基于超融合架構的網絡安全虛擬仿真實驗教學平臺探索

底曉強，韓 登，楊凌翔，趙建平，楊華民，祁 暉

(1.長春理工大學 計算機科學技術學院，長春 130022; 2.吉林省教育考試院，長春 130022)

基于超融合架構的網絡安全虛擬仿真實驗教學平臺探索

底曉強1，韓 登2，楊凌翔1，趙建平1，楊華民1，祁 暉1

(1.長春理工大學 計算機科學技術學院，長春 130022; 2.吉林省教育考試院，長春 130022)

分析了網絡安全虛擬仿真實驗教學平臺的發展現狀，針對利用云計算技術和虛擬化技術建立的平臺投資效費比偏低、管理難度大和擴展性不強的問題，給出了基于超融合架構建立網絡安全虛擬仿真實驗教學平臺的硬件結構和系統架構，以實現云計算、網絡和存儲資源的統一管理。在開源虛擬化軟件的基礎上，開發基于Web的網絡安全虛擬仿真實驗教學應用，允許學生通過瀏覽器隨時隨地訪問平臺中提供的虛擬攻擊機和虛擬靶機開展實驗。采用超融合架構搭建的實驗教學平臺不但省去了網絡存儲的購置成本，還可以通過增加X86服務器的數量水平擴展平臺的服務能力，并可以有效的降低后期管理和維護的成本。

虛擬仿真； 實驗平臺； 網絡安全； 超融合架構

0 引 言

網絡安全[1]的教學內容實踐性強，IT技術發展日新月異，安全知識更新速度快，如何為學生提供便利可共享的實驗環境成為企業界、學術界和教育界普遍關注的熱點。安全類實驗本身具有一定的風險，如果在真實網絡中開展病毒注入和網絡攻擊等破壞性實驗，會嚴重威脅實驗室中的硬件安全、軟件安全和管理安全，而且在實驗環節還需要多種操作系統和網絡環境。虛擬化技術的出現，為開展網絡安全實驗提供了解決方案，在虛擬機中開展網絡安全實驗，不但可以為學生提供多種操作系統環境，還不會影響物理主機的安全。隨著云技術的發展，在云計算環境下建立的網絡安全實驗教學系統，支持學生通過網絡遠程學習，實現了學生隨時隨地的自主學習，并能向社會開放共享優質的教學資源。

利用云計算技術建立的虛擬仿真網絡安全實驗系統[2]，對網絡安全的教學和研究起到了良好的推動作用，但是仍然存在一些不足：

(1) 擴展性不強。其主要原因是目前云計算無法做到對計算資源、網絡資源和存儲資源的統一管理，大部分的實驗平臺只能對計算資源統一管理，這就導致實驗平臺的升級和擴容受限于所采用的網絡連接設備和存儲設備的體系結構。

(2) 效費比偏低。據統計，在搭建虛擬仿真實驗平臺時，存儲設備投資在硬件投入中占比一般在20%～40%，甚至更高，這無形中降低了投資的效費比。

(3) 管理難度大。一般情況下一臺存儲設備會為多臺計算節點提供存儲服務，存在著單點故障隱患，一旦設備損壞，將影響整個實驗平臺的運行。

超融合架構(Hyper-Converaged Infrastructure)的思想來源于Google和Facebook等大型互聯網公司數據中心運維的大規模基礎架構實踐，云計算環境中，它支持在同一套單元設備(X86服務器)中同時提供計算、網絡和存儲資源的池化管理。單元設備之間使用低延遲萬兆銅纜或光纖互聯，避免了服務器和存儲設備的重度耦合，省去了部署專用存儲設備的成本。因此，采用超融合架構可以建立擴展性強、可靠性高、易管理和低成本的網絡安全實驗教學平臺。

1 網絡安全實驗教學平臺現狀

1.1利用單機上的虛擬機開展實驗

虛擬機技術[3]是通過軟件模擬硬件設備，在大型主機上為每個用戶虛擬出一套獨立于實際硬件的虛擬硬件環境。虛擬機監視器VMM[4](Virtual Machine Monitor)的作用是管理上層運行的虛擬機，集中控制其對硬件設備的訪問。隨著虛擬化技術的不斷發展和進步，虛擬化軟件允許用戶在一臺普通PC上安裝多個虛擬機開展安全實驗，如圖1所示。

對于主機而言，虛擬機系統就是一個操作系統文件，因此在實驗室中利用硬盤保護還原卡可以確保每次上課都為學生提供相同的實驗操作環境，而且不會影響到PC的安全，可以方便的開展安全類實驗。雖然虛擬機技術解決了利用PC在實驗室中為學生提供多種操作系統環境開展安全實驗的問題，但由于其使用還原卡，無法保存學生實驗的中間結果，這意味著如果實驗沒有完成，下次實驗只能重新開始。如果要新增虛擬機靶機和虛擬攻擊機[5]，都要通過還原卡將它們的鏡像重新分發到學生的實驗主機上，維護工作量較大，無法支持學生遠程開展實驗。

圖1 在PC上開展網絡安全實驗示意圖

1.2利用云計算技術建立網絡安全虛擬仿真實驗平臺

采用云計算[6]和虛擬化技術建立的網絡安全虛擬仿真實驗平臺，允許學生通過網絡遠程開展遠程實驗，有利于優質教學資源的共享。云計算虛擬化[7]可以實現為相同模板的虛擬機建立統一的快照，創建各個虛擬機的還原點，能快速恢復初始狀態，方便學生保存中間結果和還原實驗現場，有效的提高了實驗效率，也方便了實驗教師管理和維護實驗平臺。但由于云計算中存儲資源與計算資源和網絡資源是硬耦合的關系，無法實現水平擴展，形成三者統一的資源池，這為基于云計算和虛擬化技術建立的實驗平臺[8]的后續升級帶來了挑戰。

云計算環境[9]涉及的硬件主要包括服務器、存儲設備、網絡連接設備和網絡安全設備[10]，其中服務器作為計算機節點，存儲設備一般采用網絡附加存儲NAS(Network Attached Storage)或存儲區域網絡SAN(Storage Area Network)，服務器與存儲設備關系如圖2所示。NAS是將存儲設備通過網絡連接到服務器上，服務器通過TCP/IP協議訪問NAS上的數據；SAN一般采用光纖交換機連接存儲陣列和服務器，服務器通過專用光纖通道交換機訪問數據。NAS多適用于文件服務器，部署靈活，成本低，但受限于以太網的速度；SAN主要有基于光纖通道的FC SAN和基于以太網的IP SAN。FC SAN通過光纖交換機連接到HBA卡，所有連接到光纖交換機的服務器都可以訪問這個存儲，它的技術成熟，性能較好，但成本高、部署復雜，橫向擴充困難；IP SAN通過標準以太網連接到服務器，因此會受限于網絡交換機的性能。

圖2 服務器與存儲設備關系示意圖

為了構建多樣性的網絡安全虛擬仿真實驗環境，實驗平臺上將運行大量的虛擬機，但不論采用SAN還是NAS，當同時啟動的虛擬機數量達到一定規模時，由于磁盤IO的急劇增長，會出現“啟動風暴”，還會導致系統響應緩慢，不利于大規模的共享網絡安全虛擬仿真教學資源。在開展實驗之前，管理員先根據網絡安全實驗的要求制作安裝了攻防軟件的虛擬機鏡像。然后維護云存儲中的虛擬靶機和虛擬攻擊機鏡像文件庫[11]。局域網用戶通過遠程桌面可以直接連接到實驗平臺；互聯網用戶通過VPN訪問實驗平臺。學生根據實驗類別，選擇相應的虛擬攻擊機鏡像文件和虛擬靶機鏡像文件，在自己所屬磁盤空間內創建虛擬攻擊機實例和虛擬靶機實例開展實驗。

2 超融合架構

傳統虛擬化技術[12]主要應用在大型機上，X86架構下的虛擬化技術在INTEL和AMD推出了基于硬件的虛擬內存管理、IO虛擬化等技術后，能有效提升X86架構下VMM的執行效率，推動了X86架構下虛擬化技術的快速發展。超融合架構的思想來源于大型互聯網公司數據中心運維的實踐，Nutanix等存儲初創廠商將其應用于計算和存儲相融合的虛擬化環境，為企業客戶提供基于X86硬件平臺的計算存儲融合產品或解決方案。超融合架構在計算節點VMM層和物理存儲層之間添加了一個分布式存儲管理層，能將各物理節點的存儲資源抽象整合，并留出上層VMM的管理接口，實現了存儲資源統一管理，統一分配，形成計算、網絡、存儲三者統一的資源管理模式。

超融合架構如圖3所示，它采用分布式存儲和無共享的設計理念，多臺X86服務器節點通過高速網絡互聯，要提升實驗平臺的服務能力，可以水平方向接入新的服務器，實現線性聚合和無縫的橫向擴展。服務器節點既是計算節點，又是存儲節點，因此采用超融合架構搭建實驗平臺時不但可以省去價格高昂的存儲設備，而且平臺易于管理、維護和擴展。

圖3 超融合架構示意圖

3 基于超融合架構的實驗平臺建設方案

3.1教學平臺硬件結構

本文設計的基于超融合架構的網絡攻防實驗教學平臺拓撲結構如圖4所示。其中光纖交換機或萬兆交換機與超融合架構中的n臺X86服務器相連接。具有VPN功能的防火墻可以支持互聯網用戶和局域網用戶連接到該教學平臺，防火墻并不是不可替代的網絡防護設備，也可以使用其他的網絡防護設備。在超融合架構里，這n臺服務器不僅保存了具有操作系統漏洞和應用程序漏洞的操作系統鏡像文件，而且還存儲著已安裝攻擊工具的操作系統鏡像文件，利用這些鏡像文件可以創建出虛擬攻擊機和虛擬靶機。

圖4 超融合架構教學平臺的硬件結構

3.2實驗平臺系統架構

超融合架構實驗教學平臺的體系結構如圖5所示，它是利用開源虛擬化軟件KVM和云計算軟件Openstack搭建,主要包括如下部分：

(1) KVM和分布式存儲系統，KVM是一個Linux內核模塊實現，在虛擬環境下Linux內核集成管理程序將其作為一個可加載的模塊，使用KVM來實現計算資源的管理，KVM通過加載kvm.ko內核模塊將Linux內核轉換為一個VMM。通過KVM的擴展模塊來實現分布式存儲，這也是實現超融合架構的基礎。

(2) Open vSwitch是一個可以運行在KVM虛擬化平臺上的虛擬交換機，它是由Nicira Networks開發的開源軟件，主要用于虛擬攻擊機和虛擬靶機間的通信和實現VM與外網的通信。

(3) QEMU通過軟件仿真X86平臺處理器的取指、解碼和執行，它是一種用動態翻譯技術實現的快速指令集層虛擬機，支持整個計算機系統的模擬。QEMU-KVM是用硬件虛擬化技術[13]代替了QEMU的動態翻譯技術，實現了虛擬機操作系統代碼直接由硬件處理，從而提高了VM系統性能。本方案中使用QEMU-KVM和Libvirt實現虛擬機的管理和調度，通過它為學生提供虛擬攻擊機和虛擬靶機[14]。

(4) 為了允許學生使用瀏覽器訪問虛擬機，在Openstack中啟用支持遠程訪問虛擬化桌面的獨立計算環境簡單協議SPICE(Simple Protocol for Independent Computing Environment)，同時在nova中配置nova-vncproxy，實現虛擬機的VNC (Virtual Network Computer)代理服務器與瀏覽器雙向通信的Web Socket，以支持虛擬機訪問的Web化。

(5) 用Nova調派資源實例化虛擬機，用Glance提供虛擬機實例化時需要的鏡像。

(6) 網絡安全虛擬仿真Web平臺[15]利用PHP開發，使用Mysql儲存學生和實驗題目等信息，主要包括場景管理、實驗題目管理、學生管理、靶場管理、靶場比賽、對抗比賽、成績管理、系統監控、成績瀏覽、靶場實戰、 網絡拓撲管理、虛擬化管理、虛擬機管理和計算節點配置等功能模塊。學生使用瀏覽器訪問Web平臺進行實驗。圖5所示為超融合架構實驗教學平臺的體系結構。

圖5 超融合架構實驗教學平臺的體系結構

3.3實驗平臺維護和實驗過程

管理員維護學生開展實驗室需要用的虛擬機鏡像，包括安裝了攻擊工具的虛擬攻擊機鏡像和設置了安全漏洞的虛擬靶機鏡像，這些鏡像文件在存儲池中會存儲多份。在靶機鏡像文件中設置Flag文件，學生攻破靶機讀取Flag文件后，向Web平臺提交Flag文件的內容，Web平臺根據Flag正確與否判別學生是否得分。管理員添加實驗內容，關聯實驗所要用到的虛擬機鏡像，維護院系班級組織機構和學生的賬號信息。查詢學生的實驗成績、排名和學生提交的答案，在實驗進行過程中，管理員可以實時監控學生的攻擊操作。

學生利用支持HTML5的瀏覽器訪問實驗平臺首頁，用管理員為自己分配的賬號信息登錄到平臺系統中。選擇實驗題目后，查看實驗要求和實驗指導書后，點擊虛擬機鏈接就可以直接在瀏覽器中啟動QEMU虛擬機。攻擊機中已經內置了各種攻擊工具，通過掃描靶機發現其漏洞，利用漏洞攻破靶機后，取得Flag文件，向平臺提交Flag文件內容，平臺的評分系統自動判別學生是否成功完成實驗。

4 結 語

本文回顧了網絡安全實驗教學技術從單機虛擬機到云計算技術的發展過程，分析了基于虛擬機技術和基于云計算技術建立的實驗平臺的不足[16]，提出了基于超融合架構云計算的網絡安全實驗教學實驗平臺的建設方案，該方案省去了傳統實驗平臺建設的存儲設備，顯著降低了建設成本，利用Web平臺提供實驗環境，方便實驗資源的共享，所采用的超融合架構便于實驗平臺的維護和管理，尤其是在技術上支持線性擴展，不但在網絡安全實驗教學方面具有較好的應用前景，對于虛擬仿真教學實驗平臺的建設，也具有較好的參考借鑒作用。

[1] 張煥國, 韓文報, 來學嘉,等.網絡空間安全綜述[J].中國科學:信息科學, 2016, 46(2):125-164.

[2] 底曉強,張宇昕,趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].實驗技術與管理,2015,32(4):147-151.

[3] 賀惠萍,榮 彥,張 蘭.虛擬機軟件在網絡安全教學中的應用[J].實驗技術與管理,2011,28(12):112-115.

[4] 李馥娟.虛擬機技術在復雜網絡實驗中的應用[J].實驗技術與管理, 2009, 26(12):79-83.

[5] 王瑞錦, 周世杰, 秦志光,等.基于虛擬化技術的信息安全實驗教學體系建設[J].實驗科學與技術, 2015,13(4):40-43.

[6] 康 辰, 朱志祥.基于云計算技術的網絡攻防實驗平臺[J].西安郵電大學學報, 2013, 18(3):87-91.

[7] 易 濤.云計算虛擬化安全技術研究[J].信息安全與通信保密, 2012(5):63-65.

[8] 李賀華.基于云計算機系統的實訓平臺研究與實現[J].實驗技術與管理, 2015, 32(3):157-160.

[9] 林瑜華.云計算環境下高校實驗教學模式的創新與實踐[J].實驗室研究與探索, 2011(8):284-287.

[10] 于 偉, 叢 欣.云計算和虛擬化網絡硬件平臺解決方案[J].信息安全與通信保密, 2010(4):36-37.

[11] 廖建博,張 韜,唐紅英,等.網絡安全競賽平臺設計[J].網絡空間安全,2016,7(5):83-85.

[12] 馬李翠, 黎妹紅, 柳賢洙.基于云的信息安全攻防實踐及競賽平臺開發[J].實驗技術與管理,2016,33(4): 138-142.

[13] 付 偉, 嚴 博, 吳曉平,等.云計算實驗平臺建設關鍵技術研究[J].實驗室研究與探索, 2013, 32(11):78-81.

[14] 向陽霞, 向校萱.基于虛擬靶機的方法在網絡攻防實驗教學中的應用[J].計算機工程與設計, 2009, 30(4):855-857.

[15] 崔貫勛.基于云計算技術的計算機實驗教學平臺[J].實驗室研究與探索, 2013(10):463-466.

[16] 葉可江, 吳朝暉, 姜曉紅,等.虛擬化云計算平臺的能耗管理[J].計算機學報, 2012, 35(6):1262-1285.

ExplorationonNetworkSecurityVirtualSimulationExperimentTeachingPlatformBasedonHyper-convergedInfrastructure

DIXiaoqiang1，HANDeng2，YANGLingxiang1，ZHAOJianping1，YANGHuamin1，QIHui1

(1.School of Computer Science and Technology, Changchun University of Science and Technology, Changchun 130022，China; 2.Jilin Provincial Education Examination Authority，Changchun 130022，China)

This paper analyzes the current development of network security virtual simulation experiment teaching platform,and then designs hardware and system architecture of network security virtual simulation experiment teaching platform based on hyper-converged infrastructure for solving issues that investment cost-effectiveness ratio is low, management is difficult and expansibility is not strong.The platform aims at realizing unified management of cloud computing, network and storage resources.On the basis of open source software, experiment teaching platformweb application is developed.It allows students to access virtual attack machine and virtual target machine provided by the web application, to carry out experiment through browsers.Adopting thehyper-converged infrastructure not only saves procurement cost of the network storage, but also can improve the service ability of the experiment platform by increasing the number of X86 server, which can reduce the difficulty of the management and maintenance of the later stage.

virtual emulation; experiment platform; network security; hyper-converged infrastructure

TP 303

A

1006-7167(2017)10-0195-04

2016-11-17

國家級計算機信息安全與網絡攻防虛擬仿真實驗教學中心資助課題，吉林省科技廳(20150204081GX),吉林省高等教育教學改革課題

底曉強(1978-)，男，回族，河北新樂人，博士，副教授，博士生導師，網絡工程系主任，主要研究方向為一體化網絡與信息安全。Tel.：18604465275; E-mail:dixiaoqiang@cust.edu.cn