CN108540559B - 一种支持IPSec VPN负载均衡的SDN控制器 - Google Patents
一种支持IPSec VPN负载均衡的SDN控制器 Download PDFInfo
- Publication number
- CN108540559B CN108540559B CN201810337389.7A CN201810337389A CN108540559B CN 108540559 B CN108540559 B CN 108540559B CN 201810337389 A CN201810337389 A CN 201810337389A CN 108540559 B CN108540559 B CN 108540559B
- Authority
- CN
- China
- Prior art keywords
- node
- load
- flow
- ipsec
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
Abstract
本发明公开了一种支持IPsec VPN负载均衡的SDN控制器,是在现有SDN控制器中增加了IPsec流负载均衡,通过采集各IPsec流处理节点上的流负载信息,计算负载值;根据负载值分类节点,生成负载均衡流—调度表;在IPsec VPN网关上解析并修改网关转发—流表,实现负载迁移。本发明通过将节点信息采集(11)、负载均衡计算模块(12)和负载均衡策略生成模块(13)植入控制层,能够有效统筹系统的负载均衡,同时不影响增加了负载均衡执行模块(21)的IPsec VPN网关的转发工作,能够有效提升计算密集型的IPsec流处理系统的流量处理性能。
Description
技术领域
本发明涉及一种SDN控制器,更特别地说,是指一种支持IPSec VPN负载均衡的SDN控制器。
背景技术
2013年9月第1次印刷,电子工业出版社,《SDN核心技术剖析和实战指南》雷葆华等编著。在第15页图1-6公开的SDN核心技术体系图中(记为图1),介绍了在SDN架构的每一层次上都具有很多核心技术,其目标是有效地分离控制层面与转发层面,支持逻辑上集中化的统一控制,提供灵活的开发接口等。其中,控制层是整个SDN的核心,系统中的南向接口与北向接口也是以它为中心进行命名的。转发层面通过一个Packet_in消息将数据包(Packet,也称为报文)发送给控制层面。软件定义网络(Software-Defined Networking,SDN)是一种新型的网络架构,SDN技术将网络控制的功能从网络设备中抽离出来,并提供了一个可编程接口。当应用到云计算领域,云平台可以根据云应用的需求通过这些接口配置底层网络,以此实现云应用和底层网络的紧密衔接。SDN技术在云数据中心网络中正得到越来越广泛的应用。
混合云是一种结合公有云和私有云的组合形态,其基础设施部署在各个云中,由其所有者或第三方联合管理。私有云部署在各个企业的内网之中,通过网络与公有云进行互连,当需要时将各自的私有云资源扩展到公有云中。将一般应用、数据及服务部署在公有云,将相对重要的服务部署在私有云,以此方式获得不同云的部署模式带来的综合优势。
虽然带来了灵活、低成本及可扩展等优势,混合云在安全方面面临着许多问题。混合云的安全风险包括公有云部分、私有云部分和安全传输部分。为实现安全可靠地互连,通常会使用VPN(Virtual Private Network,虚拟专用网络)技术。但是相对于传统的安全传输,云节点间数据的传输有着更加灵活多变的需求:一个节点可能要与多个节点进行安全的数据交换;在两个节点间,不同的数据可能有着不同的安全需求。
而使用传统的IPsec VPN不仅无法很好的适应快速多变的传输需求,还会造成资源的闲置和浪费。传统的IPsec VPN网关管理模型均使用离线的安全隧道建立机制,网络管理员必须对安全传输设备进行预配置,并提前建立安全隧道,且安全隧道的建立和关闭是由管理员手动触发的,这是一种“推送”的配置管理方式。在该模型下,网络管理员必须逐一接入安全传输设备进行配置才可满足新的安全传输需求,对于空闲隧道的维护也将浪费许多资源。
此外,IPsec VPN网关对IPsec流进行处理时,需要频繁地进行加解密运算,属于计算密集型的处理过程。在如今云计算环境下,为了应对这个问题,IPsec VPN网关通常采用分布式模型,将IPsec流的处理过程分配到处理节点进行。但是,这样的分布式模型常常会面临负载分配不均衡,从而导致浪费资源,处理性能不佳的问题。同时,在这样的模型下,IPsec VPN网关的负载分发节点常常采用串行方式,导致负载均衡策略生成过程与负载流的分配过程无法同时进行,降低了网关的处理性能。
发明内容
为了解决在SDN架构下对IPsec VPN网关的管理与负载均衡,本发明将IPsec流负载均衡器作为一个控制模块部署到SDN控制器中。
本发明设计一种支持IPsec VPN负载均衡的SDN控制器。在传统IPsec VPN网关的基础上,结合SDN控制与转发分离的思想,应用SDN控制器来管理IPsec VPN网关,在SDN控制器中加入IPsec流负载均衡模块,并在IPsec VPN网关上添加负载均衡策略执行模块,从而提升IPsec VPN网关流量处理性能。在SDN控制器中添加的负载均衡模块包括节点信息采集模块、负载均衡计算模块和负载均衡策略生成模块。
本发明中,一个负载均衡周期中,首先会由节点信息采集模块采集各个IPsec流处理节点的流信息,并对信息进行整合。然后,由负载均衡计算模块对采集到的IPsec流信息进行计算,计算出各条流的负载值,以及各个节点的负载值,并计算系统负载均衡权衡指标,求出负载值阈值的上下限,依此对所有节点进行分类。根据分类的结果,选取需要负载均衡的重负载节点上的流,选取流调度的目的节点,生成负载均衡策略表,并将之下发到IPsec VPN网关上的负载均衡策略执行模块。最后,负载均衡策略执行模块通过解析负载均衡策略表来修改IPsec VPN的转发流表,实现对各IPsec流处理节点的负载迁移,从而提升流量处理性能。
本发明是一种支持IPSec VPN负载均衡的SDN控制器,其一方面是将IPsec流处理节点信息采集模块(11)、负载均衡计算模块(12)和负载均衡策略生成模块(13)增加到传统SDN控制器中构成支持IPsec VPN负载均衡的SDN控制器(10);另一方面,是将负载均衡策略执行模块(21)增加到传统IPsec VPN网关中构成支持配置任务的IPsec VPN网关(20)。
IPsec流处理节点信息采集模块(11)按照采样周期对每个IPsec流处理节点进行负载信息的采集,记为节点负载总信息集合
且
然后将
输出给负载均衡计算模块(12)。
负载均衡计算模块(12)对节点负载总信息集合
的处理步骤为:
步骤21,从节点负载总信息集合
中的每一个流负载信息进行数据包数目的提取,记为
从节点负载总信息集合
中的每一个流负载信息进行加解密算法的提取,记为
且
所述
只能选取一种加解密算法;
步骤22,设置加解密算法的权值;
对不同的加解密算法进行赋予权值WS_cry,WS_cry={WDES-56,WAES-128,W3DES-168,WAES-192,WAES-256};即:
赋予DES-56算法的权值记为WDES-56;
赋予AES-128算法的权值记为WAES-128;
赋予3DES-168算法的权值记为W3DES-168;
赋予AES-192算法的权值记为WAES-192;
赋予AES-256算法的权值记为WAES-256;
步骤23,计算流负载值
步骤24,计算节点负载值的权衡指标
计算G1节点负载值
计算G2节点负载值
计算GA节点负载值
步骤25,依据节点负载值的权衡指标
来设置节点负载阈值下限
和节点负载阈值上限
ρ表示负载值波动范围,一般设置为节点负载值的权衡指标
的10%~20%;
步骤26,根据每一个节点负载值与负载阈值下限α和负载阈值上限β进行比较,将节点MG={G1,G2,…,GA}分为三类,即轻负载节点
理想负载节点
和重负载节点
所述轻负载节点
是指节点负载值小于α的节点集合。
所述重负载节点
是指节点负载值大于β的节点集合。
所述理想负载节点
是指节点负载值大小等于α小于等于β的节点集合。
负载均衡策略生成模块(13)对重负载节点
进行处理的步骤:
步骤31,对重负载节点
进行源节点与目的节点的选取;
是将重负载节点
称为源节点,选择迁移流的目标轻负载节点
称为目的节点,并选取要进行调度的流,记为待调度流
将所有的待调度流
填入负载均衡流—调度表中;所述负载均衡流—调度表包括有源节点、目的节点和待调度流三项内容;
步骤32,选择待调度流,并更新源节点和目的节点的节点负载值;
步骤33,将更新后的源节点和目的节点的节点负载值与节点负载值的权衡指标
进行对比;
若更新后的源节点小于等于
则在重负载节点
中重新选择一个节点作为源节点;若更新后的源节点大于
则源节点不变;
若更新后的目的节点大于
则在轻负载节点
中重新选择一个节点作为目的节点;若更新后的目的节点小于等于
则目的节点不变;
步骤33,重复执行步骤32和步骤33,直至重负载节点
或者轻负载节点
任意一个为空为止。
负载均衡执行模块(21)用于接收负载均衡策略生成模块(13)下发的负载均衡流—调度表,然后解析负载均衡流—调度表,并将解析后的IPsec流的头信息和IPsec流处理节点写入待负载均衡的IPsec VPN网关(20)中,从而生成网关转发—流表;所述网关转发—流表包括有IPsec流的头信息和IPsec流处理节点两项内容。
本发明支持IPSec VPN负载均衡的SDN控制器优点在于:
①本发明将IPsec VPN的管理器和负载均衡器部署到了SDN架构的控制层中,是一种高性能的分布式IPsec VPN网关模型,能够极大地提升IPsec VPN网关的流量处理能力。
②传统的IPsec VPN网关中对流的处理规则需要人工配置,繁琐且易出错。在本发明中通过SDN的控制器集中管理模式,可以实现简便高效地配置管理。
③本发明中对IPsec流负载均衡时选择的负载均衡指标不依赖于CPU利用率,因此IPsec VPN网关无论选择多核架构或者分布式架构均可适用,且可以与目前主流的数据平面开发套件结合,以获取更高的流量处理效率。
④本发明建立在SDN控制与转发解耦合的模型下,利于IPsec VPN网关设备的部署与扩展,规则的更新部署只需修改流表,能够有效地节约成本。
附图说明
图1是传统的SDN控制器的体系结构
图2是IPsec流的流向框图。
图3是本发明支持IPsec VPN负载均衡的SDN控制器的结构框图。
图4是利用本发明改进的SDN控制器进行支持IPSec VPN负载均衡的各节点均衡程序对比图。
图5是利用本发明改进的SDN控制器进行支持IPSec VPN负载均衡的转发性能图。
具体实施方式
下面将结合附图和实施例对本发明做进一步的详细说明。
参见图1、图2所示,本发明是一种支持IPsec VPN负载均衡的SDN控制器。在传统IPsec VPN网关的基础上,结合SDN控制与转发分离的思想,应用SDN控制器来管理IPsecVPN网关,能够有效地提高IPsec VPN网关的转发性能及各个IPsec流处理节点的负载均衡度。
在本发明中,通过IPsec VPN网关分发的多个IPsec流将在不同的IPsec流处理节点中进行处理。多个IPsec流处理节点构成IPsec流处理节点集合记为MG={G1,G2,…,GA},G1表示第一个IPsec流处理节点,G2表示第二个IPsec流处理节点,GA表示最后一个IPsec流处理节点,也称为任意一个IPsec流处理节点,A表示IPsec流处理节点的标识号。所述A也是IPsec流处理节点的总数目。
在本发明中,IPsec流记为F,对于IPsec VPN网关接到的IPsec流集合记为
表示属于G1的节点负载的流集合;
表示属于G2的节点负载的流集合;
表示属于GA的节点负载的流集合。
对于IPsec流处理节点G1处理的所有IPsec流记为节点负载的流集合
为属于节点G1的第一个IPsec流;
为属于节点G1的第二个IPsec流;
为属于节点G1的第a个IPsec流,也称为最后一个IPsec流。a表示属于节点G1处理的IPsec流的标识号。
对于IPsec流处理节点G2处理的所有IPsec流记为节点负载的流集合
为属于节点G2的第一个IPsec流;
为属于节点G2的第二个IPsec流;
为属于节点G2的第b个IPsec流,也称为最后一个IPsec流。b表示属于节点G2处理的IPsec流的标识号。
对于IPsec流处理节点GA处理的所有IPsec流记为节点负载的流集合
为属于节点GA的第一个IPsec流;
为属于节点GA的第二个IPsec流;
为属于节点GA的第c个IPsec流,也称为最后一个IPsec流。c表示属于节点GA处理的IPsec流的标识号。
对于IPsec流处理节点集合MG={G1,G2,…,GA}中节点G1输出的节点负载信息集记为
其中
表示节点G1的第一个IPsec流
的流负载信息,
表示节点G1的第二个IPsec流
的流负载信息,
表示节点G1的最后一个IPsec流
的流负载信息。
对于IPsec流处理节点集合MG={G1,G2,…,GA}中节点G2输出的节点负载信息记为
其中
表示节点G2的第一个IPsec流
的流负载信息,
表示节点G2的第二个IPsec流
的流负载信息,
表示节点G2的最后一个IPsec流
的流负载信息。
对于IPsec流处理节点集合MG={G1,G2,…,GA}中节点GA输出的节点负载信息记为
其中
表示节点GA的第一个IPsec流
的流负载信息,
表示节点GA的第二个IPsec流
的流负载信息,
表示节点GA的最后一个IPsec流
的流负载信息。
在本发明中,将IPsec流处理节点集合MG={G1,G2,…,GA}中所有节点在一个采样周期里输出的节点负载信息记为节点负载总信息集合
且
在本发明中,流负载信息中包括有IPsec流处理节点的标识号GA、IPsec流的头信息head、属于GA中任意一条流的数据包数目num以及所述流的加解密算法cry;其中,IPsec流的头信息head是包含源IP地址srcIP和目的IP地址dstIP。对于MG={G1,G2,…,GA}中各个节点的流负载信息包括的内容是相同的。
参见图3所示,在本发明中,是将IPsec流处理节点信息采集模块11、负载均衡计算模块12和负载均衡策略生成模块13植入SDN控制器中;对经过SDN控制器管理下的IPsecVPN网关的流进行负载均衡,得到支持IPsec VPN负载均衡的SDN控制器10。在IPsec VPN网关20上添加负载均衡策略执行模块21,从而提升IPsec VPN网关20对IPsec流的流量处理性能。
(一)IPsec流处理节点信息采集模块11
IPsec流处理节点信息采集模块11按照采样周期对每个IPsec流处理节点进行负载信息的采集,记为节点负载总信息集合
然后将
输出给负载均衡计算模块12。由于考虑到采样间隔时间越短,采样取值越接近实际情况,负载均衡效果越理想,但是过于频繁的采样同样会给SDN控制器和IPSec处理节点带来负担,增加不必要的网络负荷,所以本发明中设定采集负载信息的采样周期为30秒。
在本发明中,IPsec流处理节点信息采集模块11对每个IPsec流处理节点是同时采样的,为多线程的处理IPsec流接收。
(二)负载均衡计算模块12
在本发明中,负载均衡计算模块12首先从接收到的每一个流负载信息进行数据包数目和加解密算法的提取,然后分别计算获取每一个IPsec流的流负载值和每个节点的节点负载值,最后依据节点负载值的权衡指标来设置节点负载阈值下限
和节点负载阈值上限
对小于
的节点归类为轻负载节点
大于
的节点归类为重负载节点
位于α与β之间的归类为理想负载节点
步骤21,负载均衡计算模块12对接收到的节点负载总信息集合
中的每一个流负载信息进行数据包数目num和加解密算法cry的提取,则有:
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
从流负载信息
中提取出的数据包数目num记为
从流负载信息
中提取出的加解密算法cry的标识记为
在本发明中,为了普适性说明从任意一流负载信息中提取出的数据包数目num记为
从任意一流负载信息中提取出的加解密算法cry的标识记为
且
在本发明中,加解密算法包括有DES-56、AES-128、3DES-168、AES-192和AES-256。加解密算法出处于《网络安全基础应用与标准(第5版)》,作者William Stallings,译者白国强,第26-27页。对于本发明中加解密算法为择一选取,即
仅为一种加解密算法。
步骤22,设置加解密算法的权值;
在本发明中,对不同的加解密算法进行赋予权值WS_cry,WS_cry={WDES-56,WAES-128,W3DES-168,WAES-192,WAES-256};即:
赋予DES-56算法的权值记为WDES-56。
赋予AES-128算法的权值记为WAES-128。
赋予3DES-168算法的权值记为W3DES-168。
赋予AES-192算法的权值记为WAES-192。
赋予AES-256算法的权值记为WAES-256。
上述的权值赋值有多少是依据了《网络安全基础应用与标准(第5版)》,第27页的表2.2中的参数。
步骤23,计算流负载值
则有:
步骤24,计算G1节点负载值
计算G2节点负载值
计算GA节点负载值
步骤25,在完成所有节点的负载值计算的基础上,得到节点负载值的权衡指标
依据
来设置节点负载阈值下限
和节点负载阈值上限
ρ表示负载值波动范围,一般设置为节点负载值的权衡指标
的10%~20%。
步骤26,根据每一个节点负载值与负载阈值下限α和负载阈值上限β进行比较,将节点MG={G1,G2,…,GA}分为三类,即轻负载节点
理想负载节点
和重负载节点
所述轻负载节点
是指节点负载值小于α的节点集合。所述重负载节点
是指节点负载值大于β的节点集合。所述理想负载节点
是指节点负载值大小等于α小于等于β的节点集合。
在本发明中,满足节点负载值小于α的节点集合记为
表示
中的第一个IPsec流处理节点,
表示
中的第二个IPsec流处理节点,
表示
中的最后一个IPsec流处理节点。
在本发明中,满足节点负载值大小等于α小于等于β的节点集合记为
表示
中的第一个IPsec流处理节点,
表示
中的第二个IPsec流处理节点,
表示
中的最后一个IPsec流处理节点。
在本发明中,满足节点负载值大于β的节点集合记为
表示
中的第一个IPsec流处理节点,
表示
中的第二个IPsec流处理节点,
表示
中的最后一个IPsec流处理节点。
(三)负载均衡策略生成模块13
在本发明中,负载均衡策略生成模块13是对负载均衡计算模块12输出的重负载节点
进行的IPsec流的迁移处理。
步骤31,对重负载节点
进行源节点与目的节点的选取;
在本发明中,是将重负载节点
称为源节点,选择迁移流的目标轻负载节点
称为目的节点,并选取要进行调度的流,记为待调度流
(在本发明中,待调度流是指
中属于任意一节点的流负载值最大的流),将所有的待调度流
填入负载均衡流—调度表中。
负载均衡流—调度表的表格形式如下所示:
| 源节点 | 目的节点 | 待调度流 |
步骤32,选择待调度流,并更新源节点和目的节点的节点负载值;
假设节点G1为重负载节点(即源节点),节点G2为轻负载节点(即目的节点),然而
中的
的流负载值最大,则用所述
作为待调度流将在负载均衡流—调度表中生成一条信息。更新节点G1的节点负载值VG1,得到更新后的节点负载值
更新节点G2节点负载值VG2,得到更新后的节点负载值
步骤33,将更新后的源节点和目的节点的节点负载值与节点负载值的权衡指标
进行对比;
若更新后的源节点小于等于
则在重负载节点
中重新选择一个节点作为源节点;若更新后的源节点大于
则源节点不变;
若更新后的目的节点大于
则在轻负载节点
中重新选择一个节点作为目的节点;若更新后的目的节点小于等于
则目的节点不变;
步骤33,重复执行步骤32和步骤33,直至重负载节点
或者轻负载节点
任意一个为空为止。
(四)负载均衡执行模块21
在本发明中,负载均衡执行模块21是建立在IPsec VPN网关20中的。所述负载均衡执行模块21用于接收负载均衡策略生成模块13下发的负载均衡流—调度表,然后解析负载均衡流—调度表,并将解析后的IPsec流的头信息和IPsec流处理节点写入待负载均衡的IPsec VPN网关20中,从而生成网关转发—流表。
网关转发—流表的表格形式如下所示:
| IPsec流的头信息 | IPsec流处理节点 |
下面具体说明根据负载均衡流—调度表的内容来修改网关转发—流表的过程:对负载均衡流—调度表中的任意一条待调度流信息的内容进行解析,提取出IPsec流的头信息和IPsec流处理节点;然后根据Psec流的头信息找到网关转发—流表中相关表项,将表项中的处理节点信息由源节点更改为目的节点。
在本发明中,对负载均衡流—调度表中每一条待调度流信息表项均执行修改网关转发—流表操作,即可完成IPsec VPN网关负载均衡的配置任务。
本发明提出的一种支持IPsec VPN负载均衡的SDN控制器,其上的负载均衡信息采集模块11接收来自各处理节点递送的负载信息,根据负载信息内容格式,提取到每条流的关联信息;负载均衡计算模块12根据流负载信息进行数据包数目num和加解密算法cry的提取,计算各个流的负载值,并计算各节点的负载值,根据各节点的负载值,计算出网关负载值权衡指标及波动范围,根据波动范围将各节点划分为轻负载节点、理想负载节点和重负载节点;负载均衡策略生成模块13根据划分结果将重负载节点的重负载流调度到轻负载节点,尽可能实现各节点负载平均化,生成负载均衡流—调度表,并下发至负载均衡执行模块21;负载均衡执行模块21根据接收到的负载均衡流—调度表,修改IPsec VPN网关20中的网关转发—流表,实现IPsec VPN网关的各处理节点的负载均衡。
实施例1
表1仿真参数:
| ipsec流处理节点数目(个) | 2、4、8、16 |
| 仿真流数目(条) | 1000 |
| 网络带宽(mbps) | 1000 |
| 节点cpu核数(个) | 1 |
| 节点cpu频率(GHz) | 1.3 |
| 仿真发包频率(mpps) | 1.4 |
| ipsec网关cpu核数(个) | 1 |
| ipsec网关cpu频率(GHz) | 1.3 |
| SDN控制器 | OpenDaylight 1.2版本 |
为了充分验证本发明,依照上表所列仿真参数进行仿真实验,如图4、图5所示。
图4所示是在ipsec流处理节点分别为2、4、8、16个时的负载均衡度在负载均衡前与负载均衡后的对比结果。可以清晰看出在负载均衡后,负载均衡度全部接近1,表示各个节点的负载非常均衡,表现了利用本发明改进的SDN控制器10进行支持IPSec VPN负载均衡处理的合理性。
图5所示为ipsec流处理节点分别为2、4、8、16个时,在1000mbps网络环境中ipsec网关的转发性能对比图。从图中可以看出负载均衡后,改进的ipsec网关20的转发性能得到了明显的提升,达到了网络带宽50%以上。
在本发明中,支持IPsec VPN负载均衡技术在SDN网络架构下具有重要意义。主要表现在以下几个方面:
(1)SDN和支持IPsec VPN负载均衡技术的结合可以实现集中策略和安全控制。IPsec VPN负载均衡技术可以为SDN控制器提供各个处理节点的状态信息并制定IPsec VPN网关的负载均衡策略。这样SDN控制器就可以将IPsec VPN网关看作一个整体资源,而不是一系列网关及流处理节点。支持IPsec VPN负载均衡技术可以为整个IPsec VPN网关提供负载均衡策略,从而有效提升IPsec VPN网关的流量处理性能。
(2)负载均衡时选择的负载均衡指标不依赖于CPU利用率,因此对处理节点的适应性更广泛,节点数据平面可以与高性能的数据平面开发套件如(DPDK),即便节点采用轮询CPU模式,仍然可以统计节点的负载情况,并给出有效的负载均衡策略,从而大幅提升IPsecVPN网关的流量处理能力。
(3)采用SDN架构将控制平面与数据平面进行分离,可以有效地适用与多种网关架设环境,可以适用于多核架构的网关也可以适用于云计算环境下的分布式网关架构。同时,网关只需要根据控制器的负载均衡策略修改流表执行流转发,无需在本身进行相关策略的生成,提升了网关的处理性能。
(4)传统的IPsec VPN策略需要人工配置,繁琐且容易出错。而基于SDN的控制器的集中管理模式则有效解决了这个问题,可以自动生成负载均衡策略并完成网关流表的修改,实现负载均衡的目标。
Claims (2)
1.一种支持IPSec VPN负载均衡的SDN控制器,其特征在于:一方面是将IPsec流处理节点信息采集模块(11)、负载均衡计算模块(12)和负载均衡策略生成模块(13)增加到传统SDN控制器中构成支持IPsec VPN负载均衡的SDN控制器(10);
另一方面,是将负载均衡策略执行模块(21)增加到传统IPsec VPN网关中构成支持配置任务的IPsec VPN网关(20);
IPsec流处理节点信息采集模块(11)按照采样周期对每个IPsec流处理节点进行负载信息的采集,记为节点负载总信息集合
且
然后将
输出给负载均衡计算模块(12);
负载均衡计算模块(12)对节点负载总信息集合
的处理步骤为:
步骤21,从节点负载总信息集合
中的每一个流负载信息进行数据包数目的提取,记为
从节点负载总信息集合
中的每一个流负载信息进行加解密算法的提取,记为
且
所述
只能选取一种加解密算法;
步骤22,设置加解密算法的权值;
对不同的加解密算法进行赋予权值WS_cry,WS_cry={WDES-56,WAES-128,W3DES-168,WAES-192,WAES -256};即:
赋予DES-56算法的权值记为WDES-56;
赋予AES-128算法的权值记为WAES-128;
赋予3DES-168算法的权值记为W3DES-168;
赋予AES-192算法的权值记为WAES-192;
赋予AES-256算法的权值记为WAES-256;
步骤23,计算流负载值
步骤24,计算节点负载值的权衡指标
计算G1节点负载值
计算G2节点负载值
计算GA节点负载值
步骤25,依据节点负载值的权衡指标
来设置节点负载阈值下限
和节点负载阈值上限
ρ表示负载值波动范围,一般设置为节点负载值的权衡指标
的10%~20%;
步骤26,根据每一个节点负载值与负载阈值下限α和负载阈值上限β进行比较,将节点MG={G1,G2,…,GA}分为三类,即轻负载节点
理想负载节点
和重负载节点
所述轻负载节点
是指节点负载值小于α的节点集合;
所述重负载节点
是指节点负载值大于β的节点集合;
所述理想负载节点
是指节点负载值大小等于α小于等于β的节点集合;
负载均衡策略生成模块(13)对重负载节点
进行处理的步骤:
步骤31,对重负载节点
进行源节点与目的节点的选取;
是将重负载节点
称为源节点,选择迁移流的目标轻负载节点
称为目的节点,并选取要进行调度的流,记为待调度流
将所有的待调度流
填入负载均衡流—调度表中;所述负载均衡流—调度表包括有源节点、目的节点和待调度流三项内容;
步骤32,选择待调度流,并更新源节点和目的节点的节点负载值;
步骤33,将更新后的源节点和目的节点的节点负载值与节点负载值的权衡指标
进行对比;
若更新后的源节点小于等于
则在重负载节点
中重新选择一个节点作为源节点;若更新后的源节点大于
则源节点不变;
若更新后的目的节点大于
则在轻负载节点
中重新选择一个节点作为目的节点;若更新后的目的节点小于等于
则目的节点不变;
步骤33,重复执行步骤32和步骤33,直至重负载节点
或者轻负载节点
任意一个为空为止;
负载均衡执行模块(21)用于接收负载均衡策略生成模块(13)下发的负载均衡流—调度表,然后解析负载均衡流—调度表,并将解析后的IPsec流的头信息和IPsec流处理节点写入待负载均衡的IPsec VPN网关(20)中,从而生成网关转发—流表;所述网关转发—流表包括有IPsec流的头信息和IPsec流处理节点两项内容。
2.根据权利要求1所述的支持IPSec VPN负载均衡的SDN控制器,其特征在于:采样周期为30秒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810337389.7A CN108540559B (zh) | 2018-04-16 | 2018-04-16 | 一种支持IPSec VPN负载均衡的SDN控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810337389.7A CN108540559B (zh) | 2018-04-16 | 2018-04-16 | 一种支持IPSec VPN负载均衡的SDN控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108540559A CN108540559A (zh) | 2018-09-14 |
| CN108540559B true CN108540559B (zh) | 2020-12-18 |
Family
ID=63480267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810337389.7A Active CN108540559B (zh) | 2018-04-16 | 2018-04-16 | 一种支持IPSec VPN负载均衡的SDN控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108540559B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110190991B (zh) * | 2019-05-21 | 2020-06-02 | 华中科技大学 | 一种多应用场景下的分布式流处理系统的容错方法 |
| US11277343B2 (en) | 2019-07-17 | 2022-03-15 | Vmware, Inc. | Using VTI teaming to achieve load balance and redundancy |
| US11509638B2 (en) | 2019-12-16 | 2022-11-22 | Vmware, Inc. | Receive-side processing for encapsulated encrypted packets |
| CN112653575B (zh) * | 2020-12-11 | 2022-08-30 | 网宿科技股份有限公司 | 一种网络配置方法、控制器及流量引导系统 |
| CN117063441A (zh) * | 2021-03-12 | 2023-11-14 | 上海诺基亚贝尔股份有限公司 | 离线网络安全配置 |
| CN114466016B (zh) * | 2022-03-04 | 2023-06-09 | 烽火通信科技股份有限公司 | 一种数据中心网关动态负载均衡的实现方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试系统及多代理负载均衡方法 |
| CN103701629A (zh) * | 2013-11-27 | 2014-04-02 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
| US9178807B1 (en) * | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| CN105282043A (zh) * | 2014-06-20 | 2016-01-27 | 中国电信股份有限公司 | 全局网络负载均衡系统、设备和方法 |
| CN105721577A (zh) * | 2016-02-15 | 2016-06-29 | 安徽大学 | 一种面向软件定义网络的服务器负载均衡方法 |
| CN105718317A (zh) * | 2016-01-15 | 2016-06-29 | 浪潮(北京)电子信息产业有限公司 | 一种任务调度方法及装置 |
| CN106790656A (zh) * | 2017-01-19 | 2017-05-31 | 南京贝伦思网络科技股份有限公司 | 一种基于sdn的负载均衡装置及其方法 |
| CN107124739A (zh) * | 2017-04-14 | 2017-09-01 | 京信通信技术(广州)有限公司 | 一种负载均衡方法及装置 |
-
2018
- 2018-04-16 CN CN201810337389.7A patent/CN108540559B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试系统及多代理负载均衡方法 |
| US9178807B1 (en) * | 2012-09-20 | 2015-11-03 | Wiretap Ventures, LLC | Controller for software defined networks |
| CN103701629A (zh) * | 2013-11-27 | 2014-04-02 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
| CN105282043A (zh) * | 2014-06-20 | 2016-01-27 | 中国电信股份有限公司 | 全局网络负载均衡系统、设备和方法 |
| CN105718317A (zh) * | 2016-01-15 | 2016-06-29 | 浪潮(北京)电子信息产业有限公司 | 一种任务调度方法及装置 |
| CN105721577A (zh) * | 2016-02-15 | 2016-06-29 | 安徽大学 | 一种面向软件定义网络的服务器负载均衡方法 |
| CN106790656A (zh) * | 2017-01-19 | 2017-05-31 | 南京贝伦思网络科技股份有限公司 | 一种基于sdn的负载均衡装置及其方法 |
| CN107124739A (zh) * | 2017-04-14 | 2017-09-01 | 京信通信技术(广州)有限公司 | 一种负载均衡方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于SDN技术的互联网安全平台的研究与实现;陈禹竹;《北京邮电大学》;20180301;第3,4,12,13,16,43页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108540559A (zh) | 2018-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108540559B (zh) | 一种支持IPSec VPN负载均衡的SDN控制器 | |
| US10644941B2 (en) | System and method for a software defined protocol network node | |
| US9838308B2 (en) | Improving the architecture of middleboxes or service routers to better consolidate diverse functions | |
| US20160094480A1 (en) | Distributed application framework for prioritizing network traffic using application priority awareness | |
| CN104394090B (zh) | 一种采用dpi对数据包进行网络流分类的sdn控制器 | |
| CN104518984B (zh) | 一种基于多重分类器对数据包进行流量分类的sdn控制器 | |
| CN106537824B (zh) | 用于减少信息中心网络的响应时间的方法和装置 | |
| CN103036803A (zh) | 一种基于应用层检测的流量控制方法 | |
| Zhao et al. | A unified modeling framework for distributed resource allocation of general fork and join processing networks | |
| Jin et al. | OpenFlow-based flow-level bandwidth provisioning for CICQ switches | |
| CN108718246B (zh) | 一种面向网络功能虚拟化的资源调度方法和系统 | |
| Ge et al. | H‐SOFT: a heuristic storage space optimisation algorithm for flow table of OpenFlow | |
| Paganini et al. | Network stability under alpha fair bandwidth allocation with general file size distribution | |
| Feng et al. | Dynamic network service optimization in distributed cloud networks | |
| US20150113146A1 (en) | Network Management with Network Virtualization based on Modular Quality of Service Control (MQC) | |
| Jia et al. | Reducing and balancing flow table entries in software-defined networks | |
| CN104468403B (zh) | 一种基于nacc对数据包进行网络流分类的sdn控制器 | |
| Xu et al. | IARA: An intelligent application-aware VNF for network resource allocation with deep learning | |
| CN111970149B (zh) | 一种基于硬件防火墙qos的共享带宽实现方法 | |
| Cai et al. | Flow identification and characteristics mining from internet traffic with hadoop | |
| JP6524911B2 (ja) | ネットワーク制御装置、ネットワーク制御方法およびプログラム | |
| Umadevi et al. | Multilevel ingress scheduling policy for time sensitive networks | |
| Anantha et al. | SNAG: SDN-managed network architecture for GridFTP transfers | |
| CN109714273A (zh) | 一种多核网络设备的报文处理方法及装置 | |
| Xu et al. | High-throughput anycast routing and congestion-free reconfiguration for SDNs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |