SDN已经逐渐应用于一些超大型企业，因为这种类型的企业需要不惜任何代价来获取高性能，但是，在其它普通的大中型企业中，情况就不一样了。

虽然厂商正在积极生产SDN，但是分析师预测，到2016年之前SDN不会被正式采纳，大多数企业的网络工程师都表示，他们还不准备投资SDN，因为它还有几个关键问题没有解决。

受访的IT负责人对于SDN的顾虑也不尽相同，有的认为其削弱了安全性，有的则认为是缺乏SDN标准，不管是因为什么原因，都导致他们不建议企业现在投资SDN，至少在短期内是这样。

IT管理人员首先也是最担心的，就是当SDN堆栈同时遇到虚拟机管理程序和物理基础设施时的安全监控问题。

Biotechnology Center of Oslo的高级系统工程师George Magklaras表示：“在SDN应用于关键任务和安全环境之前，厂商需要努力研究SDN软件堆栈是如何与云环境和虚拟层中的虚拟机管理程序联系的。”

如今，当IT管理人员使用Juniper公司的设备向网络路径发送一系列字节时，会进行静态检查，这样可以防止攻击者运行恶意软件来创建信息漏洞。“但是，使用云堆栈和虚拟机管理程序时，就不是这样了。” Magklaras表示。

SDN环境下，IDS/IPS有用吗？

Magklaras也是Steelcyber Scientific安全咨询公司的首席顾问，他曾在该公司对一个大型金融机构实施了一个SDN试点，只是为了证明其安全性能会受到影响，尤其是遇到IDS/IPS（入侵检测系统/入侵防御系统）。

Magklaras的团队在思科和惠普硬件配置的环境中放置了一个基于OpenDaylight的SDN控制器。Magklaras说：“我们的责任是监督这60个VLAN利用OpenStack私有云模式向OpenDayLight控制器迁移。”

Magklaras表示，问题出现在对入站和出站IDS/IPS系统的网络监控上。IDS/IPS是通过窃听一组端口或一个特定端口来复制整个用来窃听的VLAN或网络分段的流量。传统的交换机硬件和软件会复制这个流量，然后再把它提供给IDS/IPS系统。相反，SDN是利用虚拟机管理程序和通用OS程序来复制该流量的。

Magklaras说：“我们对IDS/IPS系统所进行的各种测试表明，SDN可能会丢失大约25%到30%的攻击事件。我们认为导致这种结果的原因是SDN软件堆栈在复制端口流量时比较慢，同时会损失以太网帧或流量。”

MAC地址追踪问题

Magklaras的团队还发现在追踪连接到有线和无线网络的设备的MAC地址有问题。Magklaras说：“根据在SDN软件中的故障而记录的MAC地址并不正确。SDN软件在网段较拥挤的情况下会丢弃MAC地址（由于PXE引导问题），SDN甚至会破坏其软件注册表中的MAC地址。”

虚拟机管理程序安全弱点

在测试过程中，Magklaras还发现，在某些情况下，攻击者甚至可以看到本不应该暴漏的网络流量。

他解释说，一旦虚拟机管理程序的安全被攻破了，未授权的用户就可以利用root管理权限来进入VLAN。

包括VMware在内的很多企业都在努力解决安全问题，但是，这个漏洞仍然存在，Magklaras解释说。这也是为什么我们不向金融机构和其他客户推荐SDN堆栈的原因。其实我们知道SDN最终会帮助企业节省成本，而且这也是一条必经之路。