确保经由流偏转的软件定义的网络的制作方法
【技术领域】
[0001]本公开一般地涉及通信网络,并且更具体但不排他地涉及提供在软件定义的网络(SDN)中的安全性。
【背景技术】
[0002]软件定义的网络(SDN)是一种计算机网络,在其中控制平面与数据平面分离。一般地,在SDN中,数据平面使用转发单元(例如交换机、路由器等)来实现,而控制平面使用与转发单元分离的一个或多个控制单元(例如服务器等)来实现。
【发明内容】
[0003]用于提供在软件定义的网络(SDN)中的安全性的实施例解决了现有技术中的多种缺陷。
[0004]在一个实施例中,装置包括处理器和通信地连接到所述处理器的存储器,其中所述处理器被配置以基于在SDN的第一网络单元处的资源利用状况的检测,生成指示在SDN的第一网络单元处接收的新的流请求的至少一部分将从SDN的第一网络单元转发到SDN的第二网络单元的流转发规则。
[0005]在一个实施例中,方法包括使用处理器来基于在SDN的第一网络单元处的资源利用状况的检测,生成指示在SDN的第一网络单元处接收的新的流请求的至少一部分将从SDN的第一网络单元转发到SDN的第二网络单元的流转发规则。
[0006]在一个实施例中,装置包括处理器和通信地连接到所述处理器的存储器,其中所述处理器被配置以基于指示在第一网络单元处接收的新的流请求的至少一部分将从第一网络单元转发到第二网络单元的流转发规则,接收在SDN的第一网络单元处的新的流请求,并且从所述第一网络单元向SDN的第二网络转发所述新的流请求。
[0007]在一个实施例中,方法包括使用处理器来在SDN的第一网络单元处接收新的流请求,并且基于指示在第一网络单元处接收的新的流请求的至少一部分将从第一网络单元转发到第二网络单元的流转发规则,从第一网络单元向SDN的第二网络转发新的流请求。
【附图说明】
[0008]通过结合附图考虑以下详细的描述,本文的教导可以容易被理解,在其中:
[0009]图1示出了包括实施为软件定义的网络(SDN)的数据中心网络的数据中心环境的高级框图;
[0010]图2示出了图1的数据中心网络的相邻网络单元中相对低的资源消耗相关性的示例性累积分布函数;
[0011]图3示出了响应于检测在网络单元处的资源利用状况,用于使用在网络单元处的流偏转的方法的一个实施例;以及
[0012]图4示出了适于在执行本文所述功能中使用的计算机的高级框图。
[0013]为便于理解,已使用相同的参考标记,其在可能的情况下指示为附图所共用的相同单元。
【具体实施方式】
[0014]一般地,流偏转能力被提供用于偏转在软件定义的网络(SDN)内的数据流以便提供用于SDN的安全性。
[0015]图1示出包括实施为软件定义的网络(SDN)的数据中心网络的数据中心环境的高级框图。
[0016]如在图1中所示,数据中心环境100包括数据中心102。数据中心102包括多个主机服务器110 (统称为主机服务器110)和数据中心网络120。
[0017]主机服务器110被配置以支持相应的多个虚拟机(VM) 112。应当理解,每一个主机服务器110可包括一个或多个服务器刀片,其中每一个服务器刀片可包括一个或多个中央处理单元(CPU)。
[0018]数据中心网络120被配置以支持数据中心环境100的通信(例如在数据中心环境100内的主机服务器110的VM 112之间、在主机服务器110的VM 112和位于数据中心环境100外部的设备之间等等,以及它们的各种组合)。
[0019]数据中心网络120包括多个网络单元122和控制器127。网络单元122包括三个顶式机架(ToR)交换机122T1 - 122Τ3(统称为ToR交换机122τ)、一对聚集交换机122Α1 -122Α2 (统称为聚集交换机122α)和一对路由器122K1 - 122κ(统称为路由器122κ)。如在图1中所示,主机服务器110被通信地连接到ToR交换机122τ (其中每一个主机服务器110被连接到ToR交换机122τ*的一个相关联的交换机,以使得每一个ToR交换机122 τ支持多个主机服务器110,并且每一个主机服务器110由ToR交换机122τ*的一个来支持),ToR交换机122τ*的每一个被通信地连接到两个聚集交换机122 Α,并且聚集交换机122Α中的每一个被通信地连接到两个路由器122κ。控制器127经由路由器122κ中的一个路由器被通信地连接到网络单元122中的每一个网络单元。如在图1中进一步示出的,每一个路由器122κ被通信地连接到通信网络140 (例如诸如因特网、专用数据网络等的公共数据网络)。应当理解,数据中心网络120仅仅是示例性的,并且各种其它类型的数据中心网络120均可被支持,例如包括更少或更多的ToR交换机122τ、更少或更多的聚集交换机122Α、更少或更多的路由器122κ、更少层或更多层的网络单元122、不同布置的网络单元120等,以及它们的各种组合。
[0020]数据中心网络120被实施为SDN。一般地,SDN提供经由集中控制器将网络的网络单元编程的能力(说明性地,经由控制器127将数据中心网络120的网络单元122编程)。这种类型的灵活性简化了各种任务,诸如管理和更新网络、控制网络内的流布置(placementof flows)等。应当理解,这种优点可能有利于大规模的数据中心。例如,SDN可用于规划数据中心内大数据集的迀移。
[0021]在数据中心网络120中,网络单元122被配置以作为SDN的转发单元来操作,并且控制器127被配置以作为SDN的控制单元来操作。换句话说,网络单元122提供用于在数据中心网络120内传播数据的SDN的数据平面,并且控制器127提供用于在数据中心网络120内控制数据的传播的SDN的控制平面。在典型的SDN中,网络单元122向控制器127转发用于新的数据流的请求,控制器127计算用于新的数据流的数据路径,控制器127提供指示计算出的数据路径的数据路径信息给将支持该数据流的网络单元122,并且将支持该数据流的网络单元122从控制器127接收数据路径信息,并使用该数据路径信息以根据该数据流的计算出的数据路径转发该数据流的数据。以这种方式,控制器127控制在SDN内的数据流的数据路径。
[0022]在数据中心网络120中,网络单元122和控制器127被配置以使用SDN的控制协议来通信(例如用于使得网络单元122能够请求用于数据流的数据路径的计算、用于使得控制器127能够提供用于数据流的数据路径信息至网络单元122等)。在至少一些实施例中,在数据中心网络120中使用的控制协议是OpenFlow协议。
[0023]—般地,OpenFlow通过分流(offloading)从网络单元到中央控制器的数据流的路径设立决策来提供网络的精细粒度控制(说明性地,通过分流从网络单元122到控制器127的数据流的路径设立决策来提供数据中心网络120的精细粒度控制)。控制器127被配置以基于SDN的全局知识(说明性地,基于数据中心网络120的全局知识)识别用于给定数据流的最优数据路径。在OpenFlow中,接收新的流请求的SDN的第一网络单元122发送新的流请求给控制器127,并且控制器127确定在数据中心网络120内用于该数据流的数据路径,并且通过用转发规则编程网络单元122来提供在数据中心网络120内的数据路径,其中所述转发规则被配置来由网络单元122使用以根据用于该数据流的确定的数据路径转发该数据流的分组。新的流请求可以是以数据流第一分组、数据流请求消息等的形式。例如,对于源自数据中心102的主机服务器110中的一个主机服务器的VM 112中的一个VM的数据流,与该主机服务器110中的一个主机服务器相关联的ToR交换机122τ是接收用于该数据流的新的流请求的第一网络单元,并且(当流偏转没有使用时)转发用于该数据流的新的流请求给控制器127。例如,对于源自数据中心102外部的设备并且旨在用于数据中心102的主机服务器110中的一个主机服务器的VM 110中的一个VM的数据流,作为到数据中心网络120的入口点的路由器122κ是接收用于该数据流的新的流请求的第一网络单元,并且(当流偏转没有使用时)转发用于该数据流的新的流请求给控制器127。
[0024]因此,在OpenFlow中,控制平面开销(overhead)取决于在SDN内的数据流数量。因此,虽然使用OpenFlow来提供SDN的控制平面的使得在SDN数据流上的精细粒度控制可行,但是OpenFlow控制平面,包括用于提供OpenFlow的控制平面的相关资源,可能变得高利用率,并且因此可能容易受到新类别的攻击(a new class of attacks)。这是与传统的网络一一其中控制平面开销独立于数据流的数目一一相比较,至少是因为(I)控制平面被分布在网络单元上,所述网络单元负责维护拓扑信息、计算数据路径并且维护转发表,以及
(2)通过基于预先计算的条目将用于数据流的数据路径拼接在一起来通过网络转发数据流的分组。
[0025]在OpenFlow中,控制器127和网络单元122执行用于数据流的数据路径设立,并且网络单元122支持数据流。对于给定的数据流,(I)控制器127确定用于该数据流的数据路径、计算转发规则,该转发规则将被提供给处于为该数据流确定的数据路径之中的网络单元122、以及传播转发规则给处于为该数据流确定的数据路径之中的网络单元122,以及(2)处于为该数据流确定的数据路径之中的网络单元122接收转发规则、在转发表中存储转发规则,并访问转发规则以根据为该数据流确定的数据路径转发该数据流的分组。因此,网络单元122为数据流的支持消耗网络单元122的资源。
[0026]通常被用于支持数据流的网络单元122的资源是存储器资源和处理器资源。网络单元122的存储器和处理器资源用于诸如执行用于数据流的数据路径设立、维护用于数据流的流状态等的功能。网络单元122的存储器资源通常包括网络单元122的内容可寻址存储器(CAM),以及更具体地,网络单元122的三元CAM(TCAM),该三元CAM用于维护用于该网络单元122的转发表(例如,使用用于由该网络单元122支持的每个数据流的数据流条目)。网络单元122的处理器