1.2 一种内生安全软件定义广义网络架构设想
提出的内生安全软件定义广域网(SoftwareDefined Wide Area Network,SD-WAN)综合应用 SDN、NFV和新型的内生安全技术的核心思想和原理,将原用于数据中心网络的SDN技术拓展至广域网,在传统广域网上替换升级各类传统接入路由器为SDN安全接入路由器和虚拟化安全路由器,引入WAN控制器、网络编排等新功能实体,以更好地满足各类新型云化业务对网络传输的新需求 。将原来叠加于广域网络上的各类安全防护机制和手段,采用内置于设备、虚拟化、软件化、可动态加载和配置等方式实现,增强系统的自身安全属性和灵活部署性,提升安全防护效果 。
方案利用SDN技术增强广域网络的集中控制能力,建立集中控制与管理平台,通过控制器提供的南北向接口协议,把应用业务同广域网络中的各类设备关联起来 。一方面,可以实现对网络状态的主动监测、感知和调整等,以符合应用业务的要求;另一方面,各种不同的应用业务能够更加简便、灵活地调用网络服务,使广域网络能够更好地为应用提供服务,变得更加开放、可视、可调度以及便于运维保障等,从而提升各类应用业务的服务质量保证和用户应用体验等 。内生安全SD-WAN网络架构如图1所示 。
文章插图
图1 内生安全软件定义广域网架构图
在该SD-WAN架构中,WAN控制器直接赋予了整个网络开放性和灵活度,是该架构的核心 。业界两个主流的开源SDN控制器OpenDayLight(ODL)与开源网络操作系统(Open Network Operating System,ONOS)基本上已成为行业标准 。其中,ODL作为参与度最广的、领先的开源控制器平台,已经在数据中心网络广泛应用,现已逐步向广域网领域延伸和普及 。该网络架构也将采用ODL控制器机制,并作为构建开放SD-WAN的核心控制平台,扩展不同的业务应用模型,以满足不同用户场景下的应用需求 。
在该架构中,中心的WAN控制器通过北向API接口实现与管理编排及应用系统的需求下发及状态收集上报,通过南向协议接口实现与网络设备的控制及交互,并形成应用驱动网络重构、网络适用应用需求与变化的闭环控制效果 。其中,最关键的是控制器通过南向接口协议与网络设备进行交互,主要有信息采集和服务控制两大功能 。信息采集是指控制器要能够实时获取网络拓扑、业务流量状态、链路质量以及拥塞情况等网络信息,为网络状态呈现、网络控制决策提供信息支撑 。服务控制是指控制器利用收集到的各类网络信息数据,基于策略或模型与应用业务需求进行匹配,生成对网络服务提供的具体需求,并通过南向接口实现对网络路由转发行为的控制和调配等 。
2 SD-WAN关键设备与技术方案
根据前述提出的内生安全SD-WAN网络架构,下面研究提出其关键设备组成 。
2.1 SD-WAN关键设备组成
随着各类新型云化业务的快速发展,需要对网络链路带宽、网络交换容量等不断进行扩容、调整 。另外,传统的网络流量工程应用复杂,不便于动态配置和调整,难以满足多样化的端到端的业务服务 。通过采用SD-WAN架构实现网络的集中控制、统一调度和业务的智能选路,通过提升边缘路由设备的灵活控制,以满足业务的按需扩展、动态编排等 。
根据广域网络骨干和核心部分一般是基于传统路由器为主的情况,为了在现有广域网上快速和简便地构建具备支持云化应用的能力,提出一种较为精简的支持软件定义、网络云化的SD-WAN关键设备组成方案,分别为软件定义安全接入路由器、虚拟化安全路由器、动态编排与智能控制设备 。
软件定义安全接入路由器部署于用户网络边界,可基于软件定义的数据面转发功能等,构建适应不同业务需求的隧道或传输切片 。此外,基于虚拟化网络功能(Virtualization Network Function,VNF)编排各类安全防护功能,包括虚拟防火墙、虚拟抗分布式拒绝服务攻击、虚拟入侵检测系统等,支持广域承载网多种类型链路承载,以适应现有传统广域网络和全新 SD-WAN网络等融合应用的组网需求 。基于软件定义的数据面转发功能包括IP、IP in IP、多协议标签交换(Multi-protocol Label Switching,MPLS)以及虚拟可扩展局域网(Virtual extensible Local Area Network,VxLAN)等 。
虚拟化安全路由器实现网络设备云化和虚拟化 。基于NFV技术,可以将其部署于各类通用高性能服务器、云计算环境,是面向云应用的接入网关,其具备集成路由、交换、安全、虚拟专用网络以及服务质量等复杂功能,具有软硬件解耦、业务易部署和智能运维等特点,可以部署在入网点和云环境中 。
推荐阅读
![[刘国梁]刘国梁待人不公?20岁小将2次夺冠遭冷藏,郭跃式悲剧再上演](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/2bf68c88a7b445d51abf428bd39d001e.jpg)
- 车联网时代,我们更安全了?还是更危险了?
- 使用 Linux 安全工具进行渗透测试
- 保护文档安全的各种姿势,WPS 都替你准备好了
- 网络安全工程师演示:黑客如何配置渗透测试网络和生成安卓木马?
- 微软 Win10 KB5011831 发布:修复黑屏问题,改进安全启动组件
- 常见 Web 安全攻防总结
- Linux系统安全攻防技术
- 复杂的安全环境里,华为应用市场如何给用户吃下“定心丸”?
- Web安全之URL跳转漏洞
- jenkins+Acunetix实现自动化安全测试