賈如春 四川信息職業(yè)技術(shù)學(xué)院信息工程系

基于SDN開源SaaS平臺(tái)網(wǎng)絡(luò)安全體系的架構(gòu)與設(shè)計(jì)

賈如春 四川信息職業(yè)技術(shù)學(xué)院信息工程系

隨著信息化的快速發(fā)展，滿足增強(qiáng)型網(wǎng)絡(luò)安全設(shè)計(jì)的需要越來越高，以軟件定義網(wǎng)絡(luò)(SDN)與開放SaaS平臺(tái)建設(shè)相結(jié)合，將數(shù)據(jù)平面與控制平面解耦合，重新設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)，解決開放軟件即服務(wù)(SaaS)平臺(tái)下的網(wǎng)絡(luò)安全問題，高系統(tǒng)的安全性與開放性、構(gòu)建滿足用戶個(gè)性化需求的網(wǎng)絡(luò)安全體系具有重要意義。

開源技術(shù) 軟件定義網(wǎng)絡(luò) 軟件即服務(wù) 網(wǎng)絡(luò)安全 體系結(jié)構(gòu)

1 概述

SDN利用分層的思想將數(shù)據(jù)與控制相分離，在控制層，包括具有邏輯中心化和可編程的控制器，可掌握全局網(wǎng)絡(luò)信息，方便運(yùn)營(yíng)商和科研人員管理配置網(wǎng)絡(luò)和部署新協(xié)議等，在數(shù)據(jù)層，包括啞的(dumb)交換機(jī)(與傳統(tǒng)的二層交換機(jī)不同，專指用于轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備)，交換機(jī)僅提供簡(jiǎn)單的數(shù)據(jù)轉(zhuǎn)發(fā)功能，可以快速處理匹配的數(shù)據(jù)包，適應(yīng)流量日益增長(zhǎng)的需求。兩層之間采用開放的統(tǒng)一接口(如OpenFlow等)進(jìn)行交互，控制器通過標(biāo)準(zhǔn)接口向交換機(jī)下發(fā)統(tǒng)一標(biāo)準(zhǔn)規(guī)則，交換機(jī)僅需按照這些規(guī)則執(zhí)行相應(yīng)的動(dòng)作即可。因此，SDN技術(shù)能夠有效降低設(shè)備負(fù)載，協(xié)助網(wǎng)絡(luò)運(yùn)營(yíng)商更好地控制基礎(chǔ)設(shè)施，降低整體運(yùn)營(yíng)成本，成為最具前途的網(wǎng)絡(luò)技術(shù)之一。

2 SDN誕生發(fā)展的背景

隨著網(wǎng)絡(luò)的快速發(fā)展，傳統(tǒng)互聯(lián)網(wǎng)出現(xiàn)了如傳統(tǒng)網(wǎng)絡(luò)配置復(fù)雜度高等諸多問題，這些問題說明網(wǎng)絡(luò)架構(gòu)需要革新，可編程網(wǎng)絡(luò)的相關(guān)研究為SDN的產(chǎn)生提供了可參考的理論依據(jù)。主動(dòng)網(wǎng)絡(luò)允許數(shù)據(jù)包攜帶用戶程序，并能夠由網(wǎng)絡(luò)設(shè)備自動(dòng)執(zhí)行，用戶可以通過編程方式動(dòng)態(tài)地配置網(wǎng)絡(luò)，達(dá)到了方便管理網(wǎng)絡(luò)的目的然而，4D架構(gòu)將可編程的決策平面(即控制層)從數(shù)據(jù)平面分離，使控制平面邏輯中心化與自動(dòng)化，其設(shè)計(jì)思想產(chǎn)生SDN控制器的雛形。

網(wǎng)絡(luò)抽象思想解耦了路徑依賴，成為數(shù)據(jù)控制分離且接口統(tǒng)一架構(gòu)(即SDN)產(chǎn)生的決定因素。眾多標(biāo)準(zhǔn)化組織已經(jīng)加入到SDN相關(guān)標(biāo)準(zhǔn)的制訂當(dāng)中。專門負(fù)責(zé)訂制SDN接口標(biāo)準(zhǔn)的著名組織是開放網(wǎng)絡(luò)基金會(huì)(Open Networking Foundation，簡(jiǎn)稱ONF)，該組織制訂OpenFlow協(xié)議業(yè)已成為SDN接口的主流標(biāo)準(zhǔn)，許多運(yùn)營(yíng)商和生產(chǎn)廠商根據(jù)該標(biāo)準(zhǔn)進(jìn)行研發(fā)。同樣針對(duì)SDN的新方法和新應(yīng)用等展開研究。標(biāo)準(zhǔn)化組織的跟進(jìn)，促使了SDN市場(chǎng)的快速發(fā)展。

3 開源技術(shù)的軟件定義網(wǎng)絡(luò)安全體系設(shè)計(jì)

基于開源技術(shù)軟件定義網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的平臺(tái)。ikuai路由器的設(shè)計(jì)上看，它由軟件控制和硬件數(shù)據(jù)通道組成。軟件控制包括管理(CLI，SNMP)以及路由協(xié)議(OSPF，ISIS，BGP)等。數(shù)據(jù)通道包括針對(duì)每個(gè)包的查詢、交換和緩存。基于網(wǎng)絡(luò)操作系統(tǒng)這個(gè)平臺(tái)，用戶可以開發(fā)各種應(yīng)用程序，通過軟件來定義邏輯上的網(wǎng)絡(luò)拓?fù)?，以滿足對(duì)網(wǎng)絡(luò)資源的不同需求，而無需關(guān)心底層網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。SDN提出控制層面的抽象，目前的MAC層和IP層能做到很好的抽象但是對(duì)于控制接口來說并沒有作用，我們以處理高復(fù)雜度（因?yàn)橛刑嗟膹?fù)雜功能加入到了體系結(jié)構(gòu)當(dāng)中，比如OSPF，BGP，組播，區(qū)分服務(wù)，流量工程，NAT，防火墻，MPLS，冗余層等等）的網(wǎng)絡(luò)拓?fù)?、協(xié)議、算法和控制來讓網(wǎng)絡(luò)工作，我們完全可以對(duì)控制層進(jìn)行簡(jiǎn)單、正確的抽象。SDN給網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃與管理提供了極大的靈活性，我們可以選擇集中式或是分布式的控制，對(duì)微量流（如校園網(wǎng)的流）或是聚合流（如主干網(wǎng)的流）進(jìn)行轉(zhuǎn)發(fā)時(shí)的流表項(xiàng)匹配，可以選擇虛擬實(shí)現(xiàn)或是物理實(shí)現(xiàn)。

虛擬交換機(jī)組成的網(wǎng)絡(luò)，就是虛擬網(wǎng)絡(luò)(和物理網(wǎng)絡(luò)相比)，如圖1所示：綠色虛線內(nèi)組成的就是一個(gè)虛擬網(wǎng)絡(luò)了。其虛擬機(jī)之間的信息交換都通過虛擬交換機(jī)。

圖1以上為全局的概念，OVS的內(nèi)部組件從簡(jiǎn)單來說，OVS由圖2中的三大部分構(gòu)成。

圖2

4 SDN開源SaaS平臺(tái)網(wǎng)絡(luò)安全體系新進(jìn)展

現(xiàn)有SDN技術(shù)發(fā)展過程，以網(wǎng)絡(luò)運(yùn)營(yíng)商與IT產(chǎn)業(yè)為主的ONF組織是主要的推動(dòng)者，ONF不定期地發(fā)布技術(shù)報(bào)告與技術(shù)白皮書，制定相關(guān)的標(biāo)準(zhǔn)規(guī)范并進(jìn)行組織測(cè)試。將SDN網(wǎng)絡(luò)架構(gòu)劃分為應(yīng)用層、控制層、基礎(chǔ)設(shè)施層，改變傳統(tǒng)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)與控制層的行為。一方面來自通訊設(shè)備商和通訊服務(wù)運(yùn)營(yíng)商的配合，設(shè)備廠商和運(yùn)營(yíng)商希望利用SDN獲得API，讓網(wǎng)絡(luò)設(shè)備得以進(jìn)行控制的特性，針對(duì)IDC和云端應(yīng)用服務(wù)進(jìn)行SDN網(wǎng)絡(luò)的部署，同時(shí)也在尋找SDN在云端網(wǎng)絡(luò)和通訊網(wǎng)路未來的應(yīng)用發(fā)展方向，期望使用者得以獲得最佳服務(wù)層級(jí)的存取行為。

在云計(jì)算的IaaS領(lǐng)域，OpenStack，除了數(shù)據(jù)中心外甚至?xí)蔀檫\(yùn)營(yíng)商網(wǎng)絡(luò)開展NFV的操作系統(tǒng)選項(xiàng)。在管道和網(wǎng)絡(luò)領(lǐng)域，SDN也誕生了若干開源系統(tǒng)，有些瞄準(zhǔn)主流，有些瞄準(zhǔn)技術(shù)分支，比如OpenDaylight就是瞄準(zhǔn)了SDN的控制器架構(gòu)，向上可以募集APP開發(fā)者，向下可以將眾多網(wǎng)絡(luò)硬件廠商牢牢把控。

SDN全新的概念將對(duì)傳統(tǒng)網(wǎng)絡(luò)造成沖擊，現(xiàn)今網(wǎng)絡(luò)設(shè)備并不兼容于OpenFlow功能，所以未來將采取漸進(jìn)式部署具有OpenFlow功能的設(shè)備，SDN使得數(shù)據(jù)控制相分離的網(wǎng)絡(luò)具有開放性和可編程性，科研人員及運(yùn)營(yíng)商可以通過PC機(jī)、手機(jī)、Web網(wǎng)頁(yè)或未來可能出現(xiàn)的各種途徑進(jìn)行網(wǎng)絡(luò)部署，而部署工作也僅是應(yīng)用軟件的簡(jiǎn)單開發(fā)或配置，針對(duì)SDN并行架構(gòu)的研究，是未來研究進(jìn)展的重要趨勢(shì)之一。