CN108768714A - 一种数据中心综合管理系统及其网络安全实现方法 - Google Patents

Abstract

本发明公开了一种数据中心综合管理系统及其网络安全实现方法，基于SDN架构，该SDN架构中配置有应用平面、控制平面和数据平面，在控制平面与数据平面之间配置有南向接口，控制平面与应用平面之间配置有北向接口；在所述SDN架构中，还配置有以下模块：网络安全应用模块，SOCKET接口服务模块，信息筛选模块，一次转发模块，信息流转发模块。本发明的一种数据中心综合管理系统及其网络安全实现方法与现有技术相比，具有的弹性化、高效性、细粒度等特性，使其在实际应用中能体现出巨大的实用价值，很好地实现了现有网络技术和未来网络的融合，故可以增强对数据中心有效快速的管理，并保障业务系统的稳定、可靠运行。

Description

一种数据中心综合管理系统及其网络安全实现方法

技术领域

本发明涉及数据安全领域，具体地说是一种实用性强的数据中心综合管理系统及网络安全实现方法。

背景技术

模块化数据中心(Module Data Center,MDC)是基于云计算的新一代数据中心部署形式，为了应对云计算、虚拟化、集中化、高密化等服务器发展的趋势，其采用模块化设计理念，最大程度的降低基础设施对机房环境的耦合。集成了供配电、制冷、机柜、气流遏制、综合布线、动环监控等子系统，提高数据中心的整体运营效率，实现快速部署、弹性扩展和绿色节能

随着大数据信息行业的飞速发展， 数据中心的发展也进入到一个新的阶段。管理系统是数据中心内部配置的重要组成部分。传统的管理系统主要以动环监控为主，具备多种数据接口，可接入UPS、配电柜、精密空调、门禁、温湿度传感器、烟雾探测器、温感探测器、漏水传感器、翻转天窗及网络摄像机等多种监控对象。

数据中心的综合管理系统主要包括UPS、配电柜、精密空调、门禁、温湿度传感器、烟雾探测器、温感探测器、漏水传感器、翻转天窗及网络摄像机等多种监控对象，简称动环监控系统，核心设备为动环监控主机。

数据中心综合管理系统主要包括IT设备管理（服务器管理、虚拟化管理）、动环监控等完整的数据中心设施管理。

当前，随着云计算、大数据和互联网的快速发展，信息化的 基础设施发生了根本转变， 监控管理的需求从一些单独的系统要求转化为整体平台化、统一平台、统一管理的系统要求。各项应用服务器不再是单独的计算模块，而是通过云计算、大数据等平台将计算、存储资源统一起来，跨越数据中心范围形成规模庞大、统一监控与管理的资源池，因此需要能够监控大规模、分布式、跨地域的虚拟资源与物理资源的统一数据中心综合管理系统。

数据中心基础设施是云计算架构的核心，它提供给用户对包括CPU、内存、存储、网络等计算资源的使用，有效减轻了IT运维的成本和复杂性。云计算架构具有分布式、跨网络、资源种类多的特点，随之而来为资源管理方面带来了前所未有的挑战，相比于传统服务器集群架构，除了对Web 服务器、应用服务器等物理资源的管理，还需要对CPU、内存、存储、网络、虚拟机等虚拟资源的统一管理。

软件定义网络（Software Defined Network, SDN）并不是一种具体的技术而是一种网络设计理念，一个框架。它的核心思想就是控制平面与转发平面分离，通过上层的控制器控制下层的网络设备，实现对网络管理的灵活控制，SDN 架构由应用平面、控制平面和网络设备层组成。其中网络设备层由各种网络设备（如交换机、路由器）组成，属于SDN框架中的数据平面。控制平面由专门的控制器构成，负责对网络设备进行管理。同时控制器向上层的应用平面提供开放的API接口，供其编程调用。

OpenFlow在SDN框架中仅是控制平面与数据平面间的一种通信协议，除此之外控制器本身的架构、网络拓扑算法、运行环境、编程工具及上层应用的集成技术都是SDN的一部分。OpenFlow技术只是定义了控制平面与数据平面协议交互的标准，使得控制平面可以很好的管理数据平面。

随着互联网技术的发展，尤其是数据中心、云计算、移动互联网等技术的推动，用户的需求越来越复杂，业务更新越来越快，传统的互联网架构表现出越来越多的不适应性。软件定义网络（Software Defined Network, SDN），基于将网络设备的控制面与转发面分离，并且形成统一的控制平面的思想，无疑使其成为解决现有问题，构建下一代互联网的关键技术。网络优化作为SDN的核心组成部分，作为联系应用平面和数据平面的桥梁，其功能的实现方式和完善程度对SDN技术的发展有重大影响。

传统的互联网由路由器、交换机和终端设备组织成树形的层次结构。这些设备使用公司专有的操作系统和接口进行管理配置，并运行着大量不同的协议，于是传统网络架构表现出如下的局限性：

复杂度越来越高：目前，网络技术主要设计各类离散的协议集来实现任意距离、任意链路速率和任意拓扑结构下的主机的可靠连接。因此工业界不断发展提供更高性能、更广泛连接和更安全的协议。每一个协议都针对特殊问题提出，没有提供对网络问题的统一解决方案，导致了网络越来越复杂。例如，如果要移除或添加网络中的任一设备，部门必须使用设备级的管理工具对网络中的多台路由器、交换机、网络安全、认证进行配置改动，同时更新ACL、Vlan、Qos等，还必须考虑网络拓扑、厂商交换模型和软件的版本。

虽然现有的网络能够为不同应用提供不同级别的Qos，但对资源的配置却是手工的。部门必须单独配置每家供应商的设备，为每个会话和每个应用程序配置参数，如网络带宽、Qos等。由于其静态特性，网络不能动态地适应不断变化的流量、应用程序和用户的需求。

策略不一致：为了实现全网范围的策略，企业的IT部门需要配置成千上万的设备和机制。例如，每当一个新的虚拟机被提出来时，IT部门通常花费数小时或数天对全网的ACL进行重新配置。当今的网络极其复杂，IT部门很难对不断增长的移动用户应用一致的访问集、安全、Qos等其他策略，因此企业存在受到安全漏洞攻击的隐患。

扩展性差：对数据中心需求的快速增长，也导致了对网络需求的增长。随着大量网络设备的增加、配置和管理，网络复杂度大大增加。IT部门必须基于可以预见的网络流量模式，依靠链路超额认购的方式扩展网络。然而，在今天的虚拟数据中心，流量模式难以置信地动态变化，无法预测。

因此，市场需求和网络能力之间的不匹配带来了行业的研究引爆点。经过各方努力，业界终于提出并认可了SDN这一新型网络架构，旨在简化网络的运维和管理，加速网络业务的部署和创新。

软件定义网络SDN是一种新的网络体系架构，打破了原来的树形层次网络结构，将网络设备的控制与转发功能分离，提供网络级的统一的集中控制面，管理和控制由网络设备抽象出的资源，实现网络开放和可编程的终极目标。

在传统的IP网络当中，控制面与数据转发面具有很高的耦合性，每一个子网络都有自己的控制设备，普通的用户想获取整个网络的路由状态信息几乎是不可能的，而且出于安全的考虑，传统的网络中一些设备不允许用户在其中随意放置数据采集监测点。所以一些基于数据包采集的被动的测量方式很难在传统网络中得到应用。另外，复杂的异构网络中的不同需求使得传统网络的构建和管理过程非常繁琐，传统的IP网络已经达到了一种僵化的程度，很难再向其中增加新的功能。

在传统的因特网中控制功能负责对转发数据的决策，而数据转发功能是负责数据的转发，它们紧耦合在同一层网络基础设备上，正是因为这种控制与转发高度耦合的网络构架机制导致其网络控制平面管理变得相当复杂，当有新的网络技术出现时，很难及时地部署在原有的网络上。这种形式的网络架构在其扩展性和灵活性上很难跟上当今网络高速发展的步伐。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强的数据中心综合管理系统及网络安全实现方法。

一种数据中心综合管理系统，基于SDN架构，该SDN架构中配置有应用平面、控制平面和数据平面，在控制平面与数据平面之间配置有南向接口，控制平面与应用平面之间配置有北向接口；在所述SDN架构中，还配置有以下模块：

网络安全应用模块，为应用平面的一个应用程序，定期通过控制平面获取底层网络运行状态信息，同时提供服务；

SOCKET接口服务模块，配置在控制平面中，并通过北向接口与应用平面完成对接，获取网络安全应用模块中的服务；

信息筛选模块，配置在控制平面中，用于对接收到的数据包信息进行筛选，确定数据包是否通过；

统一管理模块，配置在控制平面中，对网络安全进行整体管理，同时完成服务管理，在该统一管理模块中，当网络安全应用模块启动加载提供服务后，该统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间；

一次转发模块，配置在控制平面中，是通过OpenFlow 协议与数据平面进行信息的交互，将来自数据平面的信息发送至信息筛选模块，并将对数据包的控制信息传递到数据平面；

信息流转发模块，配置在数据平面中，运行支持OpenFlow协议的设备，该设备包括支持OpenFlow 协议的交换机。

所述网络安全应用模块用于在数据平面的交换机接到恶意数据包或者网络拓扑中的某些链路失效时，实时评估当前网络的安全状态，从而调整对网络状况查询频率，及时地通过控制平面向数据平面下发包括相应的信息筛选规则的有效措施。

所述SOCKET接口服务模块向应用平面提供开放的可编程接口，即SOCKET接口，相对应的，信息筛选模块通过该可编程接口完成与上层网络安全应用模块的交互；所述可编程接口还用于编写网络安全策略，并下发至数据平面的交换机中。

所述信息筛选模块中配置一套筛选规则，规则定义了信息筛选模块对于数据包的具体操作，对接收到的数据完成通过或丢弃决策，所述筛选规则是对数据包头中域的参数值进行匹配，该包头涵盖多个域，包括源IP 地址、目标IP 地址、源MAC 地址、目的MAC 地址、通信协议号，相对应的，信息筛选的过程即在控制平面中通过对接收到数据包进行解析，检查数据包的头部匹配域的参数值，从而决定是否让数据包通过或者直接进行丢弃。

所述一次转发模块对数据平面中的网络拓扑或流表项信息定期进行统计，并将所获得的信息传递给信息筛选模块。

所述流表项信息存储在数据平面的交换机中，并按照OpenFlow 协议制定，该流表项由匹配域、计数器和动作三项组成，在数据平面的信息流转发模块中，数据的转发是对交换机中的流表项进行优先级的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理。

一种数据中心综合管理系统的网络安全实现方法，其实现过程为：

其实现过程为：

首先根据上述系统，搭建虚拟网络环境；

在应用平面中，通过网络安全应用模块，发出网络安全策略和流表策略；

通过北向接口，网络安全策略、流表策略顺序经控制平面中的SOCKET接口服务模块、信息筛选模块、统一管理模块、一次转发模块到达数据平面的信息流转发模块中；

数据平面的交换机接收数据包，并通过网络安全策略与流表策略进行数据包与流表的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理；

然后开始服务调用，网络安全应用模块启动加载提供服务后，统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间。

所述网络安全策略是指通过语法与规则，将OpenFlow交换机分解为多个虚拟组件，即将一个大交换机虚拟化为若干小的虚拟MAC感知交换机，每个小的组件都有一个虚拟标签，该虚拟标签包括网络安全、虚拟网关。

所述数据平面中的交换机为2L-learning 交换机，即网络拓扑中任意交换机都有学习认识网络拓扑中其他交换机端口的功能；该交换机的IP网关负责连接两个网络，内网与外网，相对应的，网络安全用来实现内网与外网的隔离，在网络安全时，内网的主机随时访问外网，处于外网的主机能够随时访问HTTP服务器，HTTP 服务器能够随时与内网的主机进行通信。

所述网络安全用来实现内网与外网的隔离是指：当内网主机的IP访问外网主机IP时，在设定时限内两主机可以互相ping通，超过时限时外网被ping的IP将不能ping通内网的IP。

本发明的一种数据中心综合管理系统及其网络安全实现方法和现有技术相比，具有以下有益效果：

本发明的一种数据中心综合管理系统及其网络安全实现方法，具有更加灵活的网络管控，其标准化的南向接口屏蔽了底层设备的异构性，管理者只需在控制平面通过控制器就能够实现对整个网络的统一管控，即通过SDN 中央控制器对转发层下发指令和策略，无需手动地对网络硬件设备进行配置；具有更高效的资源利用率，由于SDN 控制器监控着整个网络基础设施的状态，对网络状态实时信息有全局的管控，从而能够更加智能和实时地调配网络资源，有效提高了网络资源的利用率；具有更弹性的资源调度，处于应用平面的各种业务需求和应用可以通过北向接口得以实现，再由处于控制平面的SDN 控制器通过南向接口将网络策略下发到数据平面，从而实现了更加弹性化的资源调度；具有灵活的软件编程能力，使得网络自动化管理和控制能力获得了空前的提升，能够有效解决当前网络系统所面临的资源规模扩展受限、组网灵活性差、难以快速满足业务需求等问题；实用性强，适用范围广泛，易于推广。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

附图1为本发明的数据中心综合管理系统实现示例图。

具体实施方式

为了使本技术领域的人员更好地理解本发明的方案，下面结合具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

首先，针对本发明中涉及的现有技术进行简单阐述如下：

1）OpenFlow网络组成。

OpenFlow网络由转发层面（OpenFlow交换机）、控制平面（OpenFlow控制器）和安全通道（OpenFlow协议）组成。这三部分的相关说明如下：

交换机：从化OpenFlow的角度讲，交换机可分两类；专门用于OpenFlow的交换机、支持化OpenFlow的交换机。前者是专门为了支持OpenFlow而设计的，所有的报文完全按照化OpenFlow的模式进行转发；后者是在原先交换机的基础上添加流表、安全通道和OpenFlow协议使得其支持OpenFlow报文的转发。

控制器：控制器通过OpenFlow协议与OpenFlow交换机进行协议报文的交互，指导报文的转发，从而实现对整个数据平面的控制。

OpenFlow协议；用来描述控制器和交换机之间协议交互的标准，具体可分为三种类型：控制器到交换机的消息，交换机到控制器的消息抖及对称消息。控制器到交换机的信息由控制器发起，用于检测交换机的状态；交换机到控制器的信息由交换机发起，用于通知控制器自身的状态；对称信息可由控制器或交换机发起。

2）OpenFlow工作流程。

控制器与交换机的总体工作流程分为三个阶段：系统初始化、控制器增加／删除／修改流表项、报文在交换机中转发。这三个阶段的说明如下：

系统初始化；交换机系统在初始化的时候，会存在默认的流表，流表中存在默认的流表项。这条默认的流表项会匹配所有的进入该交换机的流，执行的动作是全部丢弃或将报文上报控制器来处理。

控制器增加／删除／修改流表项：系统初始化完后，控制器根据业务需求会往交换机下发、删除或修改流表项。

报文在交换机中转发：根据交换机配置去查找指定的流表，匹配后执行相应的指令，根据指令中相应的动对报文做出相应的操作（如报文原封不动、被丢弃、被测速、被转发等）

从交换机端或报文的角度分析如下：控制器通过安全通道告诉交换机，进入的报文去查找哪张流表，匹配到流表项后，就要去执行该流表项所规定的指令，然后该报文会被转发、丢弃或继续查找下个流表，然后重复这个过程，直到报文被丢弃或转发出去。

3）OpenFlow建立信道。

控制器和交换机之间建立信道连接的基本过程如下：首先控制器和交换机之间的连接是建立在TCP连接基础上的，双方建立连接关系后，互相发送Hello报文协商OpenFlow协议版本。如果协商失败则连接终止，如果协商成功则OpenFlow信道连接开始正常运行。在交换机端与控制器端正常连接的过程中，控制器和交换机会定时互相发送Echo Request消息，对方响应后回复 Echo Reply消息，用以确定对方的心跳状态。如果发送Echo Request后，一段时间内没有收到Echo Reply消息，即 Echo 超时，终止连接。

软件定义网络SDN它可以通过接口的方式实现更加细粒度的安全服务管理和控制。一些优化的网络算法也可以在SDN网络中得到应用，SDN网络架构的设计思想是将传统的网络层次抽象成控制面和数据转发面，控制面的主要工作由控制器完成，其对应的功能主要是进行网络的拓扑管理和对网络中的数据流的转发进行控制。数据转发面的主要工作由交换机来完成，其功能是根据本地流表对数据报文进行匹配转发处理。

在OpenFlow 协议标准化的SDN 网络架构下，网络的控制转发分离架构使得控制转发的策略存在于控制器中，策略的下发也是通过控制器下发到数据平面，从而引导着网络底层设备（如交换机）进行数据的转发。这样一来转发层的功能将变得单一而高效，新的网络技术和协议在原有网络中的融合将变得更加容易，这种网络架构下其灵活性和可操作性方面相比于传统的网络有大幅提升。

如附图1所示，一种数据中心综合管理系统，基于SDN架构，该SDN架构中配置有应用平面、控制平面和数据平面，在控制平面与数据平面之间配置有南向接口，控制平面与应用平面之间配置有北向接口；在所述SDN架构中，还配置有以下模块：

网络安全应用模块，为应用平面的一个应用程序，定期通过控制平面获取底层网络运行状态信息，同时提供服务；

SOCKET接口服务模块，配置在控制平面中，并通过北向接口与应用平面完成对接，获取网络安全应用模块中的服务；

信息筛选模块，配置在控制平面中，用于对接收到的数据包信息进行筛选，确定数据包是否通过；

统一管理模块，配置在控制平面中，对网络安全进行整体管理，同时完成服务管理，在该统一管理模块中，当网络安全应用模块启动加载提供服务后，该统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间；

一次转发模块，配置在控制平面中，是通过OpenFlow 协议与数据平面进行信息的交互，将来自数据平面的信息发送至信息筛选模块，并将对数据包的控制信息传递到数据平面；

信息流转发模块，配置在数据平面中，运行支持OpenFlow协议的设备，该设备包括支持OpenFlow 协议的交换机。

所述网络安全应用模块用于在数据平面的交换机接到恶意数据包或者网络拓扑中的某些链路失效时，实时评估当前网络的安全状态，从而调整对网络状况查询频率，及时地通过控制平面向数据平面下发包括相应的信息筛选规则的有效措施。

所述SOCKET接口服务模块向应用平面提供开放的可编程接口，即SOCKET接口，相对应的，信息筛选模块通过该可编程接口完成与上层网络安全应用模块的交互；所述可编程接口还用于编写网络安全策略，并下发至数据平面的交换机中。

所述信息筛选模块中配置一套筛选规则，规则定义了信息筛选模块对于数据包的具体操作，对接收到的数据完成通过或丢弃决策，所述筛选规则是对数据包头中域的参数值进行匹配，该包头涵盖多个域，包括源IP 地址、目标IP 地址、源MAC 地址、目的MAC 地址、通信协议号，相对应的，信息筛选的过程即在控制平面中通过对接收到数据包进行解析，检查数据包的头部匹配域的参数值，从而决定是否让数据包通过或者直接进行丢弃。

所述一次转发模块对数据平面中的网络拓扑或流表项信息定期进行统计，并将所获得的信息传递给信息筛选模块。

所述流表项信息存储在数据平面的交换机中，并按照OpenFlow 协议制定，该流表项由匹配域、计数器和动作三项组成，在数据平面的信息流转发模块中，数据的转发是对交换机中的流表项进行优先级的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理。

在Openflow 协议SDN 环境下的网络安全部署方面，相比于传统网络安全的部署特点，SDN 网络安全不是直接部署在被保护网络的边界，而是通过在控制平面的中央控制器这一软件管控形式将策略下发到转发层的设备上，因此网络安全的升级、修改、配置等无需在转发层中处于安全状态的硬件设备上逐一进行，这种网络运行机制加快了网络安全开发和部署。

本发明的网络安全策略具有其特有的特性：

1）弹性化，通过SDN 控制器提供的可编程接口，灵活制定具有差异化的网络安全策略，构建一个可灵活应对不同安全需求的网络安全应用；

2）高效性，由于处在控制平面中的SDN 控制器能够全局化实时监控网络基础设施的运行状态，从而能够更加及时而准确地监控和管理网络安全策略运行的状态，及时反馈给管理员，便于管理人员高效管理整个网络环境；

3）细粒度，SDN 环境中OpenFlow 协议标准化的流表结构扁平化了对数据包在网络中转发的处理层次, 使得网络中的数据在OpenFlow 协议标准下对数据转发的处理能满足细粒度要求。

本发明的网络安全策略不仅能满足传统网络安全访问控制和隔离的功能，还可以进一步根据OpenFlow 流表项中字段和网络资源进行抽象和处理，从而使网络安全在应对事件处理中能有粗粒度到细粒度的选择性空间。

一种数据中心综合管理系统的网络安全实现方法，本发明在对SDN 环境下网络安全特性分析的基础上，利用SDN 中数据传输面板与控制面板分离的特性，以及提出一种基于SDN的网络编程语言，将本发明中的网络安全策略和流表策略融合到一起，再由控制平面通过控制器下发到虚拟网络环境中的交换机中，实现了SDN 网络构架环境下该网络安全下发的灵活性和细粒度的管理。

其实现过程为：

其实现过程为：

首先根据上述系统，搭建虚拟网络环境；

在应用平面中，通过网络安全应用模块，发出网络安全策略和流表策略；

通过北向接口，网络安全策略、流表策略顺序经控制平面中的SOCKET接口服务模块、信息筛选模块、统一管理模块、一次转发模块到达数据平面的信息流转发模块中；

数据平面的交换机接收数据包，并通过网络安全策略与流表策略进行数据包与流表的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理；

然后开始服务调用，网络安全应用模块启动加载提供服务后，统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间。

所述网络安全策略是指通过语法与规则，将OpenFlow交换机分解为多个虚拟组件，即将一个大交换机虚拟化为若干小的虚拟MAC感知交换机，每个小的组件都有一个虚拟标签，该虚拟标签包括网络安全、虚拟网关，这样一来，错综复杂的一个组件将转换成许多个小的组件。实际上是把一个大交换机虚拟化为许多小的虚拟MAC感知交换机。

所述方法能够提供一种高层次的与SDN 的控制器关联。通过这种方式来完成网络虚拟环境和网络安全的建立。

所述方法能够隐藏SDN 编程的复杂性，简化了策略创建的过程；并提出了并联操作符和顺序操作符，将由不同模块生成的策略通过一种简单却功能强大的方式结合起来；

所述方法提出了网络对象的概念，它允许程序员抽象化物理拓扑结构的细节并且依据网络的抽象特点编写策略；抽象数据包模型使得高层信息和数据包可以联系起来并且使得模块之间可以相互协调。

所述提供一种运行实时系统，该系统允许程序员高度抽象网络策略，再用多种方式将它们组合在一起，并执行它们抽象的网络拓扑。

所述数据平面中的交换机为2L-learning 交换机，即网络拓扑中任意交换机都有学习认识网络拓扑中其他交换机端口的功能；该交换机的IP网关负责连接两个网络，内网与外网，相对应的，网络安全用来实现内网与外网的隔离，在网络安全时，内网的主机随时访问外网，处于外网的主机能够随时访问HTTP服务器，HTTP 服务器能够随时与内网的主机进行通信。

所述网络安全用来实现内网与外网的隔离是指：当内网主机的IP访问外网主机IP时，在设定时限内两主机可以互相ping通，超过时限时外网被ping的IP将不能ping通内网的IP。

该数据中心综合管理系统的网络安全以基于SDN网络的数据中心入手，基于Openflow 协议的SDN 网络架构下的网络安全有着传统网络安全不具备的优势。SDN 网络架构下的可编程管理方式具有高度的灵活性，在对网络安全进行功能的升级或应用进行增删改时无需过度依靠硬件与专业系统的开发，可以以模块或应用程序的方式加入SDN 网络架构中。同时，SDN 作为一种全新的未来网络管理架构，SDN 网络安全具有的弹性化、高效性、细粒度等特性，使其在实际应用中能体现出巨大的实用价值，很好地实现了现有网络技术和未来网络的融合，故可以增强对数据中心有效快速的管理，并保障业务系统的稳定、可靠运行。

以上所述仅为本发明的较佳实施例，本发明的专利保护范围包括但不限于上述具体实施方式，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的专利保护范围之内。

通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种数据中心综合管理系统，其特征在于，基于SDN架构，该SDN架构中配置有应用平面、控制平面和数据平面，在控制平面与数据平面之间配置有南向接口，控制平面与应用平面之间配置有北向接口；在所述SDN架构中，还配置有以下模块：

网络安全应用模块，为应用平面的一个应用程序，定期通过控制平面获取底层网络运行状态信息，同时提供服务；

SOCKET接口服务模块，配置在控制平面中，并通过北向接口与应用平面完成对接，获取网络安全应用模块中的服务；

信息筛选模块，配置在控制平面中，用于对接收到的数据包信息进行筛选，确定数据包是否通过；

统一管理模块，配置在控制平面中，对网络安全进行整体管理，同时完成服务管理，在该统一管理模块中，当网络安全应用模块启动加载提供服务后，该统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间；

一次转发模块，配置在控制平面中，是通过OpenFlow 协议与数据平面进行信息的交互，将来自数据平面的信息发送至信息筛选模块，并将对数据包的控制信息传递到数据平面；

信息流转发模块，配置在数据平面中，运行支持OpenFlow协议的设备，该设备包括支持OpenFlow 协议的交换机。

2.根据权利要求1所述的一种数据中心综合管理系统，其特征在于，所述网络安全应用模块用于在数据平面的交换机接到恶意数据包或者网络拓扑中的某些链路失效时，实时评估当前网络的安全状态，从而调整对网络状况查询频率，及时地通过控制平面向数据平面下发包括相应的信息筛选规则的有效措施。

3.根据权利要求1所述的一种数据中心综合管理系统，其特征在于，所述SOCKET接口服务模块向应用平面提供开放的可编程接口，即SOCKET接口，相对应的，信息筛选模块通过该可编程接口完成与上层网络安全应用模块的交互；所述可编程接口还用于编写网络安全策略，并下发至数据平面的交换机中。

4.根据权利要求1所述的一种数据中心综合管理系统，其特征在于，所述信息筛选模块中配置一套筛选规则，规则定义了信息筛选模块对于数据包的具体操作，对接收到的数据完成通过或丢弃决策，所述筛选规则是对数据包头中域的参数值进行匹配，该包头涵盖多个域，包括源IP 地址、目标IP 地址、源MAC 地址、目的MAC 地址、通信协议号，相对应的，信息筛选的过程即在控制平面中通过对接收到数据包进行解析，检查数据包的头部匹配域的参数值，从而决定是否让数据包通过或者直接进行丢弃。

5.根据权利要求1所述的一种数据中心综合管理系统，其特征在于，所述一次转发模块对数据平面中的网络拓扑或流表项信息定期进行统计，并将所获得的信息传递给信息筛选模块。

6.根据权利要求5所述的一种数据中心综合管理系统，其特征在于，所述流表项信息存储在数据平面的交换机中，并按照OpenFlow 协议制定，该流表项由匹配域、计数器和动作三项组成，在数据平面的信息流转发模块中，数据的转发是对交换机中的流表项进行优先级的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理。

7.一种数据中心综合管理系统的网络安全实现方法，其特征在于，其实现过程为：

首先根据上述系统，搭建虚拟网络环境；

在应用平面中，通过网络安全应用模块，发出网络安全策略和流表策略；

通过北向接口，网络安全策略、流表策略顺序经控制平面中的SOCKET接口服务模块、信息筛选模块、统一管理模块、一次转发模块到达数据平面的信息流转发模块中；

数据平面的交换机接收数据包，并通过网络安全策略与流表策略进行数据包与流表的匹配，对于匹配成功的数据包直接执行流表项中的动作和计数器功能，对于没有匹配成功的数据包将以PACKET_IN 的形式发送到控制平面进行处理；

然后开始服务调用，网络安全应用模块启动加载提供服务后，统一管理模块首先完成服务的注册，然后接收经过SOCKET接口服务模块、信息筛选模块的服务信息地址列表，再将该服务信息地址列表经下述一次转发模块、信息流转发模块提供给消费者，由消费者根据该服务信息地址列表，基于软负载均衡算法，选择服务进行调用，如果调用失败，再选另一个调用，通过Invoke函数调用实现异步回调；且所有服务调用的信息存储在日志中，该调用信息包括服务调用次数和调用时间。

8.根据权利要求7所述的一种数据中心综合管理系统的网络安全实现方法，其特征在于，所述网络安全策略是指通过语法与规则，将OpenFlow交换机分解为多个虚拟组件，即将一个大交换机虚拟化为若干小的虚拟MAC感知交换机，每个小的组件都有一个虚拟标签，该虚拟标签包括网络安全、虚拟网关。

9.根据权利要求7所述的一种数据中心综合管理系统的网络安全实现方法，其特征在于，所述数据平面中的交换机为2L-learning 交换机，即网络拓扑中任意交换机都有学习认识网络拓扑中其他交换机端口的功能；该交换机的IP网关负责连接两个网络，内网与外网，相对应的，网络安全用来实现内网与外网的隔离，在网络安全时，内网的主机随时访问外网，处于外网的主机能够随时访问HTTP服务器，HTTP 服务器能够随时与内网的主机进行通信。

10.根据权利要求9所述的一种数据中心综合管理系统的网络安全实现方法，其特征在于，所述网络安全用来实现内网与外网的隔离是指：当内网主机的IP访问外网主机IP时，在设定时限内两主机可以互相ping通，超过时限时外网被ping的IP将不能ping通内网的IP。