现代职业教育杂志社 > 论文中心 >

智慧校园网络及安全的SDN架构选择研究

2020-09-27  |  作者:现代职业教育杂志  |  栏目:论文中心

  [摘      要]  随着物联网、云计算、大数据、人工智能等新技术在智慧校园建设中的逐渐普及,传统的三层网络架构已不能满足高校智慧校园建设需求。使用软件定义网络(Software Defined Network,SDN)和虛拟扩展局域网(Virtual Extensible Local Area Network,VxLAN)技术对校园网进行设备整合,构建扁平化的二层网络架构,实现“接入控制、业务隔离、网随人动、融合安全”的一体化智能接入平台将成为高校校园网络的发展方向。在建设好基于SDN技术的智慧校园网络时,需要从边界安全、访问安全、数据安全等多个方面综合考虑,确保网络安全。
  [关  键  词]  软件定义网络;虚拟扩展局域网;网络架构
  [中图分类号]  TP393.18           [文献标志码]  A        [文章编号]  2096-0603(2020)02-0224-02
   在国家教育战略部署方向的指引下,,物联网、云计算、大数据、人工智能等新技术在校园网中逐渐普及,智慧校园建设成为校园信息化发展中非常重要的一环。然而随着业务系统的逐渐增多,用户数量、VLAN和IP子网数量也在逐渐增大,网络扩展变得越来越困难,网络架构和设备配置逐步复杂化等问题也随之凸显,高校校园网中普遍采用“核心—汇聚—接入”的经典三层网络结构和传统运维模式已经无法满足管理和应用的需求。
   智慧校园建设中,网络架构扁平化是目前校园网发展的主要趋势,基于SDN和OverLay技术来实现校园网扁平化架构是目前主流的技术路线,二层扁平化结构和SDN运行模式,可以实现对校园网设备的自动化管理、全面监控、故障自动化排除等,具有运维成本低、扩展灵活等多种优势,能更好地满足智慧校园建设的技术及安全管理需求。
   一、SDN技术及实现方式
   SDN(Software Defined Network)也叫软件定义网络。是由美国斯坦福大学CLean State课题研究组[1]提出的一种新型网络创新架构,其核心理念是将转发层和控制层分离,并可以通过软件编程及控制的方式定义和控制网络[2]。
   (一)控制层
   目前SDN的控制层平面技术有两种,第一种称为“强控”。是将所有网络设备的控制层全部进行上收,形成“最强大脑”,所有流量转发都需要经过“最强大脑”SDN控制器进行集中管控。其优点是硬件设备不需要运维,只需要将设备纳管至SDN控制器即可,所有流量转发路径均由SDN控制器统一管理,通过OpenFlow或Netconf协议进行流量路径下发,称为“引流”。但是,如果控制器一旦被黑客入侵或宕机,整个网络将会陷入瘫痪。
   第二种称为“弱控”。即使用已有的路由协议进行邻居发现和关联。这种技术通过两种可扩展路由协议进行实现,第一是IS-IS模式,通过IS-IS的可扩展字段进行私有扩展,为私有协议;第二是BGP模式,虽然也进行可扩展字段扩展,但已经被标准化(标准化文档为:RFC7348、RFC7209、RFC7432)。
   (二)转发层
   SDN技术将所有网络设备的控制平面进行上收,设备只做转发,然而随之又出现了寻址问题——二层寻址广播域太大会影响到网络的稳定性,三层虽然可以隔离广播域,但又会遇到到三层IP寻址问题。
   OverLay网络是一种网络叠加技术[3],通过在原有物理网络中叠加多张逻辑网络——在转发层通过建立虚拟专网,能有效将不同业务网络进行隔离,增加网络容量的同时不扩大广播域,而网络IP地址不随地域的改变而改变。OverLay网络可以很好地解决SDN技术实现时转发层存在的问题。
   二、智慧校园网络大二层的实现
   目前,Overlay叠加技术实现模式有很多,网络部署中最常用到的有VxLAN、NVGRE、STT三种,而这三种中,VxLAN技术最适合在智慧校园网络中进行部署,不仅因为VxLAN具有传输速率快、有报文验证、不改变原有报文等特点,同时,VxLAN也具有好配置、易管理等优势,因此,VxLAN技术成为智慧校园网络及安全SDN架构转发层的优选。
   从上图可以看出,VxLAN是将原有二层报文增加了VxLAN报文头,再行封装四层UDP头、IP头、Ethemet头后进行数据传输。VxLAN报文有四个字段,分别为VxLAN Flags、Group ID、VNI和Reserved。VxLAN Flags表示标记位,字段长度为8比特,取值为00001000时,表示VxLAN头中的VxLAN ID有效;取值为00000000时,表示VxLAN ID无效。VNI表示一个VxLAN网络,字段长度为24比特,用于区分不同的VxLAN,即VxLAN ID,在智慧校园网络中,一个VxLAN ID可以表示一个智慧校园业务,不同的业务通过不同的VxLAN ID进行区分隔离与互通。
   由于VxLAN具有隧道特性[4]和分布式网关特性,可以使同一个网关IP地址在不同的地点出现,即在隧道两端使用同一个IP地址,这给整个网络进行扁平化改造提供了可能。虽然物理上还是三层架构,并未减少网络连接层次,但是在逻辑上,已经转化为只有业务控制层和接入层的二层网络架构。业务控制层主要功能为终端用户控制、访问控制、流量控制等;接入层主要提供用户接入、二层网络隔离和隧道建立。这种扁平化网络建成后,由于使用SDN控制器将整个网络配置进行集中管理,相较传统网络,能极大降低运维成本,提升运维效率。

相关文章:
  • 1 浅谈微课程在初中数学教学中的应用
  • 2 基于网络教学的中小学英语教师培训问题分析
  • 3 数字化地理教室在初中地理课堂教学中的整合运用探索
  • 4 信息技术助力初中语文阅读教学探析
  • 5 借信息技术之翼,助飞中考数学复习教学
  • 6 走进身边的非物质文化遗产
  • 7 啜英咀华·循根固本
  • 8 基于信息技术的初中英语词汇教学探究
  • 9 基于“互联网+”背景下核心素养理念在初中英语教学中
  • 10 “微课热”背后的思考
  • 现代职业教育杂志论文在线投稿
    刊物简介
    期刊目录
    杂志动态
    最近更新