基于流量變化實時改善網(wǎng)絡吞吐量的方法
【技術領域】
[0001]本發(fā)明屬于通信技術領域,特別涉及一種基于流量變化實時改善網(wǎng)絡吞吐量的方法。
【背景技術】
[0002]當前電信網(wǎng)絡使用的各種設備,均是基于私有平臺部署的,各種網(wǎng)元都是一個個封閉的盒子,各種盒子間硬件資源無法互用,每個設備擴容必須增加硬件,縮容后硬件資源閑置,耗時長,彈性差,成本高。
[0003]NFV的技術基礎就是目前IT業(yè)界的云計算和虛擬化技術。通用的COTS計算/存儲/網(wǎng)絡硬件設備通過虛擬化技術可以分解為多種虛擬資源,供上層各種應用使用,同時通過虛擬化技術,使得應用與硬件解耦,資源的供給速度大大提高,從物理硬件的數(shù)天縮短到數(shù)分鐘;通過云計算技術,可以實現(xiàn)應用的彈性伸縮,從而實現(xiàn)資源和業(yè)務負荷的匹配,既提高了資源利用效率,又保證了系統(tǒng)響應速度。
[0004]IPS是英文“Intrus1n Prevent1n System”的縮寫,中文意思是入侵防御系統(tǒng)。隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn),傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術,已經(jīng)無法應對一些安全威脅。在這種情況下,IPS技術應運而生,IPS技術可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網(wǎng)絡帶寬資源。因此,IPS在Firewal I的基礎上需要對數(shù)據(jù)報文的Pay load進行匹配檢查,增強了安全性,但是吞吐量比Firewall也小了很多,其他功能類似。
[0005]在目前技術方案中,若用IPS作為安全網(wǎng)關的時候,安全性得到充分的保障,但是當由于其所支持的吞吐量相對Firerall所支持的較小,當遇到網(wǎng)絡突發(fā)的情況時,將會網(wǎng)絡性能將大大降低。但若用Firewall作為安全網(wǎng)關的時候,雖然在網(wǎng)絡遇到突發(fā)情況下,可以很好的支持其吞吐量,但是一般情況下的安全性得不到保障。
[0006]上述網(wǎng)絡突發(fā)情況比如:(I)當一個社區(qū)突然發(fā)現(xiàn)了它喜歡的內(nèi)容,網(wǎng)站的訪問流量會突然增大。知名博客、爆炸性新聞、新聞聚合網(wǎng)站會將成千上萬的訪問者在短時間內(nèi)帶到網(wǎng)站;(2)對于全國鐵路訂票網(wǎng)站12306,每年的春運都是流量高發(fā)期;(3)對于阿里巴巴,每年的雙11都是流量突發(fā)時間。就算在平時,訪問量也會有變化,一般,后半夜肯定流量會少,而周末流量會高,即,數(shù)據(jù)中心的流量時時刻刻都有波動,隨時都可能產(chǎn)生突發(fā)流量。
[0007]CN105162716A(公布日:2015年12月16日)提出了一種NFV架構下的流控方法及裝置。該方法通過設置業(yè)務優(yōu)先級與虛擬資源之間的映射關系,實現(xiàn)基于業(yè)務優(yōu)先級的流控。在業(yè)務流量突發(fā)導致資源擁塞時,根據(jù)虛擬資源的優(yōu)先級及虛擬資源與子物理資源之間的預設對應關系及待接入業(yè)務對應的虛擬資源的優(yōu)先級可以控制虛擬資源對應使用的子物理資源。但是該現(xiàn)有技術不能解決突發(fā)流量的情況下網(wǎng)絡吞吐量提供不足的問題,即無法解決當流量突發(fā)時通過之前切分的塊的方法快速切換middleb0X(IPS和Firerall有共同實現(xiàn)的部分,把其對應的實現(xiàn)都分為不同的塊)的問題。
【發(fā)明內(nèi)容】
[0008]針對上述技術問題,本發(fā)明主要在NFV(網(wǎng)絡功能虛擬化)的背景下,實現(xiàn)一種通過流量變化實時切換Firewill和IPS兩個網(wǎng)絡功能來改善網(wǎng)絡吞吐量的方法。
[0009]為達到上述目的,本發(fā)明采用的技術方案為:一種基于流量變化實時改善網(wǎng)絡吞吐量的方法,將各個網(wǎng)絡功能進行細分為不同的塊,將IPS和Firewall兩個網(wǎng)絡功能結合,即當遇到突發(fā)流量的情況下,IPS自動切換到Firewall,既保證了安全性又保證了網(wǎng)絡性能。IPS在Firewal I的基礎上需要對數(shù)據(jù)報文的Pay load進行匹配檢查,增強了安全性,但是吞吐量比Firewal I減小很多,其他功能類似。
[0010]本發(fā)明提供了將各個網(wǎng)絡功能進行細粒度分解的方法,分為:
[0011]PacketIN:數(shù)據(jù)包進入網(wǎng)關;
[0012]BandwidthRatedSpl itter:實時判斷網(wǎng)絡中的吞吐量;
[0013]PayloadMatch:對數(shù)據(jù)包中數(shù)據(jù)報文的Payload部分進行匹配檢查;
[0014]PacketOut:允許數(shù)據(jù)包出網(wǎng)關。
[0015]進一步,還包括TableMatch:依照一定的安全策略進行檢查,以決定通信是否被允許,保護內(nèi)部網(wǎng)絡信息不被外部非授權用戶訪問并過濾不良信息。
[0016]本發(fā)明的基于流量變化實時切換FirewilI和IPS兩個網(wǎng)絡功能來改善網(wǎng)絡吞吐量方法,具體包括以下步驟:
[0017]步驟11、數(shù)據(jù)包進入網(wǎng)關對應的處理環(huán)節(jié);
[0018]步驟12、實時檢測網(wǎng)絡的吞吐量,通過提前指定閾值,判斷直接允許數(shù)據(jù)包出網(wǎng)關或進一步對數(shù)據(jù)包中數(shù)據(jù)報文的Payload部分進行匹配檢查:
[0019]若所述吞吐量的值小于等于閾值,則執(zhí)行IPS,進一步對數(shù)據(jù)包中數(shù)據(jù)報文的Payload部分進行匹配檢查,此時在支持的吞吐量允許的情況下,提高了網(wǎng)絡傳輸?shù)陌踩裕?br>[0020]若所述吞吐量的值大于閾值,則執(zhí)行Firewall,直接允許數(shù)據(jù)包出網(wǎng)關,保證網(wǎng)絡吞吐量的性能;
[0021]步驟13、允許數(shù)據(jù)包出網(wǎng)關。
[0022]根據(jù)以上步驟,每次執(zhí)行到步驟12的時候根據(jù)網(wǎng)絡實時的吞吐量來判斷直接允許出網(wǎng)關還是進一步進行匹配檢查,從而決定使用IPS網(wǎng)絡功能還是Firewal I網(wǎng)絡功能。
[0023]以上方法的進一步特征在于:步驟11后還包括步驟21、按照一定的安全策略檢查數(shù)據(jù)包的通信是否被允許,保護內(nèi)部網(wǎng)絡信息不被外部非授權用戶訪問并過濾不良信息:
[0024]若符合所述安全策略,則允許數(shù)據(jù)包通信,進入步驟12;
[0025]若不符合所述安全策略,則拒絕數(shù)據(jù)包通信。
[0026]本發(fā)明具有以下有益效果:本技術相對于傳統(tǒng)的技術,解決了在FirewilI和IPS只能單獨使用時各自帶來的缺陷:僅使用IPS時,支持的吞吐量在網(wǎng)絡遇到突發(fā)情況的時候,網(wǎng)絡性能將大大降低,僅使用Firewall時,安全性得不到很好的保證。通過本技術,可以實現(xiàn)通過流量變化實時切換Firerall和IPS兩個網(wǎng)絡功能來改善網(wǎng)絡吞吐量及安全性。保障網(wǎng)絡傳輸可靠性的同時,大大提高了系統(tǒng)突發(fā)流量情況下的容納能力。并且,可以節(jié)省大量的設備及前期投入。
【附圖說明】
[0027]圖1繪示本發(fā)明中網(wǎng)絡功能虛擬化視角結構圖。
[0028]圖2繪示本發(fā)明中高層次的網(wǎng)絡功能虛擬化框架。
[0029]圖3繪示本發(fā)明中當網(wǎng)絡發(fā)生流量突發(fā)情況的帶寬變化圖。
[0030]圖4繪示本發(fā)明中基于流量變化實時改善網(wǎng)絡吞吐量的方法流程圖。
[0031]圖5繪示本發(fā)明中基于流量變化實時改善網(wǎng)絡吞吐量的方法的更細粒度的功能流程圖。
[0032]圖6繪示本發(fā)明中基于流量變化實時改善網(wǎng)絡吞吐量的方法實施的方案效果圖。
【具體實施方式】
[0033]為了便于本領域技術人員的理解,下面結合實施例與附圖對本發(fā)明作進一步的說明,實施方式提及的內(nèi)容并非對本發(fā)明的限定。
[0034]如圖1的NFV視角結構圖,在NFV方法中,各種網(wǎng)元變成了獨立的應用,可以靈活部署在基于標準的服務器、存儲、交換機構建的統(tǒng)一平臺上,這樣軟硬件解耦,每個應用可以通過快速增加減少虛擬資源來達到快速縮擴容的目的,大大提升網(wǎng)絡的彈性。按照NFV設計,從縱向看網(wǎng)絡分為三層:基礎設施層、虛擬網(wǎng)絡層和運營支撐層。一個業(yè)務網(wǎng)絡可以分解為一組VNF和VNFL(VNF Link),表示為VNF_FG(VNF Forwarding Graph),然后每個VNF可以分解為一組VNFC(VNF Componet)和內(nèi)部連接圖,每個VNFC映射為一個VM;對于每個VNFL,對應著一個IP連接,需要分配一定的鏈路資源(流量、QoS、路由等參數(shù))。
[0035]Firerall和IPS部署在內(nèi)部網(wǎng)絡與外部網(wǎng)絡交流的出入口處(如圖2) ,Firewall是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網(wǎng)關(Security Gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,其控制能力包括服務控制(確定哪些服務可以被訪問)、方向控制(對于特定的服務,可以確定允許哪個方向能夠通過防火墻)、用戶控制(根據(jù)用戶來控制對服務的訪問)和行為控制(控制一個特定的服務的行為)。
[0036]在NFV(網(wǎng)絡功能虛擬化)的背景下,將各個網(wǎng)絡功能進行細分為不同的塊;在NFV方法中,各種網(wǎng)元變成了獨立的應用,可以靈活部署在基于標準的服務器、存儲、交換機構建的統(tǒng)一平臺上,這樣軟硬件解耦,每個應用可以通過快速增加減少虛擬資源來達到快速縮擴容的目的,大大提升網(wǎng)絡的彈性。
[0037]將各個網(wǎng)絡功能進行細粒度分解,可以分為PacketIN(數(shù)據(jù)包進入網(wǎng)關),TableMatch(依照一定的安全策略進行檢查,以決定通信是否被允許,從而達到保護內(nèi)部網(wǎng)絡信息不被外部非授權用戶訪問和過濾不良信息的目的),BandwidthRatedSplitter(實時判斷網(wǎng)絡中的吞吐量),PayloadM