唐雯煒

摘要：軟件定義網(wǎng)絡(luò)（SDN）技術(shù)架構(gòu)通過把原有封閉的體系解耦為數(shù)據(jù)平面、控制平面和應(yīng)用平面，提供了一種可編程的網(wǎng)絡(luò)，革命性地改變了現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。文章分析了高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸現(xiàn)狀，基于SDN技術(shù)在高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸方面的要求，闡述了高校網(wǎng)絡(luò)數(shù)據(jù)安全傳輸存在的問題。通過對高校網(wǎng)絡(luò)數(shù)據(jù)中心SDN的總體設(shè)計、Underlay網(wǎng)絡(luò)自動部署、Overlay網(wǎng)絡(luò)部署三部分，探究基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸策略，為高校網(wǎng)絡(luò)數(shù)據(jù)傳輸安全提供保障。

關(guān)鍵詞：SDN；高校；網(wǎng)絡(luò)安全；數(shù)據(jù)傳輸；問題

中圖分類號：TN325? 文獻標志碼：A

0 引言

2021年10月11—17日是我國“國家網(wǎng)絡(luò)安全宣傳周”，活動以“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”為主題，各地高校也基于網(wǎng)絡(luò)安全對學生展開了教育與宣傳。而實際在高校內(nèi)部的網(wǎng)絡(luò)安全建設(shè)當中，數(shù)據(jù)傳輸是整個校園網(wǎng)絡(luò)建設(shè)的重要組成部分，但是當前軟件定義網(wǎng)絡(luò)（Software-Defined Networking，SDN）應(yīng)用到校園網(wǎng)絡(luò)安全中的效果沒有達到預期值，仍有許多地方有待調(diào)整與優(yōu)化。同時，SDN又是能夠有效實現(xiàn)校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸與集中的關(guān)鍵，所以對其進行了相關(guān)研究。SDN的思想起源于斯坦福大學Ethane項目，此后SDN架構(gòu)隨著技術(shù)研究的深入和發(fā)展得到了學術(shù)界和工業(yè)界的廣泛認可，成了未來網(wǎng)絡(luò)發(fā)展的新方向。SDN技術(shù)架構(gòu)通過把原有封閉的體系解耦為數(shù)據(jù)平面、控制平面和應(yīng)用平面，提供了一種可編程的網(wǎng)絡(luò)實現(xiàn)，從而將革命性地改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)。在數(shù)據(jù)中心網(wǎng)絡(luò)采用SDN架構(gòu)，可以便捷實現(xiàn)轉(zhuǎn)發(fā)路徑優(yōu)化以及負載均衡，從而使得數(shù)據(jù)交換更加迅速。

1 高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸現(xiàn)狀分析

經(jīng)過長期建設(shè)與社會環(huán)境的推動，各地區(qū)高校的校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸已經(jīng)具備完整的安全構(gòu)架體系。并且一些條件較好、基礎(chǔ)設(shè)施建設(shè)完備的高校，對校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸提供了政策、人力、資金等多方面的資源與支持，高校對于校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)安全意識較深厚。據(jù)有關(guān)調(diào)查研究結(jié)果顯示，國內(nèi)已有93%的高校已經(jīng)完成并完善了與校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸相關(guān)的基礎(chǔ)建設(shè)，并為學生的學習與校園生活提供了更加便捷的信息化服務(wù)平臺。但是隨著信息化發(fā)展和相關(guān)工作的不斷推進，高校內(nèi)部的教育信息數(shù)據(jù)和基礎(chǔ)數(shù)據(jù)逐漸發(fā)展出更加多元化的呈現(xiàn)形式，傳統(tǒng)的數(shù)據(jù)集中模式已經(jīng)無法滿足高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)男枰?，最重要的是，傳統(tǒng)的數(shù)據(jù)模式無法提供核心服務(wù)［1］?，F(xiàn)階段，底層數(shù)據(jù)的整合能力和建設(shè)是高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)年P(guān)鍵，所以高校的校園網(wǎng)絡(luò)建設(shè)要轉(zhuǎn)向主動服務(wù)模式并提高服務(wù)能力。

2 基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)囊?/p>

高校要推進基于SDN的網(wǎng)絡(luò)安全數(shù)據(jù)傳輸建設(shè)，需要對校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施展開全面優(yōu)化升級工作，搭建能夠?qū)崿F(xiàn)多出口業(yè)務(wù)優(yōu)化系統(tǒng)的基礎(chǔ)平臺。高校還要利用SDN網(wǎng)絡(luò)、虛擬化技術(shù)集群技術(shù)構(gòu)建新一代數(shù)據(jù)計算池和數(shù)據(jù)存儲池，以便促進數(shù)據(jù)的集中共享與分析。同時，高校需要基于SDN網(wǎng)絡(luò)與校園網(wǎng)絡(luò)建設(shè)現(xiàn)狀健全信息化建設(shè)的標準規(guī)范體系，創(chuàng)建高校內(nèi)部相對獨立的基礎(chǔ)數(shù)據(jù)庫，強化數(shù)據(jù)傳輸并改進對接應(yīng)用系統(tǒng)，從而打破網(wǎng)絡(luò)環(huán)境中的信息孤島現(xiàn)象［2］。高校還要統(tǒng)一通信平臺，基于校園網(wǎng)絡(luò)建設(shè)中的組織構(gòu)架體系提供統(tǒng)一的通信服務(wù)接口，從而推進高校網(wǎng)絡(luò)業(yè)務(wù)與數(shù)據(jù)傳輸?shù)幕ヂ?lián)。另外，高校要督促校園網(wǎng)絡(luò)用戶完善個人信息，實現(xiàn)信息溯源，為網(wǎng)絡(luò)安全數(shù)據(jù)傳輸提供可靠的信息查詢服務(wù)。高校要達成以上要求，才能為基于SDN的校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸提供充分保障［3］。

2.1 精確引流，提升性能

基于Vlan ID、IP地址、四層端口等元素的組合對業(yè)務(wù)流量進行定義，并精確引導給最適合處理相應(yīng)業(yè)務(wù)流量的相應(yīng)設(shè)備，比如將80、8080、443等常見HTTP流量引導給WAF設(shè)備，SMTP、POP3、Webmail等流量引導給防毒墻設(shè)備，其余不相關(guān)的業(yè)務(wù)流量均無須通過并轉(zhuǎn)發(fā)，在確保這些安全設(shè)備發(fā)揮安全防護功能的同時，也確保不會因為超出處理能力而死機，既提升了整體網(wǎng)絡(luò)性能，也提高了網(wǎng)絡(luò)可靠性。

2.2 實時切換，高效排障

把故障排查的主動權(quán)掌握在自己手中，通過邏輯清晰、操作簡便的排查手段，快速定位故障點，以迅速響應(yīng)斷網(wǎng)問題為首要目標，推動故障排查的僵局，厘清責任。

2.3 彈性網(wǎng)絡(luò)，助力創(chuàng)新

高校校園傳統(tǒng)網(wǎng)絡(luò)架構(gòu)拓撲固化、網(wǎng)絡(luò)協(xié)議私有，承載著大流量、高并發(fā)的網(wǎng)絡(luò)負載，運維壓力大、責任重，但因為創(chuàng)新可能產(chǎn)生錯誤、帶來變化。如何在維護網(wǎng)絡(luò)可靠性的同時，又能容納各種創(chuàng)新，比如IPv6的部署和推廣工作，在各大高校的校園網(wǎng)中如火如荼，IPv6設(shè)備的性能測試、IPv6協(xié)議的最佳部署模式、用戶認證與現(xiàn)有IPv4協(xié)議如何兼容等問題，都需要結(jié)合自身網(wǎng)絡(luò)情況，在實踐中摸索出最佳實踐方案。

3 高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸存在的問題

3.1 多業(yè)務(wù)承載能力弱

部分高校的校園網(wǎng)絡(luò)沒有做好基礎(chǔ)工作，不同網(wǎng)絡(luò)業(yè)務(wù)之間沒有進行有效隔離，并且沒有配備QOS管控設(shè)置，導致校園網(wǎng)絡(luò)的多業(yè)務(wù)承載能力比較弱，校園網(wǎng)絡(luò)用戶的體驗感較差。這不僅對高校的信息化建設(shè)造成一定的影響，在一定程度上阻滯校園網(wǎng)絡(luò)的創(chuàng)新發(fā)展，還會對智慧校園平臺建設(shè)形成阻礙。另外，由于受到一些辦學地域的條件限制等因素的影響，部分高校多區(qū)域辦學對校園網(wǎng)絡(luò)業(yè)務(wù)提出了更高的要求，需要校園網(wǎng)絡(luò)建設(shè)通過一種或多種方式方法解決業(yè)務(wù)承載等方面的問題。而一些學校的基礎(chǔ)設(shè)施建設(shè)跟不上，無法及時改善校園網(wǎng)絡(luò)多業(yè)務(wù)承載能力較弱的問題，以至于高校內(nèi)部的網(wǎng)絡(luò)使用體驗感達不到理想效果。

3.2 用戶私接交換機

在當前校園環(huán)境中，存在校園網(wǎng)絡(luò)用戶私接交換機等行為，并且這種情況較為普遍。這種行為容易導致高校校園網(wǎng)絡(luò)建設(shè)發(fā)生環(huán)路故障，嚴重的話還會引起廣播風暴［3］。并且由于高校校園網(wǎng)絡(luò)建設(shè)中不同業(yè)務(wù)端口未能實現(xiàn)有效隔離，當ARP等病毒侵入校園網(wǎng)絡(luò)建設(shè)中，能夠快速擴散影響范圍并侵占運行系統(tǒng)。所以，高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸難以得到全方位的保障。并且當校園網(wǎng)絡(luò)被接入交換機dot1x認證方式，校園網(wǎng)絡(luò)會趨于不穩(wěn)定狀態(tài)，還容易受到其他病毒或惡意軟件的攻擊，頻繁發(fā)生認證失敗和網(wǎng)絡(luò)掉線等問題，給校園網(wǎng)絡(luò)安全帶來額外的負擔，增加了相關(guān)工作人員的工作量。

3.3 網(wǎng)絡(luò)檢測的提升

除了多區(qū)域辦學需要高校校園網(wǎng)絡(luò)建設(shè)不斷完善集中的基礎(chǔ)設(shè)施，多業(yè)務(wù)集中管控也是促進校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸穩(wěn)定的重要內(nèi)容，所以高校要提升校園網(wǎng)絡(luò)的整體水平，才能推動SDN在校園網(wǎng)絡(luò)中的有效運作，保障高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸。依據(jù)當代學生的特性與需求進行分析，高校的校園網(wǎng)絡(luò)建設(shè)面臨更加高難的網(wǎng)絡(luò)問題，以及更加復雜的網(wǎng)絡(luò)業(yè)務(wù)需求、更加多樣化的用戶群體，而解決這些問題的核心就在于強化校園網(wǎng)絡(luò)的集中管控建設(shè)。另外，校園網(wǎng)絡(luò)要保障數(shù)據(jù)的高度集中和統(tǒng)一監(jiān)管，這就需要將遠程數(shù)據(jù)傳輸技術(shù)與系統(tǒng)科學嵌入傳統(tǒng)校園網(wǎng)絡(luò)中，而一些高校因缺乏相關(guān)設(shè)施、設(shè)備，難以實現(xiàn)遠程數(shù)據(jù)傳輸。此外，一些高校雖然脫離了傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)傳輸模式，但是缺乏更加專業(yè)的數(shù)據(jù)傳輸技術(shù)，沒有切實提高整體監(jiān)管水平。

4 基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸策略

在SDN的三層體系中，安全形態(tài)較多地體現(xiàn)在控制平面和應(yīng)用平面上，主要包括兩類方向和三類應(yīng)用。兩類方向：（1）通過安全策略的沖突檢測與增強，實現(xiàn)安全策略的一致性和網(wǎng)絡(luò)可用性，在控制平面一級確保數(shù)據(jù)轉(zhuǎn)發(fā)平面穩(wěn)定運行；（2）通過在應(yīng)用平面開發(fā)、部署新的安全應(yīng)用，實現(xiàn)網(wǎng)絡(luò)安全防護功能。

4.1 高校網(wǎng)絡(luò)數(shù)據(jù)中心SDN的總體設(shè)計

隨著大數(shù)據(jù)技術(shù)、云計算平臺等現(xiàn)代網(wǎng)絡(luò)技術(shù)的持續(xù)發(fā)展與優(yōu)化創(chuàng)新，基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)支撐已經(jīng)成為高校校園網(wǎng)絡(luò)建設(shè)的必然趨勢。從校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸中心的SDN總體設(shè)計來說，可以從SDN在多種場景的部署類型分析入手。高校只需要將計算池和存儲池做好合理規(guī)劃，再通過虛擬網(wǎng)絡(luò)將校園網(wǎng)絡(luò)建設(shè)中的計算資源和存儲資源進行有機結(jié)合，為校園網(wǎng)絡(luò)構(gòu)建完整的軟件定義網(wǎng)絡(luò)模型，就能保證校園網(wǎng)絡(luò)建設(shè)中不同的業(yè)務(wù)能夠在滿足隔離需求的前提下，實現(xiàn)網(wǎng)絡(luò)互通，高校再保障網(wǎng)絡(luò)抽象模型的完整性就能在物理網(wǎng)絡(luò)不變的基礎(chǔ)上實現(xiàn)用戶自定義網(wǎng)絡(luò)［4］。以“主機/混合Overlay+集中控制模型+集中式網(wǎng)關(guān)”的典型組網(wǎng)場景為例，因為虛擬交換機在內(nèi)核中運行時沒有形成完整的TCP/IP協(xié)議棧，不具備承擔Vxlan L3網(wǎng)關(guān)的能力，無法有效促成EVPN協(xié)議，所以要為主機/混合Overlay組網(wǎng)二提供集中式控制模型和集中式網(wǎng)關(guān)?？刂破髟诖嘶A(chǔ)上就可以實現(xiàn)對數(shù)據(jù)中心內(nèi)主機的L3進行調(diào)控，將L3轉(zhuǎn)發(fā)表項下發(fā)至虛擬交換機，使虛擬交換機擁有部分分布式網(wǎng)關(guān)的基本功能。該場景可為校園網(wǎng)絡(luò)安全數(shù)據(jù)中心的SDN改造提供參考。

4.2 Underlay網(wǎng)絡(luò)自動部署

基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸建設(shè)中，數(shù)據(jù)中心SDN的Underlay網(wǎng)絡(luò)自動部署，主要由Director和Spine-Leaf網(wǎng)絡(luò)設(shè)備進行配合完成。其中，F(xiàn)abric在校園網(wǎng)絡(luò)建設(shè)中的劃分與具體規(guī)劃主要有：其一，基于物理設(shè)備的部署調(diào)整Directro程序，將兩者同時接入校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)；其二，將Underlay網(wǎng)絡(luò)進行合理規(guī)劃并接入IP地址等配置，進而生產(chǎn)Spine-Leaf規(guī)劃拓撲；其三，利用Director軟件實現(xiàn)對Underlay網(wǎng)絡(luò)的軟件定義，從而為一些自動化配置進行調(diào)整時提供依據(jù)［5］。而在數(shù)據(jù)中心SDN整體部署的自動化配置下發(fā)過程中，當Underlay網(wǎng)絡(luò)實現(xiàn)自動化配置之后，Overlay自動化配置就能通過一個三層網(wǎng)絡(luò)完成下發(fā)指令和使用：基于Spine設(shè)備和Leaf設(shè)備自動獲取數(shù)據(jù)中心的IP地址等內(nèi)容、經(jīng)過Underlay網(wǎng)絡(luò)拓撲生產(chǎn)其載體設(shè)備配置、Overlay向設(shè)備完成IRF配置的自動下發(fā)并配置OSPF路由。另外，數(shù)據(jù)中心SDN部署的可視化部署中，會由Director軟件通過已經(jīng)配置的IP地址進行設(shè)備掃描，再經(jīng)過Underlay網(wǎng)絡(luò)的動態(tài)拓撲呈現(xiàn)自動化狀態(tài)和部署進度，最后由Director軟件完成資源納管。

4.3 Overlay網(wǎng)絡(luò)部署

基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸建設(shè)中，Overlay網(wǎng)絡(luò)部署主要根據(jù)不同場景的實際情況與需要，對其運用獨立Fabric部署方式，這會使得Overlay網(wǎng)絡(luò)配置更加便捷高效，并且Overlay網(wǎng)絡(luò)可以通過Director直接下發(fā)全部配置，這也是實現(xiàn)校園網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)闹攸c任務(wù)。同時，在SDN網(wǎng)絡(luò)模型中，要保證SDN控制器可以整合OpenStack Neutron標準網(wǎng)絡(luò)模型，還可以借助Director軟件實現(xiàn)虛擬化網(wǎng)絡(luò)，以此完善軟件定義功能。然后，將虛擬網(wǎng)絡(luò)模型轉(zhuǎn)換為具體配置并進行下發(fā)配置。其中，需要注意的是下發(fā)配置的方式，要確保能夠?qū)崿F(xiàn)基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸，則需要虛擬網(wǎng)絡(luò)模型按照時間節(jié)點選擇配置預先下發(fā)或者是按需下發(fā)［6］。另外，在Overlay網(wǎng)絡(luò)部署中的Fabric接入設(shè)置部署，需要保證校園網(wǎng)絡(luò)數(shù)據(jù)中心的所有資源都能接入Fabric端口，就能基本完成校園網(wǎng)絡(luò)數(shù)據(jù)中心SDN網(wǎng)絡(luò)部署。

5 結(jié)語

基于SDN的高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸?shù)南嚓P(guān)部署工作較為復雜。但結(jié)合高校網(wǎng)絡(luò)建設(shè)的需求不斷提高其網(wǎng)絡(luò)業(yè)務(wù)能力，再對高校網(wǎng)絡(luò)數(shù)據(jù)中心SDN的總體設(shè)計進行調(diào)整、優(yōu)化，保證SDN網(wǎng)絡(luò)中Underlay和Overlay網(wǎng)絡(luò)部署的嚴謹與合理，就能為高校網(wǎng)絡(luò)安全數(shù)據(jù)傳輸提供保障。

參考文獻

［1］陳健偉.研究廣播電臺網(wǎng)絡(luò)數(shù)據(jù)安全傳輸?shù)膶Σ撸跩］.信息記錄材料，2021（5）：225-226.

［2］周啟釗，于俊清，李冬.SDN控制層洪泛防御機制研究：檢測與緩解［J］.通信學報，2021（10）：1-13.

［3］金超.計算機網(wǎng)絡(luò)信息安全威脅及數(shù)據(jù)加密技術(shù)分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（10）：31-32.

［4］湯暉.基于SDN架構(gòu)的網(wǎng)絡(luò)安全模型［J］.信息技術(shù)與信息化，2021（9）：184-188.

［5］唐博.略談SDN安全需求和安全實現(xiàn)［J］.信息通信，2020（1）：97-98.

［6］吳愛鑫.淺談廣播電視臺網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸［J］.通訊世界，2020（4）：68-69.

（編輯 傅金睿）

Research on university network security data transmission based on SDN

Tang? Wenwei

（Zhejiang Chinese Medical University， Hangzhou 310053， China）

Abstract：? Software defined network （SDN） technology architecture provides a programmable network by decoupling the original closed system into data plane， control plane and application plane， which revolutionizes the existing network architecture. This paper analyzes the current situation of network security data transmission in Colleges and universities， and expounds the existing problems of network security data transmission in Colleges and Universities Based on the requirements of SDN technology in network security data transmission in Colleges and universities. Through the overall design of university network data center SDN， automatic deployment of underlay network and overlay network deployment， this paper explores the university network security data transmission strategy based on SDN， so as to provide guarantee for the university network data transmission security.

Key words： SDN; colleges and universities; network security; data transmission; problem