WO2015096417A1 - 一种软件定义网络中的状态迁移方法及交换机 - Google Patents

Abstract

　本发明公开了一种SDN中的状态迁移方法、业务流控制方法、***以及SDN中的交换机，其中，状态迁移方法包括：在迁出交换机与迁入的目标交换机建立状态迁移通道后，如果迁出交换机上保存有用户的DPI数据，则将其上保存的动态DPI数据和缓存的数据报文迁移到目标交换机上；所述动态DPI数据是用户在迁出交换机上线后，所述迁出交换机对流经其的数据包流进行DPI分析过程中产生的动态数据。本发明融合DPI技术，通过增加一策略服务器，管理全局用户的DPI策略，并在交换机中增加一个DPI处理模块，对数据包进行DPI分析，实现了对软件定义网络中业务流的监测和管理，以及对软件定义网络中用户在迁移过程中数据流的监测和管理。

Description

一种软件定义网络中的状态迁移方法及交换机 技术领域

本发明涉及软件定义网络(SDN，Software Defined Network)领域，具体涉及一 种软件定义网络中的状态迁移方法、业务流控制方法及***以及SDN中的交换机。

背景技术

SDN是一种新型网络创新架构，是针对现有网络设备和架构的一场变革。SDN的 架构理念是网络设备转发控制分离，采用集中的SDN控制器通过Openflow协议控制 网络，并在SDN控制器上提供网络虚拟化功能，并提供应用编程接口，方便进行网络 创新。SDN将现有的交换机、路由器等网络设备中的控制功能提取出来，由SDN控 制器来实现；现有的交换机、路由器中的转发功能从基础设施层剥离，由交换机实现。 在SDN中，SDN控制器统一管理所有的交换机，其组成架构如图1所示。

但是，目前针对SDN的网管设备几乎没有成熟产品出现，缺乏对SDN网络进行 监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。随着IP业务的 ***性发展，如果不能清楚地了解网络的运转状况，也不了解不同的业务类型对带宽 的消耗情况，唯一知道的就是带宽又不够了——这势必将运营商推进一个“拥塞-扩容- 再拥塞-再扩容”的怪圈。无法实现业务识别，无法实现内容计费，也无法满足信息安 全的需要，这些问题不但增加了运营商的运营成本，而且也降低了用户的满意度。于 是，如何深度感知网络应用，提供网络业务控制和管理手段，构建可运营、可管理的 网络，成为运营商关注的焦点。另外，用户行为分析也可以提供有价值的分析报告， 如热点业务发展分析、大客户网络分析报告等。深度包检测技术恰好能够提供这些要 求，他们可以根据深度包检测技术分析结果，将流量分为低延时(语音)、保证延时(网 络流量)、保证交付(应用流量)和尽最大努力交付的应用程序(文件共享)。使用这 种分类，他们可以更好的根据关键任务流量、非关键任务流量来优化资源并减少网络 拥挤。

深度包检测技术(DPI，Deep Packet Inspection)是一种协议识别技术，DPI技术 在分析报头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制 技术。当IP数据包、TCP或UDP数据流通过基于DPI技术的网络设备时，DPI技术 将网络上的数据报文根据五元组(源地址、目的地址、源端口、目的端口以及协议类 型)分为若干个应用流，通过深入读取IP包载荷的内容来对应用层信息进行重组，从 而识别出应用流对应的应用或者用户的动作，然后按照***定义的管理策略对流量进 行控制，控制方法包括：正常转发、阻塞、限制带宽、整形、重标记优先级等，这样 可以防止有限的网络带宽被低价值的业务挤占。

同时，DPI技术能够检测出数据包的内容及有效负载，并且能够提取出内容级别 的信息，如恶意软件、具体数据和应用程序类型等。利用DPI技术在网络中的部署， 可以实现网络运营中的业务识别、业务控制和业务统计。例如，从电子邮件的内容看， 垃圾邮件和普通邮件的业务流两者间根本没有区别，只有进一步分析，具体根据发送 邮件的大小、频率、目的邮件和源邮件地址、变化的频率和被拒绝的频率等综合分析， 建立综合识别模型，才能判断是否为垃圾邮件。DPI可以统计网络的业务流量分布和 用户的各种业务使用情况，从而更好的发现促进业务发展和影响网络正常运营的因素， 为网络和业务优化提供依据。如发掘对用户有吸引力的业务、验证业务提供水平是否 达到了用户的服务等级协议SLA、统计分析出网络中攻击流量占多少比例、多少用户 正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些用户使用了非法VoIP 等。采用DPI技术，实现保障网络不同业务QoS的高价值业务的开展，真正把网络带 宽变成可有机利用、按需分配的资源，为进行智能化的业务和用户识别，网络业务的 精细运营、业务管理、统计分析提供了高效的支撑手段，为网络业务的运营分析、安 全管控提供保障。

为了实现对SDN网络的监管，同时，考虑到SDN网络用户具有移动性，会从一 个交换机移动到另一个交换机，为了保持用户在SDN网络中的业务连续性，急需提出 一种软件定义网络中的状态迁移的方法和业务流控制方法，在用户迁移过程中实现对 数据流的监管。

发明内容

本发明需要解决的技术问题是提供一种SDN中的状态迁移方法、业务流控制方 法、***以及SDN中的交换机，融合DPI技术，为SDN提供一个高效、安全的网络 管理***，防御并解决SDN网络用户迁移的可能漏洞。

为了解决上述技术问题，本发明提供了一种软件定义网络中的状态迁移方法，包 括：

在用户要迁出的当前交换机与所述用户迁入的目标交换机建立状态迁移通道后， 如果所述当前交换机上保存有所述用户的动态深度包检测DPI数据，则将其上保存的 所述用户的动态DPI数据和缓存的数据报文迁移到所述目标交换机上；

所述动态DPI数据是所述用户在所述当前交换机上线后，所述当前交换机对流经 其的数据包流进行DPI分析过程中产生的动态数据。

所述方法还包括：

在所述当前交换机与所述目标交换机建立状态迁移通道前，在所述用户在所述目 标交换机上线后，软件定义网络SDN控制器根据所述用户的身份标识信息从策略服务 器获取所述用户对应的DPI策略，并下发至所述目标交换机。

所述在所述当前交换机将其上保存的所述动态DPI数据和缓存的数据报文迁移到 所述目标交换机上后，所述方法还包括：

所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产生新的 动态DPI数据，并结合迁移过来的动态DPI数据得出DPI特征分析结果，然后在所述 SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的 所述DPI策略对后续流经所述目标交换机的数据包流进行转发控制。

所述方法还包括：

在所述用户在所述目标交换机上线后，在所述当前交换机将其上保存的所述动态 DPI数据和缓存的数据报文迁移到所述目标交换机上之前，所述方法还包括：

所述目标交换机对当前流经其的数据包流进行DPI分析产生新的动态DPI数据， 根据所述新的动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的DPI策 略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的所述DPI策略对后 续流经所述目标交换机的数据包流进行转发控制。

如果所述当前交换机上没有保存所述用户的动态DPI数据，在所述当前交换机将 其上缓存的数据报文迁移到所述目标交换机上之后，所述方法还包括：

所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产生新的 动态DPI数据，根据所述新的动态DPI数据得出DPI特征分析结果，然后在所述SDN 下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的所述 DPI策略对后续流经所述目标交换机的数据包流进行转发控制。

所述当前交换机缓存的缓存报文是：在所述用户从当前交换机下线后且未完成在 所述目标交换机上线前，所述当前交换机接收到的发给所述用户的数据报文。

为了解决上述技术问题，本发明还提供了一种软件定义网络中的业务流控制方法， 包括：

用户在交换机上线后，软件定义网络SDN控制器根据所述用户的身份标识信息从 策略服务器获取所述用户对应的深度包检测DPI策略，并下发至所述交换机；

所述交换机对当前流经其的数据包流进行DPI分析产生动态DPI数据，根据所述 动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所 述DPI特征分析结果匹配的DPI策略，根据匹配到的所述DPI策略对后续流经所述交 换机的数据包流进行转发控制。

为了解决上述技术问题，本发明还提供了一种软件定义网络中的交换机，包括： 转发功能模块和深度包检测DPI业务模块，其中，

所述转发功能模块，设置为在交换机接收到数据包流后，将所述数据包流复制存 入所述DPI业务模块；并接收所述DPI业务模块发来的DPI策略，根据所述DPI策略 对后续流经所述交换机的数据包流进行转发控制；

所述DPI业务模块，设置为在用户在所述交换机上线后，接收软件定义网络SDN 控制器下发的所述用户对应的DPI策略，接收所述转发功能模块存入的数据包流，对 所述数据包流进行DPI分析产生动态DPI数据，根据所述动态DPI数据得出DPI特征 分析结果，然后在所述SDN控制器下发的DPI策略中查询与所述DPI特征分析结果 匹配的DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块。

所述DPI业务模块包括：

接收模块，设置为在所述用户在所述交换机上线后，接收所述SDN控制器下发的 所述用户对应的DPI策略；

用户会话数据库，设置为缓存当前流经所述交换机的数据包流，以及根据当前流 经所述交换机的数据包流进行DPI分析过程中产生的动态DPI数据；

DPI处理模块，设置为对当前流经所述交换机的数据包流进行DPI分析产生动态 DPI数据，将所述动态DPI数据发送至所述用户会话数据库缓存，并根据所述动态DPI 数据得出DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特 征分析结果匹配的DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块对后 续流经所述交换机的数据包流进行转发控制。

所述用户会话数据库，还设置为在所述DPI处理模块根据所述动态DPI数据得出 DPI特征分析结果后，将所述动态DPI数据删除。

所述用户会话数据库，还设置为在所述用户从所述交换机迁移到所述目标交换机 的过程中，在所述用户从所述交换机下线后且未完成在所述目标交换机上线前，将所 述交换机接收到的发给所述用户的数据报文进行缓存；

所述交换机还包括：

迁移模块，设置为在用户从所述交换机迁移到所述目标交换机的过程中，与所述 目标交换机建立状态迁移通道后，如果所述用户会话数据库中保存有所述用户的动态 DPI数据，则将其上保存的所述用户的动态DPI数据和缓存的数据报文迁移到所述目 标交换机上。

所述接收模块，还设置为接收其他交换机迁移到所述交换机的用户的动态DPI数 据和数据报文，并保存到所述用户会话数据库中；

所述用户会话数据库，还设置为保存其他交换机迁移到所述交换机的所述用户的 动态DPI数据和数据报文；

所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和所述数据报文 进行DPI分析产生新的动态DPI数据，并结合迁移过来的动态DPI数据得出DPI特征 分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的 DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块对后续流经所述交换机 的数据包流进行转发控制。

所述迁移模块，还设置为在与所述目标交换机建立状态迁移通道后，如果所述用 户会话数据库中没有保存所述用户的动态DPI数据，则将所述用户会话数据库中缓存 的数据报文迁移到所述目标交换机上。

所述接收模块，还设置为接收其他交换机迁移到所述交换机的缓存的报文数据， 并保存到所述用户会话数据库中；

所述用户会话数据库，还设置为保存其他交换机迁移来的缓存的数据报文；

所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和所述缓存的数 据报文进行DPI分析产生新的动态DPI数据，根据所述新的动态DPI数据得出DPI 特征分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹 配的DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块对后续流经所述交 换机的数据包流进行转发控制。

为了解决上述技术问题，本发明还提供了一种软件定义网络中的业务流控制***， 包括：策略服务器、软件定义网络SDN控制器和至少两个如上所述的交换机，所述策 略服务器与所述SDN控制器的北向接口相连，所述SDN控制器通过南向接口控制所 述交换机，其中：

所述策略服务器，设置为保存用户对应的DPI策略，在收到所述SDN控制器获 取所述用户对应的DPI策略的请求后，向所述SDN控制器下发该用户对应的DPI策 略；

所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身份识别 信息从所述策略服务器获取所述用户对应的DPI策略，并下发至所述交换机。

为了解决上述技术问题，本发明还提供了一种软件定义网络中的业务流控制***， 包括：软件定义网络SDN和至少两个如上所述的交换机，其中，所述SDN控制器还 包括策略服务器，所述SDN控制器通过南向接口控制所述交换机，其中：

所述策略服务器，设置为保存用户对应的DPI策略，并向所述SDN控制器提供 所述用户对应的DPI策略；

所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身份识别 信息从所述策略服务器获取所述用户对应的DPI策略，并下发至所述交换机。

与现有技术相比，本发明提供的SDN中的状态迁移方法、业务流控制方法及*** 以及SDN中的交换机，融合DPI技术，通过增加一策略服务器，管理全局用户的DPI 策略，并在交换机中增加一个DPI处理模块，对数据包进行DPI分析，可以进行网络 运营中的业务识别、业务控制和业务统计，为网络业务的运营分析、安全管控提供了 保障，实现了对软件定义网络中业务流的监测和管理，以及对软件定义网络中用户在 迁移过程中数据流的监测和管理。

附图说明

图1是现有SDN控制器和交换机的组成架构示意图；

图2是本发明实施例中软件定义网络中的业务流控制***结构图；

图3是本发明实施例中软件定义网络中的业务流控制***结构图；

图4是本发明实施例中软件定义网络中的交换机结构图；

图5是本发明实施例中软件定义网络中的业务流控制方法流程图；

图6是本发明实施例中软件定义网络中的状态迁移方法流程图；

图7是本发明实施例一个应用示例中用户迁移初期的报文流向示意图；

图8是本发明实施例一个应用示例中用户迁移后期的报文流向示意图；

图9是本发明实施例一个应用示例中软件定义网络中的状态迁移方法流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实 施例中的特征可以相互任意组合。

实施例：

本实施例提供了一种软件定义网络中的业务流控制***，包括：策略服务器、软 件定义网络SDN和至少两个交换机，本实施例在现有架构中增加了一个逻辑网元—策 略服务器，可以是一个物理设备，如图2所示，策略服务器与SDN控制器的北向接口 相连，SDN控制器通过北向接口与策略服务器交互，SDN控制器通过南向接口控制交 换机，软件定义网络中，通过南向接口控制交换机。

其中，策略服务器，设置为保存用户对应的DPI策略，在收到所述SDN控制器 获取所述用户的DPI策略的请求后，向所述SDN控制器下发该用户对应的DPI策略。

所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身份识别 信息从策略服务器获取所述用户对应的DPI策略，并下发至所述交换机。

可选地，也可以将策略服务器的功能融合在SDN控制器中，如图3所示，其中：

所述策略服务器，设置为保存用户对应的DPI策略，并向所述SDN控制器提供 所述用户对应的DPI策略；

所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身份识别 信息从策略服务器获取所述用户对应的DPI策略，并下发至所述交换机。

如图4所示，本实施例提供了一种软件定义网络中的交换机，在现有的转发功能 模块基础上，新增了DPI业务模块，其中：

转发功能模块，设置为在交换机接收到数据包流后，将所述数据包流复制存入所 述DPI业务模块的用户会话数据库，同时将所述数据包流根据所述交换机的流表转发 出去；待所述DPI业务模块分析匹配得到DPI策略后，接收所述DPI业务模块发来的 DPI策略，根据所述DPI策略对后续流经所述交换机的数据包流进行转发控制；

所述DPI业务模块包括：

接收模块，设置为在用户在所述交换机上线后，接收所述SDN控制器下发的所述 用户对应的DPI策略；

用户会话数据库，设置为缓存当前流经所述交换机的数据包流，以及根据当前流 经所述交换机的数据包流进行DPI分析过程中产生的动态DPI数据；

所述用户会话数据库，还设置为在所述DPI处理模块根据所述动态DPI数据得出 DPI特征分析结果后，将所述动态DPI数据删除。

所述用户会话数据库，还设置为在所述用户从所述交换机迁移到所述目标交换机 的过程中，在所述用户从所述交换机下线后且未完成在所述目标交换机上线前，将所 述交换机接收到的发给所述用户的数据报文进行缓存；

当所述用户从所述交换机下线时，开始启动老化定时器，在所述定时器预设时间 内，所述交换机对所述用户从其他交换机接收到的下行报文数据进行缓存，如果在定 时器预设时间内未完成迁移，则在超时后删除所述用户的所有数据。

所述交换机还包括：

迁移模块，设置为在用户从所述交换机迁移到目标交换机的过程中，与所述目标 交换机建立状态迁移通道后，如果所述用户会话数据库中保存有所述用户的动态DPI 数据，则将其上保存的所述用户的动态DPI数据和缓存的数据报文迁移到所述目标交 换机上。

DPI处理模块，设置为对当前流经所述交换机的数据包流进行DPI分析产生动态 DPI数据，将所述动态DPI数据发送至所述用户会话数据库缓存，并根据所述动态DPI 数据得出DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特 征分析结果匹配的DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块发送 至所述转发功能模块对后续流经所述交换机的数据包流进行转发控制。DPI策略包括： 如正常转发、阻塞、限制带宽、整形、重标记优先级等。

作为一种优选的方式：

所述接收模块，还设置为接收其他交换机迁移到所述交换机的用户的动态DPI数 据和数据报文，并保存到所述用户会话数据库中；

所述用户会话数据库，还设置为保存其他交换机迁移到所述交换机的所述用户的 动态DPI数据和数据报文；

所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和所述数据报文 进行DPI分析产生新的动态DPI数据，并结合迁移过来的动态DPI数据得出DPI特征 分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的 DPI策略，将匹配到的所述DPI策略发送至所述转发功能模块对后续流经所述交换机 的数据包流进行转发控制。

作为一种优选的方式：

所述迁移模块，还设置为在用户从所述交换机迁移到目标交换机的过程中，与所 述目标交换机建立状态迁移通道后，如果所述用户会话数据库中没有保存所述用户的 动态DPI数据，则将所述用户会话数据库中缓存的数据报文迁移到所述目标交换机上；

所述接收模块，还设置为接收其他交换机迁移到所述交换机的缓存的数据报文， 并保存到所述用户会话数据库中；

所述用户会话数据库，还设置为保存其他交换机迁移来的缓存的数据报文；

所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和缓存的数据报 文进行DPI分析产生新的动态DPI数据，根据所述新的动态DPI数据得出DPI特征分 析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI 策略，将匹配到的所述DPI策略发送至所述转发功能模块对后续流经所述交换机的数 据包流进行转发控制。

如图5所示，本实施例提供了一种软件定义网络中的业务流控制方法，包括以下 步骤：

S101：用户在交换机上线后，SDN控制器根据所述用户的身份标识信息从策略服 务器获取所述用户对应的DPI策略，并下发至所述交换机；

S102：所述交换机对当前流经其的数据包进行DPI分析产生动态DPI数据，根据 所述动态DPI数据得出DPI特征分析结果；

S103：在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI 策略，根据匹配到的所述DPI策略对后续流经所述交换机的数据包流进行转发控制。

如图6所示，本实施例提供了一种软件定义网络中的状态迁移方法，包括以下步 骤：

S201：在用户从当前交换机迁移到目标交换机的过程中，所述当前交换机与所述 目标交换机建立状态迁移通道；

S202：如果所述当前交换机上保存有所述用户的动态DPI数据，则将其上保存的 所述用户的动态DPI数据和缓存的数据报文迁移到所述目标交换机上；

其中，所述动态DPI数据是所述用户在所述当前交换机上线后，所述当前交换机 根据流经其的数据包流进行DPI分析过程中产生的动态数据。

其中，在进行步骤S201的同时，所述方法还包括：在所述用户从当前交换机迁移 到目标交换机的过程中，在所述用户在目标交换机上线后，SDN控制器根据所述用 户的身份标识信息从策略服务器获取所述用户对应的DPI策略，并下发至所述目标交 换机；

在步骤S202之后，还包括：

S203：在所述当前交换机将其上保存的所述用户的动态DPI数据和缓存的数据报 文迁移到所述目标交换机上之后，所述目标交换机对当前流经其的数据包流和所述数 据报文进行DPI分析产生新的动态DPI数据，并结合迁移过来的动态DPI数据得出 DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果 匹配的DPI策略，根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流 进行转发控制。

此外，如果所述当前交换机上没有保存所述用户的动态DPI数据，所述步骤S203 为：在所述当前交换机将其上缓存的数据报文迁移到所述目标交换机上之后，所述目 标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产生新的动态DPI数 据，根据所述新的动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的DPI 策略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的所述DPI策略对 后续流经所述目标交换机的数据包流进行转发控制；

其中，在步骤S201建立状态迁移通道的同时，新旧交换机之间已经开始信息交互 以及数据包的转发，所以，所述方法还包括：

在所述当前交换机将其上保存的所述用户的动态DPI数据和缓存报文迁移到所述 目标交换机上之前，所述目标交换机对当前流经其的数据包流进行DPI分析产生动态 DPI数据，根据所述动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的 DPI策略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的所述DPI策 略对后续流经所述目标交换机的数据包流进行转发控制。

其中，步骤S202在所述用户从所述当前交换机迁移到所述目标交换机的过程中， 在所述用户从当前交换机下线后且未完成在目标交换机上线前，所述当前交换机对所 述用户从其他交换机接收到的数据报文进行缓存；

当所述用户从所述当前交换机下线时，开始启动老化定时器，在所述定时器预设 时间内，所述当前交换机对所述用户从其他交换机接收到的数据报文进行缓存，如果 在老化定时器预设时间内未完成迁移，则在超时后删除所述用户的所有数据。

在一个应用示例中，如图7所示，交换机switch1下的用户UE1向switch2迁移初 期时的数据包流向，包括：

步骤301：UE1未迁移时，将上行报文发送给switch3下的UE2；

步骤302：UE1从switch1开始向switch2迁移；

步骤303：UE1在switch2未执行完上线流程时，SDN控制器未下发新的流表， switch3根据初始流表将UE2给UE1的下行报文发送到switch1；

步骤304：UE1下线后，switch1的老化定时器未超时的情况下，用户会话数据库 缓存UE2的下行报文，等待迁移；当老化定时器超时，则删除UE1所有数据。

如图8所示，UE1向switch2迁移后期时的数据包流向，包括：

步骤401：UE1在switch2上线，激活switch2的DPI业务模块，switch2和switch3 接收到SDN控制器下发的新流表；

步骤402：switch2和switch3会根据新流表转发UE1和UE2的报文；

步骤403a：switch1的DPI业务模块老化定时器未超时的情况下，switch1与switch2 之间建立状态迁移通道；

步骤403b：switch1将用户会话数据库中UE1的数据迁移到switch2的用户会话数 据库；

其中，步骤402和步骤403可以同时执行。

如图9所示，基于用户的状态迁移的方法流程，包括：

步骤501：用户UE从初始接入的Openflow交换机(Old Switch)下线，Old Switch 端口状态变为down，同时启动DPI业务模块老化定时器；

步骤502：Old Switch上报交换机端口状态变化给SDN控制器；

步骤503：SDN控制器删除接入该端口的用户UE的信息；

步骤504：用户UE从新的Openflow交换机(New Switch)上线，上送携带自己 IP的免费ARP报文给New Switch；

步骤505：New Switch将接收到的免费ARP报文和UE接入的端口信息上送给SDN 控制器；

步骤506：SDN控制器添加UE的信息；

步骤507：SDN控制器广播UE的免费ARP报文；

步骤508a：SDN控制器上送UE的信息给策略服务器，向策略服务器查询UE的 DPI策略；

步骤508b：策略服务器根据接收到的UE信息，下发UE的DPI策略给SDN控制 器；

步骤508c：SDN下发UE的DPI策略给New Switch；

其中，DPI策略十分多样化，例如，对于视频会议之类的保障性业务，采取保障 带宽或者提速；对于一些P2P下载之类的高消耗低价值业务，采取限速；对于广播风 暴、DDOS攻击等异常流量，直接丢弃；对于VoIP等非法语音业务或者非法接入等， 采取封堵措施；对于一些WEB流量、GAME等，保障QoS；对于一些大客户业务， 使用队列优先或者使用大客户专用通道等等策略；

步骤508d：New Switch中UE对应的DPI业务模块激活；

步骤508e：SDN下发UE的流表给New Switch；

步骤509a：在DPI业务模块老化定时器未超时的情况下，Old Switch接收到UE 的ARP广播报文，检测到UE上线；如果DPI业务模块老化定时器超时，则不执行用 户状态迁移；

步骤509b：Old Switch向SDN控制器发送申请与UE新接入的switch建立DPI 业务状态迁移通道请求；

步骤509c：SDN控制器应答Old Switch的申请建立DPI业务状态迁移通道请求；

步骤510：Old Switch向New Switch发送建立DPI业务状态迁移通道请求；

步骤511：New Switch应答Old Switch的建立DPI业务状态迁移通道请求；

步骤512：Old Switch将用户会话数据库中的UE的数据迁移到New Switch的用 户会话数据库；

其中，步骤508和步骤509可以同时执行。

从上述实施例可以看出，相对于现有技术，上述实施例中提供的SDN中的状态迁 移方法、业务流控制方法及***以及SDN中的交换机，融合DPI技术，通过增加一 策略服务器，管理全局用户的DPI策略，并在交换机中增加一个DPI处理模块，对数 据包进行DPI分析，可以进行网络运营中的业务识别、业务控制和业务统计，为网络 业务的运营分析、安全管控提供了保障，实现了对软件定义网络中业务流的监测和管 理，以及对软件定义网络中用户在迁移过程中数据流的监测和管理。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相 关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光 盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。 相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能 模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上所述仅为本发明的优选实施例而已，并非用于限定本发明的保护范围。根据 本发明的发明内容，还可有其他多种实施例，在不背离本发明精神及其实质的情况下， 熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，凡在本发明的精 神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围 之内。

工业实用性：

本发明涉及软件定义网络领域，采用一种SDN中的状态迁移方法、业务流控制方 法、***以及SDN中的交换机，其中，状态迁移方法包括：在迁出交换机与迁入的目 标交换机建立状态迁移通道后，如果迁出交换机上保存有用户的DPI数据，则将其上 保存的动态DPI数据和缓存的数据报文迁移到目标交换机上，动态DPI数据是用户在 迁出交换机上线后，迁出交换机对流经其的数据包流进行DPI分析过程中产生的动态 数据。本发明融合DPI技术，通过增加一策略服务器，管理全局用户的DPI策略，并 在交换机中增加一个DPI处理模块，对数据包进行DPI分析，实现了对软件定义网络 中业务流的监测和管理，以及对软件定义网络中用户在迁移过程中数据流的监测和管 理。

Claims (16)

1. 一种软件定义网络中的状态迁移方法，包括：

   在用户要迁出的当前交换机与所述用户迁入的目标交换机建立状态迁移通 道后，如果所述当前交换机上保存有所述用户的动态深度包检测DPI数据，则 将其上保存的所述用户的动态DPI数据和缓存的数据报文迁移到所述目标交换 机上；

   所述动态DPI数据是所述用户在所述当前交换机上线后，所述当前交换机 对流经其的数据包流进行DPI分析过程中产生的动态数据。
2. 如权利要求1所述的方法，其中，所述方法还包括：

   在所述当前交换机与所述目标交换机建立状态迁移通道前，在所述用户在 所述目标交换机上线后，软件定义网络SDN控制器根据所述用户的身份标识信 息从策略服务器获取所述用户对应的DPI策略，并下发至所述目标交换机。
3. 如权利要求2所述的方法，其中，

   所述在所述当前交换机将其上保存的所述动态DPI数据和缓存的数据报文 迁移到所述目标交换机上后，所述方法还包括：

   所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产 生新的动态DPI数据，并结合迁移过来的动态DPI数据得出DPI特征分析结果， 然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI 策略，根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流进行 转发控制。
4. 如权利要求2所述的方法，其中，所述方法还包括：

   在所述用户在所述目标交换机上线后，在所述当前交换机将其上保存的所 述动态DPI数据和缓存的数据报文迁移到所述目标交换机上之前，所述方法还 包括：

   所述目标交换机对当前流经其的数据包流进行DPI分析产生新的动态DPI 数据，根据所述新的动态DPI数据得出DPI特征分析结果，然后在所述SDN 下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到 的所述DPI策略对后续流经所述目标交换机的数据包流进行转发控制。
5. 如权利要求2所述的方法，其中，

   如果所述当前交换机上没有保存所述用户的动态DPI数据，在所述当前交 换机将其上缓存的数据报文迁移到所述目标交换机上之后，所述方法还包括：

   所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产 生新的动态DPI数据，根据所述新的动态DPI数据得出DPI特征分析结果，然 后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策 略，根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流进行转 发控制。
6. 如权利要求1或2或3或5所述的方法，其中，

   所述当前交换机缓存的缓存报文是：在所述用户从当前交换机下线后且未 完成在所述目标交换机上线前，所述当前交换机接收到的发给所述用户的数据 报文。
7. 一种软件定义网络中的业务流控制方法，包括：

   用户在交换机上线后，软件定义网络SDN控制器根据所述用户的身份标识 信息从策略服务器获取所述用户对应的深度包检测DPI策略，并下发至所述交 换机；

   所述交换机对当前流经其的数据包流进行DPI分析产生动态DPI数据，根 据所述动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的DPI策 略中查询与所述DPI特征分析结果匹配的DPI策略，根据匹配到的所述DPI 策略对后续流经所述交换机的数据包流进行转发控制。
8. 一种软件定义网络中的交换机，包括：转发功能模块和深度包检测DPI业务模块， 其中，

   所述转发功能模块，设置为在交换机接收到数据包流后，将所述数据包流 复制存入所述DPI业务模块；并接收所述DPI业务模块发来的DPI策略，根据 所述DPI策略对后续流经所述交换机的数据包流进行转发控制；

   所述DPI业务模块，设置为在用户在所述交换机上线后，接收软件定义网 络SDN控制器下发的所述用户对应的DPI策略，接收所述转发功能模块存入 的数据包流，对所述数据包流进行DPI分析产生动态DPI数据，根据所述动态 DPI数据得出DPI特征分析结果，然后在所述SDN控制器下发的DPI策略中 查询与所述DPI特征分析结果匹配的DPI策略，将匹配到的所述DPI策略发送 至所述转发功能模块。
9. 如权利要求8所述的交换机，其中，

   所述DPI业务模块包括：

   接收模块，设置为在所述用户在所述交换机上线后，接收所述SDN控制器 下发的所述用户对应的DPI策略；

   用户会话数据库，设置为缓存当前流经所述交换机的数据包流，以及根据 当前流经所述交换机的数据包流进行DPI分析过程中产生的动态DPI数据；

   DPI处理模块，设置为对当前流经所述交换机的数据包流进行DPI分析产 生动态DPI数据，将所述动态DPI数据发送至所述用户会话数据库缓存，并根 据所述动态DPI数据得出DPI特征分析结果，然后在所述SDN下发的DPI策 略中查询与所述DPI特征分析结果匹配的DPI策略，将匹配到的所述DPI策略 发送至所述转发功能模块对后续流经所述交换机的数据包流进行转发控制。
10. 如权利要求9所述的交换机，其中，

    所述用户会话数据库，还设置为在所述DPI处理模块根据所述动态DPI数 据得出DPI特征分析结果后，将所述动态DPI数据删除。
11. 如权利要求9或10所述的交换机，其中，

    所述用户会话数据库，还设置为在所述用户从所述交换机迁移到所述目标 交换机的过程中，在所述用户从所述交换机下线后且未完成在所述目标交换机 上线前，将所述交换机接收到的发给所述用户的数据报文进行缓存；

    所述交换机还包括：

    迁移模块，设置为在用户从所述交换机迁移到所述目标交换机的过程中， 与所述目标交换机建立状态迁移通道后，如果所述用户会话数据库中保存有所 述用户的动态DPI数据，则将其上保存的所述用户的动态DPI数据和缓存的数 据报文迁移到所述目标交换机上。
12. 如权利要求11所述的交换机，其中，

    所述接收模块，还设置为接收其他交换机迁移到所述交换机的用户的动态 DPI数据和数据报文，并保存到所述用户会话数据库中；

    所述用户会话数据库，还设置为保存其他交换机迁移到所述交换机的所述 用户的动态DPI数据和数据报文；

    所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和所述数 据报文进行DPI分析产生新的动态DPI数据，并结合迁移过来的动态DPI数据 得出DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所述DPI 特征分析结果匹配的DPI策略，将匹配到的所述DPI策略发送至所述转发功能 模块对后续流经所述交换机的数据包流进行转发控制。
13. 如权利要求11所述的交换机，其中，

    所述迁移模块，还设置为在与所述目标交换机建立状态迁移通道后，如果 所述用户会话数据库中没有保存所述用户的动态DPI数据，则将所述用户会话 数据库中缓存的数据报文迁移到所述目标交换机上。
14. 如权利要求13所述的交换机，其中，

    所述接收模块，还设置为接收其他交换机迁移到所述交换机的缓存的报文 数据，并保存到所述用户会话数据库中；

    所述用户会话数据库，还设置为保存其他交换机迁移来的缓存的数据报文；

    所述DPI处理模块，还设置为对当前流经所述交换机的数据包流和所述缓 存的数据报文进行DPI分析产生新的动态DPI数据，根据所述新的动态DPI 数据得出DPI特征分析结果，然后在所述SDN下发的DPI策略中查询与所述 DPI特征分析结果匹配的DPI策略，将匹配到的所述DPI策略发送至所述转发 功能模块对后续流经所述交换机的数据包流进行转发控制。
15. 一种软件定义网络中的业务流控制***，包括：策略服务器、软件定义网络SDN 控制器和至少两个如权利要求8～14所述的交换机，所述策略服务器与所述SDN 控制器的北向接口相连，所述SDN控制器通过南向接口控制所述交换机，其中：

    所述策略服务器，设置为保存用户对应的DPI策略，在收到所述SDN控 制器获取所述用户对应的DPI策略的请求后，向所述SDN控制器下发该用户 对应的DPI策略；

    所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身 份识别信息从所述策略服务器获取所述用户对应的DPI策略，并下发至所述交 换机。
16. 一种软件定义网络中的业务流控制***，包括：软件定义网络SDN和至少两个如 权利要求8～14所述的交换机，其中，所述SDN控制器还包括策略服务器，所 述SDN控制器通过南向接口控制所述交换机，其中：

    所述策略服务器，设置为保存用户对应的DPI策略，并向所述SDN控制 器提供所述用户对应的DPI策略；

    所述SDN服务器，设置为当用户在所述交换机上线后，根据所述用户的身 份识别信息从所述策略服务器获取所述用户对应的DPI策略，并下发至所述交 换机。

Images