一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法及交換機(jī)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及軟件定義網(wǎng)絡(luò)(SDN, Software Defined Network)領(lǐng)域,具體涉及一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法、業(yè)務(wù)流控制方法及系統(tǒng)以及SDN中的交換機(jī)。
【背景技術(shù)】
[0002]SDN是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，是針對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和架構(gòu)的一場(chǎng)變革。SDN的架構(gòu)理念是網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)控制分離，采用集中的SDN控制器通過Openflow協(xié)議控制網(wǎng)絡(luò)，并在SDN控制器上提供網(wǎng)絡(luò)虛擬化功能，并提供應(yīng)用編程接口，方便進(jìn)行網(wǎng)絡(luò)創(chuàng)新。SDN將現(xiàn)有的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備中的控制功能提取出來，由SDN控制器來實(shí)現(xiàn)；現(xiàn)有的交換機(jī)、路由器中的轉(zhuǎn)發(fā)功能從基礎(chǔ)設(shè)施層剝離，由交換機(jī)實(shí)現(xiàn)。在SDN中，SDN控制器統(tǒng)一管理所有的交換機(jī)，其組成架構(gòu)如圖1所示。
[0003]但是，目前針對(duì)SDN的網(wǎng)管設(shè)備幾乎沒有成熟產(chǎn)品出現(xiàn)，缺乏對(duì)SDN網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段，缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。隨著IP業(yè)務(wù)的爆炸性發(fā)展，如果不能清楚地了解網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)狀況，也不了解不同的業(yè)務(wù)類型對(duì)帶寬的消耗情況，唯一知道的就是帶寬又不夠了一這勢(shì)必將運(yùn)營(yíng)商推進(jìn)一個(gè)“擁塞-擴(kuò)容-再擁塞-再擴(kuò)容”的怪圈。無(wú)法實(shí)現(xiàn)業(yè)務(wù)識(shí)別，無(wú)法實(shí)現(xiàn)內(nèi)容計(jì)費(fèi)，也無(wú)法滿足信息安全的需要，這些問題不但增加了運(yùn)營(yíng)商的運(yùn)營(yíng)成本，而且也降低了用戶的滿意度。于是，如何深度感知網(wǎng)絡(luò)應(yīng)用，提供網(wǎng)絡(luò)業(yè)務(wù)控制和管理手段，構(gòu)建可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò)，成為運(yùn)營(yíng)商關(guān)注的焦點(diǎn)。另外，用戶行為分析也可以提供有價(jià)值的分析報(bào)告，如熱點(diǎn)業(yè)務(wù)發(fā)展分析、大客戶網(wǎng)絡(luò)分析報(bào)告等。深度包檢測(cè)技術(shù)恰好能夠提供這些要求，他們可以根據(jù)深度包檢測(cè)技術(shù)分析結(jié)果，將流量分為低延時(shí)(語(yǔ)音)、保證延時(shí)(網(wǎng)絡(luò)流量)、保證交付(應(yīng)用流量)和盡最大努力交付的應(yīng)用程序(文件共享)。使用這種分類，他們可以更好的根據(jù)關(guān)鍵任務(wù)流量、非關(guān)鍵任務(wù)流量來優(yōu)化資源并減少網(wǎng)絡(luò)擁擠。
[0004]深度包檢測(cè)技術(shù)(DPI, Deep Packet Inspect1n)是一種協(xié)議識(shí)別技術(shù),DPI技術(shù)在分析報(bào)頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí)，DPI技術(shù)將網(wǎng)絡(luò)上的數(shù)據(jù)報(bào)文根據(jù)五元組(源地址、目的地址、源端口、目的端口以及協(xié)議類型)分為若干個(gè)應(yīng)用流，通過深入讀取IP包載荷的內(nèi)容來對(duì)應(yīng)用層信息進(jìn)行重組，從而識(shí)別出應(yīng)用流對(duì)應(yīng)的應(yīng)用或者用戶的動(dòng)作，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行控制，控制方法包括:正常轉(zhuǎn)發(fā)、阻塞、限制帶寬、整形、重標(biāo)記優(yōu)先級(jí)等，這樣可以防止有限的網(wǎng)絡(luò)帶寬被低價(jià)值的業(yè)務(wù)擠占。
[0005]同時(shí)，DPI技術(shù)能夠檢測(cè)出數(shù)據(jù)包的內(nèi)容及有效負(fù)載，并且能夠提取出內(nèi)容級(jí)別的信息，如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類型等。利用DPI技術(shù)在網(wǎng)絡(luò)中的部署，可以實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)中的業(yè)務(wù)識(shí)別、業(yè)務(wù)控制和業(yè)務(wù)統(tǒng)計(jì)。例如，從電子郵件的內(nèi)容看，垃圾郵件和普通郵件的業(yè)務(wù)流兩者間根本沒有區(qū)別，只有進(jìn)一步分析，具體根據(jù)發(fā)送郵件的大小、頻率、目的郵件和源郵件地址、變化的頻率和被拒絕的頻率等綜合分析，建立綜合識(shí)別模型，才能判斷是否為垃圾郵件。DPI可以統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)流量分布和用戶的各種業(yè)務(wù)使用情況，從而更好的發(fā)現(xiàn)促進(jìn)業(yè)務(wù)發(fā)展和影響網(wǎng)絡(luò)正常運(yùn)營(yíng)的因素，為網(wǎng)絡(luò)和業(yè)務(wù)優(yōu)化提供依據(jù)。如發(fā)掘?qū)τ脩粲形Φ臉I(yè)務(wù)、驗(yàn)證業(yè)務(wù)提供水平是否達(dá)到了用戶的服務(wù)等級(jí)協(xié)議SLA、統(tǒng)計(jì)分析出網(wǎng)絡(luò)中攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務(wù)、哪幾種業(yè)務(wù)最消耗網(wǎng)絡(luò)的帶寬和哪些用戶使用了非法VoIP等。采用DPI技術(shù)，實(shí)現(xiàn)保障網(wǎng)絡(luò)不同業(yè)務(wù)QoS的高價(jià)值業(yè)務(wù)的開展，真正把網(wǎng)絡(luò)帶寬變成可有機(jī)利用、按需分配的資源，為進(jìn)行智能化的業(yè)務(wù)和用戶識(shí)別，網(wǎng)絡(luò)業(yè)務(wù)的精細(xì)運(yùn)營(yíng)、業(yè)務(wù)管理、統(tǒng)計(jì)分析提供了高效的支撐手段，為網(wǎng)絡(luò)業(yè)務(wù)的運(yùn)營(yíng)分析、安全管控提供保障。
[0006]為了實(shí)現(xiàn)對(duì)SDN網(wǎng)絡(luò)的監(jiān)管，同時(shí)，考慮到SDN網(wǎng)絡(luò)用戶具有移動(dòng)性，會(huì)從一個(gè)交換機(jī)移動(dòng)到另一個(gè)交換機(jī)，為了保持用戶在SDN網(wǎng)絡(luò)中的業(yè)務(wù)連續(xù)性，急需提出一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移的方法和業(yè)務(wù)流控制方法，在用戶遷移過程中實(shí)現(xiàn)對(duì)數(shù)據(jù)流的監(jiān)管。

【發(fā)明內(nèi)容】

[0007]本發(fā)明需要解決的技術(shù)問題是提供一種SDN中的狀態(tài)遷移方法、業(yè)務(wù)流控制方法、系統(tǒng)以及SDN中的交換機(jī)，融合DPI技術(shù)，為SDN提供一個(gè)高效、安全的網(wǎng)絡(luò)管理系統(tǒng)，防御并解決SDN網(wǎng)絡(luò)用戶遷移的可能漏洞。
[0008]為了解決上述技術(shù)問題，本發(fā)明提供了一種軟件定義網(wǎng)絡(luò)中的狀態(tài)遷移方法，包括:
[0009]在用戶要遷出的當(dāng)前交換機(jī)與所述用戶遷入的目標(biāo)交換機(jī)建立狀態(tài)遷移通道后，如果所述當(dāng)前交換機(jī)上保存有所述用戶的動(dòng)態(tài)深度包檢測(cè)DPI數(shù)據(jù)，則將其上保存的所述用戶的動(dòng)態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報(bào)文遷移到所述目標(biāo)交換機(jī)上；
[0010]所述動(dòng)態(tài)DPI數(shù)據(jù)是所述用戶在所述當(dāng)前交換機(jī)上線后，所述當(dāng)前交換機(jī)對(duì)流經(jīng)其的數(shù)據(jù)包流進(jìn)行DPI分析過程中產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)。
[0011]進(jìn)一步地，所述方法還包括:
[0012]在所述當(dāng)前交換機(jī)與所述目標(biāo)交換機(jī)建立狀態(tài)遷移通道前，在所述用戶在所述目標(biāo)交換機(jī)上線后，軟件定義網(wǎng)絡(luò)SDN控制器根據(jù)所述用戶的身份標(biāo)識(shí)信息從策略服務(wù)器獲取所述用戶對(duì)應(yīng)的DPI策略，并下發(fā)至所述目標(biāo)交換機(jī)。
[0013]進(jìn)一步地，所述在所述當(dāng)前交換機(jī)將其上保存的所述動(dòng)態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報(bào)文遷移到所述目標(biāo)交換機(jī)上后，所述方法還包括:
[0014]所述目標(biāo)交換機(jī)對(duì)當(dāng)前流經(jīng)其的數(shù)據(jù)包流和所述數(shù)據(jù)報(bào)文進(jìn)行DPI分析產(chǎn)生新的動(dòng)態(tài)DPI數(shù)據(jù)，并結(jié)合遷移過來的動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，根據(jù)匹配到的所述DPI策略對(duì)后續(xù)流經(jīng)所述目標(biāo)交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制。
[0015]進(jìn)一步地,所述方法還包括:
[0016]在所述用戶在所述目標(biāo)交換機(jī)上線后，在所述當(dāng)前交換機(jī)將其上保存的所述動(dòng)態(tài)DPI數(shù)據(jù)和緩存的數(shù)據(jù)報(bào)文遷移到所述目標(biāo)交換機(jī)上之前，所述方法還包括:
[0017]所述目標(biāo)交換機(jī)對(duì)當(dāng)前流經(jīng)其的數(shù)據(jù)包流進(jìn)行DPI分析產(chǎn)生新的動(dòng)態(tài)DPI數(shù)據(jù)，根據(jù)所述新的動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，根據(jù)匹配到的所述DPI策略對(duì)后續(xù)流經(jīng)所述目標(biāo)交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制。
[0018]進(jìn)一步地，如果所述當(dāng)前交換機(jī)上沒有保存所述用戶的動(dòng)態(tài)DPI數(shù)據(jù)，在所述當(dāng)前交換機(jī)將其上緩存的數(shù)據(jù)報(bào)文遷移到所述目標(biāo)交換機(jī)上之后，所述方法還包括:
[0019]所述目標(biāo)交換機(jī)對(duì)當(dāng)前流經(jīng)其的數(shù)據(jù)包流和所述數(shù)據(jù)報(bào)文進(jìn)行DPI分析產(chǎn)生新的動(dòng)態(tài)DPI數(shù)據(jù)，根據(jù)所述新的動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，根據(jù)匹配到的所述DPI策略對(duì)后續(xù)流經(jīng)所述目標(biāo)交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制。
[0020]進(jìn)一步地，所述當(dāng)前交換機(jī)緩存的緩存報(bào)文是:在所述用戶從當(dāng)前交換機(jī)下線后且未完成在所述目標(biāo)交換機(jī)上線前，所述當(dāng)前交換機(jī)接收到的發(fā)給所述用戶的數(shù)據(jù)報(bào)文。
[0021]為了解決上述技術(shù)問題，本發(fā)明還提供了一種軟件定義網(wǎng)絡(luò)中的業(yè)務(wù)流控制方法，包括:
[0022]用戶在交換機(jī)上線后，軟件定義網(wǎng)絡(luò)SDN控制器根據(jù)所述用戶的身份標(biāo)識(shí)信息從策略服務(wù)器獲取所述用戶對(duì)應(yīng)的深度包檢測(cè)DPI策略，并下發(fā)至所述交換機(jī)；
[0023]所述交換機(jī)對(duì)當(dāng)前流經(jīng)其的數(shù)據(jù)包流進(jìn)行DPI分析產(chǎn)生動(dòng)態(tài)DPI數(shù)據(jù)，根據(jù)所述動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，根據(jù)匹配到的所述DPI策略對(duì)后續(xù)流經(jīng)所述交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制。
[0024]為了解決上述技術(shù)問題，本發(fā)明還提供了一種軟件定義網(wǎng)絡(luò)中的交換機(jī)，包括:轉(zhuǎn)發(fā)功能模塊和深度包檢測(cè)DPI業(yè)務(wù)模塊，其中，
[0025]所述轉(zhuǎn)發(fā)功能模塊，用于在交換機(jī)接收到數(shù)據(jù)包流后，將所述數(shù)據(jù)包流復(fù)制存入所述DPI業(yè)務(wù)模塊；并接收所述DPI業(yè)務(wù)模塊發(fā)來的DPI策略，根據(jù)所述DPI策略對(duì)后續(xù)流經(jīng)所述交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制；
[0026]所述DPI業(yè)務(wù)模塊，用于在用戶在所述交換機(jī)上線后，接收軟件定義網(wǎng)絡(luò)SDN控制器下發(fā)的所述用戶對(duì)應(yīng)的DPI策略，接收所述轉(zhuǎn)發(fā)功能模塊存入的數(shù)據(jù)包流，對(duì)所述數(shù)據(jù)包流進(jìn)行DPI分析產(chǎn)生動(dòng)態(tài)DPI數(shù)據(jù)，根據(jù)所述動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN控制器下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，將匹配到的所述DPI策略發(fā)送至所述轉(zhuǎn)發(fā)功能模塊。
[0027]進(jìn)一步地，所述DPI業(yè)務(wù)模塊包括:
[0028]接收模塊，用于在所述用戶在所述交換機(jī)上線后，接收所述SDN控制器下發(fā)的所述用戶對(duì)應(yīng)的DPI策略；
[0029]用戶會(huì)話數(shù)據(jù)庫(kù)，用于緩存當(dāng)前流經(jīng)所述交換機(jī)的數(shù)據(jù)包流，以及根據(jù)當(dāng)前流經(jīng)所述交換機(jī)的數(shù)據(jù)包流進(jìn)行DPI分析過程中產(chǎn)生的動(dòng)態(tài)DPI數(shù)據(jù)；
[0030]DPI處理模塊，用于對(duì)當(dāng)前流經(jīng)所述交換機(jī)的數(shù)據(jù)包流進(jìn)行DPI分析產(chǎn)生動(dòng)態(tài)DPI數(shù)據(jù)，將所述動(dòng)態(tài)DPI數(shù)據(jù)發(fā)送至所述用戶會(huì)話數(shù)據(jù)庫(kù)緩存，并根據(jù)所述動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果，然后在所述SDN下發(fā)的DPI策略中查詢與所述DPI特征分析結(jié)果匹配的DPI策略，將匹配到的所述DPI策略發(fā)送至所述轉(zhuǎn)發(fā)功能模塊對(duì)后續(xù)流經(jīng)所述交換機(jī)的數(shù)據(jù)包流進(jìn)行轉(zhuǎn)發(fā)控制。
[0031]進(jìn)一步地，所述用戶會(huì)話數(shù)據(jù)庫(kù)，還用于在所述DPI處理模塊根據(jù)所述動(dòng)態(tài)DPI數(shù)據(jù)得出DPI特征分析結(jié)果后，將所述動(dòng)態(tài)DPI數(shù)據(jù)刪除。
[0032]進(jìn)一步地，所述用戶會(huì)話數(shù)據(jù)庫(kù)，還用于在所述用戶從所述交換機(jī)遷移到所述目標(biāo)交換機(jī)的過程中，在所述用戶從所述交換機(jī)下線后且未完成在所述目標(biāo)交換機(jī)上線