CN112953927A - 基于虚拟交换机中流表结构隔离的流表查询方法及系统 - Google Patents

基于虚拟交换机中流表结构隔离的流表查询方法及系统 Download PDF

Info

Publication number
CN112953927A
CN112953927A CN202110168279.4A CN202110168279A CN112953927A CN 112953927 A CN112953927 A CN 112953927A CN 202110168279 A CN202110168279 A CN 202110168279A CN 112953927 A CN112953927 A CN 112953927A
Authority
CN
China
Prior art keywords
flow table
stage
module
stage flow
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110168279.4A
Other languages
English (en)
Other versions
CN112953927B (zh
Inventor
杨晔
姜海洋
谢高岗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Computing Technology of CAS
Original Assignee
Institute of Computing Technology of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technology of CAS filed Critical Institute of Computing Technology of CAS
Priority to CN202110168279.4A priority Critical patent/CN112953927B/zh
Publication of CN112953927A publication Critical patent/CN112953927A/zh
Application granted granted Critical
Publication of CN112953927B publication Critical patent/CN112953927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种基于虚拟交换机中流表结构隔离的流表查询方法及系统,包括为系统中每一台虚拟机分配独立的流表;从虚拟机接收数据包时,获取该虚拟机的流表,作为当前流表,根据数据包中五元组信息,在当前流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的流表;从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。

Description

基于虚拟交换机中流表结构隔离的流表查询方法及系统
技术领域
本发明涉及虚拟化环境中租户的性能隔离,提出了一种在虚拟交换机中的 VM的流表结构隔离的流表查询方法。
背景技术
自云计算提出以来,以其高性价比和灵活性收到业界的青睐。而今,云计算已经成为一种服务部署和提供范例,越来越多的服务甚至网络架构都依托云平台来实现,如云化数据中心系统、云化运营商网络等。
在云平台上,大量的服务被部署为虚拟机(VM)或容器的形式,它们通过软件实现的虚拟交换机(vSwitch)实现与外部网络的通信。vSwitch主要为这些虚拟机VM提供数据转发和流表(flow table)查询的功能。其中流表查询是指在vSwitch中,根据数据包的五元组信息(源IP、目的IP、源端口号、目的端口号和传输层协议)在流表中匹配目的项,并执行相应的操作,例如操作是指存储在流表中的action,即匹配到相应的流表条目,就会执行该条目的action,场景的操作有转发数据包至某一端口、丢弃该数据包、对该数据包所属的流进行限速等。随着软件定义网络(SDN)的大量应用,数据包查找和分类信息也更加复杂,同时随着服务器上部署的VM数量越来越多,一个 vSwitch需要负责的VM数量也越来越多,这为vSwitch中的流表查询带来了严峻的挑战,其中最严重的就是隔离性问题。
在目前的vSwitch流表查找模块设计中,大多数设计依旧倾向于沿袭自硬件交换机中的查表架构,即用一张表来记录和存储所有VM的规则和表项。在这种设计下,vSwitch查表的速度与流表的规模直接相关,这样VM之间可能会因为流表数目的量级不同而产生相互影响。一个最简单的例子就是,VM1在流表中的规则只有1条,而VM2属于另一个大租户,其往流表中添加的规则有 1000条,那么在集中式的流表转发下,vSwitch对于这两个VM的查表性能是相同的,很显然VM1受累于VM2的流表规模。这便是vSwitch中集中式流表结构带来的隔离性问题。
一些最新的研究和社区的报告指出,这种缺陷可能被恶意的用户利用,来制造一种基于集中式流表结构的攻击,使得同一台服务器上所有VM的网络性能都因为查表速度减慢而骤降至原先的10%-20%。我们用图1和附图2中的例子显示这种攻击的原理和危害,在该例子中vSwitch我们使用的是业界最广泛使用的DPDK加速的Open vSwitch(OVS-DPDK)。如附图1所示,在OVS-DPDK 中,为了提高查表性能,采用的是软件交换机典型的三级流表架构,分别为第一级支持精确匹配的精确匹配缓存(EMC),第二级的支持通配符匹配的数据通路分类器(DPCLS)和第三级的openflow分类器(OFTABLE)。每一级流表中没有查到会进入下一级流表查询,三级流表的查询时间开销比大致是1:10:100。查表过程如下,在EMC中,只有一个哈希表,根据五元组的哈希值进行一次哈希查询即可得出结果;如果EMC中没有命中,则在DPCLS中查询,DPCLS采用的是元组空间搜索算法(TSS),拥有相同前缀长度的五元组字符串属于一个元组空间,在DPCLS中单独用一个哈希表来存储,在DPCLS中最多可以有10000个元组空间(即10000个哈希表),它的查表过程就是顺序地在每个哈希表中查询,直到获取结果,因此哈希表数目对DPCLS的查表性能来说至关重要;最后一级OFTABLE则是一个更复杂的基于TSS算法的分类器,他还整合了SDN 控制器的接口,最主要的功能是在本地流表查询失败的情况下,通过openflow 协议与SDN控制器进行交互,获取流表更新等。在每级流表结构中未查到但是在下一级结构中查到的表项,会被添加进该级流表结构中。在正常查询中, DPCLS中的哈希表数目可能只有100个,查表的性能对整体VM的网络性能影响不大;而攻击导致的结果如附图2所示,一台VM通过精心构造一些特定的数据包,向OVS-DPDK中的DPCLS增加元组空间,这就使得哈希表数目爆炸,达到10000个。在这种情况下,所有VM的查表速率均降低上百倍,因此网络性能急剧降低。
为了消除这种隐患,保证VM的性能不受集中的流表复杂度的影响,现在社区的一些解决方案集中于减少每级流表结构更新的频率和限制vSwitch中用于转发的CPUcycles。但是这些办法仅仅只能起到一定的缓解作用,没有从根本上解决集中式流表的隔离性问题。因此,急需一种VM流表结构隔离的方法,使每个VM拥有独立的流表空间和查表性能。
发明内容
本设计为了解决虚拟交换机(vSwitch)中现有的集中式流表缺少隔离性的问题,本发明提出了一种VM流表隔离方法,从系统架构和流程上将流表架构和查表流程以VM(即租户)为单位分离开来,每个VM仅享有自己的流表,因而时间复杂度和空间复杂度不再相互关联,查找性能也因此隔离。
针对现有技术的不足,本发明提出一种基于虚拟交换机中流表结构隔离的流表查询方法,其中包括:
步骤1、为系统中每一台虚拟机分配独立的第一级流表和第二级流表;
步骤2、从虚拟机接收数据包时,获取该虚拟机的第一级流表和第二级流表,分别作为当前一级流表和当前二级流表,根据数据包中五元组信息,在当前一级流表和当前二级流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;
步骤3、为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的第一级流表和第二级流表;
步骤4、从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。
述的基于虚拟交换机中流表结构隔离的流表查询方法,其中该系统中还包括第三级流表,所有虚拟机共用该第三级流表,当第一级流表和第二级流表没有查到匹配目的项时,查询该第三级流表。
所述的基于虚拟交换机中流表结构隔离的流表查询方法,其中该第一级流表和该第二级流表分别支持精确匹配和通配符匹配
所述的基于虚拟交换机中流表结构隔离的流表查询方法,其中该第三级流表为前两级流表查询失败情况下与SDN控制器交互的模块。
所述的基于虚拟交换机中流表结构隔离的流表查询方法,其中该五元组信息包括:源IP、目的IP、源端口号、目的端口号和传输层协议。
本发明还提出一种基于虚拟交换机中流表结构隔离的流表查询系统,其中包括:
步骤1,用于为系统中每一台虚拟机分配独立的第一级流表和第二级流表;
步骤2,用于从虚拟机接收数据包时,获取该虚拟机的第一级流表和第二级流表,分别作为当前一级流表和当前二级流表,根据数据包中五元组信息,在当前一级流表和当前二级流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;
步骤3,用于为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的第一级流表和第二级流表;
步骤4,用于从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该系统中还包括第三级流表,所有虚拟机共用该第三级流表,当第一级流表和第二级流表没有查到匹配目的项时,查询该第三级流表。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该第一级流表和该第二级流表分别支持精确匹配和通配符匹配
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该第三级流表为前两级流表查询失败情况下与SDN控制器交互的模块。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该五元组信息包括:源IP、目的IP、源端口号、目的端口号和传输层协议。
由以上方案可知,本发明的优点在于:
(1)隔离性。该方法从根本上消除了集中式的流表结构下VM之间互相影响的问题。通过在物理上划分流表确保了每个VM的查表性能只与自身的流表复杂度相关,与其他VM无关。
(2)性能友好。该方法没有改变任何查表的流程和算法,因此其对数据通路的性能没有影响,同时在网卡端口上增加的PRECLS预分类模块,设计简单高效,只有一次哈希查找的开销,因而对性能影响也微乎其微。
(3)平台无关。我们提出是一种方法,其具有平台无关的特性,这种分离流表的方法可以在任何软件实现的转发设备上,例如vRouter,vSwitch等。
附图说明
图1为OVS-DPDK中集中式的多级流表结构的模型的结构图;
图2为OVS-DPDK中利用流表隔离性差造成的攻击示意图,通过增加DPCLS 中的hash表数目而减慢所有VM的查表操作示意图;
图3为实施例中OVS-DPDK上的原始的集中式流表模型的结构图;
图4为本发明实施例中的流表分离方法示意图。
具体实施方式
由于vSwitch的处理逻辑是顺序地轮询每个端口(VM端口和网卡端口),在每个端口上收包、查表、并在目的端口上发送。因此流表查询的整个过程是以VM端口为单位,与VM端口的数据结构密不可分的。
在我们提出的方法中,包含以下几点:
1.在vSwitch中,将流表以VM为单位划分,每个VM均享有一份属于自己的各级流表结构。
2.在每个VM端口的数据结构中存储各级流表的数据结构。因此,CPU在每个VM端口上收包查表流程如下,根据该端口数据结构找到其对应的流表结构,然后根据多级流表的查询原则,依次在每级流表结构中查询。不同VM端口之间的流表数据结构互不关联不会互相影响。
3.对于网卡(NIC)端口,由于其上的流量属于连接这台vSwitch的所有 VM,因此无法直接将流表分离,顺序地进行查找。这就需要在网卡端口的数据结构中添加一个预分类(PRECLS)模块和各个VM的流表子模块,其中PRECLS 模块结构为(目的IP,VM流表子模块索引或地址)的对应关系,每个VM流表子模块存储的是每个VM自己独立的多级流表。当CPU在网卡端口上收包时,先在PRECLS模块中查询,找到其对应的VM流表子模块的地址,然后跳转到该 VM流表子模块进行多级流表的查询。这样在网卡端口上将VM流表查询中最复杂和最耗时间的部分以VM为单位分离开,且增加的一级PRECLS对整体的性能影响很小。
4.老化和更新操作逻辑与原先算法和结构兼容,只是每次更新只在同一个VM所属的各级流表结构之间进行,因为集中式的流表已经不复存在。
本发明关注的是虚拟交换机(vSwitch)中现有的集中式流表隔离性差的问题,提出了一种集中式流表的隔离方法,从架构上和存储上将流表以VM(即租户)为单位分离开来,而查表流程和算法并无改变。因而可以在不影响性能下为VM提供绝对隔离的查表性能。
为让本发明的上述特征和效果能阐述的更明确易懂,下文特举实施例,并配合说明书附图作详细说明如下。
下面为本发明提出的限速方法的一种实施例。
该实施例选用的OVS-DPDK作为一个典型的vSwitch平台,是业界的标杆,被广泛使用。我们在其上使用提出的流表分离方法实现VM流表的隔离。
OVS-DPDK中现有的流表架构和运行模式如附图3所示。在OVS-DPDK中,会启动多个轮询(PMD)线程,每个线程内的流表结构是独立的,互相不能访问。在每个PMD线程中,含有一个EMC流表结构,以及与端口数目相当的DPCLS 流表结构,即:EMC流表与PMD线程对应,DPCLS流表与端口对应。由于最后一级OFTABLE流表并不在PMD线程管辖范围内,且主要是用于和SDN控制器以及命令行输入交互的,因此这里并不打算分离它。在图示例子中,一台服务器上运行2个VM,PMD线程1负责VM到网卡的数据包传输方向,即从两个VM 端口上收包,查找,并从网卡发送出去;PMD 2负责网卡到VM的方向,从网卡收包、查找、并发送到VM。
如果其中一个VM通过构造特定的流量(制造尽可能多的IP前缀类型),则可以导致:在PMD线程1中,因为共用的EMC流表条目容量有限,可能造成大量的替换,导致另一个VM的数据包频繁在EMC查找中miss,而进入更慢的DPCLS流表;在PMD线程2中,造成DPCLS中哈希表数目爆炸,严重拉低另一台VM网络性能。
根据我们提出的方法,如附图4所示:
1.在每个PMD线程中给每个VM创建一个独立的EMC流表和DPCLS流表。
2.PMD线程1主要负责轮询所有的VM端口,从这些VM端口收包。因此在该线程中,直接根据当前所处理的端口数据结构内的EMC表结构、DPCLS表结构去完成查表流程,就可以实现隔离。
3.PMD线程2主要负责轮询网卡端口,从网卡端口收包。由于这些数据包里同时包含VM1和VM2的数据包。因此在为每个VM创建了独立的EMC流表和 DPCLS流表之外,还需要在网卡端口中添加一个PRECLS流表结构,在该结构中,我们采用了哈希表的方式来实现快速的预分类。PRECLS中的表项为(目的IP的hash值,它所对应VM的EMC表结构的地址),这样每当有数据包来的时候,PMD线程1先在PRECLS找到它对应的EMC流表结构后,操作与PMD线程1中在每个VM端口收包查找类似。
4.流表老化和更新都只在每个VM独立的EMC和DPCLS中进行。
在上述过程中,我们展示了如何将现有vSwitch中集中式流表以VM为单位隔离,这种方法对现有的算法和架构没有影响,且不会降低性能。在PMD 线程1中,相比于原始架构仅有分离的DPCLS,我们将每个VM的EMC流表分离,不会受别的VM影响;而在PMD线程2中,相比原始架构完全一体化设计,我们分离了每个VM的DPCLS和EMC这两种流表,实现了在网卡端口上的流表隔离。在这种流表隔离方法下,每个VM可以享受独立的流表复杂度和查表性能,如果有VM发起攻击,使流表复杂度爆炸,仅能够影响它自己流表查询速度,而不能影响其他的VM。
通过使用该方法,云服务提供商可以更合理并清晰地管理用户的流表结构,可以在现有架构无感知的情况下实现这种物理的隔离,使租户的网络性能不受其他租户的影响,为用户提供良好的网络体验。
以下为与上述方法实施例对应的系统实施例,本实施方式可与上述实施方式互相配合实施。上述实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在上述实施方式中。
本发明还提出一种基于虚拟交换机中流表结构隔离的流表查询系统,其中包括:
步骤1,用于为系统中每一台虚拟机分配独立的第一级流表和第二级流表;
步骤2,用于从虚拟机接收数据包时,获取该虚拟机的第一级流表和第二级流表,分别作为当前一级流表和当前二级流表,根据数据包中五元组信息,在当前一级流表和当前二级流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;
步骤3,用于为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的第一级流表和第二级流表;
步骤4,用于从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该系统中还包括第三级流表,所有虚拟机共用该第三级流表,当第一级流表和第二级流表没有查到匹配目的项时,查询该第三级流表。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该第一级流表和该第二级流表分别支持精确匹配和通配符匹配
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该第三级流表为前两级流表查询失败情况下与SDN控制器交互的模块。
所述的基于虚拟交换机中流表结构隔离的流表查询系统,其中该五元组信息包括:源IP、目的IP、源端口号、目的端口号和传输层协议。

Claims (10)

1.一种基于虚拟交换机中流表结构隔离的流表查询方法,其特征在于,包括:
步骤1、为系统中每一台虚拟机分配独立的第一级流表和第二级流表;
步骤2、从虚拟机接收数据包时,获取该虚拟机的第一级流表和第二级流表,分别作为当前一级流表和当前二级流表,根据数据包中五元组信息,在当前一级流表和当前二级流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;
步骤3、为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的第一级流表和第二级流表;
步骤4、从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。
2.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询方法,其特征在于,该系统中还包括第三级流表,所有虚拟机共用该第三级流表,当第一级流表和第二级流表没有查到匹配目的项时,查询该第三级流表。
3.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询方法,其特征在于,该第一级流表和该第二级流表分别支持精确匹配和通配符匹配。
4.如权利要求2所述的基于虚拟交换机中流表结构隔离的流表查询方法,其特征在于,该第三级流表为前两级流表查询失败情况下与SDN控制器交互的模块。
5.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询方法,其特征在于,该五元组信息包括:源IP、目的IP、源端口号、目的端口号和传输层协议。
6.一种基于虚拟交换机中流表结构隔离的流表查询系统,其特征在于,包括:
步骤1,用于为系统中每一台虚拟机分配独立的第一级流表和第二级流表;
步骤2,用于从虚拟机接收数据包时,获取该虚拟机的第一级流表和第二级流表,分别作为当前一级流表和当前二级流表,根据数据包中五元组信息,在当前一级流表和当前二级流表中完成查表流程,得到流表中匹配目的项,以执行相应操作;
步骤3,用于为网卡端口添加预分类模块和每一台虚拟机的流表子模块,其中预分类模块包括目的IP和流表子模块间的对应关系,每个流表子模块存有与其对应虚拟机的独立的第一级流表和第二级流表;
步骤4,用于从网卡端口接收数据包时,根据目的IP,查询预分类模块,得到对应的流表子模块,在对应的流表子模块中完成查表流程,得到流表中匹配目的项,以执行相应操作。
7.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询系统,其特征在于,该系统中还包括第三级流表,所有虚拟机共用该第三级流表,当第一级流表和第二级流表没有查到匹配目的项时,查询该第三级流表。
8.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询系统,其特征在于,该第一级流表和该第二级流表分别支持精确匹配和通配符匹配。
9.如权利要求2所述的基于虚拟交换机中流表结构隔离的流表查询系统,其特征在于,该第三级流表为前两级流表查询失败情况下与SDN控制器交互的模块。
10.如权利要求1所述的基于虚拟交换机中流表结构隔离的流表查询系统,其特征在于,该五元组信息包括:源IP、目的IP、源端口号、目的端口号和传输层协议。
CN202110168279.4A 2021-02-07 2021-02-07 基于虚拟交换机中流表结构隔离的流表查询方法及系统 Active CN112953927B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110168279.4A CN112953927B (zh) 2021-02-07 2021-02-07 基于虚拟交换机中流表结构隔离的流表查询方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110168279.4A CN112953927B (zh) 2021-02-07 2021-02-07 基于虚拟交换机中流表结构隔离的流表查询方法及系统

Publications (2)

Publication Number Publication Date
CN112953927A true CN112953927A (zh) 2021-06-11
CN112953927B CN112953927B (zh) 2022-03-11

Family

ID=76243238

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110168279.4A Active CN112953927B (zh) 2021-02-07 2021-02-07 基于虚拟交换机中流表结构隔离的流表查询方法及系统

Country Status (1)

Country Link
CN (1) CN112953927B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115695522A (zh) * 2022-09-16 2023-02-03 中电信数智科技有限公司 一种基于ovs-dpdk数据包引流系统及其实现方法
WO2024066639A1 (zh) * 2022-09-28 2024-04-04 中兴通讯股份有限公司 业务数据处理方法、设备及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180097728A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Virtual switch acceleration using resource director technology
CN109474627A (zh) * 2018-12-27 2019-03-15 南京优速网络科技有限公司 一种基于sdn的虚拟租户网络隔离方法及系统
CN110324245A (zh) * 2018-03-31 2019-10-11 华为技术有限公司 一种基于集成流表转发报文的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180097728A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Virtual switch acceleration using resource director technology
CN110324245A (zh) * 2018-03-31 2019-10-11 华为技术有限公司 一种基于集成流表转发报文的方法及装置
CN109474627A (zh) * 2018-12-27 2019-03-15 南京优速网络科技有限公司 一种基于sdn的虚拟租户网络隔离方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
傅明,何洋,熊兵: "基于预测缓存的OpenFlow虚拟流表高效查找方法", 《计算机工程》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115695522A (zh) * 2022-09-16 2023-02-03 中电信数智科技有限公司 一种基于ovs-dpdk数据包引流系统及其实现方法
WO2024066639A1 (zh) * 2022-09-28 2024-04-04 中兴通讯股份有限公司 业务数据处理方法、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN112953927B (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
EP3593503B1 (en) Packet processor in virtual filtering platform
EP3286903B1 (en) Adaptive load balancing
US9830182B2 (en) Translating media access control (MAC) addresses in a network hierarchy
Quan et al. Scalable name lookup with adaptive prefix bloom filter for named data networking
US10404621B2 (en) Scalable InfiniBand packet-routing technique
US20220376973A1 (en) Physical network orchestration for data centers
US10749805B2 (en) Statistical collection in a network switch natively configured as a load balancer
US9106443B2 (en) Forwarding table optimization with flow data
CN108462594B (zh) 虚拟专有网络及规则表生成方法、装置及路由方法
US10673756B2 (en) Method and network device for handling packets in a network by means of forwarding tables
US20070153808A1 (en) Method of providing virtual router functionality
US10511534B2 (en) Stateless distributed load-balancing
EP3476088B1 (en) System and method for providing partitions of classification resources in a network device
CN112953927B (zh) 基于虚拟交换机中流表结构隔离的流表查询方法及系统
US20170317922A1 (en) Apparatus and method for enabling flexible key in a network switch
US11516133B2 (en) Flow cache management
US9742702B1 (en) End-to-end cache for network elements
US20200136966A1 (en) Multitenancy for service machines
US8605732B2 (en) Method of providing virtual router functionality
US20230041395A1 (en) Method and Device for Processing Routing Table Entries
JP2001237881A (ja) テーブル型データ検索機構及びそれを用いるパケット処理システム並びにそのテーブル型データ検索方法
CN113796048A (zh) 采用数据中心网络管理器的分布式负载均衡器健康状况管理
US20170237691A1 (en) Apparatus and method for supporting multiple virtual switch instances on a network switch
CN114221849A (zh) 一种fpga结合tcam实现智能网卡的方法
CN112637285A (zh) 边缘云通信方法、管理系统、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant