组播消息更新的制作方法

组播消息更新的制作方法
【专利说明】
【背景技术】
[0001]网络体系结构开始向软件定义网络(SDN)转变，在软件定义网络中，除了其它事项外，控制器(例如，基于OpenFlow规范的控制器)与网络基础设施设备(例如，交换机和接入点)交互，以“控制”与其关联的通信参数和/或规定正处理实际数据业务的网络基础设施设备的行为。该控制可以针对至网络基础设施设备的通信以及来自网络基础设施设备的通信的所有方面，在一些情况下，多个控制器可以用于与网络基础设施设备交互以及控制各种功能(例如，安全、鉴权、初始化等等)。
【附图说明】
[0002]在下面的详细描述中并且参考附图描述示例，其中:
[0003]图1描绘根据实现方式的示例系统；
[0004]图2描绘根据实现方式的示例过程流程图；
[0005]图3描绘根据实现方式的另一示例系统；
[0006]图4描绘根据实现方式的另一示例过程流程图；
[0007]图5描绘根据实现方式的又一示例过程流程图；以及
[0008]图6描绘根据实现方式的示例控制器。
【具体实施方式】
[0009]本公开的各方面针对以有效而实际的方式向网络基础设施设备提供更新。更具体地，本公开的各方面针对通过利用组播消息收发技术，从至少一个控制器向多个网络基础设施设备提供全局更新和/或特定组更新。
[0010]如上所述，SDN是联网技术领域中新兴的体系结构，这些体系结构利用控制器来“控制”与该控制器域中的网络基础设施设备关联的参数。例如，该控制器可以向诸如交换机和接入点之类的网络基础设施设备提供与被允许的和/或被禁止的活动有关的定期更新。该控制通常是对每个设备进行的，其中该控制器以点对点的方式与每个网络基础设施设备分别通信。也即，如果该控制器期望发送全局更新(例如，响应于检测到的安全威胁的安全更新)，该控制器分别向每个网络基础设施设备发送该更新。尽管此方法可以满足较小网络，但是该方法可能对较大网络无效。例如，在控制器域中具有1500个交换机的网络中，该控制器将不得不发送1500个单独的更新以实施该全局更新。至少由于该方法利用大量控制器处理带宽以及导致像拥塞和延迟这样的网络问题，所以此方法无效。
[0011]本公开的各方面通过利用组播技术来向控制器域中的网络基础设施设备有效地传递更新或其它消息，至少解决上述问题。更准确地，各方面为该控制器创建一个或多个组播组，以向网络基础设施设备发送全局更新、特定组更新和/或特定功能更新，使得可以例如以更及时和需较少过程的方式分配新安全过滤器信息。在一个实现方式中，该控制器可以建立与其域中的多个网络基础设施设备的安全关系，且该控制器可以向该多个网络基础设施设备提供组播组地址。此后，当该控制器检测到事件(例如，安全威胁)且期望提供全局或特定组更新(例如，新安全过滤器)时，该控制器可以向该组播组中的多个网络基础设施设备发送单个组播消息，使得与传统点对点方法相比，网络拥塞和延迟被最小化。下面参照各示例和图更详细地描述与本公开关联的此新颖和之前未预见到的方法及其它概念。
[0012]在根据本公开的一个示例中，提供一种用于向多个网络基础设施设备提供安全更新的方法。该方法包括:(i)由控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道；(ii)由该控制器通过多个安全信道向多个网络基础设施设备中每个网络基础设施设备提供组播组地址；以及(iii)由该控制器通过多个安全信道以及通过组播消息，向该多个网络基础设施设备提供安全更新，该组播消息具有被设置为目的地地址的该组播组地址。
[0013]在另一示例中，提供一种非暂时性机器可读介质。该非暂时性机器可读介质包括指令，该指令在被执行时引起控制器(i)建立与多个网络基础设施设备中每个网络基础设施设备的安全信道，其中多个安全信道至少将来自该控制器的组播消息提供给多个网络基础设施设备中每个网络基础设施设备，且其中多个网络基础设施设备与组播组关联；(ii)检测网络事件，且响应于该网络事件，生成组播消息，该组播消息具有被设置为与该组播组关联的组播组地址的目的地地址；以及(iii)通过多个安全信道，向该多个网络基础设施设备提供该组播消息。
[0014]在又一示例中，提供一种控制器。该控制器包括管理模块，该管理模块用于(i)建立与网络基础设施设备的安全信道；(ii)通过该安全信道向该网络基础设施设备提供组播组地址；(iii)检测网络安全事件；以及(iv)通过组播消息生成要向网络基础设施设备提供的安全更新，该组播消息具有被设置为该组播组地址的目的地地址。
[0015]图1描绘根据实现方式的示例系统100的框图。应容易理解，图1中描绘的系统100表示概括图示，且可以增加其它组件或可以移除、修改或重新设置已有组件而不脱离本公开的范围。
[0016]系统100包括控制器110及多个网络基础设施设备120 (例如，交换机和/或接入点)。根据该实现方式，控制器110可以是主控制器、安全控制器或另一种特定功能控制器。此外，根据该实现方式，控制器110和/或其中的管理模块130可以呈硬件形式、机器可读指令形式或硬件和机器可读指令结合的形式。
[0017]控制器110可以被配置为在SDN中操作和/或根据OpenFlow规范操作。控制器110可以包括管理模块130，管理模块130除了其它事项之外可以负责⑴建立与每个网络基础设施设备120的安全信道140，(ii)通过所建立的安全信道140向每个网络基础设施设备120提供组播组地址，(iii)检测网络事件(例如，安全威胁、网络负载问题、网络拥塞等等)，(iv)生成呈组播消息160形式的更新150，组播消息160具有被设置为该组播组地址的目的地地址，和/或(V)通过所建立的安全信道140向每个网络基础设施设备120提供组播消息160。该更新可以包括与允许的/禁止的活动有关的信息、安全过滤器更新、与如何处理特定流(例如，处理、转发、不允许、丢弃和/或重定向)相关的信息等等。
[0018]图2描绘根据实现方式的与图1中描绘的系统相关的示例过程流程图200。应容易理解，图2中描绘的过程表示概括图示，且可以增加其它过程或可以移除、修改、或重新设置已有过程而不脱离本公开的范围和精神。此外，应理解，这些过程可以表示存储在机器可读存储介质上的指令，该指令在被执行时可以引起控制器做出响应、实施动作、改变状态和/或做决策。可选地或此外，这些过程可以表示诸如模拟电路、数字信号处理设备电路、专用集成电路(ASIC)或与控制器关联的其它设备之类的功能等效电路执行的功能和/或动作。此外，如关于图1提到的，这些指令和/或功能等效电路可以与该控制器的管理模块关联。再有，图2的目的不在于限制本公开的实现方式，相反地该图图示功能信息，本领域技术人员能够使用该功能信息来设计/制造电路、生成机器可读指令或使用硬件和机器可读指令的结合执行所图示的过程。
[0019]过程200可以在框210处开始，此时控制器建立与多个网络基础设施设备中每个网络基础设施设备的安全信道。该安全信道可以抵抗偷听和/或篡改，且可以利用加密/解密技术。在一些实现方式中，该安全信道的建立可以响应于该控制器接收到用于建立与至少一个网络基础设施设备的安全信道的指令(例如，来自另一控制器或模块)而发生。此夕卜，在一些实现方式中，此安全信道可能是为了传递组播消息，且可能是除了该控制器和基础设施设备之间建立的其它安全/不安全信道之外的。
[0020]在该控制器建立与至少一个网络基础设施设备的安全信道之后，在框220处该控制器通过该多个安全信道向该多个网络基础设施设备中每个网络基础设施设备提供组播组地址。该组播组地址可以是计算机网络中可用于处理旨在针对指定网络服务组播的数据报或帧的一群主机所用的逻辑标识符。此外，该组播地址可以允许该控制器在一次传输中向一组受关注的网络基础设施设备发送IP数据报或帧。该组播组地址可以是例如互联网协议版本4 (IPv4)组播地址(例如，10.110.135.51)和/或互联网协议版本6 (IPv6)组播地址(例如，2002:12d5:b8d7:: 10d4:b8d7)。除该组播组地址之外，该控制器可以向网络基础设施设备提供解密与该组播组地址相关的消息所需要的任何密钥。
[0021]在一些实现方式中，该控制器可以将多个组播组用于不同功能。例如，该控制器可以利用第一组播组来向网络基础设施设备有效地传递安全更新或安全过滤器，且可以利用第二组播组来向网络基础设施设备有效地传递配置信息或服务质量(QoS)信息。此外，在一些实现方式中，可选地或此外，该控制器可以利用多个组播组来向特定一组网络基础设施设备或网络基础设施设备的特定子集传递消息。例如，该控制器可以利用第一组播组来向边缘交换机传递消息，利用第二组播组来向室内接入点传递消息，