软件定义光网络（SDON）性能指标和评估测试方法研究.pdf

版权声明 本 研究报告 版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其它方式使用本 研究报告 文字或者观点的，应注明“来源：中国通信标准化协会”。违反上述声明者，本协会将追究其相关法律责任。 研究 报告要点 软件定义网络（ Software Defined Network， SDN）是网络技术领域最重要的发展方向，并迅速从数据网络领域向光传送网络领域延伸，成为未来光传送网络发展演进的重要方向。当前，面向传送网 PTN、 OTN、 POTN 等技术的软件定义光网络（ SDON）系列标准化工作尚在 进行当中 ，业内还没有针对 SDON 测试的仪表发布，相应测试方法研究在国内也是空白。 目前， ONF、 IETF 等国际标准化组织都在积极开展 SDN 测试相关的标准化研究工作。 ONF 的测试和互操作工作组已开展 OpenFlow 协议性能测试指标和测试方法研究。 IETF 的 BMWG 工作组正积极研究 SDN 控制器性能测试方法，并已形成工作组文稿。 软件定义传送网性能 评估指标和 测试方法研究， 主要 涵盖 软件定义光网络的性能指标以及控制器层性能评估方法， 主要 从 北向接口、南向接口角度分别提出对控制器层性能评测的方法， 并对控制器的安全测试方法进行了研究 。 （传送 网 与 接入网技术 工作 委员会传送网工作组 ） 研究 单位： 中国信息通信研究院 、 烽火科技集团有限公司 、 上海贝尔股份有限公司 项目 负责人：徐云斌 项目 参加人：赵星、易晶晶、 张 励 完成日期： 2017 年 11 月 2 目录 1 范围 . 1 2 缩略语 . 1 3 概述 . 3 3.1 SDON 测试概述 . 3 3.2 软件定义光网络测试国内外现状 . 4 3.2.1 北向接口测试现状 . 4 3.2.2 南向接口测试现状 . 5 3.2.3 控制器性能测试现状 . 7 4 控制器性能指标 . 8 4.1 控制器指标分类 . 8 4.2 多域控制器性能指标 . 9 4.2.1 北向接口相关指标 . 9 4.2.2 控制器可靠性相关指标 . 10 4.2.3 保护恢复相关指标 . 10 4.2.4 控制器能力相关指 标 . 11 4.3 单域控制器性能指标 . 11 4.3.1 南向接口相关指标 . 11 4.3.2 控制器可靠性相关 指标 . 12 4.3.3 保护恢复相关指标 . 13 4.3.4 控制器能力相关指标 . 13 5 控制器性能测试方法 . 14 5.1 多域控制器性能测试方法 . 14 5.1.1 北向接口相关性能指标测试方法 . 14 5.1.2 控制器能力相关指标 . 19 5.1.3 保护恢复相关指标 . 20 5.1.4 控制器可靠性相关指标 . 24 5.2 单域控制器性能测试方法 . 25 5.2.1 南向接口相关指标 . 25 3 5.2.2 控制器能力相关指标 . 28 5.2.3 保护恢复相关指标 . 28 5.2.4 控制器可靠性相关指标 . 30 6 控制器安全测试方法 . 31 6.1 北向接口协议安全 . 31 6.1.1 协议认证 . 31 6.1.2 操作授权 . 33 6.1.3 协议加密 . 34 6.1.4 非法协议报文的过滤功能 . 35 6.1.5 不同用户 的操作权限 . 35 6.2 南向接口协议安全 . 36 6.3 控制器安全抗攻击能力 . 36 6.3.1 抗 DOS 攻击测试 . 36 6.3.2 漏洞扫描 . 37 6.3.3 系统防病毒扫描 . 38 6.3.4 操作日志管理 . 38 参考文献 . 39 1 软件定义 光网络 （ SDON）性能指标 和评估测试方法研究 1 范围 本 课题针对软件定义 光 网络（ SDON） 的 性能 指标 和评估测试方法开展研究，包括 控制器性能测试方法和控制器安全测试方法。 本研究报告可为后续 软件 定义光传送网（ SDON） 相关 测试 标 准的 制定 提供参考。 2 缩略语 下列缩略语适用于本文件。 A-CPI： 应用控制接口（ Application-Controller Plane Interface） ACTN：流量工程网络的抽象与控制（ Abstraction and Control of TE Networks） API： 应用编程接口（ Applications Programming Interface） APP： 应用（ Application） ARP： 地址解析协议（ Address Resolution Protocol） ASON： 自动交换光网络（ Automatically Switched Optical Network） BGP： 边界网关协议（ Border Gateway Protocol） BMWG： 测试 标准化工作组 （ Benchmarking Methodology Working Group） CRUD： 创建 、查询、更新、删除（ Create、 Retrieve、 Update、 Delete） DANE：基于域名系统命名实体的身份验证协议（ DNS-Based Authentication of Named Entities） DCN： 数据通信网（ Data Communication Network） D-CPI： 传送控制接口（ Data Plane-Controller Plane Interface） DNS： 域名系统 （ Domain Name System） DOS： 拒绝服务 （ Denial of Service） GMPLS： 通用多协议标志交换协议（ Generalized Multiprotocol Label Switching） HMAC-SHA1：一种基于加密 hash 函数和共享密钥的消息认证协议 （ Hashed Message Authentication Code, Secure Hash Algorithm） HTTP： 超文本传输协议（ Hypertext Transfer Protocol） 2 ICMP： 网间控制报文协议（ Internet Control Messages Protocol） I-CPI： 控制器层间接口（ Intermediate-Controller Plane Interface） IETF： 国际互联网工程任务组（ The Internet Engineering Task Force） IP： 互联网协议（ Internet Protocol） L2VPN： 二层虚拟 专用 网络（ Layer 2 Virtual Private Network） MAC：媒体访问控制 /硬件 地址 （ Media Access Control） MPLS-TP ： 多 协 议 标 签 交 换 - 传 送 架 构 （ Multi-protocol Label Switching-Transport Profile） NaaS：网络即 服务（ Network as a Service） NBI： 北向接口（ Northbound Interface） NE： 网元（ Network Element） OAM： 操作、管理、维护（ Operations, Administration, Maintenance） OAuth： 开放 认证协议 （ Open Authorization） ONF：开放网络基金会（ Open Network Foundation） PC：个人电脑（ Personal Computer） PCE： 路径计算单元（ Path Computation Element） QoS： 服务质量（ Quality of Service） RESTful： 状态 表达 传输协议（ Representational State Transfer） SC：超级控制器（ Super Controller） SDN： 软件定义网络（ Software Defined Network） SDON： 软件定义 光 网络（ Software Defined Optical Network） SNMP： 简单网络管理协议（ Simple Network Management Protocol） SYN： 同步 （ Synchronous） T-API： 传送网应用 编程接口（ Transport API） TCP： 传输控制协议（ Transmission Control Protocol） TE：流量工程 （ Traffic Engineering） TLS： 安全传输层协议（ Transport Layer Security Protocol） UDP： 用户数据报协议（ User Datagram Protocol） UML： 统一建模语言（ Unified Modeling Language） 3 VDC： 虚拟 数据中心（ Virtual Data Center） YANG： NETCONF 数据建模语言（ Yet Another Next Generation） 3 概述 3.1 SDON 测试概述 软件定义 光网络 与传统光传送网相比，增加了控制器、 应用平面等实体。与传统传送 网络 仅通过网管对传送平面进行管理和控制不同， SDON 中通过控制器对传送平面的转发规则进行配置，可分别通过控制器北向接口、南向接口实现网络拓扑收集、路由计算、业务连接控制、策略控制、通知处理等功能。 在 集中式的网络控制架构下，控制器的性能和安全可靠性 成为 网络性能评估和测试的重要组成部分。 对 软件定义光网络的测试 主要 包括对 SDON 南北向接口 以及核心部件控制器进行协议一致性、功能、性能的全面测试。 本部分 主要针对控制器的性能及安全性等 指标 ，给出了通用的测试方法。 对于 控制器接口的协议一致性和功能测试，受具体 控制器 及南北向接口实现以及底层 传输 网络技术的限制，不在 本 研究 报告中讨论。 a） 控制器性能测试方法 SDON 控制器的性能 对 整个软件定义光传送网的 性能 造成较大的影响。 控制器北向的应用（或上层控制器）通过北向接口与控制器（或下层控制器）进行交互。控制器南向接口协议与 光 网络设备 进行交互。控制器性能测试 需 从这两个接口进行，对控制器性能进行全面评估。 控制器 性能测试方法 可以 分为多域控制器测试方法以及单域控制器测试方法。 多域 控制器测试方法 主要 针对多域控 协同 控制器管理 多个网络 情况下的网络整体 性能， 单 域控制器测试方法主要考察单个厂商域控制器及其管理自身网络设备环境下的整体性能。 其 相关 的性能指标可以分为 ： 1） 北向接口和南向 接口协议交互相关的指标 ； 2） 和控制器管理网元数、 管理 业务数、支持的上层 APP 数量控制器 等体现 控制器能力的 指标 ； 3） 和 业务 保护恢复性能相关的指标 ； 4） 控制器可靠性相关指标。 b） 控制安全性测试方法 4 控制器 的安全性主要包括控制器南向和北向接口的安全性测试方法，以及控制器本身的安全抗攻击能力。 3.2 软件 定义光 网络测试国内外现状 3.2.1 北向 接口测试现状 a) 测试方法研究现状 国际标准组织 ONF 制定了软件定义光传送网北向接口（ NBI）框架及技术要求， ONF 各工作组分别制定各领域的 NBI 信息模型，目前已有的文稿包括：Carrier Grade SDN 组提出的运营商网络 NBI 要求， NBI 组提出的 NBI 架构、L2VPN E-Line NBI 信息模型、 NBINaaS 用例、 NBI 信息模型、 NBI 信息模型域间拓扑、 NBI 信息模型 L3VPN、目的 NBI 原则和定义、 NBI 信息模型业务链、NBI 信息模型 VDC、 NBI 信息模型业务流， Security 组提出的 NBI 安全草案 。NBI 信息模型的定义为 UML 图以及 YANG 模型 错误 !未找到引用源。 ， NBI 架构中建议 NBI API 通过 RESTful API 实现。 目前， ONF Open Information Modeling工作 组已发布 了通用的北向接口信息模型 ： Core information model（ 核心 信息模型） 错误 !未找到引用源。 ， Open Transport 工作组发布了 软件定义光传送网 对北向接口的功能需求白皮书 V2.0 版本 错误 !未找到引用源。 ， 并在 通用信息模型的基础上 ，提出了面向 传送网 应用 需求的 传送网 应用 编程 接口 信息模型 ： T-API（ Transport API） 错误 !未找到引用源。 ，制定了 传送网拓扑、业务、通知 等 相关的各信息模型。 国际 标准化组织 IETF TEAS 工作组 也在制定软件定义 光传送网北向接口 规范 ： ACTN 接口 标准，目前已发布的文稿包括： ACTN 整体架构 错误 !未找到引用源。 、 ACTN 信息 模型介绍 错误 !未找到引用源。 、 ACTN 需求 错误 !未找到引用源。 、 YANG 模型 在 ACTN 接口标准中的应用 错误 !未找到引用源。 、 ACTN 抽象方法 错误 !未找到引用源。 ，与 业务相关 的 TE 信息 模型 错误 !未找到引用源。 已 作为工作组文稿发布 ， TE 拓扑 模型 错 误 !未找到引用源。 在 工作 组文稿推进过程中 ，其他文稿 如以太网信息模型 等 还 处于 个人文稿阶段 。 ACTN 接口采用 RESTful API 实现。 目前还没有标准组织对 SDON 信息模型的测试 方法 进行研究 ， 科研机构和高校对北向接口 RESTful API 的测试方法研究较少。 挪威 的研究人员 提出了 一种5 从开发者角度出发的 RSETful API 白盒测试方法 错误 !未找到引用源。 ， 通过进化算法自动生成 测试例 ， 遍历接口 上层 的 应用程序代码、查找 代码 漏洞 ，并 对两个开源 的 RESTful 服务进行了测试，验证了该测试方法的可行性。 Chia Hung Kao等提出了基于 REST 的 Web 应用性能测试框架，该框架集成测试用例设计、测试脚本生成和测试执行 错误 !未找到引用源。 。 Sujit Kumar Chakrabarti 等也提出了测试 RESTful Web 应用的方法，该方法使用了易扩展的 XML 测试脚本，并可进行测试用例重用和组装，有较好的可扩展性 错误 !未找到引用源。 。 b) 测试仪表 工具 现状 SDN 北向 RESTful API 基于 HTTP 协议，应用与控制器分别为 HTTP 的客户端与服务器端。目前有多种软件 测试 工具可实现基于 REST API 的 Web 应用测试，如 JMeter、 vREST、 Frisby、 PyREST， RESTClient 等。 其中 JMeter 为 免费开源工具，有较好的可视化界面， 可对返回 的 接口 内容正确性进行 判断 、 解析 消息 内容 并以 表格形式展示 ， 同时支持在 Windows、 Mac OS、 Linux 等多个 操作 系统 下 安装 。 vREST 为付费软件，有较好的可视化界面，支持参数设置、 POSTMAN、 Swagger 导入、生成测试报告等功能，不支持 ONF信息模型常用的 YANG 文件导入。 Frisby 是免费的 REST API 测试工具，需用javascript 编写测试例，没有可视化界面。 PyREST 是 Github 上的开源项目，使用 Python 编写测试用例，没有可视化界面。 RESTClient 是一款小巧的 用于测试JAVA web service 的 JAVA 客户端 ， 具备 可视化界面 。 Postman 为 一款浏览器插件，也是 完整 的 API 开发测试 工具 ，具备 可视化界面， 使用 JSON 格式编写测试例内容，可对测试例进行分组整理 、解析 所返回的接口数据 ，是目前使用较 为广泛的 REST API 测试 工具。 3.2.2 南向 接口测试现状 a) 测试方法研究现状 SDON 南向接口 针对 多种传送网络 技术 ，其接口协议不 固定 ，包括 ONF 组织制定的 OpenFlow 协议 ， 以及 BGP， GMPLS， PCE， SNMP 等多种南向接口协议。 本 部分主要给出 OpenFlow 协议的测试现状。 2015 年 3 月 15 日， ONF 发布了光传送协议扩展 V1.0 错误 !未找到引用源。 ，给出基于光传送网络扩展的测试例原型 ， 对光传送网络设备上采用 OpenFlow 协