周嵩岑+李曦

摘 要：云計(jì)算、物聯(lián)網(wǎng)以及大數(shù)據(jù)的時(shí)代已經(jīng)到來，傳統(tǒng)的底層網(wǎng)絡(luò)架構(gòu)已經(jīng)無法滿足未來的業(yè)務(wù)需求。實(shí)際上，各單位企業(yè)組建的等級(jí)保護(hù)網(wǎng)絡(luò)環(huán)境問題層出不窮，網(wǎng)絡(luò)設(shè)備配置繁雜、迭代緩慢、缺乏集中式統(tǒng)一管理，從而使得日常業(yè)務(wù)維護(hù)更新效率變低，對(duì)等級(jí)保護(hù)測(cè)評(píng)工作也帶來了一定的影響。近幾年新興起的SDN技術(shù)則較好地解決了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的弊端，極大地簡(jiǎn)化了運(yùn)營成本和運(yùn)維效率，也提高了等級(jí)測(cè)評(píng)的效率。論文根據(jù)SDN技術(shù)的特點(diǎn)，從網(wǎng)絡(luò)架構(gòu)、關(guān)鍵技術(shù)、價(jià)值意義等方面進(jìn)行了要點(diǎn)分析。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；集中管控；等級(jí)保護(hù)測(cè)評(píng)

中圖分類號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼：A

SDN Technology and Its Application in Classified Protection Evaluation

Zhou Song Cen， Li Xi

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the advent of cloud computing， IOT and big data， traditional underlying network framework has been unable to meet futural business needs. In fact， problems in classification protection network environment emerge in endlessly， such as complicated configuration， slow update， and lack of centralized and unified management. It makes daily maintenance and classification protection evaluation inefficient. In recent years， burgeoning SDN technology has overcome the disadvantages of traditional network framework， simplified operating cost and raised maintenance efficiency. According to the characteristics of SDN technology， this paper analyzes the key points from the aspects of network framework， key technology and value.

Key words： Software Defined Network； Centralized Management and Control； Classified Protection Evaluation

1 引言

傳統(tǒng)網(wǎng)絡(luò)已經(jīng)發(fā)展了近半個(gè)世紀(jì)，且從一開始就是分散的網(wǎng)絡(luò)，通常由不同品牌或不同型號(hào)的網(wǎng)絡(luò)設(shè)備組成，部署方式、配置命令各不相同，網(wǎng)路中的各個(gè)設(shè)備之間通過路由表信息等學(xué)習(xí)可達(dá)信息，且如何轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)何種信息都是由設(shè)備自己決定，沒有中心的控制點(diǎn)，缺乏統(tǒng)一部署的概念，無法從整體的角度去調(diào)度流量。隨著云計(jì)算、大數(shù)據(jù)等新興技術(shù)的崛起，傳統(tǒng)網(wǎng)絡(luò)的特點(diǎn)已經(jīng)不適用于大業(yè)務(wù)的需求，于是SDN技術(shù)橫空出世。SDN（Software Defined Network），即軟件定義網(wǎng)絡(luò)，近年來受到持續(xù)的關(guān)注。短短幾年，SDN這個(gè)從美國斯坦福大學(xué)實(shí)驗(yàn)室研究項(xiàng)目中誕生的產(chǎn)物，已經(jīng)成為全球矚目的網(wǎng)絡(luò)技術(shù)熱點(diǎn)[1]。SDN已經(jīng)公認(rèn)為是下一代互聯(lián)網(wǎng)重點(diǎn)發(fā)展的趨勢(shì)之一，且越來越多的知名廠商將SDN技術(shù)投入至實(shí)際應(yīng)用中，這標(biāo)志著SDN已進(jìn)入商用化階段。國內(nèi)各大廠商也紛紛發(fā)布SDN戰(zhàn)略和解決方案，并相繼推出商業(yè)化產(chǎn)品以適應(yīng)SDN迅速發(fā)展的浪潮。因此，業(yè)界都將其視為顛覆傳統(tǒng)網(wǎng)絡(luò)的革命性的技術(shù)。

2 基于SDN技術(shù)的網(wǎng)絡(luò)架構(gòu)及其關(guān)鍵技術(shù)

SDN是一種新型的網(wǎng)絡(luò)技術(shù)，與傳統(tǒng)網(wǎng)絡(luò)架構(gòu)有著明顯的區(qū)別，如圖1所示，SDN通常由應(yīng)用層、控制層、基礎(chǔ)設(shè)施層組成。應(yīng)用層包含了不同的業(yè)務(wù)和應(yīng)用，由軟件組成，具有可編程性，可執(zhí)行特定的網(wǎng)絡(luò)算法，經(jīng)過API接口可轉(zhuǎn)換成對(duì)應(yīng)的控制命令下發(fā)至網(wǎng)絡(luò)設(shè)備；中間層包含了OpenFlow控制器，即可為上層應(yīng)用程序提供開放接口，又可與底層設(shè)備進(jìn)行會(huì)話互動(dòng)，主要用于處理數(shù)據(jù)，維護(hù)網(wǎng)絡(luò)拓?fù)?、狀態(tài)信息等；基礎(chǔ)設(shè)施層主要由支持 OpenFlow協(xié)議的SDN交換機(jī)組成，主要負(fù)責(zé)基于流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集[2]。

SDN通過OpenFlow協(xié)議，將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面相分離，以軟件的方式實(shí)現(xiàn)對(duì)底層硬件的集中控制，從而可以對(duì)網(wǎng)絡(luò)資源進(jìn)行靈活的調(diào)度和分配。SDN實(shí)現(xiàn)控制與轉(zhuǎn)發(fā)分離的基礎(chǔ)就是OpenFlow協(xié)議，也是關(guān)鍵技術(shù)所在，是SDN體系結(jié)構(gòu)中控制和轉(zhuǎn)發(fā)層之間定義的第一個(gè)標(biāo)準(zhǔn)化通信接口[3]。流表是維持網(wǎng)絡(luò)設(shè)備正常運(yùn)行的基礎(chǔ)，數(shù)據(jù)的轉(zhuǎn)發(fā)路徑取決于流表；流表又可以在控制器上產(chǎn)生，并由控制器進(jìn)行管理。通常，流表不僅包含了IP協(xié)議常見的元素，還包含了具有執(zhí)行動(dòng)作的特定規(guī)則。

在傳統(tǒng)網(wǎng)絡(luò)中，控制平面通常由特定的網(wǎng)絡(luò)設(shè)備所指定，而SDN網(wǎng)絡(luò)中，則不依賴具體的設(shè)備?？刂破矫婧蛿?shù)據(jù)轉(zhuǎn)發(fā)平面分離的好處在于，網(wǎng)絡(luò)上的信息都集中到一個(gè)核心控制器上，控制器可針對(duì)特定網(wǎng)絡(luò)信息進(jìn)行編程，并調(diào)用通用API接口，直接對(duì)整理網(wǎng)絡(luò)進(jìn)行調(diào)度，而控制程序則支持多種腳本語言，可移植性較強(qiáng)。全局狀態(tài)信息可在控制器上獲取，計(jì)算出任意節(jié)點(diǎn)間的路由信息之后，再通過OpenFlow協(xié)議控制轉(zhuǎn)發(fā)路徑，就可以在任意網(wǎng)絡(luò)節(jié)點(diǎn)接入，省去了在基礎(chǔ)設(shè)備上操作的繁瑣。這種開放性的架構(gòu)，可以不再局限于各廠家設(shè)備的封閉性，徹底脫離傳統(tǒng)硬件的束縛。endprint

3 SDN技術(shù)的價(jià)值意義

3.1 SDN的意義

現(xiàn)階段，部署一個(gè)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，需要不同的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，這些設(shè)備還必須支持OSPF、ISIS、STP、BGP、組播等多種協(xié)議，而這些協(xié)議需要在網(wǎng)絡(luò)設(shè)備上的配置過程較為復(fù)雜，一旦網(wǎng)絡(luò)環(huán)境出現(xiàn)故障，或部署新設(shè)備，都需要重新配置，并且不同軟件版本配置方法也有所不同，要在短時(shí)間內(nèi)解決需要消耗大量的時(shí)間和人力。

而利用SDN，可以從一個(gè)邏輯點(diǎn)上控制整個(gè)網(wǎng)絡(luò)，不再受限于廠商，可以有效地簡(jiǎn)化網(wǎng)絡(luò)維護(hù)和運(yùn)營。網(wǎng)絡(luò)設(shè)備也不需要配置復(fù)雜的網(wǎng)絡(luò)協(xié)議，只需要從SDN控制器動(dòng)態(tài)接收指令[4]。更重要的是，網(wǎng)絡(luò)運(yùn)維人員不用再去面對(duì)多至上百臺(tái)的設(shè)備，不需要去處理大量的網(wǎng)絡(luò)協(xié)議，而只要通過簡(jiǎn)單的應(yīng)用編程即可達(dá)到控制整體網(wǎng)絡(luò)的目的。由于SDN控制器的集中智能管控性，可以靈活地配置和管理安全策略，實(shí)時(shí)地改變網(wǎng)絡(luò)狀態(tài)，且優(yōu)化網(wǎng)絡(luò)資源，在短時(shí)間內(nèi)就可以部署新的業(yè)務(wù)環(huán)境，設(shè)計(jì)和調(diào)試周期明顯縮短。

基于SDN的特性，SDN大多可應(yīng)用于電信運(yùn)營商、大型企業(yè)、數(shù)據(jù)中心服務(wù)商以及互聯(lián)網(wǎng)公司等場(chǎng)景[5]?；贠penFlow的SDN已經(jīng)漸漸被大眾所接受，相比傳統(tǒng)網(wǎng)絡(luò)，它給企業(yè)及運(yùn)營商帶來的好處有顯而易見，包括四個(gè)方面：（1）可集中管理和控制不同廠商的網(wǎng)絡(luò)設(shè)備，剔除各廠家硬件的差異性；（2）加快網(wǎng)絡(luò)部署周期，減少大量重復(fù)性調(diào)試工作；（3）上層應(yīng)用可編程靈活性較高，可擺脫大量復(fù)雜的網(wǎng)絡(luò)協(xié)議；（4）通過集中式的部署和管理，策略配置錯(cuò)誤的幾率減少，網(wǎng)絡(luò)更可靠和安全。

3.2 SDN在等級(jí)保護(hù)體系中的應(yīng)用

在現(xiàn)有的等保測(cè)評(píng)網(wǎng)絡(luò)環(huán)境中，通常首先是抽查所需要的網(wǎng)絡(luò)和安全設(shè)備，然后登錄所抽查的設(shè)備，對(duì)其配置進(jìn)行逐一檢查，結(jié)合各設(shè)備的配置再對(duì)全局各項(xiàng)指標(biāo)進(jìn)行統(tǒng)一分析。但在SDN網(wǎng)絡(luò)中，就不必登錄每一臺(tái)設(shè)備，只需要在SDN控制器上即可查看網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流向、安全策略、帶寬信息等。通過SDN的技術(shù)特點(diǎn)，可主要從四幾個(gè)方面進(jìn)行簡(jiǎn)化測(cè)評(píng)。

（1） 結(jié)構(gòu)安全。從SDN控制器可以收集各主要設(shè)備的運(yùn)行狀態(tài)，包括CPU、內(nèi)存、磁盤等信息，從而查看設(shè)備是否具有冗余的業(yè)務(wù)處理能力；也可以查看整個(gè)網(wǎng)絡(luò)的帶寬使用情況；并且可以查看當(dāng)前的運(yùn)行拓?fù)鋱D、各網(wǎng)段的劃分情況。

（2） 訪問控制。在傳統(tǒng)網(wǎng)絡(luò)中，訪問控制策略需結(jié)合各個(gè)邊界防護(hù)設(shè)備進(jìn)行分析，而在SDN網(wǎng)絡(luò)中，安全策略統(tǒng)一由SDN控制器下發(fā)，因此，只需分析應(yīng)用層的相關(guān)指令，即可獲知全局范圍內(nèi)的安全策略，包括ACL、應(yīng)用層過濾、網(wǎng)絡(luò)連接數(shù)等。

（3） 邊界完整性檢查。SDN系統(tǒng)能夠檢驗(yàn)網(wǎng)絡(luò)設(shè)備表單中的數(shù)據(jù)流是否違反控制器策略，因此，可以迅速查找出非授權(quán)設(shè)備私自連接到外部的行為，并及時(shí)阻斷。

（4） 高可用性。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)故障，將花費(fèi)較長的時(shí)間去診斷，而在SDN網(wǎng)絡(luò)中，則可以根據(jù)控制器的轉(zhuǎn)發(fā)表，核對(duì)每個(gè)節(jié)點(diǎn)經(jīng)過的流量，省去了登錄每臺(tái)設(shè)備檢查的過程，即使應(yīng)用崩潰，原有設(shè)備仍然可以繼續(xù)正常運(yùn)行。

4 結(jié)束語

依照目前發(fā)展趨勢(shì)，SDN技術(shù)暫時(shí)不會(huì)完全代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)技術(shù)，目前支持SDN的主流協(xié)議僅有Openflow，且無法做到對(duì)全部現(xiàn)有的運(yùn)維管理操作都兼容?，F(xiàn)階段能生產(chǎn)SDN產(chǎn)品的廠商也不是很多，都是處在研究和觀望狀態(tài)，極少數(shù)有成型的案例和解決方案，離大規(guī)模部署還有一定距離，用戶考慮到這種新興技術(shù)的穩(wěn)定性，也很難一下子接受這革命性的網(wǎng)絡(luò)技術(shù)。但傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)無法滿足如今的市場(chǎng)需求，且每年各單位將消耗大量的財(cái)力和人力在維護(hù)網(wǎng)絡(luò)上，SDN技術(shù)確實(shí)是未來網(wǎng)絡(luò)發(fā)展極好的一個(gè)方向，對(duì)等保測(cè)評(píng)也提供了便利性。隨著等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代，對(duì)網(wǎng)絡(luò)的安全性、可用性、有效性也提出了更高的要求。將SDN技術(shù)應(yīng)用至下一代網(wǎng)絡(luò)，不僅可以進(jìn)行差異化競(jìng)爭(zhēng)，而且可以減少等保測(cè)評(píng)成本消耗，適應(yīng)高帶寬高速度且不斷變化的需求。

參考文獻(xiàn)

[1] 張瑋，王永博，王魯，等.軟件定義網(wǎng)絡(luò)的控制器研究綜述[J].山東科學(xué)， 2015，28（2）：93-100.

[2] 鄭毅，華一強(qiáng)，何曉峰. SDN的特征、發(fā)展現(xiàn)狀及趨勢(shì)[J].電信科學(xué)， 2013，29（9） ：102-107.

[3] 顏瀅釗.軟件定義網(wǎng)絡(luò)中控制層與基礎(chǔ)設(shè)備層間通信協(xié)議的研究[D].北京：北京郵電大學(xué)， 2015.

[4] 樓恒越，竇軍.一種針對(duì)基于OpenFlow的SDN網(wǎng)絡(luò)中控制層面的DoS攻擊研究[J].計(jì)算機(jī)科學(xué)， 2015，42（11A）：341-344.

[5] 連建. SDN應(yīng)用場(chǎng)景分析與探討[J].電信快報(bào)，2014（2）：30-32.endprint