智慧校园网络及安全的SDN架构选择研究

王兴文

[摘           要]  随着物联网、云计算、大数据、人工智能等新技术在智慧校园建设中的逐渐普及，传统的三层网络架构已不能满足高校智慧校园建设需求。使用软件定义网络（Software Defined Network，SDN）和虛拟扩展局域网（Virtual Extensible Local Area Network，VxLAN）技术对校园网进行设备整合，构建扁平化的二层网络架构，实现“接入控制、业务隔离、网随人动、融合安全”的一体化智能接入平台将成为高校校园网络的发展方向。在建设好基于SDN技术的智慧校园网络时，需要从边界安全、访问安全、数据安全等多个方面综合考虑，确保网络安全。

[关    键   词]  软件定义网络;虚拟扩展局域网;网络架构

[中图分类号]  TP393.18                    [文献标志码]  A              [文章编号]  2096-0603（2020）02-0224-02

在国家教育战略部署方向的指引下，物联网、云计算、大数据、人工智能等新技术在校园网中逐渐普及，智慧校园建设成为校园信息化发展中非常重要的一环。然而随着业务系统的逐渐增多，用户数量、VLAN和IP子网数量也在逐渐增大，网络扩展变得越来越困难，网络架构和设备配置逐步复杂化等问题也随之凸显，高校校园网中普遍采用“核心—汇聚—接入”的经典三层网络结构和传统运维模式已经无法满足管理和应用的需求。

智慧校园建设中，网络架构扁平化是目前校园网发展的主要趋势，基于SDN和OverLay技术来实现校园网扁平化架构是目前主流的技术路线，二层扁平化结构和SDN运行模式，可以实现对校园网设备的自动化管理、全面监控、故障自动化排除等，具有运维成本低、扩展灵活等多种优势，能更好地满足智慧校园建设的技术及安全管理需求。

一、SDN技术及实现方式

SDN（Software Defined Network）也叫软件定义网络。是由美国斯坦福大学CLean State课题研究组[1]提出的一种新型网络创新架构，其核心理念是将转发层和控制层分离，并可以通过软件编程及控制的方式定义和控制网络[2]。

（一）控制层

目前SDN的控制层平面技术有两种，第一种称为“强控”。是将所有网络设备的控制层全部进行上收，形成“最强大脑”，所有流量转发都需要经过“最强大脑”SDN控制器进行集中管控。其优点是硬件设备不需要运维，只需要将设备纳管至SDN控制器即可，所有流量转发路径均由SDN控制器统一管理，通过OpenFlow或Netconf协议进行流量路径下发，称为“引流”。但是，如果控制器一旦被黑客入侵或宕机，整个网络将会陷入瘫痪。

第二种称为“弱控”。即使用已有的路由协议进行邻居发现和关联。这种技术通过两种可扩展路由协议进行实现，第一是IS-IS模式，通过IS-IS的可扩展字段进行私有扩展，为私有协议;第二是BGP模式，虽然也进行可扩展字段扩展，但已经被标准化（标准化文档为：RFC7348、RFC7209、RFC7432）。

（二）转发层

SDN技术将所有网络设备的控制平面进行上收，设备只做转发，然而随之又出现了寻址问题——二层寻址广播域太大会影响到网络的稳定性，三层虽然可以隔离广播域，但又会遇到到三层IP寻址问题。

OverLay网络是一种网络叠加技术[3]，通过在原有物理网络中叠加多张逻辑网络——在转发层通过建立虚拟专网，能有效将不同业务网络进行隔离，增加网络容量的同时不扩大广播域，而网络IP地址不随地域的改变而改变。OverLay网络可以很好地解决SDN技术实现时转发层存在的问题。

二、智慧校园网络大二层的实现

目前，Overlay叠加技术实现模式有很多，网络部署中最常用到的有VxLAN、NVGRE、STT三种，而这三种中，VxLAN技术最适合在智慧校园网络中进行部署，不仅因为VxLAN具有传输速率快、有报文验证、不改变原有报文等特点，同时，VxLAN也具有好配置、易管理等优势，因此，VxLAN技术成为智慧校园网络及安全SDN架构转发层的优选。

从上图可以看出，VxLAN是将原有二层报文增加了VxLAN报文头，再行封装四层UDP头、IP头、Ethemet头后进行数据传输。VxLAN报文有四个字段，分别为VxLAN Flags、Group ID、VNI和Reserved。VxLAN Flags表示标记位，字段长度为8比特，取值为00001000时，表示VxLAN头中的VxLAN ID有效;取值为00000000时，表示VxLAN ID无效。VNI表示一个VxLAN网络，字段长度为24比特，用于区分不同的VxLAN，即VxLAN ID，在智慧校园网络中，一个VxLAN ID可以表示一个智慧校园业务，不同的业务通过不同的VxLAN ID进行区分隔离与互通。

由于VxLAN具有隧道特性[4]和分布式网关特性，可以使同一个网关IP地址在不同的地点出现，即在隧道两端使用同一个IP地址，这给整个网络进行扁平化改造提供了可能。虽然物理上还是三层架构，并未减少网络连接层次，但是在逻辑上，已经转化为只有业务控制层和接入层的二层网络架构。业务控制层主要功能为终端用户控制、访问控制、流量控制等;接入层主要提供用户接入、二层网络隔离和隧道建立。这种扁平化网络建成后，由于使用SDN控制器将整个网络配置进行集中管理，相较传统网络，能极大降低运维成本，提升运维效率。

三、基于SDN技术的网络安全实现

（一）边界安全实现

按照国家标准GBT22239-2019《网络安全等级保护基本要求》，对网络进行分区分域设置是基础工作。由于SDN技术将网络进行了扁平化，在设置网络区域时，也需要注意这一点，防止不同区域的业务划分到同一区域，导致出现安全隐患。

最佳的分区分域策略是按业务进行横向和纵向划分，比如将接入区横向分为“学生区、教师区、校领导区”等，而把不同系的教师则纵向划分在同一个域，通过横向和纵向的分区分域，对接入区的入网用户进行有效定义。

在数据中心区，最少需要划分对内云二级等保区、对内云三级等保业务区、对内三级等保数据区、对内裸金属三级等保业务区、对外二级等保区、对外三级等保区、大数据业务区等7个区域。不同区域之间除了使用SDN控制器进行访问控制外，还需要使用可以识别VxLAN报文的下一代防火墙进行区域间隔离，同时将IPS、AV、URL、行为管理的相关功能打开，从而进行报文识别。在进行低成本改造时，如果使用原有防火墙，则要确认防火墙放置在将VxLAN报文剥离后的区域，才能进行相关安全防护。

（二）访问安全实现

将所有业务及接入用户进行分区分域设置后，通过SDN控制器自带的网络准入认证、访问控制等功能即可实现访问控制。而对于入网终端的安全审计，则可以通过使用SDN控制器自带的主机审计软件或第三方主机审计软件进行，两者并无实际区别。

在用户访问基于Web的业务时，需要在此业务前部署相应的Web防火墙，防火墙可以使用旁挂模式部署，Web访问流量通过数据牵引或代理的方式进行防护，由于现阶段的Web防火墙不支持SDN技术，则需要将防火墙部署在Web业务所处的网段内，才能实现安全防护。

（三）数据安全实现

数据库审计设备一般部署在二级等保业务区、三级等保数据区和对外业务区，并不强调设备是否支持SDN技术，需要注意的是，不同等级数据区的数据库审计设备不能混用。

数据存储前需要进行数据加密，数据加密主要由业务软件或专门插件完成。在高校的智慧校园建设中，大数据业务日益增多，需要一整套适用于高校的数据加解密软件来保障数据安全。而使用插件的形式进行部署，可以减少部署和维护时的人力成本，为了便于密码和加密算法的管理，需要将加解密插件进行集中管理，另外，加解密中心服务器也需要使用等级保护三级及以上的防护措施进行安全防护。

（四）流量安全及关键业务保护实现

APT攻击，即高级可持续威胁攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动[5]。流量安全及关键业务保护主要任务是检测和防止APT攻击。APT攻击检测使用的是沙箱原理，将报文收集到沙箱后进行数据还原，并查看是否有攻击行为。但现阶段APT攻击检测设备还不能很好地支持VxLAN和SDN相關技术，需要在出口“进入OverLay网络前”部署APT攻击检测，而对于流量识别及应用保障，则可以使用专门进行协议分析的设备来完成。

（五）安全指挥实现

随着安全设备技术的发展和人们网络安全观念的不断深入，国家相关文件对网络安全要求也在不断提高，因此，高校智慧校园网络安全运维难度也在逐年增大，这是一个动态的、不断变化的过程，加之由于厂商壁垒的出现，学校要根据需求进行大量的定制化开发，投入的时间和人力等成本较高，因此，建议在进行深入分析和研判，形成全面可行的方案后，再进行安全指挥中心建设。

四、结束语

随着物联网、云计算、大数据、人工智能等新技术在智慧校园建设中的逐渐普及，校园网用户的业务需求呈现出多样化、灵活化、不确定性等特点，传统的三层网络架构已不能满足高校智慧校园建设需求。使用SDN和VxLAN技术对校园网进行设备整合，利用SDN网络控制与转发相分离的机制，构建扁平化的二层网络架构，实现“接入控制、业务隔离、网随人动、融合安全”的一体化智能接入平台将成为高校校园网络的发展方向。在建设好基于SDN技术的智慧校园网络时，需要从边界安全、访问安全、数据安全等多个方面综合考虑，确保网络安全。

参考文献：

[1]CleanSlateprogram[EB/OL].[2013-12-28]，http：//cleans-late.Stanford.edu/.

[2]郑毅，华一强，何晓峰.SDN的特征、发展现状及趋势[J].电信科学，2103，29（9）：102-107.

[3]吕忠亭，许小华，蒋远辉，刘洋.基于Overlay SDN的云数据中心网络虚拟化技术研究[J].电脑与信息技术，2019，27（5）：48-50.

[4]孙铭浩.VxLAN隧道的设计与实现[D].哈尔滨：哈尔滨工业大学，2014.

[5]张敬.APT攻击原理及防护技术研究[J].网络安全技术与应用，2019（4），16-18.

编辑 张 慧