CN107682203A - 一种基于服务链的安全功能部署方法 - Google Patents
一种基于服务链的安全功能部署方法 Download PDFInfo
- Publication number
- CN107682203A CN107682203A CN201711041932.0A CN201711041932A CN107682203A CN 107682203 A CN107682203 A CN 107682203A CN 201711041932 A CN201711041932 A CN 201711041932A CN 107682203 A CN107682203 A CN 107682203A
- Authority
- CN
- China
- Prior art keywords
- link
- service chain
- function
- deployed
- requirement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于服务链的安全功能部署方法,涉及网络安全技术领域。本发明针对用户的安全服务需求和由上层编排、下发的安全服务链,提出一种安全功能服务链部署方法,对同时到达的多条安全服务链进行合理映射,在满足功能要求、带宽需求的前提下降低网络成本,保障服务质量。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于服务链的安全功能部署方法。
背景技术
软件定义网络(Software Defined Networking,SDN)作为近几年来的新兴网络技术,为网络管理带来了新的机遇与挑战。其基本思想是将网络控制与数据转发相互分离,解耦网络控制功能和数据转发功能。采用编程模式实现集中化的管理控制功能,简化了网络管理的复杂性并促进网络的发展和创新。图1描述了SDN的三层逻辑架构图,从上至下依次为:应用层、控制层和基础设施层。
SDN架构通过控制层的可编程接口API,可在应用层灵活编写各种应用服务,满足多租户差异化、多样化的应用需求。位于整个架构中间位置的控制层负责维护全局网络拓扑,制定集中式的调度策略,并通过南向接口下发给基础设施层中的网络设备。最底层的基础设施层只需要通过南向接口(如OpenFlow等)接收SDN控制层的各种指令,完成单纯的数据处理和转发。
SDN将控制平面与数据平面分离,可降低硬件设备的复杂性,采用集中式的控制方法便于对网络设备进行统一管理。此外,利用SDN控制器掌握网络的全局信息,可制定更加智能的调度策略,更好的把握网络状态并进行更快速的调整,从而提高资源利用效率、简化网络管理并降低网络能耗成本。SDN技术的兴起,为基于全局网络视图的资源管理、负载均衡开辟了新的实现途径。
网络功能虚拟化(Network Function Virtualization,NFV)技术将传统专业网元设备上的网络功能提取出来,并以虚拟化、软件化的形式运行在通用的硬件平台上。实现软件化网络功能的灵活加载、按需部署和更新,大程度的方便远程管理和维护,降低服务提供商的资本支出(Capital Expenditure,CAPEX)和运营成本(Operating Expense,OPEX)。
NFV技术将服务器、存储设备、交换机、路由器等计算资源、存储资源、网络资源与相应的虚拟网络功能(Virtual Network Function,VNF)建立一一映射关系,形成虚拟计算资源组件、虚拟存储资源组件、虚拟网络资源组件等。本发明主要研究的虚拟安全资源组件,包括:虚拟网络地址翻译(virtual Network Address Translation,vNAT)、虚拟防火墙(virtual FireWall,vFW),虚拟入侵检测***(virtual Intrusion Detection System,vIDS),虚拟入侵防御***(virtual Intrusion Prevention Systems,vIPS)等,如图2所示。
随着SDN技术和NFV技术的不断发展,网络控制变得更加灵活并更具有扩展性。SDN以控制转发分离的特性,对底层物理网络进行虚拟化和逻辑抽象,通过SDN控制器引导转发流量自动通过虚拟服务节点,可实现灵活、便捷、高效的服务功能,这种流量按序通过虚拟服务功能节点组成的序列称为服务链,如图3所示。
因此,针对用户的安全服务需求和由上层编排、下发的安全服务链,需要选择一条满足安全服务能力、安全功能顺序、资源需求的最优路径,该问题即基于服务链的安全功能部署问题(或称为映射问题),如图4所示。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何针对用户的安全服务需求和由上层编排、下发的安全服务链,提出一种安全功能服务链部署方法。(二)技术方案
为了解决上述技术问题,本发明提供了一种基于服务链的安全功能部署方法,包括以下步骤:
第一步、将底层网络拓扑用一个加权图表示GS=(VS,ES),其中VS是由转发节点、安全功能节点构成的物理节点集合,VS=TS∪NS,TS表示路由等资源转发节点集合,NS为防火墙等安全功能节点集合,ES是物理网络中链路集合,存在属性带宽能力,包含链路es的上行带宽容量B(es↑)和下行带宽容量B(es↓),es=(vi,vj),vi和vj为链路es的两个端点,如果i<j,则称由vi流向vj的流量为上行流量,反向为下行流量,以跳数hop(vi,vj)表示vi和vj之间的传输时延;
第二步、定义同时到达的R条服务链请求集合为Φ={Q1,Q2,…,QR},其中服务链请求表示为有向序列Qr=(qr,1,qr,2,…,qr,h-1,qr,h,qr,h+1,…,qr,H),共包含H个安全功能需求,其中qr,h-1是qr,h的前一个安全功能需求,qr,h+1是qr,h的后一个安全功能需求,从qr,h到qr,h+1的需求链路表示为link(qr,h,qr,h+1),对应的带宽表示为bw(qr,h,qr,h+1);
第三步、定义Nr(qr,h)表示部署服务链Qr中安全功能需求qr,h的物理节点,Nr(qr,h)∈NS,服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上,使用Lr(qr,h,qr,h+1)表示服务链Qr中安全功能需求qr,h到qr,h+1之间的流量路径,即链路link(qr,h,qr,h+1)在GS上的部署路径,定义服务链部署产生的网络成本为:
第四步、在服务链部署过程中,采用分治法,将每条服务链的部署问题划分为较小的子服务链部署问题。
优选地,第四步中,划分依据为:对于服务链Qr中的安全功能需求qr,h,如果在底层拓扑GS中只存在唯一的安全功能节点vi可提供qr,h功能需求,即功能需求qr,h能且仅能部署在节点上vi,则将功能需求qr,h部署在节点vi上,即Nr(qr,h)=vi,并以qr,h为界分割服务链Qr,形成子服务链,依次对划分后的子服务链进行部署,将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。
优选地,第四步中,对于每条子服务链,对通信链路按照带宽需求排序,并依据此顺序依次部署链路。
优选地,第四步中,对于每条子服务链,对通信链路按照带宽需求排序,并依据此顺序依次部署链路具体为:
如果链路link(qr,h,qr,h+1)的两端的功能需求qr,h和qr,h+1均未部署,则标记链路link(qr,h,qr,h+1)为待定状态,并部署下一条流量;如果链路link(qr,h,qr,h+1)的一个端点已经成功部署,则对链路link(qr,h,qr,h+1)进行部署,选择链路link(qr,h,qr,h+1)中尚未部署的另一个端点,如果端点qr,h的前一个和后一个安全功能均已部署,则根据端点qr,h的前一个安全功能需求qr,h-1和后一个安全功能需求qr,h+1,在Gs可提供qr,h功能的候选节点中,选择满足link(qr,h,qr,h+1)和link(qr,h-1,qr,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为qr,h的部署节点;如果qr,h的前一个或后一个安全功能未部署,在可提供qr,h功能的所有候选物理节点中选择满足link(qr,h,qr,h+1)带宽需求的、网络成本最小的节点和链路进行分配,并判断Qr中经过功能qr,h的另一条链路link(qr,h-1,qr,h)是否处于待定状态,如果链路link(qr,h-1,qr,h)处于待定状态,则使用相同的方法对链路link(qr,h-1,qr,h)及其端点进行部署,并继续判断经过功能qr,h-1的未分配链路是否处于待定状态;如果链路link(qr,h-1,qr,h)不是待定状态,则根据带宽需求排序得到的顺序部署下一条链路,直至服务链Qr中的所有功能需求和链路需求均部署完成;如果在部署过程中,Gs无法提供服务链需要的安全功能或无法满足服务链的带宽需求,则该服务链部署失败。
(三)有益效果
本发明针对用户的安全服务需求和由上层编排、下发的安全服务链,提出一种安全功能服务链部署方法,对同时到达的多条安全服务链进行合理映射,在满足功能要求、带宽需求的前提下降低网络成本,保障服务质量。
附图说明
图1是SDN典型架构图;
图2是NAT实现虚拟安全资源组件示意图;
图3是服务链示意图;
图4是基于服务链的安全功能部署示意图,其中a为底层安全功能网络拓扑图,b为安全功能服务链示意图;
图5是底层网络拓扑和服务链请求示例图;其中a为底层网络拓扑图,b为服务链请求示意图;
图6是服务链部署结果示例图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
安全功能服务链(Security Service Function Chain,SSFC)是一组有序的安全功能集合,流量按照指定的策略依次通过多个安全功能节点,形成指定功能和顺序的安全服务。由于在网络中每一种安全功能可能分布着多个安全功能组件,因此安全功能服务链的部署过程即安全功能组件的选择以及它们之间的路由选择过程。
本发明提出一种安全功能服务链部署方法,对同时到达的多条安全服务链进行合理映射,在满足功能要求、带宽需求的前提下降低网络成本,保障服务质量。该方法包括以下步骤:
首先将底层网络拓扑用一个加权图表示GS=(VS,ES),其中VS是由转发节点、安全功能节点构成的物理节点集合,VS=TS∪NS。TS表示路由等资源转发节点集合,NS为防火墙等安全功能节点集合。ES是物理网络中链路集合,存在属性带宽能力,包含链路es的上行带宽容量B(es↑)和下行带宽容量B(es↓)。es=(vi,vj),vi和vj为链路es的两个端点。如果i<j,则称由vi流向vj的流量为上行流量,反向为下行流量。以跳数hop(vi,vj)表示vi和vj之间的传输时延。例如,在图5(a)中,底层网络拓扑GS共包含14个物理节点,即VS={v1,v2,v3,v4,v5,v6,v7,v8,v9,v10,v11,v12,v13,v14}。其中安全功能节点集合NS和转发节点集合TS分别为NS={v1,v2,v3,v5,v6,v10,v11,v13}、TS={v4,v7,v8,v9,v12,v14}。每条链路旁边的数字表示链路的带宽(或称带宽容量),“/”左侧为上行带宽容量,右侧为下行带宽容量。图5(a)中链路(v1,v2)的上行带宽容量和下行带宽容量分别为8Mbps和10Mbps,即B((v1,v2)↑)=8Mbps,B((v1,v2)↓)=10Mbps,v1与v2之间的跳数hop(v1,v2)=1。
其次,定义同时到达的R条服务链请求集合为Φ={Q1,Q2,…,QR},其中服务链请求表示为有向序列Qr=(qr,1,qr,2,…,qr,h-1,qr,h,qr,h+1,…,qr,H),共包含H个安全功能需求。其中qr,h-1是qr,h的前一个安全功能需求,qr,h+1是qr,h的后一个安全功能需求,从qr,h到qr,h+1的需求链路表示为link(qr,h,qr,h+1),对应的带宽表示为bw(qr,h,qr,h+1)。如图5(b)所示的服务链请求集合Φ={Q1,Q2,Q3},其中Q1=(FW,IDS,NAT),Q2=(NAT,LB,IPS),Q3=(IDS,IPS,FW,NAT,LB)。以Q1为例,Q1共包含3个安全功能需求,依次为防火墙(FW)、入侵检测(IDS)和网络地址转换(NAT),FW是IDS的前一个安全功能需求,NAT是IDS的后一个安全功能需求。从FW功能到IDS功能的链路link(FW,IDS)对应的带宽需求bw(FW,IDS)=4Mbps,从IDS功能到NAT功能的链路link(IDS,NAT)对应的带宽需求bw(IDS,NAT)=3Mbps。在服务链部署过程中,既要满足安全功能的按序排列,也要满足安全功能之间的带宽需求。
因此,服务链Qr的生成过程可看作所有安全功能需求、以及它们之间的通信流量在底层网络GS上的部署问题。第三步定义Nr(qr,h)表示部署服务链Qr中安全功能需求qr,h的物理节点,Nr(qr,h)∈NS,服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上。使用Lr(qr,h,qr,h+1)表示服务链Qr中安全功能需求qr,h到qr,h+1之间的流量路径,即链路link(qr,h,qr,h+1)在GS上的部署路径。本发明不仅考虑链的带宽需求,也将传输延迟纳入网络成本。定义服务链部署产生的网络成本为:
为了最小化部署安全服务链所产生的网络成本,本发明在满足服务链带宽需求、成功部署安全功能的前提下,将网络成本最小化作为服务链生成时的优化目标。面向同时到达的多个服务链请求,本发明优先部署通信带宽较大的服务链,避免带宽资源成为服务链部署瓶颈并同时降低网络成本。因此第四步在服务链部署过程中,采用分治方法,将每条服务链的部署问题划分为较小的子服务链部署问题,从而降低算法复杂度。划分依据为:对于服务链Qr中的安全功能需求qr,h,如果在底层拓扑GS中只存在唯一的安全功能节点vi可提供qr,h功能需求,即功能需求qr,h能且仅能部署在节点上vi,则将功能需求qr,h部署在节点vi上(即Nr(qr,h)=vi),并以qr,h为界分割服务链Qr,形成子服务链。如图5(b)服务链Q2中的LB功能需求,在图5(a)的GS中只有节点v5可提供LB功能,因此Q2中的LB功能需求只能部署在节点v5上,并以LB功能需求为界将Q2分割为两个子服务链。依次对划分后的子服务链进行部署,将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。
对于每条子服务链,对通信链路按照带宽需求排序,并依据此顺序依次部署链路。如果链路link(qr,h,qr,h+1)的两端的功能需求qr,h和qr,h+1均未部署,则标记链路link(qr,h,qr,h+1)为待定状态,并部署下一条流量;如果链路link(qr,h,qr,h+1)的一个端点已经成功部署,则对链路link(qr,h,qr,h+1)进行部署。选择链路link(qr,h,qr,h+1)中尚未部署的另一个端点(以qr,h为例,则qr,h+1表示已成功部署的端点),如果端点qr,h的前一个和后一个安全功能均已部署,则根据端点qr,h的前一个安全功能需求qr,h-1和后一个安全功能需求qr,h+1,在Gs可提供qr,h功能的候选节点中,选择满足link(qr,h,qr,h+1)和link(qr,h-1,qr,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为qr,h的部署节点;如果qr,h的前一个或后一个安全功能未部署,在可提供qr,h功能的所有候选物理节点中选择满足link(qr,h,qr,h+1)带宽需求的、网络成本最小的节点和链路进行分配,并判断Qr中经过功能qr,h的另一条链路link(qr,h-1,qr,h)是否处于待定状态。如果链路link(qr,h-1,qr,h)处于待定状态,则使用相同的方法对链路link(qr,h-1,qr,h)及其端点进行部署,并继续判断经过功能qr,h-1的未分配链路是否处于待定状态。如果链路link(qr,h-1,qr,h)不是待定状态,则根据带宽需求排序得到的顺序部署下一条链路,直至服务链Qr中的所有功能需求和链路需求均部署完成。如果在部署过程中,Gs无法提供服务链需要的安全功能或无法满足服务链的带宽需求,则该服务链部署失败。
下面举例什么本发明的方法流程。
输入:底层安全功能网络拓扑GS=(VS,ES),同时到达的服务链请求Q1、Q2、Q3,如图5所示;
输出:服务链请求的安全节点部署结果和节点之间路由结果;
1.比较服务链请求Q1、Q2、Q3的最大链路带宽需求(分别为4Mbps、8Mbps、10Mbps),并根据最大链路带宽需求降序排列,按照Q3、Q2、Q1的顺序依次部署服务链。
2.对于请求Q3=(IDS,IPS,FW,NAT,LB),由于在底层拓扑GS中存在唯一的FW功能节点(节点v1)和LB功能节点(节点v5),则将Q3中的FW和LB功能需求分别部署在v1和v5上(即N3(q3,3)=v1,N3(q3,5)=v5),并以FW和LB功能需求为界分割服务链Q3。得到子服务链序列Q3 1=(IDS,IPS,FW),Q3 2=(FW,NAT,LB)。
3.部署子服务链Q3 1,优先部署Q3 1中带宽需求较大的链路,即先部署link(IDS,IPS),后部署link(IPS,FW)。
3.1对于即将部署的链路link(IDS,IPS),由于IDS和IPS均未部署,则将链路link(IDS,IPS)标记为待定状态,部署下一条链路link(IPS,FW);
3.2对于链路link(IPS,FW),FW已成功部署在节点v1上,IPS在服务链Q3 1中的上一个功能需求(IDS)尚未部署,则在GS中选择可提供IPS安全功能的节点(称为候选节点,即v3,v6)部署服务链Q3 1中的IPS需求;在候选节点中选择与v1之间带宽能力可满足链路link(IPS,FW)的带宽需求bw(IPS,FW),且IPS和FW之间网络成本最小的节点部署IPS需求,即将IPS部署在节点v6,即N3(q3,2)=v6,L3(q3,2,q3,3)为v6→v1;判断经过服务链Q3 1中IPS功能的另一条流量(即link(IDS,IPS))是否处于待定状态。
3.3因为link(IDS,IPS)处于待定状态,根据步骤3.2部署链路link(IDS,IPS),得到N3(q3,1)=v2,L3(q3,1,q3,2)为v2→v7→v6;子服务链Q3 1部署成功。
4.部署子服务链Q3 2,优先部署Q3 2中带宽需求较大的链路,即先部署link(FW,NAT),后部署link(NAT,LB)link。
4.1对于链路link(FW,NAT),FW已成功部署在节点v1上,NAT在服务链Q3 2中的下一个功能需求(LB)已成功部署在节点v5,则在GS中NAT功能的候选节点(v10,v11)中选择满足两段链路带宽需求bw(FW,NAT)和bw(NAT,LB),且两段链路网络总成本最小的安全功能物理节点部署NAT,即N3(q3,4)=v10,L3(q3,3,q3,5)为v1→v6→v10→v12→v13→v5;子服务链Q3 2部署成功,服务链Q3部署成功。
5.部署服务链请求Q2=(NAT,LB,IPS),根据步骤2分割为子服务链Q2 1=(NAT,LB),Q2 2=(LB,IPS),且将LB功能需求部署在节点v5上,即N2(q2,2)=v5。
6.部署子服务链Q2 1,由于LB功能已成功部署且NAT功能为第一个安全功能需求,不存在上一个安全功能需求,则在NAT功能的候选节点(v10,v11)中选择与v5之间带宽能力可满足链路link(NAT,LB)的带宽需求bw(NAT,LB),且NAT和LB之间网络成本最小的节点部署NAT需求,即,将NAT部署在节点v11,即N2(q2,1)=v11,L2(q2,1,q2,2)为v11→v13→v5;子服务链Q2 1部署成功。
7.部署子服务链Q2 2,由于LB功能已成功部署且IPS功能为最后一个安全功能需求,不存在下一个安全功能需求,则在IPS功能的候选节点(v3,v6)中选择与v5之间带宽能力可满足链路link(LB,IPS)的带宽需求bw(LB,IPS),且LB和IPS之间网络成本最小的节点部署IPS需求,即,将IPS部署在节点v3,即N2(q2,3)=v3,L2(q2,2,q2,3)为v5→v4→v3;子服务链Q2 2部署成功。服务链Q2部署成功。
8.部署服务链请求Q1=(FW,IDS,NAT),根据步骤2,将FW功能部署在节点v1,即N1(q1,1)=v1。Q1无法继续分割为子服务链,直接部署Q1。优先部署Q1中带宽需求较大的链路,即先部署link(FW,IDS),后部署link(IDS,NAT)。
8.1对于链路link(FW,IDS),FW已成功部署在节点v1上,IDS在服务链Q1中的下一个功能需求(NAT)尚未部署,则在GS中选择可提供IDS安全功能的节点(称为候选节点,即v2,v13)部署服务链Q1中的IDS需求;在候选节点中选择与v1之间带宽能力可满足链路link(FW,IDS)的带宽需求bw(FW,IDS),且IDS和FW之间网络成本最小的节点部署IDS需求,即将IDS部署在节点v2,即N1(q1,2)=v2,L1(q1,1,q1,2)为v1→v2;判断经过服务链Q1中IDS功能的另一条流量(即link(IDS,NAT))是否处于待定状态。
8.2链路link(IDS,NAT)不是待定状态,则依序处理Q1中的下一条链路,即link(IDS,NAT)。根据步骤8.1部署链路link(IDS,NAT),得到N1(q1,3)=v11,L1(q1,2,q1,3)为v2→v3→v11;服务链Q1部署成功。
9.到达的所有服务链请求部署完毕,算法结束,输出部署结果。服务链Q1,Q2,Q3的部署结果如图6所示,即Q1:N1(q1,1)=v1,N1(q1,2)=v2,N1(q1,3)=v11,流量路由L1为v1→v2→v3→v11;Q2:N2(q2,1)=v11,N2(q2,2)=v5,N2(q2,3)=v3,流量路由L2为v11→v13→v5→v4→v3;Q3:N3(q3,1)=v2,N3(q3,2)=v6,N3(q3,3)=v1,N3(q3,4)=v10,N3(q3,5)=v5,流量路由L3为v2→v7→v6→v1→v6→v10→v12→v13→v5。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (4)
1.一种基于服务链的安全功能部署方法,其特征在于,包括以下步骤:
第一步、将底层网络拓扑用一个加权图表示GS=(VS,ES),其中VS是由转发节点、安全功能节点构成的物理节点集合,VS=TS∪NS,TS表示路由等资源转发节点集合,NS为防火墙等安全功能节点集合,ES是物理网络中链路集合,存在属性带宽能力,包含链路es的上行带宽容量B(es↑)和下行带宽容量B(es↓),es=(vi,vj),vi和vj为链路es的两个端点,如果i<j,则称由vi流向vj的流量为上行流量,反向为下行流量,以跳数hop(vi,vj)表示vi和vj之间的传输时延;
第二步、定义同时到达的R条服务链请求集合为Φ={Q1,Q2,…,QR},其中服务链请求表示为有向序列Qr=(qr,1,qr,2,…,qr,h-1,qr,h,qr,h+1,…,qr,H),共包含H个安全功能需求,其中qr,h-1是qr,h的前一个安全功能需求,qr,h+1是qr,h的后一个安全功能需求,从qr,h到qr,h+1的需求链路表示为link(qr,h,qr,h+1),对应的带宽表示为bw(qr,h,qr,h+1);
第三步、定义Nr(qr,h)表示部署服务链Qr中安全功能需求qr,h的物理节点,Nr(qr,h)∈NS,服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上,使用Lr(qr,h,qr,h+1)表示服务链Qr中安全功能需求qr,h到qr,h+1之间的流量路径,即链路link(qr,h,qr,h+1)在GS上的部署路径,定义服务链部署产生的网络成本为:
<mrow>
<mi>cos</mi>
<mi>t</mi>
<mo>=</mo>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>r</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>R</mi>
</msubsup>
<msubsup>
<mi>&Sigma;</mi>
<mrow>
<mi>h</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mrow>
<mi>H</mi>
<mo>-</mo>
<mn>1</mn>
</mrow>
</msubsup>
<mrow>
<mo>(</mo>
<mi>h</mi>
<mi>o</mi>
<mi>p</mi>
<mo>(</mo>
<mrow>
<msub>
<mi>N</mi>
<mi>r</mi>
</msub>
<mrow>
<mo>(</mo>
<msub>
<mi>q</mi>
<mrow>
<mi>r</mi>
<mo>,</mo>
<mi>h</mi>
</mrow>
</msub>
<mo>)</mo>
</mrow>
<mo>,</mo>
<msub>
<mi>N</mi>
<mi>r</mi>
</msub>
<mrow>
<mo>(</mo>
<msub>
<mi>q</mi>
<mrow>
<mi>r</mi>
<mo>,</mo>
<mi>h</mi>
<mo>+</mo>
<mn>1</mn>
</mrow>
</msub>
<mo>)</mo>
</mrow>
</mrow>
<mo>)</mo>
<mo>&times;</mo>
<mi>b</mi>
<mi>w</mi>
<mo>(</mo>
<mrow>
<msub>
<mi>q</mi>
<mrow>
<mi>r</mi>
<mo>,</mo>
<mi>h</mi>
</mrow>
</msub>
<mo>,</mo>
<msub>
<mi>q</mi>
<mrow>
<mi>r</mi>
<mo>,</mo>
<mi>h</mi>
<mo>+</mo>
<mn>1</mn>
</mrow>
</msub>
</mrow>
<mo>)</mo>
<mo>)</mo>
</mrow>
</mrow>
第四步、在服务链部署过程中,采用分治法,将每条服务链的部署问题划分为较小的子服务链部署问题。
2.如权利要求1所述的方法,其特征在于,第四步中,划分依据为:对于服务链Qr中的安全功能需求qr,h,如果在底层拓扑GS中只存在唯一的安全功能节点vi可提供qr,h功能需求,即功能需求qr,h能且仅能部署在节点上vi,则将功能需求qr,h部署在节点vi上,即Nr(qr,h)=vi,并以qr,h为界分割服务链Qr,形成子服务链,依次对划分后的子服务链进行部署,将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。
3.如权利要求2所述的方法,其特征在于,第四步中,对于每条子服务链,对通信链路按照带宽需求排序,并依据此顺序依次部署链路。
4.如权利要求3所述的方法,其特征在于,第四步中,对于每条子服务链,对通信链路按照带宽需求排序,并依据此顺序依次部署链路具体为:
如果链路link(qr,h,qr,h+1)的两端的功能需求qr,h和qr,h+1均未部署,则标记链路link(qr,h,qr,h+1)为待定状态,并部署下一条流量;如果链路link(qr,h,qr,h+1)的一个端点已经成功部署,则对链路link(qr,h,qr,h+1)进行部署,选择链路link(qr,h,qr,h+1)中尚未部署的另一个端点,如果端点qr,h的前一个和后一个安全功能均已部署,则根据端点qr,h的前一个安全功能需求qr,h-1和后一个安全功能需求qr,h+1,在Gs可提供qr,h功能的候选节点中,选择满足link(qr,h,qr,h+1)和link(qr,h-1,qr,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为qr,h的部署节点;如果qr,h的前一个或后一个安全功能未部署,在可提供qr,h功能的所有候选物理节点中选择满足link(qr,h,qr,h+1)带宽需求的、网络成本最小的节点和链路进行分配,并判断Qr中经过功能qr,h的另一条链路link(qr,h-1,qr,h)是否处于待定状态,如果链路link(qr,h-1,qr,h)处于待定状态,则使用相同的方法对链路link(qr,h-1,qr,h)及其端点进行部署,并继续判断经过功能qr,h-1的未分配链路是否处于待定状态;如果链路link(qr,h-1,qr,h)不是待定状态,则根据带宽需求排序得到的顺序部署下一条链路,直至服务链Qr中的所有功能需求和链路需求均部署完成;如果在部署过程中,Gs无法提供服务链需要的安全功能或无法满足服务链的带宽需求,则该服务链部署失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711041932.0A CN107682203B (zh) | 2017-10-30 | 2017-10-30 | 一种基于服务链的安全功能部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711041932.0A CN107682203B (zh) | 2017-10-30 | 2017-10-30 | 一种基于服务链的安全功能部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107682203A true CN107682203A (zh) | 2018-02-09 |
CN107682203B CN107682203B (zh) | 2020-09-08 |
Family
ID=61143441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711041932.0A Active CN107682203B (zh) | 2017-10-30 | 2017-10-30 | 一种基于服务链的安全功能部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107682203B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616425A (zh) * | 2018-04-28 | 2018-10-02 | 电子科技大学 | 一种服务功能链级联失效风险的缓解方法 |
CN108718246A (zh) * | 2018-04-03 | 2018-10-30 | 华中科技大学 | 一种面向网络功能虚拟化的资源调度方法和*** |
CN108881207A (zh) * | 2018-06-11 | 2018-11-23 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务架构及其实现方法 |
CN109245932A (zh) * | 2018-09-20 | 2019-01-18 | 北京计算机技术及应用研究所 | 一种安全功能服务链部署方法 |
CN109831346A (zh) * | 2019-03-29 | 2019-05-31 | 电子科技大学 | 网络功能虚拟化环境下服务功能链的部署方法 |
CN110022230A (zh) * | 2019-03-14 | 2019-07-16 | 北京邮电大学 | 基于深度强化学习的服务链并行部署方法及装置 |
CN111770070A (zh) * | 2020-06-22 | 2020-10-13 | 中国电子科技集团公司第五十四研究所 | 一种基于sdn的安全服务链聚合部署方法 |
CN111800291A (zh) * | 2020-05-27 | 2020-10-20 | 北京邮电大学 | 一种服务功能链部署方法及装置 |
CN113225211A (zh) * | 2021-04-27 | 2021-08-06 | 中国人民解放军空军工程大学 | 细粒度的服务功能链扩展方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104065509A (zh) * | 2014-07-24 | 2014-09-24 | 大连理工大学 | 一种降低管理负载开销的sdn多控制器部署方法 |
US20150319078A1 (en) * | 2014-05-02 | 2015-11-05 | Futurewei Technologies, Inc. | Computing Service Chain-Aware Paths |
CN105242956A (zh) * | 2015-09-15 | 2016-01-13 | 中国人民解放军信息工程大学 | 虚拟功能服务链部署***及其部署方法 |
CN105706420A (zh) * | 2013-06-28 | 2016-06-22 | 瑞典爱立信有限公司 | 用于实现提供商网络中的服务链的***和方法 |
US20170026235A1 (en) * | 2015-07-20 | 2017-01-26 | Koninklijke Kpn N.V. | Service Provisioning In A Communication Network |
CN106506284A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种基于cost模型的nfv业务链网络评估方法 |
CN107124303A (zh) * | 2017-04-19 | 2017-09-01 | 电子科技大学 | 低传输时延的服务链优化方法 |
US20170288971A1 (en) * | 2016-04-04 | 2017-10-05 | Brocade Communications Systems, Inc. | Constraint-Based Virtual Network Function Placement |
-
2017
- 2017-10-30 CN CN201711041932.0A patent/CN107682203B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105706420A (zh) * | 2013-06-28 | 2016-06-22 | 瑞典爱立信有限公司 | 用于实现提供商网络中的服务链的***和方法 |
US20150319078A1 (en) * | 2014-05-02 | 2015-11-05 | Futurewei Technologies, Inc. | Computing Service Chain-Aware Paths |
CN104065509A (zh) * | 2014-07-24 | 2014-09-24 | 大连理工大学 | 一种降低管理负载开销的sdn多控制器部署方法 |
US20170026235A1 (en) * | 2015-07-20 | 2017-01-26 | Koninklijke Kpn N.V. | Service Provisioning In A Communication Network |
CN105242956A (zh) * | 2015-09-15 | 2016-01-13 | 中国人民解放军信息工程大学 | 虚拟功能服务链部署***及其部署方法 |
US20170288971A1 (en) * | 2016-04-04 | 2017-10-05 | Brocade Communications Systems, Inc. | Constraint-Based Virtual Network Function Placement |
CN106506284A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种基于cost模型的nfv业务链网络评估方法 |
CN107124303A (zh) * | 2017-04-19 | 2017-09-01 | 电子科技大学 | 低传输时延的服务链优化方法 |
Non-Patent Citations (1)
Title |
---|
刘彩霞等: "基于子图同构的vEPC虚拟网络分层协同映射算法", 《电子与信息学报》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108718246A (zh) * | 2018-04-03 | 2018-10-30 | 华中科技大学 | 一种面向网络功能虚拟化的资源调度方法和*** |
CN108718246B (zh) * | 2018-04-03 | 2021-03-16 | 华中科技大学 | 一种面向网络功能虚拟化的资源调度方法和*** |
CN108616425A (zh) * | 2018-04-28 | 2018-10-02 | 电子科技大学 | 一种服务功能链级联失效风险的缓解方法 |
CN108616425B (zh) * | 2018-04-28 | 2021-06-01 | 电子科技大学 | 一种服务功能链级联失效风险的缓解方法 |
CN108881207B (zh) * | 2018-06-11 | 2020-11-10 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务实现方法 |
CN108881207A (zh) * | 2018-06-11 | 2018-11-23 | 中国人民解放军战略支援部队信息工程大学 | 基于安全服务链的网络安全服务架构及其实现方法 |
CN109245932A (zh) * | 2018-09-20 | 2019-01-18 | 北京计算机技术及应用研究所 | 一种安全功能服务链部署方法 |
CN110022230A (zh) * | 2019-03-14 | 2019-07-16 | 北京邮电大学 | 基于深度强化学习的服务链并行部署方法及装置 |
CN109831346B (zh) * | 2019-03-29 | 2020-04-07 | 电子科技大学 | 网络功能虚拟化环境下服务功能链的部署方法 |
CN109831346A (zh) * | 2019-03-29 | 2019-05-31 | 电子科技大学 | 网络功能虚拟化环境下服务功能链的部署方法 |
CN111800291A (zh) * | 2020-05-27 | 2020-10-20 | 北京邮电大学 | 一种服务功能链部署方法及装置 |
CN111800291B (zh) * | 2020-05-27 | 2021-07-20 | 北京邮电大学 | 一种服务功能链部署方法及装置 |
CN111770070A (zh) * | 2020-06-22 | 2020-10-13 | 中国电子科技集团公司第五十四研究所 | 一种基于sdn的安全服务链聚合部署方法 |
CN113225211A (zh) * | 2021-04-27 | 2021-08-06 | 中国人民解放军空军工程大学 | 细粒度的服务功能链扩展方法 |
CN113225211B (zh) * | 2021-04-27 | 2022-09-02 | 中国人民解放军空军工程大学 | 细粒度的服务功能链扩展方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107682203B (zh) | 2020-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682203B (zh) | 一种基于服务链的安全功能部署方法 | |
US20200293180A1 (en) | Stage upgrade of image versions on devices in a cluster | |
Wang et al. | A survey on data center networking for cloud computing | |
JP6470838B2 (ja) | ソフトウェア定義型ネットワーキングにおけるデータ転送方法、装置、およびシステム | |
CN108494596B (zh) | 多个vnf间依赖的协同式构建与映射sfc方法 | |
CN109194577A (zh) | 一种基于部分部署的分段路由网络的流量工程方法及装置 | |
CN106464522A (zh) | 用于网络功能布局的方法和*** | |
US20150365314A1 (en) | Controlling a Topology of a Network | |
Duan | Network-as-a-service in software-defined networks for end-to-end QoS provisioning | |
EP3123677B1 (en) | A method to provide elasticity in transport network virtualisation | |
CN103548376A (zh) | 通过openflow数据平面在云计算机中实现epc | |
CN108307435A (zh) | 一种基于sdsin的多任务路由选择方法 | |
CN108092895B (zh) | 一种软件定义网络联合路由选择及网络功能部署方法 | |
Lin et al. | Jointly optimized QoS-aware virtualization and routing in software defined networks | |
Farshin et al. | A modified knowledge-based ant colony algorithm for virtual machine placement and simultaneous routing of NFV in distributed cloud architecture | |
Yan et al. | A survey of low-latency transmission strategies in software defined networking | |
CN105847146B (zh) | 一种提高层次分布式sdn控制平面路由效率的方法 | |
Desai et al. | Edge-based optimal routing in SDN-enabled industrial Internet of Things | |
CN109587058A (zh) | 一种流量工程路径的选择方法及装置 | |
Ayadi et al. | Qos-based network virtualization to future networks: An approach based on network constraints | |
Cao et al. | A study on application-towards bandwidth guarantee based on SDN | |
Wang et al. | SD-WAN: Edge Cloud Network Acceleration at Australia Hybrid Data Center | |
Xu et al. | Coordinated resource allocation with VNFs precedence constraints in inter-datacenter networks over elastic optical infrastructure | |
Masoud et al. | Dynamic allocation of service function chains under priority dependency constraint | |
US11843542B2 (en) | Safely engineering egress traffic changes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |