基于SDN開源SaaS平臺網絡安全體系的架構與設計

賈如春 四川信息職業技術學院信息工程系

基于SDN開源SaaS平臺網絡安全體系的架構與設計

賈如春 四川信息職業技術學院信息工程系

隨著信息化的快速發展，滿足增強型網絡安全設計的需要越來越高，以軟件定義網絡(SDN)與開放SaaS平臺建設相結合，將數據平面與控制平面解耦合，重新設計系統體系結構，解決開放軟件即服務(SaaS)平臺下的網絡安全問題，高系統的安全性與開放性、構建滿足用戶個性化需求的網絡安全體系具有重要意義。

開源技術 軟件定義網絡 軟件即服務 網絡安全 體系結構

1 概述

SDN利用分層的思想將數據與控制相分離，在控制層，包括具有邏輯中心化和可編程的控制器，可掌握全局網絡信息，方便運營商和科研人員管理配置網絡和部署新協議等，在數據層，包括啞的(dumb)交換機(與傳統的二層交換機不同，專指用于轉發數據的設備)，交換機僅提供簡單的數據轉發功能，可以快速處理匹配的數據包，適應流量日益增長的需求。兩層之間采用開放的統一接口(如OpenFlow等)進行交互，控制器通過標準接口向交換機下發統一標準規則，交換機僅需按照這些規則執行相應的動作即可。因此，SDN技術能夠有效降低設備負載，協助網絡運營商更好地控制基礎設施，降低整體運營成本，成為最具前途的網絡技術之一。

2 SDN誕生發展的背景

隨著網絡的快速發展，傳統互聯網出現了如傳統網絡配置復雜度高等諸多問題，這些問題說明網絡架構需要革新，可編程網絡的相關研究為SDN的產生提供了可參考的理論依據。主動網絡允許數據包攜帶用戶程序，并能夠由網絡設備自動執行，用戶可以通過編程方式動態地配置網絡，達到了方便管理網絡的目的然而，4D架構將可編程的決策平面(即控制層)從數據平面分離，使控制平面邏輯中心化與自動化，其設計思想產生SDN控制器的雛形。

網絡抽象思想解耦了路徑依賴，成為數據控制分離且接口統一架構(即SDN)產生的決定因素。眾多標準化組織已經加入到SDN相關標準的制訂當中。專門負責訂制SDN接口標準的著名組織是開放網絡基金會(Open Networking Foundation，簡稱ONF)，該組織制訂OpenFlow協議業已成為SDN接口的主流標準，許多運營商和生產廠商根據該標準進行研發。同樣針對SDN的新方法和新應用等展開研究。標準化組織的跟進，促使了SDN市場的快速發展。

3 開源技術的軟件定義網絡安全體系設計

基于開源技術軟件定義網絡是一種新型網絡創新架構，其核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，為核心網絡及應用的創新提供了良好的平臺。ikuai路由器的設計上看，它由軟件控制和硬件數據通道組成。軟件控制包括管理(CLI，SNMP)以及路由協議(OSPF，ISIS，BGP)等。數據通道包括針對每個包的查詢、交換和緩存。基于網絡操作系統這個平臺，用戶可以開發各種應用程序，通過軟件來定義邏輯上的網絡拓撲，以滿足對網絡資源的不同需求，而無需關心底層網絡的物理拓撲結構。SDN提出控制層面的抽象，目前的MAC層和IP層能做到很好的抽象但是對于控制接口來說并沒有作用，我們以處理高復雜度（因為有太多的復雜功能加入到了體系結構當中，比如OSPF，BGP，組播，區分服務，流量工程，NAT，防火墻，MPLS，冗余層等等）的網絡拓撲、協議、算法和控制來讓網絡工作，我們完全可以對控制層進行簡單、正確的抽象。SDN給網絡設計規劃與管理提供了極大的靈活性，我們可以選擇集中式或是分布式的控制，對微量流（如校園網的流）或是聚合流（如主干網的流）進行轉發時的流表項匹配，可以選擇虛擬實現或是物理實現。

虛擬交換機組成的網絡，就是虛擬網絡(和物理網絡相比)，如圖1所示：綠色虛線內組成的就是一個虛擬網絡了。其虛擬機之間的信息交換都通過虛擬交換機。

圖1以上為全局的概念，OVS的內部組件從簡單來說，OVS由圖2中的三大部分構成。

圖2

4 SDN開源SaaS平臺網絡安全體系新進展

現有SDN技術發展過程，以網絡運營商與IT產業為主的ONF組織是主要的推動者，ONF不定期地發布技術報告與技術白皮書，制定相關的標準規范并進行組織測試。將SDN網絡架構劃分為應用層、控制層、基礎設施層，改變傳統網絡設備的轉發與控制層的行為。一方面來自通訊設備商和通訊服務運營商的配合，設備廠商和運營商希望利用SDN獲得API，讓網絡設備得以進行控制的特性，針對IDC和云端應用服務進行SDN網絡的部署，同時也在尋找SDN在云端網絡和通訊網路未來的應用發展方向，期望使用者得以獲得最佳服務層級的存取行為。

在云計算的IaaS領域，OpenStack，除了數據中心外甚至會成為運營商網絡開展NFV的操作系統選項。在管道和網絡領域，SDN也誕生了若干開源系統，有些瞄準主流，有些瞄準技術分支，比如OpenDaylight就是瞄準了SDN的控制器架構，向上可以募集APP開發者，向下可以將眾多網絡硬件廠商牢牢把控。

SDN全新的概念將對傳統網絡造成沖擊，現今網絡設備并不兼容于OpenFlow功能，所以未來將采取漸進式部署具有OpenFlow功能的設備，SDN使得數據控制相分離的網絡具有開放性和可編程性，科研人員及運營商可以通過PC機、手機、Web網頁或未來可能出現的各種途徑進行網絡部署，而部署工作也僅是應用軟件的簡單開發或配置，針對SDN并行架構的研究，是未來研究進展的重要趨勢之一。