基于SDN与SDIS技术保障网络虚拟化安全

化构建中存在的妥全风险,基于此，深入研究了 SDN技术与SDIS技术，并提出了保障网鑰虚拟化安全发展的策略，以期 网络虚拟化有价值特性充分发挥的同时，还能够为广大用户提供优质、妥全的服务。关键词:SDN技术;网络虚拟化;妥全凤险;SDIS技术中图分类号:TP393.08 文献标识码:A 文章编号:1673-1131（2019）06-0216-02SDN是Software Defined Netwcnk的简称，它是网络虚拟

化的一种实现方式，将其应用于网络虚拟化中，能够表现出灵

活性这一显著特征。目前，网络虚拟化应用的范围较为广泛,

常规网络中，数据交流或者路由器来完成,

而无论是交换器还是路由器在数据交换过程中,都是起到一个辅助作用，能够动态的支持，提高了网络运行

其运用过程中存在的安全风险越演越烈，已经制约了网络虚拟

化的发展。所以，下文中，笔者结合多年的实践工作经验，概述

的安全性。除此之外,交换器或者路由器还能够感知流量进行, 进行自动化、智能化的调整，实时满足网络环境需求，为网络运 行的稳定定保驾护航。然而，将SDN技术引入到虚拟网络中，

并不是通过交换机或路由器实现数据交换，而是通过网络控制

了虚拟化网络运行中施的安全风险，并在深入研究SDN技

术,提出了 SDN技术保障网络虚拟化的安全策略,具体如下：

1网络虚拟化的安全风险网络虚拟化带来了众多有价值的特性，但是它的安全级

别却并不理想，甚至某种程度上降低了网络的安全性能。而 新时期背景下，人们对于网络安全性能的要求越捞越高，所以 作为一线的工作人员,必须要认识到网络虚拟化的优越性，同

系统实现数据交换,且数据交换过程中根本无法全面感知其产 生的流量，这无疑是网络虚拟化的安全风险，必须要受到足够的

重视,否则可能会出现一些问题，影响整个系统的安全性。2 SDN技术保障网络虚拟化的安全策略网络虚拟化必定会面临新信息安全的挑战,而SDN技术 作为一种新型技术，将其应用于网络安全虚拟化中，确实能够 解决网络虚拟化的安全风险，提高网络虚拟化的安全性能。概

时更要认识到网络虚拟化的安全风险，针对性地进行探索与 创新，进而实现高安全的网络。笔者结合多年的工作实践经

验，从三个方面概述了网络虚拟化的安全风险。括来讲，SDN技术保障网路虚拟化安全的实现，就是从SDN

1.1监测不完善，存在死角网络虚拟化，需要在系统中部署虚拟主机,同时还要与外 界建立良好的联系，保障顺畅地完成数据的交换。而概念引申到SDIS,与SDN相对应,SDIS强调安全硬件设备的

可编程化。SDIS将安全策略执行点与安全控制器相互分离， 实现了安全设备快速、自动适应业务的动态变化。这里提到的“交换”，则是指虚拟主机之间的数据交换，也 可以说某物理主机内部虚拟的数据交换。笼统来讲，网络虚

2.1采用SDN技术,大量采集数据拟化中的“交换”对象就是“数据”。某物理主机内部虚拟主机

之间进行数据交换时，并不需要借助“网络”，而是仅通过物理

SDN技术能—种新型的斓采集方式,它能够棘 大量的数据，为SDIS进行自动化秒、分析与挖掘提供数据支 持。在SDN架构（图1）中,是允许将定制的数据包发动到控制

器,如若数据包未能匹配到任何规则，则可以视为异常数据，并 将其发动到控制器进行深入的分析,反之,如若数据包匹配到相主机内部就可以顺畅地完成数据交换。众所周知，无网络服 务时,安全监测设备并没有处于工作状态，并不能够为数据交

换提供监测服务,这无疑是网络虚拟化的安全风险。可见，网 络虚拟化操作过程中，某物理主机内部之间的数据交换并无

则,那么舷项的计数器就应的鹹丹数。受到监测，视为网络虚拟化的安全风险。1.2安全设备，不具备适应的迁移功能网络虚拟化已经受到了广泛的关注，归根究底就是因为 网络虚拟化具有灵活的业务能力、快速转变角色的能力。目前,网络虚拟化技术应用的范围越来越广泛，需要提供 的服务的种类越来越多，所以在实际应用时,就要抓住业务的 特征，完成虚拟主机从，同时还要彻底清除A物理主机内的网

络资源，并在B物理主机内配置相应的。实践证明，要想虚拟 主机顺畅、安全地运行，就要完成安全监测设备从，同时还要 确保虚拟主机与安全监测设备之间的配置完美，进而为快速 拓展新业务奠定良好的基础。然而,在实际运行中,A物理主

图I SDN架构图2.2利用SDIS技术，构建信息安全结构对比后发现,SDIS与SDN相同,前者就是作为一种信息 安全设计理念存在的。SDIS实际应用过程中，能够依据网络 运行的环境，建立针对性较强的信息安全系统，提升网络运行

机中的安全监测设备并不会迁移到B物理主机中，更谈不上 无缝迁移,归根究底就是安全监测产品并不具备迁移功能，不

能够完成迁移，这就意味着迁移后,会出现虚拟主机与安全监

的安全性。而将SDIS技术应用于网络虚拟化中，就是将安全 结构划分为SDIS接口、信息安全大脑系统等几个功能模块，使 这些模块各司其职，相互合作，进而保障网络虚拟化的安全性。 结合SDIS技术自身的特征和虚拟化网络运行的需求来讲，测设备不相配的情况出现,进而影响正常运行。1.3网络流量不可见,无法全面感知2162019年第6期(总第198期)

信息通信INFORMATION & COMMUNICATIONS2019(Sum. No 198)一种支撑专线快速开通网络资源快速匹配的设计吴举(中国移动通信集团湖北有限公司，湖北武汉430023)摘要：随着社会信息化程度的不断提高，集团容户业务增长迅速,在通信运营商的收入占比也是逐年提升。但在集容开 通的实际过程中，集容业务的开通存在着建设周期长、施工难度大、建设成本偏高、网络资源分布并不透明等问题，进而 直接制约集团客户业务的快速发展。为了快速响应集团客户的业务需求，通过收集目标客户的经纬度信息，结合现网已 存在的如光交箱、基站等网络资源，结合两种经纬度信息进行快速匹配，找到就近且最合理的网络资源点。关键词：专线；资源；快速开通中图分类号:TN929.1 文献标识码:A 文章编号：1673-1131(2019)06-0217-02由于网络哑资源信息的不透明或信息传递不准确，会对现场 资源核实这一步的准确性和工作效率产生影响。由于当前的网络综合资源的集团客户管理模块还没有实 现客户坐标点和网络资源的直接自动化匹配机制的开发，对 集客流程式开通的管理人员而言目前仍然处于手动匹配模式, 工作的效率仍然不高，无法有效的支撑起专线的快速开通。为了提髙现场资源查勘的效率、整体提升专线开通的速 度和质量，迫切需要一种对集客需求点与网络资源进行快速 的有针对性的匹配的工作模式。本设计主要是通过客户信息收集、网络资源信息收集、资 源经纬度的匹配三大部分构成。其中关于经纬度匹配具体操作流程为：首先建立网络资 源经纬度、客户经纬度清单表格，其次计算距离进行匹配(如

0引言目前电信运营商的集团客户专线业务增长迅速，对集团 客户专线的开通时限要求也越来越高，如果不对集团客户与 现网的网络资源进行整合管理匹配，会影响专线开通效率及 准确率，也无法有效地发挥存量网络资源的最大价值。1集客专线的特点集团客户专线的需求一般由各网格的专业客户经理进行提 交，集团客户对专线开通时限和开通质量的要求与普通家庭用 户相比相对来说更高，按照公司的\"客户需求高于一切的”整体 发展理念,需要整个公司市场、工程、运维各个团队高效配合、快 速运作，以最快的速度进行专线的开通和交付”而在集客业务的开通过程中普遍存在着建设周期长、施 工难度大、建设成本偏高、网络资源分布并不透明等特点。面对这些特点，如何快速响应集团客户的开通需求，对集 客需求点与网络资源进行快速的有针对性的匹配，提高开通 效率,将是一个重要课题。果客户点300米范围内有网络资源点则进行结果输出，若无 网络资源则需要进行网络资源新建),再次进行资源点优选和 结果分析，最后输出结果指导现场查勘。2.1客户信息收集集客资源点基本分为已有业务的集客点和重点目标客户 点，对已有业务的集团客户点而言，天然具备网络资源，只需 核实该网络资源点是否满足后续的业务扩容需求；对于还未 发展业务的重点目标客户而言就需要进行网络资源匹配。经过统一对客户经理组织培训，各区县的客户经理使用 专业的经纬度标定软件进行客户经纬度信息收集。该项工作并不会额外增加客户经理的日常工作量,在日常 拜访的时候就可以直接使用手机进行经纬度确认和记录工作,

2现状及设计近年来湖北省陆续规划建设了综合业务接入区、微网格、 重点场景覆盖等项目，现网资源覆盖程度已逐步提升,就目前 的网络存量资源情况来看是可以支撑起专线业务开通的需求 的，也与“降本增效”这一理念相吻合。目前湖北已全面进行集客专线流程式(快速)开通，其主 要内容就是从流程上对集客的开通进行重新设计，改变之前 的集客由设计、工程施工然后再转入维护的较长的流程模式, 直接由代维单位现场进行资源查勘然后利用现有的网络资源 或快速新建直接进行开通交付。但是流程式开通中的资源查勘环节集团客户和网络资源 匹配大部分仍然是凭借维护人员的个人记忆和工作经验进行,

最后汇总记录后形成表格文档的同时批量导入到电子地图中O 2.2网络资源信息网矗金源窃第度信息可以通过综合资源平台和设计单位

的原始设计图纸两个渠道进行获取，然后对重点覆盖区域的SDIS技术既可以作为一种应用软件，还可以作为网络虚拟化

安全系统的“中枢神经”。总而言之.SDIS技术就是为网络虚

拟化安全提供保障的。参考文献：3结语新时期，虚拟化网络得到了广泛地应用,且其应用范围仍 旧在不断地拓展中，然而在虚拟化网络应用范围日渐广泛的 今天，虚拟化网络运行过程中存在的安全隐患,必须要给予高 度的重视、正视，否则会制约虚拟化网络的发展，进而影响我 国社会经济、科学技术的发展。而提升虚拟化网络的安全性, 并不是一个简单的工程，而是需要结合实际情况，进行深入得 研究与创新，形成具有针对性的策略，才能够取得理想的效果。

SDN,是网络虚拟化的一种实现方式，该技术核心技术就是 “OpenFlow”,其是通过路由器与交换机中的控制平面的结合, 进而将数据分离开来。将SDN和SDIS应用对虚拟化网络安

全性能的促进作用,却需要众多一线的技术立足实践,进行探 索与创新，定然能够实现提升虚拟化网络的安全性能的目标。

[1] 张凯，裘晓峰,朱新宁.基于SDN的网络虚拟化平台及其隔

离性研究[J].电信科学,2016(09): 125-131.[2] 王振继.SDN网络虚拟化安全服务动态构建技术研究[D].

北京交通大学,2017.[3] 肖贵福.基于虚拟化安全网络扩展的SDN安全架构[J].现代计算机传业版),2014(21):6-10+17.[4] 齐宇.基于虚拟化网络的SDN安全研究[J]. ?中国公共安

全(学术版),2016(02):95-9&[5] 曹勇,吕光宏，周飞.?基于SDN的网络虚拟化平台研究[J].

通信技术,2017(09):1987-1993.[6] 王刚.一种基于SDN技术的多区域安全云计算架构研究

[J].信息网络安全,2015(09):20-24.作者简介:杨襄(1983-)，女，广东潮州人，中级工程师，研究方 向为数据通信网络设计、网络安全。217