【 摘 要 】 自主创新,建设安全可控的网络是我国信息化建设的重要内容。自主安全可控的网络建设的核心思想是在采用自主国产网络设备组网的基础上通过自定义、可编程方式实现数据底层传输和上层控制的分离,进而提升网络设备运行和网络维护效率,增强网络的安全性、可管理性。本文在分析目前网络架构风险的基础上,基于SDN技术设计了一种自主安全可控的网络,并对技术原理、实现方案进行了详细论述。
【 关键词 】 SDN;软件定义网络;OpenFlow;安全可控
【 中图分类号 】 TP393.08 【 文献标识码 】 A
1 引言
近年来,在国家核高基以及863、973等重大专项的支持下,我国在推进自主可控方面的脚步日渐加快。国产处理器、国产操作系统等核心软硬件日渐成熟,已经形成了对国外产品的替代能力。以国产CPU为例,近几年,我国在自主处理器芯片上加大研发投入,已经研发出多款处理器芯片,如龙芯系列处理器、飞腾系列处理器、UniCore系列处理器、国芯系列处理器、申威系列处理器等。在自主操作系统方面,推出了中标麒麟服务器操作系统、中标麒麟桌面操作系统、ReWorks嵌入式实时操作系统、天熠实时操作系统等产品。在自主数据库方面,国内主要包括达梦、神舟OSCAR、金仓等通用数据库,以及天熠等嵌入式实时数据库产品。在计算机外围部件(如内存、外存、显示屏、电源、安全控制芯片)、办公软件、服务中间件等方面,我国也有了相应的自主技术和产品。
然而在网络技术方面,在日益增长庞大的网络规模和不断增加的新网络应用面前,我们在安全可控方面的能力却显得逐步下降和滞后。主要表现为:危险性――恶意攻击、病毒、木马每年造成巨大的损失;脆弱性――无控制的特性让整个网络在精心设计的少数攻击下陷入崩溃;迟钝性――现代臃肿的路由机制不能支持快速的部署和更新,即便发现问题也无法及时反应;低效性――IPv4到IPv6的演进,使网络设备的功能更复杂,让网络的管理更繁杂。
追根溯源,这一切的问题在于我们面前存在一个无法跨越的软肋――可控性,我们缺少掌握在自己手中的核心技术,尤其在网络关键软硬件上缺少突破和产业积累,这也反过来制约了我国各类信息系统的使用和效益发挥。
近年来,OpenFlow以及基于Openflow衍生的SDN(软件定义网络)技术则为解决我们在自主可控上面临的软肋找到了有效的方法。OpenFlow的理念是将路由器和交换机的控制平面和转发层面进行分离,即将原来由路由器或交换机控制的数据包转发过程,转化为由OpenFlow交换机和控制服务器(OpenFlow Controller)分别完成。
OpenFlow技术架构提供了一种可编程的网络实现,把IP网络原有封闭的体系解耦为数据平面、控制平面和应用平面,从而实现软硬件分离,革命性地改变现有的网络架构。这种对现有网络架构的颠覆也为我们彻底实现网络的自主可控创造了契机。
2 国内外发展现状
2007年,在美国斯坦福大学的“Clean slate”计划的引领下,由教授Nick Mckeown主导,斯坦福提出了OpenFlow协议。随后,OpenFlow在产业界引起了轰动,并迅速聚集了一批厂商进行产品的研发。
从2007年提出到现在,OpenFlow已经在硬件和软件支持方面取得了长足的发展。从OpenFlow推出开始, NEC、 Cisco、Juniper、Toroki、Pronto也相继推出了支持OpenFlow的交换机、路由器、无线网络接入点(AP)等网络设备。此外,具有OpenFlow功能的AP也已在斯坦福大学进行了部署,标志着OpenFlow已不再局限于固网。2009年12月,OpenFlow规范发布了具有里程碑意义的可用于商业化产品的1.0版本。OpenFlow相应的支持软件,如OpenFlow在Wireshark抓包分析工具上的支持插件、OpenFlow的调试工具(liboftrace)、“OpenFlow虚拟计算机仿真”(OpenFlowVMS)等也已日趋成熟。
目前OpenFlow的国际覆盖已经包括日本、葡萄牙、意大利、西班牙、波兰和瑞典等,尤其是在数据中心的应用已得到广泛认可。在数据中心网络中使用OpenFlow交换机,可以使得网络和计算资源更加紧密的联系起来并实现有效的控制。数据中心的数据流量很大,如果不能合理分配传输路径很容易造成数据拥塞,从而影响数据中心的高效运行。若在数据中心网络中添加OpenFlow交换机,则可以实现路径优化以及负载均衡,从而使得数据交换更加迅速。目前,Google的数据中心内部网络G-scale采用了OpenFlow交换机,成为OpenFlow的典范。Google通过10G网络链路连接分布全球的12个数据中心,在每个站点部署OpenFlow交换机和控制服务器,将链路使用率从30%~40%提升至接近100%。此外,网络运营商NTT宣布已在他们全球性网络(主要在亚洲,少数站点在美国和英国)运用SDN技术(Openflow)提供跨数据中心连接。
目前国内在产学研领域对OpenFlow技术进行研究的单位包括清华大学、北京邮电大学、上海交通大学、中科院、北京云杉网络、苏州盛科网络、阿里巴巴等。其中在OpenFlow交换机领域,苏州盛科已推出基于国产核心芯片的Openflow交换机。在控制器领域,北京云杉网络等单位基于NoX、FloodLight等开源软件进行了集成。综合来看,目前国内OpenFlow的应用还处在摸索研究阶段,尤其是在OpenFlow控制器方面都是基于开源代码,清华大学在此之上提出自己的管理控制方案,推出了自己管理控制软件,阿里巴巴也正在自研控制器系统。
3 存在问题
从目前国内网络设备构成看,设备类型全部是基于现行互联网协议的通用网络交换机和路由器,其中国外网络产品占70%以上,且大多部署在关键网络节点,网络规模、组织结构、功能性能很容易被国外获取。 目前,在网使用的通用网络交换机软硬件架构支持功能庞大复杂。不但需要完成基础的数据转发功能,还需要支持三层路由、组播、QoS、MPLS VPN等网络功能,甚至需要支持防火墙、NAT、访问控制等安全设备需要支持的特性。为了支持这些功能,在交换机操作系统需要集成上层接口、进程管理等程序,整个系统代码达到百万甚至千万行,如图2所示。
这种架构使得各种模块之间必须依赖CLI、SNMP等接口间的不间断合作通信才能确保系统运行,而且很难做到有意义的扩展。如果想在现有交换机中定制化开发一个特有的通信协议就很难实现,不管是在软件中增加模块还是增加FPGA等硬件模块,都需要增加交换机软件的工作量和复杂度,而且需要全网设备都更新升级。
另外,大量的功能和表现在每一台设备实现和支持,不但消耗有限的设备资源,也存在泄露网络拓扑以及网络中传输数据的潜在风险。
4 解决思路
引用OpenFlow的技术思想,将网络交换机演变成工作方式。通过OpenFlow技术,将路由器和交换机的控制平面和转发层面进行分离,即将原来由交换机控制的许多控制平面功能,如生成树协议、MAC地址学习、路由计算、防火墙以及负载均衡等均由控制服务器(OpenFlow Controller)完成,而不是交换机固件决定。数据包转发过程则由OpenFlow交换机完成。
整网来看,传统网络中数据包的流向是根据路由表进行数据包级别的交换;而在OpenFlow网络中,经过OpenFlow交换机的每个新的数据流都必须由控制器来做出转发决定。在控制器中可以对这些流按照预先制定的规则进行检查,然后由控制器指定数据流的传输路径以及流的处理策略,从而更好的控制网络。更为重要的是,在内部网络和外网的连接处应用OpenFlow交换机可以通过更改数据流的路径以及拒绝某些数据流来增强网络内部的安全性。
5 实现方案
安全可控的OpenFlow网络将充分利用国内产业相关单位突破的关键技术和技术创新成果,应用集成基于自主关键软硬件的新一代国产OpenFlow交换机,自主开发的OpenFlow控制器及上层软件应用。
其中OpenFlow控制器是一个服务器平台,该平台向下可以直接与使OpenFlow交换机进行对话,向上,控制器可为OpenFlow软件应用提供大量功能,包括将OpenFlow交换机资源编入统一的网络视窗内,为应用提供协同和通用库,控制器上的大量功能是通过软件实现的自定义可编程程序。
6 技术优势分析
对于传统网络来说,IP协议提供的可视化能力和可控制性都十分有限。一方面运维人员难以获得精准、实时的网络信息,另一方面控制手段十分单一。而基于软件定义网络,这两方面的问题几乎迎刃而解。
6.1 增强网络安全,有效控制管理网络
新网络架构中,每一个终端的接入以及终端数据的传输路径都是在控制器按需指定的,这可以保障对每一个用户的接入以及每一个用户接入网络以后的行为都是可查可管的。OpenFlow交换机的转发表项本身还具有过滤功能,可以对非法数据进行限制,从而保证了正常业务的稳定运行。对于重要业务,OpenFlow交换机不仅可以定制安全可靠的转发路径,对流量进行有效跟踪,也可以对流量进行带宽保证,确保重要业务的安全和可靠。此外,数据交换网络和控制网络分离,OpenFlow交换机数据层端口不能登录,杜绝了数据网络非法获取交换机控制权的可能,网络更加安全可靠。
6.2 能够极大提高网络设备自主保障能力
简化现有网络拓扑,提升网络部署效率。新的网络架构中可以大大减少网络设备的部署数量,而且部署基于自主技术和关键部件的新一代网络系统装备,可以从根本上突破西方发达国家在计算机网络系统关键部件和核心技术上对我国的制约,在其全寿命周期内都可以得到优质保障,零备件供货渠道通畅,可以获得稳定的技术支撑。
在控制器方面,则可以最大限度的按照我们自己的使用需求,定制网络运行规则和管理规则,从根本上保证了网络系统具有自主维护保障的能力。
6.3 能够大量降低设备采购、管理和维修成本
由于我军网络系统大量采购国外设备和关键部件,在网络装备采购费、综合维护管理费和维修成本上不堪重负。
在设备采购方面,国外进口网络设备价格昂贵,尤其是部署在核心层的设备,设备采购价格要远高于国产同类网络设备。如果采用国产网络设备将节约30%以上的设备采购经费。采用自主知识产权的OpenFlow技术研制网络设备,可以避免支付给外商大量专利费用,从根本上扭转高额利润流向国外厂商的不利局面。
6.4 能够增强网络的稳定性和可靠性
由于OpenFlow交换机的优化设计:精简了大量网络控制协议,并把网络控制权集中管理,交换机系统CPU负担减轻;对网络的非法控制和攻击在设计上已经被拒绝,并且对非法流量的可限制能力,更加加强了整个网络的可靠性。
7 结束语
“掌握核心技术”是我国建设和维护新一代自主安全可控网络的思路。我们需要除了在网络设备开发上掌握关键软硬件的核心技术以外,还需要在整网建设和运维上按需管理、按需控制,才能真正消除我们在信息网络领域的先天性弱势地位,保证网络的深层次安全。
参考文献
[1] McKeown N, Anderson T, Balakrishnan H, et al. OpenFlow:enabling innovation in campus networks[C]. SIGCOMM ComputCommun Rev, 2008, 38 (2) :69-74.
[2] Software-Defined Networking: the New Norm for Networks[M]. ONF White Paper, 2012.
[3] 王文东,胡延楠.软件定义网络:正在进行的网络变革[J]. 中兴通讯技术. 2013(01):39-43.
[4] 袁广翔.软件定义网络技术发展与应用研究[J]. 现代电信科技. 2013(04) :45-50.
[5] 吴强,徐鑫,刘国燕.基于SDN技术的数据中心基础网络构建[J]. 电信科学. 2013(01):130-133.
基金项目:
国家自然科学基金项目(61063042);中国博士后科学基金项目(201104753);北京市自然科学基金项目(4132025)。
作者简介:
杨明华(1977-),男,博士,工程师;主要研究方向和关注领域:网终安全、可信计算技术。
陈聪(1980-),男,江苏南京人,硕士,毕业于安徽大学,工程师;主要研究方向和关注领域:无线通信技术。
郑建群(1974-),男,江苏建湖人,第二炮兵工程大学,硕士,高级工程师;主要研究方向和关注领域:信息化应用技术。
王振海(1975-),男,青海西宁人,兰州大学,本科,工程师;主要研究方向和关注领域:计算机网络技术。