您的位置:首页 > 融合创新与教育变革征文

SDN技术在校园网络中的应用浅探

吉林大学大数据和网络管理中心 闫冬梅 钟辉 李振建

  摘要

  随着Internet的迅速发展和网络应用的急剧增加,移动设备和终端激增,服务器虚拟化以及云服务的出现推动着网络相关行业重新审视传统网络架构[1]。常规的网络是分层结构,这种静态架构不适应当今企业数据中心、校园和运营商网络环境的动态计算和存储需求[2]。本文对校园网安全中存在的问题进行了总结,介绍了SDN及相关技术,以新华三网络设备为例对SDN应用进行了分析和展望。

  关键字:校园网 SDN NFV

  前言

  在应用需求的不断推动下,网络技术得到了飞速发展,传统网络的层次结构是互联网取得巨大成功的关键[3]。如何在标准化的网络基础设施上,使模型越来越复杂、流量越来越大千变万化的应用更安全、更快速、更可用,最终使学校信息化战略与当今主流的IT战略保持一致,是所有高校信息化建设面临的一项课题。

  一、校园网存在的问题

  近几年来,教育信息化、校园网络化已经成为我国教育发展的一个主要方向。各院校为了满足各类业务,都进行了全方位多角度的部署和升级,随之而来的数据处理和信息安全问题日益突出。娱乐应用泛滥,网络经常出现拥塞,使得工作学习和办公等关键业务服务质量难以保障;上网环境得不到净化,不良内容影响师生的学习、工作和生活,对于机密信息泄露和一些违法行为,不能及时发现和跟踪;安全事件频发;移动办公面临挑战,出口安全压力较大,校区互联存在安全隐患;网络管理维护困难,设备品牌和型号复杂,难以形成统一策略、统一管理、统一协调。

  二、传统解决方法的不足

  当前高校网络面临的信息安全威胁在不断增长、被发现的漏洞越来越多、安全问题日益突出,成为高校面临的重要的、急需解决的问题之一[4]。传统方法通过建立集成身份认证、访问控制、安全防御功能作为保障校园网络安全的第一道防御系统[5]。网络复杂度的增加伴随着漏洞数量的增涨,设备之间的兼容性问题突显,数据报文的多次解析和处理造成网络性能的衰减和延迟的增加。

  三、SDN技术应用分析

  3.1 SDN定义

  软件定义网络(SDN)架构将网络控制和转发功能分离开来,网络控制直接通过编程实现,从而使底层基础架构可以从应用程序和网络服务中抽象出来[6]。经过不断的实验研究,SDN提供了新的方法来解决网络中长期存在的问题路由[7-10],理论上解决了现今校园网应用面临的问题。

  3.2 SDN与NS和NFV

  网络切片(NS)允许在每个网络切片中灵活地配置和重用网络元件和功能,以满足特定的应用要求[11]。网络切片技术灵活承载多场景逻辑网络,已经越来越成为业界共识[12]。网络功能虚拟化(NFV[13])通过功能抽象扩展网络服务,提高设备使用效率,节省开销。NS 与虚拟化技术息息相关,SDN与NFV是实现NS的关键技术支撑。

  四、校园网的SDN+NFV应用

  国内对SDN的需求日益迫切,越来越多的厂家将这一新技术应用到了自己的网络产品当中,与传统部署模式相比,SDN/NFV等新技术带来的业务快速开通、网络自动扩容等极致便捷体验将逐步成为客户的基本要求[14],其在校园网内的应用逐步扩大。

  4.1 SDN+NFV技术在VDC的应用

  虚拟化数据中心(VDC)在虚拟化平台上划分一个专用集群安装NFV安全设备,通过SDN控制策略,将业务集群流量引导到该安全集群中进行安全防护,实现所有虚拟机的安全隔离(图1),虚拟主机与物理服务器安全隔离。

  图1 虚拟化数据中心安全定义

  在网络层面通过NFV安全设备进行业务虚拟主机安全隔离,实现安全防护。利用SDN控制器实现网络虚拟化、安全虚拟化的管控,自动化交付,配合云平台和虚拟化平台实现云数据中心所有主要资源的一体化自动交付。

  图2 安全业务转发流程

  另外,不同用户在云管理平台上通过账号名称、密码和权限实现安全隔离;在云平台上的资源通过虚拟私有云实现逻辑隔离;各业务应用系统通过硬件虚拟化防火墙实现逻辑隔离。

  4.2 SDN+NFV在VPC中的部署应用

  4.2.1.虚拟私有云(VPC)的VM-VM安全防护基本模型对于VPC模型的用户,通过分布式VFW/VLB模型,建立高性能的安全业务资源池,由用户自行负责虚拟网关的管理,自主实现安全策略的配置,大大减轻维护工作量。VM间直接经过VSWITCH实现互访,当需要对其进行安全防护时,管理员配置VSWITCH中的引流策略,由VFW对虚拟机间流量进行防护处理,如图3所示。

  图3 VM-VM安全防护模型

  4.2.2基于SDN架构的VM-VM安全防护

  SDN和NFV技术的应用使每台主机中安装虚拟化安全网关,对主机内VM-VM流量进行防护,实现更大范围内的VM-VM间流量防护。基于SDN架构的VM-VM安全防护,提供更为完善的VM间防护和部署模型。其防护详细流程如图4所示:

  图4基于SDN的VM-VM安全防护模型

  此架构由软件定义流量策略,软件决定转发,软件实现安全,软件实现业务编排[14]

  软件实现定义流量策略。首先将需要进行安全防护的VM之间的流量进行精确定义,用户通过IP地址/MAC地址或者是基于VM的名字进行策略定义,并进行允许或拒绝等动作的配置。

  软件实现决定转发。虚拟交换机在接收到VM的流量后,自动将该流量数据包上送到SDN CONTROLLER,之后根据预先配置的安全策略,形成OPENFLOW的流表下发到本地虚拟交换机。后续报文经过虚拟交换机时将检查转发表项,对符合规则的报文转发到软件安全处理引擎。

  软件实现安全。初始化过程中,管理中心对虚拟机安全软件完成必要的安装和初始化配置,分配合理的硬件资源并对安全业务能力进行设定,同时下发各种安全策略。在流量到达本虚拟机时,软件安全网关完成各项安全检查;完成安全检查的流量自动转发到目地VM虚拟机。

  软件实现业务编排。对于部分业务需要进行多安全业务处理时,在服务器内部配置多个安全业务处理引擎,通过管理层对这部分流量的转发路径进行定义,并生成具体的路由配置策略,或者是通过隧道等方式实现对报文在多业务之间路径选择的智能化以及报文封装转发的自动化。

  五、总结与展望

  随着网络应用的不断增长,SDN的技术优势愈加明显,成长为新一代主流网络体系结构的地位已经毋庸置疑。根据当前技术发展趋势,安全、应用交付与网络融合的安全一体化组网及应用越来越成为主流。通过SDN技术进行设备横向整合,构建“融合安全、应用交付、接入控制、业务隔离、统一应用”的一体化安全接入交付平台将成为校园网络的发展方向。

  

  参考文献

  [1]Foundation O N. Software-Defined Networking: The New Norm for Networks[J], 2012.

  [2]Montazerolghaem A, Yaghmaee M H, Leon-Garcia A. OpenSIP: Toward Software-Defined SIP Networking[J]. IEEE Transactions on Network & Service Management, 2017, PP(99): 1-1.

  [3]张朝昆,崔勇,唐翯翯,吴建平. 软件定义网络(SDN)研究进展[J]. 软件学报,2015,26(01):62-81.

  [4]张焕杰,夏玉良. 用户自主选择的校园网出口策略路由实现[J]. 通信学报,2013,34(S2):14-16+22.

  [5]徐燕婷. 浅谈校园网络出口安全访问控制[J]. 科技风,2010,(23):239.

  [6]Khondoker R, Zaalouk A, Marx R, et al. Feature-based comparison and selection of Software Defined Networking (SDN) controllers[C]. Computer Applications and Information Systems, 2014: 1-7.

  [7]Kreutz D, Ramos F M V, Verissimo P. Towards secure and dependable software-defined networks[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING, 2013: 55-60.

  [8]Scott-Hayward S, O‘callaghan G, Sezer S. Sdn Security: A Survey[C]. Future Networks and Services, 2013: 1-7.

  [9]Benton K, Camp L J, Small C. OpenFlow vulnerability assessment[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING, 2013: 151-152.

  [10]Abdou A R, Oorschot P C V, Wan T. A Framework and Comparative Analysis of Control Plane Security of SDN and Conventional Networks[J], 2017.

  [11]权伟,张宏科. 未来互联网体系的研究现状、热点与探索实践[J]. 中国科学:信息,2017,47(06):804-810.

  [12]Tricci So,袁知贵,徐方,姚强,宗在峰,徐岱,朱进国. 支持多业务的网络切片技术研究[J]. 邮电设计技术,2016,(07):12-18.

  [13]Network Functions Virtualisation [EB/OL].[2016-01-08].https://portal.etsi.org/nfv/nfv_white _paper.pdf

  [14]朱鹏,白海龙,张超.基于SDN/NFV的新型运维体系架构研究[J].邮电设计技术,2017(01):12-16.

  [15]谢东 鄢波涛. 基于SDN和NFV的云安全体系--云安全防护体系建设与特点[J] 新IT领航,2015,第一期 http://www.h3c.com/cn/d_201506/873175_30008_0.htm

来源:中国教育网络作者:闫冬梅 钟辉 李振建