数据中心外部的防御机制的部署是困难的,攻击者可伪造能力请求流并且淹没(flood)数据中心的网络单元的TCAM资源。此外,可以预计,当流偏转不足以保护资源耗尽攻击时,可以使用新的数据流的拒绝。
[0036]数据中心网络120被配置以使用流偏转来处理数据中心网络120上的基于资源的状况或攻击,从而使数据中心网络120对数据中心网络120上基于资源的状况或攻击更有弹性。数据中心网络120被配置以使用流偏转来处理用于数据中心网络120的资源的资源利用状况(例如与网络单元122的TCAM资源123相关联的基于TCAM的利用状况、与网络单元122的CPU资源124相关联的基于CPU的利用状况等),从而使数据中心网络120对用于数据中心网络120的资源的资源利用状况更有弹性。应当理解,可与在数据中心网络120中流偏转的使用相关的潜在假设是(I)预期不同的网络单元122在不同的时间看到相对高的负载,并且因此当给定的网络单元122正在经历资源利用状况时,存在识别具有相对低负载的相邻网络单元122的相对好的机会,该有相对低负载的相邻网络单元122可处理不能由正经历资源利用状况的网络单元122所处理的额外数据流,以及(2)攻击通常将相对小数量的网络单元122作为目标,留下可用于处理在攻击期间被作为目标的网络单元122所不能处理的新的数据流的多个相邻网络单元122。第一假设可以由如下校验:(I)使用数据中心网络120的工作负载数据来分析和重建数据中心网络120中主机服务器110到网络单元122的可能的分配,测量在同一机架中主机服务器110的对的权重(例如,基于如下假设,即在相同的数据上作业的工作很可能在同一机架内分配),并且使用作为输入的所述权重运行图分割处理(graph partit1ning process),以便将VM 112成组为在同一机架中的群集,(2)识别所述分割给出的具有高保真度(fidelity)的群集,并且将VM 112的每一个群集分配给相关联的机架,以及(3)在分配给同一工作的VM之间路由数据流,并且为每一个目标网络单元122计算在目标网络单元122上的TCAM条目的数量和与目标网络单元122的每一个邻居网络单元122 (例如,一跳邻居、一跳和两跳邻居等)相关联的TCAM条目的数量。这将被从累积分布函数(CDF)来理解,对于目标网络单元122,该累积分布函数示出了邻居网络单元122 (数据流可向其偏转)的TCAM条目与目标网络单元122 (数据流可从其被偏转)的TCAM条目的相对百分比。用于目标网络单元122的示例性CDF在图2中被示出。如在图2中所示,示例性的⑶F 200指示了对于90%的一跳邻居网络单元122,目标网络单元122的一跳邻居网络单元122的TCAM消耗为30%或者更少,并且对于全部的两跳邻居网络单元122,目标网络单元122的两跳邻居网络单元122的TCAM消耗为10%或更少。因此,示例性的⑶F 200指示,在数据中心网络120的相邻网络单元122中存在相对低的资源消耗相关性,并且因此对于从目标网络单元122到相邻网络单元122的数据流的偏转存在大量的空间。第二假设是基于预期:在一般情况下,相较为了针对数据中心的网络基础设施的小的子集所需要的来说,需要更多的攻击者资源以便针对数据中心的整个网络基础设施。
[0037]再次参考图1,控制器127被配置以使用流偏转来处理与数据中心网络120的网络单元122相关联的资源利用状况(其可以或可以不由针对数据中心网络120的网络单元122的资源利用攻击而产生)。
[0038]为了与网络单元122相关联的资源利用状况的检测,控制器127监视该网络单元122。资源利用状况可以是TCAM利用状况、CPU利用状况等。控制器127可以通过监视在网络单元122上的TCAM负载来监视在网络单元122上的TCAM利用状况的检测。网络单元122的TCAM利用状况可以以任何合适的方式来定义(例如TCAM负载大于或等于网络单元122的TCAM能力的70%、TCAM负载大于或等于网络单元122的TCAM能力的85%、TCAM负载大于或等于网络单元122的TCAM能力的95%等)。控制器127可监视网络单元122的一个或多个TCAM利用状况(例如,为网络单元122中每一个网络单元使用相同TCAM利用状况、为不同类型的网络单元122使用不同的TCAM利用状况等)。
[0039]控制器127可通过监视网络单元122上的CPU负载来监视网络单元122上的CPU利用状况的检测。网络单元122的CPU利用状况可以以任何合适的方式来定义(例如CPU负载大于或等于网络单元122的CPU能力的70%、CPU负载大于或等于网络单元122的CPU能力的75%、CPU负载大于或等于网络单元122的CPU能力的85%等)。控制器127可监视网络单元122的一个或多个CPU利用状况(例如为网络单元122中每一个网络单元使用相同CPU利用状况、为不同类型的网络单元122使用不同的CPU利用状况等)。
[0040]对于至少一些网络单元122,控制器127可以监视网络单元122的TCAM利用状况和CPU利用状况。
[0041]控制器127可以以任何合适的方式监视网络单元122。例如,控制器127可以从网络单元122收集状态信息(例如,经由轮询、经由通过网络单元的周期性报告、经由通过网络单元122的基于事件的报告等,以及它们的各种组合)。例如,控制器127可以从网络单元122收集与由网络单元122支持的数据流相关联的流统计(例如其中流统计可以包括或以其它方式指示在网络单元122上使用的/可用的TCAM能力、在网络单元122使用的/可用的CPU能力等,以及它们的各种组合)。
[0042]应当理解,控制器127可以监视一些或全部的网络单元122。应当理解,控制器127可以监视一些或全部网络单元122用于每一个被监视网络单元122的相同的资源利用状况的检测(例如监视每一个网络单元122的TCAM利用状况、监视每一个网络单元122的TCAM利用状况和CPU利用状况等),监视一些或全部网络单元122用于每一个被监视网络单元122的不同资源利用状况的检测(例如监视第一网络单元122用于CPU利用状况的检测,监视第二网络单元122用于TCAM利用状况的检测,监视第三网络单元122用于TCAM和(PU利用状况的检测等等)等等,以及它们的各种组合。应当理解,对于控制器127执行监视用于检测资源利用状况的横跨网络单元122的不同网络单元,资源利用状况可被定义为相同或不同,(例如为一些网络单元使用80%的TCAM利用率阈值并且为其它网络单元使用90 %的TCAM利用率阈值、为一些网络单元使用85 %的CPU利用率阈值并且为其它网络单元使用92%的CPU利用率阈值等)。应当理解,对于横跨不同网络单元122或网络单元122集合的资源利用状况,监视中的这样的差异可以基于网络单元122的一种或多种网络单元类型(例如架顶式交换机相对于聚集交换机、交换机相对于路由器等)、临时信息(temporalinformat1n)、数据中心网络120内流量的流量特性等,以及它们的各种组合。
[0043]基于在第一网络单元122上的资源利用状况的检测,控制器启动用于第一网络单元122的完全流偏转或选择性流偏转。在完全流偏转中,在第一网络单元122处接收的所有新的流数据从第一网络单元122偏转。在选择性流偏转中,在第一网络单元122处接收的新的数据流的一小部分从第一网络单元122偏转。响应于网络单元122上的资源利用状况的检测,控制器127可以执行用于网络单元122的完全流偏转或选择性流偏转。例如,响应于网络单元122上的TCAM利用状况的检测、网络单元122上的CPU利用状况的检测、或者网络单元122上的TCAM利用状况和CPU利用状况的检测,控制器127可执行用于网络单元122的完全流偏转或选择性流偏转。在至少一些实施例中,控制器127被配置以在当检测到网络单元122的TCAM利用状况时使用全部或选择性流偏转、当检测到网络单元122的CPU利用状况时使用选择性流偏转、以及当检测到网络单元122的TCAM和CPU利用状况两者时使用选择性流偏转。
[0044]在完全流偏转和选择性流偏转中,控制器127选择第二网络单元122以代表(onbehalf of)第一网络单元122处理新的流请求。控制器127确定候选邻居网络单元122的集合,其可被选择作为第二网络单元122以为第一网络单元122处理新的流请求。例如,控制器127可以考虑第一网络单元122的所有一跳邻居、第一网络单元122的所有一跳和两跳邻居等。控制器127从该候选邻居网络单元122的集合选择第二网络单元122。
[0045]控制器127可以以任何合适的方式从该候选邻居网络单元122的集合中选择第二网络单元122。
[0046]在至少一些实施例中,第二网络单元122的选择是基于在第一网络单元122处检测到的资源利用状况的资源类型(例如,当检测到TCAM利用状况时选择具有最低TCAM负载的候选邻居网络单元122、当检测到CPU利用状况时选择具有最低CPU负载的候选邻居网络单元122、当检测到TCAM和CPU利用状况两者时选择具有最低组合的TCAM负载和CPU负载的候选邻居网络单元122等等)。
[0047]在至少一些实施例中,控制器以用于平衡以下约束的至少一部分的方式从候选邻居网络单元122的集合中选择第二网络单元122: (I)第二网络单元122具有足够的空闲能力(例如,在第二网络单元122处有大于15%的感兴趣的资源可供使用、在第二网络单元122处有大于20%的感兴趣的资源可供使用等),(2)在偏转的数据流的延迟上的增加被保持在低于阈值或者甚至是最小;(3)由于流偏转而导致的在数据中心网络内的网络带宽上的增加被保持在低于阈值或者甚至是最小,(4)第一网络单元122和第二网络单元122的流量模式相关性低于阈值或甚至为零,以及(5)由一个或多个其它网络单元122将第二网络单元122用于流偏转的概率低于阈值。应当理解,在至少一些实施例中,考虑一些或所有上述约束的优化问题被解决以便选择用于处理由第一网络单元122偏转的数据流的第二网络单元122(例如其中优化问题的目标可为确定在利用所有网络单元122的感兴趣的相关联资源相对于平衡扩展数据流的开销方面所需或最优的解决方案)。同样应当理解,这种或类似的选择能力的使用减轻了使用流偏转的潜在缺点(例如,被偏转的流的延迟的增加、在数据中