基于SDN的高校网络安全数据传输问题探究
2023-06-15唐雯炜
唐雯炜
摘要:軟件定义网络(SDN)技术架构通过把原有封闭的体系解耦为数据平面、控制平面和应用平面,提供了一种可编程的网络,革命性地改变了现有的网络架构。文章分析了高校网络安全数据传输现状,基于SDN技术在高校网络安全数据传输方面的要求,阐述了高校网络数据安全传输存在的问题。通过对高校网络数据中心SDN的总体设计、Underlay网络自动部署、Overlay网络部署三部分,探究基于SDN的高校网络安全数据传输策略,为高校网络数据传输安全提供保障。
关键词:SDN;高校;网络安全;数据传输;问题
中图分类号:TN325 文献标志码:A
0 引言
2021年10月11—17日是我国“国家网络安全宣传周”,活动以“共建网络安全,共享网络文明”为主题,各地高校也基于网络安全对学生展开了教育与宣传。而实际在高校内部的网络安全建设当中,数据传输是整个校园网络建设的重要组成部分,但是当前软件定义网络(Software-Defined Networking,SDN)应用到校园网络安全中的效果没有达到预期值,仍有许多地方有待调整与优化。同时,SDN又是能够有效实现校园网络安全数据传输与集中的关键,所以对其进行了相关研究。SDN的思想起源于斯坦福大学Ethane项目,此后SDN架构随着技术研究的深入和发展得到了学术界和工业界的广泛认可,成了未来网络发展的新方向。SDN技术架构通过把原有封闭的体系解耦为数据平面、控制平面和应用平面,提供了一种可编程的网络实现,从而将革命性地改变现有的网络架构。在数据中心网络采用SDN架构,可以便捷实现转发路径优化以及负载均衡,从而使得数据交换更加迅速。
1 高校网络安全数据传输现状分析
经过长期建设与社会环境的推动,各地区高校的校园网络安全数据传输已经具备完整的安全构架体系。并且一些条件较好、基础设施建设完备的高校,对校园网络安全数据传输提供了政策、人力、资金等多方面的资源与支持,高校对于校园网络安全数据传输的网络安全意识较深厚。据有关调查研究结果显示,国内已有93%的高校已经完成并完善了与校园网络安全数据传输相关的基础建设,并为学生的学习与校园生活提供了更加便捷的信息化服务平台。但是随着信息化发展和相关工作的不断推进,高校内部的教育信息数据和基础数据逐渐发展出更加多元化的呈现形式,传统的数据集中模式已经无法满足高校网络安全数据传输的需要,最重要的是,传统的数据模式无法提供核心服务[1]。现阶段,底层数据的整合能力和建设是高校网络安全数据传输的关键,所以高校的校园网络建设要转向主动服务模式并提高服务能力。
2 基于SDN的高校网络安全数据传输的要求
高校要推进基于SDN的网络安全数据传输建设,需要对校园网络基础设施展开全面优化升级工作,搭建能够实现多出口业务优化系统的基础平台。高校还要利用SDN网络、虚拟化技术集群技术构建新一代数据计算池和数据存储池,以便促进数据的集中共享与分析。同时,高校需要基于SDN网络与校园网络建设现状健全信息化建设的标准规范体系,创建高校内部相对独立的基础数据库,强化数据传输并改进对接应用系统,从而打破网络环境中的信息孤岛现象[2]。高校还要统一通信平台,基于校园网络建设中的组织构架体系提供统一的通信服务接口,从而推进高校网络业务与数据传输的互联。另外,高校要督促校园网络用户完善个人信息,实现信息溯源,为网络安全数据传输提供可靠的信息查询服务。高校要达成以上要求,才能为基于SDN的校园网络安全数据传输提供充分保障[3]。
2.1 精确引流,提升性能
基于Vlan ID、IP地址、四层端口等元素的组合对业务流量进行定义,并精确引导给最适合处理相应业务流量的相应设备,比如将80、8080、443等常见HTTP流量引导给WAF设备,SMTP、POP3、Webmail等流量引导给防毒墙设备,其余不相关的业务流量均无须通过并转发,在确保这些安全设备发挥安全防护功能的同时,也确保不会因为超出处理能力而死机,既提升了整体网络性能,也提高了网络可靠性。
2.2 实时切换,高效排障
把故障排查的主动权掌握在自己手中,通过逻辑清晰、操作简便的排查手段,快速定位故障点,以迅速响应断网问题为首要目标,推动故障排查的僵局,厘清责任。
2.3 弹性网络,助力创新
高校校园传统网络架构拓扑固化、网络协议私有,承载着大流量、高并发的网络负载,运维压力大、责任重,但因为创新可能产生错误、带来变化。如何在维护网络可靠性的同时,又能容纳各种创新,比如IPv6的部署和推广工作,在各大高校的校园网中如火如荼,IPv6设备的性能测试、IPv6协议的最佳部署模式、用户认证与现有IPv4协议如何兼容等问题,都需要结合自身网络情况,在实践中摸索出最佳实践方案。
3 高校网络安全数据传输存在的问题
3.1 多业务承载能力弱
部分高校的校园网络没有做好基础工作,不同网络业务之间没有进行有效隔离,并且没有配备QOS管控设置,导致校园网络的多业务承载能力比较弱,校园网络用户的体验感较差。这不仅对高校的信息化建设造成一定的影响,在一定程度上阻滞校园网络的创新发展,还会对智慧校园平台建设形成阻碍。另外,由于受到一些办学地域的条件限制等因素的影响,部分高校多区域办学对校园网络业务提出了更高的要求,需要校园网络建设通过一种或多种方式方法解决业务承载等方面的问题。而一些学校的基础设施建设跟不上,无法及时改善校园网络多业务承载能力较弱的问题,以至于高校内部的网络使用体验感达不到理想效果。
3.2 用户私接交换机
在当前校园环境中,存在校园网络用户私接交换机等行为,并且这种情况较为普遍。这种行为容易导致高校校园网络建设发生环路故障,严重的话还会引起广播风暴[3]。并且由于高校校园网络建设中不同业务端口未能实现有效隔离,当ARP等病毒侵入校园网络建设中,能够快速扩散影响范围并侵占运行系统。所以,高校网络安全数据传输难以得到全方位的保障。并且当校园网络被接入交换机dot1x认证方式,校园网络会趋于不稳定状态,还容易受到其他病毒或恶意软件的攻击,频繁发生认证失败和网络掉线等问题,给校园网络安全带来额外的负担,增加了相关工作人员的工作量。
3.3 網络检测的提升
除了多区域办学需要高校校园网络建设不断完善集中的基础设施,多业务集中管控也是促进校园网络安全数据传输稳定的重要内容,所以高校要提升校园网络的整体水平,才能推动SDN在校园网络中的有效运作,保障高校网络安全数据传输。依据当代学生的特性与需求进行分析,高校的校园网络建设面临更加高难的网络问题,以及更加复杂的网络业务需求、更加多样化的用户群体,而解决这些问题的核心就在于强化校园网络的集中管控建设。另外,校园网络要保障数据的高度集中和统一监管,这就需要将远程数据传输技术与系统科学嵌入传统校园网络中,而一些高校因缺乏相关设施、设备,难以实现远程数据传输。此外,一些高校虽然脱离了传统网络数据传输模式,但是缺乏更加专业的数据传输技术,没有切实提高整体监管水平。
4 基于SDN的高校网络安全数据传输策略
在SDN的三层体系中,安全形态较多地体现在控制平面和应用平面上,主要包括两类方向和三类应用。两类方向:(1)通过安全策略的冲突检测与增强,实现安全策略的一致性和网络可用性,在控制平面一级确保数据转发平面稳定运行;(2)通过在应用平面开发、部署新的安全应用,实现网络安全防护功能。
4.1 高校网络数据中心SDN的总体设计
随着大数据技术、云计算平台等现代网络技术的持续发展与优化创新,基于SDN的数据中心网络支撑已经成为高校校园网络建设的必然趋势。从校园网络安全数据传输中心的SDN总体设计来说,可以从SDN在多种场景的部署类型分析入手。高校只需要将计算池和存储池做好合理规划,再通过虚拟网络将校园网络建设中的计算资源和存储资源进行有机结合,为校园网络构建完整的软件定义网络模型,就能保证校园网络建设中不同的业务能够在满足隔离需求的前提下,实现网络互通,高校再保障网络抽象模型的完整性就能在物理网络不变的基础上实现用户自定义网络[4]。以“主机/混合Overlay+集中控制模型+集中式网关”的典型组网场景为例,因为虚拟交换机在内核中运行时没有形成完整的TCP/IP协议栈,不具备承担Vxlan L3网关的能力,无法有效促成EVPN协议,所以要为主机/混合Overlay组网二提供集中式控制模型和集中式网关。控制器在此基础上就可以实现对数据中心内主机的L3进行调控,将L3转发表项下发至虚拟交换机,使虚拟交换机拥有部分分布式网关的基本功能。该场景可为校园网络安全数据中心的SDN改造提供参考。
4.2 Underlay网络自动部署
基于SDN的高校网络安全数据传输建设中,数据中心SDN的Underlay网络自动部署,主要由Director和Spine-Leaf网络设备进行配合完成。其中,Fabric在校园网络建设中的划分与具体规划主要有:其一,基于物理设备的部署调整Directro程序,将两者同时接入校园网络安全数据传输的网络;其二,将Underlay网络进行合理规划并接入IP地址等配置,进而生产Spine-Leaf规划拓扑;其三,利用Director软件实现对Underlay网络的软件定义,从而为一些自动化配置进行调整时提供依据[5]。而在数据中心SDN整体部署的自动化配置下发过程中,当Underlay网络实现自动化配置之后,Overlay自动化配置就能通过一个三层网络完成下发指令和使用:基于Spine设备和Leaf设备自动获取数据中心的IP地址等内容、经过Underlay网络拓扑生产其载体设备配置、Overlay向设备完成IRF配置的自动下发并配置OSPF路由。另外,数据中心SDN部署的可视化部署中,会由Director软件通过已经配置的IP地址进行设备扫描,再经过Underlay网络的动态拓扑呈现自动化状态和部署进度,最后由Director软件完成资源纳管。
4.3 Overlay网络部署
基于SDN的高校网络安全数据传输建设中,Overlay网络部署主要根据不同场景的实际情况与需要,对其运用独立Fabric部署方式,这会使得Overlay网络配置更加便捷高效,并且Overlay网络可以通过Director直接下发全部配置,这也是实现校园网络安全数据传输的重点任务。同时,在SDN网络模型中,要保证SDN控制器可以整合OpenStack Neutron标准网络模型,还可以借助Director软件实现虚拟化网络,以此完善软件定义功能。然后,将虚拟网络模型转换为具体配置并进行下发配置。其中,需要注意的是下发配置的方式,要确保能够实现基于SDN的高校网络安全数据传输,则需要虚拟网络模型按照时间节点选择配置预先下发或者是按需下发[6]。另外,在Overlay网络部署中的Fabric接入设置部署,需要保证校园网络数据中心的所有资源都能接入Fabric端口,就能基本完成校园网络数据中心SDN网络部署。
5 结语
基于SDN的高校网络安全数据传输的相关部署工作较为复杂。但结合高校网络建设的需求不断提高其网络业务能力,再对高校网络数据中心SDN的总体设计进行调整、优化,保证SDN网络中Underlay和Overlay网络部署的严谨与合理,就能为高校网络安全数据传输提供保障。
参考文献
[1]陈健伟.研究广播电台网络数据安全传输的对策[J].信息记录材料,2021(5):225-226.
[2]周启钊,于俊清,李冬.SDN控制层洪泛防御机制研究:检测与缓解[J].通信学报,2021(10):1-13.
[3]金超.计算机网络信息安全威胁及数据加密技术分析[J].网络安全技术与应用,2021(10):31-32.
[4]汤晖.基于SDN架构的网络安全模型[J].信息技术与信息化,2021(9):184-188.
[5]唐博.略谈SDN安全需求和安全实现[J].信息通信,2020(1):97-98.
[6]吳爱鑫.浅谈广播电视台网络数据的安全传输[J].通讯世界,2020(4):68-69.
(编辑 傅金睿)
Research on university network security data transmission based on SDN
Tang Wenwei
(Zhejiang Chinese Medical University, Hangzhou 310053, China)
Abstract: Software defined network (SDN) technology architecture provides a programmable network by decoupling the original closed system into data plane, control plane and application plane, which revolutionizes the existing network architecture. This paper analyzes the current situation of network security data transmission in Colleges and universities, and expounds the existing problems of network security data transmission in Colleges and Universities Based on the requirements of SDN technology in network security data transmission in Colleges and universities. Through the overall design of university network data center SDN, automatic deployment of underlay network and overlay network deployment, this paper explores the university network security data transmission strategy based on SDN, so as to provide guarantee for the university network data transmission security.
Key words: SDN; colleges and universities; network security; data transmission; problem