CN105007239B - 网络装置及其网络资源调配方法 - Google Patents
网络装置及其网络资源调配方法 Download PDFInfo
- Publication number
- CN105007239B CN105007239B CN201510366232.3A CN201510366232A CN105007239B CN 105007239 B CN105007239 B CN 105007239B CN 201510366232 A CN201510366232 A CN 201510366232A CN 105007239 B CN105007239 B CN 105007239B
- Authority
- CN
- China
- Prior art keywords
- network
- information
- database
- setting
- activity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络装置,包括数据库建立模块、侦测模块、判断模块和管控模块。数据库建立模块建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;侦测模块侦测所述网络活动信息;判断模块判断所述网络活动信息是否匹配所述数据库;管控模块在所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略对网络资源进行调配。本发明还提供了一种网络资源调配方法。本发明可让网络资源的调配更加统筹。
Description
技术领域
本发明涉及通信领域,具体而言,涉及软件定义网络(Software DefinedNetwork,SDN)中网络装置及其网络资源调配方法。
背景技术
软件定义网络是一种新型网络架构,通过将网络底层设备控制面与转发面分离开来,从而实现了网络资源的灵活控制和底层设备的灵活部署和软件定义。
目前针对网络资源的调配和控制,其过程中主要职责均由传统网络设备承担,如网络服务质量(quality of service,Qos),访问权限控制,网络策略的选择,网络地址等资源分配。然而针对传统网络设备而言,功能有限且固定,同时由于不同厂家的实现不同,网络中多台网络设备在网络资源的控制中难以统筹。
发明内容
有鉴于此,本发明的目的是提供一种网络装置及其调配网络资源的方法,可以使控制装置通过与应用层信息的交互,使得网络资源的调配更加统筹、细致、精准。
本发明实施方式中提供的网络装置,该网络装置包括数据库建立模块、侦测模块、判断模块、管控模块。数据库建立模块用于建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;侦测模块用于侦测所述网络活动信息;判断模块用于判断所述网络活动信息是否匹配所述数据库;管控模块用于在所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略对网络资源进行调配。
优选地,所述网络活动信息包括用户属性及相关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个。
优选地,所述网络调配策略包括访问权限的设置、优先级设置、服务质量设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置中至少一个。
优选地,所述网络装置应用于软件定义网络或含有软件定义网络的混合网络。
本发明又一实施方式中提供的网络资源调配方法,建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;侦测所述网络活动信息;判断所述网络活动信息是否匹配所述数据库;当所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略对所述网络资源进行调配。
优选地,所述网络活动信息包括用户属性及相关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个。
优选地,所述网络调配策略包括访问权限的设置、服务质量设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置中至少一个。
优选地,所述网络资源调配方法应用于软件定义网络或含有软件定义网络的混合网络。
上述网络装置通过获取网络应用层的用户信息,对网络资源进行统一的调度,实现了网络控制的归一化管理。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
附图说明
图1是本发明网络装置一实施方式的应用环境图。
图2是本发明网络装置一实施方式的功能模块图。
图3是本发明网络装置又一实施方式的功能模块图。
图4是本发明网络资源调配方法一实施方式的流程图。
主要元件符号说明
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了方便理解本发明实施例,首先在此介绍本发明实施例描述中会引入的几个要素。
软件定义网络(Software Defined Network,SDN)是一种新型网络创新架构,通过将网络设备控制面与数据面分离开来,从而实现网络流量的灵活控制。
SDN控制器,SDN的控制器设备,存储着SDN的网络拓扑信息。SDN控制器能够发现网络交换机组成的网络拓扑结构,包括在hypervisor上的软件交换机,和数据中心机柜里的硬件交换机。SDN控制器把网络编程模式从分布模式(相互通信的网络设备决定转发路径)转变成了集中模式。SDN控制器可利用开放流(OpenFlow)对网络交换机的转发表进行编程。
图1是本发明网络装置10一实施方式的应用环境示意图,其应用环境为SDN网络环境。在SDN架构下,网络控制面集中在网络装置10上面,同时可以通过FW/IPS/IDS、LB、DPI、DHCP、AD域获取应用层面的网络活动信息,网络转发面在网络转发层的网络转发设备20上实现,网络转发设备20只负责报文的转发,不负责转发路径的计算和维护。每一条网络流在网络上的具体转发路径由网络装置10控制,并通过控制数据面接口协议(例如,Openflow协议等)下发到网络转发设备20执行,每一条网络流的通信路径都可以由网络装置10灵活控制。在本实施方式中,网络装置10由SDN控制器(SDN Controller)实现。
图2所示为本发明网络装置10一实施方式的功能模块图。网络装置10包括数据库建立模块100、侦测模块102、判断模块104、管控模块106。
数据库建立模块100用于建立关于网络活动信息的数据库。在本实施方式中,所述网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息,针对网络活动信息中的部分信息或者全部信息的组合,数据库均存储着对应的网络调配策略,其中,所述网络调配策略为网络管理员根据需要进行设置或从其他的数据库中自动、手工导入。具体而言,该网络调配策略包括但不限于:针对用户身份、业务类型或者安全信息的访问权限设置、虚拟局域网的划分、QoS设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置。在本实施方式中,网络装置10为SDN控制器,其通过数据库建立模块100建立关于网络活动信息的数据库对全网络中的网络资源进行统筹,进而方便了网络资源的调配和控制。
侦测模块102用于侦测网络应用层的网络活动信息。在本实施方式中,网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息。举例而言,针对用户属性及相关权限信息、用户计费及套餐信息,侦测模块102可以通过网络转发设备20转发的用户身份识别信息来获取,另外,侦测模块102也可以从其他的数据库中获取信息,比如AD域服务器;针对业务类型信息,侦测模块102可以通过侦测网络流量中的相关信息来获取,比如用DPI(Deep Packet Inspection,深度报文解析)来侦测流量的类型(视频、上网、音频等等);而针对安全信息,侦测模块102也可以通过DPI、FW/IPS/IDS来获取。另外,针对上述网络活动信息的获取方式也可以通过其他可能的方式进行获取,故上述所列举方式并不对本发明构成限制。
判断模块104用于判断所获取的网络活动信息是否匹配所述数据库。在本实施方式中,网络活动信息可能包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息的一个或者几个,针对网络活动信息的不同,数据库中会对应不同的网络调配策略。
管控模块106用于根据判断模块104判断的结果对网络资源进行管控。在本实施方式中,若判断模块104判断网络活动信息与数据库中数据不匹配,则不针对该网络活动进行网络资源的调配,若判断模块判断网络活动信息与数据库中数据匹配,则针对该网络活动进行网络资源的调配。
在本实施方式中,数据库包括用户属性及相关权限信息的调配策略,当侦测模块102侦测到该用户接入网络时,管控模块106可以根据该用户的属性和相关权限对其网络资源分配、服务质量、安全策略和访问控制予以设置;同样数据库也包括用户计费及套餐信息调配策略,当侦测模块102侦测到该用户接入网络或其计费、套餐相关事件发生时,管控模块106可以根据预设的策略对该用户的网络资源分配、服务质量、安全策略和访问控制予以设置。举例而言,针对研发用户属性及相关权限信息,管控模块106为此用户分配研发用户可访问的网络地址段、VLAN,其不能连接互联网,可以使用ftp(File Transfer Protocol,文件传输协议)服务。
在本实施方式中,数据库包括业务类型信息相关的网络服务质量调配策略,当侦测模块102侦测到业务类型相关的网络服务质量相关事件发生时,管控模块106可以根据预设的策略对网络资源分配、服务质量、带宽予以差别化设置以保证重要的服务可以得到优先的转发和处理。举例而言,比如感知到用户发起的业务类型为语音呼叫,则自动将其DSCP(Differentiated Services Code Point,差分服务代码点)值改为最高优先级并转发符合该DSCP的流表至网络转发设备20,进而保证报文在经过后续设备是可以获得最高的QoS。
在本实施方式中,数据库包括网络安全信息对应的网络调配策略,当所述侦测模块侦测到所述网络上有网络安全事件发生时,所述管控模块可以将预先设置的重要资源予以保护和限制访问。
在本实施方式中,SDN控制器也可以通过网络转发设备20获取网络用户的实施行为,并根据其实施行为对其访问权限进行控制。比如当DPI(Deep Packet Inspection,深度包检测技术)/IPS(Intrusion Prevention System,入侵防御系统)/IDS(IntrusionDetection Systems,入侵检测系统)模块检测到该用户有攻击行为时,自动将其访问权限改为最小,而且关闭其访问相关网络资源的权限。
图3所示为本发明网络装置10又一实施方式的功能模块图。网络装置10包括数据库建立模块100、侦测模块102、判断模块104、管控模块106、处理器108和存储器110,在本实施方式中,模块100~106为可执行程序且分别存在于控制设备10的存储器110中,并由处理器108执行相关程序以实现上述模块的功能。
图4是本发明网络装置10调配网络资源方法一实施方式的流程图。其中本方法通过图2或图3所示的功能模块实现所述方法。
在步骤S400,数据库建立模块100用于建立关于网络活动信息的数据库。在本实施方式中,所述网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息,针对网络活动信息中的部分信息或者全部信息的组合,数据库均存储着对应的网络调配策略,其中,所述网络调配策略为网络管理员根据需要进行设置或从其他的数据库中自动、手工导入。具体而言,该网络调配策略包括但不限于:针对用户身份、业务类型或者安全信息的访问权限设置、虚拟局域网的划分、QoS设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置。在本实施方式中,网络装置10为SDN控制器,其通过数据库建立模块100建立关于网络活动信息的数据库对全网络中的网络资源进行统筹,进而方便了网络资源的调配和控制。
在步骤S402,侦测模块102用于侦测网络应用层的网络活动信息。在本实施方式中,网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息。举例而言,针对用户属性及相关权限信息,侦测模块102可以通过网络转发设备20转发的用户身份识别信息来获取,另外,侦测模块102也可以从其他的数据库中获取信息,比如AD域服务器;针对业务类型信息,侦测模块102可以通过侦测网络流量中的相关信息来获取,比如用DPI(Deep Packet Inspection,深度报文解析)来侦测流量的类型(视频、上网、音频等等);而针对安全信息,侦测模块102也可以通过DPI、FW/IPS/IDS来获取。另外,针对上述网络活动信息的获取方式也可以通过其他可能的方式进行获取,故上述所列举方式并不对本发明构成限制。
在步骤S404,判断模块104用于判断所获取的网络活动信息是否匹配所述数据库。在本实施方式中,网络活动信息可能包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型信息或者安全信息的一个或者几个,针对网络活动信息的不同,数据库中会对应不同的网络调配策略。
在步骤S406,管控模块106根据判断模块104判断的结果对网络资源进行管控。在本实施方式中,若判断模块104判断网络活动信息与数据库中数据不匹配,则不针对该网络活动进行网络资源的调配,若判断模块判断网络活动信息与数据库中数据匹配,则针对该网络活动进行网络资源的调配。
在本实施方式中,数据库包括用户属性及相关权限信息的调配策略,当侦测模块102侦测到该用户接入网络时,管控模块106可以根据该用户的属性和相关权限对其网络资源分配、服务质量、安全策略和访问控制予以设置;同样数据库也包括用户计费及套餐信息调配策略,当侦测模块102侦测到该用户接入网络或其计费、套餐相关事件发生时,管控模块106可以根据预设的策略对该用户的网络资源分配、服务质量、安全策略和访问控制予以设置。举例而言,针对研发用户属性及相关权限信息,管控模块106为此用户分配研发用户可访问的网络地址段、VLAN,其不能连接互联网,可以使用ftp(File Transfer Protocol,文件传输协议)服务。
在本实施方式中,数据库包括业务类型信息相关的网络服务质量调配策略,当侦测模块102侦测到业务类型相关的网络服务质量相关事件发生时,管控模块106可以根据预设的策略对网络资源分配、服务质量、带宽予以差别化设置以保证重要的服务可以得到优先的转发和处理。举例而言,比如感知到用户发起的业务类型为语音呼叫,则自动将其DSCP(Differentiated Services Code Point,差分服务代码点)值改为最高优先级并转发符合该DSCP的流表至网络转发设备20,进而保证报文在经过后续设备是可以获得最高的QoS。
在本实施方式中,数据库包括网络安全信息对应的网络调配策略,当所述侦测模块侦测到所述网络上有网络安全事件发生时,所述管控模块可以将预先设置的重要资源予以保护和限制访问。
在本实施方式中,SDN控制器也可以获取网络用户的实施行为,并根据其实施行为对其访问权限进行控制。比如当DPI(Deep Packet Inspection,深度包检测技术)/IPS(Intrusion Prevention System,入侵防御系统)/IDS(Intrusion Detection Systems,入侵检测系统)模块检测到该用户有攻击行为时,自动将其访问权限改为最小,而且关闭其访问相关网络资源的权限。
综上所述,网络装置10通过获取到的应用层信息对网络资源进行调配,实现了权限设置、QoS设置的统一,减少了网络转发设备20的负担,实现了网络归一化管理和网络全局统筹的管控。
需要说明的是,上文所述实施方式,并不构成对发明保护范围的限定。任何在本发明的精神和原则内所作的修改,等同替换和改进等,均应包含在本发明的保护范围内。
Claims (2)
1.一种网络资源调配方法,其特征在于:建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;所述网络活动信息包括用户属性及相关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个;所述网络调配策略包括访问权限的设置、服务质量的设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置中至少一个;侦测网络活动信息;判断侦测的网络活动信息是否匹配所述数据库;及当侦测的网络活动信息匹配所述数据库时,根据其对应的网络调配策略对所述网络资源进行调配;所述方法应用于软件定义网络或者含有软件定义网络的混合网络。
2.一种网络装置,其特征在于:
数据库建立模块,用于建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;所述网络活动信息包括用户属性及相关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个;所述网络调配策略包括访问权限的设置、服务质量的设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置中至少一个;
侦测模块,用于侦测网络活动信息;
判断模块,用于判断侦测的网络活动信息是否匹配所述数据库;及
管控模块,用于在侦测的网络活动信息匹配所述数据库时,根据其对应的网络调配策略对网络资源进行调配;所述网络装置应用于软件定义网络或含有软件定义网络的混合网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510366232.3A CN105007239B (zh) | 2015-06-26 | 2015-06-26 | 网络装置及其网络资源调配方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510366232.3A CN105007239B (zh) | 2015-06-26 | 2015-06-26 | 网络装置及其网络资源调配方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105007239A CN105007239A (zh) | 2015-10-28 |
| CN105007239B true CN105007239B (zh) | 2019-03-05 |
Family
ID=54379764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510366232.3A Active CN105007239B (zh) | 2015-06-26 | 2015-06-26 | 网络装置及其网络资源调配方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105007239B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859418A (zh) * | 2006-03-06 | 2006-11-08 | 华为技术有限公司 | 通讯网络中网络资源的分配方法及系统 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601482A (zh) * | 2013-10-30 | 2015-05-06 | 中兴通讯股份有限公司 | 流量清洗方法和装置 |
-
2015
- 2015-06-26 CN CN201510366232.3A patent/CN105007239B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859418A (zh) * | 2006-03-06 | 2006-11-08 | 华为技术有限公司 | 通讯网络中网络资源的分配方法及系统 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105007239A (zh) | 2015-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110214311B (zh) | 虚拟计算元件的微分段 | |
| Tsuchiya et al. | Software defined networking firewall for industry 4.0 manufacturing systems | |
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN107637018A (zh) | 用于安全监视虚拟网络功能的安全个性化的技术 | |
| CN103930882B (zh) | 具有中间盒的网络架构 | |
| EP2847969B1 (en) | Method and apparatus for supporting access control lists in a multi-tenant environment | |
| CN104125091A (zh) | 网络配置自动部署方法及装置 | |
| CN101512510B (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN109565500A (zh) | 按需安全性架构 | |
| CN106161399B (zh) | 一种安全服务交付方法及系统 | |
| CN109040037A (zh) | 一种基于策略和规则的安全审计系统 | |
| RU2019105709A (ru) | Архитектура организации промышленных программно-определяемых сетей для развертывания в программно-определяемой автоматизированной системе | |
| US11018933B2 (en) | Context aware based adjustment in visual rendering of network sites | |
| EP3269087B1 (en) | Adding metadata associated with a composite network policy | |
| GB2606628A (en) | Centralized knowledge repository and data mining system | |
| US20180309788A1 (en) | Enterprise security management tool | |
| WO2014135548A2 (en) | Security zones in industrial control systems | |
| CN106487556A (zh) | 业务功能sf的部署方法及装置 | |
| CN107734065A (zh) | 一种基于容器的物联网IaaS服务实现方法 | |
| CN109219949A (zh) | 用于在网络功能虚拟化基础结构中配置安全域的方法和布置 | |
| US20210075707A1 (en) | Technologies for dynamically generating network topology-based and location-based insights | |
| CN110301125A (zh) | 虚拟机的逻辑端口认证 | |
| CN105704093B (zh) | 一种防火墙访问控制策略查错方法、装置及系统 | |
| US10979455B2 (en) | Solution definition for enterprise security management | |
| Shin et al. | SmartX Multi-Sec: a visibility-centric multi-tiered security framework for multi-site cloud-native edge clusters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |