sdn 网络管理，管理sdn网络遇到的挑战

SDN将网络设备的控制面与转发面分开，SDN为应用层提供可编程应用接口API，通过虚拟化技术，构建开放可编程的网络环境，实现网络设备的统一管理和控制。从逻辑架构的角度来看SDN技术特点总结如下：

集中性。将控制面从交换机中分离出来，以控制器集中控制网络设备，实现全局策略，从而简化了网络设备，通过统一标准的南向接口和虚拟化技术，实现统一管理、控制和维护不同厂家的设备。

可编程。控制面向上提供可编程接口到应用层API，网络配置、道路和策略、安全策略等都以应用软件的形式部署在控制器中，网络配置变得更加多样化，可以快速开展各种新业务，进行新的业务实验。可编程使网络更加智能，实现更灵活的网络设备管理，简化业务流程，提高网络灵活性，降低设备要求。

开放性。SDN它是一个开放的平台，现在很流行SDN方案都是开源的。SDN可编程能力为用户的个性化业务提供了前所未有的支持，为网络开发人员和运营商提供了新的业务开发平台。

然而，SDN虽然管理集中、可编程、开放等技术特点带来了很多好处，但在安全方面也带来了新的独特挑战。

1)控制层面挑战。管理集中性使得网络配置、网络服务访问控制、网络安全服务部署等都集中在SDN控制器上。一旦攻击者控制了控制器，就会导致网络服务的大规模瘫痪，影响控制器覆盖的整个范围SDN网络的可编程性和开放性，SDN控制器安全防护比传统网络中网管系统更重要。因此，围绕控制器的攻防是SDN例如，在自身系统安全中最关键的节点OpenFlow交换机流量表中不存在的初始流量信息将由集中控制器处理。虽然控制器可能不是分布式拒绝服务攻击的直接目标，但大量的初始流量会急剧增加控制器的负载；攻击者向控制器发送多个服务请求，所有请求的返回地址都是伪造的，直到控制器因过载而拒绝提供服务。

2)应用程序层面的挑战。可编程使控制器为应用层提供大量的可编程接口，这可能会带来许多安全威胁。例如，将蠕虫木马程序植入应用层，窃取网络信息，改变网络配置，占用网络资源，干扰控制面的正常工作过程，影响网络的可靠性和可用性；使用某些接口实现拒绝服务攻击、网络窃听等。

3)开放性也给SDN它带来了许多安全风险。安全和网络应用插件有一定的规则写入权限。随着应用程序的复杂性，多个应用程序之间存在安全规则冲突，导致网络管理混乱、安全规则绕过、服务中断；第三方应用程序或插件可能存在恶意功能、未声明功能、安全漏洞等风险。如表1所示，进行了全面的分析SDN技术特点、优势和安全威胁。