CN104954186A - 一种面向应用的sdn网络策略控制方法 - Google Patents

一种面向应用的sdn网络策略控制方法 Download PDF

Info

Publication number
CN104954186A
CN104954186A CN201510344547.8A CN201510344547A CN104954186A CN 104954186 A CN104954186 A CN 104954186A CN 201510344547 A CN201510344547 A CN 201510344547A CN 104954186 A CN104954186 A CN 104954186A
Authority
CN
China
Prior art keywords
sdn
policy
application
strategy
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510344547.8A
Other languages
English (en)
Other versions
CN104954186B (zh
Inventor
黄祖源
马文
杜洁
李芹
陈何雄
李寒箬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Yunnan Power Grid Co Ltd
Original Assignee
Information Center of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Yunnan Power Grid Co Ltd filed Critical Information Center of Yunnan Power Grid Co Ltd
Priority to CN201510344547.8A priority Critical patent/CN104954186B/zh
Publication of CN104954186A publication Critical patent/CN104954186A/zh
Application granted granted Critical
Publication of CN104954186B publication Critical patent/CN104954186B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种面向应用的SDN网络策略控制方法,本发明由SDN策略控制器、SDN智能交换机、基础应用系统TE组成的SDN基础控制环境,将有类似策略需求的应用终端系统TE划分到同一个TG;使用Overlay封装技术,将SDN网络内的流量封装在VXLAN中传输,扩展VXLAN报头添加新的TG标识,区分不同的策略组;本发明的有益效果:本发明基于SDN基础环境,通过扩展VXLAN技术和增加策略组标识,分离物理位置、安全策略与IP地址关系,从而更加方便的部署、迁移服务器,设置安全控制策略,提高SDN的自动化性能和安全管理性能。

Description

一种面向应用的SDN网络策略控制方法
技术领域  本发明适用于数据中心、广域网网络下的软件定义网络技术研究,属于软件及网络技术领域。
背景技术
SDN发展如火如荼。随着SDN概念的提出并飞速发展,企业对SDN的期望也是越来越高,包括改善网络利用率、自动化配置管理、提升安全性能、应用可视化、降低复杂度、降低运营成本、提升可伸缩性、支持创建私有云和混合云等。其中,大多都与数据中心的运维相关,通过SDN的方式,创建更加灵活、高效的数据中心网络,为业务应用提供更好的IT基础支撑。
在数据中心应用部署与运维中,服务器的新建部署,部署策略牵涉网络各个节点的信息配置,较为繁琐。在二层网络环境下,迁移前后的IP和MAC地址保持不变,当对于跨越不同机房或地域的迁移,得实现大二层网络,容易出现环路和广播风暴,难以管理。同时,同一VLAN下不容易做访问策略,针对不同应用的访问控制策略较为复杂。上述问题是数据中心面临迫切问题。
发明内容
为了解决上述问题,本发明提供一种面向应用的SDN网络策略控制方法,包含SDN的基础架构环境及其网络策略控制方法,以此来做到在数据中心应用部署与运维中,将物理位置、安全策略与网络IP地址进行解耦,提高SDN的自动化性能和安全管理性能。
本发明的技术方案是:一种面向应用的SDN网络策略控制方法,包含基础架构包含SDN策略控制器、SDN智能交换机、基础应用系统组成的SDN基础环境,其中,
SDN策略控制器作为集中策略管理中心,全局控制网络应用策略信息;
SDN智能交换机能够解析并执行SDN策略控制器下发的策略信息;
基础应用系统包含服务器裸机、虚拟机或者应用实体服务,将基础应用系统节点标记成一个TE,根据应用需求将网络应用策略相似的TE划分到同一组,称为TG;
使用Overlay多重封装技术,将SDN网络内的流量封装在VXLAN中传输,基础应用系统节点的MAC或IP与VETP映射,并扩展VXLAN报头添加新的TG标识,将物理位置、安全策略与网络IP地址解耦合;
上述SDN策略控制器在进行策略管理时,服务器新增迁移、网络安全策略作用粒度为TG,TG之间的访问控制策略用{Cij,Rij}表示,其中Cij表示TG的连接关系,Rij表示TG的互访关系。
上述SDN策略控制器在进行策略管理时,通过API接口,将TG标识下发至KVM、VCENTER等服务器管理平台,标识终端应用系统节点所属策略组;
根据上述控制方法,采取如下步骤:
S1.初始化SDN基础环境;
S2.在SDN策略控制器中,划分TG标识并通过API下发TG标识,区分终端应用系统节点所属策略组;
S3.根据应用系统访问关系和安全策略需求,在SDN策略控制器中配置访问控制策略{Cij,Rij};
S4.应用系统连接至SDN智能交换机后,根据所属策略组绑定相应的TG;
S5.应用系统数据转发时,到达SDN智能交换机的数据包均通过新增TG标识的扩展VXLAN进行封装再进行转发。
S6.SDN策略控制器下发TG间的访问控制策略至SDN智能交换机;
S7.SDN智能交换机解析并执行访问控制策略。
本发明的有益效果:本发明基于SDN基础环境,通过扩展VXLAN技术和增加策略组标识,分离物理位置、安全策略与IP地址关系,从而更加方便的部署、迁移服务器,设置安全控制策略,提高SDN的自动化性能和安全管理性能。
附图说明
图1为本发明采用的SDN物理组件架构图。
图2为本发明使用SDN网络策略组件模型。
图3为本发明使用的TG划分示例。
图4为扩展VXLAN报文与原始数据报文映射图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的说明:
为了便于本领域的普通技术人员理解本发明的原理、工作过程,首先对本发明的中用到的重要词汇作如下定义:
(1)SDN:Software Defined Network,软件定义网络
(2)TE:Terminal Equipment,应用终端节点
(3)TG:Terminal Group,应用终端节点组
(4)eVXLAN:扩展VXLAN,根据标准VXLAN协议的部分保留字段进行扩展
(5)VTEP:VXLAN Tunneling End Point,VXLAN隧道终端,用于多VXLAN报文进行封装与解封装,包括MAC请求报文和正常VXLAN数据报文数据中心网络逐渐增大,运维难度日益增加。如在数据中心应用服务器部署策略牵涉网络各个节点的信息配置,较为繁琐;在二层网络环境下,迁移前后的IP和MAC地址保持不变,当对于跨越不同机房或地域的迁移,得实现大二层网络,容易出现环路和广播风暴,难以管理;同时,同一VLAN下不容易做访问策略,针对不同应用的访问控制策略较为复杂等。上述问题是数据中心面临迫切问题。
SDN发展近几年已经风靡全球,理念是硬件软件分离、控制转发分离、管理控制集中、开源,将带来低成本、高效率以及业务灵活。通过SDN的方式来解决上述问题,是本发明正式基于上述考虑而设计的。
下面以具体实例来说明本发明的面向应用的SDN网络策略控制方法。
如图1所示,本发明是基于SDN网络系统,包括SDN策略控制器、SDN智能交换机、基础应用系统组成的SDN基础环境。SDN智能交换机包括核心交换机(Core)和接入交换机(Access),两者之间流量通过VXLAN封装,则接入交换机也为VXLAN的隧道终端。接入交换机下联基础应用系统,包括物理机、虚拟机等。Controller作为SDN策略控制器作为集中策略管理中心,全局控制网络应用策略信息。
SDN策略控制器在进行策略调度的时候,需要将所有的管理的对象进行抽象,建立对象资源池,通过制定策略进行资源池中对象的调度。如图2所示为抽象的SDN网络策略组件模型,包含其中Controller代表SDN策略控制器,SW代表SDN智能交换机,TG代表策略作用的应用终端节点组。SDN策略控制器在进行策略管理时,将应用系统标记成一个TE(Terminal Equipment),将相似的一组TE划分到同一组里面,称之为TG(Terminal Group)。
SDN策略控制器会通过开放的API接口,将TG标识下发至KVM、VCENTER等服务器管理平台,进行服务节点标识。如通过下发Network Group至VCENTER,标记VCENTER中的每个虚拟机。
图3为典型的应用部署架构,用户通过WEB系统,APP和DB作为后台系统,可以根据实际的需求,将此系统划分成4个TG,分别为TG-User、TG-Web、TG-App、TG-DB,后续的安全策略则以TG为对象进行执行。
服务器新增迁移、网络安全策略作用粒度为TG,TG之间通过{Cij,Rij}表示,其中Cij表示TG的连接关系,Rij表示TG的互访关系。Cij=0,表示如果两个EPG之间没有连接关系,Cij=1表示两个EPG之间存在连接关系。Rij示例表示为{Filter:TCP source port X,destination port Y;Qos:Q1|Q2|Q3|…}表示限制EPG-outside源端口X只能访问EPG-Web目的端口Y;访问的QoS要求通过QoS等级进行标识。
如图4所示为本发明的报文在SDN环境中转发时,使用Overlay多重封装技术,将SDN网络内的流量封装在VXLAN之中。图中下半部分为基础应用系统收发的多种格式的数据报文;如图上半部分所示,当到达智能接入交换机后,需要进行封装,添加VXLAN包头。通过新报文的封装,将服务器的位置与网络IP地址解耦合,使服务器位置地址无关,提高应用部署与迁移的灵活性。
同时,通过扩展VXLAN包头新增TG标识,所有的安全策略以TG为对象进行执行,而不再使用传统的访问控制列表的方式。通过灵活划分TG,更加灵活调整安全策略,增强安全管控性。
根据上述控制方法,采取如下步骤:
S1.初始化SDN基础环境;
S2.在SDN策略控制器中,划分TG标识并通过API下发TG标识,区分终端应用系统节点所属策略组;
S3.根据应用系统访问关系和安全策略需求,在SDN策略控制器中配置访问控制策略{Cij,Rij};
S4.应用系统连接至SDN智能交换机后,根据所属策略组绑定相应的TG;
S5.应用系统数据转发时,到达SDN智能交换机的数据包均通过新增TG标识的扩展VXLAN进行封装再进行转发。
S6.SDN策略控制器下发TG间的访问控制策略至SDN智能交换机;
S7.SDN智能交换机解析并执行访问控制策略。

Claims (1)

1.一种面向应用的SDN网络策略控制方法,其特征在于,包括:SDN策略控制器、SDN智能交换机、基础应用系统组成的SDN基础环境,其中,
SDN策略控制器作为集中策略管理中心,全局控制网络应用策略信息;
SDN智能交换机能够解析并执行SDN策略控制器下发的策略信息;
基础应用系统包含服务器裸机、虚拟机或者应用实体服务,将基础应用系统节点标记成一个TE,根据应用需求将网络应用策略相似的TE划分到同一组,称为TG;
使用Overlay多重封装技术,将SDN网络内的流量封装在VXLAN中传输,基础应用系统节点的MAC或IP与VETP映射,并扩展VXLAN报头添加新的TG标识,将物理位置、安全策略与网络IP地址解耦合;
通过API接口,将TG标识下发至KVM、VCENTER等服务器管理平台,标识终端应用系统节点所属策略组;
服务器新增迁移、网络安全策略作用粒度为TG,TG之间的访问控制策略用{Cij,Rij}表示,其中Cij表示TG的连接关系,Rij表示TG的互访关系。
根据上述方法,采取如下步骤:
S1.初始化SDN基础环境;
S2.在SDN策略控制器中,划分TG标识并通过API下发TG标识,区分终端应用系统节点所属策略组;
S3.根据应用系统访问关系和安全策略需求,在SDN策略控制器中配置访问控制策略{Cij,Rij};
S4.应用系统连接至SDN智能交换机后,根据所属策略组绑定相应的TG;
S5.应用系统数据转发时,到达SDN智能交换机的数据包均通过新增TG标识的扩展VXLAN进行封装再进行转发。
S6.SDN策略控制器下发TG间的访问控制策略至SDN智能交换机;
S7.SDN智能交换机解析并执行访问控制策略。
CN201510344547.8A 2015-06-19 2015-06-19 一种面向应用的sdn网络策略控制方法 Active CN104954186B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510344547.8A CN104954186B (zh) 2015-06-19 2015-06-19 一种面向应用的sdn网络策略控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510344547.8A CN104954186B (zh) 2015-06-19 2015-06-19 一种面向应用的sdn网络策略控制方法

Publications (2)

Publication Number Publication Date
CN104954186A true CN104954186A (zh) 2015-09-30
CN104954186B CN104954186B (zh) 2018-01-30

Family

ID=54168560

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510344547.8A Active CN104954186B (zh) 2015-06-19 2015-06-19 一种面向应用的sdn网络策略控制方法

Country Status (1)

Country Link
CN (1) CN104954186B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107579850A (zh) * 2017-09-05 2018-01-12 郑州云海信息技术有限公司 一种云数据中心基于sdn控制的有线无线混合组网方法
CN109076028A (zh) * 2016-05-19 2018-12-21 思科技术公司 异构软件定义网络环境中的微分段
CN109246100A (zh) * 2018-09-07 2019-01-18 刘洋 一种软件定义网络安全的实施方法
CN110048946A (zh) * 2018-01-15 2019-07-23 厦门靠谱云股份有限公司 一种基于Linux bridge和SDN控制器的单播VXLAN管理系统
WO2020019958A1 (zh) * 2018-07-25 2020-01-30 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
WO2020252895A1 (zh) * 2019-06-17 2020-12-24 平安科技(深圳)有限公司 混合软件自定义网络的部署方法、装置、设备及存储介质
WO2021017930A1 (zh) * 2019-07-26 2021-02-04 新华三技术有限公司 报文转发
CN114175583A (zh) * 2019-07-29 2022-03-11 思科技术公司 自愈网络中的系统资源管理

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763367A (zh) * 2014-01-17 2014-04-30 浪潮(北京)电子信息产业有限公司 一种云计算数据中心分布式虚拟网络设计方法及系统
CN103763310A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
US20140123211A1 (en) * 2012-10-30 2014-05-01 Kelly Wanser System And Method For Securing Virtualized Networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140123211A1 (en) * 2012-10-30 2014-05-01 Kelly Wanser System And Method For Securing Virtualized Networks
CN103763310A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
CN103763367A (zh) * 2014-01-17 2014-04-30 浪潮(北京)电子信息产业有限公司 一种云计算数据中心分布式虚拟网络设计方法及系统

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109076028A (zh) * 2016-05-19 2018-12-21 思科技术公司 异构软件定义网络环境中的微分段
CN109076028B (zh) * 2016-05-19 2021-06-18 思科技术公司 异构软件定义网络环境中的微分段
CN107579850A (zh) * 2017-09-05 2018-01-12 郑州云海信息技术有限公司 一种云数据中心基于sdn控制的有线无线混合组网方法
CN110048946A (zh) * 2018-01-15 2019-07-23 厦门靠谱云股份有限公司 一种基于Linux bridge和SDN控制器的单播VXLAN管理系统
CN110048946B (zh) * 2018-01-15 2020-08-28 厦门靠谱云股份有限公司 一种基于Linux bridge和SDN控制器的单播VXLAN管理方法
WO2020019958A1 (zh) * 2018-07-25 2020-01-30 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
CN110768884A (zh) * 2018-07-25 2020-02-07 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
US11588665B2 (en) 2018-07-25 2023-02-21 Huawei Technologies Co., Ltd. VXLAN packet encapsulation and policy execution method, and VXLAN device and system
CN109246100A (zh) * 2018-09-07 2019-01-18 刘洋 一种软件定义网络安全的实施方法
WO2020252895A1 (zh) * 2019-06-17 2020-12-24 平安科技(深圳)有限公司 混合软件自定义网络的部署方法、装置、设备及存储介质
WO2021017930A1 (zh) * 2019-07-26 2021-02-04 新华三技术有限公司 报文转发
CN114175583A (zh) * 2019-07-29 2022-03-11 思科技术公司 自愈网络中的系统资源管理
CN114175583B (zh) * 2019-07-29 2023-08-18 思科技术公司 自愈网络中的系统资源管理

Also Published As

Publication number Publication date
CN104954186B (zh) 2018-01-30

Similar Documents

Publication Publication Date Title
CN104954186B (zh) 一种面向应用的sdn网络策略控制方法
CN109120494B (zh) 在云计算系统中接入物理机的方法
CN109660443B (zh) 基于sdn的物理设备与虚拟网络通信方法和系统
US10063470B2 (en) Data center network system based on software-defined network and packet forwarding method, address resolution method, routing controller thereof
CN107222353B (zh) 支持协议无关的软件定义网络虚拟化管理平台
CN107135134B (zh) 基于虚拟交换机和sdn技术的私用网络接入方法和系统
CN103997414B (zh) 生成配置信息的方法和网络控制单元
EP3176979A1 (en) Information processing method and device
CN106936777A (zh) 基于OpenFlow的云计算分布式网络实现方法、系统
CN105991387A (zh) 虚拟扩展局域网的报文传输方法和装置
CN106487695A (zh) 一种数据传输方法、虚拟网络管理装置及数据传输系统
WO2015149253A1 (zh) 数据中心的虚拟网络管理方法及数据中心系统
CN103931149A (zh) 利用OpenFlow数据和控制面在云计算机中实现3G分组核心
CN105247826A (zh) 网络设备的网络功能虚拟化
CN103763367A (zh) 一种云计算数据中心分布式虚拟网络设计方法及系统
CN104350467A (zh) 用于使用sdn的云安全性的弹性实行层
CN112602292B (zh) 5g核心网中的片间共享
CN105531966B (zh) 一种网络中实现报文路由的方法、设备和系统
CN103581325B (zh) 一种云计算资源池系统及其实现方法
CN103905303A (zh) 一种虚拟机vm跨网迁移后的数据处理方法、装置及系统
WO2016159113A1 (ja) 制御装置、制御方法及びプログラム
WO2016159192A1 (ja) 制御装置、制御方法及びプログラム
CN109861899A (zh) 虚拟家庭网关及实现方法、家庭网络中心及数据处理方法
CN106899478A (zh) 电力测试业务通过云平台实现资源弹性扩展的方法
CN107306215A (zh) 一种数据处理方法、系统及节点

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant