پیاده‌سازی فایروال ساده در SDN و با بکارگیری سوئیچ Open vSwitch

توجه: پیش از مطالعه این مبحث بهتر است در ابتدا با پروتکل OpenFlow آشنایی داشته باشید.

با استفاده از واسط مدیریتی سوئیچ Open vSwitch (یا به اختصار OVS) می‌توان مجموعه‌ای از قواعد تعریف نمود که به طور مثال بسته‌ای را که با پورت مقصد ۲۱ و از نوع TCP  می‌باشد را Drop کنیم. این قاعده را می‌توان در جداول جریان سوئیچ تعریف نمود.

مثال ۱:

$ ovs-ofctl add-flow s1 dl_type=0x0800, nw_proto=6, tp_dst=21, actions=drop

 

با اضافه نمودن قاعده فوق از طریق کنترلر در جدول جریان (Flow Table) مربوط به سوئیچ s1، از این پس تمامی بسته‌ها که از نوع TCP و با پورت مقصد ۲۱ باشند،‌ دور ریخته خواهند شد. 

می‌توان قواعد دیگری نیز در سوئیچ‌ تعریف نمود. به طور مثال می‌توان MAC Filtering انجام داد. مثلا در شبکه دانشگاهی میخواهیم فقط آدرسهای MAC خاصی مجوز ارسال ترافیک در شبکه را داشته باشند. می‌توان برای تمامی آدرس‌های MAC مجاز قاعده تعریف نمود و فقط آن‌ها را عبور داد.

مثال ۲:

$ ovs-ofctl add-flow s1 dl_type=0x0800, dl_src=00:00:00:00:00:11, actions=output:2

 

این دستورات را میتوان با استفاده از ترمینال لینوکس به طور دستی اجرا نمود. برای اجرای این فرامین به صورت خودکار می‌بایست کد مربوط به کنترل‌کننده پیاده‌سازی شود. این کد را می‌توان به طور مثال در کنترل‌کننده Floodlight به زبان جاوا و یا با کنترل‌کننده POX به زبان پایتون پیاده‌سازی نمود که مستلزم ایجاد یک اپلیکیشن جدید تحت عنوان فایروال در یکی از این کنترل‌کننده‌ها می‌باشد.

 

امیدوارم بهره کافی رو برده باشید

منتظر نظرات شما دوستان هستیم...