) sẽ được tách ra làm hai phần riêng biệt: mặt phẳngđiều khiển (Control Plane) và mặt phẳng dữ liệu (Data Plane) Control Plane được triểnkhai trên các server bên ngoài, chịu trách nhiệm điều khiển việc chuyển tiếp gói tincũng như các chức năng tích hợp khác Data Plane thực hiện việc chuyển tiếp các góitin dựa theo lệnh mà Control Plane đưa ra

SDN sử dụng giao thức OpenFlow để giao tiếp giữa Control Plane và Data Plane.OpenFlow được bắt đầu phát triển từ năm 2008 tại Đại học Stanford, California, Mỹ.Với sự ra đời của OpenFlow, việc trao đổi giữa Control Plane và Data Plane đã trở lên

dễ dàng, thuận tiện và chính xác hơn Nhờ đó, SDN đã bắt đầu được áp dụng để thaythế cho các kiến trúc mạng thông thường Thực tế hiện nay SDN đã được triển khai tạirất nhiều phòng lab ở các trường đại học, các trung tâm nghiên cứu Các tập đoàn lớnnhư Google, HP đã bắt đầu sử dụng kiến trúc SDN trong mạng lõi của mình

Xuất phát từ thực trạng hiện nay, các thiết bị chuyển mạch trong mạng LAN đi kèmvới các chức năng bảo mật thường có giá thành cao Hơn thế nữa, việc tích hợp nhiềuchức năng bảo mật một cách mềm dẻo là rất khó khăn trong kiến trúc mạng thôngthường Nhận thấy khả năng của SDN trong việc giải quyết các vấn đề trên, nhóm sinhviên chúng em đã chọn đề tài: “Xây dựng hệ thống phát hiện xâm nhập AttackDetection System (ADS) trong mạng LAN dựa trên kiến trúc SDN”, nhằm phát hiện vàngăn chặn một số loại hình tấn công cơ bản trong mạng LAN

Trong quá trình thực hiện, do hạn chế về mặt thời gian cũng như kiến thức, nên đềtài không thể tránh khỏi những thiếu sót Chúng em mong nhận được sự đóng góp củathầy cô và các bạn để đề tài được hoàn thiện hơn.

Chương 2: Cơ sở lý thuyết

2.1 Tổng quát về mạng LAN

LAN (viết tắt từ tên tiếng Anh Local Area Network, "mạng máy tính cục bộ") làmột hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phònglàm việc, trường học, …) Các máy tính trong mạng LAN có thể chia sẻ tài nguyên vớinhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác

Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối(Repeater, Hub, Switch, Bridge), máy tính con (client), card mạng (Network InterfaceCard – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau Trong thời đạicủa hệ điều hànhMS-DOS, máy chủ mạng LAN thường sử dụng phần mềmNovellNetWare, tuy nhiên điều này đã trở nên lỗi thời hơn sau khi Windows NT và Windowsfor Workgroups xuất hiện Ngày nay hầu hết máy chủ sử dụng hệ điều hành Windows,

và tốc độ mạng LAN có thể lên đến 10 Mbps, 100 Mbps hay thậm chí là 1 Gbps

Ngày nay mạng LAN đã trở thành một kiến trúc mạng không thể thiếu trong cấutrúc hệ thống mạng máy tính Bên cạnh với những lợi thế, điểm mạnh, mạng LANcũng bộc lộ không ít những điểm yếu mà những kẻ tấn công có thể lợi dụng để tấncông vào mạng Mặt khác, việc triển khai phòng chống, xử lý những cuộc tấn côngtrong mạng LAN trở nên rất phức tạp và khó lòng xử lý triệt để vì những cuộc tấn côngthường xuất phát từ ngay nội bộ trong mạng

2.2 Một số tấn công phổ biến trong mạng LAN

2.2.1 Tấn công ARP Spoofing

2.2.1.1 Giới thiệu giao thức ARP

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ Một địa chỉ làMedia Access Control (MAC) và một địa chỉ Internet Protocol(IP) Địa chỉ MAC là địachỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất và không hề thay đổi Địachỉ IP có thể thay đổi theo người sử dụng tùy vào môi trường mạng ARP là một trongnhững giao thức của IP, chức năng của nó dùng để định vị một host trong một segment

mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC ARP thực hiện điều đó thông quamột tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ

IP của host cần giao tiếp Các host trong mạng đều nhận được gói tin đó và chỉ duynhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tựđộng drop gói tin

2.2.1.2 Các gói tin ARP

Host A gửi một ARP Request và nhận được một ARP Reply từ một host B có thựctrong mạng sau khi tiến trình này hoàn tất, host A sẽ biết host B có MAC như thế nào.Tiếp theo, host A sẽ lưu lại sự hiểu biết đó lên bộ nhớ của mình gọi là ARP table ARPtable giúp host A không phải thực hiện ARP Request đến host B một lần nữa

Hình 1 - Mô tả quá trình ARP

2.2.1.3 Nguyên lý tấn công

Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta, tuynhiên nó lại không đề cập đến vấn đề xác thực nào cả Khi một host nhận được gói tinARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng saunày mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốnhay không ARP không có cơ chế nào để kiểm tra việc đó cả và trên thực tế một host cóthể chấp nhận gói ARP Reply mà trước đó không cần phải gửi gói tin ARP Request

Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In TheMiddle, Denial of Service, MAC Flooding…

2.2.1.4 Một số cách tấn công ARP trong mạng LAN

 Man in the middle

Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B Đầu tiên, hacker

sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ

IP của host B

Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC củamáy hacker và IP của host A Như vậy, cả hai host A và host B đều tiếp nhận góiARP Reply đó và lưu vào trong ARP table của mình Đến lúc này, khi host A muốngửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địachỉ MAC của host B nênsẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉMAC đó là của hacker Đồng thời máy tính của hacker sẽ mở chức năng gọi là IPForwading giúp chuyển tải nội dung mà host A gửi qua host B Host Avà host B giaotiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker.Trong trường hợp khác, hacker sẽ nghe lén thông tin từ máy bạn đến Gateway.Như vậy mọi hành động ra Internet của bạn đều bị hacker ghi lại hết, dẫn đến việcmất mát các thông tin nhạy cảm

 Denial of service

Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARPReply đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP củaGateway và địa chỉ MAC không hề tồn tại Như vậy các host trong mạng tin tưởng rằngmình đã biết được MAC của Gateway và khi gửi thông tin đến Gateway, kết quả là gửiđến một nơi hoàn toàn không tồn tại Đó là điều hacker mong muốn, toàn bộ các hosttrong mạng đều không thể đi ra Internet được

 MAC flooding

Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến làSwitch Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làmSwitch xử lý không kịp và trở nên quá tải Khi đó, Switch sẽ không đủ sức thể hiện bảnchất Layer2 của mình nữa mà broadcast gói tin ra toàn bộ các port của mình Hacker dễdàng bắt được toàn bộ thông tin trong mạng của bạn.

2.2.1.5 Một số biện pháp phòng chống

Có một số biện pháp để chống tấn công ARP trong mạng LAN

 Khi hệ thống mạng nhỏ ta có thể gán MAC tĩnh cho từng máy Khi đó địa chỉ IP

và MAC sẽ gắn chặt với nhau, trên từng máy đều có địa chỉ MAC và IP củatừng máy trong mạng nên sẽ không thể xảy ra trường hợp tấn công ARP

 Sử dụng chức năng port security trên một số switch hỗ trợ chức năng này, khi đótrên một port trên switch chỉ cho phép một hoặc một số địa chỉ MAC hợp pháp.Khi kẻ tấn công dùng MAC không phù hợp, gói tin sẽ không thể đi qua đượcport này

 Dùng 1 số tool sẵn có để chống ARP spoofing như (WinPcap4 và ArpSpoof,Xarp2.0, CainAble…)

2.2.2 Tấn công IP Spoofing

2.2.2.1 Giới thiệu chung

IP Spoofing là một kiểu tấn công mà ở đó, attacker sẽ thay đổi địa chỉ nguồn củapacket, có thể bằng một địa chỉ chưa sử dụng, có thể bằng một địa chỉ đang được sửdụng bởi một host tin cậy nào đó

Hình 2 - Mô hình tấn công IP spoofing

Bằng việc sử dụng IP Spoofing, attacker có thể che dấu đi địa chỉ của bên gửi hoặc

có thể giả dạng là một host khác

IP Spoofing dựa trên thực tế rằng trong giao tiếp giữa các host ở khoảng cách xa,packet sẽ được xử lý và định tuyến bởi router Trong khi đó, các router, khi xử lý vàđịnh tuyến packet, sẽ không quan tâm đến địa chỉ nguồn của packet, mà chỉ quan tâmđến địa chỉ đích trong IP header Địa chỉ nguồn chỉ được xét đến khi host nhận (ta tạmgọi là victim) muốn gửi phản hồi, mà khi đó, victim nhận được packet cũng sẽ khôngxác định được địa chỉ nguồn của packet là đúng hay sai Khi nhận được packet với địachỉ nguồn sai, victim sẽ gửi những packet phản hồi theo địa chỉ nguồn trong packetnhận được Do đó, attacker cũng sẽ không nhận được các packet phản hồi đó

2.2.2.2 Các kiểu tấn công IP Spoofing

IP Spoofing thường được sử dụng cùng với một phương thức tấn công nào đó,khiến cho victim khó có thể nhanh chóng tìm ra được địa chỉ của attacker Một sốphương thức tấn công thường sử dụng IP Spoofing gồm có:

 Man-in-the-middle

Với kiểu tấn công này, attacker cố gắng lấy được những packet trong một kết nốinào đó giữa 2 người sử dụng Sau đó, có thể sử dụng IP Spoofing cùng với nhữngcông cụ khác để lừa các host đang tham gia kết nối, trở thành điểm đến của cácpacket Từ đó, attacker có thể biết được nội dung trao đổi giữa 2 host.

 TCP Syn Flooding

TCP Syn Flooding là một kiểu tấn công DoS (tấn công từ chối dịch vụ) Kiểu tấncông này lợi dụng phương thức three-way handshake của giao thức TCP để gửi rấtnhiều Syn packet nhưng không gửi Ack packet để thiết lập kết nối Các Syn packetđược gửi đến victim sẽ được đưa vào backlog Quá nhiều Syn packet đến mà khôngthưc hiện kết nối sẽ làm cho backlog của victim bị đầy, và không thể nhận các kếtnối từ các host khác Attacker sử dụng IP Spoofing trong TCP Syn Flooding, sẽ chọncác địa chỉ nguồn một cách ngẫu nhiên, qua đó, sẽ không có Ack packet từ nhữnghost đó, do những host đó không hề gửi Syn packet cho victim

 Smurf Attack

Trong Smurf Attack, attacker sẽ gửi các bản tin ICMP đến một số lượng lớn cáchost khác với địa chỉ nguồn của packet là địa chỉ IP của victim Khi nhận được bảntin ICMP từ attacker, các host đó sẽ gửi các bản tin ICMP response đến victim Vớimột số lượng lớn các bản tin ICMP response nhận được, thiết bị của victim sẽ hoạtđộng chậm lại, xử lý các bản tin cũng như các tác vụ không được nhanh chónghoặc thậm chí là bị crash

2.2.2.3 Các bước thực hiện IP Spoofing

Một phiên tấn công IP Spoofing có thể thực hiện theo các bước sau:

 Đầu tiên, attacker sẽ chọn đối tượng mình muốn attacker (victim) Lấy được địachỉ IP của victim

 Tiếp theo đó, attacker sẽ tìm hiểu về các “trust relationship” của victim, qua đó,

sẽ chọn lựa được host có “trust relationship” với victim, chính là host màattacker sẽ sử dụng địa chỉ IP để thay thế địa chỉ của mình

 Bằng việc gửi các packet đã được spoof địa chỉ IP nguồn đến victim, attacker sẽgiả dạng được mình là “trusted host” Hơn thế nữa, nếu có các công cụ cũng nhưcác phương thức để tính toán được sequence number trong packet mà victim sẽreply, attacker hoàn toàn có thể giả mạo “trusted host” trong toàn bộ phiên kếtnối đó Để tăng xác suất thành công, attacker sẽ cố gắng thiết lập các kết nối dựatheo các dịch vụ “address-based authentication”, xác thực dựa theo địa chỉ(không có user name và password)

 Khi đã tiếp cận được victim thông qua phiên kết nối, attacker có thể thực hiệnmột số hành động gây hại như gửi mã độc, virus, Trojan, hoặc đánh cắp thôngtin trên thiết bị của victim Attacker cũng có thể để lại những “backdoor”, để cóthể dễ dàng tiếp cận victim trong tương lại nếu cần thiết

2.2.3 Tấn công DHCP Server

2.2.3.1 DHCP là gì ?

DHCP (dynamic host configuration protocol): giao thức cấu hình địa chỉ động.Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho hoạt động củamạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống mạng

DHCP server là một máy chủ có cài đặt dịch vụ DHCP Nó có chức năng quản lý

sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP Ngoài ra còn có nhiệm vụtrả lời khi DHCP Client có yêu cầu về hợp đồng thuê bao

DHCP client là dịch vụ có sẵn trên các máy trạm Nó dùng để đăng ký, cập nhậtthông tin về địa chỉ IP và các bản ghi DNS cho chính máy trạm đó DHCP client sẽ gửiyêu cầu đến DHCP server khi nó cần đến 1 địa chỉ IP và các tham số TCP/IP cần thiết

để làm việc trong mạng nội bộ và trên Internet

2.2.3.2 Chức năng của DHCP Server

Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cậpmạng và các tài nguyên của nó Không có DHCP, cấu hình IP phải được thực hiện mộtcách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sangmạng con khác, và các máy tính được loại bỏ khỏi mạng

Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động

và tập trung DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉvới bất cứ DHCP client có thể khi nó có thể ghi lên mạng Bởi vì các địa chỉ IP là độnghơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với cácvùng cấp phát lại

2.2.3.4.Cách thức hoạt động DHCP

 B1: máy chạm khởi động với địa chỉ IP rỗng cho phép liên lạc với DHCP Serverbằng giao thức TCP/IP Nó broadcast một thông điệp DHCP Discover chứa địachỉ Mac và tên máy tính để tìm DHCP Server

 B2: nhiều DHCP Server có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máytrạm, nó gửi thông điệp DHCP offer chứa địa chỉ Maccuar khách hang, địa chỉ

IP offer ,subnet mask , địa chỉ IP của máy chủ và thời gian cho thuê đến cácClient Địa chỉ offer đước đánh dấu là “reserver “

 B3: khi Client nhận thông điêp DHCP offer và chấp nhận một trong các địa chỉ

IP, Client sẽ gửi thông điệp DHCP Request để yêu cầu IP phù hợp cho DHCPthích hợp

 B4: cuối cùng DHCP Server khẳng định lại cới client bằng thông điệp DHCPAcknowledge

2.2.3.5 Thực hiện tấn công DHCP Server

Tuy có nhiều ưu điểm, nhưng giao thức DHCP hoạt động lại khá đơn giản, suốt quátrình trao đổi thông điệp giữa DHCP Server và DHCP Client không có sự xác thực haykiểm soát truy cập DHCP Server không thể biết được rằng nó đang liên lạc với một

DHCP Client bất hợp pháp hay không, ngược lại DHCP Client cũng không thể biếtDHCP Server đang liên lạc có hợp pháp không Như vậy sẽ có hai tình huống xảy ra:

 Khi DHCP Client là một máy trạm bất hợp pháp:

Khi kẻ tấn công thỏa hiệp thành công với một DHCP Client hợp pháp trong hệ thốngmạng, sau đó thực hiện việc cài đặt, thực thi một chương trình Chương trình này liêntục gửi tới DHCP Server các gói tin yêu cầu xin cấp địa chỉ IP với các địa chỉ MACnguồn không có thực, cho tới khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị nó thuêhết Điều này dẫn tới việc DHCP Server không còn địa chỉ IP nào để cho các DHCPClient hợp pháp thuê, khiến dịch vụ bị ngưng trệ, các máy trạm khác không thể truynhập vào hệ thống mạng để truyền thông với các máy tính trong mạng

Trường hợp tấn công này chỉ làm cho các máy tính đăng nhập vào hệ thống mạng (saukhi bị tấn công) không thể sử dụng dịch vụ DHCP, dẫn đến không vào được hệ thốngmạng Còn các máy trạm khác đã đăng nhập trước đó vẫn hoạt động bình thường.Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thựchiện Kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được cuộctấn công này

 Khi DHCP Server là một máy chủ bất hợp pháp:

Khi kẻ tấn công phá vỡ được các hàng rào bảo vệ mạng và đoạt được quyền kiểm soátDHCP Server, nó có thể tạo ra những thay đổi trong cấu hình của DHCP Server theo ýmuốn Kẻ tấn công có thể tấn công hệ thống mạng theo các cách sau:

- Tấn công DoS hệ thống mạng: Kẻ tấn công thiết lập lại dải IP, subnet mask của

hệ thống để các máy trạm hợp pháp không thể đăng nhập vào hệ thống mạngđược, tạo ra tình trạng DoS trong mạng

- Tấn công theo kiểu DNS redirect: Kẻ tấn công đổi các thiết lập DNS để chuyểnhướng yêu cầu phân dải tên miền của Client tới các DNS giả mạo, kết quả làClient có thể bị dẫn dụ tới các website giả mạo được xây dựng nhằm mục đích

đánh cắp thông tin tài khoản của người dùng hoặc website có chứa các mã độc,virus, trojan sẽ được tải về máy Client.

- Tấn công theo kiểu Man-in-the-middle: Kẻ tấn công thay đổi Gateway mặc địnhtrỏ về máy của chúng, để toàn bộ thông tin mà Client gửi ra ngoài hệ thốngmạng sẽ được chuyển tới máy này thay vì tới Gateway mặc định thực sự Saukhi xem được nội dung thông tin, gói tin sẽ được chuyển tiếp đến Gateway thực

sự của mạng và Client vẫn truyền bình thường với các máy ngoài mạng màngười dùng không hề biết họ đã để lộ thông tin cho kẻ tấn công

2.2 Mạng lập trình được (Software Define Network)

Các giao thức mạng hiện nay ngày càng được hoàn thiện và hoạt động ổn định.Mặc dù vậy các giao thức mới vẫn không ngừng được nghiên cứu để đáp ứng với nhucầu ngày càng cao của con người Tuy nhiên có một khó khăn lớn khi nghiên cứu mộtgiao thức mới là không có một môi trường mạng cụ thể để có thể kiểm nghiệm sựchính xác, tính đúng đắn và chứng minh nó hiệu quả thật hay không, với các mô hìnhmạng hiện tại thì tính khả chuyển và sự mềm dẻo gần như không có vì trong một môhình mạng ta không thể tác động để điều khiển các thiết bị như mong muốn

Như vậy nảy sinh vấn đề là cần một mô hình mạng có tính mềm dẻo và khả chuyểncao hơn, cho phép thực hiện các thay đổi, tùy biến trong mạng mà không phụ thuộcvào cấu hình các thiết bị phần cứng đang sử dụng trên đó Đây chính là mô hình củamạng lập trình được

Mạng lập trình được là công nghệ cho phép điều khiển hoạt động của mạng dựatrên việc điều khiển hoạt động của các switch, sử dụng các ngôn ngữ lập trình và có thểthường xuyên thay đổi bằng cách nạp các đoạn mã nguồn khác vào thay thế Côngnghệ mạng lập trình được có lợi thế to lớn mà công nghệ mạng hiện tại không có được

Đó chính là tính mềm dẻo, khả năng mở rộng và tính linh hoạt của mạng Công nghệmạng hiện nay không cho phép can thiệp vào hoạt động của các thiết bị mạng, hoạtđộng của các thiết bị này bị phụ thuộc hoàn toàn vào nhà sản xuất quy định Chính vì

thế, rất khó cho việc thay thế một giao thức cũ bằng các giao thức mới và thử nghiệmchúng trên các thiết bị thật Công nghệ mạng lập trình được thì ngược lại, nó cho phépngười lập trình có thể can thiệp vào hoạt động của thiết bị và qua đó điều khiển thiết bịhoạt động theo ý muốn Việc này dễ dàng cho việc nghiên cứu cũng như triển khai cáccông nghệ mới vào trong mạng mà không cần thay đổi về phần cứng.

Mạng lập trình được chính là một công nghệ mạng mang tính cách mạng và làtương lai của công nghệ mạng trong thời gian sắp tới

- OpenFlow cũng là công cụ hữu hiệu để triển khai các mô hình thử nghiệm quy

mô lớn như GENI (Global Environment for Network Innovation)

2.3.2 Kiến trúc openflow

Hình 3 - Mô hình OpenFlow

Kiến trúc chung của OpenFlow (Như Hình 2.2.2 bên trên) gồm hai thành phầnchính: OpenFlow Switch, Controller

a Thiết bị chuyển mạch (OpenFlow Switch)

 Bảng định danh các luồng (Flow Table)

Về mặt ý tưởng, OpenFlow dựa trên thực tế rằng các switch và router đều chứa cácbảng mô tả các luồng trong mạng (Flow Table) Mặc dù Flow Table trên switch, routerhoặc của các hãng khác nhau có thể khác nhau nhưng chúng cùng thực hiện các chứcnăng giống nhau là phục vụ cho hoạt động của các ứng dụng Trên Flow Table có chứađịnh nghĩa các luồng thông tin trong mạng (Flow Entry), các Flow Entry chứa cáctham số giúp điều khiển các luồng thông tin đi một cách đúng đắn và hợp lý trongmạng

Bảng 1 - Cấu trúc Flow Table entry

 Thành phần Header Fields

Header Fields: đây là phần header của flow, phần này chứa các thông tin liên quan tớiđịa chỉ đích, địa chỉ nguồn, giao thức đang thực hiện trên flow Chi tiết các thông tinnhư bảng dưới đây:

Bảng 2 - Các thành phần trong phần Header Fields của Flow Table entry

- In port : cổng flow đi vào switch

- VLAN ID : định danh của VLAN mà switch đang nằm trong

- Ethernet SA/ Ethernet DA : địa chỉ MAC nguồn/ đích

- Ethernet Type : loại gói tin Ethernet

- IP SA/ IP DA : địa chỉ IP nguồn/ đích

Tham số Counter Ý nghĩa Độ dài tham số

(Tính theo bit) Thống kê theo flow

Duration (seconds) Khoảng thời gian nhận tính theo giây 32

Tên Actions Ý nghĩa

Chuyển tiếp gói tin( Forward)

ALL Gửi gói tin ra tất cả các interface

CONTROLLER Đóng gói và gửi lên controller

LOCAL Gửi gói tin tới các switch cục bộ trong stack

TABLE Áp dụng hành động trong Flow Table

IN-PORT Gửi gói tin ra cổng vào

NORMAL Xử lý gói tin sử dụng đường định tuyến hỗ trợ trên switch

FLOOD Gửi gói tin theo minimum spanning tree mà không quan

tâm tới interface đếnEnqueue Chuyển gói tin tới hàng đợi theo cổng

Modify-field Sửa tham số trong Flow Table entry

Bảng 4 - Một số Actions trong Flow Table entry

 Openflow switch