CN108809958A - 一种基于mdc管理系统的sdn控制器架构 - Google Patents
一种基于mdc管理系统的sdn控制器架构 Download PDFInfo
- Publication number
- CN108809958A CN108809958A CN201810500826.2A CN201810500826A CN108809958A CN 108809958 A CN108809958 A CN 108809958A CN 201810500826 A CN201810500826 A CN 201810500826A CN 108809958 A CN108809958 A CN 108809958A
- Authority
- CN
- China
- Prior art keywords
- module
- mdc
- sdn controller
- network
- system based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于MDC管理系统的SDN控制器架构,属于数据中心技术领域。本发明的基于MDC管理系统的SDN控制器架构包括逻辑分层组件、更新检查模块、安全隔离域、共享网络信息库、入侵容忍控制模块、安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块,更新检查模块设置于控制层的南向协议服务单元,安全隔离域、共享网络信息库设置于控制层的资源池中,安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块设置于控制层的应用管理单元。该发明的基于MDC管理系统的SDN控制器架构能够增强SDN网络的健壮性,并保障业务系统稳定、可靠运行,具有很好的推广应用价值。
Description
技术领域
本发明涉及数据中心技术领域,具体提供一种基于MDC管理系统的SDN控制器架构。
背景技术
MDC(Module Data Center即模块化数据中心)是云计算的新一代数据中心部署形式,为了应对云计算、虚拟化、集中化、高密化等服务器发展的趋势,其采用模块化设计理念,最大程度的降低基础设施对机房环境的耦合。集成了供配电、制冷、机柜、气流遏制、综合布线、动环监控等子系统,提高数据中心的整体运营效率,实现快速部署、弹性扩展和绿色节能。
SDN(Software Defined Network即软件定义网络)是一种网络设计理念,一个框架,其核心思想是控制平面与转发平面相分离,通过上层的控制器控制下层的网络设备,实现网络管理的灵活控制。SDN架构由应用层、控制层和网络设备层组成。其中网络设备层由各种网络设备(如交换机、路由器)组成,属于SDN框架中的数据转发层面。控制层由专门的控制器构成,负责对网络设备进行管理,同时控制器向上层的应用层提供开放的API接口,供其编程调用。SDN网络架构利用其可编程性、集中控制、细粒度管理等特点获得更丰富功能的同时,也面临诸多安全挑战,如恶意数据流、交换机流表篡改、应用软件漏洞、数据管理机密性与可用性威胁等传统网络中常见的攻击在SDN 中依然可能发生。控制器拥有网络绝对管理权,作为SDN新增的管理层级,一旦失效会使整个网络面临瘫痪,因此保证控制器安全至关重要。如何在充分发挥SDN优势的同时,弥补控制器存在的安全缺陷,建立控制器架构,已成为SDN网络能够满足未来网络需求的关注焦点。
发明内容
本发明的技术任务是针对上述存在的问题,提供一种能够增强SDN网络的健壮性,利于不同控制器间进行安全的服务扩展,并保障业务系统稳定、可靠运行的基于MDC管理系统的SDN控制器架构。
为实现上述目的,本发明提供了如下技术方案:
一种基于MDC管理系统的SDN控制器架构,由设备层、控制层和应用层构成,设备层与控制层通过南向接口相连接,应用层与控制层通过北向接口相连接,还包括逻辑分层组件、更新检查模块、安全隔离域、共享网络信息库、入侵容忍控制模块、安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块,所述逻辑分层组件设置在南向接口处,更新检查模块设置于控制层的南向协议服务单元,安全隔离域、共享网络信息库设置于控制层的资源池中,入侵容忍控制模块设置于控制器中,安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块设置于控制层的应用管理单元。
与现有技术相同的是所述应用层包括安全管理程序、防火墙、学习型交换机和应用程序。所述控制层包括控制器、应用管理单元、基础控制单元、网络虚拟机服务、资源池和南向协议服务单元。控制器上设置有控制器间东西向通信接口。应用管理单元包括策略管理器、策略追踪。基础控制单元包括REST服务、模块管理、负载均衡、链路发现、路径计算、拓扑结构。资源池包括维护模块、本地网络信息库。南向协议服务单元包括南向协议模块、日志管理模块和设备性能监视模块。所述设备层包括多种网络设备。
与现有技术不同的是在控制层的应用管理单元上设置有安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块。在控制层的控制器上设置有入侵容忍控制模块。在控制层的资源池中设置有安全隔离域和共享网络信息库。在控制层的南向协议服务单元上设置有更新检查模块。在南向接口处设置逻辑分层组件。所述应用管理单元用于保证应用程序在控制器上有可靠的运行环境,应用管理单元位于北向接口与资源池之间,能够调用基础控制模块提供的调用接口。应用程序可通过应用管理单元调用网络信息和基础控制信息,指定相应策略,并通过基础控制模块和南向协议服务单元将策略翻译成网络设备能执行的表项信息,使SDN网络可以更细粒度的进行策略管理。应用管理单元的基础部分是策略管理和策略存储集合。
通过增加逻辑分层组件、更新检查模块、安全隔离域、共享网络信息库、入侵容忍控制模块、安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块,并融入数据共享、冲突检测等安全组件,用以解决控制器在网络信息维护、应用程序管理、控制器处理流程等方面出现的安全问题,增强SDN网络的健壮性,有利于不同控制器间进行安全的服务扩展,并保障业务系统的稳定、可靠运行。
作为优选,所述逻辑分层组件通过虚拟化逻辑分层,将真实物理网络划分成多个网络层,每个网络层专享独立的网络静态信息,并对网络动态信息进行分割。
在网络信息进入控制器之前,先通过虚拟化逻辑分层组件,将真实物理网络划分成多个网络层,每个网络层专享独立的网络静态信息,并对链路利用率等网络动态信息进行分割,使每个控制器控制的网络层在逻辑上相互独立,避免出现冲突。同时,某一台控制器控制的网络被入侵后,其余网络仍可正常工作。
利用网络虚拟化软件FlowVisor实现网络的虚拟化分层,使在同一个网络域上的控制器执行决策时互不影响。
作为优选,所述更新检查模块解决控制器间系统性能的不一致。
通过设置控制逻辑的原子操作或设置同步锁,用于解决控制器间系统性能不一致问题。
作为优选,所述安全隔离域用于存储待验证的网络信息。
所述资源池的安全隔离域存储待验证的网络信息,同时可疑程序的运行环境安全沙箱会调用这些网络信息。
作为优选,所述共享网络信息库用于使控制器间进行冗余备份。
共享网络信息库用于存储分布式数据,可以使控制器间进行冗余备份,并为实现入侵容忍控制模块提供基础资源。
作为优选,所述入侵容忍控制模块利用控制器间东西向通信接口保证控制器间进行控制策略和网络信息交互,共享网络信息库提供其他控制器信息存储。
控制器间东西向通信接口与入侵容忍控制模块相结合,从基础控制模块中独立出应用管理功能,并在控制器内部提供编程接口,提高各模块功能的独立性。
当多控制器协同控制时,该入侵容忍控制模块提供分布式存储的入侵容忍功能,同时可以在多控制器独立控制模型基础上,建立控制器间的数据通信链路,统一控制功能,使得控制器间互为副本,在部分控制器节点出现错误时,其他控制器通过协商仍能得出正确决策。
作为优选,所述安全沙箱模块用于为急需执行又无法验证安全性的应用程序提供运行环境。
所述规则策略集模块中,策略分级优先存储,管理员直接下发的策略优先级最高,安全应用程序次之,优先级最低的普通应用程序策略按时序先后排序。
作为优选,所述应用审计认证模块用于提供高效的认证方案。
作为优选,所述权限管理模块用于规定和管理应用程序访问网络资源的策略集的权限。
作为优选,所述冲突检测模块用于建立冲突检测集合,应用程序产生的新的策略与已有策略扩展集合比对,根据策略优先级或时序进行更新。
与现有技术相比,本发明的基于MDC管理系统的SDN控制器架构具有以下突出的有益效果:所述基于MDC管理系统的SDN控制器架构通过增加逻辑分层组件、更新检查模块、安全隔离域、共享网络信息库、入侵容忍控制模块、安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块,并融入数据共享、冲突检测等安全组件,用以解决控制器在网络信息维护、应用程序管理、控制器处理流程等方面出现的安全问题,增强SDN网络的健壮性,有利于不同控制器间进行安全的服务扩展,并保障业务系统的稳定、可靠运行,具有良好的推广应用价值。
附图说明
图1是本发明所述基于MDC管理系统的SDN控制器架构的拓扑图。
具体实施方式
下面将结合附图和实施例,对本发明的基于MDC管理系统的SDN控制器架构作进一步详细说明。
实施例
如图1所示,本发明的基于MDC管理系统的SDN控制器架构,由设备层、控制层和应用层构成。
一、设备层包括多个网络设备。
设备层与控制层通过南向接口相连接,在南向接口处设有逻辑分层组件,在网络信息进入控制器之前,先通过虚拟化逻辑分层组件,将真实物理网络划分成多个网络层,每个网络层专享独立的网络静态信息,并对链路利用率等网络动态信息进行分割,使每个控制器控制的网络层在逻辑上相互独立,避免出现冲突。同时,某一台控制器控制的网络被入侵后,其余网络仍可正常工作。利用网络虚拟化软件FlowVisor实现网络的虚拟化分层,使在同一个网络域上的控制器执行决策时互不影响。应用层与控制层通过北向接口相连接。
二、控制层包括控制器、应用管理单元、基础控制单元、网络虚拟机服务、资源池和南向协议服务单元。
1)控制器上设有入侵容忍控制模块,与控制器间东西向通信接口相结合,入侵容忍控制模块利用控制器间东西向通信接口保证控制器间进行控制策略和网络信息交互,共享网络信息库提供其他控制器信息存储。控制器间东西向通信接口与入侵容忍控制模块相结合,从基础控制模块中独立出应用管理功能,并在控制器内部提供编程接口,提高各模块功能的独立性。
2)应用管理单元包括策略管理器和策略追踪,还包括安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块。应用程序可通过应用管理单元调用网络信息和基础控制信息,指定相应策略,并通过基础控制模块和南向协议服务单元将策略翻译成网络设备能执行的表项信息,使SDN网络可以更细粒度的进行策略管理。应用管理单元的基础部分是策略管理和策略存储集合。
安全沙箱模块用于为急需执行又无法验证安全性的应用程序提供运行环境。
规则策略集模块中,策略分级优先存储,管理员直接下发的策略优先级最高,安全应用程序次之,优先级最低的普通应用程序策略按时序先后排序。
应用审计认证模块用于提供高效的认证方案。
权限管理模块用于规定和管理应用程序访问网络资源的策略集的权限。
冲突检测模块用于建立冲突检测集合,应用程序产生的新的策略与已有策略扩展集合比对,根据策略优先级或时序进行更新。
3)基础控制单元包括REST服务、模块管理、负载均衡、链路发现、路径计算、拓扑结构。
4)资源池包括维护模块和本地网络信息库,还包括安全隔离域和共享网络信息库。本地网络信息库用于存储本地数据,维护模块负责管理资源池读写逻辑一致性。
安全隔离域存储待验证的网络信息,同时可疑程序的运行环境安全沙箱会调用这些网络信息。
共享网络信息库用于存储分布式数据,可以使控制器间进行冗余备份,并为实现入侵容忍控制模块提供基础资源。
5)南向协议服务单元包括南向协议模块、日志管理模块、设备性能监视模块,还包括更新检查模块。更新检查模块通过设置控制逻辑的原子操作或设置同步锁,用于解决控制器间系统性能不一致问题。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (10)
1.一种基于MDC管理系统的SDN控制器架构,由设备层、控制层和应用层构成,设备层与控制层通过南向接口相连接,应用层与控制层通过北向接口相连接,其特征在于:还包括逻辑分层组件、更新检查模块、安全隔离域、共享网络信息库、入侵容忍控制模块、安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块,所述逻辑分层组件设置在南向接口处,更新检查模块设置于控制层的南向协议服务单元,安全隔离域、共享网络信息库设置于控制层的资源池中,入侵容忍控制模块设置于控制器中,安全沙箱模块、规则策略集模块、应用审计认证模块、权限管理模块和冲突检测模块设置于控制层的应用管理单元。
2.根据权利要求1所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述逻辑分层组件通过虚拟化逻辑分层,将真实物理网络划分成多个网络层,每个网络层专享独立的网络静态信息,并对网络动态信息进行分割。
3.根据权利要求1或2所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述更新检查模块解决控制器间系统性能的不一致。
4.根据权利要求3所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述安全隔离域用于存储待验证的网络信息。
5.根据权利要求4所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述共享网络信息库用于使控制器间进行冗余备份。
6.根据权利要求5所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述入侵容忍控制模块利用控制器间东西向通信接口保证控制器间进行控制策略和网络信息交互。
7.根据权利要求6所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述安全沙箱模块用于为急需执行又无法验证安全性的应用程序提供运行环境。
8.根据权利要求7所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述应用审计认证模块用于提供高效的认证方案。
9.根据权利要求8所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述权限管理模块用于规定和管理应用程序访问网络资源的策略集的权限。
10.根据权利要求9所述的基于MDC管理系统的SDN控制器架构,其特征在于:所述冲突检测模块用于建立冲突检测集合,应用程序产生的新的策略与已有策略扩展集合比对,根据策略优先级或时序进行更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810500826.2A CN108809958A (zh) | 2018-05-23 | 2018-05-23 | 一种基于mdc管理系统的sdn控制器架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810500826.2A CN108809958A (zh) | 2018-05-23 | 2018-05-23 | 一种基于mdc管理系统的sdn控制器架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108809958A true CN108809958A (zh) | 2018-11-13 |
Family
ID=64091389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810500826.2A Pending CN108809958A (zh) | 2018-05-23 | 2018-05-23 | 一种基于mdc管理系统的sdn控制器架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108809958A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855509A (zh) * | 2019-12-23 | 2020-02-28 | 广东省新一代通信与网络创新研究院 | 一种新型的云化sptn网络架构 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967615A (zh) * | 2015-06-03 | 2015-10-07 | 浪潮集团有限公司 | 一种安全sdn控制器及基于该控制器的网络安全方法 |
| CN106464659A (zh) * | 2014-06-30 | 2017-02-22 | 上海贝尔股份有限公司 | 软件定义网络中的安全 |
| CN107104896A (zh) * | 2017-05-26 | 2017-08-29 | 南京元融信息技术有限公司 | 高可用高性能灵敏的sdn控制器与sdn交换机架构 |
| US20170339134A1 (en) * | 2016-05-20 | 2017-11-23 | Avaya Inc. | Certificate-based Dual Authentication for Openflow Enabled Switches |
| KR20180046894A (ko) * | 2016-10-28 | 2018-05-09 | 주식회사 케이티 | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 |
-
2018
- 2018-05-23 CN CN201810500826.2A patent/CN108809958A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464659A (zh) * | 2014-06-30 | 2017-02-22 | 上海贝尔股份有限公司 | 软件定义网络中的安全 |
| CN104967615A (zh) * | 2015-06-03 | 2015-10-07 | 浪潮集团有限公司 | 一种安全sdn控制器及基于该控制器的网络安全方法 |
| US20170339134A1 (en) * | 2016-05-20 | 2017-11-23 | Avaya Inc. | Certificate-based Dual Authentication for Openflow Enabled Switches |
| KR20180046894A (ko) * | 2016-10-28 | 2018-05-09 | 주식회사 케이티 | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 |
| CN107104896A (zh) * | 2017-05-26 | 2017-08-29 | 南京元融信息技术有限公司 | 高可用高性能灵敏的sdn控制器与sdn交换机架构 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855509A (zh) * | 2019-12-23 | 2020-02-28 | 广东省新一代通信与网络创新研究院 | 一种新型的云化sptn网络架构 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | Multi-controller based software-defined networking: A survey | |
| CN110378103A (zh) | 一种基于OpenFlow协议的微隔离防护方法及系统 | |
| Hu et al. | Anomaly detection system in secure cloud computing environment | |
| CN103888360A (zh) | 基于贪婪算法的集合覆盖方法获取sdn网中服务节点的方法 | |
| CN104506614B (zh) | 一种基于云计算的分布式多活数据中心的设计方法 | |
| CN108833153A (zh) | 实现异地数据中心云资源统一管理的方法 | |
| Gadasin et al. | Routing Management System Formation for Machine-to-Machine Interaction in a Decentralized Environment | |
| CN109587026A (zh) | 一种基于Java的大中型企业网络规划设计的方法 | |
| CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
| CN110008005A (zh) | 基于云平台的电网通信资源虚拟机迁移系统及方法 | |
| CN115460613A (zh) | 一种电力5g切片安全应用与管理方法 | |
| Aly | Generic controller adaptive load balancing (GCALB) for SDN networks | |
| CN108809958A (zh) | 一种基于mdc管理系统的sdn控制器架构 | |
| Zhang et al. | A master-slave chain architecture model for cross-domain trusted and authentication of power services | |
| CN114448748B (zh) | 一种系统中心部署化网络系统 | |
| Lina et al. | A new network security architecture based on SDN/NFV technology | |
| Zhu et al. | A hybrid reliable heuristic mapping method based on survivable virtual networks for network virtualization | |
| CN108134778B (zh) | 一种基于密码系统虚拟化切片的多用途密码系统 | |
| CN115225664B (zh) | 一种气象信息基础设施资源云平台的构建方法 | |
| Chen et al. | A baas platform for cross-chain cloud management service system of consortium blockchain | |
| Liu | Cloud Data Center Network Construction Based on Virtualization Technology | |
| Lin | Research on IT Operation and Maintenance Management Model in Cloud Computing Environment | |
| Huang et al. | SDN-Empowered Reliable and Dynamic Scheduling Scheme for Security Resources | |
| Yu et al. | Application of Software-Defined Network with Software-Based Architecture in Enterprise Data Center | |
| Chen et al. | Application of virtual local area network technology in smart grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181113 |