CN105763606B - 一种服务链代理聚合的方法及系统 - Google Patents
一种服务链代理聚合的方法及系统 Download PDFInfo
- Publication number
- CN105763606B CN105763606B CN201610082074.3A CN201610082074A CN105763606B CN 105763606 B CN105763606 B CN 105763606B CN 201610082074 A CN201610082074 A CN 201610082074A CN 105763606 B CN105763606 B CN 105763606B
- Authority
- CN
- China
- Prior art keywords
- vtep
- equipment
- service
- load
- service chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
本发明提供一种服务链代理聚合的方法及系统,其中,所述方法包括:SDN控制器将预设数量的VTEP设备构建为VTEP服务链代理聚合组;所述SDN控制器获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的负载参数;所述SDN控制器对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链。本发明实施例提供的一种服务链代理聚合的方法及系统,能够对VTEP设备上的负载进行合理的分配。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种服务链代理聚合的方法及系统。
背景技术
随着网络通信技术的飞速发展,网络中的用户数量也在不断增长。为了满足广大用户的需求,云计算基础设施则变得越来越重要。云计算基础设备往往承载着大量的用户,这些用户之间需要在逻辑上进行隔离,以保证网络数据的安全性。
目前,一种新定义的网络隔离方案Virtual Extensible LAN(VXLAN)被提出。VXLAN可以基于IP网络,利用MAC-in-UDP封装可以使得网络中的流量能够穿过聚合链路层,并可以使LAN扩展到其他IP子网中。VXLAN标识字段为24位,可以满足大型云计算部署的建设需求。
现有技术中,往往可以通过网关-VTEP设备-安全设备这样的系统架构来实现云计算中服务链代理的过程。随着服务链数据量的不断增加,加载于VTEP设备上的负载也在日益增加,为了保证各VTEP设备负载的均衡,需要对VTEP设备接收的服务链报文进行动态调整,然后现有技术中无法实现动态调整的功能。
应该注意,上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
有鉴于此,本发明实施例的目的在于提供一种服务链代理聚合的方法及系统,以对VTEP设备上的负载进行合理的分配。
本发明实施例提供了一种服务链代理聚合的方法,包括:
SDN控制器将预设数量的VTEP设备构建为VTEP服务链代理聚合组;
所述SDN控制器获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数;
所述SDN控制器对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;
根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链。
本发明实施例还提供了一种服务链代理聚合的系统,所述系统包括网关,预设数量的VTEP设备以及与所述预设数量的VTEP设备相连的安全设备,所述系统还包括SDN控制器,所述SDN控制器包括:
聚合组构建单元,用于将所述预设数量的VTEP设备构建为VTEP服务链代理聚合组;
负载参数获取单元,用于获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数;
负载分担策略确定单元,用于对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;
控制单元,用于根据确定的所述负载分担策略,控制所述网关向所述VTEP服务链代理聚合组分发待处理的服务链。
本发明实施例提供的一种服务链代理聚合的方法及系统,利用SDN控制器对VTEP设备上的负载进行实时监测,并根据监测的负载合理地设置或者调节服务链与VTEP设备的对应关系,从而使得VTEP设备之间能够针对实际数据流量进行负载分担,保证了VTEP设备资源的合理利用。
附图说明
所包括的附图用来提供对本发明实施例的进一步的理解,其构成了说明书的一部分,用于例示本发明的实施方式,并与文字描述一起来阐释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例提供的一种服务链代理聚合的方法流程图;
图2为现有技术中服务链代理过程的示意图;
图3为本发明实施例提供的一种服务链代理聚合的系统功能模块图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都应当属于本发明保护的范围。
通过网关-VTEP设备-安全设备这样的系统架构可实现云计算中服务链代理的过程。数据报文在网络中传递时,需要经过各种各样的业务节点。当数据报文按照业务逻辑所要求的既定顺序,经过这些业务节点时,则可以形成服务链。服务链可以理解为一种业务形式。具体地,可以通过堆叠技术将多个VXLAN隧道终端(VxLAN Tunnel End Point,VTEP)设备进行堆叠,VTEP设备的上游可以通过链路聚合端口与网关进行互联,VTEP设备的下游则可以与安全设备相连,其中每个VTEP设备均对应着某个安全设备,例如VTEP设备1对应着DDOS(分布式拒绝服务,Distributed Denial of Service)安全设备,VTEP设备2对应着IPS(入侵防御系统,Intrusion Prevention System)安全设备,VTEP设备3则可以对应着防火墙安全设备。服务链代理的过程可以如图2所示:
网关接收到待处理的服务链后,会通过链路聚合端口AGG1或者AGG2将待处理的服务链发送到VTEP设备处,然后会根据服务链中的五元组(源IP地址,源端口,目的IP地址,目的端口,传输层协议)或者MAC地址横向地将待处理的服务链转发到相应的VTEP设备上。例如可以将DDOS服务链由VTEP设备3横向转发至VTEP设备1处,而将防火墙服务由VTEP设备2横向转发至VTEP设备3处,这样便可以根据五元组或者MAC地址对待处理的服务链进行分配。
在实施本发明的过程中,发明人发现现有技术至少存在如下问题:
由于不同的服务链对应的流量也往往不同,那么仅根据五元组或者MAC地址对待处理的服务链进行分配往往会造成各VTEP设备上的负载不同。例如DDOS服务链对应的流量可能会大于防火墙服务链对应的流量,那么相应地,VTEP设备1上的负载就会大于VTEP设备3上的负载,这样带来的后果是:VTEP设备1可能始终处于满载或者过载的工作状态,而VTEP设备3却会偶尔处于闲置状态,这就导致VTEP设备的资源分配不均,造成资源浪费的情况。另外,在VTEP设备之间会存在数据的横向转发,这无疑会额外增加VTEP设备的负担。
本发明实施例可以采用SDN(Software Defined Network,软件定义网络)技术,在网络中添加SDN控制器对,对网关和VTEP设备进行控制。所述SDN技术是Emulex网络中一种新型网络创新架构,将控制与转发分离,从而将更多的控制权交给网络使用者。SDN网络可以包括通用的基础硬件层、硬件抽象层、网络操作系统以及上层应用。其中基础硬件层与硬件抽象层可以组成物理网络设备,也就是SDN架构中的数据转发层面,仅负责数据的转发及策略的执行;网络操作系统与上层应用则可以组成控制层面,实现网络拓扑的收集、路由的计算、流表的生成及下发、网络的管理与控制等功能。数据转发层面与控制层面之间以一种标准化的交互协议来解耦合,此协议当前可以为OpenFlow 1.3。
在本发明实施例中,添加的SDN控制器可以制定服务链和VTEP设备之间的对应关系,并且可以生成与服务链对应的访问控制列表(Access Control List,ACL)。该ACL可以由SDN控制器发送至网络中的网关,这样,网关便可以依据所述ACL,对接收到的服务链报文进行相应地分发。
图1为本发明实施例提供的一种服务链代理聚合的方法流程图。虽然下文描述流程包括以特定顺序出现的多个操作,但是应该清楚了解,这些过程可以包括更多或更少的操作,这些操作可以顺序执行或并行执行(例如使用并行处理器或多线程环境)。如图1所示,所述方法可以包括:
步骤S1:SDN控制器将预设数量的VTEP设备构建为VTEP服务链代理聚合组。
在现有技术中,多个VTEP设备可以通过堆叠技术进行横向堆叠,各VTEP设备均可以检测到横向堆叠中的其他VTEP设备,从而方便后续对数据进行横向地转发。所述堆叠可以采用横向堆叠,或采用横向和纵向相结合的堆叠方式。
在本发明实施例中,预设数量的VTEP设备可以通过SDN控制器构建为VTEP服务链代理聚合组。所述VTEP服务链代理聚合组往往位于网关与安全设备之间,其可以作为服务链报文的中转站,从网关处接收各种服务链报文,然后再根据预先设定的与安全设备的对应关系,将接收到的服务链报文发送至相对应的安全设备。由于VTEP设备本身并不产生服务链报文,其分发的报文均是从网关处获取的,因此VTEP设备将获取的报文转发至安全设备的过程可以视为代理报文的过程。所述VTEP服务链代理聚合组中的VTEP设备可以由SDN控制器统一管理,这些VTEP设备在物理层面上尽管相互独立,但是在逻辑层面上却是协同运作,从而可以在有限的空间内提供更多的接口。这些VTEP设备是通过横向堆叠的方式位于同一堆叠中。在该聚合组中,各VTEP设备并不用感知其它VTEP设备的存在,VTEP设备之间的这种聚合关系仅在SDN控制层面可见,这样便可以由SDN控制器统一地对聚合组中的各VTEP设备进行维护。SDN控制器可以为聚合组中的各VTEP设备分配管理IP和VTEP IP,所述管理IP可以为各VTEP设备在堆叠中的堆叠识别符,例如在堆叠中共有3个VTEP设备,那么可以分别为这3个VTEP设备分配互不相同的堆叠识别符,例如VTEP设备1的堆叠识别符可以为1,VTEP设备2的堆叠识别符可以为2。需要说明的是,在同一个堆叠中,各VTEP设备的管理IP往往互不相同,但是在不同的堆叠中,不同VTEP设备的管理IP却会存在相同的情况。例如,在第一堆叠中,第一VTEP设备对应的管理IP为1.1.1.1,而在第二堆叠中的第二VTEP设备对应的管理IP也可能为1.1.1.1,在具体进行区分第一VTEP设备与第二VTEP设备时,往往可以在管理IP的基础上增加与堆叠相匹配的域标识符,例如第一堆叠的域标识符为11,而第二堆叠的域标识符为22,每个不同的堆叠,其对应的域标识符均不同。那么通过域标识符与堆叠识别符的组合,便可以唯一确定VTEP设备。而VTEP IP则是VTEP设备在网络中唯一的通信地址,不同的VTEP设备对应的VTEP IP均不相同,这样网关便可以根据每个VTEP设备对应的VTEP IP,来进行报文的分发。
各图2为本发明实施例提供的一种服务链代理聚合的网络构架示意图。如图2所示,网关与VTEP服务链代理聚合组之间可以通过VXLAN方式进行通信,每个网关与每个VTEP设备之间均建立一一对应的VXLAN隧道;VTEP服务链代理聚合组中每个VTEP设备均与下游的所有安全设备相连,所述安全设备例如可以为DDOS设备,IPS设备以及防火墙Firewall设备。这样便可以避免VTEP设备之间横向数据的转发,从而可以减轻VTEP设备的负担。
步骤S2:所述SDN控制器获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数。
在将预设数量的VTEP设备构建为VTEP服务链代理聚合组后,所述SDN控制器便可以实时获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的负载参数,以了解当前网络中各VTEP设备的负载情况。具体地,所述SDN控制器可以通过访问VTEP设备的API(Application Programming Interface,应用程序编程接口),从而获取VTEP设备对应的用于表征VTEP设备当前负载情况的负载参数。
在本发明实施例中,所述负载参数可以为表征VTEP设备负载状态的参数,例如可以为VTEP设备的CPU利用率、内存利用率、访问控制列表利用率、隧道流量或者端口流量中的至少一种。
具体地,所述SDN控制器可以通过Netconf协议访问VTEP设备开放的API(Application Programming Interface,应用程序编程接口),从而可以获取VTEP设备的负载参数。
步骤S3:所述SDN控制器对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略。
所述SDN控制器在获取到VTEP服务链代理聚合组中各VTEP设备的负载参数后,可以选择预先指定的负载参数进行对比,并筛选出负载参数最小的VTEP设备。
具体地,在SDN控制器获取到各VTEP设备对应的负载参数后,可以建立负载参数与VTEP设备之间的关联关系。例如,所述SDN控制器可以获取VTEP设备的标识,所述VTEP设备的标识例如可以是上述的VTEP设备的管理IP或者VTEP IP。在获取到VTEP设备的标识后,便可以将该VTEP设备的负载参数与标识建立关联关系。这样,在SDN控制器筛选出最小的负载参数后,便可以查询到与该最小的负载参数相对应的VTEP设备的标识,从而可以确定负载参数最小的VTEP设备。在确定出负载参数最小的VTEP设备后,则说明该VTEP设备上的流量最小或者资源利用率最小,此时所述SDN控制器便可以将所述负载参数最小的VTEP设备确定为负载分担设备。所述的将负载参数最小的VTEP设备确定为负载分担设备便可以为步骤S3中所述的负载分担策略。
S4:根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链。
在确定出负载分担策略后,所述SDN控制器便可以根据确定的所述负载分担策略,控制网关向所述VTEP服务链代理聚合组分发待处理的服务链。
在本发明实施例中,所述服务链可以分为两种。一种是直接在SDN控制器上定义的第一服务链,对于所述第一服务链,所述SDN服务控制器可以将步骤S3中确定的负载分担设备确定为该第一服务链对应的VTEP设备。这样做的目的在于,由于此时VTEP服务链代理聚合组中各VTEP设备上均分配了相应的服务链,由于各服务链的流量不同,因此会造成各VTEP设备上的负载不同。
在步骤S3中将负载参数最小的VTEP设备确定为负载分担设备后,便可以将在SDN控制器上新定义的服务链分配至该负载分担设备上,这样可以对VTEP服务链代理聚合组中各VTEP设备进行合理的流量分配,不会使得某一VTEP设备负载过重,也不会使得某一VTEP设备造成资源浪费。所述SDN控制器将所述第一服务链分配至负载分担设备上之后,可以为所述第一服务链绑定第一预设IP段。所述第一预设IP段可以是与所述第一服务链相对应的源IP段。例如,所述第一服务链为DDOS服务链,其绑定的第一预设IP段为1.1.2.0至1.1.2.24,那么,当网关接收到DDOS服务链报文时,可以判断该DDOS服务链报文对应的源IP地址,当判断出的源IP地址处于1.1.2.0至1.1.2.24之间时,便可以将该DDOS服务链报文分配至所述负载分担设备上。
在为所述第一服务链分配了VTEP设备以及绑定了第一预设IP段之后,所述SDN控制器需要向所述网关分发与所述第一服务链相对应的访问控制列表。所述访问控制列表中至少包括所述第一服务链的类型,所述第一服务链对应的VTEP设备以及所述第一服务链绑定的所述第一预设IP段。例如,所述第一服务链的类型可以为DDOS,所述第一服务链对应的VTEP设备可以为所分配的负载分担设备,所述第一预设IP段可以为1.1.2.0至1.1.2.24。这些信息均可以包含于所述访问控制列表中。
所述访问控制列表被分发至所述网关后,所述网关便可以根据所述访问控制列表,将接收到的服务链与访问控制列表中的信息进行对比,并根据接收到的服务链符合的条件,对其进行相应的分发。具体地,在本发明实施例中,每个VTEP设备均可以与所述网关之间建立VXLAN隧道,所述网关在将接收到的服务链报文中的信息与访问控制列表中的信息进行对比后,便可以通过与所述负载分担设备相对应的VXLAN隧道将所述第一服务链报文发送至所述负载分担设备处。
另一种服务链可以为已有的第二服务链,该第二服务链已经事先被指定了对应的VTEP设备。例如,对于IPS服务链,事先已经确定其对应的是VTEP设备1,那么无论IPS服务链对应的源IP是什么,该IPS服务链均会被发送至VTEP设备1上进行处理。那么按照这样的方式进行处理,当IPS服务链产生的数据量过大时,势必会对VTEP设备1形成过重的负载。
因此,在本发明实施例中,对于已有的第二服务链,当所述第二服务链对应的VTEP设备的负载超过预设负载阈值时,所述SDN控制器便可以将上述的负载分担设备确定为第二预设IP段内的第二服务链对应的VTEP设备。
在本发明实施例中,可以将所述第二服务链的IP段进行分割。例如,对于IPS服务链,当该服务链对应的VTEP设备1的负载超过预设负载阈值时,便可以将IPS服务链的IP段进行分割,例如,原本IPS服务链的IP段可以为1.1.1.0至1.1.1.24,那么在本申请实施例中,可以将该IP段分割为1.1.1.0至1.1.1.10以及1.1.1.11至1.1.1.24,原先,无论源IP属于哪个范围,该源IP产生的IPS服务链均会被分发至VTEP设备1,而在本发明实施例中对IPS服务链的IP段进行分割后,会产生1.1.1.0至1.1.1.10以及1.1.1.11至1.1.1.24这两个IP段,对于1.1.1.0至1.1.1.10这个IP段产生IPS服务链,可以继续分发至VTEP设备1中。而对于1.1.1.11至1.1.1.24这个IP段,便可以将处于其中的源IP产生的IPS服务链分发至所述负载分担设备上。这样,便相当于对原先的IPS服务链进行分流,将部分数据流量分发至负载最小的VTEP设备上,这样便可以使VTEP设备上的负载进行合理分配,避免某个VTEP设备的负载过高。上述的1.1.1.11至1.1.1.24这个IP段便可以为所述的第二预设IP段,那么处于1.1.1.11至1.1.1.24内的IPS服务链便可以为所述的第二预设IP段内的第二服务链。这样,所述SDN控制器便可以为已有的第二服务链根据源IP的不同,分配更多的VTEP设备。
所述SDN控制器同样可以向所述网关分发与所述第二服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第二服务链的类型以及所述第二服务链的IP段与VTEP设备的对应关系。同样的,根据所述访问控制列表,所述网关便可以将接收到的第二服务链发送至相应的VTEP设备。具体地,所述网关可以识别接收到的第二服务链所属的IP段,根据所述第二服务链的IP段与VTEP设备的对应关系,所述网关可以将所述接收到的第二服务链发送至与识别出的IP段相对应的VTEP设备。
例如,所述网关接收到源IP地址为1.1.1.15发来的IPS服务链报文,那么可以识别出该1.1.1.15地址属于第二预设IP段内,那么便可以将该地址对应的IPS服务链发送至所述负载分担设备上。如果识别出的源IP地址属于1.1.1.0至1.1.1.10内,那么便可以将该地址对应的IPS服务链发送至原先的VTEP设备1上。这样,所述网关便可以根据接收到的服务链的源IP的不同,而选择将其分发至对应的VTEP设备。
由上可见,本发明实施例提供的一种服务链代理聚合的方法,利用SDN控制器对VTEP设备上的负载进行实时监测,并根据监测的负载合理地设置或者调节服务链与VTEP设备的对应关系,从而使得VTEP设备之间能够针对实际数据流量进行负载分担,保证了VTEP设备资源的合理利用。
本发明实施例还提供一种服务链代理聚合的系统。图3为本发明实施例提供的一种服务链代理聚合的系统功能模块图。如图3所示,所述系统包括网关100,预设数量的VTEP设备200以及与所述预设数量的VTEP设备相连的安全设备400,其中,所述系统还包括SDN控制器300,所述SDN控制器300包括:
聚合组构建单元301,用于将所述预设数量的VTEP设备构建为VTEP服务链代理聚合组;
负载参数获取单元302,用于获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数;
负载分担策略确定单元303,用于对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;
控制单元304,用于根据确定的所述负载分担策略,控制所述网关向所述VTEP服务链代理聚合组分发待处理的服务链。
在本发明一优选实施例中,所述负载分担策略确定单元303具体包括:
筛选模块,用于对获取的所述负载参数进行对比分析,筛选出负载参数最小的VTEP设备;
确定模块,用于将所述负载参数最小的VTEP设备确定为负载分担设备。
在本发明另一优选实施例中,所述控制单元304具体包括:
负载分担设备确定模块,用于对于在所述SDN控制器上定义的第一服务链,将所述负载分担设备确定为所述第一服务链对应的VTEP设备;
绑定模块,用于为所述第一服务链绑定第一预设IP段;
访问控制列表分发模块,用于向所述网关分发与所述第一服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第一服务链的类型,所述第一服务链对应的VTEP设备以及所述第一服务链绑定的所述第一预设IP段;
相应地,
所述网关100用于根据所述访问控制列表,通过与所述负载分担设备相对应的VXLAN隧道将所述第一服务链发送至所述负载分担设备处。
在本发明另一优选实施例中,所述控制单元304具体包括:
VTEP设备确定模块,用于对于已有的第二服务链,当所述第二服务链对应的VTEP设备的负载超过预设负载阈值时,将所述负载分担设备确定为第二预设IP段内的第二服务链对应的VTEP设备;
访问控制列表分发模块,用于向所述网关分发与所述第二服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第二服务链的类型以及所述第二服务链的IP段与VTEP设备的对应关系;
相应地,
所述网关100用于根据所述访问控制列表,将接收到的第二服务链发送至相应的VTEP设备。
在本发明另一优选实施例中,所述网关100具体包括:
IP段识别单元101,用于识别接收到的第二服务链所属的IP段;
服务链发送模块102,用于根据所述第二服务链的IP段与VTEP设备的对应关系,将所述接收到的第二服务链发送至与识别出的IP段相对应的VTEP设备。
上述实施例中各功能模块的实现方式均与步骤S1至S4中一致,这里便不再赘述。
由上可见,本发明实施例提供的一种服务链代理聚合的系统,利用SDN控制器对VTEP设备上的负载进行实时监测,并根据监测的负载合理地设置或者调节服务链与VTEP设备的对应关系,从而使得VTEP设备之间能够针对实际数据流量进行负载分担,保证了VTEP设备资源的合理利用。
在本说明书中,诸如第一和第二、左和右、顶部和底部等这样的形容词仅可以用于将一个元素或动作与另一元素或动作进行区分,而不必要求或暗示任何实际的这种关系或顺序。在环境允许的情况下,参照元素或部件或步骤(等)不应解释为局限于仅元素、部件、或步骤中的一个,而可以是元素、部件、或步骤中的一个或多个等。
上面对本发明的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述,本发明的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此,虽然已经具体讨论了一些另选的实施方式,但是其它实施方式将是显而易见的,或者本领域技术人员相对容易得出。本发明旨在包括在此已经讨论过的本发明的所有替代、修改、和变化,以及落在上述发明的精神和范围内的其它实施方式。
本说明书中的各实施例均采用递进的方式描述,各实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (11)
1.一种服务链代理聚合的方法,其特征在于,包括:
SDN控制器将预设数量的VTEP设备构建为VTEP服务链代理聚合组;
所述SDN控制器获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数;
所述SDN控制器对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;
根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链。
2.如权利要求1所述的一种服务链代理聚合的方法,其特征在于,所述负载参数包括所述VTEP设备的CPU利用率、内存利用率、访问控制列表利用率、隧道流量或者端口流量中的至少一种;
所述SDN控制器通过访问所述VTEP设备的应用程序编程接口获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数。
3.如权利要求2所述的一种服务链代理聚合的方法,其特征在于,所述SDN控制器对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略具体包括:
所述SDN控制器从获取的所述负载参数中选择预先指定的负载参数进行对比,筛选出负载参数最小的VTEP设备;
所述SDN控制器将所述负载参数最小的VTEP设备确定为负载分担设备。
4.如权利要求3所述的一种服务链代理聚合的方法,其特征在于,所述根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链具体包括:
对于在所述SDN控制器上定义的第一服务链,所述SDN控制器将所述负载分担设备确定为所述第一服务链对应的VTEP设备;
所述SDN控制器为所述第一服务链绑定第一预设IP段;
所述SDN控制器向网关分发与所述第一服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第一服务链的类型,所述第一服务链对应的VTEP设备以及所述第一服务链绑定的所述第一预设IP段;
根据所述访问控制列表,所述网关通过与所述负载分担设备相对应的VXLAN隧道将所述第一服务链发送至所述负载分担设备处。
5.如权利要求3所述的一种服务链代理聚合的方法,其特征在于,所述根据确定的所述负载分担策略,所述SDN控制器控制网关向所述VTEP服务链代理聚合组分发待处理的服务链具体包括:
对于已有的第二服务链,当所述第二服务链对应的VTEP设备的负载超过预设负载阈值时,所述SDN控制器将所述第二服务链预先绑定的IP段拆分为第一IP段与第二IP段,并将所述第二服务链对应的VTEP设备确定为所述第一IP段对应的VTEP设备,将所述负载分担设备确定为所述第二IP段对应的VTEP设备;
所述SDN控制器向网关分发与所述第二服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第二服务链的类型以及所述第二服务链的IP段与VTEP设备的对应关系;
根据所述访问控制列表,所述网关将接收到的第二服务链发送至相应的VTEP设备。
6.如权利要求5所述的一种服务链代理聚合的方法,其特征在于,根据所述访问控制列表,所述网关将接收到的第二服务链发送至相应的VTEP设备具体包括:
所述网关识别接收到的第二服务链所属的IP段;
根据所述第二服务链的IP段与VTEP设备的对应关系,所述网关将所述接收到的第二服务链发送至与识别出的IP段相对应的VTEP设备。
7.一种服务链代理聚合的系统,所述系统包括网关、预设数量的VTEP设备以及与所述预设数量的VTEP设备相连的安全设备,其特征在于,所述系统还包括SDN控制器,所述SDN控制器包括:
聚合组构建单元,用于将所述预设数量的VTEP设备构建为VTEP服务链代理聚合组;
负载参数获取单元,用于获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数;
负载分担策略确定单元,用于对获取的所述负载参数进行对比分析,并根据分析结果确定负载分担策略;
控制单元,用于根据确定的所述负载分担策略,控制所述网关向所述VTEP服务链代理聚合组分发待处理的服务链。
8.如权利要求7所述的一种服务链代理聚合的系统,其特征在于,所述负载参数获取单元,具体用于通过访问所述VTEP设备的应用程序编程接口获取当前时刻所述VTEP服务链代理聚合组中各VTEP设备对应的用于表征VTEP设备负载情况的负载参数,所述负载参数包括所述VTEP设备的CPU利用率、内存利用率、访问控制列表利用率、隧道流量或者端口流量中的至少一种;
所述负载分担策略确定单元,具体包括:
筛选模块,用于从获取的所述负载参数中选择预先指定的负载参数进行对比,筛选出负载参数最小的VTEP设备;
确定模块,用于将所述负载参数最小的VTEP设备确定为负载分担设备。
9.如权利要求8所述的一种服务链代理聚合的系统,其特征在于,所述控制单元具体包括:
负载分担设备确定模块,用于对于在所述SDN控制器上定义的第一服务链,将所述负载分担设备确定为所述第一服务链对应的VTEP设备;
绑定模块,用于为所述第一服务链绑定第一预设IP段;
访问控制列表分发模块,用于向所述网关分发与所述第一服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第一服务链的类型,所述第一服务链对应的VTEP设备以及所述第一服务链绑定的所述第一预设IP段;
相应地,
所述网关用于根据所述访问控制列表,通过与所述负载分担设备相对应的VXLAN隧道将所述第一服务链发送至所述负载分担设备处。
10.如权利要求8所述的一种服务链代理聚合的系统,其特征在于,所述控制单元具体包括:
VTEP设备确定模块,用于对于已有的第二服务链,当所述第二服务链对应的VTEP设备的负载超过预设负载阈值时,将所述第二服务链预先绑定的IP段拆分为第一IP段与第二IP段,并将所述第二服务链对应的VTEP设备确定为所述第一IP段对应的VTEP设备,将所述负载分担设备确定为所述第二IP段对应的VTEP设备;
访问控制列表分发模块,用于向所述网关分发与所述第二服务链相对应的访问控制列表,所述访问控制列表中至少包括所述第二服务链的类型以及所述第二服务链的IP段与VTEP设备的对应关系;
相应地,
所述网关用于根据所述访问控制列表,将接收到的第二服务链发送至相应的VTEP设备。
11.如权利要求10所述的一种服务链代理聚合的系统,其特征在于,所述网关具体包括:
IP段识别单元,用于识别接收到的第二服务链所属的IP段;
服务链发送模块,用于根据所述第二服务链的IP段与VTEP设备的对应关系,将所述接收到的第二服务链发送至与识别出的IP段相对应的VTEP设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610082074.3A CN105763606B (zh) | 2016-02-04 | 2016-02-04 | 一种服务链代理聚合的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610082074.3A CN105763606B (zh) | 2016-02-04 | 2016-02-04 | 一种服务链代理聚合的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105763606A CN105763606A (zh) | 2016-07-13 |
CN105763606B true CN105763606B (zh) | 2019-04-09 |
Family
ID=56329675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610082074.3A Active CN105763606B (zh) | 2016-02-04 | 2016-02-04 | 一种服务链代理聚合的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105763606B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770061B (zh) * | 2016-08-16 | 2020-12-01 | 华为技术有限公司 | 转发报文的方法及转发设备 |
CN106878047B (zh) * | 2016-12-13 | 2019-11-12 | 新华三技术有限公司 | 故障处理方法及装置 |
CN107395506B (zh) * | 2017-09-07 | 2020-04-21 | 电子科技大学 | 一种传输时延优化的服务功能链部署方法 |
CN107645458B (zh) * | 2017-10-20 | 2020-04-24 | 锐捷网络股份有限公司 | 三层报文引流方法及控制器 |
CN107995110B (zh) * | 2017-11-16 | 2020-12-01 | 新华三技术有限公司 | 流量转发方法和装置 |
CN109450709B (zh) * | 2018-12-20 | 2022-02-11 | 新华三技术有限公司 | 异步消息配置方法、上送方法、控制器及网络设备 |
CN112838986B (zh) * | 2019-11-22 | 2022-09-30 | 深信服科技股份有限公司 | 一种服务链生成方法、装置及电子设备和存储介质 |
US11509578B2 (en) * | 2019-12-13 | 2022-11-22 | Cisco Technology, Inc. | Flexible policy semantics extensions using dynamic tagging and manifests |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104301246A (zh) * | 2014-10-27 | 2015-01-21 | 盛科网络(苏州)有限公司 | 基于sdn的大流负载均衡转发方法及装置 |
CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
CN105262698A (zh) * | 2015-10-28 | 2016-01-20 | 华为技术有限公司 | 一种负载分担的方法、装置和系统 |
EP2963866A3 (en) * | 2014-06-30 | 2016-01-27 | Juniper Networks, Inc. | Service chaining across multiple networks |
CN105940645A (zh) * | 2014-02-05 | 2016-09-14 | 诺基亚通信公司 | 在通信中进行服务卸载 |
-
2016
- 2016-02-04 CN CN201610082074.3A patent/CN105763606B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105940645A (zh) * | 2014-02-05 | 2016-09-14 | 诺基亚通信公司 | 在通信中进行服务卸载 |
EP2963866A3 (en) * | 2014-06-30 | 2016-01-27 | Juniper Networks, Inc. | Service chaining across multiple networks |
CN104301246A (zh) * | 2014-10-27 | 2015-01-21 | 盛科网络(苏州)有限公司 | 基于sdn的大流负载均衡转发方法及装置 |
CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
CN105262698A (zh) * | 2015-10-28 | 2016-01-20 | 华为技术有限公司 | 一种负载分担的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105763606A (zh) | 2016-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105763606B (zh) | 一种服务链代理聚合的方法及系统 | |
US10484295B2 (en) | Method, apparatus and system for controlling service transmission rate | |
US11677622B2 (en) | Modifying resource allocation or policy responsive to control information from a virtual network function | |
US9838483B2 (en) | Methods, systems, and computer readable media for a network function virtualization information concentrator | |
KR101844136B1 (ko) | 분산 소프트웨어 정의 네트워킹 환경에서 네트워크 이상을 감지하는 방법, 장치 및 컴퓨터 프로그램 | |
CN104753828B (zh) | 一种sdn控制器、数据中心系统和路由连接方法 | |
US20150156086A1 (en) | Behavioral network intelligence system and method thereof | |
US20150215228A1 (en) | Methods, systems, and computer readable media for a cloud-based virtualization orchestrator | |
CN104253767B (zh) | 一种虚拟分片网络的实现方法及一种交换机 | |
CN104253820B (zh) | 软件定义网安全控制系统和控制方法 | |
CN106549792B (zh) | 一种vnf的安全监管的方法、装置及系统 | |
KR102048743B1 (ko) | Sdn 기반의 네트워크 모니터링 가상화 시스템 및 그 방법 | |
Femminella et al. | An enabling platform for autonomic management of the future internet | |
CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
Xu et al. | Minimizing flow statistics collection cost using wildcard-based requests in SDNs | |
Jang et al. | Rflow+: An sdn-based wlan monitoring and management framework | |
CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
US10178017B2 (en) | Method and control node for handling data packets | |
CN107078936A (zh) | 用于提供对传输层连接的mss值的细粒度控制的系统和方法 | |
CN107346259A (zh) | 一种动态部署安全能力的实现方法 | |
KR20170033179A (ko) | 소프트웨어 정의 네트워크 기반 가상 네트워크 사용 대역폭 관리 방법 및 가상 네트워크 관리장치 | |
Jung et al. | Anomaly Detection in Smart Grids based on Software Defined Networks. | |
CN105379210A (zh) | 一种数据流处理方法及装置 | |
US20180359279A1 (en) | Automatic handling of device group oversubscription using stateless upstream network devices | |
CN108965147A (zh) | 网络控制方法、装置及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |