附录设计题备选方案（正式版）.docVIP

设计题备选方案（五选一） 方案一：恶意网站防护 背景：互联网中存在恶意网站，严重威胁正常上网，例如：，仿冒，如果访问可能被套取网银密码，造成资金损失，如何有效进行恶意网站防护非常有意义。 要求：传统恶意网站防护一般采用在PC客户端上安装杀毒软件或安全浏览器，或者在网络出口端安装流量审计软件，客户端安装软件可能不是所有用户都会安装或使用，网络出口流量审计一般是事后审计，可能用户已经造成了损失，本题目要求利用SDN技术设计一种不需要在客户端安装特定软件，且能够事前防护，即在用户访问恶意网站前进行阻止，防止用户数据传输到恶意网站。 提示： 1、可以采用两层网络架构的园区网模型：接入+汇聚设备，接入设备接入PC，汇聚设备接入Internet，可以假设某正常网站（例如）为恶意网站，这样通过SDN技术使得PC无法访问该假设恶意网站，而能够访问其他网站。 提示：PC客户端访问网站时使用域名访问，需要进行DNS查询翻译成IP地址，恶意网站一般是在域名上与真实网站特别相似，可以在DNS查询上对查询的域名进行黑名单处理。 DNS查询报文的特征是什么？（知名UDP端口号？）可以在接入交换机处进行规则设置，将所有DNS查询报文上送控制器进行处理，在控制器中对报文中请求解析的网址进行处理，看是否在黑名单中，如果在的话直接丢弃掉，如果不在的话呢？如何保证正常网站也可以访问？ 为简化实验，集中精力于SDN的设计，建议所有地址采用同一二层网段，如VLAN100，/24。 方案二：骨干网/广域网流量工程 背景：数据中心之间大量流量通过骨干网/广域网进行互连，由于通信数据的不确定性，一般会为流量可能的峰值做为最高带宽来进行建设，这就带来平时带宽利用率比较低的问题，为了保证数据中心之间传输数据的业务不受影响，骨干网/广域网带宽利用率一般只有30%左右。分析其原因，主要是传统路由协议只是按照最短路径进行流量路由与转发，当最短路径流量已经满负荷时仍然将新的流量导入，而不会进行分流操作，所以会导致过载的链路无法正常服务，迫使用户不得不进行网络改造与升级。 要求：对骨干网/广域网上通信的流量进行分级处理，高优先级流量走最短路径，低优先级流量视最短路径负载动态选择路径，当负载没有超过阈值时同样选择最短路径，当负载超过阈值时选择非最短路径。 提示： 可以如下组网，模拟三个数据中心之间的互联。PC1访问PC3的流量定义为高优先级，PC2访问PC3定义为低优先级。交换机A－B为最短路径，交换机A-C-B为非最短路径。 通过OpenFlow协议获取到交换机A－B之间的流量带宽，根据总体带宽来计算带宽的利用率，以此参数做为A－B链路质量的参考值 为简化实验，集中精力于SDN的设计，建议所有地址采用同一二层网段，如VLAN100，/24。 方案三：指定业务带宽保障 背景：数据中心提供多种业务，但一般只进行尽力而为的转发，不单独为某一业务带宽提供额外的保障，这就造成某些关键性业务无法得到很好地保证（如视频业务），可能影响业务的正常运转（视频不流畅）。 要求：对数据中心中提供的某种业务（如视频业务）进行带宽预留与保障，当总体流量大于链路承载能力时，优先保证指定业务的带宽。 提示： 可以采用如下数据中心组网模型，在汇聚设备之上使用一台PC模拟数据中心外用户；在接入交换机下各接入一台业务服务器，一台为视频Server，一台为FTP Server，使用PC终端分别访问两个业务（也可以是其他业务，可自选） 需要时刻监视网络中各业务流量的状态，并设置阈值，一旦指定业务带宽无法得到保证时，需要考虑将其他业务的流量进行限流，或提高指定业务流量的带宽 由于设备接口带宽较高，实验中可能无法制造较大的流量造成拥塞，可以设置一个比较小的阈值，这样当流量不是很大时也可以达到阈值并触发相关的控制动作 对于不同业务流量的区分，可以通过网络手抓包进行分析，例如分析不同的服务IP地址，或者不同服务的TCP或UDP端口号，与具体业务相关 为简化实验，集中精力于SDN的设计，建议所有地址采用同一二层网段，如VLAN100，/24。 方案四：流量负载均衡调度 背景：数据中心在用户访问量超过单台服务器服务能力时，一般通过增加相同功能的服务器来满足海量用户的访问需求，在这种场景下如何将大量用户的访问流量分担到不同的服务器上成为决定整体业务服务质量的重要指标。目前业界一般采用商用的负载均衡设备或LVS等开源软件来实现。 要求：数据中心多台服务器提供相同业务，通过SDN网络对访问该业务的流量进行负载均衡，保证每台提供该业务的服务器（或虚拟机）的负载大致相同（或者根据不同服务器的性能等因素进行加权分配）。 提示： 可以采用如下数据中心组网，其中PC1到PC4模拟WEB服务器，向