CN115150269A - 一种云平台的配置网络方法、装置及介质 - Google Patents
一种云平台的配置网络方法、装置及介质 Download PDFInfo
- Publication number
- CN115150269A CN115150269A CN202210727060.8A CN202210727060A CN115150269A CN 115150269 A CN115150269 A CN 115150269A CN 202210727060 A CN202210727060 A CN 202210727060A CN 115150269 A CN115150269 A CN 115150269A
- Authority
- CN
- China
- Prior art keywords
- network
- strategy
- layer
- current
- resource dimension
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000012216 screening Methods 0.000 claims description 79
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 238000006467 substitution reaction Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 12
- 230000007246 mechanism Effects 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- NUHSROFQTUXZQQ-UHFFFAOYSA-N isopentenyl diphosphate Chemical compound CC(=C)CCO[P@](O)(=O)OP(O)(O)=O NUHSROFQTUXZQQ-UHFFFAOYSA-N 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/31—Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云平台的配置网络方法、装置及介质,适用于流量数据处理技术领域。通过数据中心、交换机、端口组和端口级四个维度的网络资源配置网络策略,统一配置网络策略,当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略。避免现有的分发机制一个端口一个端口地配置出现的混乱现象和配置耗时的问题。同时考虑特殊端口配置的网络策略与其他普通端口配置的网络策略不同,增加了自定义网络策略进行配置,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
Description
技术领域
本发明涉及流量数据处理技术领域,特别是涉及一种云平台的配置网络方法、装置及介质。
背景技术
随着云平台的技术发展,云平台网络资源的划分和配置功能逐渐完善且全面,通过云平台流量筛选和标记策略分发机制,在网络流量流经的完整的数据路径中使用流量筛选和标记策略,可以避免虚拟机进入有害的流量和遭受安全攻击,或者对不同网络流量应用服务质量(Quality of Service,Qos)标记。
现有的云平台流量筛选和标记策略分发机制,仅支持端口级别配置的网络策略,其网络策略为单一网络策略,配置端口级别的网络策略时,只能一个端口一个端口地配置,若云平台存在上百个端口需要配置,则需要配置上百次的网络策略,其可能出现配置混乱,占用的配置时间也相应增多,同时,由于端口属性不同,对应特殊端口配置相同的网络策略,导致端口配置网络策略后,影响后续的流量数据处理的工作。
因此,寻求一种流量分发机制是本领域技术人员亟需要解决的。
发明内容
本发明的目的是提供一种云平台的配置网络方法、装置及介质,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
为解决上述技术问题,本发明提供一种云平台的配置网络方法,包括:
控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;
当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;
将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
优选地,首层资源维度层的策略通过预先存储的规则库中的策略获得,包括:
首层资源维度层的策略通过预先存储的规则库中的网络流量筛选策略和标记策略获得。
优选地,预先存储的规则库中的网络流量筛选策略的建立包括以下步骤:
获取筛选参数,其中筛选参数至少包括标记系统流量、源地址、目的IP地址、MAC地址、VLAN地址和对应的地址协议;
设定筛选参数之间的优先级以及逻辑关系;
根据筛选参数的优先级和逻辑关系确定网络流量筛选策略。
优选地,预先存储的规则库中的标记策略的建立包括以下步骤:
设置Qos的DSCP值和Cos值;
根据网络资源配置对应的DSCP值和Cos值以确定标记策略。
优选地,自定义网络策略的规则与预先存储的规则库中的网络流量筛选策略和标记策略的规则相同。
优选地,当当前网络策略下发至端口级资源维度层时,还包括:
获取当前端口的当前流量数据;
根据当前网络策略的网络流量筛选策略对当前流量数据进行筛选得到筛选后的当前流量数据;
根据当前网络策略的标记策略对筛选后的当前流量数据进行标记得到标记后的当前流量数据。
优选地,还包括:
当当前资源维度层配置自定义网络策略时,在当前资源维度层对应的界面设置勾选替代选项以替代上层资源维度层下发的策略。
为解决上述技术问题,本发明还提供一种云平台的配置网络装置,包括:
控制模块,用于控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
替代模块,用于当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;
作为模块,用于当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;
下发模块,用于将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
为解决上述技术问题,本发明还提供一种云平台的配置网络装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述云平台的配置网络方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述云平台的配置网络方法的步骤。
本发明提供的一种云平台的配置网络方法,包括:控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,其中当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。该方法通过数据中心、交换机、端口组和端口级四个维度的网络资源配置网络策略,数据中心包括多个交换机、交换机包括多个端口组,端口组包括多个端口的维度层,通过不同维度层的统一配置网络策略,避免现有的分发机制仅是一个端口一个端口地配置出现的混乱现象和配置耗时的问题。同时考虑特殊端口配置的网络策略与其他普通端口配置的网络策略不同,增加了自定义网络策略进行配置,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
另外,本发明还提供了一种云平台的配置网络装置、介质,具有如上述云平台的配置网络方法相同的有益效果。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种云平台的配置网络方法的流程图;
图2为本发明实施例提供的一种云平台的配置网络装置的结构图;
图3为本发明实施例提供的另一种云平台的配置网络装置的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
本发明的核心是提供一种云平台的配置网络方法、装置及介质,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
需要说明的是,流量筛选和标记策略表示一组有序的网络流量规则,通过在网络流量流经的完整的数据路径中使用流量筛选和标记策略,可以避免虚拟机进入有害的流量和遭受安全攻击,或者对不同网络流量应用Qos标记。本发明提供的云平台的配置网络方法,支持从数据中心、交换机、端口组和虚拟端口不同的层面的网络资源去配置流量策略,并支持网络流量策略的继承的原则,实现从不同维度进行网络策略的配置管理。
图1为本发明实施例提供的一种云平台的配置网络方法的流程图,如图1所示,该方法包括:
S11:控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
S12:当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;
S13:当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;
S14:将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
具体地,基于现有的云平台网络资源的划分和配置功能,从数据中心、交换机、端口组和端口四个资源维度增加筛选策略。其中数据中心上的网络流量策略会下发到整个数据中心下的所有的交换机,同样也支持在交换机、端口组和端口级别配置网络流量策略。每个资源维度层可以继承上层资源维度层下发的策略,同时将接收的策略下发至下一层的资源维度层。
当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层,也就是可以从任意一层的资源维度层开始进行配置策略。需要说明的是,首层资源维度层的策略是获取预先存储的规则库中的策略,当前资源维度层接收由上层资源维度层下发的策略。
例如:当前环境只配置了数据中心资源维度层的网络策略a-01,其下级的交换机资源维度层可以继承a-01策略,继而交换机资源维度层的下层的端口组资源维度层和端口资源维度层也继承了交换机资源维度层的a-01策略。
另外,考虑特殊端口的情况,其自定义网络策略作为一种替代策略配置,既可以继承上层资源维度层的网络资源的网络策略,也可以使用替代策略自定义网络策略。
结合上文的例子,当前环境首先配置了数据中心资源维度层的网络策略a-01,并且该数据中心资源维度层下的交换机资源维度层中有交换机A和B,用户在交换机资源维度层的交换机A上配置了该交换机自定义的网络策略a-02,则交换机A实际使用的当前网络策略是a-02,而交换机A所属的下层端口组资源维度层和端口资源维度层使用的策略为a-02,而未配置自定义策略的交换机B配置的网络策略为a-01,其交换机A所属的下层端口组资源维度层和端口资源维度层使用的策略为a-01。该实施例仅是列举了当前资源维度层为交换机资源维度层,其后续的每层的资源维度层与该实施例的方法配置相同。
当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略,将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
如果云平台下的某个数据中心资源维度层配置了网络策略,则把此策略下发到数据中心资源维度层下的所有交换机资源维度层。如果数据中心资源维度层下的某个交换机未配置网络策略,则把所属数据中心资源维度层下的策略下发到交换机资源维度层的所有端口组资源维度层和端口资源维度层,如果配置了网络策略并使用替代选项就把交换机资源维度层下的配置下发到端口组资源维度层和端口资源维度层。
如果交换机资源维度层下的某个端口组资源维度层未配置网络策略,则把所属交换机资源维度层下的策略下发到端口资源维度层,如果配置了网络策略并使用替代选项就把端口组资源维度层上的配置下发到端口资源维度层。如果某个端口资源维度层未配置网络策略,则使用端口组资源维度层的网络策略,如果配置了网络策略并使用替代选项则使用该端口资源维度层自有的策略。
需要说明的是,自定义网络策略与预先存储的规则库的策略制定规则可以相同,也可以不同,具体根据端口的属性设定,其规则的策略参数可以相同,也可以不同,本发明不做具体限定。
对于规则库的策略主要根据资源维度层的网络资源为依据而设定。针对网络流量数据进行监控或者日志信息的记录,可以对其网络流量的筛选策略,查看网卡的数据,包含收发的字节数也就是流量数据,可以对网络流量数据进行筛选、切割和合并,对于具体的网络流量数据的处理可以根据系统自带的工具完成上述处理,也可以根据关键词的挖掘与筛选,此时需要流量和权重。
本发明提供的一种云平台的配置网络方法,包括:控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,其中当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。该方法通过数据中心、交换机、端口组和端口级四个维度的网络资源配置网络策略,数据中心包括多个交换机、交换机包括多个端口组,端口组包括多个端口的维度层,通过不同维度层的统一配置网络策略,避免现有的分发机制仅是一个端口一个端口地配置出现的混乱现象和配置耗时的问题。同时考虑特殊端口配置的网络策略与其他普通端口配置的网络策略不同,增加了自定义网络策略进行配置,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
在上述实施例的基础上,步骤S11中的首层资源维度层的策略通过预先存储的规则库中的策略获得,包括:
首层资源维度层的策略通过预先存储的规则库中的网络流量筛选策略和标记策略获得。
具体地,现有的网络流量筛选仅是根据单个属性进行过滤,例如,只支持筛选出源网络之间互连的协议(Internet Protocol,IP)是192.168.1.1的网络流量,本实施例可以针对多个属性进行的网络流量筛选策略。对应地,网络流量筛选策略在本实施例中针对多个属性以及多个属性间的逻辑运算关系,并不是针对筛选的具体处理方式,最终目的是建立多条有序规则的集合。
网络流量筛选策略,以一个超文本传输协议(Hyper Text Transfer Protocol,HTTP)筛选属性为例,可以基于名称的HTTP显示,只显示访问某指定域名的HTTP请求数据包,只显示访问包含了指定字符串的域名(如bt2btn的域名)的HTTP请求数据包,或者只显示Referer头部内容为“http://www.bt2btn.cn/”的http请求数据包。可以基于HTTP请求方法的筛选,只包含GET请求、HTTP请求、HTTP响应、或者包含HTTP数据包,但包含GET方法的HTTP请求数据包除外的任意一种请求方法或者多种组合的形式。可以是基于HTTP状态码的筛选,包含HTTP错误状态码的HTTP响应,包含HTTP客户端错误状态码的HTTP响应、包含HTTP服务器端状态码的HTTP响应,状态码为404的HTTP响应等的任意一种状态码等,本发明不做具体限定。
标记策略可以先将数据报文划分为多个优先级或者多个服务类,使用IP报文头的ToS字段的前三位(IP优先级)标记报文,可以将报文最多分成8类;若使用区分服务编码点(Differentiated Services Codepoint,DSCP,ToS域的前6位),则最多可分成64类。在报文分类后,就可以将其它的QoS特性应用到不同的分类,实现基于类的拥塞管理、流量×××等。
网络管理者可以设置报文分类的策略,这个策略除可以包括IP报文的IP优先级或DSCP值、MPLS报文的EXP域值、802.1p的片内操作系统(Chip Operating System,CoS)值等带内信令,还可以包括输入接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等。分类的结果是没有范围限制的,它可以是一个由五元组(源地址、源端口号、协议号码、目的地址、目的端口号)确定的流这样狭小的范围,也可以是到某某网段的所有报文。
例如:在省公安二级主干网边界,即省厅核心交换机、地市核心交换机以及县(区)主干设备处对报文进行分类时,同时标记IP优先级或DSCP,这样,在网络的内部就可以简单的使用IP优先级或DSCP作为分类的标准。而队列技术如WFQ,CBWFQ就可以使用这个优先级来对报文进行不同的处理。下游(downstream)网络可以选择接收上游(upstream)网络的分类结果,也可以按照自己的分类标准对数据流量重新进行分类。
本发明实施例对于网络流量筛选策略和标记策略的具体内容不做限定,可以根据实际情况进行设定。
本发明实施例提供的首层资源维度层的策略通过预先存储的规则库中的网络流量筛选策略和标记策略获得,基于现有的云平台网络资源模型,从数据中心、交换机、端口组和端口不同的维度增加网络筛选和标记策略配置入口,实现对完整网络数据路径的流量筛选和标记策略的应用。
在上述实施例的基础上,步骤S11中的预先存储的规则库中的网络流量筛选策略的建立包括以下步骤:
获取筛选参数,其中筛选参数至少包括标记系统流量、源地址、目的IP地址、MAC地址、VLAN地址和对应的地址协议;
设定筛选参数之间的优先级以及逻辑关系;
根据筛选参数的优先级和逻辑关系确定网络流量筛选策略。
对于流量数据筛选策略可以基于流量行为特征的指纹信息匹配技术、深层数据包检测技术、基于端口映射的流量识别技术,也可以通过机器学习的算法进行流量数据的筛选和识别。本实施例主要说明的是流量筛选的筛选参数,其至少包括标记系统流量、源地址、目的IP地址、媒体访问控制(Media Access Control,MAC)地址、VLAN地址和对应的地址协议。
以MAC地址为例,源地址是自己的MAC地址,在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址。因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于的IP地址。MAC地址是网卡决定的,是固定的。MAC地址采用十六进制数表示,共六个字节(48位)。其中,前三个字节是由IEEE的注册管理机构RA负责给不同厂家分配的代码(高位24位),也称为“编制上唯一的标识符”(Organizationally UniqueIdentifier),后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一性)。一个地址块可以生成2的24次方不同的地址。MAC地址实际上就是适配器地址或适配器标识符EUI-48。目的MAC地址是对方的MAC地址。
虚拟局域网(Vitual Local Area Network,VLAN)是将物理网络划分成多个逻辑局域网的技术。一个VLAN就是一个广播域,亦即一个逻辑子网,在其内的站点可位于不同物理LAN上,但站点间像在同一个普通局域网上那样自由通信而不受物理位置的限制。利用VLAN技术,网络管理者可根据实际应用需要,在二层交换机上把同一物理局域网中的用户逻辑划分成不同广播域,使具有相同需求或业务的用户处于同一广播域,不同需求或业务的用户处于不同的广播域。
地址协议是针对不同的地址对应的地址协议,例如VLAN地址协议,以VLAN的帧格式进行,报文、端口类型、报文转发流程和规则等。需要说明的是,本发明实施例不限于提供上述提到的筛选参数,还可以增加其他的筛选参数,根据实际情况进行添加设定。
通过获取筛选参数,根据优先级和逻辑运算关系对筛选参数进行设定,例如IP地址为第一优先级,目的地址为第二优先级等。逻辑运算关于以“或”、“与”形式,例如:可以支持筛选源IP为192.168.1.1,与目的IP地址为192.168.1.2的流量数据。根据筛选参数的优先级和逻辑关系确定网络流量筛选策略。
本发明实施例提供的获取筛选参数,其中筛选参数至少包括标记系统流量、源地址、目的IP地址、MAC地址、VLAN地址和对应的地址协议;设定筛选参数之间的优先级以及逻辑关系;根据筛选参数的优先级和逻辑关系确定网络流量筛选策略。扩展了支持网络策略有序集合,同时配置多个网络策略规则。
在上述实施例的基础上,步骤S11中的预先存储的规则库中的标记策略的建立包括以下步骤:
设置Qos的DSCP值和Cos值;
根据网络资源配置对应的DSCP值和Cos值以确定标记策略。
具体地,Qos在带宽有限的情况下,应用一个“有保证”的策略对网络流量进行管理,并实现不同的流量可以获得不同的优先服务,其标记有2中,一种是基于报文自带的优先级参数通过与本地优先级的映射策略重新标记,第二种是通过MQC工具做基于类的数据匹配与标记。
使用Tos字段的高3个bit作为TTP的不同组合值(定义IP优先级方案,ipprecedence既IPP,称为CS),加起来就8种,后来发现不够,IETF对TOS字段重新分配,提出了DSCP,用6bit取代了原来的3bit。取值范围0-63,0优先级最低,63优先级最高。由于DSCP和IP PRECEDENCE是共存的于是存在了一些兼容性的问题,而且DSCP的可读性比较差,比如DSCP 43(101011)我们并不知道对应着IP PRECEDENCE的什么取值,于是就把DSCP进行了进一步的分类。目前定义的DSCP总共分成了4类(64个优先级并未用完)。
ToS和DSCP是三层协议(IP层)中的字段;Cos是二层协议中的字段。QoS在二层分类上使用Cos值,分为0-7,8个级别。7的优先级最高,0最低。在实施QoS策略时,Cos与ToS或DSCP之间通常要作映射机制。根据网络资源配置对应的DSCP值和Cos值以确定标记策略。
本发明实施例提供的设置Qos的DSCP值和Cos值;根据网络资源配置对应的DSCP值和Cos值以确定标记策略。扩展了支持网络策略有序集合,同时配置多个网络策略规则。
在上述实施例的基础上,自定义网络策略的配置可以替代预先存储的规则库中的网络流量筛选策略和标记策略,故自定义网络策略的规则与预先存储的规则库中的网络流量筛选策略和标记策略的规则相同。
需要说明的是,本发明提供的自定义网络策略与原有的网络流量筛选策略和标记策略的规则相同,但是筛选参数以及具体的标记策略的标记值可以相同,也可以不同,不做具体限定。自定义网络策略是针对端口的特殊属性设置,依据端口的特殊属性进行设置参数。
本发明实施例提供的故自定义网络策略的规则与预先存储的规则库中的网络流量筛选策略和标记策略的规则相同。支持下级覆盖上级资源的配置原则,实现不同网络子网维度自定义流量筛选和标记策略管理。
在上述实施例的基础上,步骤S14中的当当前网络策略下发至端口级资源维度层时,还包括:
获取当前端口的当前流量数据;
根据当前网络策略的网络流量筛选策略对当前流量数据进行筛选得到筛选后的当前流量数据;
根据当前网络策略的标记策略对筛选后的当前流量数据进行标记得到标记后的当前流量数据。
具体地,网络流量筛选策略和标记策略,可以先进行标记再进行筛选,也可以先进行筛选再进行标记,对于两种策略的顺序不做具体限定。作为优选地实施例,考虑流量数据处理的速度以及避免占用较多的空间,故先进行筛选,将筛选后的流量数据进行标记以便后续流量数据的处理。
例如:端口资源维度层的某个虚拟机端口有在用的流量筛选和标记策略,流量经过的时候根据策略配置的信息如是否系统流量、源和目的IP、端口和MAC、协议、VLAN等进行筛选,根据配置的DSCP和Cos值标记某种流量。
本发明实施例提供的获取当前端口的当前流量数据;根据当前网络策略的网络流量筛选策略对当前流量数据进行筛选得到筛选后的当前流量数据;根据当前网络策略的标记策略对筛选后的当前流量数据进行标记得到标记后的当前流量数据。有效的防止恶意流量攻击,实现流量标记功能,提高云平台系统的安全性和稳定性。
在上述实施例的基础上,该方法还包括:
当当前资源维度层配置自定义网络策略时,在当前资源维度层对应的界面设置勾选替代选项以替代上层资源维度层下发的策略。
具体地,为了便于工作人员查看,可以根据日志信息查看当前的网络策略,也可以直观地在当前资源维度层对应的界面设置勾选替代选项。防止由于特殊端口的使用时,工作人员仅能通过调用日志信息查看,其查看时间以及调用程序较为复杂。
本实施例提供的当当前资源维度层配置自定义网络策略时,在当前资源维度层对应的界面设置勾选替代选项以替代上层资源维度层下发的策略。在界面设置勾选替代选项,定义自有的网络流量策略,也就是自定义网络策略。便于工作人员直观查看。
上述详细描述了云平台的配置网络方法对应的各个实施例,在此基础上,本发明还公开与上述方法对应的云平台的配置网络装置,图2为本发明实施例提供的一种云平台的配置网络装置的结构图。如图2所示,云平台的配置网络装置包括:
控制模块11,用于控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
替代模块12,用于当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;
作为模块13,用于当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;
下发模块14,用于将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
由于装置部分的实施例与上述的实施例相互对应,因此装置部分的实施例请参照上述方法部分的实施例描述,在此不再赘述。
本发明提供的一种云平台的配置网络装置,包括:控制当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,其中当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;当当前资源维度层配置自定义网络策略时,则将自定义网络策略替代上层资源维度层下发的策略作为当前网络策略;当当前资源维度层未配置自定义网络策略时,则将上层资源维度层下发的策略作为当前网络策略;将当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。该装置通过数据中心、交换机、端口组和端口级四个维度的网络资源配置网络策略,数据中心包括多个交换机、交换机包括多个端口组,端口组包括多个端口的维度层,通过不同维度层的统一配置网络策略,避免现有的分发机制仅是一个端口一个端口地配置出现的混乱现象和配置耗时的问题。同时考虑特殊端口配置的网络策略与其他普通端口配置的网络策略不同,增加了自定义网络策略进行配置,实现云平台的网络流量数据的筛选和过滤,节省配置时间和提高云平台的安全性和稳定性。
图3为本发明实施例提供的另一种云平台的配置网络装置的结构图,如图3所示,该装置包括:
存储器21,用于存储计算机程序;
处理器22,用于执行计算机程序时实现云平台的配置网络方法的步骤。
本实施例提供的云平台的配置网络装置可以包括但不限于平板电脑、笔记本电脑或者台式电脑等。
其中,处理器22可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器22可以采用数字信号处理器(Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器22也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器22可以集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器22还可以包括人工智能(Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器21可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器21还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器21至少用于存储以下计算机程序211,其中,该计算机程序被处理器22加载并执行之后,能够实现前述任一实施例公开的云平台的配置网络方法的相关步骤。另外,存储器21所存储的资源还可以包括操作系统212和数据213等,存储方式可以是短暂存储或者永久存储。其中,操作系统212可以包括Windows、Unix、Linux等。数据213可以包括但不限于云平台的配置网络方法所涉及到的数据等等。
在一些实施例中,云平台的配置网络装置还可包括有显示屏23、输入输出接口24、通信接口25、电源26以及通信总线27。
领域技术人员可以理解,图3中示出的结构并不构成对云平台的配置网络装置的限定,可以包括比图示更多或更少的组件。
处理器22通过调用存储于存储器21中的指令以实现上述任一实施例所提供的云平台的配置网络方法。
对于本发明提供的一种云平台的配置网络装置的介绍请参照上述方法实施例,本发明在此不再赘述,其具有上述云平台的配置网络方法相同的有益效果。
进一步的,本发明还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器22执行时实现如上述云平台的配置网络方法的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不再赘述,其具有上述云平台的配置网络方法相同的有益效果。
以上对本发明所提供的一种云平台的配置网络装置方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种云平台的配置网络方法,其特征在于,包括:
控制所述当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,所述当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
当所述当前资源维度层配置自定义网络策略时,则将所述自定义网络策略替代所述上层资源维度层下发的策略作为当前网络策略;
当所述当前资源维度层未配置所述自定义网络策略时,则将所述上层资源维度层下发的策略作为所述当前网络策略;
将所述当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
2.根据权利要求1所述的云平台的配置网络方法,其特征在于,所述首层资源维度层的策略通过预先存储的规则库中的策略获得,包括:
所述首层资源维度层的策略通过预先存储的规则库中的网络流量筛选策略和标记策略获得。
3.根据权利要求2所述的云平台的配置网络方法,其特征在于,所述预先存储的规则库中的所述网络流量筛选策略的建立包括以下步骤:
获取筛选参数,其中所述筛选参数至少包括标记系统流量、源地址、目的IP地址、MAC地址、VLAN地址和对应的地址协议;
设定筛选参数之间的优先级以及逻辑关系;
根据所述筛选参数的所述优先级和所述逻辑关系确定所述网络流量筛选策略。
4.根据权利要求2所述的云平台的配置网络方法,其特征在于,所述预先存储的规则库中的所述标记策略的建立包括以下步骤:
设置Qos的DSCP值和Cos值;
根据网络资源配置对应的DSCP值和Cos值以确定所述标记策略。
5.根据权利要求2所述的云平台的配置网络方法,其特征在于,所述自定义网络策略的规则与所述预先存储的规则库中的所述网络流量筛选策略和所述标记策略的规则相同。
6.根据权利要求5所述的云平台的配置网络方法,其特征在于,当所述当前网络策略下发至所述端口级资源维度层时,还包括:
获取当前端口的当前流量数据;
根据所述当前网络策略的所述网络流量筛选策略对所述当前流量数据进行筛选得到筛选后的当前流量数据;
根据所述当前网络策略的所述标记策略对所述筛选后的当前流量数据进行标记得到标记后的当前流量数据。
7.根据权利要求5所述的云平台的配置网络方法,其特征在于,还包括:
当所述当前资源维度层配置自定义网络策略时,在所述当前资源维度层对应的界面设置勾选替代选项以替代所述上层资源维度层下发的策略。
8.一种云平台的配置网络装置,其特征在于,包括:
控制模块,用于控制所述当前资源维度层接收由上层资源维度层下发的策略,其中,首层资源维度层的策略通过预先存储的规则库中的策略获得,所述当前资源维度层为数据中心层、交换机层、端口组层和端口级层的任意一层;
替代模块,用于当所述当前资源维度层配置自定义网络策略时,则将所述自定义网络策略替代所述上层资源维度层下发的策略作为当前网络策略;
作为模块,用于当所述当前资源维度层未配置所述自定义网络策略时,则将所述上层资源维度层下发的策略作为所述当前网络策略;
下发模块,用于将所述当前网络策略下发至所属的下层资源维度层直至端口级资源维度层。
9.一种云平台的配置网络装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的云平台的配置网络方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的云平台的配置网络方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210727060.8A CN115150269A (zh) | 2022-06-24 | 2022-06-24 | 一种云平台的配置网络方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210727060.8A CN115150269A (zh) | 2022-06-24 | 2022-06-24 | 一种云平台的配置网络方法、装置及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115150269A true CN115150269A (zh) | 2022-10-04 |
Family
ID=83409166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210727060.8A Pending CN115150269A (zh) | 2022-06-24 | 2022-06-24 | 一种云平台的配置网络方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150269A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486019A (zh) * | 2002-09-23 | 2004-03-31 | ��Ϊ��������˾ | 基于服务质量的网络管理方法 |
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| US20150200838A1 (en) * | 2014-01-10 | 2015-07-16 | Juniper Networks, Inc. | Dynamic end-to-end network path setup across multiple network layers with network service chaining |
| US20160212696A1 (en) * | 2013-09-26 | 2016-07-21 | Huawei Technologies Co., Ltd. | Data Packet Processing Method, Network Traffic Management Method, Apparatus, and System |
| CN106341418A (zh) * | 2016-10-08 | 2017-01-18 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
| US20180048537A1 (en) * | 2016-08-13 | 2018-02-15 | Nicira, Inc. | Policy driven network qos deployment |
| CN107770065A (zh) * | 2017-10-10 | 2018-03-06 | 山东大学 | 一种基于软件定义网络sdn的流媒体传输路径选取系统 |
| CN109547342A (zh) * | 2018-11-30 | 2019-03-29 | 新华三技术有限公司 | 一种策略路由的下发方法及网络节点 |
| CN112672364A (zh) * | 2019-10-16 | 2021-04-16 | 中国移动通信有限公司研究院 | 策略配置方法、装置、相关设备及存储介质 |
| CN113364624A (zh) * | 2021-06-04 | 2021-09-07 | 上海天旦网络科技发展有限公司 | 基于边缘计算的混合云流量采集方法和系统 |
| CN113890857A (zh) * | 2021-09-30 | 2022-01-04 | 华南师范大学 | 一种面向SDN网络的Qos等级标记方法和系统 |
| CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
-
2022
- 2022-06-24 CN CN202210727060.8A patent/CN115150269A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486019A (zh) * | 2002-09-23 | 2004-03-31 | ��Ϊ��������˾ | 基于服务质量的网络管理方法 |
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| US20160212696A1 (en) * | 2013-09-26 | 2016-07-21 | Huawei Technologies Co., Ltd. | Data Packet Processing Method, Network Traffic Management Method, Apparatus, and System |
| US20150200838A1 (en) * | 2014-01-10 | 2015-07-16 | Juniper Networks, Inc. | Dynamic end-to-end network path setup across multiple network layers with network service chaining |
| US20180048537A1 (en) * | 2016-08-13 | 2018-02-15 | Nicira, Inc. | Policy driven network qos deployment |
| CN106341418A (zh) * | 2016-10-08 | 2017-01-18 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
| CN107770065A (zh) * | 2017-10-10 | 2018-03-06 | 山东大学 | 一种基于软件定义网络sdn的流媒体传输路径选取系统 |
| CN109547342A (zh) * | 2018-11-30 | 2019-03-29 | 新华三技术有限公司 | 一种策略路由的下发方法及网络节点 |
| CN112672364A (zh) * | 2019-10-16 | 2021-04-16 | 中国移动通信有限公司研究院 | 策略配置方法、装置、相关设备及存储介质 |
| CN113364624A (zh) * | 2021-06-04 | 2021-09-07 | 上海天旦网络科技发展有限公司 | 基于边缘计算的混合云流量采集方法和系统 |
| CN113890857A (zh) * | 2021-09-30 | 2022-01-04 | 华南师范大学 | 一种面向SDN网络的Qos等级标记方法和系统 |
| CN113923028A (zh) * | 2021-10-11 | 2022-01-11 | 厦门服云信息科技有限公司 | 一种网络微隔离策略自生成方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| TAO YI: "Flow-split: An approach to reduce flow establish time and invoking of controller in OpenFlow networks", 《2016 IEEE INFORMATION TECHNOLOGY, NETWORKING, ELECTRONIC AND AUTOMATION CONTROL CONFERENCE》, 5 September 2016 (2016-09-05) * |
| THAWATCHAI CHOMSIRI: "An Improvement of Tree-Rule Firewall for a Large Network: Supporting Large Rule Size and Low Delay", 《2016 IEEE TRUSTCOM/BIGDATASE/ISPA》 * |
| 何朔;祖立军;袁航;孙祥安;: "基于Segment Routing的金融跨数据中心网络设计与验证", 电脑知识与技术, no. 18 * |
| 刘静;郭景元;赖英旭;: "基于OpenFlow的流量监控架构实践方案", 北京工业大学学报, no. 05, 10 May 2016 (2016-05-10) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6167445A (en) | Method and apparatus for defining and implementing high-level quality of service policies in computer networks | |
| US10341263B2 (en) | System and method for routing network frames between virtual machines | |
| US6990592B2 (en) | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users | |
| US7386630B2 (en) | Using policy-based management to support Diffserv over MPLS network | |
| EP3035599B1 (en) | Network dna | |
| EP3531635B1 (en) | Message processing method and network device | |
| EP1650908A2 (en) | Internal load balancing in a data switch using distributed network process | |
| US7500014B1 (en) | Network link state mirroring | |
| EP3462688A1 (en) | Method, apparatus and system for processing flowspec message | |
| US7855972B2 (en) | Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules | |
| EP3154229A1 (en) | Device, system and method for providing quality of service (qos) for service packet | |
| CN106161226B (zh) | 发送、接收流规范规则的方法和装置 | |
| EP3637705B1 (en) | Data flow processing method and device | |
| CN108063718B (zh) | 报文处理方法、装置及电子设备 | |
| WO2006108344A1 (fr) | Procede de realisation de reseau prive virtuel | |
| US8117321B2 (en) | Network connection management using connection profiles | |
| US8817664B2 (en) | Network edge switch configuration based on connection profile | |
| CN106921534A (zh) | 数据流量监管方法及装置 | |
| CN115150269A (zh) | 一种云平台的配置网络方法、装置及介质 | |
| CN115396401B (zh) | 基于IPv6特性构建柔性扩展网络的方法、系统及介质 | |
| US9147172B2 (en) | Source configuration based on connection profile | |
| CN110602110A (zh) | 一种全网端口隔离方法、装置、设备及存储介质 | |
| CN114826697A (zh) | 一种信息上报方法、数据处理方法及装置 | |
| Cisco | Configuring QoS | |
| Cisco | Configuring Quality of Service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240425 Address after: Room 1801, 18th Floor, Jiyun Investment Building, No. 278 Xinyi Road, Zhengdong New District, Zhengzhou City, Henan Province, 450047 Applicant after: Zhengzhou Inspur Data Technology Co.,Ltd. Country or region after: China Address before: 250101 room s311, building S05, Inspur Science Park, No. 1036, Inspur Road, Jinan pilot Free Trade Zone, Jinan, Shandong Province Applicant before: Ji'nan tide data Technology Co.,Ltd. Country or region before: China |