基于SDN的高校網絡安全數據傳輸問題探究

唐雯煒

摘要：軟件定義網絡（SDN）技術架構通過把原有封閉的體系解耦為數據平面、控制平面和應用平面，提供了一種可編程的網絡，革命性地改變了現有的網絡架構。文章分析了高校網絡安全數據傳輸現狀，基于SDN技術在高校網絡安全數據傳輸方面的要求，闡述了高校網絡數據安全傳輸存在的問題。通過對高校網絡數據中心SDN的總體設計、Underlay網絡自動部署、Overlay網絡部署三部分，探究基于SDN的高校網絡安全數據傳輸策略，為高校網絡數據傳輸安全提供保障。

關鍵詞：SDN；高校；網絡安全；數據傳輸；問題

中圖分類號：TN325? 文獻標志碼：A

0 引言

2021年10月11—17日是我國“國家網絡安全宣傳周”，活動以“共建網絡安全，共享網絡文明”為主題，各地高校也基于網絡安全對學生展開了教育與宣傳。而實際在高校內部的網絡安全建設當中，數據傳輸是整個校園網絡建設的重要組成部分，但是當前軟件定義網絡（Software-Defined Networking，SDN）應用到校園網絡安全中的效果沒有達到預期值，仍有許多地方有待調整與優化。同時，SDN又是能夠有效實現校園網絡安全數據傳輸與集中的關鍵，所以對其進行了相關研究。SDN的思想起源于斯坦福大學Ethane項目，此后SDN架構隨著技術研究的深入和發展得到了學術界和工業界的廣泛認可，成了未來網絡發展的新方向。SDN技術架構通過把原有封閉的體系解耦為數據平面、控制平面和應用平面，提供了一種可編程的網絡實現，從而將革命性地改變現有的網絡架構。在數據中心網絡采用SDN架構，可以便捷實現轉發路徑優化以及負載均衡，從而使得數據交換更加迅速。

1 高校網絡安全數據傳輸現狀分析

經過長期建設與社會環境的推動，各地區高校的校園網絡安全數據傳輸已經具備完整的安全構架體系。并且一些條件較好、基礎設施建設完備的高校，對校園網絡安全數據傳輸提供了政策、人力、資金等多方面的資源與支持，高校對于校園網絡安全數據傳輸的網絡安全意識較深厚。據有關調查研究結果顯示，國內已有93%的高校已經完成并完善了與校園網絡安全數據傳輸相關的基礎建設，并為學生的學習與校園生活提供了更加便捷的信息化服務平臺。但是隨著信息化發展和相關工作的不斷推進，高校內部的教育信息數據和基礎數據逐漸發展出更加多元化的呈現形式，傳統的數據集中模式已經無法滿足高校網絡安全數據傳輸的需要，最重要的是，傳統的數據模式無法提供核心服務［1］。現階段，底層數據的整合能力和建設是高校網絡安全數據傳輸的關鍵，所以高校的校園網絡建設要轉向主動服務模式并提高服務能力。

2 基于SDN的高校網絡安全數據傳輸的要求

高校要推進基于SDN的網絡安全數據傳輸建設，需要對校園網絡基礎設施展開全面優化升級工作，搭建能夠實現多出口業務優化系統的基礎平臺。高校還要利用SDN網絡、虛擬化技術集群技術構建新一代數據計算池和數據存儲池，以便促進數據的集中共享與分析。同時，高校需要基于SDN網絡與校園網絡建設現狀健全信息化建設的標準規范體系，創建高校內部相對獨立的基礎數據庫，強化數據傳輸并改進對接應用系統，從而打破網絡環境中的信息孤島現象［2］。高校還要統一通信平臺，基于校園網絡建設中的組織構架體系提供統一的通信服務接口，從而推進高校網絡業務與數據傳輸的互聯。另外，高校要督促校園網絡用戶完善個人信息，實現信息溯源，為網絡安全數據傳輸提供可靠的信息查詢服務。高校要達成以上要求，才能為基于SDN的校園網絡安全數據傳輸提供充分保障［3］。

2.1 精確引流，提升性能

基于Vlan ID、IP地址、四層端口等元素的組合對業務流量進行定義，并精確引導給最適合處理相應業務流量的相應設備，比如將80、8080、443等常見HTTP流量引導給WAF設備，SMTP、POP3、Webmail等流量引導給防毒墻設備，其余不相關的業務流量均無須通過并轉發，在確保這些安全設備發揮安全防護功能的同時，也確保不會因為超出處理能力而死機，既提升了整體網絡性能，也提高了網絡可靠性。

2.2 實時切換，高效排障

把故障排查的主動權掌握在自己手中，通過邏輯清晰、操作簡便的排查手段，快速定位故障點，以迅速響應斷網問題為首要目標，推動故障排查的僵局，厘清責任。

2.3 彈性網絡，助力創新

高校校園傳統網絡架構拓撲固化、網絡協議私有，承載著大流量、高并發的網絡負載，運維壓力大、責任重，但因為創新可能產生錯誤、帶來變化。如何在維護網絡可靠性的同時，又能容納各種創新，比如IPv6的部署和推廣工作，在各大高校的校園網中如火如荼，IPv6設備的性能測試、IPv6協議的最佳部署模式、用戶認證與現有IPv4協議如何兼容等問題，都需要結合自身網絡情況，在實踐中摸索出最佳實踐方案。

3 高校網絡安全數據傳輸存在的問題

3.1 多業務承載能力弱

部分高校的校園網絡沒有做好基礎工作，不同網絡業務之間沒有進行有效隔離，并且沒有配備QOS管控設置，導致校園網絡的多業務承載能力比較弱，校園網絡用戶的體驗感較差。這不僅對高校的信息化建設造成一定的影響，在一定程度上阻滯校園網絡的創新發展，還會對智慧校園平臺建設形成阻礙。另外，由于受到一些辦學地域的條件限制等因素的影響，部分高校多區域辦學對校園網絡業務提出了更高的要求，需要校園網絡建設通過一種或多種方式方法解決業務承載等方面的問題。而一些學校的基礎設施建設跟不上，無法及時改善校園網絡多業務承載能力較弱的問題，以至于高校內部的網絡使用體驗感達不到理想效果。

3.2 用戶私接交換機

在當前校園環境中，存在校園網絡用戶私接交換機等行為，并且這種情況較為普遍。這種行為容易導致高校校園網絡建設發生環路故障，嚴重的話還會引起廣播風暴［3］。并且由于高校校園網絡建設中不同業務端口未能實現有效隔離，當ARP等病毒侵入校園網絡建設中，能夠快速擴散影響范圍并侵占運行系統。所以，高校網絡安全數據傳輸難以得到全方位的保障。并且當校園網絡被接入交換機dot1x認證方式，校園網絡會趨于不穩定狀態，還容易受到其他病毒或惡意軟件的攻擊，頻繁發生認證失敗和網絡掉線等問題，給校園網絡安全帶來額外的負擔，增加了相關工作人員的工作量。

3.3 網絡檢測的提升

除了多區域辦學需要高校校園網絡建設不斷完善集中的基礎設施，多業務集中管控也是促進校園網絡安全數據傳輸穩定的重要內容，所以高校要提升校園網絡的整體水平，才能推動SDN在校園網絡中的有效運作，保障高校網絡安全數據傳輸。依據當代學生的特性與需求進行分析，高校的校園網絡建設面臨更加高難的網絡問題，以及更加復雜的網絡業務需求、更加多樣化的用戶群體，而解決這些問題的核心就在于強化校園網絡的集中管控建設。另外，校園網絡要保障數據的高度集中和統一監管，這就需要將遠程數據傳輸技術與系統科學嵌入傳統校園網絡中，而一些高校因缺乏相關設施、設備，難以實現遠程數據傳輸。此外，一些高校雖然脫離了傳統網絡數據傳輸模式，但是缺乏更加專業的數據傳輸技術，沒有切實提高整體監管水平。

4 基于SDN的高校網絡安全數據傳輸策略

在SDN的三層體系中，安全形態較多地體現在控制平面和應用平面上，主要包括兩類方向和三類應用。兩類方向：（1）通過安全策略的沖突檢測與增強，實現安全策略的一致性和網絡可用性，在控制平面一級確保數據轉發平面穩定運行；（2）通過在應用平面開發、部署新的安全應用，實現網絡安全防護功能。

4.1 高校網絡數據中心SDN的總體設計

隨著大數據技術、云計算平臺等現代網絡技術的持續發展與優化創新，基于SDN的數據中心網絡支撐已經成為高校校園網絡建設的必然趨勢。從校園網絡安全數據傳輸中心的SDN總體設計來說，可以從SDN在多種場景的部署類型分析入手。高校只需要將計算池和存儲池做好合理規劃，再通過虛擬網絡將校園網絡建設中的計算資源和存儲資源進行有機結合，為校園網絡構建完整的軟件定義網絡模型，就能保證校園網絡建設中不同的業務能夠在滿足隔離需求的前提下，實現網絡互通，高校再保障網絡抽象模型的完整性就能在物理網絡不變的基礎上實現用戶自定義網絡［4］。以“主機/混合Overlay+集中控制模型+集中式網關”的典型組網場景為例，因為虛擬交換機在內核中運行時沒有形成完整的TCP/IP協議棧，不具備承擔Vxlan L3網關的能力，無法有效促成EVPN協議，所以要為主機/混合Overlay組網二提供集中式控制模型和集中式網關。控制器在此基礎上就可以實現對數據中心內主機的L3進行調控，將L3轉發表項下發至虛擬交換機，使虛擬交換機擁有部分分布式網關的基本功能。該場景可為校園網絡安全數據中心的SDN改造提供參考。

4.2 Underlay網絡自動部署

基于SDN的高校網絡安全數據傳輸建設中，數據中心SDN的Underlay網絡自動部署，主要由Director和Spine-Leaf網絡設備進行配合完成。其中，Fabric在校園網絡建設中的劃分與具體規劃主要有：其一，基于物理設備的部署調整Directro程序，將兩者同時接入校園網絡安全數據傳輸的網絡；其二，將Underlay網絡進行合理規劃并接入IP地址等配置，進而生產Spine-Leaf規劃拓撲；其三，利用Director軟件實現對Underlay網絡的軟件定義，從而為一些自動化配置進行調整時提供依據［5］。而在數據中心SDN整體部署的自動化配置下發過程中，當Underlay網絡實現自動化配置之后，Overlay自動化配置就能通過一個三層網絡完成下發指令和使用：基于Spine設備和Leaf設備自動獲取數據中心的IP地址等內容、經過Underlay網絡拓撲生產其載體設備配置、Overlay向設備完成IRF配置的自動下發并配置OSPF路由。另外，數據中心SDN部署的可視化部署中，會由Director軟件通過已經配置的IP地址進行設備掃描，再經過Underlay網絡的動態拓撲呈現自動化狀態和部署進度，最后由Director軟件完成資源納管。

4.3 Overlay網絡部署

基于SDN的高校網絡安全數據傳輸建設中，Overlay網絡部署主要根據不同場景的實際情況與需要，對其運用獨立Fabric部署方式，這會使得Overlay網絡配置更加便捷高效，并且Overlay網絡可以通過Director直接下發全部配置，這也是實現校園網絡安全數據傳輸的重點任務。同時，在SDN網絡模型中，要保證SDN控制器可以整合OpenStack Neutron標準網絡模型，還可以借助Director軟件實現虛擬化網絡，以此完善軟件定義功能。然后，將虛擬網絡模型轉換為具體配置并進行下發配置。其中，需要注意的是下發配置的方式，要確保能夠實現基于SDN的高校網絡安全數據傳輸，則需要虛擬網絡模型按照時間節點選擇配置預先下發或者是按需下發［6］。另外，在Overlay網絡部署中的Fabric接入設置部署，需要保證校園網絡數據中心的所有資源都能接入Fabric端口，就能基本完成校園網絡數據中心SDN網絡部署。

5 結語

基于SDN的高校網絡安全數據傳輸的相關部署工作較為復雜。但結合高校網絡建設的需求不斷提高其網絡業務能力，再對高校網絡數據中心SDN的總體設計進行調整、優化，保證SDN網絡中Underlay和Overlay網絡部署的嚴謹與合理，就能為高校網絡安全數據傳輸提供保障。

參考文獻

［1］陳健偉.研究廣播電臺網絡數據安全傳輸的對策［J］.信息記錄材料，2021（5）：225-226.

［2］周啟釗，于俊清，李冬.SDN控制層洪泛防御機制研究：檢測與緩解［J］.通信學報，2021（10）：1-13.

［3］金超.計算機網絡信息安全威脅及數據加密技術分析［J］.網絡安全技術與應用，2021（10）：31-32.

［4］湯暉.基于SDN架構的網絡安全模型［J］.信息技術與信息化，2021（9）：184-188.

［5］唐博.略談SDN安全需求和安全實現［J］.信息通信，2020（1）：97-98.

［6］吳愛鑫.淺談廣播電視臺網絡數據的安全傳輸［J］.通訊世界，2020（4）：68-69.

（編輯 傅金睿）

Research on university network security data transmission based on SDN

Tang? Wenwei

（Zhejiang Chinese Medical University， Hangzhou 310053， China）

Abstract：? Software defined network （SDN） technology architecture provides a programmable network by decoupling the original closed system into data plane， control plane and application plane， which revolutionizes the existing network architecture. This paper analyzes the current situation of network security data transmission in Colleges and universities， and expounds the existing problems of network security data transmission in Colleges and Universities Based on the requirements of SDN technology in network security data transmission in Colleges and universities. Through the overall design of university network data center SDN， automatic deployment of underlay network and overlay network deployment， this paper explores the university network security data transmission strategy based on SDN， so as to provide guarantee for the university network data transmission security.

Key words： SDN; colleges and universities; network security; data transmission; problem