一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法及交換機的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及軟件定義網(wǎng)絡(luò)(SDN, Software Defined Network)領(lǐng)域,具體涉及一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法�����、業(yè)務流控制方法及系統(tǒng)以及SDN中的交換機。
【背景技術(shù)】
[0002]SDN是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)���,是針對現(xiàn)有網(wǎng)絡(luò)設(shè)備和架構(gòu)的一場變革�����。SDN的架構(gòu)理念是網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)控制分離,采用集中的SDN控制器通過Openflow協(xié)議控制網(wǎng)絡(luò)��,并在SDN控制器上提供網(wǎng)絡(luò)虛擬化功能����,并提供應用編程接口,方便進行網(wǎng)絡(luò)創(chuàng)新�����。SDN將現(xiàn)有的交換機����、路由器等網(wǎng)絡(luò)設(shè)備中的控制功能提取出來,由SDN控制器來實現(xiàn)��;現(xiàn)有的交換機、路由器中的轉(zhuǎn)發(fā)功能從基礎(chǔ)設(shè)施層剝離��,由交換機實現(xiàn)����。在SDN中,SDN控制器統(tǒng)一管理所有的交換機��,其組成架構(gòu)如圖1所示���。
[0003]但是�,目前針對SDN的網(wǎng)管設(shè)備幾乎沒有成熟產(chǎn)品出現(xiàn)���,缺乏對SDN網(wǎng)絡(luò)進行監(jiān)測和管理的手段���,缺乏對大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。隨著IP業(yè)務的爆炸性發(fā)展�����,如果不能清楚地了解網(wǎng)絡(luò)的運轉(zhuǎn)狀況�,也不了解不同的業(yè)務類型對帶寬的消耗情況,唯一知道的就是帶寬又不夠了一這勢必將運營商推進一個“擁塞-擴容-再擁塞-再擴容”的怪圈�。無法實現(xiàn)業(yè)務識別����,無法實現(xiàn)內(nèi)容計費��,也無法滿足信息安全的需要���,這些問題不但增加了運營商的運營成本��,而且也降低了用戶的滿意度���。于是���,如何深度感知網(wǎng)絡(luò)應用�����,提供網(wǎng)絡(luò)業(yè)務控制和管理手段���,構(gòu)建可運營、可管理的網(wǎng)絡(luò)����,成為運營商關(guān)注的焦點。另外,用戶行為分析也可以提供有價值的分析報告��,如熱點業(yè)務發(fā)展分析����、大客戶網(wǎng)絡(luò)分析報告等。深度包檢測技術(shù)恰好能夠提供這些要求����,他們可以根據(jù)深度包檢測技術(shù)分析結(jié)果,將流量分為低延時(語音)�����、保證延時(網(wǎng)絡(luò)流量)��、保證交付(應用流量)和盡最大努力交付的應用程序(文件共享)���。使用這種分類�����,他們可以更好的根據(jù)關(guān)鍵任務流量���、非關(guān)鍵任務流量來優(yōu)化資源并減少網(wǎng)絡(luò)擁擠��。
[0004]深度包檢測技術(shù)(DPI, Deep Packet Inspect1n)是一種協(xié)議識別技術(shù),DPI技術(shù)在分析報頭的基礎(chǔ)上��,增加了對應用層的分析����,是一種基于應用層的流量檢測和控制技術(shù)����。當IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時�����,DPI技術(shù)將網(wǎng)絡(luò)上的數(shù)據(jù)報文根據(jù)五元組(源地址���、目的地址、源端口��、目的端口以及協(xié)議類型)分為若干個應用流�,通過深入讀取IP包載荷的內(nèi)容來對應用層信息進行重組,從而識別出應用流對應的應用或者用戶的動作����,然后按照系統(tǒng)定義的管理策略對流量進行控制��,控制方法包括:正常轉(zhuǎn)發(fā)��、阻塞����、限制帶寬���、整形���、重標記優(yōu)先級等,這樣可以防止有限的網(wǎng)絡(luò)帶寬被低價值的業(yè)務擠占�����。
[0005]同時��,DPI技術(shù)能夠檢測出數(shù)據(jù)包的內(nèi)容及有效負載��,并且能夠提取出內(nèi)容級別的信息�����,如惡意軟件���、具體數(shù)據(jù)和應用程序類型等���。利用DPI技術(shù)在網(wǎng)絡(luò)中的部署����,可以實現(xiàn)網(wǎng)絡(luò)運營中的業(yè)務識別�、業(yè)務控制和業(yè)務統(tǒng)計。例如�,從電子郵件的內(nèi)容看,垃圾郵件和普通郵件的業(yè)務流兩者間根本沒有區(qū)別�����,只有進一步分析���,具體根據(jù)發(fā)送郵件的大小����、頻率���、目的郵件和源郵件地址、變化的頻率和被拒絕的頻率等綜合分析�,建立綜合識別模型���,才能判斷是否為垃圾郵件。DPI可以統(tǒng)計網(wǎng)絡(luò)的業(yè)務流量分布和用戶的各種業(yè)務使用情況���,從而更好的發(fā)現(xiàn)促進業(yè)務發(fā)展和影響網(wǎng)絡(luò)正常運營的因素���,為網(wǎng)絡(luò)和業(yè)務優(yōu)化提供依據(jù)。如發(fā)掘?qū)τ脩粲形Φ臉I(yè)務���、驗證業(yè)務提供水平是否達到了用戶的服務等級協(xié)議SLA��、統(tǒng)計分析出網(wǎng)絡(luò)中攻擊流量占多少比例�、多少用戶正在使用某種游戲業(yè)務����、哪幾種業(yè)務最消耗網(wǎng)絡(luò)的帶寬和哪些用戶使用了非法VoIP等。采用DPI技術(shù)��,實現(xiàn)保障網(wǎng)絡(luò)不同業(yè)務QoS的高價值業(yè)務的開展���,真正把網(wǎng)絡(luò)帶寬變成可有機利用���、按需分配的資源��,為進行智能化的業(yè)務和用戶識別����,網(wǎng)絡(luò)業(yè)務的精細運營����、業(yè)務管理、統(tǒng)計分析提供了高效的支撐手段�,為網(wǎng)絡(luò)業(yè)務的運營分析、安全管控提供保障��。
[0006]為了實現(xiàn)對SDN網(wǎng)絡(luò)的監(jiān)管���,同時�����,考慮到SDN網(wǎng)絡(luò)用戶具有移動性��,會從一個交換機移動到另一個交換機��,為了保持用戶在SDN網(wǎng)絡(luò)中的業(yè)務連續(xù)性��,急需提出一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移的方法和業(yè)務流控制方法�,在用戶遷移過程中實現(xiàn)對數(shù)據(jù)流的監(jiān)管���。
【發(fā)明內(nèi)容】
[0007]本發(fā)明需要解決的技術(shù)問題是提供一種SDN中的狀態(tài)遷移方法�、業(yè)務流控制方法����、系統(tǒng)以及SDN中的交換機,融合DPI技術(shù)�,為SDN提供一個高效、安全的網(wǎng)絡(luò)管理系統(tǒng)�����,防御并解決SDN網(wǎng)絡(luò)用戶遷移的可能漏洞���。
[0008]為了解決上述技術(shù)問題���,本發(fā)明提供了一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法,包括:
[0009]在用戶要遷出的當前交換機與所述用戶遷入的目標交換機建立狀態(tài)遷移通道后��,如果所述當前交換機上保存有所述用戶的動態(tài)深度包檢測DPI數(shù)據(jù)�����,則將其上保存的所述用戶的動態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報文遷移到所述目標交換機上;
[0010]所述動態(tài)DPI數(shù)據(jù)是所述用戶在所述當前交換機上線后���,所述當前交換機對流經(jīng)其的數(shù)據(jù)包流進行DPI分析過程中產(chǎn)生的動態(tài)數(shù)據(jù)�����。
[0011]進一步地�,所述方法還包括:
[0012]在所述當前交換機與所述目標交換機建立狀態(tài)遷移通道前�,在所述用戶在所述目標交換機上線后,軟件定義網(wǎng)絡(luò)SDN控制器根據(jù)所述用戶的身份標識信息從策略服務器獲取所述用戶對應的DPI策略���,并下發(fā)至所述目標交換機�。
[0013]進一步地��,所述在所述當前交換機將其上保存的所述動態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報文遷移到所述目標交換機上后��,所述方法還包括:
[0014]所述目標交換機對當前流經(jīng)其的數(shù)據(jù)包流和所述數(shù)據(jù)報文進行DPI分析產(chǎn)生新的動態(tài)DPI數(shù)據(jù)��,并結(jié)合遷移過來的動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果����,然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略�����,根據(jù)匹配到的所述DPI策略對后續(xù)流經(jīng)所述目標交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制�。
[0015]進一步地,所述方法還包括:
[0016]在所述用戶在所述目標交換機上線后���,在所述當前交換機將其上保存的所述動態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報文遷移到所述目標交換機上之前,所述方法還包括:
[0017]所述目標交換機對當前流經(jīng)其的數(shù)據(jù)包流進行DPI分析產(chǎn)生新的動態(tài)DPI數(shù)據(jù)���,根據(jù)所述新的動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果�,然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略��,根據(jù)匹配到的所述DPI策略對后續(xù)流經(jīng)所述目標交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制�����。
[0018]進一步地���,如果所述當前交換機上沒有保存所述用戶的動態(tài)DPI數(shù)據(jù)���,在所述當前交換機將其上緩存的數(shù)據(jù)報文遷移到所述目標交換機上之后,所述方法還包括:
[0019]所述目標交換機對當前流經(jīng)其的數(shù)據(jù)包流和所述數(shù)據(jù)報文進行DPI分析產(chǎn)生新的動態(tài)DPI數(shù)據(jù)��,根據(jù)所述新的動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果,然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略���,根據(jù)匹配到的所述DPI策略對后續(xù)流經(jīng)所述目標交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制����。
[0020]進一步地����,所述當前交換機緩存的緩存報文是:在所述用戶從當前交換機下線后且未完成在所述目標交換機上線前,所述當前交換機接收到的發(fā)給所述用戶的數(shù)據(jù)報文���。
[0021]為了解決上述技術(shù)問題��,本發(fā)明還提供了一種軟件定義網(wǎng)絡(luò)中的業(yè)務流控制方法�,包括:
[0022]用戶在交換機上線后����,軟件定義網(wǎng)絡(luò)SDN控制器根據(jù)所述用戶的身份標識信息從策略服務器獲取所述用戶對應的深度包檢測DPI策略,并下發(fā)至所述交換機�����;
[0023]所述交換機對當前流經(jīng)其的數(shù)據(jù)包流進行DPI分析產(chǎn)生動態(tài)DPI數(shù)據(jù)���,根據(jù)所述動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果���,然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略��,根據(jù)匹配到的所述DPI策略對后續(xù)流經(jīng)所述交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制�。
[0024]為了解決上述技術(shù)問題���,本發(fā)明還提供了一種軟件定義網(wǎng)絡(luò)中的交換機,包括:轉(zhuǎn)發(fā)功能模塊和深度包檢測DPI業(yè)務模塊�,其中,
[0025]所述轉(zhuǎn)發(fā)功能模塊���,用于在交換機接收到數(shù)據(jù)包流后���,將所述數(shù)據(jù)包流復制存入所述DPI業(yè)務模塊;并接收所述DPI業(yè)務模塊發(fā)來的DPI策略�,根據(jù)所述DPI策略對后續(xù)流經(jīng)所述交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制;
[0026]所述DPI業(yè)務模塊��,用于在用戶在所述交換機上線后����,接收軟件定義網(wǎng)絡(luò)SDN控制器下發(fā)的所述用戶對應的DPI策略����,接收所述轉(zhuǎn)發(fā)功能模塊存入的數(shù)據(jù)包流��,對所述數(shù)據(jù)包流進行DPI分析產(chǎn)生動態(tài)DPI數(shù)據(jù)��,根據(jù)所述動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果���,然后在所述SDN控制器下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略���,將匹配到的所述DPI策略發(fā)送至所述轉(zhuǎn)發(fā)功能模塊。
[0027]進一步地�����,所述DPI業(yè)務模塊包括:
[0028]接收模塊�����,用于在所述用戶在所述交換機上線后����,接收所述SDN控制器下發(fā)的所述用戶對應的DPI策略;
[0029]用戶會話數(shù)據(jù)庫�,用于緩存當前流經(jīng)所述交換機的數(shù)據(jù)包流�,以及根據(jù)當前流經(jīng)所述交換機的數(shù)據(jù)包流進行DPI分析過程中產(chǎn)生的動態(tài)DPI數(shù)據(jù)��;
[0030]DPI處理模塊����,用于對當前流經(jīng)所述交換機的數(shù)據(jù)包流進行DPI分析產(chǎn)生動態(tài)DPI數(shù)據(jù),將所述動態(tài)DPI數(shù)據(jù)發(fā)送至所述用戶會話數(shù)據(jù)庫緩存���,并根據(jù)所述動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果����,然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略���,將匹配到的所述DPI策略發(fā)送至所述轉(zhuǎn)發(fā)功能模塊對后續(xù)流經(jīng)所述交換機的數(shù)據(jù)包流進行轉(zhuǎn)發(fā)控制。
[0031]進一步地����,所述用戶會話數(shù)據(jù)庫,還用于在所述DPI處理模塊根據(jù)所述動態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果后��,將所述動態(tài)DPI數(shù)據(jù)刪除����。
[0032]進一步地����,所述用戶會話數(shù)據(jù)庫�����,還用于在所述用戶從所述交換機遷移到所述目標交換機的過程中�,在所述用戶從所述交換機下線后且未完成在所述目標交換機上線