SDN技術及其在等級保護體系中的應用

周嵩岑+李曦

摘 要：云計算、物聯網以及大數據的時代已經到來，傳統的底層網絡架構已經無法滿足未來的業務需求。實際上，各單位企業組建的等級保護網絡環境問題層出不窮，網絡設備配置繁雜、迭代緩慢、缺乏集中式統一管理，從而使得日常業務維護更新效率變低，對等級保護測評工作也帶來了一定的影響。近幾年新興起的SDN技術則較好地解決了傳統網絡架構的弊端，極大地簡化了運營成本和運維效率，也提高了等級測評的效率。論文根據SDN技術的特點，從網絡架構、關鍵技術、價值意義等方面進行了要點分析。

關鍵詞：軟件定義網絡；集中管控；等級保護測評

中圖分類號： TP393 文獻標識碼：A

SDN Technology and Its Application in Classified Protection Evaluation

Zhou Song Cen， Li Xi

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the advent of cloud computing， IOT and big data， traditional underlying network framework has been unable to meet futural business needs. In fact， problems in classification protection network environment emerge in endlessly， such as complicated configuration， slow update， and lack of centralized and unified management. It makes daily maintenance and classification protection evaluation inefficient. In recent years， burgeoning SDN technology has overcome the disadvantages of traditional network framework， simplified operating cost and raised maintenance efficiency. According to the characteristics of SDN technology， this paper analyzes the key points from the aspects of network framework， key technology and value.

Key words： Software Defined Network； Centralized Management and Control； Classified Protection Evaluation

1 引言

傳統網絡已經發展了近半個世紀，且從一開始就是分散的網絡，通常由不同品牌或不同型號的網絡設備組成，部署方式、配置命令各不相同，網路中的各個設備之間通過路由表信息等學習可達信息，且如何轉發或轉發何種信息都是由設備自己決定，沒有中心的控制點，缺乏統一部署的概念，無法從整體的角度去調度流量。隨著云計算、大數據等新興技術的崛起，傳統網絡的特點已經不適用于大業務的需求，于是SDN技術橫空出世。SDN（Software Defined Network），即軟件定義網絡，近年來受到持續的關注。短短幾年，SDN這個從美國斯坦福大學實驗室研究項目中誕生的產物，已經成為全球矚目的網絡技術熱點[1]。SDN已經公認為是下一代互聯網重點發展的趨勢之一，且越來越多的知名廠商將SDN技術投入至實際應用中，這標志著SDN已進入商用化階段。國內各大廠商也紛紛發布SDN戰略和解決方案，并相繼推出商業化產品以適應SDN迅速發展的浪潮。因此，業界都將其視為顛覆傳統網絡的革命性的技術。

2 基于SDN技術的網絡架構及其關鍵技術

SDN是一種新型的網絡技術，與傳統網絡架構有著明顯的區別，如圖1所示，SDN通常由應用層、控制層、基礎設施層組成。應用層包含了不同的業務和應用，由軟件組成，具有可編程性，可執行特定的網絡算法，經過API接口可轉換成對應的控制命令下發至網絡設備；中間層包含了OpenFlow控制器，即可為上層應用程序提供開放接口，又可與底層設備進行會話互動，主要用于處理數據，維護網絡拓撲、狀態信息等；基礎設施層主要由支持 OpenFlow協議的SDN交換機組成，主要負責基于流表的數據處理、轉發和狀態收集[2]。

SDN通過OpenFlow協議，將網絡的控制平面與數據轉發平面相分離，以軟件的方式實現對底層硬件的集中控制，從而可以對網絡資源進行靈活的調度和分配。SDN實現控制與轉發分離的基礎就是OpenFlow協議，也是關鍵技術所在，是SDN體系結構中控制和轉發層之間定義的第一個標準化通信接口[3]。流表是維持網絡設備正常運行的基礎，數據的轉發路徑取決于流表；流表又可以在控制器上產生，并由控制器進行管理。通常，流表不僅包含了IP協議常見的元素，還包含了具有執行動作的特定規則。

在傳統網絡中，控制平面通常由特定的網絡設備所指定，而SDN網絡中，則不依賴具體的設備。控制平面和數據轉發平面分離的好處在于，網絡上的信息都集中到一個核心控制器上，控制器可針對特定網絡信息進行編程，并調用通用API接口，直接對整理網絡進行調度，而控制程序則支持多種腳本語言，可移植性較強。全局狀態信息可在控制器上獲取，計算出任意節點間的路由信息之后，再通過OpenFlow協議控制轉發路徑，就可以在任意網絡節點接入，省去了在基礎設備上操作的繁瑣。這種開放性的架構，可以不再局限于各廠家設備的封閉性，徹底脫離傳統硬件的束縛。endprint

3 SDN技術的價值意義

3.1 SDN的意義

現階段，部署一個傳統的網絡架構，需要不同的網絡設備和安全設備，這些設備還必須支持OSPF、ISIS、STP、BGP、組播等多種協議，而這些協議需要在網絡設備上的配置過程較為復雜，一旦網絡環境出現故障，或部署新設備，都需要重新配置，并且不同軟件版本配置方法也有所不同，要在短時間內解決需要消耗大量的時間和人力。

而利用SDN，可以從一個邏輯點上控制整個網絡，不再受限于廠商，可以有效地簡化網絡維護和運營。網絡設備也不需要配置復雜的網絡協議，只需要從SDN控制器動態接收指令[4]。更重要的是，網絡運維人員不用再去面對多至上百臺的設備，不需要去處理大量的網絡協議，而只要通過簡單的應用編程即可達到控制整體網絡的目的。由于SDN控制器的集中智能管控性，可以靈活地配置和管理安全策略，實時地改變網絡狀態，且優化網絡資源，在短時間內就可以部署新的業務環境，設計和調試周期明顯縮短。

基于SDN的特性，SDN大多可應用于電信運營商、大型企業、數據中心服務商以及互聯網公司等場景[5]。基于OpenFlow的SDN已經漸漸被大眾所接受，相比傳統網絡，它給企業及運營商帶來的好處有顯而易見，包括四個方面：（1）可集中管理和控制不同廠商的網絡設備，剔除各廠家硬件的差異性；（2）加快網絡部署周期，減少大量重復性調試工作；（3）上層應用可編程靈活性較高，可擺脫大量復雜的網絡協議；（4）通過集中式的部署和管理，策略配置錯誤的幾率減少，網絡更可靠和安全。

3.2 SDN在等級保護體系中的應用

在現有的等保測評網絡環境中，通常首先是抽查所需要的網絡和安全設備，然后登錄所抽查的設備，對其配置進行逐一檢查，結合各設備的配置再對全局各項指標進行統一分析。但在SDN網絡中，就不必登錄每一臺設備，只需要在SDN控制器上即可查看網絡狀態、數據流向、安全策略、帶寬信息等。通過SDN的技術特點，可主要從四幾個方面進行簡化測評。

（1） 結構安全。從SDN控制器可以收集各主要設備的運行狀態，包括CPU、內存、磁盤等信息，從而查看設備是否具有冗余的業務處理能力；也可以查看整個網絡的帶寬使用情況；并且可以查看當前的運行拓撲圖、各網段的劃分情況。

（2） 訪問控制。在傳統網絡中，訪問控制策略需結合各個邊界防護設備進行分析，而在SDN網絡中，安全策略統一由SDN控制器下發，因此，只需分析應用層的相關指令，即可獲知全局范圍內的安全策略，包括ACL、應用層過濾、網絡連接數等。

（3） 邊界完整性檢查。SDN系統能夠檢驗網絡設備表單中的數據流是否違反控制器策略，因此，可以迅速查找出非授權設備私自連接到外部的行為，并及時阻斷。

（4） 高可用性。傳統網絡環境下，一旦某個節點出現故障，將花費較長的時間去診斷，而在SDN網絡中，則可以根據控制器的轉發表，核對每個節點經過的流量，省去了登錄每臺設備檢查的過程，即使應用崩潰，原有設備仍然可以繼續正常運行。

4 結束語

依照目前發展趨勢，SDN技術暫時不會完全代替傳統網絡技術，目前支持SDN的主流協議僅有Openflow，且無法做到對全部現有的運維管理操作都兼容。現階段能生產SDN產品的廠商也不是很多，都是處在研究和觀望狀態，極少數有成型的案例和解決方案，離大規模部署還有一定距離，用戶考慮到這種新興技術的穩定性，也很難一下子接受這革命性的網絡技術。但傳統的網絡結構已經無法滿足如今的市場需求，且每年各單位將消耗大量的財力和人力在維護網絡上，SDN技術確實是未來網絡發展極好的一個方向，對等保測評也提供了便利性。隨著等級保護制度已進入2.0時代，對網絡的安全性、可用性、有效性也提出了更高的要求。將SDN技術應用至下一代網絡，不僅可以進行差異化競爭，而且可以減少等保測評成本消耗，適應高帶寬高速度且不斷變化的需求。

參考文獻

[1] 張瑋，王永博，王魯，等.軟件定義網絡的控制器研究綜述[J].山東科學， 2015，28（2）：93-100.

[2] 鄭毅，華一強，何曉峰. SDN的特征、發展現狀及趨勢[J].電信科學， 2013，29（9） ：102-107.

[3] 顏瀅釗.軟件定義網絡中控制層與基礎設備層間通信協議的研究[D].北京：北京郵電大學， 2015.

[4] 樓恒越，竇軍.一種針對基于OpenFlow的SDN網絡中控制層面的DoS攻擊研究[J].計算機科學， 2015，42（11A）：341-344.

[5] 連建. SDN應用場景分析與探討[J].電信快報，2014（2）：30-32.endprint