基于超融合架构的网络安全虚拟仿真实验教学平台探索

周晓芬 郑孜 舒强 周宁羚 王凯睿 李杰



基于超融合架构的网络安全虚拟仿真实验教学平台探索

周晓芬 郑孜 舒强 周宁羚 王凯睿 李杰

国网江西省电力有限公司南昌供电分公司，江西 南昌 330069

网络安全教育是十分必要的，但安全类实验有一定风险。如果在真实网络中开展破坏性实验，会严重威胁实验设备的软硬件安全，且操作过程繁杂。因此，如何为学生提供便利可共享的实验环境成为学者们重点关注的课题。在此背景下，虚拟化技术应运而生。简要分析了网络安全虚拟仿真实验教学平台发展的现状，针对其管理难度大、扩展性不强等问题，提出了基于超融合架构的网络安全虚拟仿真实验教学平台发展建议，以期为相关工作提供参考。

超融合架构；网络安全；虚拟仿真；实验平台

引言

虚拟化技术的出现，为网络安全的实验教学提供了方案。采用超融合架构搭建的仿真实验教学平台，一方面省去了网络储存购置成本，保证实验设备安全，另一方面可以为学生提供多种实验操作环境，减少繁杂的操作程序。随着“互联网+教育”不断发展，学生能够自主学习，并能够将优质教学资源向社会共享，但当前面临的发展问题不容忽视，还需深入研究以期有效解决。

1 虚拟仿真实验教学平台发展中的不足

利用云计算技术建立的虚拟仿真网络安全实验系统，对网络安全的教学和研究起到了良好的推动作用，但仍存在一些不足[1]。一是扩展性不强。目前，大多实验平台中的云计算只能统一管理计算资源，而对于网络资源与储存资源却无能为力，这就使得实验平台的升级与扩容受限于正在应用的体系结构。二是效费比偏低。通过分析大量调查数据，不难发现搭建虚拟仿真实验平台时，储存设备的投资额占比为20%～40%，甚至更高，这就使得投资效费比在无形中降低。三是管理难度大。一台储存设备为多台计算机提供储存服务。一旦发生故障隐患，就将影响整个平台的运行，引发多米诺骨牌效应。

2 网络安全实验教学平台现状

网络安全虚拟仿真实验教学平台的发展既面临着机遇，又面临着挑战。

2.1 利用单机上的虚拟机开展实验

虚拟机技术是通过软件模拟硬件设备，在大型主机上为用户虚拟搭建出一套独立于实际硬件的操作环境[2]。虚拟机监视器的作用是管理上层运行，集中控制访问硬件设备。对于主机而言，虚拟机操作系统就是一个文件，因此在教学时可以确保为学生提供相同的实验操作环境，且不会影响PC的安全。虽然这项技术解决了学生多种系统安全操作的难题，但由于使用到还原卡，无法保存中间实验结果，退出后只能重新进行实验，更无法支持学生开展远程实验。

2.2 利用云计算技术建立网络安全虚拟仿真实验平台

将虚拟化技术与云计算技术相结合搭建起来的网络安全虚拟仿真实验平台，支持学生网络远程开展实验，实现了优质教学的资源共享。云计算虚拟化可以为相同模板的虚拟机建立统一快照，之后迅速回复初始状态，保留中间实验结果，大大提高了实验效率，有利于实验平台的管理与维护。但云计算扩展性不强，无法形成计算资源、网络资源与储存资源的统一资源池，这就为基于云计算和虚拟化技术建立的实验平台的后续升级带来了挑战[3]。云计算环境主要涉及服务器、存储设备以及网络安全设备等，其中服务器存储设备一般采用NAS或SAN。NAS是将存储设备通过网络连接到服务器，多适用于文件类，灵活性高且成本低，但受限于网速；SAN通过光纤连接，性能好，但成本较高，受限于网络交换机的性能。

2.3 超融合架构

传统的虚拟化技术主要应用在大型机上，IO技术出现后推动了虚拟技术的快速发展。超融合架构思想正来源于大型互联网公司，在云计算环境中，它支持在同一套单元设备中同时提供计算、网络与储存资源的池化管理[4]。分布式储存与共享的设计理念使得单元设备之间避免了服务器与存储设备的重度耦合，省去了部分网络储存购置成本。因此，采用超融合架构可以有效解决虚拟仿真实验教学平台扩展性不强、管理难度大以及效费比高的问题，符合时代背景与平台发展要求。

3 基于超融合架构的实验平台建设方案

在虚拟化技术与云计算技术不能适应网络安全虚拟仿真实验教学平台发展的当下，超融合架构应运而生。为使其真正应用于实践中解决平台发展难题，现提出以下几点建议。

3.1 教学平台硬件结构

基于超融合架构的网络攻防实验教学平台是光纤交换机或万兆交换机与超融合架构服务器连接。防火墙支持用户连接到教学平台，且作为防护设备的防火墙可替代。在具体运作过程中，服务器既保存了操作系统与漏洞防护操作系统的镜像文件，又储存了攻击软件的镜像，利用这些数据可以创建出虚拟教学场景。

3.2 实验平台系统架构

超融合架构实验教学平台的体系结构是利用KVM与Open stack 软件搭建的。一是KVM和分布式储存系统。在虚拟环境下通过KVM扩展模块实现分布式储存，这是实现超融合架构的基础。二是Open Switch。它是一个虚拟交换机，用于虚拟攻击机与靶机的通信；三是QEMU。它是一种快速指令集层虚拟机，支持整个系统的模拟工作，为学生提供虚拟攻击机与靶机，有利于提高系统性能。四是SPICE，它支持远程访问虚拟化桌面，能够实现服务器与浏览器的双向通信。五是Nova与Glance，用来提供实时所需镜像。六是利用PHP开发，学生访问Web平台进行实验的同时利用MySQL储存学生与实验基本信息，例如学生信息、成绩管理、虚拟化管理及靶场管理等模块。

3.3 实验平台维护与实验过程

管理员维护需要用的镜像会在储存池中存储多份。管理员添加实验内容，关联相关镜像与资料信息，实时监控学生的学习情况，在靶机镜像文件中设置Flag，Web平台根据学生所提交的内容评判是否得分。

4 结语

本文简要分析了网络安全虚拟仿真实验教学平台发展的现状，针对其管理难度大、扩展性不强等问题，提出了基于超融合架构的网络安全虚拟仿真实验教学平台发展建议。上述策略可以有效降低存储设备购置成本，提高平台运行与维护效率，方便教学资源共享，具有良好的应用前景，期望能为相关工作提供参考。

[1]底晓强，张宇昕，赵建平. 基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J]. 实验技术与管理，2015，32（4）：147-151.

[2]贺惠萍，荣彦，张兰. 虚拟机软件在网络安全教学中的应用[J]. 实验技术与管理，2011，28（12）：112-115.

[3]李贺华. 基于云计算机系统的实训平台研究与实现[J]. 实验技术与管理，2015，32（3）：157-160.

[4]底晓强，韩登，赵建平，等. 基于超融合架构的网络安全虚拟仿真实验教学平台探索[J]. 实验室研究与探索，2017，36（10）：195-198.

Exploration of Virtual Simulation Experiment Teaching Platform for Network Security Based on Super Fusion Architecture

Zhou Xiaofen Zheng Zi Shu Qiang Zhou Ningling Wang Kairui Li Jie

State Grid Jiangxi Electric Power Co., Ltd., Nanchang Power Supply Branch, Jiangxi Nanchang 330069

The network security education is very necessary, but the security class experiment has some risks. If the destructive experiment is carried out in the real network, it will seriously threaten the security of the hardware and software of the experimental equipment, and the operation process is complicated. Therefore, how to provide convenient and shared experimental environment for students has become a hot topic for scholars. In this context, the virtualization technology came into being. In the paper, the development of virtual simulation experiment teaching platform for network security is briefly analyzed. In view of the problems of difficult management and poor expansibility, the development proposal of virtual simulation experiment teaching platform for network security based on hyper fusion architecture is proposed in order to provide reference for the related work.

super fusion architecture; network security; virtual simulation; experimental platform

G434；TP393.0

A