◆张 江 刘星程 王世玲 谢敬锐 代文磊

(云南省军区 云南 650051)

1 研究背景

企业内网是承载企业运营的基础信息网络，安全、可靠的网络架构是确保企业正常运营的关键。随着信息化水平的不断提高，企业对网络安全、网络效率等方面的要求越来越高。然而目前大多数企业的内网，从本质上而言，都是一种基于传统技术的局域网，其运行效率、安全防护等方面的弊端，已经成为企业推广新技术和新平台的瓶颈。

软件定义网络是当前网络技术发展的新热点，这种技术可以有效解决传统 IP网络在网络安全和网络效率方面的局限性。本文探讨了软件定义网络技术在改造企业内网中的应用，提出了一种安全性更高、灵活性更好的企业内网架构。

2 基于SDN的企业内网架构

图1 基于SDN的企业内网示意图

基于SDN的企业内网架构如图1所示，可以看出，和传统的“扁平化”内网结构相比，基于 SDN的企业内网主要具备以下特点：

（1）基于SDN的企业内网采用分层的体系架构，即将网络划分为基础设施层、控制层和应用层3层逻辑结构。

（2）基础设施层即SDN企业内网的数据转发层，由受控的网络交换设备构成，与传统内网不同的是，基础设施层选用的交换机须支持OpenFlow控制协议。

（3）基础设施层在本文中被分为外联区和核心区（实际上还可以根据需要分为更多的区域），这样的划分突破了传统内网的“扁平化”结构，使得处于不同区域的网络具有不同的权限，提升了网络安全性。

以图1中不同区域节点的相互访问为例：位于外联区域的A节点试图访问核心区域的B节点，访问成功与否取决于各区域上层控制层所做的访问控制，在严格的访问控制条件下，外联区域甚至感知不到核心区域的存在。值得一提的是，即便是在区域以内的节点相互访问，也同样要受到上层控制器的控制。

（4）控制层由支持OpenFlow协议的控制器组成。根据网络的规模和应用需要的不同，控制器的部署密度也可以不同：可以是一个区域设置一个控制器，一个区域设置多个控制器或是整个SDN企业内网只用一个控制器。

综上所述，基于SDN构建的企业内网，实际上就是采用SDN体系架构对企业局域网进行改造，基础设施层大部分可以延用原有网络设施，只是交换机需要支持OpenFlow协议；控制层和应用层组成了网络访问控制系统，对企业内部的各种网络访问进行定义和控制。从图1可以看出，SDN架构的网络控制与数据转发功能位于不同的层面，即控制系统与基础网络设备完全分离，避免了网络设备自身的问题对控制系统运行产生影响，从而保证了控制层的可靠性和健壮性。相比之下，在传统结构的企业内网中，基础网络设备出现的问题会对全局安全策略的实施造成影响。

3 使用动态网络结构提升企业内网的安全性

3.1 基于SDN的动态网络结构

基于SDN架构的网络可以动态地改变网络的逻辑结构，根据控制层对基础网络层的反馈和控制，实现对网络全局信息流的掌握，从而对整个网络的逻辑结构实现动态调整和更新。

图2 SDN的反馈控制结构

图2描述的是SDN交换机和控制器之间的反馈和控制，通过“状态上报/指令下达”和“分析/控制”功能实现：SDN 交换机将信息流状态向控制器上报，控制器将该状态继续上报到上层安全应用，安全应用根据现有的网络结构和安全规则确定是否根据此状态更新流表，若x更新，则通过控制器向SDN交换机发出控制指令。在SDN网络中，传输的数据以信息流的方式在基础网络层中传递，信息流的传输由SDN交换机的流表控制，流表的制定则由控制层实现，从而实现了整个网络逻辑结构的确定（图3）。

图3 基于信息流控制的SDN网络逻辑结构

3.2 使用SDN结构提升内网安全性

基于SDN的网络结构控制可以使得简单网络结构形成一个特定的、符合安全需要的逻辑结构，这种结构可以有效提高网络的安全性和可控性，主要体现在以下两个方面。

（1）阻断隔绝

阻断隔绝是指对网络中的异常数据流向进行阻断。具体触发实例为：用户对网络某节点发起一个现行安全规则之外的访问，当信息流进入SDN交换机时，交换机会将该信息流的状态上报SDN控制器，控制器将该状态上报给应用层的安全应用进行分析。安全应用分析该信息流的状态，如果发现其违背安全规则，则通过控制器下发阻断策略到SDN交换机，交换机根据该策略对交换机流表进行更新，从而阻断该用户对某节点的数据访问。

（2）未知缓冲

未知缓冲是指在SDN网络中，在控制器对数据流安全性无从判断的情况下，将数据流导入缓冲区的一种策略。触发未知缓冲过程的条件和阻断隔绝类似，当上层安全应用收到控制器对异常数据流的判定请求后，由于暂时无法判定数据流的合法性，安全应用对控制器下发未知缓冲策略，控制器根据该策略更新交换机的流表，使得异常数据流进入缓冲区域。上层安全应用在此期间继续分析数据流的安全性，必要时可人工干预，最终判定该数据流的安全性。

4 结语

传统企业内网的架构一般都是一种“扁平化”的简单网络结构，即便实现了VLAN划分，网络节点之间的通信也仍然处于一种不可控、不可管的状态，为病毒和木马的传播提供了温床。本文基于软件定义网络的架构和特点，提出了一种基于SDN的新型企业内网架构。这种架构的优势在于突破了传统企业内网“扁平化”的简单结构，使得部门与部门之间、节点与节点之间的网络通信都通过SDN的控制层统一管理，提高了企业内网的安全性，为部署新一代的信息系统提供了环境支撑和安全保障。