SDN技术在校园网络中的应用探讨
2018-11-26闫冬梅钟辉
闫冬梅 钟辉
摘要:随着 Internet的迅速发展和网络应用的急剧增加,移动设备和终端激增,服务器虚拟化以及云服务的出现推动着网络相关行业重新审视传统网络架构[1]。常规的网络是分层结构,这种静态架构已不适应当今企业数据中心、校园和运营商网络环境的动态计算和存储需求[2]。通过对校园网安全中存在的问题进行总结,分析SDN及相关技术工作原理,对SDN应用进行了分析和展望。
关键词:校园网; SDN;NFV;网络架构;网络安全
中图分类号:TN919.1 文献标识码:A 文章编号:1009-3044(2018)22-0039-02
Abstract:With the development of Internet,the rapid increase of network applications, the proliferation of mobile devices, and the emergence of virtualization and cloud services, the Internet industries have been pushed to reexamine the architecture of traditional network. The conventional network is a hierarchical structure that does not adapt to the dynamic computing and storage requirements of today's enterprise data center, campus and operator network. Through summarizing the problems existing in campus network security, analyzing the working principles of SDN and related technologies, the application of SDN was prospected.
Key words: campus network; SDN; NFV; network architecture; network security
1 引言
在应用需求的不断推动下,网络技术得到了飞速发展,传统网络的层次结构是互联网取得巨大成功的关键[3]。如何在标准化的网络基础设施上,使模型越来越复杂、流量越来越大,千变万化的应用更安全、更快速、更可用,最终使学校信息化战略与当今主流的IT战略保持一致,是所有高校信息化建设面临的一项课题。
2 校园网存在的问题
近几年来,教育信息化、校园网络化已经成为我国教育发展的一个主要方向。各院校为了满足各类业务,都进行了全方位多角度的部署和升级,随之而来的数据处理和信息安全问题日益突出。娱乐应用泛滥,网络经常出现拥塞,使得工作学习和办公等关键业务服务质量难以保障;上网环境得不到净化,不良内容影响师生的学习、工作和生活,对于机密信息泄露和一些违法行为,不能及时发现和跟踪;安全事件频发;移动办公面临挑战,出口安全压力较大,校区互联存在安全隐患;网络管理维护困难,设备品牌和型号复杂,难以形成统一策略、统一管理、统一协调。
3 传统解决方法的不足
当前高校网络面临的信息安全威胁在不断增长、被发现的漏洞越来越多、安全问题日益突出,成为高校面临的重要的、急需解决的问题之一[4]。传统方法通过建立集成身份认证、访问控制、安全防御功能作为保障校园网络安全的第一道防御系统[5]。网络复杂度的增加伴随着漏洞数量的增长,设备之间的兼容性问题突显,数据报文的多次解析和处理造成网络性能的衰减和延迟的增加。
4 SDN技术应用分析
4.1 SDN定义
软件定义网络(SDN)架构将网络控制和转发功能分離开来,网络控制直接通过编程实现,从而使底层基础架构可以从应用程序和网络服务中抽象出来[6]。经过不断的实验研究,SDN提供了新的方法来解决网络中长期存在的路由问题 [7-10],理论上解决了现今校园网应用面临的问题。
4.2 SDN与NS和NFV
网络切片(NS)允许在每个网络切片中灵活地配置和重用网络元件和功能,以满足特定的应用要求[11]。网络切片技术灵活承载多场景逻辑网络,已经越来越成为业界共识[12]。网络功能虚拟化(NFV[13])通过功能抽象扩展网络服务,提高设备使用效率,节省开销。NS 与虚拟化技术息息相关,SDN与NFV是实现NS的关键技术支撑。
5 校园网主流SDN+NFV应用
国内对SDN的需求日益迫切,越来越多的厂家将这一新技术应用到了自己的网络产品当中,与传统部署模式相比,SDN+NFV从性能和安全上都有显著的技术优势,SDN/NFV等新技术的发展将会引导客户需求的变化, 其带来的业务快速开通、网络自动扩容等极致便捷体验逐步成为客户的基本要求[14] 。
5.1 SDN+NFV技术在VDC的应用
虚拟化数据中心(VDC)在虚拟化平台上划分一个专用集群安装NFV安全设备,通过SDN控制策略,将业务集群流量引导到该安全集群中进行安全防护,实现所有虚拟机的安全隔离(图1),虚拟主机与物理服务器安全隔离。
在网络层面通过NFV安全设备进行业务虚拟主机安全隔离,实现安全防护。利用SDN控制器实现网络虚拟化、安全虚拟化的管控,自动化交付,配合云平台和虚拟化平台实现云数据中心所有主要资源的一体化自动交付。
另外,不同用户在云管理平台上通过账号名称、密码和权限实现安全隔离;在云平台上的资源通过虚拟私有云实现逻辑隔离;各业务应用系统通过硬件虚拟化防火墙实现逻辑隔离。
5.2 SDN+NFV在VPC中的部署应用
VDC在虚拟化平台上划分一个专用集群的NFV安全设备,通过SDN控制策略,将业务集群流量引导到该安全集群中进行安全防護,实现所有虚拟机的安全隔离,虚拟主机与物理服务器安全隔离。
5.2.1虚拟私有云(VPC)的VM-VM安全防护基本模型
对于VPC模型的用户,通过分布式VFW/VLB模型,建立高性能的安全业务资源池,由用户自行负责虚拟网关的管理,自主实现安全策略的配置,大大减轻维护工作量。虚拟机(VM)间直接经过虚拟交换机(vSwitch)实现互访,当需要对其进行安全防护时,管理员配置vSwitch中的引流策略,由VFW对虚拟机间流量进行防护处理,如图3所示。
5.2.2 基于SDN架构的VM-VM安全防护
SDN和NFV技术的应用使每台主机中安装虚拟化安全网关,对主机内VM-VM流量进行防护,实现更大范围内的VM-VM间流量防护。基于SDN架构的VM-VM安全防护,提供更为完善的VM间防护和部署模型,由软件定义流量策略,软件决定转发,软件实现安全,软件实现业务编排[15]。
6 结论
随着网络应用的不断增长,SDN的技术优势愈加明显,成长为新一代主流网络体系结构的地位已经毋庸置疑。根据当前技术发展趋势,安全与应用相融合的一体化组网及应用越来越成为主流。通过SDN技术进行设备整合,构建“融合安全、应用丰富、接入控制、业务隔离”的一体化安全接入平台将成为校园网络的发展方向。
参考文献:
[1] Foundation O N. Software-Defined Networking: The New Norm for Networks[J], 2012.
[2] Montazerolghaem A, Yaghmaee M H, Leon-Garcia A. OpenSIP: Toward Software-Defined SIP Networking[J]. IEEE Transactions on Network & Service Management, 2017(99): 1-1.
[3] 张朝昆,崔勇,唐翯翯,吴建平.软件定义网络(SDN)研究进展[J].软件学报,2015,26(01):62-81.
[4] 张焕杰,夏玉良.用户自主选择的校园网出口策略路由实现[J].通信学报,2013,34(S2):14-16+22.
[5] 徐燕婷.浅谈校园网络出口安全访问控制[J].科技风,2010(23):239.
[6] Khondoker R, Zaalouk A, Marx R, et al. Feature-based comparison and selection of Software Defined Networking (SDN) controllers[C]. Computer Applications and Information Systems, 2014: 1-7.
[7] Kreutz D, Ramos F M V, Verissimo P. Towards secure and dependable software-defined networks[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING, 2013: 55-60.
[8] Scott-Hayward S, O'callaghan G, Sezer S. Sdn Security: A Survey[C]. Future Networks and Services, 2013: 1-7.
[9] Benton K, Camp L J, Small C. OpenFlow vulnerability assessment[C]. ACM SIGCOMM Workshop on Hot Topics in Software Defined NETWORKING, 2013: 151-152.
[10] Abdou A R, Oorschot P C V, Wan T. A Framework and Comparative Analysis of Control Plane Security of SDN and Conventional Networks[J]. 2017.
[11]权伟,张宏科.未来互联网体系的研究现状、热点与探索实践[J].中国科学:信息,2017,47(06):804-810.
[12] Tricci So,袁知贵,徐方,姚强,宗在峰,徐岱,朱进国.支持多业务的网络切片技术研究[J].邮电设计技术,2016(07):12-18.
[13] Network Functions Virtualisation [EB/OL].[2016-01-08].https://portal.etsi.org/nfv/nfv_white _paper.pdf
[14] 朱鹏,白海龙,张超.基于SDN/NFV的新型运维体系架构研究[J].邮电设计技术,2017(01):12-16.
[15] 谢东 鄢波涛. 基于SDN和NFV的云安全体系——云安全防护体系建设与特点[J] 新IT领航,2015,第一期 http://www.h3c.com/cn/d_201506/873175_30008_0.htm
【通联编辑:代影】