openflow流表的告警方法及告警装置制造方法
【专利摘要】本发明揭示了一种openflow流表的告警方法及告警装置,交换机对接收到的报文进行检查并与流表进行匹配,若匹配到的流表中包含告警行为,则将该报文按流表中的行为进行转发后,再按所述告警行为向控制器发送告警消息;若匹配到的流表中不包含告警行为,则将该报文按匹配到的行为进行直接转发。本发明提供了一种报文主动告警机制,提高了控制器的察觉敏感性,同时可以提高设备的安全性,在处理数据的同时能够及时通知控制器,使控制器和管理员能够及时发现并记录这些报文,并记录告警日志,增强对于恶意攻击的反应能力。
【专利说明】openf I ow流表的告警方法及告警装置
【技术领域】
[0001]本发明涉及网络通信的报文转发【技术领域】,尤其是涉及一种openfllow流表的告
警方法及告警装置。
【背景技术】
[0002]随着网络的发展和使用越来越普及,网络暴露出越来越多的弊病,并且,网络用户对网络性能的需求也在不断提高。于是,研究人员不得不把很多复杂功能加入到路由器的体系结构当中,例如:开放式最短路径优先(OSPF, Open Shortest Path First)、边界网关协议(BGP,Border Gateway Protocol)、组播、区分服务、流量工程、网络地址转换(NAT,Network Address Translation)、防火墙、多协议标签交换(MPLS, Mult1-Protocol LabelSwitching)等等,这就使路由器等交换设备越来越臃肿且性能提升的空间越来越小,无法满足日益增长的新业务需求。
[0003]软件定义网络(SDN, Software Defined Network),是一种新型网络创新架构,它的提出即是为了解决现有网络的冗余问题,并提供可靠的性能提升空间,其核心技术为OpenFlow 网络。
[0004]2008年,美国斯坦福大学提出OpenFlow网络的概念,基本的OpenFlow网络包括:控制面的网络控制器(Controller)和转发面的交换机(Switch)。OpenFlow网络中转发数据报文的方法为利用流表进行数据报文转发,具体为=ContiOller通过标准化的OpenFlow协议控制多个Switch并下发流表给Switch ;Switch接收并保存流表;当Switch收到网络发来的数据报文后,查看流表中是否有匹配的流表项,若有,则按照流表项中的动作转发数据报文;若没有查找到匹配的流表项,则将数据报文的头信息封装为Packet-1n消息发给Controller !Controller接收到Packet-1n消息后,根据自身保存的拓扑信息计算路径,利用得到的路径生成Packet-out消息和Flow-mod消息,将Packet-out消息和Flow-mod消息发给Switch ;Switch根据Packet-out消息转发数据报文,并根据Flow-mod消息建立流表项。
[0005]其中Controller接收到的未匹配到的报文为数据报文,这些数据报文不带有告警消息,因此导致ContiOller察觉告警信息的敏感性较低,易受到一些恶意攻击,不能保证设备的使用安全性。
【发明内容】
[0006]本发明的目的在于克服现有技术的缺陷,提供一种openflow流表的告警方法及告警装置,通过在指定流表的指令中扩展告警行为指令,增强了网络的监控管理能力,实现控制器和管理员均可以监控某种报文的传输。
[0007]为实现上述目的,本发明提出如下技术方案:一种openflow流表的告警方法,包括:交换机对接收到的报文进行检查并与流表进行匹配,若匹配到的流表中包含告警指令,则将该报文按流表中的指令执行后,再按所述告警指令向控制器发送告警消息;若匹配到的流表中不包含所述告警指令,则将该报文按匹配到的指令进行直接执行。
[0008]优选地,每个所述流表包括复数个流表项,所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie,所述报文按照所述流表项中的匹配字段和优先级进行匹配。
[0009]当匹配到的流表中包含告警行为时,所述告警行为存在于所述指令中。
[0010]所述告警消息包括包头域、优先级、告警类型和数据包。
[0011 ] 所述控制器接收到所述告警消息后记录监控日志,并将所述监控日志提供给管理员。
[0012]本发明还提供了一种openflow流表的告警装置,包括检查匹配装置、告警行为判断装置、报文处理装置,所述检查匹配装置对接收到的报文进行检查并进行流表的匹配,匹配到的流表被送入到所述告警行为判断装置中进行识别,识别后送入到所述报文处理装置中进行相应的处理。
[0013]优选地,每个所述流表包括复数个流表项,所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie,所述检查匹配装置按照所述流表项中的匹配字段和优先级进行匹配。
[0014]所述报文处理装置包括转发装置和转发告警装置,所述转发装置将报文直接按匹配到的指令进行执行;所述转发告警装置将报文按流表中的指令执行后,再向控制器发送
告警消息。
[0015]所述告警消息包括:包头域、优先级、告警类型和报文。
[0016]所述告警行为判断装置识别匹配到的流表中是否包含向控制器发送告警消息的指令,若包含,则将该报文发送给所述转发告警装置;若不包含,则发送给所述转发装置。
[0017]本发明的有益效果是:本发明在指定监测的流表中扩展告警行为指令,当交换机接收到需要监测的数据时,能够对报文进行相应的流表操作,并可以主动向控制器发出告警消息,提供了一种报文主动告警机制,提高了控制器的察觉敏感性,同时可以提高设备的安全性,在处理数据的同时能够及时通知控制器,使控制器和管理员能够及时发现并记录这些报文,并记录告警日志,增强对于恶意攻击的反应能力。
【专利附图】
【附图说明】
[0018]图1是本发明openflow流表的告警方法的流程示意图;
[0019]图2是流表项的结构示意图;
[0020]图3是本发明告警消息的结构示意图;
[0021]图4是本发明openflow流表的告警装置的结构框图。
【具体实施方式】
[0022]下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
[0023]如图1所示,本发明所揭示的一种openflow流表的告警方法,openf low交换机在接收到一个报文后,交换机首先执行一个查找表中的第一流表查找,并基于流水线进行处理。每个openflow交换机的流水线均包含多个流表,每个流表包含多个流表项。
[0024]openflow交换机的流表按顺序编号的,从O开始编号。流水线处理总是从第一流表开始:报文与第一流表的流表项匹配,其他流表根据第一流表的匹配结果来调用。
[0025]根据某个流表进行处理时,将报文与流表中的流表项进行匹配,从而选择流表项。如图2所示,每个流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie。报文按照流表中的匹配字段和优先级进行匹配,在一个流表中匹配字段和优先级共同确定一个流表项。
[0026]本发明在部分流表项中增加告警行为,这些流表项对应所需监测的报文,所述告警行为存在于所述指令中,即对原流表项进行了扩展,增加了告警行为指令。
[0027]当所需监测的报文匹配到了相应流表项时,一方便,包括在该流表项中的指令会被执行,另一方便,会向控制器发送告警消息。控制器接收到该告警消息后,记录监控日志,并将所述监控日志提供给管理员。
[0028]如图3所示,所述告警消息包括包头域、优先级、告警类型和数据包,所述包头域用于标识报文类型,所述优先级用于标识告警的级别,所述告警类型用于标识告警的类型,所述数据包中包含消息的内容。
[0029]当无需监测的报文匹配到相应流表项时,则直接按该流表项中的指令执行。
[0030]如图4所示,本发明还揭示了一种openflow流表的告警装置,包括检查匹配装置、告警行为判断装置、转发装置和告警转发装置,所述检查匹配装置用于对接收到的报文进行检查并进行流表的匹配,匹配到的流表送入到所述告警行为判断装置中进行识别。
[0031]所述告警行为判断装置用于识别流表中是否包含向控制器发送告警消息的指令,若包含,则将该报文发送给所述转发告警装置;若不包含,则发送给所述转发装置。
[0032]所述转发装置将报文直接按匹配到的流表中的指令进行执行;所述告警转发装置将报文按匹配到的流表中的指令进行执行后,再向控制器发送告警消息,通知控制器进行及时记录告警日志,增强对于恶意攻击的反应能力。
[0033]本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
【权利要求】
1.一种openf low流表的告警方法,其特征在于,该方法包括:交换机对接收到的报文进行检查并与流表进行匹配,若匹配到的流表中包含告警指令,则将该报文按流表中的指令执行后,再按所述告警指令向控制器发送告警消息;若匹配到的流表中不包含所述告警指令,则将该报文按匹配到的指令进行直接执行。
2.根据权利要求1所述的openflow流表的告警方法,其特征在于,每个所述流表包括复数个流表项,所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie,所述报文按照所述流表项中的匹配字段和优先级进行匹配。
3.根据权利要求2所述的openflow流表的告警方法,其特征在于,当匹配到的流表中包含告警行为时,所述告警行为存在于所述指令中。
4.根据权利要求1所述的openflow流表的告警方法,其特征在于,所述告警消息包括包头域、优先级、告警类型和数据包。
5.根据权利要求1所述的openflow流表的告警方法,其特征在于,所述控制器接收到所述告警消息后记录监控日志,并将所述监控日志提供给管理员。
6.一种openflow流表的告警装置,其特征在于,包括检查匹配装置、告警行为判断装置、报文处理装置,所述检查匹配装置对接收到的报文进行检查并进行流表的匹配,匹配到的流表被送入到所述告警行为判断装置中进行识别,识别后送入到所述报文处理装置中进行相应的处理。
7.根据权利要求6所述的openflow流表的告警装置,其特征在于,每个所述流表包括复数个流表项,所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie,所述检查匹配装置按照所述流表项中的匹配字段和优先级进行匹配。
8.根据权利要求7所述的openflow流表的告警装置,其特征在于,所述报文处理装置包括转发装置和转发告警装置,所述转发装置将报文直接按匹配到的指令进行执行;所述转发告警装置将报文按流表中的指令执行后,再向控制器发送告警消息。
9.根据权利要求8所述的openflow流表的告警装置,其特征在于,所述告警消息包括:包头域、优先级、告警类型和报文。
10.根据权利要求8所述的openflow流表的告警装置,其特征在于,所述告警行为判断装置识别匹配到的流表中是否包含向控制器发送告警消息的指令,若包含,则将该报文发送给所述转发告警装置;若不包含,则发送给所述转发装置。
【文档编号】H04L29/08GK103747026SQ201310520875
【公开日】2014年4月23日 申请日期:2013年10月29日 优先权日:2013年10月29日
【发明者】刘文畅 申请人:盛科网络(苏州)有限公司