◆王世玲 張江 謝敬銳 劉星程 丁偉峻

（云南省軍區(qū) 云南 650051）

1 研究背景

隨著企業(yè)規(guī)模的不斷擴(kuò)大，企業(yè)網(wǎng)絡(luò)的管理及維護(hù)也更為復(fù)雜。和中小型企業(yè)相比，大型企業(yè)的內(nèi)網(wǎng)規(guī)模更大、結(jié)構(gòu)更復(fù)雜，對網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全的要求也更高。然而，當(dāng)前多數(shù)大型企業(yè)的網(wǎng)絡(luò)管理，仍然處于一種局域網(wǎng)管理的傳統(tǒng)方式，網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全管理的相對落后，已經(jīng)成為制約大型企業(yè)信息化建設(shè)與發(fā)展的瓶頸。

網(wǎng)絡(luò)虛擬化和軟件定義網(wǎng)絡(luò)技術(shù)（SDN，Software Defined Network）作為網(wǎng)絡(luò)技術(shù)發(fā)展的新方向，為突破簡單網(wǎng)絡(luò)管理的局限性提供了新思路和新方法。目前，使用虛擬化技術(shù)或軟件定義網(wǎng)絡(luò)技術(shù)構(gòu)建新型網(wǎng)絡(luò)架構(gòu)的案例已不斷涌現(xiàn)，隨著技術(shù)的不斷成熟，必將在各種規(guī)模的網(wǎng)絡(luò)建設(shè)中得到更多的應(yīng)用。本文將虛擬化和軟件定義網(wǎng)絡(luò)技術(shù)綜合應(yīng)用于大型企業(yè)專網(wǎng)的構(gòu)建和安全管理之中，并給出了詳細(xì)的構(gòu)建方案，為建立新型的大型企業(yè)專網(wǎng)提供了參考。

2 軟件定義網(wǎng)絡(luò)的技術(shù)架構(gòu)

圖1 軟件定義網(wǎng)絡(luò)架構(gòu)

軟件定義網(wǎng)絡(luò)是一種高度可控的網(wǎng)絡(luò)架構(gòu)（圖1），是互聯(lián)網(wǎng)技術(shù)下一步發(fā)展的一個重要方向，它的基本思想是將網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)功能相分離，從而使得整個網(wǎng)絡(luò)架構(gòu)具備邏輯集中控制、網(wǎng)絡(luò)管理簡化、增強(qiáng)網(wǎng)絡(luò)擴(kuò)展性等特點(diǎn)。SDN 將網(wǎng)絡(luò)架構(gòu)分為三層：基礎(chǔ)設(shè)施層、應(yīng)用層和控制層，其中最關(guān)鍵的是控制層。SDN 的控制層掌控著網(wǎng)絡(luò)的全局運(yùn)行，可以對數(shù)據(jù)流進(jìn)行直接管控?？刂茖舆€具備可編程性，從而使得網(wǎng)絡(luò)的可控性得到很大的提高。

SDN 的特點(diǎn)主要可以歸結(jié)為3 點(diǎn)：

（1）網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離。SDN 將網(wǎng)絡(luò)中的控制層面和數(shù)據(jù)轉(zhuǎn)發(fā)層面徹底分離，避免了傳統(tǒng)網(wǎng)絡(luò)設(shè)備將網(wǎng)絡(luò)控制和數(shù)據(jù)轉(zhuǎn)發(fā)功能混合實(shí)現(xiàn)的弊端，降低了網(wǎng)絡(luò)運(yùn)行對硬件設(shè)備的依賴性，提高了網(wǎng)絡(luò)管理的靈活性。

（2）集中控制。SDN 在邏輯上可以對網(wǎng)絡(luò)進(jìn)行全局的集中控制。集中控制的優(yōu)勢在于：管理者可以將整個網(wǎng)絡(luò)當(dāng)作一個單獨(dú)的設(shè)備一樣進(jìn)行簡單維護(hù)，極大地降低了網(wǎng)絡(luò)管理的復(fù)雜性。

（3）網(wǎng)絡(luò)管理功能可編程。SDN 提供開放性的可編程接口，用戶可以自主研發(fā)新的網(wǎng)絡(luò)管理功能，從而更好地實(shí)現(xiàn)不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)管理要求。

3 基于虛擬化及SDN 的大型企業(yè)專網(wǎng)設(shè)計(jì)

3.1 需求分析

大型企業(yè)的內(nèi)網(wǎng)和中小企業(yè)內(nèi)網(wǎng)的主要區(qū)別在于規(guī)模更大、部門更多、管理更復(fù)雜，網(wǎng)絡(luò)規(guī)模有可能達(dá)到數(shù)十個部門和上千個節(jié)點(diǎn)，管理員既要保證網(wǎng)絡(luò)的高效運(yùn)行，又要應(yīng)對用戶數(shù)量過多帶來的安全威脅，所以設(shè)計(jì)新型的專網(wǎng)架構(gòu)至少要滿足兩方面的需求：網(wǎng)絡(luò)性能需求和網(wǎng)絡(luò)安全需求。

網(wǎng)絡(luò)性能方面，由于大型企業(yè)的部門和人員越來越多，網(wǎng)絡(luò)數(shù)據(jù)流量越來越大，傳統(tǒng)局域網(wǎng)的扁平化結(jié)構(gòu)勢必難以滿足日常業(yè)務(wù)對網(wǎng)絡(luò)性能的要求，這些問題傳統(tǒng)的VLAN 劃分技術(shù)已經(jīng)無從解決。因此，只有建立一個多層次、可分枝的新型網(wǎng)絡(luò)結(jié)構(gòu)，才能滿足多部門、多節(jié)點(diǎn)的網(wǎng)絡(luò)信息流高效傳輸。

網(wǎng)絡(luò)安全方面，當(dāng)前的網(wǎng)絡(luò)攻擊防控措施大都基于傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，這樣的措施對于那些專門針對傳統(tǒng)架構(gòu)的攻擊行為則缺乏效用。而且傳統(tǒng)防控技術(shù)的側(cè)重點(diǎn)在于防范而非控制，在網(wǎng)絡(luò)已被攻破的情況下，缺乏對網(wǎng)絡(luò)進(jìn)行調(diào)整的機(jī)制。所以，建立一個可以動態(tài)設(shè)置、并在被攻破的情況下動態(tài)改變拓?fù)涞木W(wǎng)絡(luò)結(jié)構(gòu)，可以同時解決上述兩個問題。

3.2 實(shí)現(xiàn)方案

根據(jù)上述需求，改進(jìn)型企業(yè)專網(wǎng)設(shè)計(jì)的基本思想是利用虛擬化技術(shù)和SDN 技術(shù)的靈活性，構(gòu)建更為安全高效的網(wǎng)絡(luò)架構(gòu)。方案采用虛擬化技術(shù)將企業(yè)網(wǎng)絡(luò)及各種連接網(wǎng)絡(luò)的終端設(shè)備進(jìn)行軟硬件資源整合，構(gòu)建出虛擬的網(wǎng)絡(luò)資源和硬件資源，從而可以從高層對網(wǎng)絡(luò)進(jìn)行重新規(guī)劃和利用，提高各種資源的利用率。方案使用SDN 技術(shù)突破了傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，將網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)發(fā)和網(wǎng)絡(luò)控制層面相分解，從而可以通過集中控制，靈活地改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)?；谶@兩種技術(shù)，改進(jìn)型企業(yè)專網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如圖2 所示。

圖2 改進(jìn)型企業(yè)專網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

從圖2 可看出兩種技術(shù)在新型網(wǎng)絡(luò)架構(gòu)中體現(xiàn)出的優(yōu)勢：

（1）虛擬化技術(shù)將企業(yè)網(wǎng)絡(luò)中的各種軟硬件資源整合并分層。各種網(wǎng)絡(luò)設(shè)備被劃入網(wǎng)絡(luò)傳輸層，構(gòu)成新型架構(gòu)中的硬件資源，企業(yè)現(xiàn)有的交換機(jī)只要支持OpenFlow協(xié)議都可以在網(wǎng)絡(luò)結(jié)構(gòu)升級時繼續(xù)沿用。運(yùn)行SDN 控制功能的服務(wù)器及相關(guān)軟件被劃入網(wǎng)絡(luò)控制層。應(yīng)用層為企業(yè)各部門和人員提供各種應(yīng)用服務(wù)，同時也是網(wǎng)絡(luò)使用者和物理網(wǎng)絡(luò)之間的一個無縫接口，用戶在訪問應(yīng)用時感知不到也無須了解實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)。

（2）SDN 技術(shù)為整個企業(yè)提供了安全、高效的網(wǎng)絡(luò)。圖2 的下三層與SDN 網(wǎng)絡(luò)架構(gòu)的分層相對應(yīng)，SDN 技術(shù)的優(yōu)勢主要體現(xiàn)在網(wǎng)絡(luò)控制層的集中控制性和可編程性。控制層負(fù)責(zé)網(wǎng)絡(luò)狀態(tài)的管理和控制，一方面根據(jù)基礎(chǔ)設(shè)施層的信息對網(wǎng)絡(luò)資源做出動態(tài)規(guī)劃；另一方面通過實(shí)時監(jiān)控全網(wǎng)的狀態(tài)對網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)進(jìn)行實(shí)時調(diào)整。例如在某條網(wǎng)絡(luò)路徑擁塞時可將該路徑斷開，重新規(guī)劃新的網(wǎng)絡(luò)路徑并生成拓?fù)?。又例如發(fā)現(xiàn)某個網(wǎng)絡(luò)節(jié)點(diǎn)異常時可將該節(jié)點(diǎn)隔離，排除該節(jié)點(diǎn)故障后再重新加入網(wǎng)絡(luò)。

4 結(jié)語

本文根據(jù)大型企業(yè)在新形勢下對網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全的需求，采用虛擬化技術(shù)和SDN 技術(shù)提出了一種新型內(nèi)網(wǎng)構(gòu)建方案。方案的基本思想是利用虛擬化技術(shù)對企業(yè)的網(wǎng)絡(luò)設(shè)備和軟硬件資源進(jìn)行重新整合和劃分，提高資源的利用率；使用SDN 技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)分層和拓?fù)淇刂?，提高網(wǎng)絡(luò)的性能和安全性。本文提出的網(wǎng)絡(luò)構(gòu)建方案不僅順應(yīng)了當(dāng)前企業(yè)內(nèi)網(wǎng)安全管理的新要求，也為構(gòu)建新型辦公網(wǎng)絡(luò)提供了新思路，對于需要對內(nèi)網(wǎng)進(jìn)行升級改造的企業(yè)具有一定的參考價值。