1、 本 科 毕 业 设 计 ( 论 文 )题目:SDN 虚拟网络的安全设计与部署 I摘 要虚拟化网络的安全性问题一直引人关注,搭建更安全、更优质的网络也是众多网络技术人员梦寐以求的。同时,网络需求的不断增长使得传统网络面临严峻挑战,新型的 SDN 网络应运而生。本文将围绕这些方面的问题展开讨论与研究。本文主要搭建了两种网络。一种是较为传统的网络,使用的是 vyatta 路由器,另一种是目前比较新颖的 SDN 网络。本文更多的篇幅将用于讲解传统的 vyatta 路由器的安全网络的搭建与测试。 本文首先介绍了所用到的技术和软件,例如 SDN 网络的概念、OpenvSwitch 虚拟交换机、vyatt
2、a 软件等等。目的是让读者能在阅读具体技术细节时能对本文所用到的技术能够有大概的了解。本文的工作主要是搭建 VirtualBox 虚拟机平台,在虚拟机中安装 Vyatta 路由器软件、SDN 控制器、虚拟交换机 OpenvSwitch;在云平台上分别实现 Vyatta 虚拟机、OpenvSwitch 虚拟交换机启用 36 个虚拟网卡的功能(利用 VirtualBox 功能) ,用 Vyatta实现虚拟机端口转发功能,以及虚拟机之间互不连通的 VLAN 功能(利用 VirtualBox的 Host Only 虚拟网卡) ;搭建 SDN 控制器和 OpenvSwitch 虚拟交换机的网络关键词:虚
3、拟化;路由器;vyatta;SDNIIAbstractThis paper describes the process in building a secure network on virtualization platform for safety testing. This paper set up two networks. One is the more traditional networks, using vyatta router, another is relatively new SDN network. In this paper, more space will be
4、used to build and test explain traditional vyatta router security network.This paper describes the technology and software those have been used , for example, the concept of SDN network, OpenvSwitch virtual switch, vyatta software and so on. The purpose is to allow the reader to have a overlook of t
5、he technology before reading the specific technical details.The main work of this paper is to build a VirtualBox virtual machine platforms, install Vyatta router software, SDN controllers, virtual switches OpenvSwitch in the virtual machine; enable 36 virtual NICs function (using VirtualBox function
6、)on the Vyatta virtual machines and OpenvSwitch virtual switches, achieving port forwarding between virtual machines with Vyatta, and virtual machines do not communicate with each other VLAN function (using the VirtualBox Host Only virtual NIC); build network with SDN controllers and virtual switch
7、OpenvSwitchKeyword: Virtualization; router;vyatta;SDNIII(目 录摘 要 ABSTRACT 第一章 绪论 11.1 本课题的选题背景和意义 11.2 本文的主要工作 11.3 主要研究工作 2第二章 基础原理介绍 32.1 Virtualbox 介绍 32.2 虚拟化技术 32.3 vyatta 路由系统 42.4 SDN 技术架构 5 2.5 Openflow 简介 72.6 Openvswitch 虚拟交换机 92.7 SDN 控制器 92.8 本章小结 10第三章 在虚拟化平台上搭建网络拓扑 113.1 搭建 vyatta 路由器网络
8、 113.2 搭建 SDN 网络拓扑 143.4 本章小结 15第四章 网络功能设置与测试 164.1 防火墙策略及 DMZ 原理 164.2 NAT 功能设置与测试 214.3 VLAN 的互不连通功能 24 4.4 启用 36 个网卡 264.5 搭建 SDN 网络 294.6 划分 SDN 的 VLAN 334.7 连接 SDN 控制器 354.8 本章小结 37IV第五章 工作总结与展望 38结束语 39参考文献 40附 录 41致 谢 451第一章绪 论1.1本课题的选题背景与意义网络时代正在高速发展,时代的脚步无法阻挡,当今所处的时代网络必不可少,不可或缺,无论是工作、娱乐都离不开
9、网络。人们对网络的需求越来越大,对网络质量的要求也越来越高,以往的网络技术越来越满足不了人们的需求,网络技术需要在资源分配策略,安全性等等方面有更大的突破。而虚拟化技术是解决这些问题的重要技术,虚拟化技术有更高的资源利用率,可以减少管理费用,减少要管理的物理资源的数量,对物理资源进行抽象,使公共管理更简单,自动实现负载均衡,资源配置使用更满足需求,有更高的安全性和可用性,便于扩展,虚拟化能够以更小的单位进行资源分配。与物理资源相比,虚拟资源因其不存在操作系统和硬件方面的问题而能够在出现崩溃后更快地恢复。因此本论文将在虚拟化平台上用 vyatta软件搭建一个传统的虚拟的安全网络,进行一些安全测试
10、。但传统的网络目前也越来越不能适应网络需求的高速增长,我们需要一种新的网络结构解决更庞大的网络需求。SDN 体系架构的出现为目前网络问题的解决提供了新的方向,因而在产业界和研究领域得到了深入的研究和应用。因此本文也将搭建一个简单的 SDN 网络进行测试。1.2 本文的主要工作本文的工作主要是在 Virtualbox 虚拟化平台上搭建传统网络以及新型的 SDN 网络,并对其进行简单的安全测试,所涉及的内容都是比较新颖实用的,尤其是 SDN 网络这种未来极大可能广泛使用的前沿技术。本文将紧紧围绕虚拟化网络的安全性问题进行研究,具体的就内容为:(1)了解虚拟机软件、软件定义网络 SDN、OpenFl
11、ow、虚拟交换机 OpenvSwitch、路由器、防火墙、DMZ、VPN 及网络安全的相关技术;(2)搭建 VirtualBox 虚拟机平台,在虚拟机中安装 Vyatta 路由器软件、SDN 控制器、虚拟交换机 OpenvSwitch;(3)在云计算平台上分别实现 Vyatta 虚拟机、OpenvSwitch 虚拟交换机启用 36 个虚拟网卡的功能(利用 VirtualBox 功能) ,用 Vyatta 实现虚拟机端口转发功能,以及虚2拟机之间互不连通的 VLAN 功能(利用 VirtualBox 的 Host Only 虚拟网卡) ,再用 SDN控制器和 OpenvSwitch 虚拟交换机实
12、现同样的 VLAN;(4)编写详细的开发测试平台安装使用说明文档,及自己设计安装系统的开发说明书;远期目标是实现云计算和 SDN 的虚拟化网络的安全,虽然本文所做的内容比较基本,但这也是为云计算和 SDN 网络的搭建成功打下基础。1.3 本章小结本章主要讲述了本文选题的原因以及一些对题目的初步介绍,由此我们可以看出虚拟化网络的应用广泛,以及本文所研究内容的实际意义。就目前而言,虚拟化技术是解决当前许多网络瓶颈的一个关键技术,而为了虚拟化技术的更大规模的使用,首先必须解决虚拟化网络的安全性问题,这也是本文研究的主要目的之一,在下一章中,本文将会对所使用的技术和软件进行简单的介绍。3第二章 基本原
13、理介绍2.1 Virtualbox 介绍本文使用的虚拟化平台是 Virtualbox 软件。VirtualBox 是一款开源 x86 虚拟机软件。VirtualBox 最初是由德国 innotek 公司开发的,2008 年 Sun 收购了该德国公司,而 Sun 于 2010 年被 Oracle 收购,于是目前是由 Oracle 公司所拥有 VM 。 VirtualBox 是一款免费的虚拟机软件,它具有自身的开源特性,而且功能非常强大!它的可操作性强,不仅拥有良好的图形化界面,更重要的是支持使用命令行进行更多操作,它对虚拟机的修改、配置的能力更强。Virtualbox 可虚拟的系统包括 Wind
14、ows (从 Windows 3.1 到 Windows8、Windows 2012 为止所有的 Windows 系统都支持) 、Mac OS X(32bit 和 64bit 都支持) 、Linux(2.4 和 2.6)、OpenBSD、Solaris、IBM OS2 甚至 Android 4.0 系统等操作系统!使用者可以在VirtualBox 上安装并且运行上述的这些操作系统。这为开发者提供了极大的便利,使得开发者只需要在一台主机上便能操作各种各样的系统,为开发和测试带来很大好处。 12.2 虚拟化技术虚拟化技术可以将物理计算资源以更小的单位进行切分,并进行合理的分配调用,进而实现机器模拟
15、和资源共享共享。虚拟技术在很多重要领域(服务集成、安全计算、多操作系统并行运行、内核的调试与开发系统迁移等)都有很高的价值。它是突破当今网络资源高效利用瓶颈的关键技术,它能充分挖掘现代计算机的潜力资源。采用虚拟化技术能对底层进行抽象,使管理员不必再去与复杂的物理底层打交道, ,使系统的运行逻辑变得更简单、更易于管理,降低运维的成本。操作系统虚拟化是指虚拟化抽象层向上移动到宿主操作系统之上,形成了操作系统虚拟化。操作系统层虚拟化没有独立的 Hypervisor 层,主机操作系统本身负责在多个虚拟服务器之间分配硬件资源,并且让这些服务器彼此独立。操作系统虚拟化技术提供了更高的运行效率;架构在所有虚
16、拟服务器上使用单一、标准的操作系统,管理起来比异构环境要容易;各个虚拟机共享一套宿主操作系统的机制,作为宿主操作系统的一种“快照”存在,同时各个虚拟机在一定程度上来看都是在共享宿主操作系统4的文件,虚拟化结构得到简化;但是,所有虚拟服务器必须同时运行同一操作系统(不过每个实例有各自的应用程序和用户帐户),灵活性比较差;操作系统虚拟化技术由于各个虚拟机的宿主操作系统文件及其他相关资源的共享,使得其提供的隔离性也不如前面所述的虚拟化方案。在操作系统虚拟化领域,主要的成形方案和产品是基于容器的虚拟化技术(COS Virtualization),典型的代表有 Solaris 10 所提出的 Zone
17、和 Parallels 的 Virtuozzo 容器。COS 虚拟化方案往往在设计层次上更加简单,如图 4。在 COS 虚拟化中,虚拟机的启动过程类似于创建一个文件一样简单,与之相伴的是 COS 虚拟化可以更有效地对虚拟机需求资源进行动态调配;同时由于虚拟机之间的相似性,COS 通常具有更高的系统整合比。而该方案最大的局限性在于每个虚拟机具有同源性,因此所有运行的虚拟机具有同样的版本,而且虚拟化抽象层必须严格控制各个虚拟机之间的运行隔离性。 22.3 Vyatta 路由系统Vyatta 是一种功能强大又免费的开源软件,其开发者致力于使其可以成为一款企业级别的开源路由器软件。Vyatta 基于使
18、用 XORP(可拓展开放路由平台)开发出来的。Vyatta 是基于 Debian 的 Linux 系统进行开发的。这款软件可以将利用 X86 硬件构建企业级的路由器/防火墙。并且 Vyatta 软件包括了对常用的一些网络端口、管理协议和工业标准路由协议的支持,并且所有的这些特性都可以基于 Web 的图形用户界面或者单个命令行借口(CLI)来进行配置。但是就 PC 操作系统来说的话,主要还是在家庭路由器和防火墙上使用的情况较多。并且与传统的硬件相比较,Vyatta 可以使我们所设计的方案不再仅仅局限在一个特定的硬件才提供的功能(例如传统解决方案中,路由器通常并不会提供防火墙的功能,而是需要单独的
19、再行购买) ,而是可以将各种功能集合到 Vyatta 路由器软件的操作系统当中并行使用。同时,Vyatta 在与 X86 处理器进行连接方面也具有着非常大的优势,因为其与 X86 的连接为无缝隙的连接。而传统的路由器则需要采用额外添加的硬件设备才能达到该效果。此外,在软件性能、云计算、对 API 的管理以及虚拟机兼容方面,Vyatta 都有着独特的优势。5因为 Vyatta 软件可以有以上所述的优势,所以我们在该系统中, 除了防火墙和路由器属于 Vyatta 路由器软件所一定会具有的功能外,VPN 和 DMZ 是基于 Vyatta 来实现的。所以在整个系统中,Vyatta 路由器是起着核心性的
20、作用的。 32.4 SDN 技术架构SDN 体系概况。本文介绍了 ONF 制定的软件定义网络(SDN) 体系结构的高级视图以及 SDN 的关键架构原则。而在更详细的 ONF 架构文档中提供了 SDN 架构中精确的实现细节,读者可以自行下载查阅。SDN 的目的是提供一种开放式接口,实现软件控制一组网络资源和网络通信提供的连接,即使这些连接在网络中可能会被检查和修改,也不会影响软件对网络的控制。图 1 是一个图形表示的架构组件及其之间的关系。在原 ONF 白皮书“软件定义网络:网络的新标准”中定义有基础设施层、控制层和应用程序层。在这种架构中,我们称它们为数据层,控制层和应用层。在结构的底层,数据
21、层是由网络要素组成的,其 SDN 数据路径通过控制数据平面接口( CDPI)代理商实现功能。在结构的上层,SDN 应用程序位于应用层上,并通过北向接口( NBI)传递应用程序的需求。在结构的中间,SDN 控制器处理这些要求并通过 SDN 数据通路施加底层的控制,同时提供相关信息到 SDN 应用。而管理平面则负责建立网络元素,分配 SDN 数据路径的 SDN 控制器,并给 SDN 控制器或 SDN 应用配置策略以及定义控制的范围。值得一提的是,SDN 网络体系结构可以与非 SDN 网络共存,这样可以使一个非 SDN 网络迁移到一个完全的 SDN 网络的过程变得更简单。SDN 体系组成部分下面的内
22、容定义并解释了图 1 中的各个体系结构组件。 ONF 正在不断更新和发展的术语,读者可以在 ONF 术语表项目中找到这些更新。SDN应用程序:SDN 应用程序能明确直接地通过北向接口(NBI )以程序的方式向SDN控制器表达其网络需求和期待的网络行为。另外,SDN 应用程序可以采取抽象的网络视图以实现其内部制定决策的目的。SDN应用程序由一个 SDN应用程序逻辑,一个或多个北向接口(NBI)驱动组成。SDN应用程序可能展示另一层抽象网络控制, 从而通过相应的北向接口( NBI)代理提供一个或多个更高级北向接口(NBI) (但这个在如图1没有展示)。SDN控制器:SDN 控制器是SDN 网络逻辑
23、上的集中控制者,它负责把SDN 应用程序的需求传递给底层的SDN数据通道,并为SDN应用程序提供一个抽象的网络视图(可能包括统计数据和事件)。一个SDN控制器由一个或多个北向接口(NBI )代理,SDN控制逻辑,数据控制平台接口(CDPI)驱动组成。把SDN控制器定义为逻辑上的集中控制并没有妨碍像多控制器的联合,控制器的分层连接,控制器的接口间的通信的实现,也没有把网络虚拟化或者切断网络资源。SDN 数据通道:SDN 数据通道是一个逻辑上的网络设备,它通过它的广播转发和数据处理能力展示了其知名度和不能撼动的控制力。这种逻辑表示可以包含所有或一个子集的物理基底资源。一个 SDN 数据通路包括一个数据控制层接口( CDPI)代理和一组一个或一个以上业务转发引擎和零个或多个信息流的处理功能。这些引擎和功能可能包括数据通路的外部接口之间或内部业务处理之间或终止功能之间的简单的转发。一个或多个数据通路SDN可以被包含在一个单一的(物理)网络元件-一个集成的物理通信资源组合,被视为一个单元。一个SDN 数据通路也可以
