CN208386586U - 一种网络传输系统 - Google Patents
一种网络传输系统 Download PDFInfo
- Publication number
- CN208386586U CN208386586U CN201820482446.6U CN201820482446U CN208386586U CN 208386586 U CN208386586 U CN 208386586U CN 201820482446 U CN201820482446 U CN 201820482446U CN 208386586 U CN208386586 U CN 208386586U
- Authority
- CN
- China
- Prior art keywords
- firewall
- network
- sdn
- transmission system
- network transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种网络传输系统,包括依次连接的SDN控制器、SDN交换机、边缘路由器、防火墙和服务器集群,所述SDN交换机与用户端连接;系统还包括连接所述防火墙的网关路由器,所述网关路由器连接互联网;所述防火墙与服务器集群之间设有第一IDS设备。与现有技术相比,本实用新型通过入侵检测系统(IDS)实时监控网络流量来定位和识别恶意流量,能够及时检测出非法占用,记录下病毒发出的连接,向上层管理计算机发出警告,提升了网络的整体安全性。
Description
技术领域
本实用新型涉及网络通信技术,尤其是涉及一种网络传输系统。
背景技术
GRE提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。但是传统GRE机制简单,对隧道两端设备的CPU负担小,需要在转发设备上配置Tunnel的路由,进行GRE封装的报文才能正确转发,因此收敛较慢,不能保证报文正确到达目的地,且不提供QoS特性,网络容易受到安全威胁。
实用新型内容
本实用新型的目的就是为了克服上述现有技术存在的网络安全问题缺陷而提供一种网络传输系统。
本实用新型的目的可以通过以下技术方案来实现:
一种网络传输系统,包括依次连接的SDN控制器、SDN交换机、边缘路由器、防火墙和服务器集群,所述SDN交换机与用户端连接;系统还包括连接所述防火墙的网关路由器,所述网关路由器连接互联网;所述防火墙与服务器集群之间设有第一IDS设备。
优选的,所述防火墙与边缘路由器之间设有第二IDS设备。
优选的,所述防火墙和服务器集群之间通过网络交换机连接。
优选的,还包括连接网络交换机的IDS管理主机。
优选的,所述服务器集群为负载均衡集群。
优选的,所述用户端包括计算机、桥接器、网络接入路由器、DNS服务器中的一种或多种。
与现有技术相比,本实用新型通过入侵检测系统(IDS)实时监控网络流量来定位和识别恶意流量,能够及时检测出非法占用,记录下病毒发出的连接,向上层管理计算机发出警告,提升了网络的整体安全性。
附图说明
图1为本实用新型的结构示意图。
图中标注:1、SDN控制器,2、SDN交换机,3、边缘路由器,4、防火墙,5、服务器集群,6、网关路由器,7、互联网,8、用户端,9、第一IDS设备,10、第二IDS设备。
具体实施方式
下面结合附图和具体实施例对本实用新型进行详细说明。本实施例以本实用新型技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本实用新型的保护范围不限于下述的实施例。
实施例
如图1所示,一种网络传输系统,包括依次连接的SDN控制器1、SDN交换机2、边缘路由器3、防火墙4和服务器集群5,SDN交换机2与用户端8连接;系统还包括连接防火墙4的网关路由器6,网关路由器6连接互联网7;防火墙4与服务器集群5之间设有第一IDS设备9,防火墙4与边缘路由器3之间设有第二IDS设备10。防火墙4和服务器集群5之间通过网络交换机连接,系统还包括连接网络交换机的IDS管理主机。
本实施例中,服务器集群5为负载均衡集群,集群中所有的节点都处于活动状态,它们分摊系统的工作负载。
用户端8包括计算机、桥接器、网络接入路由器、DNS服务器中的一种或多种。
本实施例中,防火墙4与服务器集群5之间设置的第一IDS设备9,用于保护服务器集群5。防火墙4与边缘路由器3之间设置的第二IDS设备10,用于保护网络传输系统中余下的网络组件免受外部攻击的危害。IDS设备根据预设的间隔时间进行威胁抽检,IDS设备检测到攻击威胁时,通过SSL通信信道上报至服务器集群5或者上报至由工作人员操作的IDS管理主机,服务器集群5或者操作人员对攻击类型进行分析,并根据攻击类型定制相应的攻击威胁处理策略,提升了网络的整体安全性。
SDN交换机2包括上报模块,用于将指定的MAC地址和未匹配流表的SDN流上报至SDN控制器1。SDN控制器1包括:地址接收模块,与上报模块相连,用于根据MAC地址、SDN流的流特征码以及链路层发现协议获取SDN流的转发路径;隧道信息生成模块,与地址接收模块相连,用于根据SDN流的转发路径和SDN流的五元组信息生成表明五元组信息到隧道ID的映射关系的隧道ID映射表和表明隧道ID到出队列和出端口的映射关系的队列ID映射表,并生成对应的流表,其中隧道ID中指明了优先级队列;隧道信息下发模块,用于向作为边缘交换设备的SDN交换机2下发用于在边缘路由器3之间建立通用路由协议封装GRE隧道的隧道信息,从而由边缘路由器3基于隧道信息建立隧道转发表。SDN流的五元组信息包括:目的MAC地址、目的IP地址、源MAC地址、源IP地址以及DSCP值。SDN交换机2将指定的MAC地址和未匹配流表的SDN流上报至SDN控制器1;
通过SDN(软件定义网络)建立GRE隧道的主要过程包括:SDN控制器1根据MAC地址、SDN流的流特征码以及链路层发现协议获取SDN流的转发路径;SDN控制器1根据SDN流的转发路径和SDN流的五元组信息生成表明五元组信息到隧道ID的映射关系的隧道ID映射表和表明隧道ID到出队列和出端口的映射关系的队列ID映射表,并生成对应的流表,其中隧道ID中指明了优先级队列;SDN控制器1向SDN交换机2下发流表,使得SDN流根据流表进行转发。上述通信隧道的建立是由SDN控制器1完成,并根据SDN流的IP头的DSCP字段建立通信隧道,指明优先级队列,可以提供端到端的QoS服务。
Claims (6)
1.一种网络传输系统,其特征在于,包括依次连接的SDN控制器(1)、SDN交换机(2)、边缘路由器(3)、防火墙(4)和服务器集群(5),所述SDN交换机(2)与用户端(8)连接;系统还包括连接所述防火墙(4)的网关路由器(6),所述网关路由器(6)连接互联网(7);所述防火墙(4)与服务器集群(5)之间设有第一IDS设备(9)。
2.根据权利要求1所述的一种网络传输系统,其特征在于,所述防火墙(4)与边缘路由器(3)之间设有第二IDS设备(10)。
3.根据权利要求1所述的一种网络传输系统,其特征在于,所述防火墙(4)和服务器集群(5)之间通过网络交换机连接。
4.根据权利要求3所述的一种网络传输系统,其特征在于,还包括连接网络交换机的IDS管理主机。
5.根据权利要求1所述的一种网络传输系统,其特征在于,所述服务器集群(5)为负载均衡集群。
6.根据权利要求1所述的一种网络传输系统,其特征在于,所述用户端(8)包括计算机、桥接器、网络接入路由器、DNS服务器中的一种或多种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201820482446.6U CN208386586U (zh) | 2018-03-30 | 2018-03-30 | 一种网络传输系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201820482446.6U CN208386586U (zh) | 2018-03-30 | 2018-03-30 | 一种网络传输系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN208386586U true CN208386586U (zh) | 2019-01-15 |
Family
ID=64975807
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201820482446.6U Active CN208386586U (zh) | 2018-03-30 | 2018-03-30 | 一种网络传输系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN208386586U (zh) |
-
2018
- 2018-03-30 CN CN201820482446.6U patent/CN208386586U/zh active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tan et al. | In-band network telemetry: A survey | |
US10291534B2 (en) | Incremental application of resources to network traffic flows based on heuristics and business policies | |
EP3151470B1 (en) | Analytics for a distributed network | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
Xue et al. | Linkscope: Toward detecting target link flooding attacks | |
US8584215B2 (en) | System and method for securing distributed exporting models in a network environment | |
JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
JP4547340B2 (ja) | トラフィック制御方式、装置及びシステム | |
US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
CN101488925B (zh) | 一种利用网络流采集及统计虚拟专用网络流量的方法 | |
US9065723B2 (en) | Unaddressed device communication from within an MPLS network | |
US7733788B1 (en) | Computer network control plane tampering monitor | |
CN112262554B (zh) | 包可编程流遥测剖析和分析 | |
CN112202646B (zh) | 一种流量分析方法和系统 | |
CN103414594A (zh) | 一种用于计费和监控的ip流信息统计方法 | |
JP2009016987A (ja) | リモートトラフィック監視方法 | |
Luo et al. | SDN/NFV-based security service function tree for cloud | |
KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
CN208386586U (zh) | 一种网络传输系统 | |
CN112532468A (zh) | 网络测量系统、方法、设备及存储介质 | |
US20170244622A1 (en) | In-band, health-based assessments of service function paths | |
Xia et al. | Resource optimization for service chain monitoring in software-defined networks | |
Lan et al. | A real-time network traffic analysis and QoS management platform | |
WO2023045865A1 (zh) | Bgp flowspec路由下发方法及装置、存储介质、电子设备 | |
WO2024131771A1 (zh) | 业务质量检测方法、装置、节点设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |