SDN技术及其在等级保护体系中的应用

2018-01-20 13:22周嵩岑李曦
网络空间安全 2017年12期
关键词:软件定义网络

周嵩岑+李曦

摘 要:云计算、物联网以及大数据的时代已经到来,传统的底层网络架构已经无法满足未来的业务需求。实际上,各单位企业组建的等级保护网络环境问题层出不穷,网络设备配置繁杂、迭代缓慢、缺乏集中式统一管理,从而使得日常业务维护更新效率变低,对等级保护测评工作也带来了一定的影响。近几年新兴起的SDN技术则较好地解决了传统网络架构的弊端,极大地简化了运营成本和运维效率,也提高了等级测评的效率。论文根据SDN技术的特点,从网络架构、关键技术、价值意义等方面进行了要点分析。

关键词:软件定义网络;集中管控;等级保护测评

中图分类号: TP393 文献标识码:A

SDN Technology and Its Application in Classified Protection Evaluation

Zhou Song Cen, Li Xi

(The Third Research Institute of Ministry of Public security, Shanghai Engineering Research Center of Cyber and Information Security Evaluation, Shanghai 200031)

Abstract: With the advent of cloud computing, IOT and big data, traditional underlying network framework has been unable to meet futural business needs. In fact, problems in classification protection network environment emerge in endlessly, such as complicated configuration, slow update, and lack of centralized and unified management. It makes daily maintenance and classification protection evaluation inefficient. In recent years, burgeoning SDN technology has overcome the disadvantages of traditional network framework, simplified operating cost and raised maintenance efficiency. According to the characteristics of SDN technology, this paper analyzes the key points from the aspects of network framework, key technology and value.

Key words: Software Defined Network; Centralized Management and Control; Classified Protection Evaluation

1 引言

傳统网络已经发展了近半个世纪,且从一开始就是分散的网络,通常由不同品牌或不同型号的网络设备组成,部署方式、配置命令各不相同,网路中的各个设备之间通过路由表信息等学习可达信息,且如何转发或转发何种信息都是由设备自己决定,没有中心的控制点,缺乏统一部署的概念,无法从整体的角度去调度流量。随着云计算、大数据等新兴技术的崛起,传统网络的特点已经不适用于大业务的需求,于是SDN技术横空出世。SDN(Software Defined Network),即软件定义网络,近年来受到持续的关注。短短几年,SDN这个从美国斯坦福大学实验室研究项目中诞生的产物,已经成为全球瞩目的网络技术热点[1]。SDN已经公认为是下一代互联网重点发展的趋势之一,且越来越多的知名厂商将SDN技术投入至实际应用中,这标志着SDN已进入商用化阶段。国内各大厂商也纷纷发布SDN战略和解决方案,并相继推出商业化产品以适应SDN迅速发展的浪潮。因此,业界都将其视为颠覆传统网络的革命性的技术。

2 基于SDN技术的网络架构及其关键技术

SDN是一种新型的网络技术,与传统网络架构有着明显的区别,如图1所示,SDN通常由应用层、控制层、基础设施层组成。应用层包含了不同的业务和应用,由软件组成,具有可编程性,可执行特定的网络算法,经过API接口可转换成对应的控制命令下发至网络设备;中间层包含了OpenFlow控制器,即可为上层应用程序提供开放接口,又可与底层设备进行会话互动,主要用于处理数据,维护网络拓扑、状态信息等;基础设施层主要由支持 OpenFlow协议的SDN交换机组成,主要负责基于流表的数据处理、转发和状态收集[2]。

SDN通过OpenFlow协议,将网络的控制平面与数据转发平面相分离,以软件的方式实现对底层硬件的集中控制,从而可以对网络资源进行灵活的调度和分配。SDN实现控制与转发分离的基础就是OpenFlow协议,也是关键技术所在,是SDN体系结构中控制和转发层之间定义的第一个标准化通信接口[3]。流表是维持网络设备正常运行的基础,数据的转发路径取决于流表;流表又可以在控制器上产生,并由控制器进行管理。通常,流表不仅包含了IP协议常见的元素,还包含了具有执行动作的特定规则。

在传统网络中,控制平面通常由特定的网络设备所指定,而SDN网络中,则不依赖具体的设备。控制平面和数据转发平面分离的好处在于,网络上的信息都集中到一个核心控制器上,控制器可针对特定网络信息进行编程,并调用通用API接口,直接对整理网络进行调度,而控制程序则支持多种脚本语言,可移植性较强。全局状态信息可在控制器上获取,计算出任意节点间的路由信息之后,再通过OpenFlow协议控制转发路径,就可以在任意网络节点接入,省去了在基础设备上操作的繁琐。这种开放性的架构,可以不再局限于各厂家设备的封闭性,彻底脱离传统硬件的束缚。endprint

3 SDN技术的价值意义

3.1 SDN的意义

现阶段,部署一个传统的网络架构,需要不同的网络设备和安全设备,这些设备还必须支持OSPF、ISIS、STP、BGP、组播等多种协议,而这些协议需要在网络设备上的配置过程较为复杂,一旦网络环境出现故障,或部署新设备,都需要重新配置,并且不同软件版本配置方法也有所不同,要在短时间内解决需要消耗大量的时间和人力。

而利用SDN,可以从一个逻辑点上控制整个网络,不再受限于厂商,可以有效地简化网络维护和运营。网络设备也不需要配置复杂的网络协议,只需要从SDN控制器动态接收指令[4]。更重要的是,网络运维人员不用再去面对多至上百台的设备,不需要去处理大量的网络协议,而只要通过简单的应用编程即可达到控制整体网络的目的。由于SDN控制器的集中智能管控性,可以灵活地配置和管理安全策略,实时地改变网络状态,且优化网络资源,在短时间内就可以部署新的业务环境,设计和调试周期明显缩短。

基于SDN的特性,SDN大多可应用于电信运营商、大型企业、数据中心服务商以及互联网公司等场景[5]。基于OpenFlow的SDN已经渐渐被大众所接受,相比传统网络,它给企业及运营商带来的好处有显而易见,包括四个方面:(1)可集中管理和控制不同厂商的网络设备,剔除各厂家硬件的差异性;(2)加快网络部署周期,减少大量重复性调试工作;(3)上层应用可编程灵活性较高,可摆脱大量复杂的网络协议;(4)通过集中式的部署和管理,策略配置错误的几率减少,网络更可靠和安全。

3.2 SDN在等级保护体系中的应用

在现有的等保测评网络环境中,通常首先是抽查所需要的网络和安全设备,然后登录所抽查的设备,对其配置进行逐一检查,结合各设备的配置再对全局各项指标进行统一分析。但在SDN网络中,就不必登录每一台设备,只需要在SDN控制器上即可查看网络状态、数据流向、安全策略、带宽信息等。通过SDN的技术特点,可主要从四几个方面进行简化测评。

(1) 结构安全。从SDN控制器可以收集各主要设备的运行状态,包括CPU、内存、磁盘等信息,从而查看设备是否具有冗余的业务处理能力;也可以查看整个网络的带宽使用情况;并且可以查看当前的运行拓扑图、各网段的划分情况。

(2) 访问控制。在传统网络中,访问控制策略需结合各个边界防护设备进行分析,而在SDN网络中,安全策略统一由SDN控制器下发,因此,只需分析应用层的相关指令,即可获知全局范围内的安全策略,包括ACL、应用层过滤、网络连接数等。

(3) 边界完整性检查。SDN系统能够检验网络设备表单中的数据流是否违反控制器策略,因此,可以迅速查找出非授权设备私自连接到外部的行为,并及时阻断。

(4) 高可用性。传统网络环境下,一旦某个节点出现故障,将花费较长的时间去诊断,而在SDN网络中,则可以根据控制器的转发表,核对每个节点经过的流量,省去了登录每台设备检查的过程,即使应用崩溃,原有设备仍然可以继续正常运行。

4 结束语

依照目前发展趋势,SDN技术暂时不会完全代替传统网络技术,目前支持SDN的主流协议仅有Openflow,且无法做到对全部现有的运维管理操作都兼容。现阶段能生产SDN产品的厂商也不是很多,都是处在研究和观望状态,极少数有成型的案例和解决方案,离大规模部署还有一定距离,用户考虑到这种新兴技术的稳定性,也很难一下子接受这革命性的网络技术。但传统的网络结构已经无法满足如今的市场需求,且每年各单位将消耗大量的财力和人力在维护网络上,SDN技术确实是未来网络发展极好的一个方向,对等保测评也提供了便利性。随着等级保护制度已进入2.0时代,对网络的安全性、可用性、有效性也提出了更高的要求。将SDN技术应用至下一代网络,不仅可以进行差异化竞争,而且可以减少等保測评成本消耗,适应高带宽高速度且不断变化的需求。

参考文献

[1] 张玮,王永博,王鲁,等.软件定义网络的控制器研究综述[J].山东科学, 2015,28(2):93-100.

[2] 郑毅,华一强,何晓峰. SDN的特征、发展现状及趋势[J].电信科学, 2013,29(9) :102-107.

[3] 颜滢钊.软件定义网络中控制层与基础设备层间通信协议的研究[D].北京:北京邮电大学, 2015.

[4] 楼恒越,窦军.一种针对基于OpenFlow的SDN网络中控制层面的DoS攻击研究[J].计算机科学, 2015,42(11A):341-344.

[5] 连建. SDN应用场景分析与探讨[J].电信快报,2014(2):30-32.endprint

猜你喜欢
软件定义网络
面向未来的传输综合网管系统演进研究
基于队列树的SDN控制器高效消息处理机制
中国联通SDN的思考和应用实例
业务功能链技术及其应用探析
针对大规模软件定义网络的子域划分及控制器部署方法
一种新的SDN架构下端到端网络主动测量机制
超高吞吐率Wi—Fi融合应用新技术分析