周嵩岑+李曦

摘 要：云計算、物聯(lián)網(wǎng)以及大數(shù)據(jù)的時代已經(jīng)到來，傳統(tǒng)的底層網(wǎng)絡(luò)架構(gòu)已經(jīng)無法滿足未來的業(yè)務(wù)需求。實際上，各單位企業(yè)組建的等級保護網(wǎng)絡(luò)環(huán)境問題層出不窮，網(wǎng)絡(luò)設(shè)備配置繁雜、迭代緩慢、缺乏集中式統(tǒng)一管理，從而使得日常業(yè)務(wù)維護更新效率變低，對等級保護測評工作也帶來了一定的影響。近幾年新興起的SDN技術(shù)則較好地解決了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的弊端，極大地簡化了運營成本和運維效率，也提高了等級測評的效率。論文根據(jù)SDN技術(shù)的特點，從網(wǎng)絡(luò)架構(gòu)、關(guān)鍵技術(shù)、價值意義等方面進行了要點分析。

關(guān)鍵詞：軟件定義網(wǎng)絡(luò)；集中管控；等級保護測評

中圖分類號： TP393 文獻標(biāo)識碼：A

SDN Technology and Its Application in Classified Protection Evaluation

Zhou Song Cen， Li Xi

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the advent of cloud computing， IOT and big data， traditional underlying network framework has been unable to meet futural business needs. In fact， problems in classification protection network environment emerge in endlessly， such as complicated configuration， slow update， and lack of centralized and unified management. It makes daily maintenance and classification protection evaluation inefficient. In recent years， burgeoning SDN technology has overcome the disadvantages of traditional network framework， simplified operating cost and raised maintenance efficiency. According to the characteristics of SDN technology， this paper analyzes the key points from the aspects of network framework， key technology and value.

Key words： Software Defined Network； Centralized Management and Control； Classified Protection Evaluation

1 引言

傳統(tǒng)網(wǎng)絡(luò)已經(jīng)發(fā)展了近半個世紀(jì)，且從一開始就是分散的網(wǎng)絡(luò)，通常由不同品牌或不同型號的網(wǎng)絡(luò)設(shè)備組成，部署方式、配置命令各不相同，網(wǎng)路中的各個設(shè)備之間通過路由表信息等學(xué)習(xí)可達信息，且如何轉(zhuǎn)發(fā)或轉(zhuǎn)發(fā)何種信息都是由設(shè)備自己決定，沒有中心的控制點，缺乏統(tǒng)一部署的概念，無法從整體的角度去調(diào)度流量。隨著云計算、大數(shù)據(jù)等新興技術(shù)的崛起，傳統(tǒng)網(wǎng)絡(luò)的特點已經(jīng)不適用于大業(yè)務(wù)的需求，于是SDN技術(shù)橫空出世。SDN（Software Defined Network），即軟件定義網(wǎng)絡(luò)，近年來受到持續(xù)的關(guān)注。短短幾年，SDN這個從美國斯坦福大學(xué)實驗室研究項目中誕生的產(chǎn)物，已經(jīng)成為全球矚目的網(wǎng)絡(luò)技術(shù)熱點[1]。SDN已經(jīng)公認(rèn)為是下一代互聯(lián)網(wǎng)重點發(fā)展的趨勢之一，且越來越多的知名廠商將SDN技術(shù)投入至實際應(yīng)用中，這標(biāo)志著SDN已進入商用化階段。國內(nèi)各大廠商也紛紛發(fā)布SDN戰(zhàn)略和解決方案，并相繼推出商業(yè)化產(chǎn)品以適應(yīng)SDN迅速發(fā)展的浪潮。因此，業(yè)界都將其視為顛覆傳統(tǒng)網(wǎng)絡(luò)的革命性的技術(shù)。

2 基于SDN技術(shù)的網(wǎng)絡(luò)架構(gòu)及其關(guān)鍵技術(shù)

SDN是一種新型的網(wǎng)絡(luò)技術(shù)，與傳統(tǒng)網(wǎng)絡(luò)架構(gòu)有著明顯的區(qū)別，如圖1所示，SDN通常由應(yīng)用層、控制層、基礎(chǔ)設(shè)施層組成。應(yīng)用層包含了不同的業(yè)務(wù)和應(yīng)用，由軟件組成，具有可編程性，可執(zhí)行特定的網(wǎng)絡(luò)算法，經(jīng)過API接口可轉(zhuǎn)換成對應(yīng)的控制命令下發(fā)至網(wǎng)絡(luò)設(shè)備；中間層包含了OpenFlow控制器，即可為上層應(yīng)用程序提供開放接口，又可與底層設(shè)備進行會話互動，主要用于處理數(shù)據(jù)，維護網(wǎng)絡(luò)拓?fù)?、狀態(tài)信息等；基礎(chǔ)設(shè)施層主要由支持 OpenFlow協(xié)議的SDN交換機組成，主要負(fù)責(zé)基于流表的數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集[2]。

SDN通過OpenFlow協(xié)議，將網(wǎng)絡(luò)的控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面相分離，以軟件的方式實現(xiàn)對底層硬件的集中控制，從而可以對網(wǎng)絡(luò)資源進行靈活的調(diào)度和分配。SDN實現(xiàn)控制與轉(zhuǎn)發(fā)分離的基礎(chǔ)就是OpenFlow協(xié)議，也是關(guān)鍵技術(shù)所在，是SDN體系結(jié)構(gòu)中控制和轉(zhuǎn)發(fā)層之間定義的第一個標(biāo)準(zhǔn)化通信接口[3]。流表是維持網(wǎng)絡(luò)設(shè)備正常運行的基礎(chǔ)，數(shù)據(jù)的轉(zhuǎn)發(fā)路徑取決于流表；流表又可以在控制器上產(chǎn)生，并由控制器進行管理。通常，流表不僅包含了IP協(xié)議常見的元素，還包含了具有執(zhí)行動作的特定規(guī)則。

在傳統(tǒng)網(wǎng)絡(luò)中，控制平面通常由特定的網(wǎng)絡(luò)設(shè)備所指定，而SDN網(wǎng)絡(luò)中，則不依賴具體的設(shè)備?？刂破矫婧蛿?shù)據(jù)轉(zhuǎn)發(fā)平面分離的好處在于，網(wǎng)絡(luò)上的信息都集中到一個核心控制器上，控制器可針對特定網(wǎng)絡(luò)信息進行編程，并調(diào)用通用API接口，直接對整理網(wǎng)絡(luò)進行調(diào)度，而控制程序則支持多種腳本語言，可移植性較強。全局狀態(tài)信息可在控制器上獲取，計算出任意節(jié)點間的路由信息之后，再通過OpenFlow協(xié)議控制轉(zhuǎn)發(fā)路徑，就可以在任意網(wǎng)絡(luò)節(jié)點接入，省去了在基礎(chǔ)設(shè)備上操作的繁瑣。這種開放性的架構(gòu)，可以不再局限于各廠家設(shè)備的封閉性，徹底脫離傳統(tǒng)硬件的束縛。endprint

3 SDN技術(shù)的價值意義

3.1 SDN的意義

現(xiàn)階段，部署一個傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，需要不同的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，這些設(shè)備還必須支持OSPF、ISIS、STP、BGP、組播等多種協(xié)議，而這些協(xié)議需要在網(wǎng)絡(luò)設(shè)備上的配置過程較為復(fù)雜，一旦網(wǎng)絡(luò)環(huán)境出現(xiàn)故障，或部署新設(shè)備，都需要重新配置，并且不同軟件版本配置方法也有所不同，要在短時間內(nèi)解決需要消耗大量的時間和人力。

而利用SDN，可以從一個邏輯點上控制整個網(wǎng)絡(luò)，不再受限于廠商，可以有效地簡化網(wǎng)絡(luò)維護和運營。網(wǎng)絡(luò)設(shè)備也不需要配置復(fù)雜的網(wǎng)絡(luò)協(xié)議，只需要從SDN控制器動態(tài)接收指令[4]。更重要的是，網(wǎng)絡(luò)運維人員不用再去面對多至上百臺的設(shè)備，不需要去處理大量的網(wǎng)絡(luò)協(xié)議，而只要通過簡單的應(yīng)用編程即可達到控制整體網(wǎng)絡(luò)的目的。由于SDN控制器的集中智能管控性，可以靈活地配置和管理安全策略，實時地改變網(wǎng)絡(luò)狀態(tài)，且優(yōu)化網(wǎng)絡(luò)資源，在短時間內(nèi)就可以部署新的業(yè)務(wù)環(huán)境，設(shè)計和調(diào)試周期明顯縮短。

基于SDN的特性，SDN大多可應(yīng)用于電信運營商、大型企業(yè)、數(shù)據(jù)中心服務(wù)商以及互聯(lián)網(wǎng)公司等場景[5]?；贠penFlow的SDN已經(jīng)漸漸被大眾所接受，相比傳統(tǒng)網(wǎng)絡(luò)，它給企業(yè)及運營商帶來的好處有顯而易見，包括四個方面：（1）可集中管理和控制不同廠商的網(wǎng)絡(luò)設(shè)備，剔除各廠家硬件的差異性；（2）加快網(wǎng)絡(luò)部署周期，減少大量重復(fù)性調(diào)試工作；（3）上層應(yīng)用可編程靈活性較高，可擺脫大量復(fù)雜的網(wǎng)絡(luò)協(xié)議；（4）通過集中式的部署和管理，策略配置錯誤的幾率減少，網(wǎng)絡(luò)更可靠和安全。

3.2 SDN在等級保護體系中的應(yīng)用

在現(xiàn)有的等保測評網(wǎng)絡(luò)環(huán)境中，通常首先是抽查所需要的網(wǎng)絡(luò)和安全設(shè)備，然后登錄所抽查的設(shè)備，對其配置進行逐一檢查，結(jié)合各設(shè)備的配置再對全局各項指標(biāo)進行統(tǒng)一分析。但在SDN網(wǎng)絡(luò)中，就不必登錄每一臺設(shè)備，只需要在SDN控制器上即可查看網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流向、安全策略、帶寬信息等。通過SDN的技術(shù)特點，可主要從四幾個方面進行簡化測評。

（1） 結(jié)構(gòu)安全。從SDN控制器可以收集各主要設(shè)備的運行狀態(tài)，包括CPU、內(nèi)存、磁盤等信息，從而查看設(shè)備是否具有冗余的業(yè)務(wù)處理能力；也可以查看整個網(wǎng)絡(luò)的帶寬使用情況；并且可以查看當(dāng)前的運行拓?fù)鋱D、各網(wǎng)段的劃分情況。

（2） 訪問控制。在傳統(tǒng)網(wǎng)絡(luò)中，訪問控制策略需結(jié)合各個邊界防護設(shè)備進行分析，而在SDN網(wǎng)絡(luò)中，安全策略統(tǒng)一由SDN控制器下發(fā)，因此，只需分析應(yīng)用層的相關(guān)指令，即可獲知全局范圍內(nèi)的安全策略，包括ACL、應(yīng)用層過濾、網(wǎng)絡(luò)連接數(shù)等。

（3） 邊界完整性檢查。SDN系統(tǒng)能夠檢驗網(wǎng)絡(luò)設(shè)備表單中的數(shù)據(jù)流是否違反控制器策略，因此，可以迅速查找出非授權(quán)設(shè)備私自連接到外部的行為，并及時阻斷。

（4） 高可用性。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，一旦某個節(jié)點出現(xiàn)故障，將花費較長的時間去診斷，而在SDN網(wǎng)絡(luò)中，則可以根據(jù)控制器的轉(zhuǎn)發(fā)表，核對每個節(jié)點經(jīng)過的流量，省去了登錄每臺設(shè)備檢查的過程，即使應(yīng)用崩潰，原有設(shè)備仍然可以繼續(xù)正常運行。

4 結(jié)束語

依照目前發(fā)展趨勢，SDN技術(shù)暫時不會完全代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)技術(shù)，目前支持SDN的主流協(xié)議僅有Openflow，且無法做到對全部現(xiàn)有的運維管理操作都兼容?，F(xiàn)階段能生產(chǎn)SDN產(chǎn)品的廠商也不是很多，都是處在研究和觀望狀態(tài)，極少數(shù)有成型的案例和解決方案，離大規(guī)模部署還有一定距離，用戶考慮到這種新興技術(shù)的穩(wěn)定性，也很難一下子接受這革命性的網(wǎng)絡(luò)技術(shù)。但傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)無法滿足如今的市場需求，且每年各單位將消耗大量的財力和人力在維護網(wǎng)絡(luò)上，SDN技術(shù)確實是未來網(wǎng)絡(luò)發(fā)展極好的一個方向，對等保測評也提供了便利性。隨著等級保護制度已進入2.0時代，對網(wǎng)絡(luò)的安全性、可用性、有效性也提出了更高的要求。將SDN技術(shù)應(yīng)用至下一代網(wǎng)絡(luò)，不僅可以進行差異化競爭，而且可以減少等保測評成本消耗，適應(yīng)高帶寬高速度且不斷變化的需求。

參考文獻

[1] 張瑋，王永博，王魯，等.軟件定義網(wǎng)絡(luò)的控制器研究綜述[J].山東科學(xué)， 2015，28（2）：93-100.

[2] 鄭毅，華一強，何曉峰. SDN的特征、發(fā)展現(xiàn)狀及趨勢[J].電信科學(xué)， 2013，29（9） ：102-107.

[3] 顏瀅釗.軟件定義網(wǎng)絡(luò)中控制層與基礎(chǔ)設(shè)備層間通信協(xié)議的研究[D].北京：北京郵電大學(xué)， 2015.

[4] 樓恒越，竇軍.一種針對基于OpenFlow的SDN網(wǎng)絡(luò)中控制層面的DoS攻擊研究[J].計算機科學(xué)， 2015，42（11A）：341-344.

[5] 連建. SDN應(yīng)用場景分析與探討[J].電信快報，2014（2）：30-32.endprint