支持大规模云网融合的未来网络试验设施架构系统

1.本发明涉及计算机网络技术领域，尤其涉及一种支持大规模云网融合的未来网络试验设施架构系统。


背景技术：

2.互联网是推动经济社会发展的重要基础设施，正面临着可扩展性、移动性、安全性等前所未有的挑战，迫切需要全新的网络基础理论、技术方法与业务模式。试验验证是探索网络科学、创新网络技术、实现网络业务变革的重要基础手段。
3.传统的网络试验开展都是基于现有tcp/ip（transmission control protocol/internet protocol，传输控制协议/网际协议）的架构体系，规模仅限实验室内少量服务器搭建的环境，也没有专用的平台和丰富的工具集支撑，很难满足科研人员对网络试验基础设施的网络架构自主可定制、网络协议灵活可调整、网络资源弹性可伸缩、能力全面可开放等需求。


技术实现要素：

4.本发明的目的是提供一种支持大规模云网融合的未来网络试验设施架构系统，可以为不同的试验用户提供资源相互隔离、资源可灵活调度、功能可重定义的，与特定未来网络实现技术方案无关的大规模、虚拟化、可编程、可扩展、开放、可测可控的试验验证环境。
5.本发明的目的是通过以下技术方案实现的：一种支持大规模云网融合的未来网络试验设施架构系统，包括：基础资源层、资源虚拟化层、融合业务编排层、用户服务层、运维管理系统与安全管控系统；其中：所述基础资源层包含云网一体的基础设施资源；所述资源虚拟化层，使用网络资源虚拟化技术与it资源虚拟化技术将所述云网一体的基础设施资源的网络资源与it资源进行虚拟化，并对虚拟化得到的虚拟网络资源与虚拟it资源，以及资源虚拟化层中的镜像资源进行统一管理与调度，其中，所述it资源包括：计算资源与存储资源；所述融合业务编排层，对试验用户的试验请求进行解析，结合解析结果向所述资源虚拟化层请求相关虚拟资源与镜像资源并提供给用户服务层；所述用户服务层为试验用户提供试验门户，供试验用户发送试验请求并执行试验；所述运维管理系统负责基础资源层、资源虚拟化层、及用户服务层的运维管理；所述安全管控系统负责系统的安全管控以及试验用户的可信准入。
6.由上述本发明提供的技术方案可以看出，以跨地域云数据中心和边缘网络资源为基础，以网络虚拟化、软件定义为技术路线，构建资源虚拟化层实现网络、计算、存储资源的虚拟化管理和调度；以网络虚拟化技术构建资源相互独立的虚拟网络环境；以软件定义技术实现虚拟网络环境中网络和it（计算和存储）资源的自定义和灵活扩展；以网络和it（计算和存储）资源融合编排的编排器实现网络和it资源的重组和编排；构建用户服务层的试验门户，实现用户灵活自主的开展未来网络试验；可见，本发明构建了一个为不同的试验用户提供资源相互隔离、资源可灵活调度、功能可重定义的，与特定未来网络实现技术方案无
关的大规模、虚拟化、可编程、可扩展、开放、可测可控的试验验证环境，解决了传统网络试验，主要是基于小规模、临时搭建的试验环境，面临可扩展性低、灵活性差、可复用率低、资源不充足等问题。
附图说明
7.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
8.图1为本发明实施例提供的一种支持大规模云网融合的未来网络试验设施架构系统的示意图；图2为本发明实施例提供的基础资源层与资源虚拟化层的示意图；图3为本发明实施例提供的试验用户创建一个试验的时序流程图；图4为本发明实施例提供的某校园网网络拓扑结构图；图5为本发明实施例提供的n7k-2节点网卡数据包接收速率图；图6为本发明实施例提供的nq节点网卡数据包接收速率图。
具体实施方式
9.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。
10.首先对本文中可能使用的术语进行如下说明：术语“和/或”是表示两者任一或两者同时均可实现，例如，x和/或y表示既包括“x”或“y”的情况也包括“x和y”的三种情况。
11.术语“包括”、“包含”、“含有”、“具有”或其它类似语义的描述，应被解释为非排它性的包括。例如：包括某技术特征要素（如原料、组分、成分、载体、剂型、材料、尺寸、零件、部件、机构、装置、步骤、工序、方法、反应条件、加工条件、参数、算法、信号、数据、产品或制品等），应被解释为不仅包括明确列出的某技术特征要素，还可以包括未明确列出的本领域公知的其它技术特征要素。
12.术语“由
……
组成”表示排除任何未明确列出的技术特征要素。若将该术语用于权利要求中，则该术语将使权利要求成为封闭式，使其不包含除明确列出的技术特征要素以外的技术特征要素，但与其相关的常规杂质除外。如果该术语只是出现在权利要求的某子句中，那么其仅限定在该子句中明确列出的要素，其他子句中所记载的要素并不被排除在整体权利要求之外。
13.除另有明确的规定或限定外，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如：可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本文中的具体含
义。
14.其次，考虑到传统网络试验主要是基于小规模、临时搭建的试验环境，面临可扩展性低、灵活性差、可复用率低、资源不充足等问题，而网络技术的快速持续创新迫切需要大规模、虚拟化、可编程、可扩展、开放、可测可控的未来网络试验设施，因此，本发明实施例提供一种支持大规模云网融合的未来网络试验设施架构系统，利用先进的网络资源虚拟化和it（计算和存储）资源虚拟化技术，实现跨地域的云网资源的虚拟化，形成统一的虚拟化it资源池和大二层网络；通过融合业务编排技术，实现虚拟化网络资源与虚拟化it资源的融合编排，提供一个统一的网络资源和it资源管理视图，为试验业务提供开放可编程接口；构建开放的试验门户，为试验用户提供自助式的试验全生命周期的运行维护和管理服务。
15.下面对本发明所提供的一种支持大规模云网融合的未来网络试验设施架构系统进行详细描述。本发明实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。本发明实施例中未注明具体条件者，按照本领域常规条件或制造商建议的条件进行。本发明实施例中所用仪器未注明生产厂商者，均为可以通过市售购买获得的常规产品。
16.如图1所示，本发明实施例提供的一种支持大规模云网融合的未来网络试验设施架构系统，主要包括：基础资源层、资源虚拟化层、融合业务编排层、用户服务层、运维管理系统与安全管控系统；其中：所述基础资源层包含云网一体的基础设施资源；所述资源虚拟化层，使用网络资源虚拟化技术与it资源虚拟化技术将所述云网一体的基础设施资源的网络资源与it资源进行虚拟化，并对虚拟化得到的虚拟网络资源与虚拟it资源，以及资源虚拟化层中的镜像资源进行统一管理与调度；所述it资源包括：计算资源与存储资源；所述融合业务编排层，对试验用户的试验请求进行解析，结合解析结果向所述资源虚拟化层请求相关虚拟资源与镜像资源并提供给用户服务层；所述用户服务层为试验用户提供试验门户，供试验用户发送试验请求并执行试验；所述运维管理系统负责基础资源层、资源虚拟化层、融合业务编排层及用户服务层的运维管理；所述安全管控系统负责系统的安全管控以及试验用户的可信准入。
17.为了更加清晰地展现出本发明所提供的技术方案及所产生的技术效果，下面以具体实施例对本发明实施例所提供上述系统进行详细描述。
18.一、基础资源层。
19.本发明实施例中，依托覆盖全国的基础设施，通过云网一体的基础设施资源建立基础资源层。
20.本发明实施例中，所述云网一体的基础设施资源包括：云数据中心与多个边缘网络，所有边缘网络均与所述云数据中心连接；所述云数据中心包含网络资源与it资源；每一边缘网络部署集计算、存储与传输功能（属于网络资源）为一体的智能网络交换机。
21.示例性的：可以建设分布于全国9个城市的13个边缘网络，各边缘网络通过10g光纤链路连接到云数据中心，通过在云数据中心和各边缘网络上部署虚拟化平台和云操作系统，打破云网各自的物理边界，形成统一的大二层网络和虚拟资源池，实现云数据中心和边缘网络的资源融合和资源协同，为试验用户提供统一的资源视图和资源服务。
22.二、资源虚拟化层。
23.本发明实施例中，所述资源虚拟化层设有软件定义网络控制器（sdn控制器）、it资源虚拟化管理平台与云平台。
24.（1）所述软件定义网络控制器，使用网络资源虚拟化技术将所述云网一体的基础设施资源的网络资源（包括拓扑、设备、端口、连接、转发等）虚拟化，形成云数据中心与边缘网络统一的大二层网络，并进行虚拟网络资源的管理，例如，允许用户自定义拓扑、自定义路由、自定义转发，全面开放网络的特性给用户。
25.（2）所述it资源虚拟化管理平台，使用it资源虚拟化技术将所述云网一体的基础设施资源的it资源进行虚拟化，并进行虚拟it资源的管理，例如，屏蔽底层硬件资源，抽象出资源描述定义及接口，动态调整资源满足试验用户定制资源的需求。
26.（3）所述云平台负责所有虚拟资源的统一管理和调度。所述云平台分别与所述软件定义网络控制器及it资源虚拟化管理平台连接，根据所述融合业务编排层的请求，并通过所述软件定义网络控制器和/或it资源虚拟化管理平台调度相关虚拟资源，实现试验资源的按需管理和调度；此处的和/或表明可以根据需要，仅调度虚拟网络资源、或者仅调度虚拟it资源，或者同时调度虚拟网络资源与虚拟it资源。同时，云平台还设有镜像资源，镜像资源主要有两类，一类是平台的管理员制作并在平台上公开，一类是用户制作然后在平台上公开，根据所述融合业务编排层的请求，调度相关镜像资源，为试验提供所需的工具集。
27.如图2所示，展示了基础资源层与资源虚拟化层的示意图，图2中所示的边缘网络数目仅为示意，并非构成限制。
28.三、融合业务编排层。
29.本发明实施例中，所述融合业务编排层通过解析试验请求，确定试验请求所需的镜像资源、虚拟资源类型与资源大小，再进行统一的编排管理，所述融合业务编排层通过统一管理视图和开放接口，以全局的视图来动态创建相应虚拟资源请求，并向所述资源虚拟化层请求相关虚拟资源。
30.具体的：融合业务编排层使用了融合业务编排技术，它是缩短复杂试验部署周期，加速网络业务创新的关键技术。对于it虚拟化资源和虚拟网络切片资源，不能沿用现有相互孤立的管理方式，而是要通过融合业务编排层部署的编排器实现虚拟网络资源、计算资源和存储资源的统一编排和管理；图1中的各虚机包含了计算资源和存储资源，镜像资源主要提供相关的操作系统（例如，windows系统），相当于试验的工具集；一般情况下，试验请求中会包含用户指定的镜像资源，用户可以直接选择平台上公开的镜像资源（例如，常用的操作系统镜像），也可以根据试验需要定制一个私有镜像资源。
31.融合业务编排层构建的编排器实现可定制的异构多资源池策略和编排及可定制的资源自动化发放，为用户服务层的试验门户屏蔽资源虚拟化层的云平台等各外部组件的接口差异，通过统一管理视图和开放接口，能够以全局的视图来动态按需创建it资源和网络资源（即为试验请求匹配的相关资源），实现试验业务和试验资源的连接逻辑。
32.四、用户服务层。
33.本发明实施例中，所述用户服务层的试验门户是对试验用户提供试验服务的窗口，试验用户通过试验门户自助式完成包含注册和登录、创建试验、执行试验以及结束试验的全周期的试验任务。
34.具体的：通过试验门户，试验用户能够更加便捷地开展试验并充分利用试验成果，试验用户首先通过试验门户进行登记注册，描述其试验对资源的需求，进而开始对相关资
源进行申请，在所需资源得到满足的情况下展开试验，并在试验结束后对试验结果和效果进行分析。
35.试验用户创建一个试验的时序流程如图3所示：试验门户接收到登录后的试验用户发送的创建试验请求后，解析出各项参数，生成包含资源需求的试验请求并发送至融合业务编排层中的编排器，编排器收到试验请求后，检查资源需求，并通过资源虚拟化层的云平台进行镜像检查（即匹配试验所需的镜像），如果异常则通过编排器向试验门户报告错误信；如果通过镜像检查，则向资源虚拟化层的云平台申请各项虚拟资源，由云平台将试验资源整合起来经融合业务编排层提供给用户进行试验。
36.五、运维管理系统。
37.本发明实施例中，运维管理服务系统主要是实现对试验基础设施网元级和网络级基本管理，以及为网络试验提供后台管理服务和测量。具体的：所述运维管理系统包括：服务管理部分、试验测量部分、网络管理部分与网元管理部分；其中：服务管理部分包括：用户管理和试验管理，例如，用户管理包括：用户的注册，修改密码，权限管理等，试验管理可以包括：试验的暂停、终止、删除等。
38.试验测量部分包括：采用主动测量技术，测量试验的性能参数（例如，转发时延、丢包率、吞吐量等），并通过分析判断试验是否正常。
39.网络管理部分是针对系统中的网络进行管理，包括：拓扑管理、连接管理、网络性能管理、网络配置管理、故障诊断、告警相关性、日志管理、报表管理、网元通信管理和数据库管理。所述网络是指所述资源虚拟化层（sdn控制器）对基础资源层中网络资源（云数据中心与边缘网络中的网络）进行虚拟化，由获得的虚拟网络资源形成的大二层网络。
40.网元管理部分是针对系统中的网元进行管理，包括：对物理网元及虚拟网元的配置管理、性能管理、告警管理以及安全管理；所述物理网元是指基础资源层中的物理设备，所述虚拟网元是指虚拟网络资源与虚拟it资源部分。
41.本发明实施例中所涉及的网络管理与网元管理的具体实现方式可参照常规技术，本发明不做赘述。
42.六、安全管控系统。
43.本发明实施例中，安全管控系统主要是保障试验设施自身安全以及试验用户的可信准入。具体的：在网元层面，通过开放设备的策略配置接口，以软件定义的方式对全网设备（即基础资源层中的物理设备）基于统一的安全策略模板集中下发安全策略，避免在运维过程中的人为错误，而导致出现网络的易攻击点。在网络层面，通过安全设备（如防火墙、流量清洗设备等）构建网络（大二层网络）的安全防护体系，以及对试验设施的实时运行情况进行监控，采集重要节点（即基础资源层中的物理设备）的数据结合大数据分析发现网络中的异常，当出现攻击流量进行清洗。试验用户的可信准入包括：通过对试验用户的实名认证和分级授权管理，实现授权的试验用户访问对应的授权资源和试验服务，降低恶意用户和流量的接入风险。
44.下面提供一个基于本发明上述系统进行网络试验的示例。
45.该示例为：用户开启多节点模拟真实网络拓扑和流量攻击的网络试验。基于本发明上述系统，试验用户可以快速方便的构建网络试验，灵活的开展网络技术的研究，如图4所示，为某校园网网络拓扑结构，在本发明上述系统上搭建10个节点的网络拓扑并重放校
园网流量，仿真攻击流量模拟攻击，步骤如下：步骤s1、试验门户自定义10节点某校园网络拓扑，创建并运行试验。
46.步骤s2、脚本爬取校园网络流量（已脱敏处理）并制作pcap（网络流量）数据集。
47.步骤s3、利用工具修改pcap数据集的目的ip（网际互连协议）地址、目的mac（媒体存取控制位址）和端口。
48.步骤s4、重放h3c节点到n7k-2节点的流量，n7k-2节点的网卡数据包接收速率如图5所示。
49.步骤s5、设置gx节点对nq节点以8mbps发送攻击流量，同时重放正常流量数据集；如图6所示，前期数据比较正常，攻击发生后速率达到8mbps。
50.需要说明的是，上述示例主要用于说明本发明上述系统可以灵活构建网络试验的环境，有利于开展网络技术研究，各步骤所涉及的试验内容均为举例说明；此外，试验还需要向系统进行注册与登录、申请试验所需资源等，考虑到此部分在之前已经做了详细的介绍，故上述示例未做赘述。
51.本发明实施例提供的上述方案主要具有如下优点：以跨地域云数据中心和边缘网络资源为基础，以网络虚拟化、软件定义为技术路线，构建资源虚拟化层实现网络、计算、存储资源的虚拟化管理和调度；以网络虚拟化技术构建资源相互独立的虚拟网络环境；以软件定义技术实现虚拟网络环境中网络和it（互联网技术）能力的自定义和灵活扩展；以网络和服务融合编排的编排器实现网络和it能力的重组和编排；构建用户服务层的试验门户，实现用户灵活自主的开展未来网络试验；可见，本发明构建了一个为不同的试验用户提供资源相互隔离、资源可灵活调度、功能可重定义的，与特定未来网络实现技术方案无关的大规模、虚拟化、可编程、可扩展、开放、可测可控的试验验证环境，解决了传统网络试验，主要是基于小规模、临时搭建的试验环境，面临可扩展性低、灵活性差、可复用率低、资源不充足等问题。
52.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
53.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。