路由协议多实例并行执行系统及其并行执行方法
【技术领域】
[0001 ] 本发明涉及路由协议实现技术领域,特别涉及一种路由协议多实例并行执行系统及其并行执行方法。
【背景技术】
[0002]路由器作为网络基础设施的重要组成部分,其自身的安全形势日益严峻。而路由协议作为路由器的大脑,实现动态路由的建立,其安全形势也不容乐观。路由协议面临的主要安全威胁包括以摧毁路由协议为目的的DoS攻击和控制并注入虚假路由为目的的路由欺骗。传统路由器通过修补路由协议漏洞、增加附加的安全机制应对上述攻击,从根本上并没有改变路由协议的静态特性,无法完全解决路由协议和路由信息的脆弱性问题。
【发明内容】
[0003]针对现有技术中的不足,本发明提供一种路由协议多实例并行执行系统及其并行执行方法,采用数据转发与控制分离的体系架构,同时并行运行多个路由协议执行单元,将路由协议执行单元的计算得到的路由表信息进行汇总决策并下发数据转发面,保证在单个协议执行单元失效或失控时,路由和转发仍然能够正常工作。
[0004]按照本发明所提供的设计方案,一种路由协议多实例并行执行系统,包含转发单元、若干协议执行单元及中央控制单元,其中,转发单元,用于IP数据匹配、修改、转发和统计上报;协议执行单元,用于路由协议报文处理及路由计算,并将路由计算结果发给中央控制单元;中央控制单元,用于管理多个协议执行单元状态,对协议执行单元之间的数据进行分发,维护协议执行单元中的路由计算结果,对路由计算结果通过策略优选进行选择后发给转发单元。
[0005]上述的,所述协议执行单元包含路由协议运行状态监控模块,用于协议执行单元在协议失效情况下进行自我恢复。
[0006]上述的,所述转发单元的控制网口与中央控制单元的外网口相信号连接,中央控制单元的Base网口与协议执行单元的Base网口相信号连接。
[0007]—种路由协议多实例并行执行方法,具体包含如下步骤:
步骤1.中央控制单元接收转发单元发起的openflow会话,并同时与每个协议执行单元建立openflow会话;
步骤2.中央控制单元监听协议执行单元下发的报文消息,并按照报文消息处理规则对报文消息进行丢弃或者下发给转发单元;中央控制单元监听转发单元上报的报文消息,按照报文消息处理规则将报文消息转发给某个或者某些或者所有的协议执行单元;
步骤3.中央控制单元对每一个协议执行单元下发的流表信息进行维护和管理,按照流表优选策略从多个协议执行单元下发的流表中选择一条流表,并下发给转发单元;
步骤4.中央控制单元实时监测协议执行单元状态,在监测到协议执行单元失效时,通过带外通道将该协议执行单元重启,使其恢复到正常初始状态,若无法恢复,则主动停止openflow 会话。
[0008]上述的路由协议多实例并行执行方法,步骤I中中央控制单元与转发单元之间会话交互协议及中央控制单元与协议执行单元之间会话交互协议均需遵从openflowl.3规范,通过openflow中Symmetric消息族维护通道存活。
[0009]上述的路由协议多实例并行执行方法,所述报文消息处理规则包含:中央控制单元对 openflow 中 controller-to-switch 消息族中 features 消息、read-state 消息,直接下发给转发单元;对于packet-out消息,需检测消息中原始数据包类型,若为单播包,则直接下发给转发单元,若为组播包,则需下发给转发单元外,还要产生packet-1n消息,并下发给其他协议执行单元;对于role-request消息、asynchronous-configurat1n消息,贝丨J直接回应error消息;对于configurat1n消息中的0FPT_SET_C0NFIG子类型,直接回应error消息,其他子类型则需下发给转发单元;对于modify-state消息,则直接转步骤3处理;下发给转发单元的features消息、read-state消息、configurat1n消息,中央控制单元维护来自协议执行单元ID和OF头中的transact1n id的对应表。
[0010]优选的,所述报文消息处理规则还包含中央控制单元对于openflow中asynchronous消息族中port_status消息复制后转发给所有协议执行单元;对于error消息,则按照OF头中的transact1n in的对应表转发给对应的协议执行单元;对于flow-removed消息,则直接丢弃;对于packet-1n消息,则依据消息中承载的原始数据帧中的目的ip地址,若为单播包,则转发给对应的协议执行单元,若为组播包,则将消息复制后,转发给所有协议执行单元。
[0011]上述的路由协议多实例并行执行方法,所述步骤3中按照流表优选策略从多个协议执行单元下发的流表中选择一条流表包含中央控制单元收到协议执行单元下发的modify-state消息,建立该流表数据库,若只接收到一个协议执行单元下发的流表消息,则将直接下发给转发单元,若接收到多个协议执行单元下发的流表信息,流表信息不一致,则按照本地流表选择算法,优选出一条流表下发给转发单元;在中央控制单元接收到某个流表不可用消息,如果该流表已经下发给转发单元,则启动本地流表选择算法,选择另一条流表信息并主动下发modify-state消息,若所有流表均不可用,则主动下发下发modify-state消息,并撤销转发单元的流表信息。
[0012]上述的路由协议多实例并行执行方法,所述步骤4还包含监测到协议执行单元失效,中央处理单元将删除本地维护的与该协议执行单元关联的所有流表信息,若删除的流表信息已经下发给转发单元,需按照流表优选策略重新选择一条流表,并重新下发给转发单元。
[0013]本发明的有益效果:
1.本发明采用数据转发与控制分离的体系架构,同时并行运行多个路由协议执行单元,将路由协议执行单元的计算得到的路由表信息进行汇总决策并下发数据转发面,保证在单个协议执行单元失效或失控时,路由和转发仍然能够正常工作。
[0014]2.本发明容错能力强,在某个路由协议故障或者失效的条件下,仍然保证数据的正常转发;系统部署简单,现有技术中switch与单个controller进行消息交互,或者switch 与两个 controller 交互,两个 controller 分为主 controller 和备 controller,不能同时做主controller,本发明中转发单元和协议执行单元分别为现有的openflowswitch和openflow controller,中央控制单元仅作为一个接插件,openflow设备对其无感,该系统易于增量部署;系统部署灵活,可以根据实际应用环境需求和成本需求确定采用多少个协议执行单元,协议执行单元可部署于真实服务器,也可以部署于虚拟机。
[0015]【附图说明】:
图1为本发明的路由协议多实例并行执行系统原理框图;
图2为本发明的路由协议多实例并行执行方法流程示意图。
[0016]【具体实施方式】:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
[0017]openflow协议是用来描述控制器和openflow交换机之间交互所用的信息的接口标准,其核心是openflow协议信息的集合。openflow协议支持三种消息族类型:controller-to-switch N asynchronous异步和symmetric对称,而每一类消息族又可以拥有多个子消息类型。其中,controller-to-switch消息由控制器发起,用来管理或获取openflow交换机的状态!asynchronous消息由openflow交换机发起,用来将网络事件或交换机状态变化更新到控制器;sy_etric消息可由交换机或控制器发起。
[0018]
实施例一,参见图1所示,一种路由协议多实例并行执行系统,包含转发单元、若干协议执行单元及中央控制单元,其中,转发单元,用于IP数据匹配、修改、转发和统计上报;协议执行单元,用于路由协议报文处理及路由计算,并将路由计算结果发给中央控制单元;中央控制单元,用于管理多个协议执行单元状态,对协议执行单元之间的数据进行分发,维护协议执行单元中的路由计算结果,对路由计算结果通过策略优选进行选择后发给转发单元,其中,策略优选是指先将路由计算结果相同的协议执行单元划为一组,并计算其协议执行单元个数,选择协议执行个数最多的组作为下发优选的下发到转发单元,在实际应用中,中央控制单元透明处理switch和controller之间消息,使得一个switch支持多个并行工作的controller,保证在单个协议执行单元失效或失控时,路由和转发仍然能够正常工作。
[0019]优选的,所述协议执行单元包含路由协议运行状态监控模块,用于协议执行单元在协议失效情况下进行自我恢复,路由协议运行状态监控模块通过心跳机制,运行看门狗程序,动态与路由协议进行心跳消息交互,如果在给定时间段内无法从路由协议收到心跳消息,则认为路由协议失效;或通过进程监控机制,运行看门狗程序,周期性查看路由协议进程状态,如果进程不存在,则认为路由协议失效。
[0020]转发单元的控制网口与中央控制单元的外网口相信号连接,中央控制单元的Base网口与协议执行单元的Base网口相信号连接。
[0021]实施例二,参见图2所示,一种路由协议多实例并行执行方法,具体包含如下步骤:
步骤1.中央控制单元接收转发单元发起的openflow会话,并同时与每个协议执行单元建立openflow会话;
步骤2.中央控制单元监听协议执行单元