軟件定義與網絡安全

第1章　緒論 1
1.1　軟件定義的提出與發展 1
1.1.1　軟件定義的提出 1
1.1.2　軟件定義的概念 2
1.1.3　軟件定義的發展 2
1.2　軟件定義的技術本質 4
1.2.1　軟件定義體系架構 4
1.2.2　軟件定義技術特點 6
1.2.3　軟件定義實現技術 8
1.3　軟件定義面臨的機遇與挑戰 11
1.3.1　軟件定義面臨的機遇 11
1.3.2　軟件定義面臨的挑戰 13
習題 15
參考文獻 16
第1篇　計算虛擬化與軟件定義計算
第2章 虛擬機技術 19
2.1　虛擬機系統架構 19
2.2　基於x86架構的虛擬機技術 20
2.2.1　全虛擬化技術 21
2.2.2　半虛擬化技術 21
2.2.3　硬件輔助虛擬化技術 22
2.3　虛擬機系統典型案例——KVM 23
2.3.1　KVM架構 23
2.3.2　KVM應用部署 23
2.4　虛擬機管理工具——Libvirt 27
2.4.1　Libvirt組成 27
2.4.2　Libvirt部署模式 28
第3章 容器技術 29
3.1　容器的提出與發展 29
3.2　容器系統技術基礎 30
3.2.1　命名空間隔離 30
3.2.2　控制組 32
3.3　Docker技術 32
3.3.1　Docker基本概念 33
3.3.2　Docker架構 34
3.3.3　Docker部署模式 36
3.4　容器與虛擬機技術對比 37
第4章 軟件定義計算技術 38
4.1　軟件定義計算內涵 38
4.2　OpenStack虛擬機編排技術 39
4.2.1　OpenStack概述 39
4.2.2　Nova 43
4.2.3　Heat 47
4.3　Kubernetes容器編排技術 50
4.3.1　容器編排技術概述 50
4.3.2　Kubernetes架構 50
4.3.3　基於Deployment的容器編排機制 51
4.3.4　基於Deployment的資源管理案例 55
習題 59
參考文獻 60
第2篇　存儲虛擬化與軟件定義存儲
第5章 存儲虛擬化技術 63
5.1　存儲虛擬化概念 63
5.2　虛擬存儲服務模型 64
5.3　存儲虛擬化技術框架 65
5.4　虛擬存儲標準化問題 67
5.5　虛擬存儲空間映射機制 67
5.6　存儲虛擬化實現方式 68
5.6.1　基於主機的存儲虛擬化 69
5.6.2　基於設備的存儲虛擬化 70
5.6.3　基於網絡的存儲虛擬化 71
5.6.4　基於分布式存儲的存儲虛擬化 72
5.7　分布式虛擬存儲系統——Ceph 72
5.7.1　Ceph架構 73
5.7.2　Ceph統一存儲機制 74
5.7.3　Ceph數據管理機制 75
第6章 軟件定義存儲技術 77
6.1　軟件定義存儲概述 77
6.2　軟件定義存儲體系架構 78
6.2.1　架構組成 78
6.2.2　架構實現 79
6.3　OpenStack軟件定義存儲機制 80
6.3.1　Cinder架構與運行機制 80
6.3.2　Cinder後端存儲系統對接機制 81
6.3.3　基於RESTful API的卷管理實例 82
習題 85
參考文獻 86
第3篇　網絡虛擬化與軟件定義網絡
第7章 網絡虛擬化技術 89
7.1　網絡虛擬化概述 89
7.1.1　基於協議的網絡虛擬化 89
7.1.2　基於虛擬設備的網絡虛擬化 92
7.2　覆蓋網絡技術 92
7.2.1　覆蓋網絡的基本架構 92
7.2.2　覆蓋網絡的數據傳輸 92
7.2.3　覆蓋網絡的隧道技術標準 94
7.2.4　VXLAN隧道技術 94
7.3　虛擬交換轉發技術 99
7.3.1　Linux網橋 100
7.3.2　OVS 103
7.4　虛擬路由轉發技術 105
第8章 NFV技術 106
8.1　NFV概述 106
8.1.1　NFV的提出與發展 106
8.1.2　NFV的標準化工作 107
8.2　NFV體系架構 108
8.2.1　架構組成 108
8.2.2　架構特點 112
8.3　NFV體系架構的開源實現 113
8.3.1　NFV平臺開源組織與項目 113
8.3.2　基於開源技術的NFV平臺構建 114
第9章 SDN技術 117
9.1　SDN技術概述 117
9.1.1　SDN的內涵 117
9.1.2　網絡可編程技術的發展 117
9.2　SDN體系架構 118
9.3　SDN交換機技術 121
9.3.1　網絡數據轉發模型 121
9.3.2　OpenFlow交換機數據轉發模型 121
9.4　SDN控制器技術 125
9.5　SDN接口技術 127
9.5.1　南向接口技術 127
9.5.2　北向接口技術 130
9.6　數據平面可編程技術——P4 131
9.6.1　P4技術的提出 131
9.6.2　基於P4的數據平面可編程架構 132
9.6.3　P4技術的應用與優勢 135
習題 136
參考文獻 137
第4篇　軟件定義網絡安全技術
第10章 軟件定義安全概述 139
10.1　軟件定義安全內涵 139
10.2　軟件定義安全體系架構 140
10.3　軟件定義安全技術實踐 143
10.3.1　基於SDN的軟件定義網絡安全技術 143
10.3.2　不基於SDN的軟件定義網絡安全技術 144
10.4　技術特點與優勢 145
第11章 軟件定義防火墻 147
11.1　防火墻概述 147
11.1.1　基本概念 147
11.1.2　技術原理 147
11.2　軟件定義防火墻系統架構 150
11.3　服務機制設計 152
11.3.1　包過濾服務 152
11.3.2　狀態檢測服務 155
11.3.3　聯動防禦服務 158
11.4　技術特點與優勢 158
第12章 軟件定義移動目標防禦技術 160
12.1　移動目標防禦技術概述 160
12.1.1　基本概念 160
12.1.2　技術原理 162
12.2 軟件定義MTD系統架構 168
12.3　網絡層軟件定義MTD技術案例 169
12.3.1　單控制域網絡層軟件定義MTD技術 169
12.3.2　跨控制域網絡層軟件定義MTD技術 175
12.4　平臺層軟件定義MTD技術案例 178
12.5　技術特點與優勢 181
第13章 基於P4的軟件定義加密隧道技術 182
13.1　加密隧道技術概述 182
13.2　基於P4的軟件定義加密隧道體系架構 183
13.2.1　架構組成 183
13.2.2　工作流程 185
13.3　基於P4的可編程隧道加密機制 187
13.4　技術特點與優勢 189
第14章 SSFC編排與管理技術 190
14.1　技術概述 190
14.1.1　技術需求 190
14.1.2　相關概念 190
14.2　基於SDN的SSFC編排體系架構 192
14.2.1　架構組成 192
14.2.2　工作流程 194
14.3　SSFC的編排與管理 195
14.4　SSFC編排技術 197
14.4.1　SSFC描述與組鏈 198
14.4.2　SSFC的數據轉發 199
14.5　SSFC映射技術 201
14.5.1　單域網絡SSFC映射方法 203
14.5.2　多域網絡SSFC映射方法 207
14.6　SSFC調整技術 210
14.7　技術特點與優勢 213
第15章 SDP技術 215
15.1　SDP技術概述 215
15.1.1　技術需求 215
15.1.2　基本概念 215
15.2　SDP體系架構 216
15.2.1　架構組成 216
15.2.2　工作流程 218
15.3　SPA技術 219
15.3.1　SPA技術的提出 219
15.3.2　SPA協議消息格式 220
15.3.3　SPA實現方式 220
15.4　SDP控制協議 222
15.4.1　AH-控制器協議 222
15.4.2　IH-控制器協議 224
15.4.3　IH-AH協議 227
15.5　SDP應用部署 229
15.6　技術特點與優勢 231
第16章 微分段技術 233
16.1　微分段技術概述 233
16.1.1　技術需求 233
16.1.2　基本概念 236
16.2　微分段技術實現 237
16.2.1　實現方式 237
16.2.2　基於VXLAN的微分段實現技術 239
16.2.3　基於軟件定義的微分段系統架構 242
16.3　微分段設計與應用 244
16.4　技術特點與優勢 245
習題 247
參考文獻 248
第5篇　軟件定義網絡系統安全
第17章 軟件定義網絡系統概述 253
17.1　軟件定義網絡系統產生 253
17.2　主流軟件定義網絡系統 254
17.2.1　SDDC網絡 254
17.2.2　SDCN 256
17.2.3　SDIoT 258
第18章 軟件定義網絡系統安全問題探討 261
18.1　軟件定義網絡系統安全分析 261
18.2　虛擬化網絡基礎設施安全 262
18.2.1　虛擬化計算設施安全 262
18.2.2　虛擬化存儲設施安全 268
18.2.3　虛擬化網絡設施安全 270
18.3　可編程網絡控制機制安全 274
18.3.1　集中化管控模式安全 274
18.3.2　開放可編程接口安全 276
18.3.3　專用管控服務安全 278
18.4　虛實融合網絡應用環境安全 279
18.4.1　應用環境面臨的安全問題 279
18.4.2　應用環境防禦方法與技術 280
習題 287
參考文獻 288