◆王世玲 張江 謝敬銳 劉星程 丁偉峻

（云南省軍區(qū) 云南 650051）

1 研究背景

隨著企業(yè)規(guī)模的不斷擴大，企業(yè)網(wǎng)絡的管理及維護也更為復雜。和中小型企業(yè)相比，大型企業(yè)的內(nèi)網(wǎng)規(guī)模更大、結(jié)構(gòu)更復雜，對網(wǎng)絡效率和網(wǎng)絡安全的要求也更高。然而，當前多數(shù)大型企業(yè)的網(wǎng)絡管理，仍然處于一種局域網(wǎng)管理的傳統(tǒng)方式，網(wǎng)絡架構(gòu)和網(wǎng)絡安全管理的相對落后，已經(jīng)成為制約大型企業(yè)信息化建設(shè)與發(fā)展的瓶頸。

網(wǎng)絡虛擬化和軟件定義網(wǎng)絡技術(shù)（SDN，Software Defined Network）作為網(wǎng)絡技術(shù)發(fā)展的新方向，為突破簡單網(wǎng)絡管理的局限性提供了新思路和新方法。目前，使用虛擬化技術(shù)或軟件定義網(wǎng)絡技術(shù)構(gòu)建新型網(wǎng)絡架構(gòu)的案例已不斷涌現(xiàn)，隨著技術(shù)的不斷成熟，必將在各種規(guī)模的網(wǎng)絡建設(shè)中得到更多的應用。本文將虛擬化和軟件定義網(wǎng)絡技術(shù)綜合應用于大型企業(yè)專網(wǎng)的構(gòu)建和安全管理之中，并給出了詳細的構(gòu)建方案，為建立新型的大型企業(yè)專網(wǎng)提供了參考。

2 軟件定義網(wǎng)絡的技術(shù)架構(gòu)

圖1 軟件定義網(wǎng)絡架構(gòu)

軟件定義網(wǎng)絡是一種高度可控的網(wǎng)絡架構(gòu)（圖1），是互聯(lián)網(wǎng)技術(shù)下一步發(fā)展的一個重要方向，它的基本思想是將網(wǎng)絡控制與數(shù)據(jù)轉(zhuǎn)發(fā)功能相分離，從而使得整個網(wǎng)絡架構(gòu)具備邏輯集中控制、網(wǎng)絡管理簡化、增強網(wǎng)絡擴展性等特點。SDN 將網(wǎng)絡架構(gòu)分為三層：基礎(chǔ)設(shè)施層、應用層和控制層，其中最關(guān)鍵的是控制層。SDN 的控制層掌控著網(wǎng)絡的全局運行，可以對數(shù)據(jù)流進行直接管控?？刂茖舆€具備可編程性，從而使得網(wǎng)絡的可控性得到很大的提高。

SDN 的特點主要可以歸結(jié)為3 點：

（1）網(wǎng)絡控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離。SDN 將網(wǎng)絡中的控制層面和數(shù)據(jù)轉(zhuǎn)發(fā)層面徹底分離，避免了傳統(tǒng)網(wǎng)絡設(shè)備將網(wǎng)絡控制和數(shù)據(jù)轉(zhuǎn)發(fā)功能混合實現(xiàn)的弊端，降低了網(wǎng)絡運行對硬件設(shè)備的依賴性，提高了網(wǎng)絡管理的靈活性。

（2）集中控制。SDN 在邏輯上可以對網(wǎng)絡進行全局的集中控制。集中控制的優(yōu)勢在于：管理者可以將整個網(wǎng)絡當作一個單獨的設(shè)備一樣進行簡單維護，極大地降低了網(wǎng)絡管理的復雜性。

（3）網(wǎng)絡管理功能可編程。SDN 提供開放性的可編程接口，用戶可以自主研發(fā)新的網(wǎng)絡管理功能，從而更好地實現(xiàn)不同網(wǎng)絡環(huán)境的網(wǎng)絡管理要求。

3 基于虛擬化及SDN 的大型企業(yè)專網(wǎng)設(shè)計

3.1 需求分析

大型企業(yè)的內(nèi)網(wǎng)和中小企業(yè)內(nèi)網(wǎng)的主要區(qū)別在于規(guī)模更大、部門更多、管理更復雜，網(wǎng)絡規(guī)模有可能達到數(shù)十個部門和上千個節(jié)點，管理員既要保證網(wǎng)絡的高效運行，又要應對用戶數(shù)量過多帶來的安全威脅，所以設(shè)計新型的專網(wǎng)架構(gòu)至少要滿足兩方面的需求：網(wǎng)絡性能需求和網(wǎng)絡安全需求。

網(wǎng)絡性能方面，由于大型企業(yè)的部門和人員越來越多，網(wǎng)絡數(shù)據(jù)流量越來越大，傳統(tǒng)局域網(wǎng)的扁平化結(jié)構(gòu)勢必難以滿足日常業(yè)務對網(wǎng)絡性能的要求，這些問題傳統(tǒng)的VLAN 劃分技術(shù)已經(jīng)無從解決。因此，只有建立一個多層次、可分枝的新型網(wǎng)絡結(jié)構(gòu)，才能滿足多部門、多節(jié)點的網(wǎng)絡信息流高效傳輸。

網(wǎng)絡安全方面，當前的網(wǎng)絡攻擊防控措施大都基于傳統(tǒng)的網(wǎng)絡結(jié)構(gòu)，這樣的措施對于那些專門針對傳統(tǒng)架構(gòu)的攻擊行為則缺乏效用。而且傳統(tǒng)防控技術(shù)的側(cè)重點在于防范而非控制，在網(wǎng)絡已被攻破的情況下，缺乏對網(wǎng)絡進行調(diào)整的機制。所以，建立一個可以動態(tài)設(shè)置、并在被攻破的情況下動態(tài)改變拓撲的網(wǎng)絡結(jié)構(gòu)，可以同時解決上述兩個問題。

3.2 實現(xiàn)方案

根據(jù)上述需求，改進型企業(yè)專網(wǎng)設(shè)計的基本思想是利用虛擬化技術(shù)和SDN 技術(shù)的靈活性，構(gòu)建更為安全高效的網(wǎng)絡架構(gòu)。方案采用虛擬化技術(shù)將企業(yè)網(wǎng)絡及各種連接網(wǎng)絡的終端設(shè)備進行軟硬件資源整合，構(gòu)建出虛擬的網(wǎng)絡資源和硬件資源，從而可以從高層對網(wǎng)絡進行重新規(guī)劃和利用，提高各種資源的利用率。方案使用SDN 技術(shù)突破了傳統(tǒng)的網(wǎng)絡結(jié)構(gòu)，將網(wǎng)絡中的數(shù)據(jù)轉(zhuǎn)發(fā)和網(wǎng)絡控制層面相分解，從而可以通過集中控制，靈活地改變網(wǎng)絡的拓撲結(jié)構(gòu)?；谶@兩種技術(shù)，改進型企業(yè)專網(wǎng)的網(wǎng)絡結(jié)構(gòu)如圖2 所示。

圖2 改進型企業(yè)專網(wǎng)網(wǎng)絡結(jié)構(gòu)

從圖2 可看出兩種技術(shù)在新型網(wǎng)絡架構(gòu)中體現(xiàn)出的優(yōu)勢：

（1）虛擬化技術(shù)將企業(yè)網(wǎng)絡中的各種軟硬件資源整合并分層。各種網(wǎng)絡設(shè)備被劃入網(wǎng)絡傳輸層，構(gòu)成新型架構(gòu)中的硬件資源，企業(yè)現(xiàn)有的交換機只要支持OpenFlow協(xié)議都可以在網(wǎng)絡結(jié)構(gòu)升級時繼續(xù)沿用。運行SDN 控制功能的服務器及相關(guān)軟件被劃入網(wǎng)絡控制層。應用層為企業(yè)各部門和人員提供各種應用服務，同時也是網(wǎng)絡使用者和物理網(wǎng)絡之間的一個無縫接口，用戶在訪問應用時感知不到也無須了解實際的網(wǎng)絡結(jié)構(gòu)。

（2）SDN 技術(shù)為整個企業(yè)提供了安全、高效的網(wǎng)絡。圖2 的下三層與SDN 網(wǎng)絡架構(gòu)的分層相對應，SDN 技術(shù)的優(yōu)勢主要體現(xiàn)在網(wǎng)絡控制層的集中控制性和可編程性?？刂茖迂撠熅W(wǎng)絡狀態(tài)的管理和控制，一方面根據(jù)基礎(chǔ)設(shè)施層的信息對網(wǎng)絡資源做出動態(tài)規(guī)劃；另一方面通過實時監(jiān)控全網(wǎng)的狀態(tài)對網(wǎng)絡的拓撲結(jié)構(gòu)進行實時調(diào)整。例如在某條網(wǎng)絡路徑擁塞時可將該路徑斷開，重新規(guī)劃新的網(wǎng)絡路徑并生成拓撲。又例如發(fā)現(xiàn)某個網(wǎng)絡節(jié)點異常時可將該節(jié)點隔離，排除該節(jié)點故障后再重新加入網(wǎng)絡。

4 結(jié)語

本文根據(jù)大型企業(yè)在新形勢下對網(wǎng)絡性能和網(wǎng)絡安全的需求，采用虛擬化技術(shù)和SDN 技術(shù)提出了一種新型內(nèi)網(wǎng)構(gòu)建方案。方案的基本思想是利用虛擬化技術(shù)對企業(yè)的網(wǎng)絡設(shè)備和軟硬件資源進行重新整合和劃分，提高資源的利用率；使用SDN 技術(shù)實現(xiàn)網(wǎng)絡分層和拓撲控制，提高網(wǎng)絡的性能和安全性。本文提出的網(wǎng)絡構(gòu)建方案不僅順應了當前企業(yè)內(nèi)網(wǎng)安全管理的新要求，也為構(gòu)建新型辦公網(wǎng)絡提供了新思路，對于需要對內(nèi)網(wǎng)進行升級改造的企業(yè)具有一定的參考價值。