贾如春 四川信息职业技术学院信息工程系
基于SDN开源SaaS平台网络安全体系的架构与设计
贾如春 四川信息职业技术学院信息工程系
随着信息化的快速发展,满足增强型网络安全设计的需要越来越高,以软件定义网络(SDN)与开放SaaS平台建设相结合,将数据平面与控制平面解耦合,重新设计系统体系结构,解决开放软件即服务(SaaS)平台下的网络安全问题,高系统的安全性与开放性、构建满足用户个性化需求的网络安全体系具有重要意义。
开源技术 软件定义网络 软件即服务 网络安全 体系结构
SDN利用分层的思想将数据与控制相分离,在控制层,包括具有逻辑中心化和可编程的控制器,可掌握全局网络信息,方便运营商和科研人员管理配置网络和部署新协议等,在数据层,包括哑的(dumb)交换机(与传统的二层交换机不同,专指用于转发数据的设备),交换机仅提供简单的数据转发功能,可以快速处理匹配的数据包,适应流量日益增长的需求。两层之间采用开放的统一接口(如OpenFlow等)进行交互,控制器通过标准接口向交换机下发统一标准规则,交换机仅需按照这些规则执行相应的动作即可。因此,SDN技术能够有效降低设备负载,协助网络运营商更好地控制基础设施,降低整体运营成本,成为最具前途的网络技术之一。
随着网络的快速发展,传统互联网出现了如传统网络配置复杂度高等诸多问题,这些问题说明网络架构需要革新,可编程网络的相关研究为SDN的产生提供了可参考的理论依据。主动网络允许数据包携带用户程序,并能够由网络设备自动执行,用户可以通过编程方式动态地配置网络,达到了方便管理网络的目的然而,4D架构将可编程的决策平面(即控制层)从数据平面分离,使控制平面逻辑中心化与自动化,其设计思想产生SDN控制器的雏形。
网络抽象思想解耦了路径依赖,成为数据控制分离且接口统一架构(即SDN)产生的决定因素。众多标准化组织已经加入到SDN相关标准的制订当中。专门负责订制SDN接口标准的著名组织是开放网络基金会(Open Networking Foundation,简称ONF),该组织制订OpenFlow协议业已成为SDN接口的主流标准,许多运营商和生产厂商根据该标准进行研发。同样针对SDN的新方法和新应用等展开研究。标准化组织的跟进,促使了SDN市场的快速发展。
基于开源技术软件定义网络是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。ikuai路由器的设计上看,它由软件控制和硬件数据通道组成。软件控制包括管理(CLI,SNMP)以及路由协议(OSPF,ISIS,BGP)等。数据通道包括针对每个包的查询、交换和缓存。基于网络操作系统这个平台,用户可以开发各种应用程序,通过软件来定义逻辑上的网络拓扑,以满足对网络资源的不同需求,而无需关心底层网络的物理拓扑结构。SDN提出控制层面的抽象,目前的MAC层和IP层能做到很好的抽象但是对于控制接口来说并没有作用,我们以处理高复杂度(因为有太多的复杂功能加入到了体系结构当中,比如OSPF,BGP,组播,区分服务,流量工程,NAT,防火墙,MPLS,冗余层等等)的网络拓扑、协议、算法和控制来让网络工作,我们完全可以对控制层进行简单、正确的抽象。SDN给网络设计规划与管理提供了极大的灵活性,我们可以选择集中式或是分布式的控制,对微量流(如校园网的流)或是聚合流(如主干网的流)进行转发时的流表项匹配,可以选择虚拟实现或是物理实现。
虚拟交换机组成的网络,就是虚拟网络(和物理网络相比),如图1所示:绿色虚线内组成的就是一个虚拟网络了。其虚拟机之间的信息交换都通过虚拟交换机。
图1以上为全局的概念,OVS的内部组件从简单来说,OVS由图2中的三大部分构成。
图2
现有SDN技术发展过程,以网络运营商与IT产业为主的ONF组织是主要的推动者,ONF不定期地发布技术报告与技术白皮书,制定相关的标准规范并进行组织测试。将SDN网络架构划分为应用层、控制层、基础设施层,改变传统网络设备的转发与控制层的行为。一方面来自通讯设备商和通讯服务运营商的配合,设备厂商和运营商希望利用SDN获得API,让网络设备得以进行控制的特性,针对IDC和云端应用服务进行SDN网络的部署,同时也在寻找SDN在云端网络和通讯网路未来的应用发展方向,期望使用者得以获得最佳服务层级的存取行为。
在云计算的IaaS领域,OpenStack,除了数据中心外甚至会成为运营商网络开展NFV的操作系统选项。在管道和网络领域,SDN也诞生了若干开源系统,有些瞄准主流,有些瞄准技术分支,比如OpenDaylight就是瞄准了SDN的控制器架构,向上可以募集APP开发者,向下可以将众多网络硬件厂商牢牢把控。
SDN全新的概念将对传统网络造成冲击,现今网络设备并不兼容于OpenFlow功能,所以未来将采取渐进式部署具有OpenFlow功能的设备,SDN使得数据控制相分离的网络具有开放性和可编程性,科研人员及运营商可以通过PC机、手机、Web网页或未来可能出现的各种途径进行网络部署,而部署工作也仅是应用软件的简单开发或配置,针对SDN并行架构的研究,是未来研究进展的重要趋势之一。