基于软件定义网络的大型企业安全内网设计

◆王世玲 张江 谢敬锐 刘星程 丁伟峻

（云南省军区 云南 650051）

1 研究背景

随着企业规模的不断扩大，企业网络的管理及维护也更为复杂。和中小型企业相比，大型企业的内网规模更大、结构更复杂，对网络效率和网络安全的要求也更高。然而，当前多数大型企业的网络管理，仍然处于一种局域网管理的传统方式，网络架构和网络安全管理的相对落后，已经成为制约大型企业信息化建设与发展的瓶颈。

网络虚拟化和软件定义网络技术（SDN，Software Defined Network）作为网络技术发展的新方向，为突破简单网络管理的局限性提供了新思路和新方法。目前，使用虚拟化技术或软件定义网络技术构建新型网络架构的案例已不断涌现，随着技术的不断成熟，必将在各种规模的网络建设中得到更多的应用。本文将虚拟化和软件定义网络技术综合应用于大型企业专网的构建和安全管理之中，并给出了详细的构建方案，为建立新型的大型企业专网提供了参考。

2 软件定义网络的技术架构

图1 软件定义网络架构

软件定义网络是一种高度可控的网络架构（图1），是互联网技术下一步发展的一个重要方向，它的基本思想是将网络控制与数据转发功能相分离，从而使得整个网络架构具备逻辑集中控制、网络管理简化、增强网络扩展性等特点。SDN 将网络架构分为三层：基础设施层、应用层和控制层，其中最关键的是控制层。SDN 的控制层掌控着网络的全局运行，可以对数据流进行直接管控。控制层还具备可编程性，从而使得网络的可控性得到很大的提高。

SDN 的特点主要可以归结为3 点：

（1）网络控制与数据转发分离。SDN 将网络中的控制层面和数据转发层面彻底分离，避免了传统网络设备将网络控制和数据转发功能混合实现的弊端，降低了网络运行对硬件设备的依赖性，提高了网络管理的灵活性。

（2）集中控制。SDN 在逻辑上可以对网络进行全局的集中控制。集中控制的优势在于：管理者可以将整个网络当作一个单独的设备一样进行简单维护，极大地降低了网络管理的复杂性。

（3）网络管理功能可编程。SDN 提供开放性的可编程接口，用户可以自主研发新的网络管理功能，从而更好地实现不同网络环境的网络管理要求。

3 基于虚拟化及SDN 的大型企业专网设计

3.1 需求分析

大型企业的内网和中小企业内网的主要区别在于规模更大、部门更多、管理更复杂，网络规模有可能达到数十个部门和上千个节点，管理员既要保证网络的高效运行，又要应对用户数量过多带来的安全威胁，所以设计新型的专网架构至少要满足两方面的需求：网络性能需求和网络安全需求。

网络性能方面，由于大型企业的部门和人员越来越多，网络数据流量越来越大，传统局域网的扁平化结构势必难以满足日常业务对网络性能的要求，这些问题传统的VLAN 划分技术已经无从解决。因此，只有建立一个多层次、可分枝的新型网络结构，才能满足多部门、多节点的网络信息流高效传输。

网络安全方面，当前的网络攻击防控措施大都基于传统的网络结构，这样的措施对于那些专门针对传统架构的攻击行为则缺乏效用。而且传统防控技术的侧重点在于防范而非控制，在网络已被攻破的情况下，缺乏对网络进行调整的机制。所以，建立一个可以动态设置、并在被攻破的情况下动态改变拓扑的网络结构，可以同时解决上述两个问题。

3.2 实现方案

根据上述需求，改进型企业专网设计的基本思想是利用虚拟化技术和SDN 技术的灵活性，构建更为安全高效的网络架构。方案采用虚拟化技术将企业网络及各种连接网络的终端设备进行软硬件资源整合，构建出虚拟的网络资源和硬件资源，从而可以从高层对网络进行重新规划和利用，提高各种资源的利用率。方案使用SDN 技术突破了传统的网络结构，将网络中的数据转发和网络控制层面相分解，从而可以通过集中控制，灵活地改变网络的拓扑结构。基于这两种技术，改进型企业专网的网络结构如图2 所示。

图2 改进型企业专网网络结构

从图2 可看出两种技术在新型网络架构中体现出的优势：

（1）虚拟化技术将企业网络中的各种软硬件资源整合并分层。各种网络设备被划入网络传输层，构成新型架构中的硬件资源，企业现有的交换机只要支持OpenFlow协议都可以在网络结构升级时继续沿用。运行SDN 控制功能的服务器及相关软件被划入网络控制层。应用层为企业各部门和人员提供各种应用服务，同时也是网络使用者和物理网络之间的一个无缝接口，用户在访问应用时感知不到也无须了解实际的网络结构。

（2）SDN 技术为整个企业提供了安全、高效的网络。图2 的下三层与SDN 网络架构的分层相对应，SDN 技术的优势主要体现在网络控制层的集中控制性和可编程性。控制层负责网络状态的管理和控制，一方面根据基础设施层的信息对网络资源做出动态规划；另一方面通过实时监控全网的状态对网络的拓扑结构进行实时调整。例如在某条网络路径拥塞时可将该路径断开，重新规划新的网络路径并生成拓扑。又例如发现某个网络节点异常时可将该节点隔离，排除该节点故障后再重新加入网络。

4 结语

本文根据大型企业在新形势下对网络性能和网络安全的需求，采用虚拟化技术和SDN 技术提出了一种新型内网构建方案。方案的基本思想是利用虚拟化技术对企业的网络设备和软硬件资源进行重新整合和划分，提高资源的利用率；使用SDN 技术实现网络分层和拓扑控制，提高网络的性能和安全性。本文提出的网络构建方案不仅顺应了当前企业内网安全管理的新要求，也为构建新型办公网络提供了新思路，对于需要对内网进行升级改造的企业具有一定的参考价值。