基于軟件定義網絡的大型企業安全內網設計

◆王世玲 張江 謝敬銳 劉星程 丁偉峻

（云南省軍區 云南 650051）

1 研究背景

隨著企業規模的不斷擴大，企業網絡的管理及維護也更為復雜。和中小型企業相比，大型企業的內網規模更大、結構更復雜，對網絡效率和網絡安全的要求也更高。然而，當前多數大型企業的網絡管理，仍然處于一種局域網管理的傳統方式，網絡架構和網絡安全管理的相對落后，已經成為制約大型企業信息化建設與發展的瓶頸。

網絡虛擬化和軟件定義網絡技術（SDN，Software Defined Network）作為網絡技術發展的新方向，為突破簡單網絡管理的局限性提供了新思路和新方法。目前，使用虛擬化技術或軟件定義網絡技術構建新型網絡架構的案例已不斷涌現，隨著技術的不斷成熟，必將在各種規模的網絡建設中得到更多的應用。本文將虛擬化和軟件定義網絡技術綜合應用于大型企業專網的構建和安全管理之中，并給出了詳細的構建方案，為建立新型的大型企業專網提供了參考。

2 軟件定義網絡的技術架構

圖1 軟件定義網絡架構

軟件定義網絡是一種高度可控的網絡架構（圖1），是互聯網技術下一步發展的一個重要方向，它的基本思想是將網絡控制與數據轉發功能相分離，從而使得整個網絡架構具備邏輯集中控制、網絡管理簡化、增強網絡擴展性等特點。SDN 將網絡架構分為三層：基礎設施層、應用層和控制層，其中最關鍵的是控制層。SDN 的控制層掌控著網絡的全局運行，可以對數據流進行直接管控。控制層還具備可編程性，從而使得網絡的可控性得到很大的提高。

SDN 的特點主要可以歸結為3 點：

（1）網絡控制與數據轉發分離。SDN 將網絡中的控制層面和數據轉發層面徹底分離，避免了傳統網絡設備將網絡控制和數據轉發功能混合實現的弊端，降低了網絡運行對硬件設備的依賴性，提高了網絡管理的靈活性。

（2）集中控制。SDN 在邏輯上可以對網絡進行全局的集中控制。集中控制的優勢在于：管理者可以將整個網絡當作一個單獨的設備一樣進行簡單維護，極大地降低了網絡管理的復雜性。

（3）網絡管理功能可編程。SDN 提供開放性的可編程接口，用戶可以自主研發新的網絡管理功能，從而更好地實現不同網絡環境的網絡管理要求。

3 基于虛擬化及SDN 的大型企業專網設計

3.1 需求分析

大型企業的內網和中小企業內網的主要區別在于規模更大、部門更多、管理更復雜，網絡規模有可能達到數十個部門和上千個節點，管理員既要保證網絡的高效運行，又要應對用戶數量過多帶來的安全威脅，所以設計新型的專網架構至少要滿足兩方面的需求：網絡性能需求和網絡安全需求。

網絡性能方面，由于大型企業的部門和人員越來越多，網絡數據流量越來越大，傳統局域網的扁平化結構勢必難以滿足日常業務對網絡性能的要求，這些問題傳統的VLAN 劃分技術已經無從解決。因此，只有建立一個多層次、可分枝的新型網絡結構，才能滿足多部門、多節點的網絡信息流高效傳輸。

網絡安全方面，當前的網絡攻擊防控措施大都基于傳統的網絡結構，這樣的措施對于那些專門針對傳統架構的攻擊行為則缺乏效用。而且傳統防控技術的側重點在于防范而非控制，在網絡已被攻破的情況下，缺乏對網絡進行調整的機制。所以，建立一個可以動態設置、并在被攻破的情況下動態改變拓撲的網絡結構，可以同時解決上述兩個問題。

3.2 實現方案

根據上述需求，改進型企業專網設計的基本思想是利用虛擬化技術和SDN 技術的靈活性，構建更為安全高效的網絡架構。方案采用虛擬化技術將企業網絡及各種連接網絡的終端設備進行軟硬件資源整合，構建出虛擬的網絡資源和硬件資源，從而可以從高層對網絡進行重新規劃和利用，提高各種資源的利用率。方案使用SDN 技術突破了傳統的網絡結構，將網絡中的數據轉發和網絡控制層面相分解，從而可以通過集中控制，靈活地改變網絡的拓撲結構。基于這兩種技術，改進型企業專網的網絡結構如圖2 所示。

圖2 改進型企業專網網絡結構

從圖2 可看出兩種技術在新型網絡架構中體現出的優勢：

（1）虛擬化技術將企業網絡中的各種軟硬件資源整合并分層。各種網絡設備被劃入網絡傳輸層，構成新型架構中的硬件資源，企業現有的交換機只要支持OpenFlow協議都可以在網絡結構升級時繼續沿用。運行SDN 控制功能的服務器及相關軟件被劃入網絡控制層。應用層為企業各部門和人員提供各種應用服務，同時也是網絡使用者和物理網絡之間的一個無縫接口，用戶在訪問應用時感知不到也無須了解實際的網絡結構。

（2）SDN 技術為整個企業提供了安全、高效的網絡。圖2 的下三層與SDN 網絡架構的分層相對應，SDN 技術的優勢主要體現在網絡控制層的集中控制性和可編程性。控制層負責網絡狀態的管理和控制，一方面根據基礎設施層的信息對網絡資源做出動態規劃；另一方面通過實時監控全網的狀態對網絡的拓撲結構進行實時調整。例如在某條網絡路徑擁塞時可將該路徑斷開，重新規劃新的網絡路徑并生成拓撲。又例如發現某個網絡節點異常時可將該節點隔離，排除該節點故障后再重新加入網絡。

4 結語

本文根據大型企業在新形勢下對網絡性能和網絡安全的需求，采用虛擬化技術和SDN 技術提出了一種新型內網構建方案。方案的基本思想是利用虛擬化技術對企業的網絡設備和軟硬件資源進行重新整合和劃分，提高資源的利用率；使用SDN 技術實現網絡分層和拓撲控制，提高網絡的性能和安全性。本文提出的網絡構建方案不僅順應了當前企業內網安全管理的新要求，也為構建新型辦公網絡提供了新思路，對于需要對內網進行升級改造的企業具有一定的參考價值。