CN108011825B - 一种基于软件定义网络的多网络设备互联现实方法及系统 - Google Patents
一种基于软件定义网络的多网络设备互联现实方法及系统 Download PDFInfo
- Publication number
- CN108011825B CN108011825B CN201711120639.3A CN201711120639A CN108011825B CN 108011825 B CN108011825 B CN 108011825B CN 201711120639 A CN201711120639 A CN 201711120639A CN 108011825 B CN108011825 B CN 108011825B
- Authority
- CN
- China
- Prior art keywords
- interconnection
- software
- network
- defined network
- characteristic parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于软件定义网络的多网络设备互联现实方法及系统。所述方法包括:互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;软件定义网络管控器集群根据接收到的身份特征参数生成转发流表,并将转发流表发送至软件定义网络交换机;软件定义网络交换机通过接收转发流表并生成互联转发路径,从而能够根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,并将匹配成功的数据报文通过所述互联转发路径进行转发,进而实现了多网络设备的互联。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及一种基于软件定义网络的多网络设备互联现实方法及系统。
背景技术
随着信息技术和网络通信技术的快速发展,在一些特定场合,例如:银行、证券交易中心或互联网数据中心(Internet Data Center,IDC)等机构的网络设备需要经常进行互联测试,目前的网络设备之间进行互联的方式大致包括以下几种:
精细化敏捷互联方式:利用软件定义网络(Software Defined Network,SDN)实现网络设备之间一对一互联,互联模式一对一,无法满足更复杂的互联场景,同时基于物理端口进行互联,不能识别数据报文结构,应用场景受限制。
传统配线架方式:利用物理连接方式,通过RJ45(Registered Jack45,标准8位模块化接口)网络跳线进行设备互联,每次连接、或更改连接,都要派人去现场进行物理线路的跳线、连接、重新连接,工作量大,且易出错。
电子配线架方式:取代物理配线架手工插拔跳线的互联的方式实现设备间互联用电子配线架将设备进行互联,电子配线架代替了物理配线架,但是不能对其内部流量进行可视化的监测和控制,同时只能实现基于物理端口的互联的,不能识别数据报文结构。
交换机网络方式:通过交换机以太网网络实现设备间互联,大多数只能通过近端命令行进行配置,效率低,自动化程度不高。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种基于软件定义网络的多网络设备互联现实方法及系统,旨在解决现有技术中网络设备之间互联模式单一,功能简单,且无法实现多网络设备互联的技术问题。
为实现上述目的,本发明提供了一种基于软件定义网络的多网络设备互联现实方法,所述方法包括以下步骤:
互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;
所述软件定义网络管控器集群接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
所述软件定义网络交换机接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
优选地,所述互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群,具体包括:
互联管理平台接收用户在预设连接模式下输入的参数配置指令;
互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群。
优选地,所述互联管理平台接收用户在预设连接模式下输入的参数配置指令之前,所述方法还包括:
互联管理平台接收用户的添加指令,并根据所述添加指令将待添加的软件定义网络管控器添加至所述软件定义网络管控器集群中;并将待添加的软件定义网络交换机连接至所述软件定义网络管控器集群中。
优选地,所述互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群,具体包括:
互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置;
互联管理平台对配置的待互联网络设备的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;
互联管理平台将所述有效互联时段和配置的身份特征参数通过北向接口发送至软件定义网络管控器集群。
优选地,所述软件定义网络管控器集群接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机,具体包括:
软件定义网络管控器集群根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;
软件定义网络管控器集群在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
优选地,所述待互联的网络设备包括:防火墙、网站应用级入侵防御系统、入侵防御系统/入侵检测系统、负载均衡器、探针、物理服务器、终端设备以及虚拟机中的任意一种;
所述身份特征参数包括:待互联的网络设备接入的交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的至少一项。
此外,为实现上述目的,本发明还提出一种基于软件定义网络的多网络设备互联现实系统,所述系统包括:互联管理平台、软件定义网络管控器集群和多个软件定义网络交换机;
所述互联管理平台,用于对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;
所述软件定义网络管控器集群,用于接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
所述多个软件定义网络交换机,用于相互连接构成软件定义网络;以及接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对接收到的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
优选地,所述互联管理平台,还用于接收用户在预设连接模式下输入的参数配置指令;根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群。
优选地,所述互联管理平台,还用于接收用户的添加指令,并根据所述添加指令将待添加的软件定义网络管控器添加至所述软件定义网络管控器集群中以及将待添加的软件定义网络交换机连接至所述软件定义网络管控器集群中。
优选地,所述互联管理平台,还用于根据所述参数配置指令对待互联的网络设备进行身份特征参数配置;对配置的待互联网络设备的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;将所述有效互联时段和配置的身份特征参数通过北向接口发送至软件定义网络管控器集群;
相应地,所述软件定义网络管控器集群,还用于根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
本发明通过互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;然后由软件定义网络管控器集群根据接收到的身份特征参数生成转发流表,并将转发流表发送至软件定义网络交换机;软件定义网络交换机通过接收转发流表并生成互联转发路径,从而能够根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,并将匹配成功的数据报文通过所述互联转发路径进行转发,进而实现了多网络设备的互联。
附图说明
图1为本发明一种基于软件定义网络的多网络设备互联现实方法第一实施例的流程示意图;
图2为本发明一种基于软件定义网络的多网络设备互联现实方法第二实施例的流程示意图;
图3为本发明一种基于软件定义网络的多网络设备互联现实系统的结构框图;
图4为本发明一种基于软件定义网络的多网络设备互联现实系统第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1为本发明一种多网络设备互联现实方法第一实施例的流程示意图。
在本实施例中,所述多网络设备互联现实方法包括:
步骤S10:互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;
需要说明的是,在执行该步骤之前,需要对本实施例方法中涉及的互联管理平台、软件定义网络管控器集群(由多个SDN管控器组成,以下简称SDN管控器集群)以及软件定义网络(即SDN网络)进行部署,并将所述待互联的网络设备连接到所述SDN网络,在本实施例中,所述SDN网络是由若干个SDN交换机相互连接形成的网络,其实体为SDN交换机;所述互联管理平台、SDN管控器集群以及所述SDN网络中的SDN交换机互相连接并进行信息交互。所述SDN网络支持星型、环形、分布式核心网络、全网状等网络架构。
此外,在本实施中,所述互联管理平台、SDN管控器集群均采用高可用集群(HighAvailability Cluster,HA Cluster)方式进行部署,且部署模式包括但不限于:1+1、1+N、N+N等,具体的部署模式可根据实际情况设定,本实施例对此不加以限制。
需要说明的是,所述互联管理平台采用浏览器/服务器模式(Browser/Server,B/S)结构,用户可通过超文本传输协议(HyperText Transfer Protocol,HTTP)方式远程连接并管理所述互联管理平台来实现对平台的配置管理与运营维护。在本实施例中,所述互联管理平台可对待互联的网络设备的身份特征参数进行集中配置,并将配置的所述身份特征参数通过表行化的状态转移应用程序编程接口(Representational State TransferApplication Programming Interface,REST API)发送至所述SDN管控器集群。所述身份特征参数包括但不限于:待互联的网络设备接入的交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型以及传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,具体的身份特征参数的配置种类可根据实际情况而定,本实施例对此不加以限制。
在具体实现中,用户通过登录初始化后的所述互联管理平台,根据实际需求选择待添加的SDN管控器和所述待添加的SDN管控器对应的目标SDN管控器集群以及待添加的SDN交换机;相应地,所述互联管理平台根据用户输入的添加指令,将所述待添加的SDN管控器添加至所述目标SDN管控器集群,同时将所述待添加的SDN交换机连接至所述目标SDN管控器集群;在保证所述待添加的SDN交换机连接成功的情况下,所述互联管理平台通过接收用户在预设连接模式下输入的参数配置指令;并根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至所述SDN管控器集群。
在本实施例中,所述待互联的网络设备包括上联网络设备和下联网络设备(以下简称上联设备和下联设备)。所述预设连接模式为一对多连接模式,即一个上联设备与多个下联设备进行互联的模式,其中,所述上联设备和所述下联设备包括但不限于:防火墙、网站应用级入侵防御系统、入侵防御系统/入侵检测系统、负载均衡器、探针、物理服务器、终端设备以及虚拟机等。此外,本实施例中的所述互联管理平台还提供除所述一对多连接模式以外的其他连接模式,例如:一对一连接模式、多对多连接模式等,具体模式的选用可由用户根据实际情况确定,本实施例对此不加以限制。
步骤S20:所述软件定义网络管控器集群接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
在具体实现中,所述SDN管控器集群中的SDN管控器主要负责所述SDN网络的管理控制,同时还负责接收所述互联管理平台下发的所述待互联的网络设备对应的所述身份特征参数,并通过Openflow协议(一种新型网络协议)将所述身份特征参数生成转发流表,并将所述转发流表下发到已连接的SDN交互机上。本实施例中,所述SDN管控器集群采用高可用集群方式进行部署,且包含多个SDN管控器。因此,在其中一台SDN管控器故障时,并不会影响后续的待互联的网络设备的互联,从而提高了网络设备互联的可靠性。
步骤S30:所述软件定义网络交换机接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
需要说明的是,本实施例中的SDN网络由多个SDN交换机相互连接而构成,所述SDN交换机负责待互联的网络设备的接入以及对所述待互联的网络设备的数据报文的转发,所述互联转发路径即待互联的网络设备对应的互联路径。
在具体实现中,所述SDN交换机通过Openflow协议接收所述SDN管控器集群下发的所述转发流表,然后根据所述转发流表生成互联转发路径,并根据所述转发流表中的流表项(例如:虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号等)对所述待互联的网络设备发送的数据报文进行匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
本实施例通过互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;然后由软件定义网络管控器集群根据接收到的身份特征参数生成转发流表,并将转发流表发送至软件定义网络交换机;软件定义网络交换机通过接收转发流表并生成互联转发路径,从而能够根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,并将匹配成功的数据报文通过所述互联转发路径进行转发,进而实现了多网络设备的互联;同时由于是通过对数据报文进行识别并匹配,从而解决了现有互联技术基于物理端口进行网络设备互联而导致的应用场景单一的问题;同时由于采用高可用集群方式对SDN管控器进行部署,提高了网络设备互联的可靠性。
进一步地,如图2所示,基于上述第一实施例提出本发明一种多网络设备互联现实方法第二实施例。
在本实施例中,所述步骤S10具体包括:
步骤S101:互联管理平台接收用户在预设连接模式下输入的参数配置指令;
步骤S102:互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置;
需要说明的是,所述互联管理平台接收用户在预设连接模式下输入的参数配置指令,所述参数配置指令包括:上联设备参数配置指令和下联设备参数配置指令;本实施例中,所述上联设备参数配置指令对应的上联设备的待配置参数包括但不限于:上联设备所连接的SDN交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,在本实施例中,所述虚拟局域网身份标签(即vlan id)大于0,小于4095,所述网络协议地址符合规范(例如:192.168.1.10、192.168.1.20、192.168.1.30等),所述传输控制协议端口号/用户数据报协议端口号(即TCP/UDP端口号)大于0,小于65536。
相应地,所述下联设备参数配置指令对应的下联设备的待配置参数包括但不限于:下联设备所连接的SDN交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,在本实施例中,所述虚拟局域网身份标签(即vlan id)大于0,小于4095,所述网络协议地址符合规范(例如:192.168.1.10、192.168.1.20、192.168.1.30等),所述传输控制协议端口号/用户数据报协议端口号(即TCP/UDP端口号)大于0,小于65536。
步骤S103:互联管理平台对配置的待互联网络设备的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;
应理解的是,所述互联管理平台在根据用户输入的参数配置指令对待互联的网络设备进行身份特征参数配置之后,会对配置的待互联网络设备的所述身份特征参数进行有效性检测,在确认所述身份特征参数的有效性之后,对所述待互联的网络设备进行互联的时段进行配置,例如:将8:00-18:00配置为有效互联时段,即SDN网络中各SDN交换机连接的待互联的网络设备可互联的时间段为一天中的8:00-18:00时段,也就是说SDN管控器集群在8:00-18:00以外的时段,不会将接收到的待互联的网络设备对应的身份特征参数生成转发流表,从而停止网络设备互联。
需要说明的是,本实施中的有效互联时段可以是一个预设的时间周期,也可以是一个循环的时间周期,具体的有效互联时段可根据实际需求选择与设定,本实施例对此不加以限制。
在本实施例中,所述互联管理平台在根据用户输入的参数配置指令对待互联的网络设备进行身份特征参数配置之后,还会为后续进行网络设备互联的所述互联转发路径配置各种安全策略,以过滤网络流量。具体地,所述安全策略是基于待互联的网络设备发送的数据报文的源/目的物理(Media Access Control,MAC)地址、虚拟局域网身份标签、源/目的网络协议地址、协议类型、源/目的传输控制协议端口号/用户数据报协议端口号等条件对所述数据报文进行过滤,以拒绝非法报文进入所述互联转发路径。
步骤S104:互联管理平台将所述有效互联时段和配置的身份特征参数通过北向接口发送至软件定义网络管控器集群。
所述互联管理平台在对所述身份特征参数以及有效互联时段配置完成后,将所述有效互联时段和配置的身份特征参数保存至预设的数据库,并通过北向接口发送至所述SDN管控器集群。
相应地,在本实施例中,在所述步骤S104之后,所述方法还包括:
步骤S201:软件定义网络管控器集群接收所述有效互联时段和配置的身份特征参数,并根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;
在具体实现中,所述SDN管控器集群接收所述互联管理平台发送的所述有效互联时段和配置的身份特征参数,并判断当前时间是否属于所述有效互联时段,根据判断结果来执行相应的操作。
步骤S202:软件定义网络管控器集群在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
需要说明的是,本实施例中,所述南向接口协议包括:Openflow协议、Netcof协议(一种基于可扩展标记语言的网络配置协议)、OVSDB协议(Open VSwitch)、远程过程调用协议(Remote Procedure Call Protocol,RPC)等。
在具体实现中,当所述SDN管控器集群判断出所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
本实施例互联管理平台通过配置待互联的网络设备的有效互联的时段以及互联的安全策略,能够在对网络设备互联进行有效控制的同时,对网络设备互联的互联转发路径的网络流量进行安全管控过滤非互联流量、提高设备互联的安全性。
此外,本发明还提供一种多网络设备互联现实系统。
参照图3,图3为本发明一种多网络设备互联现实系统的结构框图。其中,所述多网络设备互联现实系统包括:互联管理平台1001、软件定义网络管控器集群1002以及多个软件定义网络交换机(即图4中的SDN交换机1003、SDN交换机1004、SDN交换机1005和SDN交换机1006);
所述互联管理平台1001,用于对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群1002;
所述软件定义网络管控器集群1002,用于接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
所述软件定义网络交换机,用于相互连接构成软件定义网络;以及接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
需要说明的是,由多个SDN交换机构成的SDN网络中,所述软件定义网络交换机(以下简称SDN交换机)的数量可根据实际需要部署,并不局限与本实施例图4中的所述SDN交换机1003、SDN交换机1004、SDN交换机1005和SDN交换机1006。
在具体实现中,需要对所述互联管理平台1001、软件定义网络管控器集群1002(由多个SDN管控器组成,以下简称SDN管控器集群1002)以及软件定义网络(即SDN网络)进行部署,并将所述待互联的网络设备连接到所述SDN网络,在本实施例中,所述SDN网络是由若干个SDN交换机相互连接形成的网络;所述互联管理平台1001通过所述SDN管控器集群1002与所述SDN网络中的SDN交换机连接并进行信息交互。所述SDN网络支持星型、环形、分布式核心网络、全网状等网络架构。
在本实施中,所述互联管理平台1001、所述SDN管控器集群1002均采用高可用集群(High Availability Cluster,HA Cluster)方式进行部署,且部署模式包括但不限于:1+1、1+N、N+N等,具体的部署模式可根据实际情况设定,本实施例对此不加以限制。
需要说明的是,所述互联管理平台1001采用浏览器/服务器模式(Browser/Server,B/S)结构,用户可通过超文本传输协议(HyperText Transfer Protocol,HTTP)方式远程连接并管理所述互联管理平台1001来实现对平台的配置管理与运营维护。在本实施例中,所述互联管理平台1001可对待互联的网络设备的身份特征参数进行集中配置,并将配置的所述身份特征参数通过表行化的状态转移应用程序编程接口(RepresentationalState Transfer Application Programming Interface,REST API)发送至所述SDN管控器集群1002。所述身份特征参数包括但不限于:待互联的网络设备接入的交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型以及传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,具体的身份特征参数的配置种类可根据实际情况而定,本实施例对此不加以限制。
此处结合图4对本实施例中的多网络设备互联现实系统进行具体描述。如图4所示,S1:上联设备;X1~X4:下联设备;1003~1005:SDN交换机;SDN管控器集群1002包括:SDN管控器10021和SDN管控器10022;1001:互联管理平台。
在具体实现中,用户通过登录初始化后的所述互联管理平台1001,根据实际需求选择待添加的SDN管控器(例如,SDN管控器10021和SDN管控器10022)和所述待添加的SDN管控器对应的目标SDN管控器集群(例如,SDN管控器集群1002)以及待添加的SDN交换机(例如,SDN交换机1003、SDN交换机1004和SDN交换机1005);相应地,所述互联管理平台1001根据用户输入的添加指令,将所述待添加的SDN管控器10021和SDN管控器10022添加至所述SDN管控器集群1002,同时将所述待添加的SDN交换机1003~1005连接至所述SDN管控器集群1002;在保证所述待添加的SDN交换机1003~1005连接成功的情况下,所述互联管理平台1001通过接收用户在预设连接模式下输入的参数配置指令;并根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至所述SDN管控器集群1002。
在本实施例中,所述待互联的网络设备包括上联网络设备S1和下联网络设备X1~X4(以下简称上联设备和下联设备)。所述预设连接模式为一对多连接模式,即一个上联设备S1与多个下联设备X1~X4进行互联的模式,其中,所述上联设备S1和所述下联设备X1~X4包括但不限于:防火墙、网站应用级入侵防御系统、入侵防御系统/入侵检测系统、负载均衡器、探针、物理服务器、终端设备以及虚拟机等。此外,本实施例中的所述互联管理平台1001还提供除所述一对多连接模式以外的其他连接模式,例如:一对一连接模式、多对多连接模式等,具体模式的选用可由用户根据实际情况确定,本实施例对此不加以限制。
在本实施例中,所述SDN管控器集群1002中的SDN管控器10021或SDN管控器10022,还用于负责所述SDN网络的管理控制,同时还负责接收所述互联管理平台1001下发的所述待互联的网络设备对应的所述身份特征参数,并通过Openflow协议(一种新型网络协议)将所述身份特征参数生成转发流表,并将所述转发流表下发到已连接的SDN交互机上。本实施例中,所述SDN管控器集群采用高可用集群方式进行部署,且包含多个SDN管控器,具体SDN管控器的数量可根据实际情况设定。本实施例中的SDN管控器集群1002在其中一台SDN管控器,例如:SDN管控器10021故障时,可通过SDN管控器10022继续实现所述待互联的网络设备的互联,从而能够提高网络设备互联的可靠性。
在本实施例中,所述SDN网络中的SDN交换机负责待互联的网络设备(例如,上联设备S1和多个下联设备X1~X4)的接入以及对所述待互联的网络设备发送的数据报文的转发。
在具体实现中,SDN交换机通过Openflow协议接收所述SDN管控器集群1002下发的所述转发流表,然后根据所述转发流表生成互联转发路径,并根据所述转发流表中的流表项(例如:虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号等)对所述待互联网络设备的数据报文进行匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。本实施例中所述互联转发路径即待互联的网络设备对应的互联路径或互联通道。
本实施例通过对数据报文进行识别并匹配,从而解决了现有互联技术基于物理端口进行网络设备互联而导致的应用场景单一的问题;同时由于采用高可用集群方式对SDN管控器进行部署,提高了网络设备互联的可靠性。
需要说明的是,本实施例中,所述互联管理平台1001,还用于接收用户在预设连接模式下输入的参数配置指令;根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群1002。
具体地,所述互联管理平台1001,还用于接收用户在预设连接模式下输入的参数配置指令,所述参数配置指令包括:上联设备参数配置指令和下联设备参数配置指令;本实施例中,所述上联设备参数配置指令对应的上联设备S1的待配置参数包括但不限于:上联设备S1所连接的SDN交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,在本实施例中,所述虚拟局域网身份标签(即vlan id)大于0,小于4095,所述网络协议地址符合规范(例如:192.168.1.10、192.168.1.20、192.168.1.30等),所述传输控制协议端口号/用户数据报协议端口号(即TCP/UDP端口号)大于0,小于65536。
相应地,所述下联设备参数配置指令对应的下联设备X1~X4的待配置参数包括但不限于:下联设备X1~X4所连接的SDN交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的任意一项或多项,在本实施例中,所述虚拟局域网身份标签(即vlan id)大于0,小于4095,所述网络协议地址符合规范(例如:192.168.1.10、192.168.1.20、192.168.1.30等),所述传输控制协议端口号/用户数据报协议端口号(即TCP/UDP端口号)大于0,小于65536。
所述互联管理平台1001,还用于对配置的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;
应理解的是,所述互联管理平台1001在根据用户输入的参数配置指令对待互联的网络设备进行身份特征参数配置之后,会对配置的所述身份特征参数进行有效性检测,在确认所述身份特征参数的有效性之后,对所述待互联的网络设备进行互联的时段进行配置,例如:所述互联管理平台1001将8:00-18:00配置为有效互联时段,即SDN网络中SDN交换机1003连接的上联设备S1、SDN交换机1004连接的下联设备X1、X2;SDN交换机1005连接的下联设备X3、X4可进行互联的时间段为一天中的8:00-18:00时段,也就是说SDN管控器集群1002在8:00-18:00以外的时段,不会将接收到的待互联网络设备对应的身份特征参数生成转发流表,从而停止网络设备互联。
需要说明的是,本实施中的有效互联时段可以是一个预设的时间周期,也可以是一个循环的时间周期,具体的有效互联时段可根据实际需求选择与设定,本实施例对此不加以限制。
在本实施例中,所述互联管理平台1001,还用于在根据用户输入的参数配置指令对待互联的网络设备进行身份特征参数配置之后,为后续进行网络设备互联的所述互联转发路径配置各种安全策略,以过滤网络流量。具体地,所述安全策略是基于待互联的网络设备发送的数据报文的源/目的物理(Media Access Control,MAC)地址、虚拟局域网身份标签、源/目的网络协议地址、协议类型、源/目的传输控制协议端口号/用户数据报协议端口号等条件对所述数据报文进行过滤,以拒绝非法报文进入所述互联转发路径。
所述互联管理平台1001,还用于平台在对所述身份特征参数以及有效互联时段配置完成后,将所述有效互联时段和配置的身份特征参数保存至预设的数据库,并通过北向接口发送至所述SDN管控器集群1002。
相应地,所述软件定义网络管控器集群1002,还用于接收所述有效互联时段和配置的身份特征参数,并根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
需要说明的是,本实施例中,所述南向接口协议包括:Openflow协议、Netcof协议(一种基于可扩展标记语言的网络配置协议)、OVSDB协议(Open VSwitch)、远程过程调用协议(Remote Procedure Call Protocol,RPC)等。
本实施例互联管理平台通过配置待互联的网络设备的有效互联的时段以及互联的安全策略,能够在对网络设备互联进行有效控制的同时,对网络设备互联的互联转发路径的网络流量进行安全管控过滤非互联流量、提高设备互联的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于软件定义网络的多网络设备互联现实方法,其特征在于,所述方法包括:
互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群,其中,所述互联管理平台和所述软件定义网络管控器集群均采用高可用集群方式进行部署;
所述软件定义网络管控器集群接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
所述软件定义网络交换机接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对所述待互联的网络设备发送的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
2.如权利要求1所述的方法,其特征在于,所述互联管理平台对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群,具体包括:
互联管理平台接收用户在预设连接模式下输入的参数配置指令;
互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群。
3.如权利要求2所述的方法,其特征在于,所述互联管理平台接收用户在预设连接模式下输入的参数配置指令之前,所述方法还包括:
互联管理平台接收用户的添加指令,并根据所述添加指令将待添加的软件定义网络管控器添加至所述软件定义网络管控器集群中;并将待添加的软件定义网络交换机连接至所述软件定义网络管控器集群中。
4.如权利要求2所述的方法,其特征在于,所述互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群,具体包括:
互联管理平台根据所述参数配置指令对待互联的网络设备进行身份特征参数配置;
互联管理平台对配置的待互联网络设备的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;
互联管理平台将所述有效互联时段和配置的身份特征参数通过北向接口发送至软件定义网络管控器集群。
5.如权利要求4所述的方法,其特征在于,所述软件定义网络管控器集群接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机,具体包括:
软件定义网络管控器集群根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;
软件定义网络管控器集群在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
6.如权利要求5所述的方法,其特征在于,所述待互联网络设备包括:防火墙、网站应用级入侵防御系统、入侵防御系统/入侵检测系统、负载均衡器、探针、物理服务器、终端设备以及虚拟机中的任意一种;
所述身份特征参数包括:待互联网络设备接入的交换机端口号、虚拟局域网身份标签、网络协议地址、协议类型、传输控制协议端口号/用户数据报协议端口号中的至少一项。
7.一种基于软件定义网络的多网络设备互联现实系统,其特征在于,所述系统包括:互联管理平台、软件定义网络管控器集群和多个软件定义网络交换机,其中,所述互联管理平台和所述软件定义网络管控器集群均采用高可用集群方式进行部署;
所述互联管理平台,用于对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群;
所述软件定义网络管控器集群,用于接收所述身份特征参数,根据所述身份特征参数生成转发流表,并将所述转发流表发送至软件定义网络交换机;
所述多个软件定义网络交换机,用于相互连接构成软件定义网络;以及接收所述转发流表,根据所述转发流表生成互联转发路径,并根据所述转发流表对接收到的数据报文进行转发流表匹配,将匹配成功的数据报文通过所述互联转发路径进行转发,以实现多网络设备互联。
8.如权利要求7所述的多网络设备互联现实系统,其特征在于,所述互联管理平台,还用于接收用户在预设连接模式下输入的参数配置指令;根据所述参数配置指令对待互联的网络设备进行身份特征参数配置,并将配置的身份特征参数发送至软件定义网络管控器集群。
9.如权利要求8所述的多网络设备互联现实系统,其特征在于,所述互联管理平台,还用于接收用户的添加指令,并根据所述添加指令将待添加的软件定义网络管控器添加至所述软件定义网络管控器集群中以及将待添加的软件定义网络交换机连接至所述软件定义网络管控器集群中。
10.如权利要求9所述的多网络设备互联现实系统,其特征在于,所述互联管理平台,还用于根据所述参数配置指令对待互联的网络设备进行身份特征参数配置;对配置的待互联网络设备的身份特征参数进行有效性检测,在检测结果满足预设条件时,对所述待互联网络设备的互联时段进行配置,获得有效互联时段;将所述有效互联时段和配置的身份特征参数通过北向接口发送至软件定义网络管控器集群;
相应地,所述软件定义网络管控器集群,还用于根据所述有效互联时段判断当前时刻是否属于所述有效互联时段;在所述当前时刻属于所述有效互联时段时,将接收到的所述身份特征参数转化为转发流表,并通过南向接口协议将所述转发流表发送至所述软件定义网络交换机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711120639.3A CN108011825B (zh) | 2017-11-10 | 2017-11-10 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711120639.3A CN108011825B (zh) | 2017-11-10 | 2017-11-10 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108011825A CN108011825A (zh) | 2018-05-08 |
CN108011825B true CN108011825B (zh) | 2020-07-28 |
Family
ID=62051573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711120639.3A Active CN108011825B (zh) | 2017-11-10 | 2017-11-10 | 一种基于软件定义网络的多网络设备互联现实方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108011825B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113556208B (zh) * | 2020-04-24 | 2022-08-26 | 华为技术有限公司 | Hello报文传输方法、装置和可读存储介质 |
CN113810222B (zh) * | 2021-08-13 | 2024-06-14 | 柳州达迪通信技术股份有限公司 | 网络配线链路识别装置、系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103795805A (zh) * | 2014-02-27 | 2014-05-14 | 中国科学技术大学苏州研究院 | 基于sdn的分布式服务器负载均衡方法 |
CN104092774A (zh) * | 2014-07-23 | 2014-10-08 | 杭州华三通信技术有限公司 | 软件定义网络连接建立控制方法及装置 |
CN104185972A (zh) * | 2012-03-05 | 2014-12-03 | 日本电气株式会社 | 网络系统、交换机和网络构建方法 |
CN106101298A (zh) * | 2016-06-06 | 2016-11-09 | 刘昱 | 基于sdn的网络地址转换装置及方法 |
CN106341256A (zh) * | 2016-08-17 | 2017-01-18 | 上海交通大学 | 基于软件定义网络的v2g系统及其安全通信方法 |
CN106453367A (zh) * | 2016-10-27 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的防地址扫描攻击的方法及系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3462686B1 (en) * | 2011-08-17 | 2019-10-16 | Nicira Inc. | Distributed logical l3 routing |
CN103684922B (zh) * | 2013-12-23 | 2017-02-15 | 蓝盾信息安全技术股份有限公司 | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 |
CN104836688B (zh) * | 2015-05-12 | 2018-11-02 | 深圳市泰信通信息技术有限公司 | 网络装置及其虚拟配置底层设备的方法 |
CN106936609B (zh) * | 2015-12-29 | 2020-10-16 | 南京中兴新软件有限责任公司 | 一种软件定义网络中控制转发设备集群的方法及控制器 |
CN105610715B (zh) * | 2016-03-14 | 2018-10-23 | 山东大学 | 一种基于sdn的云数据中心多虚拟机迁移调度计划方法 |
CN105703960A (zh) * | 2016-04-25 | 2016-06-22 | 刘昱 | 基于sdn的网络功能管理系统及方法 |
CN106713146B (zh) * | 2017-02-27 | 2020-12-18 | 台州市吉吉知识产权运营有限公司 | 基于软件定义网络的实施路由器发现协议的方法、装置和系统 |
-
2017
- 2017-11-10 CN CN201711120639.3A patent/CN108011825B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104185972A (zh) * | 2012-03-05 | 2014-12-03 | 日本电气株式会社 | 网络系统、交换机和网络构建方法 |
CN103795805A (zh) * | 2014-02-27 | 2014-05-14 | 中国科学技术大学苏州研究院 | 基于sdn的分布式服务器负载均衡方法 |
CN104092774A (zh) * | 2014-07-23 | 2014-10-08 | 杭州华三通信技术有限公司 | 软件定义网络连接建立控制方法及装置 |
CN106101298A (zh) * | 2016-06-06 | 2016-11-09 | 刘昱 | 基于sdn的网络地址转换装置及方法 |
CN106341256A (zh) * | 2016-08-17 | 2017-01-18 | 上海交通大学 | 基于软件定义网络的v2g系统及其安全通信方法 |
CN106453367A (zh) * | 2016-10-27 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的防地址扫描攻击的方法及系统 |
Non-Patent Citations (1)
Title |
---|
5G Prospects-Key Capabilities to Unlock Digital Opportunities;Mikio Iwamura;《NGMN Alliance》;20160731;正文第10-11页 * |
Also Published As
Publication number | Publication date |
---|---|
CN108011825A (zh) | 2018-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12047446B2 (en) | External injection of cloud based network functions into network services | |
CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
CN105471596A (zh) | 网络管理的方法和装置 | |
KR20120052981A (ko) | 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템 | |
EP3252999A1 (en) | Home network device management method and network management system | |
CN102457421B (zh) | 在两个网络间建立vpn连接的方法 | |
CN103036732A (zh) | 一种网络监控处理的方法、系统和设备 | |
CN104980368A (zh) | 软件定义网络中的带宽保障方法及装置 | |
CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
CN108011825B (zh) | 一种基于软件定义网络的多网络设备互联现实方法及系统 | |
CN104184637B (zh) | 综采工作面数据传输系统及其数据传输方法 | |
CN106330511B (zh) | 网元设备及数据通信网络开通的方法 | |
CN103138961B (zh) | 服务器控制方法、被控服务器及中心控制服务器 | |
KR101629089B1 (ko) | 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법 | |
CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
CN108900653A (zh) | 一种基于onvif协议及数据链路层实现跨网段搜索系统 | |
CN103619032A (zh) | 无线路由设备优化方法和装置 | |
US11456916B2 (en) | Operation and architecture of a central office point of delivery within a broadband access network of a telecommunications network | |
CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
CN106330708A (zh) | 一种本地dns服务的系统和方法 | |
Kern et al. | Securing Industrial Remote Maintenance Sessions using Software-Defined Networking | |
US11258720B2 (en) | Flow-based isolation in a service network implemented over a software-defined network | |
Singh et al. | Flow Installation in Open Flow Based Software Defined Network; A Security Perspective | |
Adekunle et al. | A Security Architecture for Software Defined Networks (SDN) | |
Granelli et al. | Realizing network slicing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |