SDN技術在校園網(wǎng)絡中的應用探討

閆冬梅 鐘輝

摘要：隨著 Internet的迅速發(fā)展和網(wǎng)絡應用的急劇增加，移動設備和終端激增，服務器虛擬化以及云服務的出現(xiàn)推動著網(wǎng)絡相關行業(yè)重新審視傳統(tǒng)網(wǎng)絡架構[1]。常規(guī)的網(wǎng)絡是分層結(jié)構，這種靜態(tài)架構已不適應當今企業(yè)數(shù)據(jù)中心、校園和運營商網(wǎng)絡環(huán)境的動態(tài)計算和存儲需求[2]。通過對校園網(wǎng)安全中存在的問題進行總結(jié)，分析SDN及相關技術工作原理，對SDN應用進行了分析和展望。

關鍵詞：校園網(wǎng)； SDN；NFV；網(wǎng)絡架構；網(wǎng)絡安全

中圖分類號：TN919.1 文獻標識碼：A 文章編號：1009-3044（2018）22-0039-02

Abstract：With the development of Internet，the rapid increase of network applications， the proliferation of mobile devices， and the emergence of virtualization and cloud services， the Internet industries have been pushed to reexamine the architecture of traditional network. The conventional network is a hierarchical structure that does not adapt to the dynamic computing and storage requirements of today's enterprise data center， campus and operator network. Through summarizing the problems existing in campus network security， analyzing the working principles of SDN and related technologies， the application of SDN was prospected.

Key words： campus network； SDN； NFV； network architecture； network security

1 引言

在應用需求的不斷推動下，網(wǎng)絡技術得到了飛速發(fā)展，傳統(tǒng)網(wǎng)絡的層次結(jié)構是互聯(lián)網(wǎng)取得巨大成功的關鍵[3]。如何在標準化的網(wǎng)絡基礎設施上，使模型越來越復雜、流量越來越大，千變?nèi)f化的應用更安全、更快速、更可用，最終使學校信息化戰(zhàn)略與當今主流的IT戰(zhàn)略保持一致，是所有高校信息化建設面臨的一項課題。

2 校園網(wǎng)存在的問題

近幾年來，教育信息化、校園網(wǎng)絡化已經(jīng)成為我國教育發(fā)展的一個主要方向。各院校為了滿足各類業(yè)務，都進行了全方位多角度的部署和升級，隨之而來的數(shù)據(jù)處理和信息安全問題日益突出。娛樂應用泛濫，網(wǎng)絡經(jīng)常出現(xiàn)擁塞，使得工作學習和辦公等關鍵業(yè)務服務質(zhì)量難以保障；上網(wǎng)環(huán)境得不到凈化，不良內(nèi)容影響師生的學習、工作和生活，對于機密信息泄露和一些違法行為，不能及時發(fā)現(xiàn)和跟蹤；安全事件頻發(fā)；移動辦公面臨挑戰(zhàn)，出口安全壓力較大，校區(qū)互聯(lián)存在安全隱患；網(wǎng)絡管理維護困難，設備品牌和型號復雜，難以形成統(tǒng)一策略、統(tǒng)一管理、統(tǒng)一協(xié)調(diào)。

3 傳統(tǒng)解決方法的不足

當前高校網(wǎng)絡面臨的信息安全威脅在不斷增長、被發(fā)現(xiàn)的漏洞越來越多、安全問題日益突出，成為高校面臨的重要的、急需解決的問題之一[4]。傳統(tǒng)方法通過建立集成身份認證、訪問控制、安全防御功能作為保障校園網(wǎng)絡安全的第一道防御系統(tǒng)[5]。網(wǎng)絡復雜度的增加伴隨著漏洞數(shù)量的增長，設備之間的兼容性問題突顯，數(shù)據(jù)報文的多次解析和處理造成網(wǎng)絡性能的衰減和延遲的增加。

4 SDN技術應用分析

4.1 SDN定義

軟件定義網(wǎng)絡（SDN）架構將網(wǎng)絡控制和轉(zhuǎn)發(fā)功能分離開來，網(wǎng)絡控制直接通過編程實現(xiàn)，從而使底層基礎架構可以從應用程序和網(wǎng)絡服務中抽象出來[6]。經(jīng)過不斷的實驗研究，SDN提供了新的方法來解決網(wǎng)絡中長期存在的路由問題 [7-10]，理論上解決了現(xiàn)今校園網(wǎng)應用面臨的問題。

4.2 SDN與NS和NFV

網(wǎng)絡切片（NS）允許在每個網(wǎng)絡切片中靈活地配置和重用網(wǎng)絡元件和功能，以滿足特定的應用要求[11]。網(wǎng)絡切片技術靈活承載多場景邏輯網(wǎng)絡，已經(jīng)越來越成為業(yè)界共識[12]。網(wǎng)絡功能虛擬化（NFV[13]）通過功能抽象擴展網(wǎng)絡服務，提高設備使用效率，節(jié)省開銷。NS 與虛擬化技術息息相關，SDN與NFV是實現(xiàn)NS的關鍵技術支撐。

5 校園網(wǎng)主流SDN+NFV應用

國內(nèi)對SDN的需求日益迫切，越來越多的廠家將這一新技術應用到了自己的網(wǎng)絡產(chǎn)品當中，與傳統(tǒng)部署模式相比，SDN+NFV從性能和安全上都有顯著的技術優(yōu)勢，SDN/NFV等新技術的發(fā)展將會引導客戶需求的變化， 其帶來的業(yè)務快速開通、網(wǎng)絡自動擴容等極致便捷體驗逐步成為客戶的基本要求[14] 。

5.1 SDN+NFV技術在VDC的應用

虛擬化數(shù)據(jù)中心（VDC）在虛擬化平臺上劃分一個專用集群安裝NFV安全設備，通過SDN控制策略，將業(yè)務集群流量引導到該安全集群中進行安全防護，實現(xiàn)所有虛擬機的安全隔離（圖1），虛擬主機與物理服務器安全隔離。

在網(wǎng)絡層面通過NFV安全設備進行業(yè)務虛擬主機安全隔離，實現(xiàn)安全防護。利用SDN控制器實現(xiàn)網(wǎng)絡虛擬化、安全虛擬化的管控，自動化交付，配合云平臺和虛擬化平臺實現(xiàn)云數(shù)據(jù)中心所有主要資源的一體化自動交付。

另外，不同用戶在云管理平臺上通過賬號名稱、密碼和權限實現(xiàn)安全隔離；在云平臺上的資源通過虛擬私有云實現(xiàn)邏輯隔離；各業(yè)務應用系統(tǒng)通過硬件虛擬化防火墻實現(xiàn)邏輯隔離。

5.2 SDN+NFV在VPC中的部署應用

VDC在虛擬化平臺上劃分一個專用集群的NFV安全設備，通過SDN控制策略，將業(yè)務集群流量引導到該安全集群中進行安全防護，實現(xiàn)所有虛擬機的安全隔離，虛擬主機與物理服務器安全隔離。

5.2.1虛擬私有云（VPC）的VM-VM安全防護基本模型

對于VPC模型的用戶，通過分布式VFW/VLB模型，建立高性能的安全業(yè)務資源池，由用戶自行負責虛擬網(wǎng)關的管理，自主實現(xiàn)安全策略的配置，大大減輕維護工作量。虛擬機（VM）間直接經(jīng)過虛擬交換機（vSwitch）實現(xiàn)互訪，當需要對其進行安全防護時，管理員配置vSwitch中的引流策略，由VFW對虛擬機間流量進行防護處理，如圖3所示。

5.2.2 基于SDN架構的VM-VM安全防護

SDN和NFV技術的應用使每臺主機中安裝虛擬化安全網(wǎng)關，對主機內(nèi)VM-VM流量進行防護，實現(xiàn)更大范圍內(nèi)的VM-VM間流量防護?；赟DN架構的VM-VM安全防護，提供更為完善的VM間防護和部署模型，由軟件定義流量策略，軟件決定轉(zhuǎn)發(fā)，軟件實現(xiàn)安全，軟件實現(xiàn)業(yè)務編排[15]。

6 結(jié)論

隨著網(wǎng)絡應用的不斷增長，SDN的技術優(yōu)勢愈加明顯，成長為新一代主流網(wǎng)絡體系結(jié)構的地位已經(jīng)毋庸置疑。根據(jù)當前技術發(fā)展趨勢，安全與應用相融合的一體化組網(wǎng)及應用越來越成為主流。通過SDN技術進行設備整合，構建“融合安全、應用豐富、接入控制、業(yè)務隔離”的一體化安全接入平臺將成為校園網(wǎng)絡的發(fā)展方向。

參考文獻：

[1] Foundation O N. Software-Defined Networking： The New Norm for Networks[J]， 2012.

[2] Montazerolghaem A， Yaghmaee M H， Leon-Garcia A. OpenSIP： Toward Software-Defined SIP Networking[J]. IEEE Transactions on Network & Service Management， 2017（99）： 1-1.

[3] 張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡（SDN）研究進展[J].軟件學報，2015，26（01）：62-81.

[4] 張煥杰，夏玉良.用戶自主選擇的校園網(wǎng)出口策略路由實現(xiàn)[J].通信學報，2013，34（S2）：14-16+22.

[5] 徐燕婷.淺談校園網(wǎng)絡出口安全訪問控制[J].科技風，2010（23）：239.

[6] Khondoker R， Zaalouk A， Marx R， et al. Feature-based comparison and selection of Software Defined Networking （SDN） controllers[C]. Computer Applications and Information Systems， 2014： 1-7.

[7] Kreutz D， Ramos F M V， Verissimo P. Towards secure and dependable software-defined networks[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING， 2013： 55-60.

[8] Scott-Hayward S， O'callaghan G， Sezer S. Sdn Security： A Survey[C]. Future Networks and Services， 2013： 1-7.

[9] Benton K， Camp L J， Small C. OpenFlow vulnerability assessment[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING， 2013： 151-152.

[10] Abdou A R， Oorschot P C V， Wan T. A Framework and Comparative Analysis of Control Plane Security of SDN and Conventional Networks[J]. 2017.

[11]權偉，張宏科.未來互聯(lián)網(wǎng)體系的研究現(xiàn)狀、熱點與探索實踐[J].中國科學：信息，2017，47（06）：804-810.

[12] Tricci So，袁知貴，徐方，姚強，宗在峰，徐岱，朱進國.支持多業(yè)務的網(wǎng)絡切片技術研究[J].郵電設計技術，2016（07）：12-18.

[13] Network Functions Virtualisation [EB/OL].[2016-01-08].https：//portal.etsi.org/nfv/nfv_white _paper.pdf

[14] 朱鵬，白海龍，張超.基于SDN/NFV的新型運維體系架構研究[J].郵電設計技術，2017（01）：12-16.

[15] 謝東 鄢波濤. 基于SDN和NFV的云安全體系——云安全防護體系建設與特點[J] 新IT領航，2015，第一期 http：//www.h3c.com/cn/d_201506/873175_30008_0.htm

【通聯(lián)編輯：代影】