一种软件定义网络中的状态迁移方法及交换机的制作方法
【技术领域】
[0001]本发明涉及软件定义网络(SDN, Software Defined Network)领域,具体涉及一种软件定义网络中的状态迁移方法、业务流控制方法及系统以及SDN中的交换机。
【背景技术】
[0002]SDN是一种新型网络创新架构,是针对现有网络设备和架构的一场变革。SDN的架构理念是网络设备转发控制分离,采用集中的SDN控制器通过Openflow协议控制网络,并在SDN控制器上提供网络虚拟化功能,并提供应用编程接口,方便进行网络创新。SDN将现有的交换机、路由器等网络设备中的控制功能提取出来,由SDN控制器来实现;现有的交换机、路由器中的转发功能从基础设施层剥离,由交换机实现。在SDN中,SDN控制器统一管理所有的交换机,其组成架构如图1所示。
[0003]但是,目前针对SDN的网管设备几乎没有成熟产品出现,缺乏对SDN网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。随着IP业务的爆炸性发展,如果不能清楚地了解网络的运转状况,也不了解不同的业务类型对带宽的消耗情况,唯一知道的就是带宽又不够了一这势必将运营商推进一个“拥塞-扩容-再拥塞-再扩容”的怪圈。无法实现业务识别,无法实现内容计费,也无法满足信息安全的需要,这些问题不但增加了运营商的运营成本,而且也降低了用户的满意度。于是,如何深度感知网络应用,提供网络业务控制和管理手段,构建可运营、可管理的网络,成为运营商关注的焦点。另外,用户行为分析也可以提供有价值的分析报告,如热点业务发展分析、大客户网络分析报告等。深度包检测技术恰好能够提供这些要求,他们可以根据深度包检测技术分析结果,将流量分为低延时(语音)、保证延时(网络流量)、保证交付(应用流量)和尽最大努力交付的应用程序(文件共享)。使用这种分类,他们可以更好的根据关键任务流量、非关键任务流量来优化资源并减少网络拥挤。
[0004]深度包检测技术(DPI, Deep Packet Inspect1n)是一种协议识别技术,DPI技术在分析报头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流通过基于DPI技术的网络设备时,DPI技术将网络上的数据报文根据五元组(源地址、目的地址、源端口、目的端口以及协议类型)分为若干个应用流,通过深入读取IP包载荷的内容来对应用层信息进行重组,从而识别出应用流对应的应用或者用户的动作,然后按照系统定义的管理策略对流量进行控制,控制方法包括:正常转发、阻塞、限制带宽、整形、重标记优先级等,这样可以防止有限的网络带宽被低价值的业务挤占。
[0005]同时,DPI技术能够检测出数据包的内容及有效负载,并且能够提取出内容级别的信息,如恶意软件、具体数据和应用程序类型等。利用DPI技术在网络中的部署,可以实现网络运营中的业务识别、业务控制和业务统计。例如,从电子邮件的内容看,垃圾邮件和普通邮件的业务流两者间根本没有区别,只有进一步分析,具体根据发送邮件的大小、频率、目的邮件和源邮件地址、变化的频率和被拒绝的频率等综合分析,建立综合识别模型,才能判断是否为垃圾邮件。DPI可以统计网络的业务流量分布和用户的各种业务使用情况,从而更好的发现促进业务发展和影响网络正常运营的因素,为网络和业务优化提供依据。如发掘对用户有吸引力的业务、验证业务提供水平是否达到了用户的服务等级协议SLA、统计分析出网络中攻击流量占多少比例、多少用户正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些用户使用了非法VoIP等。采用DPI技术,实现保障网络不同业务QoS的高价值业务的开展,真正把网络带宽变成可有机利用、按需分配的资源,为进行智能化的业务和用户识别,网络业务的精细运营、业务管理、统计分析提供了高效的支撑手段,为网络业务的运营分析、安全管控提供保障。
[0006]为了实现对SDN网络的监管,同时,考虑到SDN网络用户具有移动性,会从一个交换机移动到另一个交换机,为了保持用户在SDN网络中的业务连续性,急需提出一种软件定义网络中的状态迁移的方法和业务流控制方法,在用户迁移过程中实现对数据流的监管。
【发明内容】
[0007]本发明需要解决的技术问题是提供一种SDN中的状态迁移方法、业务流控制方法、系统以及SDN中的交换机,融合DPI技术,为SDN提供一个高效、安全的网络管理系统,防御并解决SDN网络用户迁移的可能漏洞。
[0008]为了解决上述技术问题,本发明提供了一种软件定义网络中的状态迁移方法,包括:
[0009]在用户要迁出的当前交换机与所述用户迁入的目标交换机建立状态迁移通道后,如果所述当前交换机上保存有所述用户的动态深度包检测DPI数据,则将其上保存的所述用户的动态DPI数据和缓存的数据报文迁移到所述目标交换机上;
[0010]所述动态DPI数据是所述用户在所述当前交换机上线后,所述当前交换机对流经其的数据包流进行DPI分析过程中产生的动态数据。
[0011]进一步地,所述方法还包括:
[0012]在所述当前交换机与所述目标交换机建立状态迁移通道前,在所述用户在所述目标交换机上线后,软件定义网络SDN控制器根据所述用户的身份标识信息从策略服务器获取所述用户对应的DPI策略,并下发至所述目标交换机。
[0013]进一步地,所述在所述当前交换机将其上保存的所述动态DPI数据和缓存的数据报文迁移到所述目标交换机上后,所述方法还包括:
[0014]所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产生新的动态DPI数据,并结合迁移过来的动态DPI数据得出DPI特征分析结果,然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流进行转发控制。
[0015]进一步地,所述方法还包括:
[0016]在所述用户在所述目标交换机上线后,在所述当前交换机将其上保存的所述动态DPI数据和缓存的数据报文迁移到所述目标交换机上之前,所述方法还包括:
[0017]所述目标交换机对当前流经其的数据包流进行DPI分析产生新的动态DPI数据,根据所述新的动态DPI数据得出DPI特征分析结果,然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流进行转发控制。
[0018]进一步地,如果所述当前交换机上没有保存所述用户的动态DPI数据,在所述当前交换机将其上缓存的数据报文迁移到所述目标交换机上之后,所述方法还包括:
[0019]所述目标交换机对当前流经其的数据包流和所述数据报文进行DPI分析产生新的动态DPI数据,根据所述新的动态DPI数据得出DPI特征分析结果,然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,根据匹配到的所述DPI策略对后续流经所述目标交换机的数据包流进行转发控制。
[0020]进一步地,所述当前交换机缓存的缓存报文是:在所述用户从当前交换机下线后且未完成在所述目标交换机上线前,所述当前交换机接收到的发给所述用户的数据报文。
[0021]为了解决上述技术问题,本发明还提供了一种软件定义网络中的业务流控制方法,包括:
[0022]用户在交换机上线后,软件定义网络SDN控制器根据所述用户的身份标识信息从策略服务器获取所述用户对应的深度包检测DPI策略,并下发至所述交换机;
[0023]所述交换机对当前流经其的数据包流进行DPI分析产生动态DPI数据,根据所述动态DPI数据得出DPI特征分析结果,然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,根据匹配到的所述DPI策略对后续流经所述交换机的数据包流进行转发控制。
[0024]为了解决上述技术问题,本发明还提供了一种软件定义网络中的交换机,包括:转发功能模块和深度包检测DPI业务模块,其中,
[0025]所述转发功能模块,用于在交换机接收到数据包流后,将所述数据包流复制存入所述DPI业务模块;并接收所述DPI业务模块发来的DPI策略,根据所述DPI策略对后续流经所述交换机的数据包流进行转发控制;
[0026]所述DPI业务模块,用于在用户在所述交换机上线后,接收软件定义网络SDN控制器下发的所述用户对应的DPI策略,接收所述转发功能模块存入的数据包流,对所述数据包流进行DPI分析产生动态DPI数据,根据所述动态DPI数据得出DPI特征分析结果,然后在所述SDN控制器下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,将匹配到的所述DPI策略发送至所述转发功能模块。
[0027]进一步地,所述DPI业务模块包括:
[0028]接收模块,用于在所述用户在所述交换机上线后,接收所述SDN控制器下发的所述用户对应的DPI策略;
[0029]用户会话数据库,用于缓存当前流经所述交换机的数据包流,以及根据当前流经所述交换机的数据包流进行DPI分析过程中产生的动态DPI数据;
[0030]DPI处理模块,用于对当前流经所述交换机的数据包流进行DPI分析产生动态DPI数据,将所述动态DPI数据发送至所述用户会话数据库缓存,并根据所述动态DPI数据得出DPI特征分析结果,然后在所述SDN下发的DPI策略中查询与所述DPI特征分析结果匹配的DPI策略,将匹配到的所述DPI策略发送至所述转发功能模块对后续流经所述交换机的数据包流进行转发控制。
[0031]进一步地,所述用户会话数据库,还用于在所述DPI处理模块根据所述动态DPI数据得出DPI特征分析结果后,将所述动态DPI数据删除。
[0032]进一步地,所述用户会话数据库,还用于在所述用户从所述交换机迁移到所述目标交换机的过程中,在所述用户从所述交换机下线后且未完成在所述目标交换机上线