閆冬梅 鐘輝

摘要：隨著 Internet的迅速發(fā)展和網(wǎng)絡(luò)應(yīng)用的急劇增加，移動設(shè)備和終端激增，服務(wù)器虛擬化以及云服務(wù)的出現(xiàn)推動著網(wǎng)絡(luò)相關(guān)行業(yè)重新審視傳統(tǒng)網(wǎng)絡(luò)架構(gòu)[1]。常規(guī)的網(wǎng)絡(luò)是分層結(jié)構(gòu)，這種靜態(tài)架構(gòu)已不適應(yīng)當(dāng)今企業(yè)數(shù)據(jù)中心、校園和運(yùn)營商網(wǎng)絡(luò)環(huán)境的動態(tài)計算和存儲需求[2]。通過對校園網(wǎng)安全中存在的問題進(jìn)行總結(jié)，分析SDN及相關(guān)技術(shù)工作原理，對SDN應(yīng)用進(jìn)行了分析和展望。

關(guān)鍵詞：校園網(wǎng)； SDN；NFV；網(wǎng)絡(luò)架構(gòu)；網(wǎng)絡(luò)安全

中圖分類號：TN919.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）22-0039-02

Abstract：With the development of Internet，the rapid increase of network applications， the proliferation of mobile devices， and the emergence of virtualization and cloud services， the Internet industries have been pushed to reexamine the architecture of traditional network. The conventional network is a hierarchical structure that does not adapt to the dynamic computing and storage requirements of today's enterprise data center， campus and operator network. Through summarizing the problems existing in campus network security， analyzing the working principles of SDN and related technologies， the application of SDN was prospected.

Key words： campus network； SDN； NFV； network architecture； network security

1 引言

在應(yīng)用需求的不斷推動下，網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)的層次結(jié)構(gòu)是互聯(lián)網(wǎng)取得巨大成功的關(guān)鍵[3]。如何在標(biāo)準(zhǔn)化的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，使模型越來越復(fù)雜、流量越來越大，千變?nèi)f化的應(yīng)用更安全、更快速、更可用，最終使學(xué)校信息化戰(zhàn)略與當(dāng)今主流的IT戰(zhàn)略保持一致，是所有高校信息化建設(shè)面臨的一項課題。

2 校園網(wǎng)存在的問題

近幾年來，教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為我國教育發(fā)展的一個主要方向。各院校為了滿足各類業(yè)務(wù)，都進(jìn)行了全方位多角度的部署和升級，隨之而來的數(shù)據(jù)處理和信息安全問題日益突出。娛樂應(yīng)用泛濫，網(wǎng)絡(luò)經(jīng)常出現(xiàn)擁塞，使得工作學(xué)習(xí)和辦公等關(guān)鍵業(yè)務(wù)服務(wù)質(zhì)量難以保障；上網(wǎng)環(huán)境得不到凈化，不良內(nèi)容影響師生的學(xué)習(xí)、工作和生活，對于機(jī)密信息泄露和一些違法行為，不能及時發(fā)現(xiàn)和跟蹤；安全事件頻發(fā)；移動辦公面臨挑戰(zhàn)，出口安全壓力較大，校區(qū)互聯(lián)存在安全隱患；網(wǎng)絡(luò)管理維護(hù)困難，設(shè)備品牌和型號復(fù)雜，難以形成統(tǒng)一策略、統(tǒng)一管理、統(tǒng)一協(xié)調(diào)。

3 傳統(tǒng)解決方法的不足

當(dāng)前高校網(wǎng)絡(luò)面臨的信息安全威脅在不斷增長、被發(fā)現(xiàn)的漏洞越來越多、安全問題日益突出，成為高校面臨的重要的、急需解決的問題之一[4]。傳統(tǒng)方法通過建立集成身份認(rèn)證、訪問控制、安全防御功能作為保障校園網(wǎng)絡(luò)安全的第一道防御系統(tǒng)[5]。網(wǎng)絡(luò)復(fù)雜度的增加伴隨著漏洞數(shù)量的增長，設(shè)備之間的兼容性問題突顯，數(shù)據(jù)報文的多次解析和處理造成網(wǎng)絡(luò)性能的衰減和延遲的增加。

4 SDN技術(shù)應(yīng)用分析

4.1 SDN定義

軟件定義網(wǎng)絡(luò)（SDN）架構(gòu)將網(wǎng)絡(luò)控制和轉(zhuǎn)發(fā)功能分離開來，網(wǎng)絡(luò)控制直接通過編程實現(xiàn)，從而使底層基礎(chǔ)架構(gòu)可以從應(yīng)用程序和網(wǎng)絡(luò)服務(wù)中抽象出來[6]。經(jīng)過不斷的實驗研究，SDN提供了新的方法來解決網(wǎng)絡(luò)中長期存在的路由問題 [7-10]，理論上解決了現(xiàn)今校園網(wǎng)應(yīng)用面臨的問題。

4.2 SDN與NS和NFV

網(wǎng)絡(luò)切片（NS）允許在每個網(wǎng)絡(luò)切片中靈活地配置和重用網(wǎng)絡(luò)元件和功能，以滿足特定的應(yīng)用要求[11]。網(wǎng)絡(luò)切片技術(shù)靈活承載多場景邏輯網(wǎng)絡(luò)，已經(jīng)越來越成為業(yè)界共識[12]。網(wǎng)絡(luò)功能虛擬化（NFV[13]）通過功能抽象擴(kuò)展網(wǎng)絡(luò)服務(wù)，提高設(shè)備使用效率，節(jié)省開銷。NS 與虛擬化技術(shù)息息相關(guān)，SDN與NFV是實現(xiàn)NS的關(guān)鍵技術(shù)支撐。

5 校園網(wǎng)主流SDN+NFV應(yīng)用

國內(nèi)對SDN的需求日益迫切，越來越多的廠家將這一新技術(shù)應(yīng)用到了自己的網(wǎng)絡(luò)產(chǎn)品當(dāng)中，與傳統(tǒng)部署模式相比，SDN+NFV從性能和安全上都有顯著的技術(shù)優(yōu)勢，SDN/NFV等新技術(shù)的發(fā)展將會引導(dǎo)客戶需求的變化， 其帶來的業(yè)務(wù)快速開通、網(wǎng)絡(luò)自動擴(kuò)容等極致便捷體驗逐步成為客戶的基本要求[14] 。

5.1 SDN+NFV技術(shù)在VDC的應(yīng)用

虛擬化數(shù)據(jù)中心（VDC）在虛擬化平臺上劃分一個專用集群安裝NFV安全設(shè)備，通過SDN控制策略，將業(yè)務(wù)集群流量引導(dǎo)到該安全集群中進(jìn)行安全防護(hù)，實現(xiàn)所有虛擬機(jī)的安全隔離（圖1），虛擬主機(jī)與物理服務(wù)器安全隔離。

在網(wǎng)絡(luò)層面通過NFV安全設(shè)備進(jìn)行業(yè)務(wù)虛擬主機(jī)安全隔離，實現(xiàn)安全防護(hù)。利用SDN控制器實現(xiàn)網(wǎng)絡(luò)虛擬化、安全虛擬化的管控，自動化交付，配合云平臺和虛擬化平臺實現(xiàn)云數(shù)據(jù)中心所有主要資源的一體化自動交付。

另外，不同用戶在云管理平臺上通過賬號名稱、密碼和權(quán)限實現(xiàn)安全隔離；在云平臺上的資源通過虛擬私有云實現(xiàn)邏輯隔離；各業(yè)務(wù)應(yīng)用系統(tǒng)通過硬件虛擬化防火墻實現(xiàn)邏輯隔離。

5.2 SDN+NFV在VPC中的部署應(yīng)用

VDC在虛擬化平臺上劃分一個專用集群的NFV安全設(shè)備，通過SDN控制策略，將業(yè)務(wù)集群流量引導(dǎo)到該安全集群中進(jìn)行安全防護(hù)，實現(xiàn)所有虛擬機(jī)的安全隔離，虛擬主機(jī)與物理服務(wù)器安全隔離。

5.2.1虛擬私有云（VPC）的VM-VM安全防護(hù)基本模型

對于VPC模型的用戶，通過分布式VFW/VLB模型，建立高性能的安全業(yè)務(wù)資源池，由用戶自行負(fù)責(zé)虛擬網(wǎng)關(guān)的管理，自主實現(xiàn)安全策略的配置，大大減輕維護(hù)工作量。虛擬機(jī)（VM）間直接經(jīng)過虛擬交換機(jī)（vSwitch）實現(xiàn)互訪，當(dāng)需要對其進(jìn)行安全防護(hù)時，管理員配置vSwitch中的引流策略，由VFW對虛擬機(jī)間流量進(jìn)行防護(hù)處理，如圖3所示。

5.2.2 基于SDN架構(gòu)的VM-VM安全防護(hù)

SDN和NFV技術(shù)的應(yīng)用使每臺主機(jī)中安裝虛擬化安全網(wǎng)關(guān)，對主機(jī)內(nèi)VM-VM流量進(jìn)行防護(hù)，實現(xiàn)更大范圍內(nèi)的VM-VM間流量防護(hù)?；赟DN架構(gòu)的VM-VM安全防護(hù)，提供更為完善的VM間防護(hù)和部署模型，由軟件定義流量策略，軟件決定轉(zhuǎn)發(fā)，軟件實現(xiàn)安全，軟件實現(xiàn)業(yè)務(wù)編排[15]。

6 結(jié)論

隨著網(wǎng)絡(luò)應(yīng)用的不斷增長，SDN的技術(shù)優(yōu)勢愈加明顯，成長為新一代主流網(wǎng)絡(luò)體系結(jié)構(gòu)的地位已經(jīng)毋庸置疑。根據(jù)當(dāng)前技術(shù)發(fā)展趨勢，安全與應(yīng)用相融合的一體化組網(wǎng)及應(yīng)用越來越成為主流。通過SDN技術(shù)進(jìn)行設(shè)備整合，構(gòu)建“融合安全、應(yīng)用豐富、接入控制、業(yè)務(wù)隔離”的一體化安全接入平臺將成為校園網(wǎng)絡(luò)的發(fā)展方向。

參考文獻(xiàn)：

[1] Foundation O N. Software-Defined Networking： The New Norm for Networks[J]， 2012.

[2] Montazerolghaem A， Yaghmaee M H， Leon-Garcia A. OpenSIP： Toward Software-Defined SIP Networking[J]. IEEE Transactions on Network & Service Management， 2017（99）： 1-1.

[3] 張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報，2015，26（01）：62-81.

[4] 張煥杰，夏玉良.用戶自主選擇的校園網(wǎng)出口策略路由實現(xiàn)[J].通信學(xué)報，2013，34（S2）：14-16+22.

[5] 徐燕婷.淺談校園網(wǎng)絡(luò)出口安全訪問控制[J].科技風(fēng)，2010（23）：239.

[6] Khondoker R， Zaalouk A， Marx R， et al. Feature-based comparison and selection of Software Defined Networking （SDN） controllers[C]. Computer Applications and Information Systems， 2014： 1-7.

[7] Kreutz D， Ramos F M V， Verissimo P. Towards secure and dependable software-defined networks[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING， 2013： 55-60.

[8] Scott-Hayward S， O'callaghan G， Sezer S. Sdn Security： A Survey[C]. Future Networks and Services， 2013： 1-7.

[9] Benton K， Camp L J， Small C. OpenFlow vulnerability assessment[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING， 2013： 151-152.

[10] Abdou A R， Oorschot P C V， Wan T. A Framework and Comparative Analysis of Control Plane Security of SDN and Conventional Networks[J]. 2017.

[11]權(quán)偉，張宏科.未來互聯(lián)網(wǎng)體系的研究現(xiàn)狀、熱點(diǎn)與探索實踐[J].中國科學(xué)：信息，2017，47（06）：804-810.

[12] Tricci So，袁知貴，徐方，姚強(qiáng)，宗在峰，徐岱，朱進(jìn)國.支持多業(yè)務(wù)的網(wǎng)絡(luò)切片技術(shù)研究[J].郵電設(shè)計技術(shù)，2016（07）：12-18.

[13] Network Functions Virtualisation [EB/OL].[2016-01-08].https：//portal.etsi.org/nfv/nfv_white _paper.pdf

[14] 朱鵬，白海龍，張超.基于SDN/NFV的新型運(yùn)維體系架構(gòu)研究[J].郵電設(shè)計技術(shù)，2017（01）：12-16.

[15] 謝東 鄢波濤. 基于SDN和NFV的云安全體系——云安全防護(hù)體系建設(shè)與特點(diǎn)[J] 新IT領(lǐng)航，2015，第一期 http：//www.h3c.com/cn/d_201506/873175_30008_0.htm

【通聯(lián)編輯：代影】