CN108234211B - 网络控制方法、系统和存储介质 - Google Patents
网络控制方法、系统和存储介质 Download PDFInfo
- Publication number
- CN108234211B CN108234211B CN201711491710.9A CN201711491710A CN108234211B CN 108234211 B CN108234211 B CN 108234211B CN 201711491710 A CN201711491710 A CN 201711491710A CN 108234211 B CN108234211 B CN 108234211B
- Authority
- CN
- China
- Prior art keywords
- network
- configuration data
- sdn
- cloud platform
- virtual cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络控制方法、系统和存储介质。方法包括:通过虚拟云平台接收网络配置数据和服务配置数据;通过虚拟云平台将网络配置数据发送至SDN网络架构中的SDN控制器,SDN控制器用于根据网络配置数据控制SDN网络架构;通过SDN控制器检测是否存在实例化端点,实例化端点是通过SDN网络架构进行网络通信的节点;若是,则通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令,控制指令用于指示硬件网络设备按照服务配置数据,对检测到的实例化端点在SDN网络架构之间的网络通信进行控制。上述的网络控制方法、系统和存储介质能够提高网络的稳定性。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种网络控制方法、系统和存储介质。
背景技术
SDN(Software Defined Network,软件定义网络)是一种网络设计架构,是网络虚拟化的一种实现方式,通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。SDN网络架构主要由应用层、控制层、基础设施层组成,其中,应用层提供应用和服务,比如,网管、安全、流控等;控制层提供统一管理和控制,比如,协议计算、策略下发、链路信息收集等;基础设施层提供硬件网络设备,比如,交换机、路由器等,进行数据处理、转发和状态收集。控制层通过南向接口与基础设施层连接,实现了资源的虚拟化,通过北向接口向上层应用层按需进行网络配置并调用网络资源。
然而,由于传统的SDN网络架构中,4至7层服务,比如负载均衡功能以及防火墙等功能,是通过虚拟网络中的网络节点实现的。如果网络节点发生故障,全网服务都会受到影响,从而导致网络稳定性较低。
发明内容
基于此,有必要针对网络稳定性较低问题,提供一种网络控制方法、系统和存储介质。
一种网络控制方法,包括:通过虚拟云平台接收网络配置数据和服务配置数据;通过所述虚拟云平台将所述网络配置数据发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络配置数据控制所述SDN网络架构;通过所述SDN控制器检测是否存在实例化端点,所述实例化端点是通过所述SDN网络架构进行网络通信的节点;若是,则通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,所述控制指令用于指示所述硬件网络设备按照所述服务配置数据,对检测到的实例化端点在所述SDN网络架构之间的网络通信进行控制。
在其中一个实施例中,所述通过所述虚拟云平台将所述网络配置数据发送至SDN网络架构中的SDN控制器,包括:通过所述虚拟云平台中预设的网络映射模型对所述网络配置数据进行转换处理,生成网络通信规则;通过所述虚拟云平台将所述网络通信规则发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络通信规则控制所述SDN网络架构。
在其中一个实施例中,所述网络映射模型包括基于组的策略映射模型;所述通过所述虚拟云平台中预设的网络映射模型对所述网络配置数据进行转换处理,生成网络通信规则,包括:通过所述虚拟云平台中预设的基于组的策略映射模型,根据所述网络配置数据确定分类器和相应的动作;对每个确定的分类器和相应的动作进行格式转换,生成相应的过滤器;根据生成的多个过滤器,形成网络通信规则。
在其中一个实施例中,所述硬件网络设备包括负载均衡设备,所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,包括:通过所述虚拟云平台解析所述服务配置数据,得到与所述服务配置数据对应的负载均衡规则;根据所述负载均衡规则生成控制指令,并确定与所述负载均衡规则对应的负载均衡设备;向所述负载均衡设备发送控制指令,所述控制指令用于指示所述负载均衡设备按照所述负载均衡规则对检测到的实例化端点在所述SDN网络架构之间的网络流量进行控制。
在其中一个实施例中,所述硬件网络设备包括防火墙设备,所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,包括:通过所述虚拟云平台解析所述服务配置数据,得到与所述服务配置数据对应的防火墙规则;根据所述防火墙规则生成控制指令,并确定与所述防火墙规则对应的防火墙设备;向所述防火墙设备发送控制指令,所述控制指令用于指示所述防火墙设备按照所述防火墙规则对检测到的实例化端点在所述SDN网络架构之间的传输数据进行控制。
在其中一个实施例中,所述通过虚拟云平台接收网络配置数据和服务配置数据,包括:通过虚拟云平台接收端点组定义数据,并根据所述端点组定义数据定义第一端点组和第二端点组;通过虚拟云平台接收所述第一端点组和第二端点组之间网络通信的网络配置数据和服务配置数据,并将所述第一端点组作为所述服务配置数据所对应的网络服务的提供者,将所述第二端点组作为所述服务配置数据所对应的网络服务的消费者;在所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令之后,还包括:确定检测到的实例化端点所属的目标端点组,所述目标端点组包括所述第一端点组或第二端点组。
一种网络控制系统,包括:虚拟云平台,用于接收网络配置数据和服务配置数据;将所述网络配置数据发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络配置数据控制所述SDN网络架构;向与所述服务配置数据对应的硬件网络设备发送控制指令;SDN控制器,用于接收所述虚拟云平台发送的网络配置数据;根据所述网络配置数据控制所述SDN网络架构;检测是否存在实例化端点,所述实例化端点是通过所述SDN网络架构进行网络通信的节点;硬件网络设备,用于接收所述虚拟云平台发送的控制指令;根据所述控制指令按照所述服务配置数据,对检测到的实例化端点在所述SDN网络架构之间的网络通信进行控制。
在其中一个实施例中,所述硬件网络设备包括负载均衡设备或防火墙设备。
在其中一个实施例中,所述虚拟云平台包括OpenStack;所述SDN控制器包括应用策略基础设施控制器,所述SDN网络架构包括应用为中心的基础设施。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述各个实施例中所述的网络控制方法的步骤。
上述网络控制方法、系统和存储介质,通过虚拟云平台接收网络配置数据和服务配置数据之后,将网络配置数据发送至SDN控制器,使得通过SDN网络架构定义实例化端点之间的网络拓扑。SDN控制器检测到定义好的网络拓扑中存在实例化端点时,虚拟云平台可根据服务配置数据向对应的硬件网络设备发送控制指令,且该控制指令用于指示硬件网络设备实现服务配置数据所对应的网络服务,使得硬件网络设备能对实例化端点在SDN网络架构之间的网络通信进行控制。由于网络服务是由硬件物理设备提供,而硬件物理设备的网络可靠性较高,从而能够提高网络的稳定性。
附图说明
图1为一个实施例中网络控制方法的应用环境图;
图2为一个实施例中网络控制方法的流程图;
图3为一个实施例中GBP模型的示意图;
图4为另一个实施例中网络控制方法的流程图;
图5为一个实施例中基于组的策略映射模型的示意图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本发明所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但这些元件不受这些术语的限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本发明的范围的情况下,可以将第一端点组称为第二端点组,且类似地,可将第二端点组称为第一端点组。第一端点组和第二端点组两者都是端点组,但其不是同一端点组。
本发明实施例所提供的网络控制方法,可应用于如图1所示的应用环境中。参照图1,该应用环境包括SDN网络架构120、虚拟云平台140、端点组160和硬件网络设备180。其中,SDN网络架构120中包括多个主干节点122、多个叶子节点124和SDN控制器126。多个主干节点122和多个叶子节点124可为二层交换机,用于构成转发设备,实现计算机设备162之间的数据转发。SDN控制器126用于控制SDN网络架构120。端点组160中包括多个计算机设备162。虚拟云平台140是云计算管理平台,用于通过一组相关的服务提供IaaS(Infrastructureas a Service,即基础设施即服务,用户通过网络可以从完善的计算机基础设施获得服务)解决方案,并为每个服务提供了一个API(Application Programming Interface,应用程序编程接口),促进了这种集成。虚拟云平台140所对应的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群。计算机设备162可以是物理设备,比如终端或服务器,终端包括但不先限于包括但不限于手机、平板电脑或者个人数字助理或穿戴式设备等,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群,服务器还可以是以VM(Virtual Manufacturing,虚拟机,通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统)实现的。硬件网络设备180包括但不限于防火墙设备、虚拟均衡设备等。虚拟云平台140可分别通过API与SDN控制器126和硬件网络设备180连接。SDN控制器126可通过协议,比如说OpFlex协议,对SDN网络架构120中的多个主干节点122和多个叶子节点124转发数据的方式进行控制。计算机设备162可通过SDN网络架构120进行网络连接。
在一个实施例中,如图2所示,提供了一种网络控制方法,该方法可用于如图1所示的应用环境中,该方法包括:
步骤S202,通过虚拟云平台接收网络配置数据和服务配置数据。
虚拟云平台是指提供云计算管理服务的通用前端。虚拟云平台包括但不限于OpenStack、Docker等。网络配置数据是指用于配置OSI(Open System Interconnection,开放式系统互联)网络协议中1至3层的数据,服务配置数据是指用于配置网络协议中4至7层的数据。OSI是一个开放性的通信系统互连参考模型,有7层结构,从上到下分别是7应用层、6表示层、5会话层、4传输层、3网络层、2数据链路层、1物理层。可通过网络配置数据控制VLAN(Virtual Local Area Network,虚拟局域网)、IP地址、子网所对应的终端、服务器之间的网络数据流向。可通过服务配置数据提供网络服务,包括但不限于防火墙服务、负载均衡服务、入侵防护服务、广域网加速服务等。
在一个实施例中,可针对虚拟云平台提供相应的虚拟云网页,用户可通过登陆虚拟云网页登陆虚拟云平台之后,可选择服务目录上的相关参数进行设置。虚拟云平台可将用户输入的具体参数按照所对应的结构层数作为网络配置数据或服务配置数据。
在一个实施例中,网络配置数据和服务配置数据可以端点组(EPG,EndpointGroups)为最小单元,定义端点组之间的网络通信方式。其中,端点组可以以物理端口、逻辑端口、虚拟局域网ID、IP地址、子网及域名等参数进行定义。
步骤S204,通过虚拟云平台将网络配置数据发送至SDN网络架构中的SDN控制器。
SDN网络架构是指通过软件编程来构造的网络的架构,可以通过以应用为中心的基础设施(ACI,Application Centric Infrastructure)来实现该SDN网络架构。SDN控制器是指基于如OpenFlow等协议的,SDN网络架构中用于控制SDN网络架构的应用程序。SDN控制器可以是应用策略基础设施控制器(APIC,Application Policy InfrastructureController)。虚拟云平台可通过SDN控制器的API将网络配置数据发送至SDN网络架构中的SDN控制器。SDN控制器可用于根据网络配置数据控制SDN网络架构。
在一个实施例中,APIC可采用带外管理(Out-of-band)或带内管理(In-band)方式部署在ACI中。带内管理是指管理控制信息与数据信息使用统一物理通道进行传送。带外管理是指通过不同的物理通道传送管理控制信息和数据信息
步骤S206,通过SDN控制器检测是否存在实例化端点。
实例化端点是指在所定义的端点组中创建的具体对象。实例化端点可为通过SDN网络架构进行网络通信的节点。实例化端点可为图1应用环境中的计算机设备162。其中,节点可以是终端节点,可以是服务器节点,且每个节点具有唯一的网络地址,比如说IP地址。节点之间的通信线路所形成的几何关系为网络拓扑。若存在实例化端点,则执行步骤S208;否则,执行步骤S210。
在一个实施例中,当SDN网络架构中存在实例化端点时,网络中会产生相关的数组,SDN控制器可通过检测网络中的数组判断是否存在实例化端点。实例化端点可为终端、服务器。
在一个实施例中,可通过虚拟云平台进行构建生成的虚拟机,并将虚拟机作为实例化端点。
步骤S208,通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令。
虚拟云平台可调用与服务配置数据所对应的硬件网络设备的API,并对硬件网络设备发送控制指令。其中,控制指令用于指示硬件网络设备按照服务配置数据,对检测到的实例化端点在SDN网络架构之间的网络通信进行控制。举例来说,针对用于提供防火墙服务的服务配置数据,虚拟云平台可调用防火墙设备,并通过对防火墙设备发送控制指令使得实现相应的防火墙功能。
在一个实施例中,服务配置数据定义了第一端点组向第二端点组发送的网络数据需要经过防火墙进行管控,将敏感信息进行拦截。当检测到属于第一端点组的实例化端点A和属于第二端点组的实例化端点B之后,实例化端点A与实例化端点B之间可通过SDN网络架构进行网络通信,且实例化端点A发送的网络数据会通过防火墙设备进行控制,得到控制后的上层数据,上层数据会再通过SDN网络架构实现根据网络层、数据链路层、物理层进行封装之后再发送至实例化端点B,从而提高了网络数据拦截的安全性。
步骤S210,不作处理。
当不存在实例化端点时,SDN网络架构中不存在具体的网络数据,也无需进行网络数据的转发。
上述实施例中,通过虚拟云平台接收网络配置数据和服务配置数据之后,将网络配置数据发送至SDN控制器,使得通过SDN网络架构定义实例化端点之间的网络拓扑。SDN控制器检测到定义好的网络拓扑中存在实例化端点时,虚拟云平台可根据服务配置数据向对应的硬件网络设备发送控制指令,且该控制指令用于指示硬件网络设备实现服务配置数据所对应的网络服务,使得硬件网络设备能对实例化端点在SDN网络架构之间的网络通信进行控制。由于网络服务是由硬件物理设备提供,而硬件物理设备的网络可靠性较高,从而能够提高网络的稳定性。
在一个实施例中,通过虚拟云平台将网络配置数据发送至SDN网络架构中的SDN控制器,包括:通过虚拟云平台中预设的网络映射模型对网络配置数据进行转换处理,生成网络通信规则;通过虚拟云平台将网络通信规则发送至SDN网络架构中的SDN控制器,SDN控制器用于根据网络通信规则控制SDN网络架构。
由于SDN控制器并不能识别虚拟云平台接收的网络配置数据,因此通过虚拟云平台接收网络配置数据之后,还需要通过虚拟云平台将网络配置数据转化为网络通信规则。网络通信规则是指SDN控制器能够进行识别并用于控制SDN网络架构的规则,SDN控制器可将网络通信规则下发至主干节点和叶子节点所构成的转发设备,使得转发设备能够按照网络通信规则进行网络数据的转发。比如说,网络通信规则可以OpFlex协议的形式进行下发。
在一个实施例中,当虚拟云平台为OpenStack时,网络配置数据在OpenStack中可以GBP(Group-Based Policy,基于组的策略)模型存在。如图3所示,GBP模型包括:策略组(Policy Group),是指相同属性的端点(EP,Endpints)的集合,可以指一个应用层;策略目标(Policy Target),是指定义策略所作用的对象,可以以网卡、IP地址等对象进行定义;策略规则集(Policy RuleSet),是指通过分类器(Classifier)和动作(Action)所形成的规则的集合,描述策略组之间的数据通信规则;策略分类器(Policy Classifier),是指数据过滤策略,包括网络数据交换规则,计算机端口和数据流向;策略动作(Policy Action),是指策略匹配结果的指定行为,支持的动作包括“允许”和“拒绝”;服务链(Service Chains),是指EPG之间的4至7层的顺序网络服务链;二层策略(L2 Policy),定义了一个策略目标组的集合;三层策略(L3Policy),是指一个隔离的地址空间,定义了一个三层路由空间,可以包括多个二层策略,包括L2 Policies和Subnets子网。
在一个实施例中,还可以将基于组的策略通过OpenStack的Neutron API驱动,由Neutron组件(OpenStack中为OpenStack的虚拟机提供网络方面功能的组件)将网络配置数据转换为网络通信规则。
在一个实施例中,如图4所示,提供了另一种网络控制方法,网络映射模型包括基于组的策略映射模型,该方法包括:
步骤S402,通过虚拟云平台中预设的基于组的策略映射模型,根据网络配置数据确定分类器和相应的动作。
图5为基于组的策略映射模型的示意图。基于组的策略映射模型是指用于将OpenStack中以GBP模型存在的网络配置数据进行映射处理,转化为SDN控制器能够识别的网络通信规则的模型。其中,SDN控制器包括但不限于APIC。网络配置数据中的规则(Rule)是由分类器(Classifier)和相应的动作(Action)所构成的。比如说,可根据分类器和相应的动作可控制禁用端口8000,则分类器可对传输数据的端口号进行判断,当端口为8000时,动作为拒绝。每个分类器和相应的动作可构成一条规则,而由多个规则可构成规则集(RuleSet)。规则集是用于控制第一设备组(Group1)所对应的计算机设备和第二设备组(Group2)所对应的计算机设备之间的网络通信的规则集。可将第一设备组所对应的计算机设备作为规则集的提供者,并将第二设备组作为所对应的计算机设备规则集的消费者。
步骤S404,对每个确定的分类器和相应的动作进行格式转换,生成相应的过滤器。
基于组的策略映射模型可将分类器和相应的动作进行格式转换,作为网络通信规则的输入(Entry),并生成相应的过滤器。
步骤S406,根据生成的多个过滤器,形成网络通信规则。
由多个过滤器可形成相应的协议(Contract),协议即为用于实现第一端点组(EPG1)和第二端点组(EPG2)之间网络通信的网络通信规则。
在一个实施例中,还可将第一设备组映射为第一端点组,将第二设备组映射为第二端点组,将第一二层策略(L2 Policy1)和第二二层策略(L2 Policy2)分别映射为第一桥接域(BD1,Bridge Domains,属于同一泛洪或广播域的一组逻辑接口)和第二桥接域,将三层策略映射为路由转发表(VRF,Virtual Routing Forwarding,VPN(Virtual PrivateNetwork,虚拟专用网络)路由转发表)。
步骤S408,通过虚拟云平台将网络通信规则发送至SDN网络架构中的SDN控制器。
SDN控制器用于根据网络通信规则控制SDN网络架构。比如说,当OpenStack通过基于组的策略映射模型将网络配置数据转化为网络通信规则之后,可发送至APIC。APIC可根据网络通信规则控制第一端点组和第二端点组之间的网络通信。
上述实施例中,通过基于组的策略映射模型将网络配置数据转化为SDN控制器所能识别的网络通信规则,实现了OpenStack和ACI的集成,实现了网络的可编程性,使得能够方便地控制物理计算机设备或虚拟机之间的网络通信,提高了网络的普适性。
在一个实施例中,硬件网络设备包括负载均衡设备,通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令,包括:通过虚拟云平台解析服务配置数据,得到与服务配置数据对应的负载均衡规则;根据负载均衡规则生成控制指令,并确定与负载均衡规则对应的负载均衡设备;向负载均衡设备发送控制指令,控制指令用于指示负载均衡设备按照负载均衡规则对检测到的实例化端点在SDN网络架构之间的网络流量进行控制。
负载均衡设备是指用于实现负载均衡功能的物理设备。其中,负载均衡(LB,LoadBalance)是指建立在现有网络结构之上,提供控制服务器的带宽、增加吞吐量、加强网络数据处理能力等效果的网络服务。负载均衡设备可将网络流量分配到多个实例化端点上进行处理。负载均衡规则是指通过负载均衡设备对网络流量的控制规则,包括但不限于按照轮询、指定权重、响应时长等方式来进行网络流量的分配。网络流量可以是访问请求。其中,轮询是指按照每个请求的时间顺序逐一分配到不同的实例化端点;指定权重是指,指定轮询几率,权重和访问比率成正比,用于实例化端点性能不均的情况;响应时长是指按照实例化端点的响应时间来分配网络流量,响应时间段的优先分配。
举例来说,终端M需要访问服务器N,且服务器N为子服务器1至子服务器n多个子服务器构成的服务器集群,控制指令用于指示负载均衡设备按照负载均衡规则决定终端M的访问请求通过哪个相应的子服务器进行处理。比如说,负载均衡规则是定义的是按照轮询方式控制终端M和服务器N之间的网络通信。当接收到终端M的访问请求时,检测到前一次访问请求是通过子服务器5进行处理的,则本次访问请求将会发送至子服务器6。
在一个实施例中,可通过OpenStack的LBaaS(Load Balancer as a Service,负载均衡即服务)插件调用负载均衡设备。
上述实施例,通过负载均衡设备实现网络服务中的负载均衡功能,并按照负载均衡规则控制实例化端点之间的网络流量,提高了网络的灵活性,从而能够降低服务器宕机的概率,且提高了网络数据处理的效率。且可通过OpenStack等虚拟云平台实现SDN网络架构中,负载均衡规则的创建、更新和删除。
在一个实施例中,硬件网络设备包括防火墙设备,通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令,包括:通过虚拟云平台解析服务配置数据,得到与服务配置数据对应的防火墙规则;根据防火墙规则生成控制指令,并确定与防火墙规则对应的防火墙设备;向防火墙设备发送控制指令,控制指令用于指示防火墙设备按照防火墙规则对检测到的实例化端点在SDN网络架构之间的传输数据进行控制。
防火墙设备是指用于实现防火墙功能的物理设备。其中,防火墙(FW,Firewall)是指内部网络与外部网络之间的网络安全系统,依照特定的规则,允许或是限制传输的数据通过。防火墙规则是指通过防火墙设备对传输数据的控制规则。比如说,可通过防火墙设备检测传输数据是否为病毒,若是,则禁止该传输数据的通过,因此可防止病毒的侵入。
在一个实施例中,可通过OpenStack的FWaaS(FireWall as a Service,防火墙即服务)插件调用防火墙设备。
上述实施例中,通过防火墙设备实现网络服务中的防火墙功能,并按照防火墙规则控制实例化端点之间的传输数据,提高了网络的安全性。且可通过OpenStack等虚拟云平台实现SDN网络架构中,防火墙规则的创建、更新和删除。
在一个实施例中,通过虚拟云平台接收网络配置数据和服务配置数据,包括:通过虚拟云平台接收端点组定义数据,并根据端点组定义数据定义第一端点组和第二端点组;通过虚拟云平台接收第一端点组和第二端点组之间网络通信的网络配置数据和服务配置数据,并将第一端点组作为服务配置数据所对应的网络服务的提供者,将第二端点组作为服务配置数据所对应的网络服务的消费者;在通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令之后,还包括:确定检测到的实例化端点所属的目标端点组,目标端点组包括第一端点组或第二端点组。
端点组定义数据是指用于定义端点组的数据。可通过物理端口、逻辑端口、虚拟局域网ID、IP地址或子网及域名等对参数端点组进行定义。比如说,可以将IP地址为192.168.0.1至192.168.0.254,即处于192.168.0.x网段,的计算机设备作为一个端点组,还可以将子网掩码为255.255.255.0所对应的计算机设备作为一个端点组,但不限于此。定义了第一端点组和第二端点组之后,可以获取第一端点组和第二端点组之间网络通信的网络配置数据和服务配置数据。其中,网络配置数据是指用于定义第一端点组与第二端点组之间的网络流向的数据,网络流向可以是单向的也可以是双向的,该数据流向即第一端点组和第二端点组之间的网络拓扑。服务配置数据是指用于定义第一端点组与第二端点组之间网络服务的数据。且可以将第一端点组作为服务配置数据所对应的网络服务的提供者,将第二端点组作为服务配置数据所对应的网络服务的消费者。比如说,第一端点组发送的网络数据需要通过防火墙设备进行筛选后才能发送至第二端点组。
当通过虚拟云平台根据网络配置数据和服务配置数据定义了第一端点组和第二端点组之间的网络拓扑和网络服务之后,可通过SDN控制器检测所定义的网络拓扑中是否存在实例化端点。该实例化端点可为通过虚拟云平台实例化的虚拟机。若存在,则确定检测到的实例化端点所属的目标端点组,目标端点组包括第一端点组或第二端点组。目标端点组是指根据检测到的实例化端点对应的物理端口、逻辑端口、虚拟局域网ID、IP地址或子网及域名所确定的,该实例化端点所属的目标端点组。当检测到的实例化端点属于第一端点组时,则将该实例化端点组作为服务配置数据所对应的网络服务的提供者;当检测到的实例化端点属于第二端点组时,则将该实例化端点组作为服务配置数据所对应的网络服务的消费者,从而实现控制实例化端点之间的网络通信。
在一个实施例中,当虚拟云平台为OpenStack时,可根据用户输入的网络配置数据和服务配置数据定义ANP(Application Network Profile,应用网络属性)。其中,ANP定义了逻辑上一个应用对网络基础架构的要求,例如网络拓扑、所需的4到7层的网络服务、防火墙规则、负载均衡规则等。比如说可定义一个EPG WEB、EPG APP、EPG DB组成的应用的属性,应用之间的依赖关系可为FW-EPG WEB-LB-EPG APP-EPG DB。其中,EPG WEB是指网络中WEB层的端点所构成的端点组、EPG APP网络中APP层的端点所构成的端点组、EPGDB网络中DB层的端点所构成的端点组。
在一个实施例中,提供了一种网络控制系统,包括:虚拟云平台,用于接收网络配置数据和服务配置数据;将网络配置数据发送至SDN网络架构中的SDN控制器,SDN控制器用于根据网络配置数据控制SDN网络架构;向与服务配置数据对应的硬件网络设备发送控制指令;SDN控制器,用于接收虚拟云平台发送的网络配置数据;根据网络配置数据控制SDN网络架构;检测是否存在实例化端点,实例化端点是通过SDN网络架构进行网络通信的节点;硬件网络设备,用于接收虚拟云平台发送的控制指令;根据控制指令按照服务配置数据,对检测到的实例化端点在SDN网络架构之间的网络通信进行控制。
上述网络控制系统,通过虚拟云平台接收网络配置数据和服务配置数据之后,将网络配置数据发送至SDN控制器,使得通过SDN网络架构定义实例化端点之间的网络拓扑。SDN控制器检测到定义好的网络拓扑中存在实例化端点时,虚拟云平台可根据服务配置数据向对应的硬件网络设备发送控制指令,且该控制指令用于指示硬件网络设备实现服务配置数据所对应的网络服务,使得硬件网络设备能对实例化端点在SDN网络架构之间的网络通信进行控制。由于网络服务是由硬件物理设备提供,而硬件物理设备的网络可靠性较高,从而能够提高网络的稳定性。
在一个实施例中,硬件网络设备包括负载均衡设备或防火墙设备。其中,负载均衡设备可为F5负载均衡设备等,防火墙设备可为思科ASA、Juniper SRX等多厂商设备。
在一个实施例中,虚拟云平台包括OpenStack;SDN控制器包括应用策略基础设施控制器(APIC),SDN网络架构包括应用为中心的基础设施(ACI)。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:通过虚拟云平台接收网络配置数据和服务配置数据;通过虚拟云平台将网络配置数据发送至SDN网络架构中的SDN控制器,SDN控制器用于根据网络配置数据控制SDN网络架构;通过SDN控制器检测是否存在实例化端点,实例化端点是通过SDN网络架构进行网络通信的节点;若是,则通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令,控制指令用于指示硬件网络设备按照服务配置数据,对检测到的实例化端点在SDN网络架构之间的网络通信进行控制。
在一个实施例中,该程序被处理器执行时,所实现的通过虚拟云平台将网络配置数据发送至SDN网络架构中的SDN控制器的步骤,包括:通过虚拟云平台中预设的网络映射模型对网络配置数据进行转换处理,生成网络通信规则;通过虚拟云平台将网络通信规则发送至SDN网络架构中的SDN控制器,SDN控制器用于根据网络通信规则控制SDN网络架构。
在一个实施例中,网络映射模型包括基于组的策略映射模型;该程序被处理器执行时,所实现的通过虚拟云平台中预设的网络映射模型对网络配置数据进行转换处理,生成网络通信规则的步骤,包括:通过虚拟云平台中预设的基于组的策略映射模型,根据网络配置数据确定分类器和相应的动作;对每个确定的分类器和相应的动作进行格式转换,生成相应的过滤器;根据生成的多个过滤器,形成网络通信规则。
在一个实施例中,硬件网络设备包括负载均衡设备该程序被处理器执行时,所实现的通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令的步骤,包括:通过虚拟云平台解析服务配置数据,得到与服务配置数据对应的负载均衡规则;根据负载均衡规则生成控制指令,并确定与负载均衡规则对应的负载均衡设备;向负载均衡设备发送控制指令,控制指令用于指示负载均衡设备按照负载均衡规则对检测到的实例化端点在SDN网络架构之间的网络流量进行控制。
在一个实施例中,硬件网络设备包括防火墙设备该程序被处理器执行时,所实现的通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令的步骤,包括:通过虚拟云平台解析服务配置数据,得到与服务配置数据对应的防火墙规则;根据防火墙规则生成控制指令,并确定与防火墙规则对应的防火墙设备;向防火墙设备发送控制指令,控制指令用于指示防火墙设备按照防火墙规则对检测到的实例化端点在SDN网络架构之间的传输数据进行控制。
在一个实施例中,该程序被处理器执行时,所实现的通过虚拟云平台接收网络配置数据和服务配置数据的步骤,包括:通过虚拟云平台接收端点组定义数据,并根据端点组定义数据定义第一端点组和第二端点组;通过虚拟云平台接收第一端点组和第二端点组之间网络通信的网络配置数据和服务配置数据,并将第一端点组作为服务配置数据所对应的网络服务的提供者,将第二端点组作为服务配置数据所对应的网络服务的消费者;在所实现的通过虚拟云平台向与服务配置数据对应的硬件网络设备发送控制指令的步骤之后,还包括:确定检测到的实例化端点所属的目标端点组,目标端点组包括第一端点组或第二端点组。
图6为一个实施例中计算机设备的内部结构示意图。该计算机设备包括通过系统总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力,支撑整个计算机设备的运行。计算机设备的非易失性存储介质存储有操作系统、数据库和计算机程序。该数据库中存储有用于实现以上各个实施例所提供的一种网络控制方法相关的数据,比如网络配置数据和服务配置数据。该计算机程序可被处理器所执行,以用于实现以上各个实施例所提供的一种网络控制方法。计算机设备中的内存储器为非易失性存储介质中的操作系统、数据库和计算机程序提供高速缓存的运行环境。网络接口可以是以太网卡或无线网卡等,用于与外部的终端或服务器进行网络连接。
本领域技术人员可以理解,图6中示出的计算机设备的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。比如,该图中的计算机设备还可包括显示屏等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络控制方法,包括:
通过虚拟云平台接收网络配置数据和服务配置数据;所述网络配置数据是用于配置OSI网络协议中1至3层的数据,服务配置数据是用于配置OSI网络协议中4至7层的数据;
通过所述虚拟云平台将所述网络配置数据发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络配置数据控制所述SDN网络架构;
通过所述SDN控制器检测是否存在实例化端点,所述实例化端点是通过所述SDN网络架构进行网络通信的节点;
若是,则通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,所述控制指令用于指示所述硬件网络设备按照所述服务配置数据,对检测到的实例化端点在所述SDN网络架构之间的网络通信进行控制。
2.根据权利要求1所述的方法,其特征在于,所述通过所述虚拟云平台将所述网络配置数据发送至SDN网络架构中的SDN控制器,包括:
通过所述虚拟云平台中预设的网络映射模型对所述网络配置数据进行转换处理,生成网络通信规则;
通过所述虚拟云平台将所述网络通信规则发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络通信规则控制所述SDN网络架构。
3.根据权利要求2所述的方法,其特征在于,所述网络映射模型包括基于组的策略映射模型;
所述通过所述虚拟云平台中预设的网络映射模型对所述网络配置数据进行转换处理,生成网络通信规则,包括:
通过所述虚拟云平台中预设的基于组的策略映射模型,根据所述网络配置数据确定分类器和相应的动作;
对每个确定的分类器和相应的动作进行格式转换,生成相应的过滤器;
根据生成的多个过滤器,形成网络通信规则。
4.根据权利要求1所述的方法,其特征在于,所述硬件网络设备包括负载均衡设备,所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,包括:
通过所述虚拟云平台解析所述服务配置数据,得到与所述服务配置数据对应的负载均衡规则;
根据所述负载均衡规则生成控制指令,并确定与所述负载均衡规则对应的负载均衡设备;
向所述负载均衡设备发送控制指令,所述控制指令用于指示所述负载均衡设备按照所述负载均衡规则对检测到的实例化端点在所述SDN网络架构之间的网络流量进行控制。
5.根据权利要求1所述的方法,其特征在于,所述硬件网络设备包括防火墙设备,所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令,包括:
通过所述虚拟云平台解析所述服务配置数据,得到与所述服务配置数据对应的防火墙规则;
根据所述防火墙规则生成控制指令,并确定与所述防火墙规则对应的防火墙设备;
向所述防火墙设备发送控制指令,所述控制指令用于指示所述防火墙设备按照所述防火墙规则对检测到的实例化端点在所述SDN网络架构之间的传输数据进行控制。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述通过虚拟云平台接收网络配置数据和服务配置数据,包括:
通过虚拟云平台接收端点组定义数据,并根据所述端点组定义数据定义第一端点组和第二端点组;
通过虚拟云平台接收所述第一端点组和第二端点组之间网络通信的网络配置数据和服务配置数据,并将所述第一端点组作为所述服务配置数据所对应的网络服务的提供者,将所述第二端点组作为所述服务配置数据所对应的网络服务的消费者;
在所述通过所述虚拟云平台向与所述服务配置数据对应的硬件网络设备发送控制指令之后,还包括:
确定检测到的实例化端点所属的目标端点组,所述目标端点组包括所述第一端点组或第二端点组。
7.一种网络控制系统,包括:
虚拟云平台,用于接收网络配置数据和服务配置数据;将所述网络配置数据发送至SDN网络架构中的SDN控制器,所述SDN控制器用于根据所述网络配置数据控制所述SDN网络架构;向与所述服务配置数据对应的硬件网络设备发送控制指令;所述网络配置数据是用于配置OSI网络协议中1至3层的数据,服务配置数据是用于配置OSI网络协议中4至7层的数据;
SDN控制器,用于接收所述虚拟云平台发送的网络配置数据;根据所述网络配置数据控制所述SDN网络架构;检测是否存在实例化端点,所述实例化端点是通过所述SDN网络架构进行网络通信的节点;
硬件网络设备,用于接收所述虚拟云平台发送的控制指令;根据所述控制指令按照所述服务配置数据,对检测到的实例化端点在所述SDN网络架构之间的网络通信进行控制。
8.根据权利要求7所述的系统,其特征在于,所述硬件网络设备包括负载均衡设备或防火墙设备。
9.根据权利要求7至8中任一项所述的系统,其特征在于,所述虚拟云平台包括OpenStack;所述SDN控制器包括应用策略基础设施控制器,所述SDN网络架构包括应用为中心的基础设施。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711491710.9A CN108234211B (zh) | 2017-12-30 | 2017-12-30 | 网络控制方法、系统和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711491710.9A CN108234211B (zh) | 2017-12-30 | 2017-12-30 | 网络控制方法、系统和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108234211A CN108234211A (zh) | 2018-06-29 |
| CN108234211B true CN108234211B (zh) | 2021-02-02 |
Family
ID=62642313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711491710.9A Active CN108234211B (zh) | 2017-12-30 | 2017-12-30 | 网络控制方法、系统和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234211B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150829B (zh) * | 2018-07-09 | 2020-12-29 | 南京邮电大学 | 软件定义云网络可信数据分发方法、可读存储介质和终端 |
| CN108900518B (zh) * | 2018-07-09 | 2020-12-29 | 南京邮电大学 | 可信的软件定义云网络数据分发系统 |
| CN111935238A (zh) * | 2020-07-16 | 2020-11-13 | 浪潮思科网络科技有限公司 | 一种云平台负载均衡管理系统、方法、设备及介质 |
| CN114422280B (zh) * | 2021-12-31 | 2023-11-07 | 深信服科技股份有限公司 | 网络部署方法、装置、节点及存储介质 |
| CN115118611A (zh) * | 2022-06-24 | 2022-09-27 | 中国工商银行股份有限公司 | 一种软件sdn网络规格统计方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130223226A1 (en) * | 2012-02-29 | 2013-08-29 | Dell Products, Lp | System and Method for Providing a Split Data Plane in a Flow-Based Switching Device |
| US9392050B2 (en) * | 2013-03-15 | 2016-07-12 | Cisco Technology, Inc. | Automatic configuration of external services based upon network activity |
| US9124485B2 (en) * | 2013-08-19 | 2015-09-01 | Cisco Technology, Inc. | Topology aware provisioning in a software-defined networking environment |
| CN107196791B (zh) * | 2017-05-17 | 2020-03-06 | 电子科技大学 | 一种分层次控制的网络架构及其触发请求服务的方法 |
-
2017
- 2017-12-30 CN CN201711491710.9A patent/CN108234211B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108234211A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108234211B (zh) | 网络控制方法、系统和存储介质 | |
| US20230370379A1 (en) | Network Validation with Dynamic Tunneling | |
| US10742557B1 (en) | Extending scalable policy management to supporting network devices | |
| US11159487B2 (en) | Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls | |
| CN112235123B (zh) | 业务功能注册机制和能力索引编制 | |
| CN108293004B (zh) | 用于网络切片管理的系统和方法 | |
| US9584369B2 (en) | Methods of representing software defined networking-based multiple layer network topology views | |
| US8081640B2 (en) | Network system, network management server, and access filter reconfiguration method | |
| US9641450B1 (en) | Resource placement templates for virtual networks | |
| US10498765B2 (en) | Virtual infrastructure perimeter regulator | |
| CN115380514A (zh) | 为异构计算元件自动部署网络元件 | |
| US20180027009A1 (en) | Automated container security | |
| WO2016180181A1 (zh) | 业务功能的部署方法及装置 | |
| CN103905523A (zh) | 一种基于sdn的云计算网络虚拟化实现方法及系统 | |
| CN110278139B (zh) | 在计算机网络内转发分组的方法、网络设备及存储介质 | |
| WO2015180154A1 (zh) | 网络控制方法和装置 | |
| CN113746760A (zh) | 通信方法、网络控制器和计算机可读存储介质 | |
| CN114788241A (zh) | 提供网络管理与切片管理之间的接口 | |
| US10567222B2 (en) | Recommending configurations for client networking environment based on aggregated cloud managed information | |
| CN109286563B (zh) | 一种数据传输的控制方法和装置 | |
| Abdulaziz et al. | Improved Extended Dijkstra� s Algorithm for Software Defined Networks | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| KR20170006950A (ko) | Sdn 기반의 네트워크 플랫트닝 시스템 및 그 방법 | |
| Granelli et al. | Realizing network slicing | |
| Mazumdar et al. | Towards A Data Privacy-Aware Execution Zone Creation on Cloud/Fog Platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200227 Address after: 200120 floor 15, 1333 Lujiazui Ring Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai Applicant after: Weikun (Shanghai) Technology Service Co., Ltd Address before: 200120 13 floor, 1333 Lujiazui Road, Pudong New Area free trade pilot area, Shanghai. Applicant before: Lujiazui Shanghai international financial assets market Limited by Share Ltd |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |