軟件定義網絡IPv6安全仿真技術與教學應用

魚 清，胡曦明,2*，李 鵬,2

(1.陜西師范大學 計算機科學學院，陜西 西安 710119；2.現代教學技術教育部重點實驗室，陜西 西安 710119)

0 引 言

軟件定義網絡(SDN)是從最初美國斯坦福大學Clean Slate課程組提出的學術性新概念[1]，以技術創新驅動發展演變成為涵蓋技術標準、設備產品、網絡建設和商用運營等上下游各方的高新技術產業，受到包括互聯網工程任務組(IETF)等國際標準化組織、思科等設備制造商、谷歌等互聯網公司和德國電信等網絡運營商的持續高度關注與高投入。SDN是基于數據層面與控制層面分離的架構，向下將基礎設施虛擬化為底層服務資源的同時向上將分散而異構的管理控制功能抽象為可編程可開發的軟件平臺[2]，使得信息網絡從互聯互通基礎設施升級轉化為業務響應服務系統。在SDN技術創新的強勁驅動下，軟件定義光網絡SDON[3]、Google數據中心廣域網B4[4]、開放網絡操作系統ONOS[5]、SDN/NFV統一編排平臺ECOMP[6]等新模式新業務新系統蓬勃發展，進一步推動SDN向更廣領域、更高層次和更深程度融合創新，可以說SDN已成為面向未來實施創新驅動發展的戰略性熱點之一。

面對SDN創新驅動要求產學研用協同實現高質量發展的內在需求進一步突顯，軟件定義網絡仿真技術如何以高校學科發展和專業教學改革為引領，探索SDN相關仿真技術和教學應用，主動適應SDN科技創新和產業變革對復合型拔尖創新人才培養的需求，成為當前高校面向“新工科”建設開展仿真技術創新和實驗教學改革富有時代性、前瞻性和教育價值性的新課題。

1 軟件定義網絡仿真技術發展現狀與趨勢

以中國知網(CNKI)收錄的中文期刊為文獻統計源，分別以關鍵詞“軟件定義網絡”或“SDN”并含“仿真技術”或“實驗教學”，在“全部期刊”中精確檢索，再對檢索所得文獻集合進行篩選，剔除檢索詞條匹配但內容與學術研究無關的文獻后得到27篇論文(如表1所示)，通過文獻調查法和主題聚類分析SDN仿真技術與教學應用發展現狀與趨勢。

表1 SDN仿真技術與教學應用文獻調查與研究主題聚類分析(統計來源：2010～2020年中國知網CNKI收錄期刊)

(1)仿真技術以基于Mininet平臺成為主流路徑。

從功能上講，能夠用于SDN仿真的實驗平臺類型多樣，如美國斯坦福大學Mininet[7]、臺灣思銳科技EstiNet[8]、美國華盛頓大學NS-3[9]以及美國國家航空航天局和Rackspace合作研發的OpenStack[10]，但是通過對SDN仿真技術文獻調查分析發現，基于Mininet的仿真技術文獻占比高達80%。中南大學[11-13]、華北電力大學[14]等多所“雙一流”大學和西安思源學院[15]、浙江農林大學暨陽學院[16]等地方民辦院校均以Mininet作為平臺開展仿真實驗教學。Mininet具有輕量級的仿真環境和友好、便捷的可開發性，事實上已成為將SDN快速引入高校課堂的主流路徑。

(2)仿真主題從組網類向安全類升級成為新需求。

通過對SDN仿真技術文獻的研究主題聚類分析發現，現有以SDN組網為仿真主題的文獻占比達75%，仿真科目聚焦SDN控制器部署、交換設備控制數據轉發等SDN組網的基礎配置與操作，教學模式以教師指令下的SDN組網驗證性仿真實驗為主，例如，廣西大學葉進以OpenDayLight為SDN控制器開展控制數據轉發與可視化表項方面的實驗教學[17]。

網絡空間安全作為重要組成部分被納入中國特色國家安全能力建設總體布局，2015年國務院學位委員會、教育部聯合發布通知，正式增設“網絡空間安全”一級學科[18]。在國家戰略和學科發展的雙重推動下，SDN仿真主題從組網類向安全類升級成為增強學科教學服務高質量發展能力的時代性需求[19]，也成為專業教學改革新的著力點。從文獻調查來看，中南大學黃家瑋從前期關注測試驗證Mininet平臺開展SDN仿真的可行性、高效性與便捷性[11]和以OpenDayLight的Web UI控制轉發表項為例開展交換機控制數據轉發仿真實驗[12]，轉而聚焦SDN架構下網絡空間安全的BGP路徑挾持攻擊和ARP攻擊與防御仿真技術[13]；南京郵電大學費寧構建SDN下高擴展性防火墻仿真平臺，支撐網絡安全實驗教學新需求[20]。

(3)仿真體系從IPv4向IPv6延伸成為新熱點。

隨著互聯網+、人工智能和大數據等國家戰略的深入推進，IPv4地址資源枯竭和技術體系受制于人的格局給國家信息安全帶來的隱患和威脅愈加突出，2017年11月中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版(IPv6)規模部署行動計劃》，強調必須加快部署IPv6網絡，構建高性能下一代互聯網[21]。SDN作為面向未來網絡空間架構的關鍵技術也必將加快向IPv6體系演進，由此帶動SDN仿真體系從IPv4向IPv6延伸，成為近年來仿真技術研究的新熱點。例如，2017年北京郵電大學陳蔚瀚提出新的IPv4/IPv6過渡技術的流量調度優化模型并基于Mininet開展SDN環境下的仿真測試[22]；2018年北京工業大學李丹基于Mininet平臺提出SDN下的IPv6組播機制并完成了仿真[23]。

2 “Python+Mininet”軟件定義網絡IPv6安全仿真技術

基于上述對國內軟件定義網絡仿真技術與教學應用發展現狀與趨勢的系統梳理，可以說以Mininet為平臺聚焦軟件定義網絡IPv6安全仿真技術研究是高校承接國家網絡安全與信息化發展戰略對卓越信息安全工程師培養需求的新著力點。在此基礎上，該文基于“Python+Mininet”提出輕量級和可開發的軟件定義網絡IPv6安全仿真技術，旨在以軟件定義為核心打造個性化學習實驗系統，以仿真技術創新賦能軟件定義網絡實驗教學提質升級。

2.1 總體設計

(1)技術架構。

將SDN仿真平臺Mininet與Python開發相結合，提出“Python+Mininet”的軟件定義網絡IPv6安全仿真技術架構，總體設計如圖1所示。

圖1 “Python+Mininet”軟件定義網絡IPv6安全仿真技術架構

從仿真技術和教學應用來看，“Python+Mininet”的模塊化設計具有以下優點：模塊之間相互獨立，靈活而易于實現，適用于開展分組合作式實驗和協作學習；支持Python開發，滿足個性化和定制化的仿真需求；數據測量與可視化適用于對仿真進行過程性分析和精細化管理。

①Python開發模塊。

負責仿真策略的生成，通過Python開發在數據層面生成可編程數據源與路由跟蹤等網絡行為，在控制層面生成實驗環境配置、數據處理控制邏輯和網絡服務管理，經過Python第三方開發套件API實現與實驗運行模塊的交互，從而起到策動仿真的作用。

②實驗運行模塊。

負責網絡仿真的運行，基于Mininet平臺輸入Python開發模塊生成的數據層面和控制層面的仿真策略，模擬軟件定義網絡架構下的網絡行為與工作過程，經過Python第三方開發套件API向Python開發模塊實時反饋運行狀態，并通過Data Interface向測量與分析模塊輸出運行數據。

③測量與分析模塊。

負責對仿真數據與結果進行可視化分析，通過Data Interface實時采集實驗運行模塊虛擬網卡輸入輸出的數據，使用常用協議分析工具實現對仿真過程與結果的可視化分析。

(2)仿真流程。

基于“Python+Mininet”開展軟件定義網絡IPv6安全仿真技術的流程，如圖2所示。

2.2 關鍵技術

(1)數據源開發。

一方面可通過Python自主開發數據包構造和發包工具，另一方面也可采用Python第三方開發套件作為Mininet平臺插件。綜合考慮開發成本和教學應用需求，該文采用協議報文數據處理軟件Scapy作為Python開發模塊的數據源開發工具，通過Scapy可以實現網絡掃描、協議報文構造與解析和數據包嗅探等多種功能，并且利用Scapy為TCP/IP協議棧提供的開發類，可以開發更加綜合性的數據服務功能。

圖2 “Python+Mininet”軟件定義網絡IPv6

(2)網絡行為管理。

作為軟件定義網絡的核心，控制器負責在控制層面上對網絡行為進行集中式控制與管理，由此也就成為開展軟件定義網絡IPv6安全仿真的關鍵。該文針對“Python+Mininet”的仿真技術架構，以基于Python的Ryu或POX作為控制器，通過充分利用其自身具有的豐富Python API，針對個性化定制化的仿真需求開發不同的網絡行為管理策略，通過以可編程的模式從整體上實現網絡服務和網絡規則的定義、下發等網絡行為管理。

(3)數據測量接口。

仿真實驗在Mininet平臺中運行，需要通過數據測量接口從Mininet平臺中采集實驗數據才能開展后續的測量與分析。該文在VMware Workstation虛擬機上安裝Ubuntu作為Mininet的系統環境，通過虛擬機向Mininet平臺橋接虛擬網卡，然后采用Wireshark、tcpdump等協議分析工具監聽虛擬網卡從而獲得實驗數據。Wireshark提供良好的交互界面，可以實時捕獲經過網卡的數據包；tcpdump通過系統命令對數據包及時可視化顯示，操作靈活便捷。

3 軟件定義網絡IPv6安全仿真技術的教學應用

3.1 拓撲環境

將上述“Python+Mininet”軟件定義網絡IPv6安全仿真技術應用于高校課堂，首先搭建仿真拓撲環境，如圖3所示。

圖3 “Python+Mininet”軟件定義網絡IPv6安全仿真拓撲

從拓撲結構的連接關系來看，c0為SDN控制器，在控制器c0下連接交換機s1和s2；交換機s1連接主機h1，交換機s2連接主機h2和h3。

從攻擊與被攻擊的交互關系上，主機h3作為攻擊方，主機h1或h2作為被攻擊方，當h1與h2進行通信過程中，攻擊方h3基于Python開發偽造報文，攻擊主機h1與h2從而竊取h1與h2之間的通信信息，整個攻擊過程通過測量分析模塊實時進行數據采集、測量與可視化分析。

3.2 配置與操作

具體仿真實驗步驟以及對應的配置與操作過程，如圖4所示。

圖4 配置與操作

(1)拓撲腳本。

使用Mininet提供的Python API，創建拓撲腳本。

from mininet.topo import Topo

class MyTopo(Topo):

def __init__(self):

# initialize topology

Topo.__init__(self)

# add switches and hosts

s1=self.addSwitch('s1')

s2=self.addSwitch('s2')

h1=self.addHost('h1',mac="00:00:00:00:00:01")

h2=self.addHost('h2',mac="00:00:00:00:00:02")

h3=self.addHost('h3',mac="00:00:00:00:00:03")

# add links

self.addLink(h1,s1)

self.addLink(h2,s2)

self.addLink(h3,s2)

self.addLink(s1,s2)

topos={'myTopo':(lambda:SdnTopo())}

在網絡拓撲腳本中，首先導入Mininet中的Topo模塊，然后創建自定義網絡拓撲類MyTopo，依次添加交換機(s1和s2)、主機(h1、h2和h3)和網絡鏈路(h1-s1、h2-s2、h3-s2以及s1-s2)。在添加主機時，自定義該主機網卡MAC地址；如未自定義MAC地址，系統會默認分配。

(2)SDN組網。

①搭建拓撲環境。

首先開啟控制器Ryu，生成并下發SDN交換機流規則，以讓拓撲腳本所描述的網絡拓撲在Mininet平臺上運行起來。通過源碼方式安裝Ryu，從終端進入ryu/ryu/app目錄，執行ryu-manager命令運行Ryu控制器默認的simple_switch_13.py文件，從而定義交換機功能。

獲取運行Mininet的虛擬機本地IP地址，作為Mininet連接控制器的IP地址，然后以超級管理員運行拓撲腳本，讓Mininet在虛擬機中生成相應的網絡，具體命令為：mn --custom script-directory --topo topo-name [--switch ovsk,protocol=OpenFlow13] --controller=remote,ip=ip_adderss,port=port_number 。

命令中參數的含義分別為：custom(創建的腳本文件目錄)；topo(拓撲腳本中定義拓撲結構的類)；switch(指定交換機類型與通信協議類型)；controller(指定控制器)。

Mininet運行網絡拓撲腳本的過程，可以通過控制器Ryu來監視。當Mininet生成網絡拓撲時，Ryu會收到由網絡中交換機發往Ryu的大量packet in消息，說明Mininet與控制器Ryu連接成功并且網絡拓撲搭建完成。

②配置IPv6環境。

使用拓撲腳本搭建的網絡環境默認為IPv4，需在此基礎上進一步配置IPv6網絡環境，本次仿真需配置主機IPv6 地址。配置主機IPv6地址，首先需要通過net命令查詢到主機模擬網卡的名稱，本次仿真net命令查詢結果為：主機h1(h1-eth0)、主機h2(h2-eth0)和主機h3(h3-eth0)。

根據查詢到的主機網卡名，對拓撲中的三臺主機逐個配置IPv6地址，配置命令如表2所示。

為主機配置IPv6地址之后，可以使用ping6命令依次測試IPv6環境下各主機之間的連通性，從而完成IPv6仿真環境搭建。

表2 配置主機IPv6地址

(3)協議分析。

在虛擬機中安裝Scapy，然后在Mininet平臺上運行的主機h1中引入Scapy，以Scapy提供的Python API構造IPv6網絡ping6數據包，分析ICMPv6協議工作過程，關鍵開發代碼如表3所示。

表3 基于Python開發構造IPv6網絡ping6數據包

通過在虛擬機上運行Wireshark對流經主機h2網卡的數據包進行分析。在此次ping6報文的交互過程中，主機h1向主機h2發出ping6請求數據包，主機h2及時響應，發出ping6回復數據包給主機h1。

(4)網絡攻擊。

①主機h1與主機h2正常通信。

使用ping6命令模擬主機h1與h2之間的正常通信。在主機h1中以命令“h1 ping6 -c 3 fc00::2”給主機h2發送3個ping6請求數據包，同時主機h2給主機h1及時回復3個ping6回復數據包。

②攻擊方h3發起攻擊。

攻擊方h3開啟虛擬終端啟動Scapy，通過Python開發偽造NS報文,欺騙主機h2。偽造報文中源IPv6地址是主機h1的IPv6地址(fc00::1)，目的IPv6地址是主機h2的IPv6地址(fc00::2)，而源MAC地址是攻擊方h3的MAC地址(00:00:00:00:00:03)。關鍵步驟如表4所示。

③主機h1與主機h2通信中斷。

主機h3發起攻擊，此時主機h1再以命令“h1 ping6 -c 3 fc00::2”給主機h2發送3個ping6請求數據包，發現它不會再收到主機h2的響應。主機h1與h2的正常通信中斷。

(5)攻擊防御。

在上述攻擊仿真實驗中，攻擊方h3通過不斷發送偽造報文，欺騙主機h2更新錯誤的鄰居列表，從而達到中斷正常通信并截獲主機h1與h2的通信信息的攻擊效果。針對這種攻擊方式，可以通過給主機h2添加靜態鄰居表項進行防御。

表4 攻擊腳本的關鍵步驟

通過命令“h2 ip neighbor add fc00::1 lladdr 00:00:00:00:00:01 nud permanent dev h2-eth0”，將主機h1的IPv6地址(fc00::1)與MAC地址(00:00:00:00:00:01)綁定在主機h2的鄰居列表中，可以達到防御NDP中間人攻擊的效果。當添加靜態鄰居表項后，即使攻擊方h3發出大量偽造數據包，主機h2也不會更新自己的鄰居列表，攻擊方h3不能截獲通信信息。

3.3 可視化分析

當攻擊方h3發起攻擊之后，對主機h1與h2的通信過程的數據包進行可視化分析，如圖5所示。

圖5 NDP中間人攻擊可視化分析

對于主機h2而言，收到大量由fc00::1發出的數據包，并且告訴它，IPv6地址為fc00::1的主機的網卡地址為00:00:00:00:00:03，此時它將更新自己的鄰居列表。當收到來自fc00::1的ping6請求數據包時，它必須對其響應，發出回復數據包。要對fc00::1發回復數據包時，需要查看自己的鄰居列表，發現fc00::1對應的網卡地址為00:00:00:00:00:03，于是對該網卡發出回復數據包。

對攻擊方h3而言，在發出大量偽造報文的同時，收到來自fc00::2的ping6回復數據包，即成功截獲到了主機h1與h2的通信信息。

4 結束語

面對軟件定義網絡以創新驅動發展加快形成戰略性高技術產業的態勢，以“新工科”產教融合協同創新為引領開展軟件定義網絡IPv6安全仿真技術探索既可有效促進軟件定義網絡產業鏈與人才鏈更加緊密契合，又可通過仿真技術創新賦能學科專業主動布局軟件定義網絡前沿發展。

該文針對軟件定義網絡IPv6體系下的安全仿真技術缺乏的現狀，提出了基于“Python+Mininet”的軟件定義網絡IPv6安全仿真技術，通過IPv6鄰居發現協議攻擊與防御及可視化分析的教學應用表明該技術具有輕量級、可開發和一體化等優點，為高校面向未來網絡空間安全教學改革提供新的技術途徑。