CN112202930B - 一种移动设备接入sd-wan网络方法、pop和系统 - Google Patents
一种移动设备接入sd-wan网络方法、pop和系统 Download PDFInfo
- Publication number
- CN112202930B CN112202930B CN202011395653.6A CN202011395653A CN112202930B CN 112202930 B CN112202930 B CN 112202930B CN 202011395653 A CN202011395653 A CN 202011395653A CN 112202930 B CN112202930 B CN 112202930B
- Authority
- CN
- China
- Prior art keywords
- pop
- mark
- wan
- data packet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本发明提供一种移动设备接入SD‑WAN网络的方法、POP和系统,本发明属于网络通信技术,特别是SD‑WAN组网技术,本发明用于解决移动设备接入SD‑WAN网络的问题。本发明的方法,包括:代理客户端创建虚拟网络接口设备,并设置第一应用程序的流量由所述虚拟网络接口设备转发;所述代理客户端通过所述虚拟网络接口设备的文件描述符读写所述虚拟网络接口设备,从而代理所述第一应用程序发送的数据包;代理服务端接收所述代理客户端发送的所述数据包,所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记;从而第一POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据上行流量的统计值与阈值决定对所述数据包的转发、抛弃。
Description
技术领域
本发明属于网络通信技术,特别是SD-WAN组网技术。
背景技术
SD-WAN,即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,通过SD-WAN技术,用户可以获得更好的网络使用体验。
全球积极探索 SDN 技术的应用需求场景,目前已经出现的主流需求场景包括数据中心内的虚拟化、 广域网流量调优、 移动回传网络 IP RAN、 IP 接入网/城域网、 传送网、 业务链与业务路由、 IP+光协同组网、网络安全等。
然而由于SD-WAN前期研发难度大、部署成本高等问题,导致目前的SD-WAN的用户主要以企业为主,在价格和服务方面均难以满足个人用户的网络使用的需求。
例如一种经典的SD-WAN使用场景如图1所示:在深圳的A企业在上海、北京、四川均有分公司,而它的客户数据存储在华东的服务器集群,若要上海、北京、四川的公司均能较快的获得用户访问用户数据,可以在各分公司部署SD-WAN的CPE,云端部署SD-WAN控制器,分公司通过CPE选择最近的POP,POP之间构建专线骨干网,从而分公司的流量通过CPE与POP节点之间的隧道接入POP之间的骨干网,再由骨干网到服务集群,避免了公共互联网的拥塞,从而实现快速的网络访问服务。得益于SD-WAN控制器控制下网络内的流量实现灵活的调度和转发,分支机构能使用快速的网络服务。
现有的方案中,通过CPE对用户接入SD-WAN的流量进行识别和限制,然而大多数现成的CPE设备、vCPE / uCPE所运行的硬件都需要以太网端口, 并配置流量的转发规则后,才能实现接入SD-WAN。
然而随着移动办公、手游、5G网络的兴起,企业或者个人用于对网络加速需求不断增加,同时提出减少与CPE相关的资本支出和运营支出,并实现更实惠、更复杂、更灵活的服务方案。
发明内容
为此,需要提供一种移动设备接入SD-WAN网络的方法、POP和系统,用于实现移动设备接入sd-wan,并对其的网络使用能有效控制的方案。
为实现上述目的,一方面发明人提供了 一种移动设备接入SD-WAN网络的方法,代理客户端创建虚拟网络接口设备,并设置第一应用程序的流量由所述虚拟网络接口设备转发;所述第一应用程序位于移动设备上;
所述代理客户端通过所述虚拟网络接口设备的文件描述符读写所述虚拟网络接口设备,从而代理所述第一应用程序发送的数据包;
代理服务端接收所述代理客户端发送的所述数据包,所述数据包通过TCP长连接向所述代理服务端发送,所述代理服务端部署于第一POP,SD-WAN网络包括至少2个POP,第一POP属于所述SD-WAN网络,
所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记;
第一POP设置有基于第一mark标记的第一流量控制指令,从而第一POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据上行流量的统计值与阈值决定对所述数据包的转发、抛弃;
所述账户与第一mark标记对应。
可选的,在所述步骤所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记之前,包括步骤:
控制器将与第一mark标记相关的配置信息下发至第一POP,所述配置信息包括基于第一mark标记的流量控制指令。
可选的,所述配置信息包括指示第一POP配置所述代理客户端接入SD-WAN网络的上行和/或下行流量的带宽阈值、流量阈值或者优先级中至少一方面的流量控制指令,所述流量控制指令是基于第一mark标记实现的。
可选的,在所述步骤所述代理服务端根据所述TCP长连接所对应的账户信息,对所述数据包标记对应的第一mark标记之前,包括:
基于所述移动设备的通信位置与SD-WAN网络中POP的网络拓扑图确定与代理客户端的链路通信质量符合预设条件的第一POP。
所述代理客户端向所述用户服务器发送接入SD-WAN网络请求,所述用户服务器向所述代理客户端返回第一POP中代理服务端地址。
可选的,所述基于第一mark标记的第一流量控制指令还包括基于第一mark标记的下行流量控制指令;
从而POP上的系统工具能根据第一mark标记,统计账户的下行流量,并根据下行流量的统计值与阈值决定对下行流量的转发、抛弃。
可选的,在所述步骤所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记第一mark标记之后,包括步骤:
控制器汇总用户组中各用户的SD-WAN网络流量使用情况,并根据流量使用情况向第二POP发送第二流量控制指令,从而控制用户组的网络接入;
所述第二POP指的与用户组中用户保持连接的POP。
第二方面,本发明提供一种POP,所述POP包括交换机、服务器,所述POP属于SD-WAN网络;所述POP用于执行以下指令:
在所述POP部署代理服务端;所述POP设置有基于第一mark标记的第一流量控制指令,从而第一POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据上行流量的统计值与阈值决定对所述数据包的转发、抛弃;
所述代理服务端用于接收所述代理客户端发送的所述数据包,所述数据包通过TCP长连接向所述代理服务端发送;所述代理服务端根据所述TCP长连接所对应的账户信息,对所述数据包标记对应的第一mark标记;
所述账户与第一mark标记对应。
可选的,所述POP用于执行以下指令:在所述步骤所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记之前,还包括:
接收控制器将与第一mark标记相关的配置信息,所述配置信息包括基于所述mark标记的流量控制。
可选的,所述配置信息包括指示第一POP配置所述代理客户端接入SD-WAN的上行和/或下行流量的带宽阈值、流量阈值或者优先级中至少一方面的规流量控制指令,所述流量控制指令基于第一mark标记实现的流量控制指令。
可选的,所述基于第一mark标记的流量控制指令还包括基于第一mark的下行流量控制指令;所述POP还用于执行一下指令:
系统工具能根据第一mark标记,统计账户的下行流量,并根据下行流量的统计值与阈值决定对下行流量的转发、抛弃。
可选的,所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记第一mark标记之后,包括步骤:
若所述POP是与用户组中用户保持连接的POP,则接收第二流量控制指令;
所述第二流量控制指令是根据共享流量订单,控制器汇总用户组中各用户的SD-WAN网络流量使用情况后,生成的第二流量控制指令。
第三方面,本发明提供一种基于SD-WAN架构的系统,用于执行本文中提供的方法。
区别于现有技术,上述方案中用户可选择移动设备上部分的应用程序的流量均接入SD-WAN网络,对于其他应用程序发起的非必要使用SD-WAN的访问请求,则通过internet的方式访问,因此该方式降低了用户的网络使用成本。
附图说明
图1为背景技术所述SD-WAN网络接入方案。
图2为具体实施方式所述 移动设备接入SD-WAN的方案。
图3为具体实施例所述的移动设备接入SD-WAN的网络拓扑图。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
本发明的一个实施例如图2所示。
移动设备是android手机,移动设备中安装至少1种需要访问互联网的应用。
POP即网络服务提供点(point of presence,POP),通常POP点越近则线路信号损耗越小,可为连接用户提供的带宽保障越高。
SD-WAN基于POP组网的模式,POP点之间并非基于internet组网,而是使用MPLS-VPN或者其他专线互联。移动设备通常需要通过internet方式接到最接近的POP点,即“最后一公里”是采用internet方式连接的网络。
移动设备安装有代理客户端,代理客户端是区别于移动设备系统软件的第三方软件;在POP点中部署代理服务端。
代理客户端用于代理移动设备中部分或全部应用的网络访问流量,代理客户端与代理服务端通信,将代理客户端的流量转发到代理服务端。
在一个实施例中,所述方法包括步骤:
代理客户端创建虚拟网络接口设备,并设置第一应用程序的流量由所述虚拟网络接口设备转发,
所述代理客户端通过所述虚拟网络接口设备的文件描述符读写所述虚拟网络接口设备,从而代理所述第一应用程序发送的数据包;
代理服务端接收所述代理客户端发送的所述数据包,所述数据包通过TCP长连接向所述代理服务端发送,所述代理服务端部署于第一POP,SD-WAN网络包括至少2个POP,第一POP属于所述SD-WAN网络,POP之间构建有基于SD-WAN架构的专线骨干网。
所述代理服务端根据所述TCP长连接所对应的账户信息,对所述数据包标记对应的mark标记;
POP上的系统工具根据所述mark标记值,统计账户使用带宽的统计值,并根据统计值与阈值决定对所述数据包的转发、抛弃。
如图2所示,移动设备是用户终端设备也是SD-WAN的边缘设备;所述代理客户端、代理服务端是独立软件,其是为用户提供接入SD-WAN网络接入服务而开发的所有应用的组成部分。所述第一应用程序和代理客户端位于移动设备上。所述SD-WAN网络接入服务即提供接入SD-WAN网络,通过SDN控制器实现对SD-WAN中用户流量的智能调度,从而实现用户对目标资源的加速访问;在本文中SD-WAN网络接入服务也简称为网络接入服务。所述第一应用程序指的是使用SD-WAN网络接入服务的应用;第一应用程序可以是指一个应用程序,也可以是指多个应用程序,本发明中并不限制第一应用程序的类型或名称,且用户或SD-WAN网络接入服务提供方也无需事先知道第一应用程序的类型、名称或者其发起网络访问请求的目的地址或者接入SD-WAN的站点的地址。站点地址指的是PE或CPE的地址,通过站点地址可以知道流量的来源。
在一个实施例中所述代理客户端运行在android系统上,所述代理服务端运行在POP上,所述android系统上还运行有第三方应用程序;用户的通过portal购买SD-WAN网络接入服务,该网络接入服务为第三方的软件提供SD-WAN网络接入服务;
用户通过portal选择哪些第三方应用程序的流量接入SD-WAN,例如用户选择移动设备上的应用A、应用B、应用C的流量均通过本发明的方法接入SD-WAN网络。代理客户端通过创建虚拟网络接口(tun设备),并设置应用A、应用B、应用C的流量由所述虚拟网络接口转发。代理客户端与代理服务端之间建立TCP长连接,可以理解的是在建立长连接之前,代理客户端与代理服务端之间可以先连接并验证合法性后,才建立TCP长连接,否则关闭连接或拒绝代理客户端的连接请求。
可以理解的是,用户购买网络接入服务和选择哪些应用程序之间的可是无关的。即用户购买是接入SD-WAN并且在SD-WAN内部的一段物理网络的使用权限以及对应的带宽或流量保障权益,用户在购买时无需告知SD-WAN运营方是哪些应用程序的流量需要接入SD-WAN,而只需在需要时选择由代理客户端转发的应用程序或者目的域名即可。
可以理解的是,本发明还包括用户可以指定访问请求为特定的域名或目的IP的流量由所述代理客户端代理,即所述第一应用程序可以是用户通过portal选择的应用程序,也可以是根据用户选择的域名,代理客户端设置虚拟网络接口设备所监控的流量从而获得到第一应用程序发送的,访问的是目标域名或目标IP的数据包。
在一个实施例中,应用程序A发起网络访问请求,该请求可以是任意协议的网络访问请求,代理客户端通过读取虚拟网络接口设备获得该请求对应的数据包,并将该数据包通过TCP长连接发送至代理服务端;可以理解的是所述TCP长连接提供SD-WAN网络接入服务的过程中保持长时间的存活;所述代理服务端部署于第一POP,SD-WAN架构种包含多个POP,至少部分POP之间构建有基于SD-WAN架构的专线骨干网;代理服务端接收所述代理客户端发送的所述数据包,并由第一POP决定对该数据包转发或抛弃;SD-WAN运营方提供不同服务套餐供用户选择,根据用户的购买选择,确定用户对应的网络接入服务的方式、时长、流量、带宽等,并依此通过SD-WAN的控制器设置POP对于该用户的路由策略和流量控制策略。
区别于现有技术,本方案的提供一种移动终端的接入SD-WAN网络的方式,且终端可以在移动的状态下保持对SD-WAN网络的有效连接;同时此方案用户无需添加CPE等硬件设备,也无需学习复杂的路由配置规则,降低了用户的入门成本和使用成本。
区别于现有技术,本方案中用户可选择移动设备上部分的应用程序的流量均接入SD-WAN网络,对于其他应用程序发起的非必要使用SD-WAN的访问请求,则通过internet的方式访问,因此该方式降低了用户的网络使用成本。
区别于现有技术,本方案中的移动设备能否接入SD-WAN网络,能否对接入的流量进行有效管理控制与数据包的五元组(源端口、目标端口、源地址、目标地址、协议)无关,而与TCP长连接相关,从而不论用户在移动过导致连接基站切换而最终导致移动设备ip切换,或者用户切换手机移动数据模式或wifi模式上网导致ip地址切换,本实施例中第一POP对长连接的流量控制规则均有效,从而能有效的管理控制用户进入SD-WAN网络的流量,从而能限制用户不超出购买的服务套餐中提供的流量方案使用网络,做到用户购买的服务与真实提供的网络服务器一致。另外,移动设备中安装有各类第三方软件,受到用户地理位置、软件开发方式等因素制约,不同软件发起的网络访问请求时源地址、源端口、目的地址、目的端口、协议等可能都是不一样的;而本方案通过移动设备的代理客户端与代理服务器之间的长连接传输数据,在POP上无需关心用户发起网络请求时的五元组等信息,而只需要建立长连接与用户账号的关联关系后,即可提供接入SD-WAN网络的服务。
在一个实施例中,所述方法包括:
代理服务端接收代理客户端发送的socket数据包后,还包括步骤
代理服务端根据该长连接所对应的账户信息,对该数据包标记对应的mark标记;
POP上的系统工具根据数据包的mark标记,统计账户使用带宽的统计值,并根据统计值与阈值决定数据包的转发、或抛弃。系统工具可以是linux上的包过滤应用程序。
所述数据包是在代理服务端与代理服务建立长连接之后发送的;所述数据包是由代理客户端接收到,并转发至代理服务端的。代理服务端通过该长连接接收到从移动设备发送的数据包后,设置数据包的SO_MARK 的属性值;为通过此长连接发送的每个数据包设置SO_MARK 的属性值(类似于netfilter MARK目标,但是SO_MARK 的属性值是基于套接字设置的),POP上的流量控制工具TC或nft-qos工具统计具有相同SO_MARK属性值的数据包的流量规则。
另外,区别于现有的限速的方案(现有技术是通过CPE中配置路由策略将流量导入到SD-WAN的POP点,同时TC工具基于五元组要素对流量分类形成队列,再通过iptable绑定队列并配置限速规则),本方案通过对长连接的数据包设置SO_MARK属性值从实现对不同长连接的流量分类,本方案中流量分类方案与五元组(源端口、目标端口、源地址、目标地址、协议)无关,而与长连接相关,从而不论用户在移动过导致连接基站切换而最终导致移动设备ip切换,或者用户切换手机移动数据模式或wifi模式上网导致ip地址切换,本实施例中通过长连接的流量控制规则均有效。另外,移动设备中安装有各类软件,受到用户地理位置、软件开发方式等因素制约,不同软件发起的网络访问请求时源地址、源端口、目的地址、目的端口、协议等可能都是不一样的;而本方案通过移动设备的代理客户端与代理服务器之间的长连接传输数据,在POP上无需关心用户发起网络请求时的五元组等信息,而只需要建立长连接与用户账号的关联关系,并根据用户购买的服务在POP中配置长连接所对应的流量控制规则,实现用户接入SD-WAN的同时完成对用户网络使用情况的控制,避免用户挤兑网络资源,从而保证各用户的正常使用SD-WAN网络。
现有技术中,对于外部进入的数据包,mark标记是在PREROUTING进行,根据数据包的源ip或目标ip(还可以是其他五元组要要素)筛选需要打mark标记的数据包,并根据mark标记实现路由策或流量控制。例如目前存在的对特定软件(例如爱奇艺视频流量或QQ聊天流量等)提供流量控制,或者是针对手机发出的全部的网络访问制定流量控制策略均是通过上述方式实现的;但是由于移动设备中安装有各类软件,受到用户地理位置、软件开发等因素制约,不同款软件发起的网络访问请求时源地址、源端口、目的地址、目的端口、协议等可能都是不一样的,因此使用现有方式对于手机上名目繁多的软件进行流量限制是繁琐的,且需要提前确定哪些目标服务器是可以访问的。而本方案中,对数据包设置SO_MARK是在代理服务端通过长连接接收到数据包之后,在netfilter中的local_in和local_out 之间设置的的SO_MARK属性,用户无需提前为每一软件设置流量控制方案。可以理解的是,在网络通信的解决方案中移动设备接入SD-WAN与用户的流量控制是不可分割的,缺一不可的,即这两项功能其中一个的实现方式会影响和限制另一个方案的实现。
SD-WAN整体架构包括业务层,控制层和网络层三个部分;业务层包括第三方BSS/OSS、Portal 层,其主要是面向终端租户业务自选购和运营商管理员网络维护;控制层具有是基于SDN架构的控制器,主要负责网络资源、云资源的编排管理以及 SDN设备的认证和管理、网络自劢化开通和业务自动化开通两个部分;基础设施层则是SDN设备、服务器、存储池等组成的基础设施。
在一个实施例中,控制器根据网络配置需求信息,将网络配置信息下发到对应的网络设备,并由具体网络设备进行业务的实例化。
在本发明的一个实施例中,用户通过Portal层选购业务,Portal层根据用户对业务的选购,生成网络配置需求信息(QOS、速率等),portal层可以包括app的用户交互界面、管理员界面等或者移动设备可以登录的网页;控制器可以是Agile Controller,控制器用于实现设备的统一管理、 Overlay 网络的统一控制和业务自动下发:南向通过 NETCONF协议管理设备,北向通过 RESTful 接口与应用层实现互联对接。基础设施层包括位于分支、总部和云公有云 / 私有云之间的移动设备、POP交换机等设备。
在本发明的一个实施例中,用户通过移动设备的app的用户交互界面购买网络接入服务,用户服务器根据用户购买的网络接入服务向移动设备发送授权码,移动设备通过授权码验证后,用户服务器向控制器发送网络配置需求信息,控制器向POP发送与配置需求信息对应的网络配置信息,并由POP实例化网络配置信息实现允许移动设备接入、设置移动设备接入SD-WAN网络的速率、设置移动设备接入流量总额等。从而实现对用户接入流量的控制和限制。
在本发明的一个实施例中,根据用户购买的网络接入服务,如果代理客户端请求接入SD-WAN网络,则由SD-WAN控制器向POP下发业务配置(即网络配置信息);当用户退出接入SD-WAN网络服务后,解耦POP与该代理客户端。解耦POP与该代理客户端包括清除与POP中该用户相关的业务配置,例如删除该用户登入该POP的权限相关的数据库信息或证书、清除POP中与该用户相关的流量控制和限制的策略等。
在本发明的一个实施例中,根据用户购买的网络接入服务,如果代理客户端请求接入SD-WAN网络,SD-WAN控制器向POP下发业务配置包括向POP下发用于验证代理客户端的证书。代理客户端也具有对应的证书用于加密长连接中发送的数据包,若代理服务端能正确通过证书验证身份则该长连接是合法接入SD-WAN的移动设备所发送的数据包,且该长连接对应的用户身份是唯一的。
在本发明的一个实施例中,判断是否是合法接入SD-WAN的移动设备是通过在TCP建立时三次握手之后通过对称密钥或者密钥验证的方式验证长连接是合法接入SD-WAN的。
在本法的一个实施例中,用户通过portal注册用户账号,并购买SD-WAN接入服务后,用户服务器为用户生成中唯一与其对应的mark标记值,以及用户证书A,以及用户证书B;用户验证通过后,代理客户端接收用户服务器发送的用户证书A;当用户点击连接SD-WAN的按钮时,代理客户端向用户服务器发送接入SD-WAN网络请求,用户服务器向代理客户端返回代理客户端连接的代理服务端的地址,代理服务端位于POP中,即为代理服务端的地址同时也对应于代理客户端接入的POP的位置。用户服务器通过下发代理服务端的地址为用户智能选择所接入的SD-WAN的POP。用户服务器还向该POP下发该用户相关的业务配置。POP是SD-WAN设备,具有SDN控制器接口。用户服务器向POP下发的业务配置包括下发用户证书B、以及基于与用户所对应的mark标记值的网络控制指令。网络控制指令在一个实施例中,可以是基于该mark标记值的转发指令或者限速指令。
可以理解的是,在一些实施例中是基于所述移动设备的通信位置与SD-WAN网络中POP的网络拓扑图确定与代理客户端的链路通信质量符合预设条件的第一POP。移动设备的通信位置即用户使用网络时所处的地理位置或移动设备接入的网络的位置。预设条件可以移动设备与POP之间是物理距离或者通信距离小于阈值或者距离最近的前一个或几个。第一POP或者是根据SD-WAN网络中POP的网络拓扑图确定与代理客户端的链路通信质量符合预设的丢包、抖动或延时等方面要求的POP。
可以理解的是,限速指令可以包括对上行流量的限速指令和下行流量的限速的流量控制指令。代理客户端通过TCP长连接向代理服务端发送的数据包即上行流量,该流量通过代理服务端对流量标记对应的mark标记,对流量标记对应的mark标记是在netfilter中的local_in和local_out 之间设置的的SO_MARK属性,即对流量设置SO_MARK是在流量进入netfilter是在流量通过local_in节点进入上层协议栈中由代理服务端对流量标记对应的上行流量mark标记。在代理服务端接收到发往代理客户端的流量时,由代理服务端对流量标记对应的mark,对流量标记对应的mark标记是在netfilter中的local_in和local_out之间设置的的SO_MARK属性,即对流量设置SO_MARK是在流量进入netfilter是在流量通过local_in节点进入上层协议栈中由代理服务端对流量标记对应的下行流量mark标记。可以理解的是上行流量mark值是可以是区别于下行流量mark标记值的。在本文中生成mark标记值,可以指的是分别生成上行流量mark标记和下行流量mark标记,同时对应的想POP发送的业务配置是分别基于上行流量mark标记和下行流量mark标记的。
在一些实施例中,控制器将与mark标记相关的配置信息下发至POP,所述配置信息包括基于mark标记的流量控制。
在一些实施例中,用户是企业用户,企业中不同部门的SD-WAN网络接入需求是不同的,基于不同的用户组别,对于每个不同的用户根据组别模板生成流量控制策略(网络配置需求信息),例如用户a1、a2同属于A部门,则流量控制策略相同。由控制器根据网络配置需求信息,将网络配置信息(流量控制指令)下发到对应的网络设备,并由具体网络设备进行业务的实例化。从而快速实现对企业中不同部门用户的SD-WAN接入需求的支持。
在一些实施例中,用户是企业用户,企业中不同部门的SD-WAN网络接入需求是不同的,基于不同的用户组别,对一个部门或者部门中的小组生成用户网络配置需求信息。例如部门A具有3个员工,且3个用户共享100G的SD-WAN接入服务。控制器根据网络配置需求信息,将对应的网络配置信息(组流量控制指令)下发到对应的网络设备,并由具体网络设备进行业务的实例化,并在员工接入SD-WAN之后,控制器根据各员工汇总经过各POP的流量,根据流量使用的汇总情况下发网络配置,从而根据用户的POP流量使用情况动态的调整每个员工的POP接入流量控制策略,满足一个用户组中共享流量的用户需求。
本发明还提供一种POP,如图3所示,所述POP可以包括核心路由器、POP交换机、网关设备、服务器,所述POP属于SD-WAN网络;核心路由器、POP交换机、网关设备是SD-WAN设备;通过SDN控制器对sd-wan设备的控制,从而实现对SD-WAN中用户流量的智能调度和网络通信;所述用户服务器与SDN控制器通讯连接。可以理解的是SD-WAN控制器是包括SDN控制器的。本文中用户服务器是区别于POP中的服务器,POP不必然包括用户服务器,但用户服务器可以是部署于SD_WAN网络中的一个POP内。用户服务器可以和多个POP进行通信的。POP中的服务器可以是运行有虚拟机中的服务器硬件。虽然POP中具有多种设备,随着硬件设备能力的提升本发明并不限制于在具体哪种设备执行本发明中所公开的方法。
所述POP用于执行以下指令:
在所述POP部署代理服务端;所述POP设置有基于第一mark标记值的第一流量控制指令,从而第一POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据上行流量的统计值与阈值决定对所述数据包的转发、抛弃;
所述代理服务端用于接收所述代理客户端发送的所述数据包,所述数据包通过TCP长连接向所述代理服务端发送;所述代理服务端根据所述TCP长连接所对应的账户信息,对所述数据包标记对应的第一mark标记;
所述账户与第一mark标记对应。
可选的,所述POP用于执行以下指令:在所述步骤所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记之前,还包括:
接收控制器将与第一mark标记相关的配置信息,所述配置信息包括基于所述mark标记的流量控制指令。
可选的,所述配置信息包括指示第一POP配置所述代理客户端接入SD-WAN的上行和/或下行流量的带宽阈值、流量阈值或者优先级中至少一方面的规流量控制指令,所述流量控制指令基于第一mark标记实现的流量控制指令。
可选的,所述基于第一mark标记的流量控制指令还包括基于第一mark标记的下行流量控制指令;所述POP还用于执行一下指令:
系统工具能根据第一mark,统计账户的下行流量,并根据下行流量的统计值与阈值决定对下行流量的转发、抛弃。
可选的,所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记第一mark标记之后,包括步骤:
若所述POP是与用户组中用户保持连接的POP,则接收第二流量控制指令;
所述第二流量控制指令是根据共享流量订单,控制器汇总用户组中各用户的SD-WAN网络流量使用情况后,生成的第二流量控制指令。
本发明提供一种基于SD-WAN架构的系统,用于执行本文中提供的方法。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改或者组合,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。
Claims (12)
1.一种移动设备接入SD-WAN网络的方法,其特征在于,
代理客户端创建虚拟网络接口设备,并设置第一应用程序的流量由所述虚拟网络接口设备转发;所述第一应用程序位于移动设备上;
所述代理客户端通过所述虚拟网络接口设备的文件描述符读写所述虚拟网络接口设备,从而代理所述第一应用程序发送的数据包;
代理服务端接收所述代理客户端发送的所述数据包,所述数据包通过TCP长连接向所述代理服务端发送,所述代理服务端部署于第一POP,SD-WAN网络包括至少2个POP,第一POP属于所述SD-WAN网络;
所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记;
所述第一POP设置有基于第一mark标记的第一流量控制指令,从而第一POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据所述上行流量的统计值与阈值决定对所述数据包的转发或抛弃;
所述账户与所述第一mark标记对应。
2.根据权利要求1所述的方法,其特征在于,
所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记之前,包括步骤:
控制器将与第一mark标记相关的配置信息下发至第一POP,所述配置信息包括基于第一mark标记的流量控制指令。
3.根据权利要求2所述的方法,其特征在于,
所述配置信息包括指示第一POP配置所述代理客户端接入SD-WAN网络的上行和/或下行流量的带宽阈值、流量阈值或者优先级中至少一方面的流量控制指令,所述流量控制指令是基于第一mark标记实现的。
4.根据权利要求1所述的方法,其特征在于,
所述代理服务端根据所述TCP长连接所对应的账户信息,对所述数据包标记对应的第一mark标记之前,包括:
基于所述移动设备的通信位置与SD-WAN网络中POP的网络拓扑图确定与代理客户端的链路通信质量符合预设条件的第一POP;
所述代理客户端向用户服务器发送接入SD-WAN网络请求,所述用户服务器向所述代理客户端返回第一POP中代理服务端地址。
5.根据权利要求1所述的方法,其特征在于,所述基于第一mark标记的第一流量控制指令还包括基于第一mark值的下行流量控制指令;
从而POP上的系统工具能根据第一mark,统计账户的下行流量,并根据所述下行流量的统计值与阈值决定对下行流量的转发或抛弃。
6.根据权利要求1所述的方法,其特征在于,所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记第一mark标记之后,包括步骤:
控制器汇总用户组中各用户的SD-WAN网络流量使用情况,并根据流量使用情况向第二POP发送第二流量控制指令,从而控制用户组的网络接入;
所述第二POP指的是与用户组中用户保持连接的POP。
7.一种POP,其特征在于,所述POP包括交换机和服务器,所述POP属于SD-WAN网络;所述POP用于执行以下指令:
在所述POP部署代理服务端;所述POP设置有基于第一mark标记的第一流量控制指令,从而所述POP上的系统工具能根据第一mark标记,统计账户的上行流量,并根据上行流量的统计值与阈值决定对数据包的转发、抛弃;
所述代理服务端用于接收代理客户端发送的所述数据包,所述数据包为所述代理客户端通过虚拟网络接口设备的文件描述符读写所述虚拟网络接口设备,从而代理第一应用程序发送的数据包,所述数据包通过TCP长连接向所述代理服务端发送;所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记;
所述账户与第一mark标记对应。
8.根据权利要求7所述的POP,其特征在于,所述POP用于执行以下指令:所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记对应的第一mark标记之前,还包括:
接收控制器将与第一mark标记相关的配置信息,所述配置信息包括基于第一mark标记的流量控制指令。
9.根据权利要求8所述的POP,其特征在于,所述配置信息包括指示第一POP配置所述代理客户端接入SD-WAN的上行和/或下行流量的带宽阈值、流量阈值或者优先级中至少一方面的规流量控制指令,所述流量控制指令基于第一mark标记实现的流量控制指令。
10.根据权利要求7所述的POP,其特征在于,所述基于第一mark标记的流量控制指令还包括基于第一mark标记的下行流量控制指令;所述POP还用于执行以下指令:
系统工具能根据第一mark标记,统计账户的下行流量,并根据下行流量的统计值与阈值决定对下行流量的转发、抛弃。
11.根据权利要求7所述的POP,其特征在于,还包括用户执行以下指令:
所述代理服务端根据所述TCP长连接所对应的账户,对所述数据包标记第一mark标记之后,包括步骤:
若所述POP是与用户组中用户保持连接的POP,则接收第二流量控制指令;
所述第二流量控制指令是根据共享流量订单,控制器汇总用户组中各用户的SD-WAN网络流量使用情况后,生成的第二流量控制指令。
12.一种基于SD-WAN架构的系统,所述系统包括代理客户端和代理服务端,其特征在于,所述系统用于执行权利要求1-6任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011395653.6A CN112202930B (zh) | 2020-12-03 | 2020-12-03 | 一种移动设备接入sd-wan网络方法、pop和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011395653.6A CN112202930B (zh) | 2020-12-03 | 2020-12-03 | 一种移动设备接入sd-wan网络方法、pop和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112202930A CN112202930A (zh) | 2021-01-08 |
CN112202930B true CN112202930B (zh) | 2021-03-19 |
Family
ID=74033749
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011395653.6A Active CN112202930B (zh) | 2020-12-03 | 2020-12-03 | 一种移动设备接入sd-wan网络方法、pop和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112202930B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910790B (zh) * | 2021-02-08 | 2023-06-30 | 网宿科技股份有限公司 | 导流系统及其方法 |
CN112954069A (zh) * | 2021-03-15 | 2021-06-11 | 观脉科技(北京)有限公司 | 移动设备接入sd-wan网络的方法、装置和系统 |
CN114039906B (zh) * | 2021-09-27 | 2023-09-22 | 网宿科技股份有限公司 | 流量引导方法、电子设备及可读存储介质 |
CN114143904B (zh) * | 2022-01-12 | 2024-01-23 | 重庆邮电大学 | 一种基于5g融合网络分流器的cpe管理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106130850A (zh) * | 2016-08-22 | 2016-11-16 | 福建富士通信息软件有限公司 | 专线用户智能化接入方法 |
CN108390774A (zh) * | 2018-02-01 | 2018-08-10 | 葛晗 | 一种基于软件定义的广域网组网方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9426029B2 (en) * | 2008-11-12 | 2016-08-23 | Teloip Inc. | System, apparatus and method for providing improved performance of aggregated/bonded network connections with cloud provisioning |
-
2020
- 2020-12-03 CN CN202011395653.6A patent/CN112202930B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106130850A (zh) * | 2016-08-22 | 2016-11-16 | 福建富士通信息软件有限公司 | 专线用户智能化接入方法 |
CN108390774A (zh) * | 2018-02-01 | 2018-08-10 | 葛晗 | 一种基于软件定义的广域网组网方法和系统 |
Non-Patent Citations (1)
Title |
---|
SD-WAN关键技术;柴瑶琳 等;《中兴通讯技术》;20190430;1-4 * |
Also Published As
Publication number | Publication date |
---|---|
CN112202930A (zh) | 2021-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111770028B (zh) | 用于计算机网络的方法和网络设备 | |
CN112202930B (zh) | 一种移动设备接入sd-wan网络方法、pop和系统 | |
US11646964B2 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
US20230224246A1 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
US9647937B1 (en) | Policy control using software defined network (SDN) protocol | |
CN105376087B (zh) | 用于网络服务配置的事务完整性 | |
US10523593B2 (en) | System, apparatus and method for providing a virtual network edge and overlay | |
CN111682952B (zh) | 针对体验质量度量的按需探测 | |
CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
EP3759870B1 (en) | Network slicing with smart contracts | |
EP2854347B1 (en) | Session-aware service chaining within computer networks | |
US11870641B2 (en) | Enabling enterprise segmentation with 5G slices in a service provider network | |
CN112954069A (zh) | 移动设备接入sd-wan网络的方法、装置和系统 | |
US20130198830A1 (en) | Access relay method and access gateway device | |
Kundel et al. | OpenBNG: Central office network functions on programmable data plane hardware | |
Davoli et al. | Implementation of service function chaining control plane through OpenFlow | |
CN113395212B (zh) | 网络装置及其操作方法和非暂时性计算机可读介质 | |
CN113497759A (zh) | 网络服务功能链中的sla分组操纵 | |
KR101746105B1 (ko) | 서비스 체이닝이 가능한 오픈플로우 스위치 | |
EP3440810B1 (en) | Quality of service (qos) support for tactile traffic | |
Abe et al. | Multipath routing and brokering in inter-domain or inter-as with SDN: A model | |
CN112671811B (zh) | 一种网络接入方法和设备 | |
KR101739097B1 (ko) | 오픈플로우 스위치의 서비스 체이닝 방법 | |
KR101739100B1 (ko) | 서비스 체이닝 가능한 오픈플로우 스위치 제어 방법 및 그 제어기 | |
Geng et al. | None K. Makhijani, ed Internet-Draft J. Qin Intended status: Informational R. Ravindran Expires: April 21, 2018 Huawei Technologies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |