一種面向應(yīng)用的sdn網(wǎng)絡(luò)策略控制方法
【專利說明】
[0001]技術(shù)領(lǐng)域本發(fā)明適用于數(shù)據(jù)中心�、廣域網(wǎng)網(wǎng)絡(luò)下的軟件定義網(wǎng)絡(luò)技術(shù)研宄,屬于軟件及網(wǎng)絡(luò)技術(shù)領(lǐng)域����。
【背景技術(shù)】
[0002]SDN發(fā)展如火如荼。隨著SDN概念的提出并飛速發(fā)展���,企業(yè)對SDN的期望也是越來越高�����,包括改善網(wǎng)絡(luò)利用率����、自動化配置管理、提升安全性能���、應(yīng)用可視化���、降低復(fù)雜度、降低運營成本���、提升可伸縮性���、支持創(chuàng)建私有云和混合云等。其中���,大多都與數(shù)據(jù)中心的運維相關(guān)��,通過SDN的方式,創(chuàng)建更加靈活�����、高效的數(shù)據(jù)中心網(wǎng)絡(luò)���,為業(yè)務(wù)應(yīng)用提供更好的IT基礎(chǔ)支撐�����。
[0003]在數(shù)據(jù)中心應(yīng)用部署與運維中���,服務(wù)器的新建部署�,部署策略牽涉網(wǎng)絡(luò)各個節(jié)點的信息配置�����,較為繁瑣����。在二層網(wǎng)絡(luò)環(huán)境下,迀移前后的IP和MAC地址保持不變��,當對于跨越不同機房或地域的迀移�����,得實現(xiàn)大二層網(wǎng)絡(luò)����,容易出現(xiàn)環(huán)路和廣播風暴����,難以管理����。同時,同一 VLAN下不容易做訪問策略���,針對不同應(yīng)用的訪問控制策略較為復(fù)雜�。上述問題是數(shù)據(jù)中心面臨迫切問題����。
【發(fā)明內(nèi)容】
[0004]為了解決上述問題,本發(fā)明提供一種面向應(yīng)用的SDN網(wǎng)絡(luò)策略控制方法�,包含SDN的基礎(chǔ)架構(gòu)環(huán)境及其網(wǎng)絡(luò)策略控制方法,以此來做到在數(shù)據(jù)中心應(yīng)用部署與運維中�����,將物理位置��、安全策略與網(wǎng)絡(luò)IP地址進行解耦��,提高SDN的自動化性能和安全管理性能�。
[0005]本發(fā)明的技術(shù)方案是:一種面向應(yīng)用的SDN網(wǎng)絡(luò)策略控制方法,包含基礎(chǔ)架構(gòu)包含SDN策略控制器���、SDN智能交換機�����、基礎(chǔ)應(yīng)用系統(tǒng)組成的SDN基礎(chǔ)環(huán)境���,其中,
[0006]SDN策略控制器作為集中策略管理中心�,全局控制網(wǎng)絡(luò)應(yīng)用策略信息;
[0007]SDN智能交換機能夠解析并執(zhí)行SDN策略控制器下發(fā)的策略信息�����;
[0008]基礎(chǔ)應(yīng)用系統(tǒng)包含服務(wù)器裸機�����、虛擬機或者應(yīng)用實體服務(wù)���,將基礎(chǔ)應(yīng)用系統(tǒng)節(jié)點標記成一個TE�,根據(jù)應(yīng)用需求將網(wǎng)絡(luò)應(yīng)用策略相似的TE劃分到同一組,稱為TG ;
[0009]使用Overlay多重封裝技術(shù)���,將SDN網(wǎng)絡(luò)內(nèi)的流量封裝在VXLAN中傳輸�,基礎(chǔ)應(yīng)用系統(tǒng)節(jié)點的MAC或IP與VETP映射���,并擴展VXLAN報頭添加新的TG標識���,將物理位置、安全策略與網(wǎng)絡(luò)IP地址解耦合����;
[0010]上述SDN策略控制器在進行策略管理時,服務(wù)器新增迀移����、網(wǎng)絡(luò)安全策略作用粒度為TG,TG之間的訪問控制策略用{Ci j�����,Ri j}表示����,其中Cij表示TG的連接關(guān)系���,Rij表示TG的互訪關(guān)系����。
[0011]上述SDN策略控制器在進行策略管理時,通過API接口���,將TG標識下發(fā)至KVM�����、VCENTER等服務(wù)器管理平臺����,標識終端應(yīng)用系統(tǒng)節(jié)點所屬策略組��;
[0012]根據(jù)上述控制方法�,采取如下步驟:
[0013]S1.初始化SDN基礎(chǔ)環(huán)境;
[0014]S2.在SDN策略控制器中����,劃分TG標識并通過API下發(fā)TG標識,區(qū)分終端應(yīng)用系統(tǒng)節(jié)點所屬策略組��;
[0015]S3.根據(jù)應(yīng)用系統(tǒng)訪問關(guān)系和安全策略需求,在SDN策略控制器中配置訪問控制策略{Cij��,Rij}���;
[0016]S4.應(yīng)用系統(tǒng)連接至SDN智能交換機后��,根據(jù)所屬策略組綁定相應(yīng)的TG �;
[0017]S5.應(yīng)用系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)時�����,到達SDN智能交換機的數(shù)據(jù)包均通過新增TG標識的擴展VXLAN進行封裝再進行轉(zhuǎn)發(fā)�。
[0018]S6.SDN策略控制器下發(fā)TG間的訪問控制策略至SDN智能交換機;
[0019]S7.SDN智能交換機解析并執(zhí)行訪問控制策略����。
[0020]本發(fā)明的有益效果:本發(fā)明基于SDN基礎(chǔ)環(huán)境,通過擴展VXLAN技術(shù)和增加策略組標識��,分離物理位置��、安全策略與IP地址關(guān)系����,從而更加方便的部署����、迀移服務(wù)器�,設(shè)置安全控制策略,提高SDN的自動化性能和安全管理性能����。
【附圖說明】
[0021]圖1為本發(fā)明采用的SDN物理組件架構(gòu)圖�。
[0022]圖2為本發(fā)明使用SDN網(wǎng)絡(luò)策略組件模型。
[0023]圖3為本發(fā)明使用的TG劃分示例�����。
[0024]圖4為擴展VXLAN報文與原始數(shù)據(jù)報文映射圖��。
【具體實施方式】
[0025]下面結(jié)合附圖和具體的實施例對本發(fā)明做進一步的說明:
[0026]為了便于本領(lǐng)域的普通技術(shù)人員理解本發(fā)明的原理�、工作過程,首先對本發(fā)明的中用到的重要詞匯作如下定義:
[0027](I) SDN:Software Defined Network�����,軟件定義網(wǎng)絡(luò)
[0028](2)TE:Terminal Equipment���,應(yīng)用終端節(jié)點
[0029](3)TG:Terminal Group��,應(yīng)用終端節(jié)點組
[0030](4) eVXLAN:擴展VXLAN’根據(jù)標準VXLAN協(xié)議的部分保留字段進行擴展
[0031](5) VTEP:VXLAN Tunneling End Point����,VXLAN 隧道終端,用于多 VXLAN 報文進行封裝與解封裝�����,包括MAC請求報文和正常VXLAN數(shù)據(jù)報文數(shù)據(jù)中心網(wǎng)絡(luò)逐漸增大��,運維難度日益增加���。如在數(shù)據(jù)中心應(yīng)用服務(wù)器部署策略牽涉網(wǎng)絡(luò)各個節(jié)點的信息配置��,較為繁瑣��;在二層網(wǎng)絡(luò)環(huán)境下�����,迀移前后的IP和MAC地址保持不變�,當對于跨越不同機房或地域的迀移���,得實現(xiàn)大二層網(wǎng)絡(luò)��,容易出現(xiàn)環(huán)路和廣播風暴����,難以管理;同時��,同一 VLAN下不容易做訪問策略�,針對不同應(yīng)用的訪問控制策略較為復(fù)雜等。上述問題是數(shù)據(jù)中心面臨迫切問題�。
[0032]SDN發(fā)展近幾年已經(jīng)風靡全球,理念是硬件軟件分離�����、控制轉(zhuǎn)發(fā)分離���、管理控制集中、開源�����,將帶來低成本��、高效率以及業(yè)務(wù)靈活�����。通過SDN的方式來解決上述問題,是本發(fā)明正式基于上述考慮而設(shè)計的����。
[0033]下面以具體實例來說明本發(fā)明的面向應(yīng)用的SDN網(wǎng)絡(luò)策略控制方法。
[0034]如圖1所示����,本發(fā)明是基于SDN網(wǎng)絡(luò)系統(tǒng),包括SDN策略控制器���、SDN智能交換機����、基礎(chǔ)應(yīng)用系統(tǒng)組成的SDN基礎(chǔ)環(huán)境���。SDN智能交換機包括核心交換機(Core)和接入交換機(Access)���,兩者之間流量通過VXLAN封裝,則接入交換機也為VXLAN的隧道終端����。接入交換機下聯(lián)基礎(chǔ)應(yīng)用系統(tǒng)�,包括物理機�、虛擬機等。Cont1ller作為SDN策略控制器作為集中策略管理中心��,全局控制網(wǎng)絡(luò)應(yīng)用策略信息���。
[0035]SDN策略控制器在進行策略調(diào)度的時候���,需要將所有的管理的對象進行抽象,建立對象資源池��,通過制定策略進行資源池中對象的調(diào)度��。如圖2所示為抽象的SDN網(wǎng)絡(luò)策略組件模型��,包含其中Controller代表SDN策略控制器�,SW代表SDN智能交換機�,TG代表策略作用的應(yīng)用終端節(jié)點組。SDN策略控制器在進行策略管理時�,將應(yīng)用系統(tǒng)標記成一個TE(Terminal Equipment),將相似的一組TE劃分到同一組里面�,稱之為TG(TerminalGroup)ο
[0036]SDN策略控制器會通過開放的API接口,將TG標識下發(fā)至KVM�、VCENTER等服務(wù)器管理平臺��,進行服務(wù)節(jié)點標識��。如通過下發(fā)Network Group至VCENTER���,標記VCENTER中的每個虛擬機。
[0037]圖3為典型的應(yīng)用部署架構(gòu)�����,用戶通過WEB系統(tǒng)�,APP和DB作為后臺系統(tǒng),可以根據(jù)實際的需求����,將此系統(tǒng)劃分成4個TG,分別為TG-User��、TG-Web�����、TG-App�、TG-DB,后續(xù)的安全策略則以TG為對象進行執(zhí)行。
[0038]服務(wù)器新增迀移�、網(wǎng)絡(luò)安全策略作用粒度為TG,TG之間通過{Cij����,Rij}表示,其中Cij表示TG的連接關(guān)系��,Rij表示TG的互訪關(guān)系�。Cij = 0,表示如果兩個EPG之間沒有連接關(guān)系����,Cij = I表示兩個EPG之間存在連接關(guān)系。Rij示例表示為{Filter:TCP sourceport X, destinat1n port Y ;Qos:Ql | Q2 | Q3 | …}表不限制 EPG-outside 源端口 X 只能訪問EPG-Web目的端口 Y ;訪問的QoS要求通過QoS等級進行標識����。
[0039]如圖4所示為本發(fā)明的報文在SDN環(huán)境中轉(zhuǎn)發(fā)時,使用Overlay多重封裝技術(shù)����,將SDN網(wǎng)絡(luò)內(nèi)的流量封裝在VXLAN之中�。圖中下半部分為基礎(chǔ)應(yīng)用系統(tǒng)收發(fā)的多種格式的數(shù)據(jù)報文;如圖上半部分所示�����,當?shù)竭_智能接入交換機后,需要進行封裝��,添加VXLAN包頭����。通過新報文的封裝,將服務(wù)器的位置與網(wǎng)絡(luò)IP地址解耦合�,使服務(wù)器位置地址無關(guān),提高應(yīng)用部署與迀移的靈活性�。
[0040]同時,通過擴展VXLAN包頭新增TG標識�����,所有的安全策略以TG為對象進行執(zhí)行��,而不再使用傳統(tǒng)的訪問控制列表的方式�。通過靈活劃分TG,更加靈活調(diào)整安全策略�,增強安全管控性。
[0041]根據(jù)上述控制方法�,采取如下步驟:
[0042]S1.初始化SDN基礎(chǔ)環(huán)境;
[0043]S2.在SDN策略控制器中����,劃分TG標識并通過API下發(fā)TG標識���,區(qū)分終端應(yīng)用系統(tǒng)節(jié)點所屬策略組;
[0044]S3.根據(jù)應(yīng)用系統(tǒng)訪問關(guān)系和安全策略需求����,在SDN策略控制器中配置訪問控制策略{Cij,Rij}����;
[0045]S4.應(yīng)用系統(tǒng)連接至SDN智能交換機后,根據(jù)所屬策略組綁定相應(yīng)的TG ��;
[0046]S5.應(yīng)用系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)時�,到達SDN智能交換機的數(shù)據(jù)包均通過新增TG標識的擴展VXLAN進行封裝再進行轉(zhuǎn)發(fā)。
[0047]S6.SDN策略控制器下發(fā)TG間的訪問控制策略至SDN智能交換機���;
[0048]S7.SDN智能交換機解析并執(zhí)行訪問控制策略��。
【主權(quán)項】
1.一種面向應(yīng)用的SDN網(wǎng)絡(luò)策略控制方法��,其特征在于����,包括:SDN策略控制器����、SDN智能交換機、基礎(chǔ)應(yīng)用系統(tǒng)組成的SDN基礎(chǔ)環(huán)境�����,其中���, SDN策略控制器作為集中策略管理中心��,全局控制網(wǎng)絡(luò)應(yīng)用策略信息����; SDN智能交換機能夠解析并執(zhí)行SDN策略控制器下發(fā)的策略信息�����; 基礎(chǔ)應(yīng)用系統(tǒng)包含服務(wù)器裸機����、虛擬機或者應(yīng)用實體服務(wù),將基礎(chǔ)應(yīng)用系統(tǒng)節(jié)點標記成一個TE�����,根據(jù)應(yīng)用需求將網(wǎng)絡(luò)應(yīng)用策略相似的TE劃分到同一組,稱為TG ; 使用Overlay多重封裝技術(shù)��,將SDN網(wǎng)絡(luò)內(nèi)的流量封裝在VXLAN中傳輸����,基礎(chǔ)應(yīng)用系統(tǒng)節(jié)點的MAC或IP與VETP映射,并擴展VXLAN報頭添加新的TG標識���,將物理位置����、安全策略與網(wǎng)絡(luò)IP地址解耦合���; 通過API接口��,將TG標識下發(fā)至KVM�、VCENTER等服務(wù)器管理平臺��,標識終端應(yīng)用系統(tǒng)節(jié)點所屬策略組�����; 服務(wù)器新增迀移、網(wǎng)絡(luò)安全策略作用粒度為TG�����,TG之間的訪問控制策略用{Cij��,Rij}表示�,其中Cij表示TG的連接關(guān)系��,Rij表示TG的互訪關(guān)系���。 根據(jù)上述方法�����,采取如下步驟: S1.初始化SDN基礎(chǔ)環(huán)境�; S2.在SDN策略控制器中��,劃分TG標識并通過API下發(fā)TG標識�����,區(qū)分終端應(yīng)用系統(tǒng)節(jié)點所屬策略組�����; S3.根據(jù)應(yīng)用系統(tǒng)訪問關(guān)系和安全策略需求,在SDN策略控制器中配置訪問控制策略{Cij, Rij}���; S4.應(yīng)用系統(tǒng)連接至SDN智能交換機后�,根據(jù)所屬策略組綁定相應(yīng)的TG�����; S5.應(yīng)用系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)時��,到達SDN智能交換機的數(shù)據(jù)包均通過新增TG標識的擴展VXLAN進行封裝再進行轉(zhuǎn)發(fā)���。 S6.SDN策略控制器下發(fā)TG間的訪問控制策略至SDN智能交換機��; S7.SDN智能交換機解析并執(zhí)行訪問控制策略���。
【專利摘要】一種面向應(yīng)用的SDN網(wǎng)絡(luò)策略控制方法,本發(fā)明由SDN策略控制器���、SDN智能交換機�����、基礎(chǔ)應(yīng)用系統(tǒng)TE組成的SDN基礎(chǔ)控制環(huán)境�,將有類似策略需求的應(yīng)用終端系統(tǒng)TE劃分到同一個TG;使用Overlay封裝技術(shù)��,將SDN網(wǎng)絡(luò)內(nèi)的流量封裝在VXLAN中傳輸�,擴展VXLAN報頭添加新的TG標識,區(qū)分不同的策略組����;本發(fā)明的有益效果:本發(fā)明基于SDN基礎(chǔ)環(huán)境�,通過擴展VXLAN技術(shù)和增加策略組標識,分離物理位置�、安全策略與IP地址關(guān)系,從而更加方便的部署�、遷移服務(wù)器,設(shè)置安全控制策略���,提高SDN的自動化性能和安全管理性能���。
【IPC分類】H04L12/46, H04L12/24
【公開號】CN104954186
【申請?zhí)枴緾N201510344547
【發(fā)明人】黃祖源, 馬文, 杜潔, 李芹, 陳何雄, 李寒箬
【申請人】云南電網(wǎng)有限責任公司信息中心
【公開日】2015年9月30日
【申請日】2015年6月19日