CN115622959A - 交换机控制方法、装置、设备、存储介质及sdn网络 - Google Patents
交换机控制方法、装置、设备、存储介质及sdn网络 Download PDFInfo
- Publication number
- CN115622959A CN115622959A CN202211381752.8A CN202211381752A CN115622959A CN 115622959 A CN115622959 A CN 115622959A CN 202211381752 A CN202211381752 A CN 202211381752A CN 115622959 A CN115622959 A CN 115622959A
- Authority
- CN
- China
- Prior art keywords
- message
- sdn
- flow table
- host
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000004891 communication Methods 0.000 claims abstract description 48
- 238000012545 processing Methods 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 24
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007500 overflow downdraw method Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及云计算技术领域,具体公开了一种交换机控制方法、装置、设备、存储介质及SDN网络,通过预先基于物理交换机网络中的预设设备与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接,使得当该预设设备接收到报文时,可以根据SDN控制器组件下发的第一流表规则对报文进行处理,通过将这部分流表查询任务卸载到物理交换机网络中的预设设备,减少了流表查询任务对SDN软件交换机所在SDN主机性能影响,突破了SDN软件交换机的流表命中效率导致的网络转发瓶颈,从而显著提升了整体***的性能,且能够将攻击报文拦截在SDN主机之外,使攻击报文不再进入主机对主机的性能产生影响。
Description
技术领域
本申请涉及云计算技术领域,特别是涉及一种交换机控制方法、装置、设备、存储介质及SDN网络。
背景技术
软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络变得更加智能,为核心网络及应用的创新提供了良好的平台。Openflow是一种网络通信协议,属于数据链路层,能够控制网上交换器或路由器的转发平面(forwarding plane),借此改变网络数据包所走的网络路径,即允许从远程控制网络交换器的数据包转送表,透过新增、修改与移除数据包控制规则与行动,来改变数据包转送的路径。
应用SDN技术,云计算从基础的小型网络发展,从私有云发展到公有云,依赖的关键技术不断突破,应用范围也越来越广,目前的云计算技术还有技术瓶颈需解决。对于SDN而言,技术层面实现了数据控制链路和数据转发链路的转控分离,在目前大多数的产品中,SDN网络主要由SDN控制器组件和SDN转发组件构成,控制器组件和转发组件通过Openflow协议进行流表信息的交互。
图1为现有的SDN基础网络结构。
如图1所示,SDN基础网络所基于的硬件网络结构包括多台主机101和交换机网络102,主机通过物理网卡进行通信。各台主机上运行有虚拟机,会产生虚拟机报文或接收虚拟机报文。SDN控制器即SDN控制器组件,即虚拟的控制器,为运行于一台或多台主机101上的用于实现对SDN通信网络进行控制的软件;SDN软件交换机即SDN转发组件,即虚拟的交换机,为运行于各台主机101上用于执行虚拟机报文的流表查询的软件。
在SDN基础网络中,虚拟机报文发送到SDN交换机中,在SDN软件交换机中查询对应的流表规则。如根据数据包的五元组信息(源IP、目的IP、源端口号、目的端口号和传输层协议)在流表中匹配目的项,并执行相应的操作,例如操作是指存储在流表中的action,即匹配到相应的流表条目,就会执行该条目的action,场景的操作有转发数据包至某一端口、丢弃该数据包、对该数据包所属的流进行限速等。如果是外发报文(即南北向流量),则报文会命中对应的流表规则,并上送至网卡,发送至主机101对接的物理交换机,进而上送到外层互联网。
在主流的SDN网络产品中,不管是私有云网络还是公有云网络,都是采用上述架构,上层运行的服务在虚拟机中运行,主机内部虚拟机之间的通信以及虚拟机与外部网络的通信都是通过SDN软件交换机,即主机内部虚拟机之间通信的东西向流量,和虚拟机与外部网络通信的南北向流量都需由SDN软件交换机进行流表查询。而为了维护网络安全,还需要由SDN软件交换机在进行流表查询的同时设置流表的acl规则(一种访问控制规则)。则SDN软件交换机处的流表命中效率成为网络转发速率瓶颈之一。
而主机运行SDN软件交换机进行流表查询与访问控制规则的设置,均需要消耗主机的CPU资源,过多的流表规则以及大量的服务会影响虚拟机性能甚至主机性能。为改变这种情况,在采用智能网卡的情况下,将流表查询任务卸载到网卡的物理表项中。但将流表查询任务卸载到网卡的物理表项中后,在子网卡VF(每个子网卡VF均有自己的PCI地址,均与虚拟机绑定)的数量和虚拟机迁移上都有较大的限制,仍会对虚拟机性能乃至主机性能有较大影响。
如何突破SDN软件交换机的流表命中效率导致的网络转发瓶颈,并减少对主机的性能影响,是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的是提供一种交换机控制方法、装置、设备、存储介质及SDN网络,用于突破SDN软件交换机的流表命中效率导致的网络转发瓶颈,并减少对主机的性能影响,提升整体***的性能。
为解决上述技术问题,本申请提供一种交换机控制方法,基于物理交换机网络中的预设设备,包括:
预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接;
当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理。
可选的,所述预设设备为物理交换机。
可选的,所述预设设备为物理防火墙。
可选的,所述当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理,具体包括:
若本地未存储有所述报文对应的所述第一流表规则,则根据媒体存取控制位址学习表转发所述报文,以将所述报文转发至所述控制主机,使所述SDN控制器组件分析所述报文进得到所述报文对应的所述第一流表规则;
若本地存储有所述报文对应的所述第一流表规则,则根据所述报文对应的所述第一流表规则对所述报文进行处理。
可选的,当接收到所述报文时,在所述根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理之前,还包括:
根据所述SDN控制器组件下发的访问控制规则对所述报文进行检验;
若所述报文为所述访问控制规则指示拦截的攻击报文,则将所述攻击报文丢弃;
若所述报文不为所述攻击报文,则进入所述根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理的步骤。
为解决上述技术问题,本申请还提供一种交换机控制方法,基于SDN控制器组件所在的控制主机,包括:
预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接;
接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;
当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;
当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
可选的,还包括:
将与南北向流量的所述报文对应的访问控制规则下发至所述预设设备,以使所述预设设备根据所述访问控制规则对所述报文进行检验,若所述报文为所述访问控制规则指示拦截的攻击报文,则将所述攻击报文丢弃,若所述报文不为所述攻击报文,则根据所述第一流表规则对所述报文进行处理。
为解决上述技术问题,本申请还提供一种SDN网络,包括:SDN控制器组件所在的控制主机,SDN交换机组件所在的SDN主机和物理交换机网络中的预设设备;
所述预设设备预先建立有与所述控制主机的基于Openflow协议的通信链接;
所述控制主机用于接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至所述SDN主机;
所述预设设备用于当接收到所述报文时,根据所述第一流表规则对所述报文进行处理。
可选的,还包括云管平台设备;
所述控制主机还用于接收所述云管平台设备下发的控制命令,根据所述控制命令生成控制规则并对应下发至各所述SDN主机以及所述物理交换机网络中的各节点。
为解决上述技术问题,本申请还提供一种交换机控制装置,基于物理交换机网络中的预设设备,包括:
第一通信单元,用于预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接;
第一接收单元,用于当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理。
为解决上述技术问题,本申请还提供一种交换机控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,所述计算机程序被所述处理器执行时实现如上述任意一项所述交换机控制方法的步骤。
为解决上述技术问题,本申请还提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述交换机控制方法的步骤。
为解决上述技术问题,本申请还提供一种交换机控制装置,基于SDN控制器组件所在的控制主机,包括:
第二通信单元,用于预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接;
第二接收单元,用于接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;
第一下发单元,用于当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;
第二下发单元,用于当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
为解决上述技术问题,本申请还提供一种交换机控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,所述计算机程序被所述处理器执行时实现如上述交换机控制方法的步骤。
为解决上述技术问题,本申请还提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述交换机控制方法的步骤。
本申请所提供的交换机控制方法,通过预先基于物理交换机网络中的预设设备与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接,使得当该预设设备接收到报文时,可以根据SDN控制器组件下发的第一流表规则对报文进行处理,通过将这部分流表查询任务卸载到物理交换机网络中的预设设备,缓解了SDN软件交换机执行流表查询任务的压力,减少了流表查询任务对SDN软件交换机所在SDN主机的虚拟机性能和主机性能影响,进而突破了SDN软件交换机的流表命中效率导致的网络转发瓶颈,从而显著提升了整体***的性能,且有助于将攻击报文拦截在SDN主机之外,可以使攻击报文不再进入主机对主机的性能产生影响。
本申请还提供一种交换机控制装置、设备、存储介质及SDN网络,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有的SDN基础网络结构;
图2为本申请实施例提供的一种SDN网络的结构示意图;
图3为本申请实施例提供的一种交换机控制方法的流程图;
图4为本申请实施例提供的另一种交换机控制方法的流程图;
图5为本申请实施例提供的一种交换机控制装置的结构示意图;
图6为本申请实施例提供的另一种交换机控制装置的结构示意图;
图7为本申请实施例提供的一种交换机控制设备的结构示意图。
具体实施方式
本申请的核心是提供一种交换机控制方法、装置、设备、存储介质及SDN网络,用于突破SDN软件交换机的流表命中效率导致的网络转发瓶颈,并减少对主机的性能影响,提升整体***的性能。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
图2为本申请实施例提供的一种SDN网络的结构示意图。
为方便说明,首先对本申请实施例提供的SDN网络进行说明。本申请实施例提供的SDN网络包括:SDN控制器组件所在的控制主机,SDN交换机组件所在的SDN主机和物理交换机网络中的预设设备;
预设设备预先建立有与控制主机的基于Openflow协议的通信链接;
控制主机用于接收并解析报文,得到报文的类型和与报文对应的流表规则;当报文的类型为南北向流量时,基于通信链接将与报文对应的第一流表规则下发至预设设备;当报文的类型为东西向流量时,将与报文对应的第二流表规则下发至SDN主机;
预设设备用于当接收到报文时,根据第一流表规则对报文进行处理。
需要说明的是,SDN主机201用于搭载SDN软件交换机与虚拟机等,通过物理网卡与外部的物理交换机网络中的物理交换机等节点进行通信。当SDN主机池中有多台SDN主机201时,可以在各台SDN主机201均部署SDN控制器组件,也可以选择其中一台或部分SDN主机201部署SDN控制器组件。在本申请实施例中,控制主机即部署了SDN控制器组件的SDN主机201。
则如图2所示,在具体实施中,本申请实施例提供的SDN网络中,软件组件包括SDN控制器组件和SDN软件交换机,其中,SDN控制器组件用于流表信息的创建并将其发送至SDN交换机(包括SDN软件交换机所在的SDN主机201和外部交换机网络中的SDN硬件交换机),SDN软件交换机用于转发网络流量。
对于硬件组件,本申请实施例提供的SDN网络同样基于多台主机与交换机网络,但与现有的SDN基础网络不同的是,本申请实施例提供的SDN网络需要SDN主机201与采用的预设设备202均支持Openflow协议,预设设备202与SDN控制器组件的通信区分于预设设备202与SDN软件交换机的通信,预设设备202接收来自SDN控制器组件的Openflow消息,并根据Openflow消息内容配置硬件表项。
预设设备202可以选用现有的物理交换机网络中的任意一台设备部署Openflow协议,也可以重新部署支持Openflow协议的设备。预设设备202的类型可以为物理交换机,也可以为物理防火墙,或其他类型的处于物理交换机网络中的节点设备。
基于本申请实施例提供的SDN网络,对于南北向流量,即报文出主机、进入外部互联网的流量,在SDN控制器组件没有下发第一流表规则的预设设备202,报文需要经过上述三个组件;对于报文已经下发第一流表规则的预设设备202,则无需进入SDN主机,直接在预设设备202上进行流表查询和转发即可。
具体来说,一般情况下,进入交换机的报文会根据媒体存取控制位址(MediaAccess Control Address,MAC)学习表进行报文的转发,就图2的组网环境,物理交换机会将报文转发到SDN主机201对应的物理网卡,经过物理网卡转发到SDN软件交换机,在SDN软件交换机中也并无该报文的转发规则,则会将报文上送至SDN控制器组件,SDN控制器组件根据报文信息创建并下发第一流表规则。
在现有技术中,SDN控制器组件仅仅将流表规则下发到SDN软件交换机,所有报文会根据SDN软件交换机中的流表规则进行转发,导致流表查询任务占用了SDN主机201大量的资源。
而本申请实施例提供了一种基于Openflow协议的软硬交换机融合方法,通过Openflow协议将部分软件流表任务卸载到支持Openflow协议的预设设备202上,后续报文再进入该预设设备202时,可以根据预设设备202中存储的第一流表规则进行流表转发,从而使SDN主机201释放出的资源可以更好的执行其他虚拟机任务,更充分地利用预设设备202的资源,从而提升整体***的性能。
在两种交换机融合的基础上,对于流表规则的下发,由SDN控制器组件确定流表规则是下发到SDN软件交换机还是下发到外部的预设设备202。
对于南北向流量,SDN控制器组件下发第一流表规则,让SDN主机201内部的虚拟机流量直接转发到外部物理交换机网络中的预设设备202,同时由SDN控制器组件给预设设备202下发第一流表规则,该第一流表规则可以对报文进行特殊处理,比如网络地址转换(Network Address Tranlate,NAT)。
对于东西向流量,由于报文不需要出SDN主机201,SDN控制器组件仅仅需要下发第二流表规则给SDN软件交换机。
通过使用交换机融合的方式,使得流表查询任务可以在外部的物理交换机网络中进行处理,能够减少SDN主机软件处理的报文数量,降低SDN主机的CPU负载。从网络安全的角度来看,如果有大量的攻击报文,通过下发硬件规则给外部的物理交换机网络中的预设设备,将攻击报文拦截到SDN主机外面,也能够保住SDN主机内部的东西向流量正常转发。总之,本申请实施例提供的SDN网络既能够提升整个SDN主机***的性能,同时能够使SDN主机更加安全。
实施例二
在上述实施例的基础上,应用于云计算平台所在集群,本申请实施例提供的SDN网络还可以包括云管平台设备;控制主机还用于接收云管平台设备下发的控制命令,根据控制命令生成控制规则并对应下发至各主机以及物理交换机网络中的各节点。
在SDN主机池中选择一台或多台SDN主机201部署SDN控制器组件,构成控制主机的基础上,对于多主机场景,设计云管平台设备与控制主机进行通信,以对多个SDN主机201进行管理。
其中,云管平台设备即用于搭载云平台管理程序的物理设备,可以选用集群中一台或多台设备实现。云管平台下发总控制命令后,SDN控制器组件解析得到针对各SDN主机201的指令以及对物理交换机网络中各节点的指令,并进行下发。
上文详述了SDN网络对应的各个实施例,在此基础上,本申请还公开了与上述SDN网络对应的交换机控制方法、交换机控制装置、设备及存储介质。
实施例三
图3为本申请实施例提供的一种交换机控制方法的流程图。
如图3所示,本申请实施例提供的交换机控制方法基于物理交换机网络中的预设设备实现,包括:
S301:预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接。
S302:当接收到报文时,根据SDN控制器组件下发的第一流表规则对报文进行处理。
在具体实施中,对于S301,在物理交换机网络中选择执行SDN主机的南北向流量报文的流表查询任务的节点作为预设设备并部署基于Openflow协议与SDN控制器组件所在的控制主机之间的通信链接,或加入新的支持Openflow协议的节点作为预设设备并基于Openflow协议与控制主机建立通信链接。基于该通信链接,预设设备可以接收控制主机运行SDN控制器组件发送的Openflow消息并得到第一流表规则以及其他硬件规则。
预设设备可以为物理交换机或物理防火墙,或物理交换机网络中其他类型的节点设备。
对于S302,预设设备可以基于本地存储的第一流表规则对接收到的报文进行流表查询并根据流表命中结果进行执行相应的处理。但在设备初始化时,可能预设设备以及控制主机中均没有对相应报文的第一流表规则及其他硬件规则,故S302:当接收到报文时,根据SDN控制器组件下发的第一流表规则对报文进行处理,具体可以包括:
若本地未存储有报文对应的第一流表规则,则根据媒体存取控制位址(MediaAccess Control Address,MAC)学习表转发报文,以将报文转发至控制主机,使SDN控制器组件分析报文进得到报文对应的第一流表规则;
若本地存储有报文对应的第一流表规则,则根据报文对应的第一流表规则对报文进行处理。
在实际应用中,可以将第一流表规则固定存储于预设设备中,也可以在每次SDN网络初始化时由SDN控制器组件提供最新的第一流表规则。当预设设备接收到报文后,首先判断本地是否存储有与该报文对应的第一流表规则,如果有,则直接根据第一流表规则进行该报文的流表转发;如果没有,则按照现有的物理交换机本身做的那样,默认根据媒体存取控制位址学习表进行报文的转发,将报文转发到SDN主机对应的物理网卡,再经物理网卡转发到SDN软件交换机,而SDN软件交换机中也并无该报文的流表规则,此时SDN软件交换机进入流表请求模式,将报文上传至控制主机中,由SDN控制器组件分析报文得到对应的第一流表规则并下发到预设设备中。
需要说明的是,本申请实施例虽然设计了SDN软件交换机和SDN硬件交换机,但对于流表的请求依然可以采用SDN软件交换机进行流表请求,而SDN硬件交换机仅仅负责根据SDN控制器组件下发的第一流表规则进行报文处理。
实施例四
在上述实施例的基础上,在本申请实施例提供的交换机控制方法中,在S303中,当接收到报文时,在根据SDN控制器组件下发的第一流表规则对报文进行处理之前,还包括:
根据SDN控制器组件下发的访问控制规则对报文进行检验;
若报文为所述访问控制规则指示拦截的攻击报文,则将攻击报文丢弃;
若报文不为攻击报文,则进入根据SDN控制器组件下发的第一流表规则对报文进行处理的步骤。
在具体实施中,预设设备还可以根据SDN控制器组件的Openflow消息内容配置硬件表项,比如acl规则(一种访问控制技术,使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的),其中就可以包含对攻击报文的检出规则。
当预设设备接收到的报文命中访问控制规则中指示拦截的攻击报文的规则时,则确定该报文为攻击报文并将该攻击报文丢弃,不再进行下一步的转发操作或执行其他处理。只有确定接收到的报文不是攻击报文时,预设设备才根据第一流表规则对报文进行处理。
通过在预设设备直接对攻击报文进行检出并丢弃,可以避免攻击报文进入下一节点或进入SDN主机中,在SDN主机大量堆积造成SDN主机的负担。
可选的,预设设备在检出攻击报文时,还可以根据攻击报文的类型、接收时间、检出时间的信息生成日志,以便安全管理员查看。
实施例五
图4为本申请实施例提供的另一种交换机控制方法的流程图。
如图4所示,本申请实施例提供的交换机控制方法基于SDN控制器组件所在的控制主机实现,包括:
S401:预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接。
S402:接收并解析报文,得到报文的类型和与报文对应的流表规则。
S403:当报文的类型为南北向流量时,基于通信链接将与报文对应的第一流表规则下发至预设设备。
S404:当报文的类型为东西向流量时,将与报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
在具体实施中,对于S401,在物理交换机网络中部署支持Openflow协议的预设设备,并建立该预设设备与控制主机之间基于Openflow协议的通信链接,具体可以参照本申请上述实施例的说明。
对于S402,在SDN控制器组件没有下发第一流表规则时,SDN网络中的南北向流量将经过预设设备到SDN软件交换机再到SDN控制器组件中,东西向流量将经过SDN软件交换机到SDN控制器组件中,对于已经下发过流表规则的设备,则只需要经过SDN软件交换机和/或预设设备(SDN硬件交换机)即可。则SDN控制器组件在接收到报文时,确定为没有下发过流表规则的报文,SDN控制器组件对报文内容进行识别,生成对应的流表规则。
对于S403和S404,SDN控制器组件根据报文的类型,即是出SDN主机的南北向流量,还是SDN主机内部的东西向流量,确定下发流表规则的目的地址。即将南北向流量的报文对应的第一流表规则下发至预设设备,而将东西向流量对应的第二流表规则下发至SDN软件交换机所在的SDN主机以添加入SDN软件交换机中。
实施例六
在上述实施例的基础上,本申请实施例提供的交换机控制方法还可以包括:
将与南北向流量的报文对应的访问控制规则下发至预设设备,以使预设设备根据访问控制规则对报文进行检验,若报文为访问控制规则指示拦截的攻击报文,则将攻击报文丢弃,若报文不为攻击报文,则根据第一流表规则对报文进行处理。
在具体实施中,除了第一流表规则,SDN控制器组件还可以对南北向流量的报文设置对应的访问控制规则,并通过Openflow消息下发至预设设备以使预设设备配置硬件表项,其中包括对攻击报文的检出规则。预设设备根据第一流表规则以及访问控制规则对报文进行处理的具体实施方式可以参见本申请实施例四,在此不再赘述。
实施例七
图5为本申请实施例提供的一种交换机控制装置的结构示意图。
如图5所示,基于物理交换机网络中的预设设备,本申请实施例提供的交换机控制装置包括:
第一通信单元501,用于预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接;
第一接收单元502,用于当接收到报文时,根据SDN控制器组件下发的第一流表规则对报文进行处理。
进一步的,预设设备可以采用物理交换机。
进一步的,预设设备还可以采用物理防火墙。
进一步的,第一接收单元502当接收到报文时,根据SDN控制器组件下发的第一流表规则对报文进行处理,具体包括:
若本地未存储有报文对应的第一流表规则,则根据媒体存取控制位址学习表转发报文,以将报文转发至控制主机,使SDN控制器组件分析报文进得到报文对应的第一流表规则;
若本地存储有报文对应的第一流表规则,则根据报文对应的第一流表规则对报文进行处理。
进一步的,第一接收单元502当接收到报文时,在根据SDN控制器组件下发的第一流表规则对报文进行处理之前,还包括:
根据SDN控制器组件下发的访问控制规则对报文进行检验;
若报文为访问控制规则指示拦截的攻击报文,则将攻击报文丢弃;
若报文不为攻击报文,则进入根据SDN控制器组件下发的第一流表规则对报文进行处理的步骤。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
实施例八
图6为本申请实施例提供的另一种交换机控制装置的结构示意图。
如图6所示,基于SDN控制器组件所在的控制主机,本申请实施例提供的交换机控制装置包括:
第二通信单元601,用于预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接;
第二接收单元602,用于接收并解析报文,得到报文的类型和与报文对应的流表规则;
第一下发单元603,用于当报文的类型为南北向流量时,基于通信链接将与报文对应的第一流表规则下发至预设设备;
第二下发单元604,用于当报文的类型为东西向流量时,将与报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
进一步的,本申请实施例提供的交换机控制装置还可以包括:
第三下发单元,用于将与南北向流量的报文对应的访问控制规则下发至预设设备,以使预设设备根据访问控制规则对报文进行检验,若报文为访问控制规则指示拦截的攻击报文,则将攻击报文丢弃,若报文不为攻击报文,则根据第一流表规则对报文进行处理。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
实施例九
图7为本申请实施例提供的一种交换机控制设备的结构示意图。
如图7所示,本申请实施例提供的交换机控制设备包括:
存储器710,用于存储计算机程序711;
处理器720,用于执行计算机程序711,该计算机程序711被处理器720执行时实现如上述任意一项实施例所述交换机控制方法的步骤。
其中,处理器720可以包括一个或多个处理核心,比如3核心处理器、8核心处理器等。处理器720可以采用数字信号处理DSP(Digital Signal Processing)、现场可编程门阵列FPGA(Field-Programmable Gate Array)、可编程逻辑阵列PLA(Programmable LogicArray)中的至少一种硬件形式来实现。处理器720也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器CPU(CentralProcessing Unit);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器720可以集成有图像处理器GPU(Graphics Processing Unit),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器720还可以包括人工智能AI(Artificial Intelligence)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器710可以包括一个或多个存储介质,该存储介质可以是非暂态的。存储器710还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器710至少用于存储以下计算机程序711,其中,该计算机程序711被处理器720加载并执行之后,能够实现前述任一实施例公开的交换机控制方法中的相关步骤。另外,存储器710所存储的资源还可以包括操作***712和数据713等,存储方式可以是短暂存储或者永久存储。其中,操作***712可以为Windows。数据713可以包括但不限于上述方法所涉及到的数据。
在一些实施例中,交换机控制设备还可包括有显示屏730、电源740、通信接口750、输入输出接口760、传感器770以及通信总线780。
本领域技术人员可以理解,图7中示出的结构并不构成对交换机控制设备的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的交换机控制设备,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如上所述的交换机控制方法,效果同上。
实施例十
需要说明的是,以上所描述的装置、设备实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。
为此,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,计算机程序被处理器执行时实现如交换机控制方法的步骤。
该存储介质可以包括:U盘、移动硬盘、只读存储器ROM(Read-Only Memory)、随机存取存储器RAM(Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例中提供的存储介质所包含的计算机程序能够在被处理器执行时实现如上所述的交换机控制方法的步骤,效果同上。
以上对本申请所提供的一种交换机控制方法、装置、设备、存储介质及SDN网络进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备及存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (15)
1.一种交换机控制方法,其特征在于,基于物理交换机网络中的预设设备,包括:
预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接;
当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理。
2.根据权利要求1所述的交换机控制方法,其特征在于,所述预设设备为物理交换机。
3.根据权利要求1所述的交换机控制方法,其特征在于,所述预设设备为物理防火墙。
4.根据权利要求1所述的交换机控制方法,其特征在于,所述当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理,具体包括:
若本地未存储有所述报文对应的所述第一流表规则,则根据媒体存取控制位址学习表转发所述报文,以将所述报文转发至所述控制主机,使所述SDN控制器组件分析所述报文进得到所述报文对应的所述第一流表规则;
若本地存储有所述报文对应的所述第一流表规则,则根据所述报文对应的所述第一流表规则对所述报文进行处理。
5.根据权利要求1所述的交换机控制方法,其特征在于,当接收到所述报文时,在所述根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理之前,还包括:
根据所述SDN控制器组件下发的访问控制规则对所述报文进行检验;
若所述报文为所述访问控制规则指示拦截的攻击报文,则将所述攻击报文丢弃;
若所述报文不为所述攻击报文,则进入所述根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理的步骤。
6.一种交换机控制方法,其特征在于,基于SDN控制器组件所在的控制主机,包括:
预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接;
接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;
当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;
当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
7.根据权利要求6所述的交换机控制方法,其特征在于,还包括:
将与南北向流量的所述报文对应的访问控制规则下发至所述预设设备,以使所述预设设备根据所述访问控制规则对所述报文进行检验,若所述报文为所述访问控制规则指示拦截的攻击报文,则将所述攻击报文丢弃,若所述报文不为所述攻击报文,则根据所述第一流表规则对所述报文进行处理。
8.一种SDN网络,其特征在于,包括:SDN控制器组件所在的控制主机,SDN交换机组件所在的SDN主机和物理交换机网络中的预设设备;
所述预设设备预先建立有与所述控制主机的基于Openflow协议的通信链接;
所述控制主机用于接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至所述SDN主机;
所述预设设备用于当接收到所述报文时,根据所述第一流表规则对所述报文进行处理。
9.根据权利要求8所述的SDN网络,其特征在于,还包括云管平台设备;
所述控制主机还用于接收所述云管平台设备下发的控制命令,根据所述控制命令生成控制规则并对应下发至各所述SDN主机以及所述物理交换机网络中的各节点。
10.一种交换机控制装置,其特征在于,基于物理交换机网络中的预设设备,包括:
第一通信单元,用于预先与SDN控制器组件所在的控制主机建立基于Openflow协议的通信链接;
第一接收单元,用于当接收到报文时,根据所述SDN控制器组件下发的第一流表规则对所述报文进行处理。
11.一种交换机控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5任意一项所述交换机控制方法的步骤。
12.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任意一项所述交换机控制方法的步骤。
13.一种交换机控制装置,其特征在于,基于SDN控制器组件所在的控制主机,包括:
第二通信单元,用于预先与物理交换机网络中的预设设备建立基于Openflow协议的通信链接;
第二接收单元,用于接收并解析报文,得到所述报文的类型和与所述报文对应的流表规则;
第一下发单元,用于当所述报文的类型为南北向流量时,基于所述通信链接将与所述报文对应的第一流表规则下发至所述预设设备;
第二下发单元,用于当所述报文的类型为东西向流量时,将与所述报文对应的第二流表规则下发至SDN交换机组件所在的SDN主机。
14.一种交换机控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,所述计算机程序被所述处理器执行时实现如权利要求6或7所述交换机控制方法的步骤。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求6或7所述交换机控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211381752.8A CN115622959A (zh) | 2022-11-07 | 2022-11-07 | 交换机控制方法、装置、设备、存储介质及sdn网络 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211381752.8A CN115622959A (zh) | 2022-11-07 | 2022-11-07 | 交换机控制方法、装置、设备、存储介质及sdn网络 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115622959A true CN115622959A (zh) | 2023-01-17 |
Family
ID=84878141
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211381752.8A Pending CN115622959A (zh) | 2022-11-07 | 2022-11-07 | 交换机控制方法、装置、设备、存储介质及sdn网络 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115622959A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170126790A1 (en) * | 2015-10-29 | 2017-05-04 | rift.IO, Inc. | Hybrid virtual load balancer |
US20190124013A1 (en) * | 2017-10-24 | 2019-04-25 | Cisco Technology, Inc. | Method and device for offloading processing of data flows |
US20210357242A1 (en) * | 2020-05-18 | 2021-11-18 | Dell Products, Lp | System and method for hardware offloading of nested virtual switches |
CN113746893A (zh) * | 2021-07-16 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种基于fpga的智能网卡数据转发方法、***及终端 |
CN114221849A (zh) * | 2020-09-18 | 2022-03-22 | 芯启源(南京)半导体科技有限公司 | 一种fpga结合tcam实现智能网卡的方法 |
CN114374648A (zh) * | 2020-10-14 | 2022-04-19 | 芯启源(南京)半导体科技有限公司 | 一种np芯片结合tcam实现智能网卡的方法 |
WO2022088743A1 (zh) * | 2020-10-31 | 2022-05-05 | 华为技术有限公司 | 一种流表处理方法及相关设备 |
CN114465899A (zh) * | 2022-02-09 | 2022-05-10 | 浪潮云信息技术股份公司 | 复杂云计算环境下的网络加速方法、***及装置 |
CN115150328A (zh) * | 2022-09-07 | 2022-10-04 | 珠海星云智联科技有限公司 | 一种流表硬件卸载方法、设备及介质 |
-
2022
- 2022-11-07 CN CN202211381752.8A patent/CN115622959A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170126790A1 (en) * | 2015-10-29 | 2017-05-04 | rift.IO, Inc. | Hybrid virtual load balancer |
US20190124013A1 (en) * | 2017-10-24 | 2019-04-25 | Cisco Technology, Inc. | Method and device for offloading processing of data flows |
US20210357242A1 (en) * | 2020-05-18 | 2021-11-18 | Dell Products, Lp | System and method for hardware offloading of nested virtual switches |
CN114221849A (zh) * | 2020-09-18 | 2022-03-22 | 芯启源(南京)半导体科技有限公司 | 一种fpga结合tcam实现智能网卡的方法 |
CN114374648A (zh) * | 2020-10-14 | 2022-04-19 | 芯启源(南京)半导体科技有限公司 | 一种np芯片结合tcam实现智能网卡的方法 |
WO2022088743A1 (zh) * | 2020-10-31 | 2022-05-05 | 华为技术有限公司 | 一种流表处理方法及相关设备 |
CN114531405A (zh) * | 2020-10-31 | 2022-05-24 | 华为技术有限公司 | 一种流表处理方法及相关设备 |
CN113746893A (zh) * | 2021-07-16 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种基于fpga的智能网卡数据转发方法、***及终端 |
CN114465899A (zh) * | 2022-02-09 | 2022-05-10 | 浪潮云信息技术股份公司 | 复杂云计算环境下的网络加速方法、***及装置 |
CN115150328A (zh) * | 2022-09-07 | 2022-10-04 | 珠海星云智联科技有限公司 | 一种流表硬件卸载方法、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200225718A1 (en) | Power distribution unit self-identification | |
US10715411B1 (en) | Altering networking switch priority responsive to compute node fitness | |
US10511508B2 (en) | Network packet forwarding systems and methods to push packet pre-processing tasks to network tap devices | |
CN107346292B (zh) | 服务器***及其计算机实现的方法 | |
Hassas Yeganeh et al. | Kandoo: a framework for efficient and scalable offloading of control applications | |
US9413649B2 (en) | Virtual network device architecture | |
CN101442513B (zh) | 实现多种业务处理功能的方法和多核处理器设备 | |
EP3070894A1 (en) | Multiprocessor system with hibernation state | |
CN112671578B (zh) | 一种sriov虚拟化网络配置方法及相关装置 | |
CN102316043B (zh) | 端口虚拟化方法、交换机及通信*** | |
CN105141571A (zh) | 分布式虚拟防火墙装置及方法 | |
CN104038570B (zh) | 一种数据处理方法及装置 | |
CN101924699A (zh) | 报文转发处理方法、***和运营商边缘设备 | |
KR102684903B1 (ko) | 네트워크 작업 방법, 장치, 설비 및 저장매체 | |
CN111371608B (zh) | 一种部署sfc业务链的方法、装置和介质 | |
US20140047260A1 (en) | Network management system, network management computer and network management method | |
CN114448805B (zh) | 虚拟网络设备、虚拟叠加网络及配置、报文传输方法 | |
CN116566752B (zh) | 安全引流***、云主机及安全引流方法 | |
CN115622959A (zh) | 交换机控制方法、装置、设备、存储介质及sdn网络 | |
CN116204448A (zh) | 一种多端口固态硬盘及其控制方法、装置、介质、服务器 | |
CN115904626A (zh) | 一种部署云资源池架构的方法及*** | |
WO2021109851A1 (zh) | 一种网络通信方法、装置、设备和存储介质 | |
CN115442285A (zh) | 基于虚拟化配置的网络测试方法、装置、设备及介质 | |
CN114629853A (zh) | 安全资源池中基于安全服务链解析的流量分类控制方法 | |
CN107113244B (zh) | 一种数据转发的方法、装置和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230117 |
|
RJ01 | Rejection of invention patent application after publication |