智慧校園網絡及安全的SDN架構選擇研究

王興文

[摘? ? ? ? ? ?要]? 隨著物聯網、云計算、大數據、人工智能等新技術在智慧校園建設中的逐漸普及，傳統的三層網絡架構已不能滿足高校智慧校園建設需求。使用軟件定義網絡（Software Defined Network，SDN）和虛擬擴展局域網（Virtual Extensible Local Area Network，VxLAN）技術對校園網進行設備整合，構建扁平化的二層網絡架構，實現“接入控制、業務隔離、網隨人動、融合安全”的一體化智能接入平臺將成為高校校園網絡的發展方向。在建設好基于SDN技術的智慧校園網絡時，需要從邊界安全、訪問安全、數據安全等多個方面綜合考慮，確保網絡安全。

[關? ? 鍵? ?詞]? 軟件定義網絡;虛擬擴展局域網;網絡架構

[中圖分類號]? TP393.18 ? ? ? ? ? ? ? ? ? ?[文獻標志碼]? A? ? ? ? ? ? ? [文章編號]? 2096-0603（2020）02-0224-02

在國家教育戰略部署方向的指引下，物聯網、云計算、大數據、人工智能等新技術在校園網中逐漸普及，智慧校園建設成為校園信息化發展中非常重要的一環。然而隨著業務系統的逐漸增多，用戶數量、VLAN和IP子網數量也在逐漸增大，網絡擴展變得越來越困難，網絡架構和設備配置逐步復雜化等問題也隨之凸顯，高校校園網中普遍采用“核心—匯聚—接入”的經典三層網絡結構和傳統運維模式已經無法滿足管理和應用的需求。

智慧校園建設中，網絡架構扁平化是目前校園網發展的主要趨勢，基于SDN和OverLay技術來實現校園網扁平化架構是目前主流的技術路線，二層扁平化結構和SDN運行模式，可以實現對校園網設備的自動化管理、全面監控、故障自動化排除等，具有運維成本低、擴展靈活等多種優勢，能更好地滿足智慧校園建設的技術及安全管理需求。

一、SDN技術及實現方式

SDN（Software Defined Network）也叫軟件定義網絡。是由美國斯坦福大學CLean State課題研究組[1]提出的一種新型網絡創新架構，其核心理念是將轉發層和控制層分離，并可以通過軟件編程及控制的方式定義和控制網絡[2]。

（一）控制層

目前SDN的控制層平面技術有兩種，第一種稱為“強控”。是將所有網絡設備的控制層全部進行上收，形成“最強大腦”，所有流量轉發都需要經過“最強大腦”SDN控制器進行集中管控。其優點是硬件設備不需要運維，只需要將設備納管至SDN控制器即可，所有流量轉發路徑均由SDN控制器統一管理，通過OpenFlow或Netconf協議進行流量路徑下發，稱為“引流”。但是，如果控制器一旦被黑客入侵或宕機，整個網絡將會陷入癱瘓。

第二種稱為“弱控”。即使用已有的路由協議進行鄰居發現和關聯。這種技術通過兩種可擴展路由協議進行實現，第一是IS-IS模式，通過IS-IS的可擴展字段進行私有擴展，為私有協議;第二是BGP模式，雖然也進行可擴展字段擴展，但已經被標準化（標準化文檔為：RFC7348、RFC7209、RFC7432）。

（二）轉發層

SDN技術將所有網絡設備的控制平面進行上收，設備只做轉發，然而隨之又出現了尋址問題——二層尋址廣播域太大會影響到網絡的穩定性，三層雖然可以隔離廣播域，但又會遇到到三層IP尋址問題。

OverLay網絡是一種網絡疊加技術[3]，通過在原有物理網絡中疊加多張邏輯網絡——在轉發層通過建立虛擬專網，能有效將不同業務網絡進行隔離，增加網絡容量的同時不擴大廣播域，而網絡IP地址不隨地域的改變而改變。OverLay網絡可以很好地解決SDN技術實現時轉發層存在的問題。

二、智慧校園網絡大二層的實現

目前，Overlay疊加技術實現模式有很多，網絡部署中最常用到的有VxLAN、NVGRE、STT三種，而這三種中，VxLAN技術最適合在智慧校園網絡中進行部署，不僅因為VxLAN具有傳輸速率快、有報文驗證、不改變原有報文等特點，同時，VxLAN也具有好配置、易管理等優勢，因此，VxLAN技術成為智慧校園網絡及安全SDN架構轉發層的優選。

從上圖可以看出，VxLAN是將原有二層報文增加了VxLAN報文頭，再行封裝四層UDP頭、IP頭、Ethemet頭后進行數據傳輸。VxLAN報文有四個字段，分別為VxLAN Flags、Group ID、VNI和Reserved。VxLAN Flags表示標記位，字段長度為8比特，取值為00001000時，表示VxLAN頭中的VxLAN ID有效;取值為00000000時，表示VxLAN ID無效。VNI表示一個VxLAN網絡，字段長度為24比特，用于區分不同的VxLAN，即VxLAN ID，在智慧校園網絡中，一個VxLAN ID可以表示一個智慧校園業務，不同的業務通過不同的VxLAN ID進行區分隔離與互通。

由于VxLAN具有隧道特性[4]和分布式網關特性，可以使同一個網關IP地址在不同的地點出現，即在隧道兩端使用同一個IP地址，這給整個網絡進行扁平化改造提供了可能。雖然物理上還是三層架構，并未減少網絡連接層次，但是在邏輯上，已經轉化為只有業務控制層和接入層的二層網絡架構。業務控制層主要功能為終端用戶控制、訪問控制、流量控制等;接入層主要提供用戶接入、二層網絡隔離和隧道建立。這種扁平化網絡建成后，由于使用SDN控制器將整個網絡配置進行集中管理，相較傳統網絡，能極大降低運維成本，提升運維效率。

三、基于SDN技術的網絡安全實現

（一）邊界安全實現

按照國家標準GBT22239-2019《網絡安全等級保護基本要求》，對網絡進行分區分域設置是基礎工作。由于SDN技術將網絡進行了扁平化，在設置網絡區域時，也需要注意這一點，防止不同區域的業務劃分到同一區域，導致出現安全隱患。

最佳的分區分域策略是按業務進行橫向和縱向劃分，比如將接入區橫向分為“學生區、教師區、校領導區”等，而把不同系的教師則縱向劃分在同一個域，通過橫向和縱向的分區分域，對接入區的入網用戶進行有效定義。

在數據中心區，最少需要劃分對內云二級等保區、對內云三級等保業務區、對內三級等保數據區、對內裸金屬三級等保業務區、對外二級等保區、對外三級等保區、大數據業務區等7個區域。不同區域之間除了使用SDN控制器進行訪問控制外，還需要使用可以識別VxLAN報文的下一代防火墻進行區域間隔離，同時將IPS、AV、URL、行為管理的相關功能打開，從而進行報文識別。在進行低成本改造時，如果使用原有防火墻，則要確認防火墻放置在將VxLAN報文剝離后的區域，才能進行相關安全防護。

（二）訪問安全實現

將所有業務及接入用戶進行分區分域設置后，通過SDN控制器自帶的網絡準入認證、訪問控制等功能即可實現訪問控制。而對于入網終端的安全審計，則可以通過使用SDN控制器自帶的主機審計軟件或第三方主機審計軟件進行，兩者并無實際區別。

在用戶訪問基于Web的業務時，需要在此業務前部署相應的Web防火墻，防火墻可以使用旁掛模式部署，Web訪問流量通過數據牽引或代理的方式進行防護，由于現階段的Web防火墻不支持SDN技術，則需要將防火墻部署在Web業務所處的網段內，才能實現安全防護。

（三）數據安全實現

數據庫審計設備一般部署在二級等保業務區、三級等保數據區和對外業務區，并不強調設備是否支持SDN技術，需要注意的是，不同等級數據區的數據庫審計設備不能混用。

數據存儲前需要進行數據加密，數據加密主要由業務軟件或專門插件完成。在高校的智慧校園建設中，大數據業務日益增多，需要一整套適用于高校的數據加解密軟件來保障數據安全。而使用插件的形式進行部署，可以減少部署和維護時的人力成本，為了便于密碼和加密算法的管理，需要將加解密插件進行集中管理，另外，加解密中心服務器也需要使用等級保護三級及以上的防護措施進行安全防護。

（四）流量安全及關鍵業務保護實現

APT攻擊，即高級可持續威脅攻擊，也稱為定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動[5]。流量安全及關鍵業務保護主要任務是檢測和防止APT攻擊。APT攻擊檢測使用的是沙箱原理，將報文收集到沙箱后進行數據還原，并查看是否有攻擊行為。但現階段APT攻擊檢測設備還不能很好地支持VxLAN和SDN相關技術，需要在出口“進入OverLay網絡前”部署APT攻擊檢測，而對于流量識別及應用保障，則可以使用專門進行協議分析的設備來完成。

（五）安全指揮實現

隨著安全設備技術的發展和人們網絡安全觀念的不斷深入，國家相關文件對網絡安全要求也在不斷提高，因此，高校智慧校園網絡安全運維難度也在逐年增大，這是一個動態的、不斷變化的過程，加之由于廠商壁壘的出現，學校要根據需求進行大量的定制化開發，投入的時間和人力等成本較高，因此，建議在進行深入分析和研判，形成全面可行的方案后，再進行安全指揮中心建設。

四、結束語

隨著物聯網、云計算、大數據、人工智能等新技術在智慧校園建設中的逐漸普及，校園網用戶的業務需求呈現出多樣化、靈活化、不確定性等特點，傳統的三層網絡架構已不能滿足高校智慧校園建設需求。使用SDN和VxLAN技術對校園網進行設備整合，利用SDN網絡控制與轉發相分離的機制，構建扁平化的二層網絡架構，實現“接入控制、業務隔離、網隨人動、融合安全”的一體化智能接入平臺將成為高校校園網絡的發展方向。在建設好基于SDN技術的智慧校園網絡時，需要從邊界安全、訪問安全、數據安全等多個方面綜合考慮，確保網絡安全。

參考文獻：

[1]CleanSlateprogram[EB/OL].[2013-12-28]，http：//cleans-late.Stanford.edu/.

[2]鄭毅，華一強，何曉峰.SDN的特征、發展現狀及趨勢[J].電信科學，2103，29（9）：102-107.

[3]呂忠亭，許小華，蔣遠輝，劉洋.基于Overlay SDN的云數據中心網絡虛擬化技術研究[J].電腦與信息技術，2019，27（5）：48-50.

[4]孫銘浩.VxLAN隧道的設計與實現[D].哈爾濱：哈爾濱工業大學，2014.

[5]張敬.APT攻擊原理及防護技術研究[J].網絡安全技術與應用，2019（4），16-18.

編輯 張 慧