CN106411568A - 基于规则冲突的sdn网络状态更新方法及系统 - Google Patents

基于规则冲突的sdn网络状态更新方法及系统 Download PDF

Info

Publication number
CN106411568A
CN106411568A CN201610782827.1A CN201610782827A CN106411568A CN 106411568 A CN106411568 A CN 106411568A CN 201610782827 A CN201610782827 A CN 201610782827A CN 106411568 A CN106411568 A CN 106411568A
Authority
CN
China
Prior art keywords
rule
network
stream rule
conflict
stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610782827.1A
Other languages
English (en)
Other versions
CN106411568B (zh
Inventor
蒋昌俊
闫春钢
王成
丁志军
张亚英
李宁宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tongji University
Original Assignee
Tongji University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tongji University filed Critical Tongji University
Priority to CN201610782827.1A priority Critical patent/CN106411568B/zh
Publication of CN106411568A publication Critical patent/CN106411568A/zh
Application granted granted Critical
Publication of CN106411568B publication Critical patent/CN106411568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于规则冲突的SDN网络状态更新方法及系统,包括根据通用的虚拟化网络模型为应用程序提供网络视图,所述虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化;对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则;根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。本发明的基于规则冲突的SDN网络状态更新方法及系统,在不改变程序输入结构的前提下,帮助应用程序获取最新的网络状态,从而帮助应用程序下发避免包含转发、丢弃、转移到控制器等动作的冲突流规则。

Description

基于规则冲突的SDN网络状态更新方法及系统
技术领域
本发明涉及网络通信的技术领域,特别是涉及一种基于规则冲突的软件定义网络(Software Defined Network,SDN)网络状态更新方法及系统。
背景技术
软件定义网络SDN(Software Defined Network)是由美国斯坦福大学CleanSlate研究组提出的一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台。
网络虚拟化技术对底层的物理网络资源进行抽象,使得多个应用程序可以运行在虚拟化的网络中。在SDN中,集中式的控制器可以直接地获取整个网络的拓扑信息、交换机状态以及链路信息等,为网络虚拟化技术中网络资源的抽象提供了良好的支持。SDN虚拟化技术主要是通过软件定义网络中的控制器获取来网络信息,从而根据这些信息对网络资源进行抽象,并进行划分与隔离,同时利用编程人员定义的控制逻辑使用虚拟网络资源。然而,由于多个上层应用在虚拟网络视图上对网络数据包转发行为进行控制,从而有可能导致下发的规则出现冲突。
目前,大多数解析SDN流规则冲突的技术主要侧重于如何组合这些冲突规则,具体包括以下方法:
(1)提出层级策略树的概念,通过用户自定义冲突解析符来解析冲突。但是,这种冲突局限于解析资源冲突,如链路带宽。
(2)提供一种新的分析算法,实时检查流规则冲突,通过别名规约集合来解析冲突。但是,这种解析技术主要针对恶意的流规则插入破坏原有安全规则的情况,这一规约集合主要包含IP地址、网络掩码和端口。
(3)通过网络切片、虚拟化网络来隔离网络流量。但是,底层网络硬件并不能满足这种网络流量隔离,如通过广播数据包转发等;同时这种网络隔离的技术并不能满足一些SDN上层应用程序的需求,如流量优化的应用程序需要整个网络状态的信息。
另外,现有技术中组合这些冲突规则的方法并不能组合一些包含转发、丢弃、转移到控制器等动作的冲突流规则。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于规则冲突的SDN网络状态更新方法及系统,在不改变程序输入结构的前提下,帮助应用程序获取最新的网络状态,从而帮助应用程序下发避免包含转发、丢弃、转移到控制器等动作的冲突流规则。
为实现上述目的及其他相关目的,本发明提供一种基于规则冲突的SDN网络状态更新方法,包括以下步骤:根据通用的虚拟化网络模型为应用程序提供网络视图,所述虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化;对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则;根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
根据上述的基于规则冲突的SDN网络状态更新方法,其中:对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则时,执行以下操作:
对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则;
逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
进一步地,根据上述的基于规则冲突的SDN网络状态更新方法,其中:当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
进一步地,根据上述的基于规则冲突的SDN网络状态更新方法,其中:设定E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域;f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
根据上述的基于规则冲突的SDN网络状态更新方法,其中:还包括:在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
同时,本发明还提供一种基于规则冲突的SDN网络状态更新系统,包括网络虚拟化模块、冲突检测模块和网络状态更新模块;
所述网络虚拟化模块用于根据通用的虚拟化网络模型为应用程序提供网络视图,所述虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化;
所述冲突检测模块用于对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则;
所述网络状态更新模块用于根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
根据上述的基于规则冲突的SDN网络状态更新系统,其中:所述冲突检测模块执行以下操作:
对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则;
逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
进一步地,根据上述的基于规则冲突的SDN网络状态更新系统,其中:当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
进一步地,根据上述的基于规则冲突的SDN网络状态更新系统,其中:设定E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域;f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
根据上述的基于规则冲突的SDN网络状态更新系统,其中:还包括重启模块,所述重启模块用于在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
如上所述,本发明的基于规则冲突的SDN网络状态更新方法及系统,具有以下有益效果:
(1)基于通用的虚拟化网络模型,对各个匹配域进行静态检查和对规则冲突类型进行分类,从而能够在因其他程序下发的规则而导致网络状态发生变化时进行及时更新;
(2)在规则冲突无法解决的情况下,启用重试机制,同时作为程序输入的网络状态的数据形式没有发生改变,不需要重构代码,提供了解决冲突的可能性。
附图说明
图1显示为本发明的基于规则冲突的SDN网络状态更新方法的流程图;
图2显示为本发明中更新网络拓扑的流程图;
图3显示为本发明的基于规则冲突的SDN网络状态更新方法的一个应用实施例的结构示意图;
图4显示为本发明的基于规则冲突的SDN网络状态更新系统的结构示意图。
元件标号说明
1 网络虚拟化模块
2 冲突检测模块
3 网络状态更新模块
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明的基于规则冲突的SDN网络状态更新方法及系统为应用程序提供统一的抽象网络状态模型作为输入,通过进行冲突检测,将应用程序下发的流规则与流表中已有的流规则进行匹配,分析流规则冲突类型,并更新网络状态,以确保出现规则冲突时,应用程序能够获取最新的网络状态。其中,抽象网络状态模型包括网络拓扑、网络策略和读写模式等等。
参照图1,本发明的基于规则冲突的SDN网络状态更新方法包括以下步骤:
步骤S1、根据通用的虚拟化网络模型为应用程序提供网络视图,虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化。
具体地,虚拟化网络模型包括对网络拓扑链路的虚拟化、网络权限设置,以及网络中已有的转发策略。其中,拓扑是指以交换机作为节点,端口作为连接端口,链路作为边而组成的图。策略指明了数据包在底层拓扑中的行为。模式限定了每个应用程序对拓扑上网络元素的读写能力。
需要说明的是,网络虚拟化是成熟的现有技术,如网络分片,多个交换机虚拟成一个或者将一个交换机虚拟成多个。本发明应用网络虚拟化技术来为应用程序构建通用的虚拟化网络模型。在实际的系统中,根据对应的网络虚拟化方法能够获取相应的网络状态。
步骤S2、对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则。
具体地,步骤S2包括以下内容:
21)对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则。
例如,源IP地址与目的IP地址相同时,应用程序可能没有权限指导数据包从某些端口转发,则不能从对应的端口转发数据包。当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
22)逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
以OpenFlow1.0为例,使用分治算法逐个比较各个流规则的匹配域,构造哈希(hash)树进行快速比较,并将每个匹配域返回的结果构造一张二维表。当二维表出现全为1的行时,则表示对应出现冲突的流规则。
具体地,E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域。f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
步骤S3、根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
之所以要更新网络状态,是因为并发执行的上层应用程序间可能使得应用程序难以获得最新的网络状态。比如,在一个程序获取网络状态和准备下发策略之间,另一个程序刚下发策略使得网络状态发生改变。再比如,应用程序可能因为保护敏感信息或者简化计算的需要而不能获取完整的网络状态信息。
更新网络状态时,根据出现冲突的规则中的动作,增加此应用程序相应的读权限,使得应用程序能够读取到与其发生冲突的规则。通过改变应用程序获取网络拓扑权限的方式,保证了程序的输入参数不发生改变,从而在看到冲突的流规则后,判定应用程序能否继续下发自己的策略。
下面通过具体的实施例来说明网络状态更新的具体流程。
如图2所示,上述代码的含义如下:遍历冲突流规则中包含的动作,若其对应的转发端口与底层物理交换机的端口相同,则将此端口加入到抽象网络视图中,并使用map保存底层网络拓扑与上层抽象网络视图间的映射关系。
优选地,还包括步骤、在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
根据流规则中的动作确定冲突的流规则是否可以组合;若存在无法组合的流规则,则流规则安装失败,应用程序需要重新获取网络状态。因此,本发明的基于规则冲突的SDN网络状态更新方法可以在规则冲突无法解决的情况下,启用重试机制,同时作为程序输入的网络状态的数据形式没有发生改变,不需要重构代码,提供了解决冲突的可能性。
图3所示为本发明的基于规则冲突的SDN网络状态更新方法的一个应用实施例的结构示意图。该实施例包含三个主机、一个交换机,相应的配置如表1、表2所示。假设有一个负载平衡的应用程序(虚拟网络1)指导数据包从主机10.0.0.2转发到主机10.0.0.1的web服务(Tcp端口为8080),另有一个mac地址学习的程序(虚拟网络2),,将来自端口s1-eth2目的地址为86:95:a8:e6:14:b4的数据包转发到s1-eth3。在这种情况下,这两条规则因同时匹配一些重叠的数据包而出现冲突。
表1、三个主机的网络配置表
主机 Mac地址 Ip地址 对应端口
vm1 aa:40:b2:44:26:7e 10.0.0.1 00000001
vm2 ea:b8:0b:79:04:04 10.0.0.2 00000002
vm3 86:95:a8:e6:14:b4 10.0.0.3 00000003
表2、交换机配置表
端口名 物理地址 端口号 设备号
s1-eth1 82:98:35:ae:2a:64 00000001 0000000000000001
s1-eth2 fe:78:6c:ec:5f:88 00000002 0000000000000001
s1-eth3 1a:8b:29:9c:bc:39 00000003 0000000000000001
假设应用程序有更高的优先级或者控制器遵循先来先服务的原则,mac地址学习的程序在第一次下发策略失败后,将启动重试机制,重新获取最新的网络状态(包含第一个程序刚安装的规则),按照之前的逻辑重新下发流规则。因此,本发明的基于规则冲突的SDN网络状态更新方法可以在规则冲突无法解决的情况下,启用重试机制,同时作为程序输入的网络状态的数据形式没有发生改变,不需要重构代码,提供了解决冲突的可能性。
参照图4,本发明的基于规则冲突的SDN网络状态更新系统包括依次相连的网络虚拟化模块1、冲突检测模块2和网络状态更新模块3。
网络虚拟化模块1用于根据通用的虚拟化网络模型为应用程序提供网络视图,虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化。
具体地,虚拟化网络模型包括对网络拓扑链路的虚拟化、网络权限设置,以及网络中已有的转发策略。其中,拓扑是指以交换机作为节点,端口作为连接端口,链路作为边而组成的图。策略指明了数据包在底层拓扑中的行为。模式限定了每个应用程序对拓扑上网络元素的读写能力。
需要说明的是,网络虚拟化是成熟的现有技术,如网络分片,多个交换机虚拟成一个或者将一个交换机虚拟成多个。本发明应用网络虚拟化技术来为应用程序构建通用的虚拟化网络模型。在实际的系统中,根据对应的网络虚拟化方法能够获取相应的网络状态。
冲突检测模块2用于对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则。
具体地,冲突检测模块2执行以下操作来检测冲突:
21)对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则。
例如,源IP地址与目的IP地址相同时,应用程序可能没有权限指导数据包从某些端口转发,则不能从对应的端口转发数据包。当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
22)逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
以OpenFlow1.0为例,使用分治算法逐个比较各个流规则的匹配域,构造哈希(hash)树进行快速比较,并将每个匹配域返回的结果构造一张二维表。当二维表出现全为1的行时,则表示对应出现冲突的流规则。
具体地,E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域。f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
网络状态更新模块3用于根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
之所以要更新网络状态,是因为并发执行的上层应用程序间可能使得应用程序难以获得最新的网络状态。比如,在一个程序获取网络状态和准备下发策略之间,另一个程序刚下发策略使得网络状态发生改变。再比如,应用程序可能因为保护敏感信息或者简化计算的需要而不能获取完整的网络状态信息。
更新网络状态时,根据出现冲突的规则中的动作,增加此应用程序相应的读权限,使得应用程序能够读取到与其发生冲突的规则。通过改变应用程序获取网络拓扑权限的方式,保证了程序的输入参数不发生改变,从而在看到冲突的流规则后,判定应用程序能否继续下发自己的策略。
优选地,还包括重启模块,该重启模块用于在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
根据流规则中的动作确定冲突的流规则是否可以组合;若存在无法组合的流规则,则流规则安装失败,应用程序需要重新获取网络状态。因此,本发明的基于规则冲突的SDN网络状态更新方法可以在规则冲突无法解决的情况下,启用重试机制,同时作为程序输入的网络状态的数据形式没有发生改变,不需要重构代码,提供了解决冲突的可能性。
综上所述,本发明的基于规则冲突的SDN网络状态更新方法及系统基于通用的虚拟化网络模型,对各个匹配域进行静态检查和对规则冲突类型进行分类,从而能够在因其他程序下发的规则而导致网络状态发生变化时进行及时更新;在规则冲突无法解决的情况下,启用重试机制,同时作为程序输入的网络状态的数据形式没有发生改变,不需要重构代码,提供了解决冲突的可能性。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (10)

1.一种基于规则冲突的SDN网络状态更新方法,其特征在于:包括以下步骤:
根据通用的虚拟化网络模型为应用程序提供网络视图,所述虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化;
对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则;
根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
2.根据权利要求1所述的基于规则冲突的SDN网络状态更新方法,其特征在于:对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则时,执行以下操作:
对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则;
逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
3.根据权利要求2所述的基于规则冲突的SDN网络状态更新方法,其特征在于:当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
4.根据权利要求2所述的基于规则冲突的SDN网络状态更新方法,其特征在于:设定E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域;f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
5.根据权利要求1所述的基于规则冲突的SDN网络状态更新方法,其特征在于:还包括:在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
6.一种基于规则冲突的SDN网络状态更新系统,其特征在于:包括网络虚拟化模块、冲突检测模块和网络状态更新模块;
所述网络虚拟化模块用于根据通用的虚拟化网络模型为应用程序提供网络视图,所述虚拟化网络模型包括网络切片的虚拟化和网络交换机、端口以及链路的虚拟化;
所述冲突检测模块用于对应用程序下发的流规则进行静态的权限和匹配域检查,找出具有冲突的流规则;
所述网络状态更新模块用于根据已经检测出来的冲突流规则中的动作,修改此应用程序对应的虚拟网络状态,使应用程序能够读取到与其发生冲突的流规则。
7.根据权利要求6所述的基于规则冲突的SDN网络状态更新系统,其特征在于:所述冲突检测模块执行以下操作:
对应用程序下发的流规则进行静态检查,确定应用程序有权限设置这样的流规则;
逐个比较应用程序下发的流规则和流表中的流规则的匹配域,判断是否存在出现冲突的流规则。
8.根据权利要求7所述的基于规则冲突的SDN网络状态更新系统,其特征在于:当应用程序没有有权限设置这样的流规则时,则丢弃该无权限的流规则,无需判断其是否具有冲突。
9.根据权利要求7所述的基于规则冲突的SDN网络状态更新系统,其特征在于:设定E=e1,e2,…,en表示流表中的流规则的集合,n表示流表中的流规则数,任意流规则ei包含d个匹配域;f=f1,f2,…,fd表示要插入的流规则的d个匹配域,则插入的流规则与流表中的流规则发生冲突当且仅当:
ai≠fa
其中,eij表示第i条流规则的第j个匹配域,fj表示要插入的流规则的第j个匹配域;
ai表示流表中第i条流规则的动作,fa表示要插入的流规则的动作。
10.根据权利要求6所述的基于规则冲突的SDN网络状态更新系统,其特征在于:还包括重启模块,所述重启模块用于在规则冲突无法解决的情况下,重新获取应用程序最新的网络状态。
CN201610782827.1A 2016-08-30 2016-08-30 基于规则冲突的sdn网络状态更新方法及系统 Active CN106411568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610782827.1A CN106411568B (zh) 2016-08-30 2016-08-30 基于规则冲突的sdn网络状态更新方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610782827.1A CN106411568B (zh) 2016-08-30 2016-08-30 基于规则冲突的sdn网络状态更新方法及系统

Publications (2)

Publication Number Publication Date
CN106411568A true CN106411568A (zh) 2017-02-15
CN106411568B CN106411568B (zh) 2019-10-18

Family

ID=58000352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610782827.1A Active CN106411568B (zh) 2016-08-30 2016-08-30 基于规则冲突的sdn网络状态更新方法及系统

Country Status (1)

Country Link
CN (1) CN106411568B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107800640A (zh) * 2017-09-19 2018-03-13 北京邮电大学 一种流规则的检测和处理的方法
CN110537352A (zh) * 2017-04-13 2019-12-03 诺基亚技术有限公司 用于信任管理的装置、方法和计算机程序产品
CN110574489A (zh) * 2017-04-27 2019-12-13 英特尔Ip公司 用于无线通信的增强网络切片管理
CN110825427A (zh) * 2019-10-12 2020-02-21 重庆金融资产交易所有限责任公司 一种代码管理方法、装置、服务器及存储介质
CN112437065A (zh) * 2020-11-12 2021-03-02 安徽大学 Sdn环境下基于图形表示的策略冲突检测及解决方法
CN116232770A (zh) * 2023-05-08 2023-06-06 中国石油大学(华东) 一种基于sdn控制器的企业网络安全防护系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346922A (zh) * 2013-07-26 2013-10-09 电子科技大学 基于sdn的确定网络状态的控制器及其确定方法
CN103684905A (zh) * 2013-11-27 2014-03-26 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统
US20160164748A1 (en) * 2014-12-04 2016-06-09 Belkin International, Inc. Identifying and resolving network device rule conflicts and recursive operations at a network device
US20160241445A1 (en) * 2014-08-06 2016-08-18 Belkin International, Inc. Identifying and resolving network device rule conflicts and recursive operations at a network device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346922A (zh) * 2013-07-26 2013-10-09 电子科技大学 基于sdn的确定网络状态的控制器及其确定方法
CN103684905A (zh) * 2013-11-27 2014-03-26 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
CN103684905B (zh) * 2013-11-27 2015-10-14 北京邮电大学 一种网络虚拟化平台的流规则冲突检测及处理方法
US20160241445A1 (en) * 2014-08-06 2016-08-18 Belkin International, Inc. Identifying and resolving network device rule conflicts and recursive operations at a network device
CN104202303A (zh) * 2014-08-11 2014-12-10 华中科技大学 一种sdn应用的策略冲突检测方法及系统
US20160164748A1 (en) * 2014-12-04 2016-06-09 Belkin International, Inc. Identifying and resolving network device rule conflicts and recursive operations at a network device

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110537352A (zh) * 2017-04-13 2019-12-03 诺基亚技术有限公司 用于信任管理的装置、方法和计算机程序产品
CN110574489A (zh) * 2017-04-27 2019-12-13 英特尔Ip公司 用于无线通信的增强网络切片管理
CN107800640A (zh) * 2017-09-19 2018-03-13 北京邮电大学 一种流规则的检测和处理的方法
CN110825427A (zh) * 2019-10-12 2020-02-21 重庆金融资产交易所有限责任公司 一种代码管理方法、装置、服务器及存储介质
CN110825427B (zh) * 2019-10-12 2024-01-26 天航长鹰(江苏)科技有限公司 一种代码管理方法、装置、服务器及存储介质
CN112437065A (zh) * 2020-11-12 2021-03-02 安徽大学 Sdn环境下基于图形表示的策略冲突检测及解决方法
CN112437065B (zh) * 2020-11-12 2022-06-21 安徽大学 Sdn环境下基于图形表示的策略冲突检测及解决方法
CN116232770A (zh) * 2023-05-08 2023-06-06 中国石油大学(华东) 一种基于sdn控制器的企业网络安全防护系统及方法

Also Published As

Publication number Publication date
CN106411568B (zh) 2019-10-18

Similar Documents

Publication Publication Date Title
CN106411568A (zh) 基于规则冲突的sdn网络状态更新方法及系统
US20240146774A1 (en) Assurance of security rules in a network
US11902082B2 (en) Cross-domain network assurance
US11178009B2 (en) Static network policy analysis for networks
CN112470431B (zh) 使用自动布尔学习的网络的模型的合成
EP2989751B1 (en) Network resource matching
US11044273B2 (en) Assurance of security rules in a network
US11038743B2 (en) Event clustering for a network assurance platform
US20210021457A1 (en) Associating network policy objects with specific faults corresponding to fault localizations in large-scale network deployment
CN107078950A (zh) 透明网络服务报头路径代理
DE112016004347T5 (de) Lokale und globale Datenzentrumsnetzoptimierungen in Echtzeit basierend auf Plattformtelemetriedaten
CN109462534A (zh) 区域互联控制器、区域互联控制方法以及计算机存储介质
US10572495B2 (en) Network assurance database version compatibility
EP2974147B1 (en) Loop-free hybrid network
CN106656591A (zh) 一种软件定义网络中多应用间的规则冲突检测与消除方法
CN104937892A (zh) 多节点虚拟交换系统
WO2015127851A1 (en) System and method for creating service chains and virtual networks in the cloud
CN109040180B (zh) 基于Neutron和GBP的网络访问控制方法、存储介质、电子设备
CN104426760A (zh) 流映射处理方法及装置
CN104954258B (zh) 数据报文处理方法、装置及开放流交换机
CN106330527A (zh) 路由链路状态数据的管理方法及装置
Hanks Jr Juniper QFX5100 Series: A Comprehensive Guide to Building Next-Generation Networks
Abreu Resilience in the Internet of Things for Smart City Applications
CN100370426C (zh) 服务器管理装置
Shenker Software-Defined Networking (SDN)

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant