TWI715107B - 基於sdn的vpn流量調度方法以及基於sdn的vpn流量調度系統 - Google Patents

基於sdn的vpn流量調度方法以及基於sdn的vpn流量調度系統 Download PDF

Info

Publication number
TWI715107B
TWI715107B TW108125094A TW108125094A TWI715107B TW I715107 B TWI715107 B TW I715107B TW 108125094 A TW108125094 A TW 108125094A TW 108125094 A TW108125094 A TW 108125094A TW I715107 B TWI715107 B TW I715107B
Authority
TW
Taiwan
Prior art keywords
vpn
sdn
address
controller
traffic
Prior art date
Application number
TW108125094A
Other languages
English (en)
Other versions
TW202025813A (zh
Inventor
袁航
祖立軍
吳金壇
Original Assignee
大陸商中國銀聯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大陸商中國銀聯股份有限公司 filed Critical 大陸商中國銀聯股份有限公司
Publication of TW202025813A publication Critical patent/TW202025813A/zh
Application granted granted Critical
Publication of TWI715107B publication Critical patent/TWI715107B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/60Queue scheduling implementing hierarchical scheduling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明涉及一種基於SDN的VPN流量調度方法及其調度系統。該方法包括:配置所述SDN交換設備以實現所述CE設備和所述PE設備之間的通信鏈路構建;在控制器上進行VPN的配置;所述控制器向所述SDN交換設備下發相流表,其中,流表用於進行VPN內重複位址到一個不衝突空間位址的轉換以區分不同的VPN流量;控制器按照預先設定的流量調度策略,對不同的VPN流量配置不同的流量調度路徑;以及控制器將流量調度路徑下發到PE設備。根據本發明,通過SDN交換設備把VPN流量映射到IP不衝突的位址空間,PE設備之間流量調度不需要考慮VPN從而可以靈活採用策略路由等多種引流方式實現跨資料中心流量的靈活調度。

Description

基於SDN的VPN流量調度方法以及基於SDN的VPN流量調度系統
本發明涉及通信技術,尤其涉及基於SDN的VPN流量調度方法以及基於SDN的VPN流量調度系統。
在一個跨資料中心基礎網路上承載多個不同使用者,不同用戶之間的流量嚴格隔離。當不同使用者的流量在網路上傳輸時,使用VPN技術進行區分,控制器支持在邊緣路由器上通過VPN隔離出不同租戶的路由區域,並通過路由器埠與VPN實例的映射實現VPN實例的動態管理。
為實現流量工程,跨中心網路常常採用建立隧道的方式進行流量路徑的規劃。當前使用者對網路流量的要求越來越精細化,往往會具體到對某個應用流進行操作。在這種情況下,在VPN內部基於五元組的引流手段越來越重要。
那麼當前在VPN環境中,其引流只能通過隧道策略引流、路由染色和服務等級進行引流。其中隧道策略引流和靜態路由引流只能對整個VPN的流量實現整體引流,而路由染色也僅能基於目的IP進行引流,雖然服務等級可以精細化到五元組,但其數量只有8個,完全不能滿足實際使用需求。
傳統非VPN環境下,可通過策略路由的手段實現基於五元組的引流。但在VPN環境下,該手段經驗證發現不適用:在經策略路由引流後,報文會丟失VPN相關資訊,導致對端無法接收。
公開于本發明背景部分的資訊僅僅旨在增加對本發明的總體背景的理解,而不應當被視為承認或以任何形式暗示該資訊構成已為本領域一般技術人員所公知的現有技術。
鑒於此,針對上述問題旨在提供一種基於SDN的VPN流量調度方法 本發明的一方面的基於SDN的VPN流量調度方法,其特徵在於,利用SDN交換設備以及控制器實現CE設備和PE設備之間的VPN流量調度,包括下述步驟: 初始化步驟,配置所述SDN交換設備以實現所述CE設備和所述PE設備之間的通信鏈路構建; VPN配置步驟,在所述控制器上進行VPN的配置; 位址轉換流表下發步驟,所述控制器向所述SDN交換設備下發相流表,其中,所述流表用於進行VPN內重複位址到一個不衝突空間位址的轉換以區分不同的VPN流量; VPN流量調度步驟,所述控制器按照預先設定的流量調度策略,對不同的VPN流量配置不同的流量調度路徑;以及 配置下發步驟,所述控制器將所述流量調度路徑下發到PE設備。
可選地,所述流表採用不衝突的空間位址進行VPN內的空間位址的轉換。
可選地,所述空間地址包括下述的一項或者多項的組合: 源IP位址、源MAC位址、目的MAC位址、源埠、目的埠、目的IP位址。
可選地,在所述VPN配置步驟中,在所述控制器上管理VPN與SDN交換設備的介面之間的映射關係並且基於不同的VPN分配空間位址,其中所述映射關係是指不同的CE設備屬於不同的VPN,不同的CE設備連接到SDN交換設備的介面收到的是不同的VPN流量。
可選地,所述位址轉換流表下發步驟包括: 控制器獲取報文進入SDN交換設備的埠資訊,然後根據所述映射關係得知該報文屬於哪個VPN; 獲取VPN的IP位址集區,順序或隨機獲取一個IP位址,並且將該獲取的IP位址標記為不可用; 根據獲取到的IP,生成相應流表下發到SDN交換設備。
本發明一方面的基於SDN的VPN流量調度系統,其特徵在於,具備: 第一類型的路由設備; 第二類型的路由設備,與所述第一類型的路由設備分離設置; SDN交換設備,設置在所述第一類型的路由設備和所述第二類型的路由設備之間,用於實現所述第一類型的設備和所述第二類型的設備之間的通信鏈路構建;以及 控制器,用於根據規定協定對於SDN交換設備進行集中控制一實現對VPN流量的調度。
可選地,所述第一類型的路由設備是CE設備, 所述第二類型的路由設備PE設備。
可選地,所述控制器通過Openflow協定和NETCONF協定對於SDN交換設備進行集中控制。
可選地,所述控制器向所述SDN交換設備下發相流表,其中,所述流表用於進行VPN內重複位址到一個不衝突空間位址的轉換以區分不同的VPN流量。
可選地,所述空間地址包括下述的一項或者多項的組合: 源IP位址、源MAC位址、目的MAC位址、源埠、目的埠、目的IP位址。
可選地,所述SDN交換設備構建所述第一類型的路由設備和所述第二類型的路由設備之間的一一對應的通信鏈路。
可選地,所述控制器具備: VPN管理模組,用於實現VPN資訊管理、埠映射關係管理、以及IP位址集區管理; 轉發策略管理模組,用於實現交換機請求處理、轉發策略生成以及轉發策略下發;以及 引流管理模組,用於實現引流策略管理以及引流配置下發。
本發明的電腦可讀介質,其上存儲有電腦程式,其特徵在於, 該電腦程式被處理器執行時實現上述的基於SDN的VPN流量調度方法。
本發明的電腦 設備,包括記憶體、處理器以及存儲在記憶體上並可在處理器上運行的電腦程式,其特徵在於,所述處理器執行所述電腦程式時實現上述的基於SDN的VPN流量調度方法。
根據本發明,通過在CE設備和PE設備之間接入了SDN交換設備,能夠對流量在進入PE設備之前和離開PE設備之後的修改源空間位址(例如IP位址),使得在PE設備之間的流量調度可以不用考慮VPN的存在,從而可以基於策略路由等實現對流量的靈活調度,而且可以相容大多數廠商設備並突破服務品質等級所帶來的引流數量的限制。
通過納入本文的附圖以及隨後與附圖一起用於說明本發明的某些原理的具體實施方式,本發明的方法和裝置所具有的其它特徵和優點將更為具體地變得清楚或得以闡明。
下面介紹的是本發明的多個實施例中的一些,旨在提供對本發明的基本瞭解。並不旨在確認本發明的關鍵或決定性的要素或限定所要保護的範圍。
在說明本發明之前,先對本發明中出現的若干技術用語進行簡單說明。
(1) SDN 軟體定義網路(Software Defined Network)。
(2) VPN 虛擬私人網路絡(virtual private network),是Emulex網路一種新型網路創新架構,是網路虛擬化的一種實現方式,其核心技術OpenFlow通過將網路設備控制面與資料面分離開來,從而實現了網路流量的靈活控制,使網路作為管道變得更加智慧。
(3) 隧道技術 隧道類似於點到點的連接。這種方式能夠使來自許多資訊源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。
(4) 策略路由 策略路由是轉發層面的行為,操作的物件是資料包,匹配的是資料流程,具體是指數據包中的各個欄位,常用五元組:源IP、目標IP、協定、源埠、目標埠。
(5) PE(Provider Edge) 即,Provide的邊緣設備,服務提供者骨幹網的邊緣路由器,它相當於標籤邊緣路由器(LER)。VPN概念中,把整個網路中的路由器分為三類:用戶邊緣路由器(CE)、運營商邊緣路由器(PE)和運營商骨幹路由器(P);其中,PE充當IP VPN接入路由器,PE路由器連接CE路由器和P路由器,是最重要的網路節點。使用者的流量通過PE路由器流入使用者網路,或者通過PE路由器流到MPLS骨幹網。
(6) CE(Customer Edge) 使用者邊緣設備,服務提供者所連接的用戶端路由器。CE路由器通過連接一個或多個PE路由器,為使用者提供服務接入。CE路由器通常是一台IP路由器,它與連接的PE路由器建立鄰接關係。
(7) VPN實例(VPN-INSTANCE) VPN實例的原理是將一台物理設備虛擬成多個虛擬裝置,並將相應的物理介面分配至虛擬裝置中使用,從而實現每個虛擬裝置之間以及和根物理設備之間完全隔離。並且每一個邏輯裝置之間都是相互獨立的,使用自己獨立的路由表、獨立進程、獨立進出介面。
圖1是表示本發明的第一實施方式的基於SDN的VPN流量調度系統的結構框圖。
如圖1所示,在本發明的第一實施方式的基於SDN的VPN流量調度系統中,PE設備20連接CE設備10和P設備30之間,本發明的特徵在於,在CE設備10和PE設備20之間進一步加入SDN交換設備40實現對VPN流量的調度,同時,在VPN流量調度控制器50(在後文中簡稱為“控制器”)的集中控制下,通過SDN交換設備40把VPN流量映射到IP不衝突的空間位址。圖1中的“多根線”表示互聯的撰線可以不止一條。
進一步,在本發明中,PE設備20之間的流量調度不需要考慮VPN,從而可以靈活採用策略路由等多種引流方式實現對跨資料中心流量的靈活引流調度。
其中,特別地在於,設置在CE設備10和PE設備20之間的SDN交換設備40是本發明的一個關鍵因素,其主要有如下兩個作用: (1)充當CE設備10和PE設備30之間的資料轉發通道。它到CE設備10和PE設備30之間的連線數量是相同的,因此可以構建CE設備10和PE設備30之間的一一對應的通信鏈路,從而透明轉發他們之間的BGP等網路通訊協定資料包,對於CE設備10和PE設備30來說SDN交換設備40是感知不到的。
(2)把VPN內IP位址重複的資料包映射到不衝突的一個空間位址內:對於從CE設備10到PE設備30的資料包是把原有IP1 修改為不衝突的IP2 ,而對於從PE設備30到CE設備10的資料包則是把IP2 重新還原為IP1
圖2是表示本發明的第一實施方式的基於SDN的VPN流量調度方法的流程示意圖。
以下參照圖1和圖2一起說明本發明的第一實施方式的基於SDN的VPN流量調度方法。
如圖2所示,本發明的第一實施方式的基於SDN的VPN流量調度方法包括下述步驟: 初始化步驟S100:配置SDN交換設備40以實現CE設備10和PE設備20之間的通信鏈路構建; VPN配置步驟S200:在控制器50上配置VPN,包括每個VPN對應的CE埠、SDN控制器埠、IP位址集區; 位址轉換流表下發步驟S300:控制器50在SDN交換設備40上下發相應的流表進行VPN內重複位址到一個不衝突空間位址的轉換; VPN流量調度步驟S400:在控制器50上對VPN的特定流量配置轉發路徑; 配置下發步驟S500:在PE設備20之間下發針對轉換後的位址的路由規則進行流量的靈活調度。
接著,這些步驟進行具體說明。
(1) 初始化步驟S100 在通過SDN交換設備40連接CE設備10和PE設備20之間並和控制器50建立管理通道之後,控制器50會對SDN交換設備40建立控制關係。由於SDN交換設備40不運行任何三層協議,因此可以構建一條對於CE設備10和PE設備20來說透明的通信鏈路。
(2) VPN配置步驟S200 在該步驟中進行VPN的配置工作。VPN的配置工作主要有三個,具體如下: ①管理VPN資料 控制器50管理網路中所有的VPN資訊。該資訊為基礎資料,所有上層功能都基於該資料來進行實現。
②管理VPN與SDN交換設備介面的映射關係。
該映射關係是在與CE設備的連接介面上產生的。因為不同的CE設備屬於不同的VPN,所以不同CE設備10連接到的SDN交換設備40的物理口,收到是不同VPN的流量。
圖3是表示SDN交換設備埠與VPN的關係映射圖。
如圖3所示,作為CE設備10圖示了第一CE設備、第二CE設備以及第三CE設備,其中,第一CE設備屬於VPN1,第二CE設備屬於VPN2,第三CE設備屬於VPN3,另一方面,第一CE設備連接到SDN交換設備40的P1埠(即收到VPN1的流量),第二CE設備連接到SDN交換設備40的P2埠(即收到VPN2的流量),第三CE設備連接到SDN交換設備40的P3埠(即收到VPN3的流量)。
在控制器50中能夠對這些關係資料進行管理,這樣後面就知道不同埠收到的資料是屬於哪個VPN的。
③為不同VPN分配映射IP位址集區圖4是表示多VPN管理模型的示意圖。圖4是為了說明多VPN下的管理方式。如圖4所示,在一個VPN主控下面具有多個VPN實例。其中,每個VPN實例分別具備VPN服務、IP位址以及租戶。因為存在多個VPN實例,所以在劃分IP位址集區的時候要保證各VPN實例之間的位址集區不衝突,每個VPN都有自己獨立的ip資源。
在本發明中,所謂映射IP位址集區,就是不同VPN報文經過SDN交換設備40後,會將報文的源IP位址根據一定規則映射到不同的IP位址集區中。各VPN的IP位址集區都是連續的,且不與其它VPN的IP位址集區重疊,IP位址集區數量由管理員配置設定。
(3) 位址轉換流表下發步驟S300 當SDN交換設備40接收到來自VPN的資料包文時,由於一開始SDN交換設備40內並無轉發流表邏輯,因此交換設備會將報文轉發至控制器50,請求相關轉發策略。控制器50接收到相關報文後,進行如下計算處理: ①首先,控制器50讀取報文,獲取其進入SDN交換設備40的埠資訊,然後根據埠與VPN的映射關係,得知該報文屬於哪個VPN; ②獲取VPN的IP位址集區,順序或隨機獲取一個IP位址,獲取該IP位址後,將該IP位址標記為不可用。如此後續報文將不會採用該IP進行位址轉換。
③根據獲取到的IP,生成相應流表下發到SDN交換設備40。流表內容如下: ip, in_port=i, nw_src=IP1 , actions= mod_nw_src=IP2 , output:j 其中,埠i為與CE設備10連接的埠,j為與PE設備20之間的連接埠, IP1 為原始報文IP位址,IP2 為從IP位址集區中取出的轉換後的位址。
同時,在對端的SDN交換設備40上,也會下發一條對應的反轉換流表,將IP位址復原,內容如下: ip, in_port=m, nw_src=IP2 , actions= mod_nw_src=IP1 , output:n 其中埠m和n為PE設備20和CE設備10之間的連線埠。
經過下發這樣兩個流表之後,就可以實現在PE設備20之間只需要針對空間位址中的位址進行操作即可,而不需要考慮VPN的存在。
(4) VPN流量調度步驟S400 由於在PE設備20之間沒有VPN的存在,且不同VPN的流量已通過劃分IP位址集區的方式進行了切分,因此可以採用策略路由方式進行引流,至此做到了基於五元組引流的目的。
(5) 配置下發步驟S500 在該步驟中,針對步驟S400中配置的流量調度策略,控制器50生成相關配置,下發流量調度配置,其中使用的IP位址為轉換之後的空間位址中的位址。
接著,對於本發明的一個示例的VPN流量調度系統以及VPN流量調度方法進行說明。
圖5是表示發明一個示例的VPN流量調度系統的構造示意圖。
如圖5所示,在該示例的VPN流量調度系統中,作為CE設備示例有第一CE設備101、第二CE設備102、第三CE設備103、第四CE設備104,作為PE設備示例有第一PE設備201、第二PE設備202、第三PE設備203以及第四PE設備204,作為SDN交換設備示例有第一SDN交換設備301以及第二SDN交換設備302。
其中,在第一CE設備101、第二CE設備102和第一PE設備201、第二PE設備202之間設置第一SDN交換設備301,在第三CE設備103、第四CE設備104和第三PE 203、第四PE設備204之間設置第二SDN交換設備302,利用第一SDN交換設備301、第二SDN交換設備302以及控制器400對VPN流量的調度。
同時,VPN流量調度控制器400(在後文中也簡稱為“控制器”)通過Openflow協定和NETCONF協定對於第一SDN交換設備301以及第二SDN交換設備302進行集中控制。具體地,在VPN流量調度控制器400具備:VPN管理模組410,用於實現VPN資訊管理、埠映射關係管理、以及IP位址集區管理;轉發策略管理模組420,用於實現交換機請求處理、轉發策略生成以及轉發策略下發;以及引流管理模組430,用於實現引流策略管理以及引流配置下發。
該示例的VPN流量調度方法包括以下步驟: (1)初始化步驟S100 配置第一SDN交換設備301以實現第一CE設備101、第二CE設備102與第一PE設備201、第二PE設備202之間的通信鏈路構建以及配置第一SDN交換設備302以實現第三CE設備103、第四CE設備104與第三PE設備203、第四PE設備204之間的通信鏈路構建。
(2) VPN配置步驟 如圖5所示,在該示例中,在控制器40上配置VPN,包括每個VPN對應的CE埠、SDN控制器埠、IP位址集區。
具體地,在本示例中配置兩個VPN:VPN1、VPN2。VPN1的第一CE設備101和第三CE設備103分別連接第一SDN交換設備301和第二SDN交換設備302的P1埠,VPN2的第二CE設備102和第四CE設備104分別連接第一SDN交換設備301和第二SDN交換設備302的P2埠。第一SDN交換設備301和第二SDN交換設備302與第一PE設備201~第四PE設備的連介面分別為P3,P4。
進一步,管理員分別為VPN1和VPN2分配IP位址集區,VIP1:1.1.1.1-1.1.1.254;VIP2:2.2.2.1-2.2.2.254。
(3) 位址轉換流表下發步驟 當第一CE設備101的有源IP為192.168.1.1,目的IP為192.168.2.1,埠號為100的資料包發送到第一SDN交換設備301上時,由於第一SDN交換設備301無轉發策略,此時第一SDN交換設備301會向控制器400發出請求。
控制器400收到請求後,首先根據入口p1判斷該報文屬於VPN1,然後去VIP1中按照一定邏輯(隨機、順序等)取出一個映射IP:1.1.1.1,然後將該IP標記為已用。
隨後控制器400中的轉發策略管理模組410中,利用轉發策略生成功能生成Openflow流表如下: 第一SDN交換設備301: ip, in_port=p1, nw_src=192.168.1.1, actions= mod_nw_src=1.1.1.1, output:p3 第二SDN交換設備302: ip, in_port=p3, nw_src=1.1.1.1, actions=mod_nw_src =192.168.1.1, output:p1; ip, in_port=p4, nw_src=1.1.1.1, actions=mod_nw_src =192.168.1.1, output:p1 隨後下發到第一SDN交換設備301和第二SDN交換設備302上。
第一SDN交換設備301和第二SDN交換設備302接收到該轉發策略後,對資料包進行轉發,由於Openflow流表作用,第一PE設備201和第二設備202接收到的資料包的源IP已變為1.1.1.1。
資料包穿過PE設備,發送到第二SDN交換機302後,由於openflow流表作用,資料包源IP位址會進行反轉換,還原至原始的IP位址192.168.1.1後發送到第三CE設備103,至此完成VPN內部的資料包在企業跨中心網路中的透傳。
由於PE節點中沒有設置VPN,其發送的流量全部為全域狀態下的流量,因此在PE節點的區域內可通過基於SR的五元組引流的手段完成在企業廣域網路中的流量調度。
此時,第二CE設備102也有相同IP元素的資料包發來,源IP為192.168.1.1,目的IP為192.168.2.1,埠號為100。同樣由於第一SDN交換設備301無轉發策略,此時第一SDN交換設備301會向控制器400發出請求。
控制器400收到請求後,同樣首先根據入口p2判斷該報文屬於VPN2,然後去VIP2中按照一定邏輯(隨機、順序等)取出一個映射IP:2.2.2.1,然後將該IP標記為已用。
控制器400的轉發策略管理模組410中,利用轉發策略生成功能成Openflow流表如下: 第一SDN交換設備301: ip, in_port=p2, nw_src=192.168.1.1, actions= mod_nw_src=2.2.2.1, output:p3 第二SDN交換設備302: ip, in_port=p3, nw_src=2.2.2.1, actions= mod_nw_src= 192.168.1.1, output:p2; ip, in_port=p4, nw_src=2.2.2.1, actions= mod_nw_src =192.168.1.1, output:p2 隨後下發到第一SDN交換設備301和第二SDN交換設備302上。
第一SDN交換設備301和第二SDN交換設備302接收到該轉發策略後,對資料包進行轉發,由於Openflow流表作用,第三PE設備203和第四二設備204接收到的資料包的源IP已變為2.2.2.1。
(4) VPN流量調度步驟 如上述這樣,第一PE設備201和第二設備202和第三PE設備203和第四二設備204接收到的兩個資料包,已經不再是同一IP元素的報文了。由於其源位址已經發生改變,因此兩資料包在傳輸的時候不會發生衝突。此時管理員就可採用策略路由的方式,對資料包進行基於五元組的引流,策略表示如下: If 源IP=1.1.1.1 目的IP=192.169.2.1 埠=100 Then 資料包從隧道1轉發 If 源IP=2.2.2.1 目的IP=192.169.2.1 埠=100 Then 資料包從隧道2轉發 這樣即完成對於不同VPN內部基於五元組進行的引流能力。
(5) 配置下發步驟 在第一PE設備201~第四PE設備204之間下發針對轉換後的位址的路由規則進行流量的靈活調度。
如此,在本示例中,通過VPN流量調度控制器400的集中控制下,通過第一SDN交換設備301和第二SDN交換設備302把VPN流量映射到IP不衝突的空間位址,而且,在第一PE設備201~第四PE設備204之間的流量調度不需要考慮VPN,從而可以靈活採用策略路由等多種引流方式實現對跨資料中心流量的靈活引流調度。
如此,在本示例中,通過VPN流量調度控制器400的集中控制下,通過第一SDN交換設備301和第二SDN交換設備302把VPN流量映射到IP不衝突的空間位址,而且,在第一PE設備201~第四PE設備204之間的流量調度不需要考慮VPN,從而可以靈活採用策略路由等多種引流方式實現對跨資料中心流量的靈活引流調度。
以上例子主要說明了本發明的VPN流量調度系統以及VPN流量調度方法。儘管只對其中一些本發明的具體實施方式進行了描述,但是本領域普通技術人員應當瞭解,本發明可以在不偏離其主旨與範圍內以許多其他的形式實施。因此,所展示的例子與實施方式被視為示意性的而非限制性的,在不脫離如所附各申請專利範圍所定義的本發明精神及範圍的情況下,本發明可能涵蓋各種的修改與替換。
S100~S500:步驟 10:CE設備 20:PE設備 30:P設備 40:SDN交換設備 50、400:VPN流量調度控制器 P1、P2、P3、P4:埠 410:VPN管理模組 420:轉發策略管理模組 430:引流管理模組 301:第一SDN交換設備 302:第一SDN交換設備 201:第一PE設備 202:第二PE設備 203:第三PE設備 204:第四PE設備 101:第一CE設備 102:第二CE設備 103:第三CE設備 104:第四CE設備
圖1是表示本發明的第一實施方式的基於SDN的VPN流量調度系統的結構框圖。
圖2是表示本發明的第一實施方式的基於SDN的VPN流量調度方法的流程示意圖。
圖3是表示SDN交換設備埠與VPN的關係映射圖。
圖4是表示多VPN管理模型的示意圖。
圖5是表示發明一個示例的VPN流量調度系統的構造示意圖。
10:CE設備
20:PE設備
30:P設備
40:SDN交換設備
50:VPN流量調度控制器

Claims (13)

  1. 一種基於SDN的VPN流量調度方法,其中,利用SDN交換設備以及控制器實現CE設備和PE設備之間的VPN流量調度,包括下述步驟:初始化步驟,配置所述SDN交換設備以實現所述CE設備和所述PE設備之間的通信鏈路構建;VPN配置步驟,在所述控制器上進行VPN的配置;位址轉換流表下發步驟,所述控制器向所述SDN交換設備下發相流表,其中,所述流表用於進行VPN內重複位址到一個不衝突空間位址的轉換以區分不同的VPN流量;VPN流量調度步驟,所述控制器按照預先設定的流量調度策略,對不同的VPN流量配置不同的流量調度路徑;以及配置下發步驟,所述控制器將所述流量調度路徑下發到PE設備。
  2. 如申請專利範圍第1項所述的基於SDN的VPN流量調度方法,其中,所述流表採用不衝突的空間位址進行VPN內的空間位址的轉換。
  3. 如申請專利範圍第1項所述的基於SDN的VPN流量調度方法,其中, 所述空間地址包括下述的一項或者多項的組合:源IP位址、源MAC位址、目的MAC位址、源埠、目的埠以及目的IP位址。
  4. 如申請專利範圍第1項所述的基於SDN的VPN流量調度方法,其中,在所述VPN配置步驟中,在所述控制器上管理VPN與SDN交換設備的介面之間的映射關係並且基於不同的VPN分配空間位址,其中所述映射關係是指不同的CE設備屬於不同的VPN,不同的CE設備連接到SDN交換設備的介面收到的是不同的VPN流量。
  5. 如申請專利範圍第4項所述的基於SDN的VPN流量調度方法,其中,所述位址轉換流表下發步驟包括:控制器獲取報文進入SDN交換設備的埠資訊,然後根據所述映射關係得知該報文屬於哪個VPN;獲取VPN的IP位址集區,順序或隨機獲取一個IP位址,並且將該獲取的IP位址標記為不可用;根據獲取到的IP,生成相應流表下發到SDN交換設備。
  6. 一種基於SDN的VPN流量調度系統,其中,具備:CE設備; PE設備,與所述CE設備分離設置;SDN交換設備,設置在所述CE設備和所述PE設備之間,用於實現所述CE設備和所述PE設備之間的通信鏈路構建;以及控制器,用於根據規定協定對於SDN交換設備進行集中控制一實現對VPN流量的調度。
  7. 如申請專利範圍第6項所述的基於SDN的VPN流量調度系統,其中,所述控制器通過Openflow協定和NETCONF協定對於SDN交換設備進行集中控制。
  8. 如申請專利範圍第6項所述的基於SDN的VPN流量調度系統,其中,所述控制器向所述SDN交換設備下發相流表,其中,所述流表用於進行VPN內重複位址到一個不衝突空間位址的轉換以區分不同的VPN流量。
  9. 如申請專利範圍第8項所述的基於SDN的VPN流量調度系統,其中,所述空間地址包括下述的一項或者多項的組合:源IP位址、源MAC位址、目的MAC位址、源埠、目的埠、目的IP位址。
  10. 如申請專利範圍第6項所述的基於SDN的VPN流量調度系統,其中,所述SDN交換設備構建所述CE設備和所述PE設備之間的一一對應的通信鏈路。
  11. 如申請專利範圍第6項所述的基於SDN的VPN流量調度系統,其中,所述控制器具備:VPN管理模組,用於實現VPN資訊管理、埠映射關係管理、以及IP位址集區管理;轉發策略管理模組,用於實現交換機請求處理、轉發策略生成以及轉發策略下發;以及引流管理模組,用於實現引流策略管理以及引流配置下發。
  12. 一種電腦可讀介質,其上存儲有電腦程式,其中,該電腦程式被處理器執行時實現申請專利範圍第1~5項中任意一項所述的基於SDN的VPN流量調度方法。
  13. 一種電腦設備,包括記憶體、處理器以及存儲在記憶體上並可在處理器上運行的電腦程式,其中,所述處理器執行所述電腦程式時實現申請專利範圍第1~5項中任意一項所述的基於SDN的VPN流量調度方法。
TW108125094A 2018-12-25 2019-07-16 基於sdn的vpn流量調度方法以及基於sdn的vpn流量調度系統 TWI715107B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201811589642.4A CN110035012B (zh) 2018-12-25 2018-12-25 基于sdn的vpn流量调度方法以及基于sdn的vpn流量调度系统
CN201811589642.4 2018-12-25

Publications (2)

Publication Number Publication Date
TW202025813A TW202025813A (zh) 2020-07-01
TWI715107B true TWI715107B (zh) 2021-01-01

Family

ID=67235394

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108125094A TWI715107B (zh) 2018-12-25 2019-07-16 基於sdn的vpn流量調度方法以及基於sdn的vpn流量調度系統

Country Status (4)

Country Link
US (1) US11296997B2 (zh)
CN (1) CN110035012B (zh)
TW (1) TWI715107B (zh)
WO (1) WO2020134017A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12068955B2 (en) * 2020-10-21 2024-08-20 Huawei Technologies Co., Ltd. Method for controlling traffic forwarding, device, and system
CN112468325B (zh) * 2020-11-11 2023-07-11 广州鲁邦通物联网科技股份有限公司 一种可复用的vpn架构和vpn调度方法
CN114019442B (zh) * 2021-10-21 2024-07-23 深圳市科陆电子科技股份有限公司 电能计量误差校准检定方法、装置及存储介质
CN114039917A (zh) * 2021-11-26 2022-02-11 中国电信集团系统集成有限责任公司 一种网络流量调度综合判定方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103548376A (zh) * 2011-05-23 2014-01-29 瑞典爱立信有限公司 通过openflow数据平面在云计算机中实现epc
US8955112B2 (en) * 2011-08-18 2015-02-10 At&T Intellectual Property I, L.P. Dynamic traffic routing and service management controls for on-demand application services
CN104365066A (zh) * 2013-05-24 2015-02-18 华为技术有限公司 用于以太虚拟专用网的方法和设备
US20170237767A1 (en) * 2016-02-12 2017-08-17 Time Warner Cable Enterprises Llc Apparatus and methods for mitigation of network attacks via dynamic re-routing
WO2017193848A1 (zh) * 2016-05-10 2017-11-16 新华三技术有限公司 路由建立、报文发送
US10142164B2 (en) * 2014-09-16 2018-11-27 CloudGenix, Inc. Methods and systems for dynamic path selection and data flow forwarding

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1254059C (zh) * 2002-12-10 2006-04-26 华为技术有限公司 一种多协议标签交换虚拟专用网的实现方法
CN102394828A (zh) * 2011-11-11 2012-03-28 杭州华三通信技术有限公司 一种跨vpn访问时的报文传输方法和设备
US9680870B2 (en) * 2012-12-28 2017-06-13 Verizon Patent And Licensing Inc. Software-defined networking gateway
US9407544B1 (en) * 2013-04-30 2016-08-02 Cisco Technology, Inc. Network virtualization using IP map and encapsulation
CN104158745B (zh) * 2013-05-13 2018-11-06 南京中兴新软件有限责任公司 一种实现数据包转发的方法及系统
CN104253751B (zh) * 2014-09-04 2018-04-06 新华三技术有限公司 一种基于多角色主机的报文传输方法和设备
CN105791153B (zh) * 2014-12-24 2019-04-30 中国电信股份有限公司 业务流量调度方法和系统及流量控制器和网络边缘设备
CN106713137B (zh) * 2015-11-13 2020-02-18 中国电信股份有限公司 基于分段路由和sdn技术的vpn方法、装置及系统
CN107026791B (zh) * 2016-01-29 2021-02-12 华为技术有限公司 虚拟专用网络vpn业务优化方法和设备
US10277505B2 (en) * 2016-03-30 2019-04-30 Juniper Networks, Inc. Routing inter-AS LSPs with centralized controller
US10079805B2 (en) * 2016-06-13 2018-09-18 Fujitsu Limited Bypassing a firewall for authorized flows using software defined networking
CN108322391B (zh) 2017-12-29 2020-08-25 中国银联股份有限公司 基于流表的数据传送方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103548376A (zh) * 2011-05-23 2014-01-29 瑞典爱立信有限公司 通过openflow数据平面在云计算机中实现epc
US8955112B2 (en) * 2011-08-18 2015-02-10 At&T Intellectual Property I, L.P. Dynamic traffic routing and service management controls for on-demand application services
CN104365066A (zh) * 2013-05-24 2015-02-18 华为技术有限公司 用于以太虚拟专用网的方法和设备
US10142164B2 (en) * 2014-09-16 2018-11-27 CloudGenix, Inc. Methods and systems for dynamic path selection and data flow forwarding
US20170237767A1 (en) * 2016-02-12 2017-08-17 Time Warner Cable Enterprises Llc Apparatus and methods for mitigation of network attacks via dynamic re-routing
WO2017193848A1 (zh) * 2016-05-10 2017-11-16 新华三技术有限公司 路由建立、报文发送

Also Published As

Publication number Publication date
US11296997B2 (en) 2022-04-05
CN110035012A (zh) 2019-07-19
CN110035012B (zh) 2021-09-14
WO2020134017A1 (zh) 2020-07-02
US20210021537A1 (en) 2021-01-21
TW202025813A (zh) 2020-07-01

Similar Documents

Publication Publication Date Title
TWI715107B (zh) 基於sdn的vpn流量調度方法以及基於sdn的vpn流量調度系統
CN108989212B (zh) 多个下一跳的路由协议信令及其关系
CN108989202B (zh) 用于虚拟节点的基于结构路径上下文的转发
US9948552B2 (en) Cloud-based services exchange
US8948169B2 (en) Mechanism for E-VPN interoperability with VPLS
US8694664B2 (en) Active-active multi-homing support for overlay transport protocol
US20180227135A1 (en) Protocol independent multicast sparse mode (pim-sm) support for data center interconnect
KR101406922B1 (ko) 공급자 링크 상태 브리징
CN102577277B (zh) 提供合并多点链路的逻辑聚合点对点数据链路
US7039687B1 (en) Multi-protocol label switching virtual private networks
JP2022532729A (ja) スライスベースルーティング
WO2021007963A1 (zh) 路由分发方法及控制器、信息路由方法及网络节点设备
US20040034702A1 (en) Method and apparatus for exchanging intra-domain routing information between VPN sites
CN101047636B (zh) 端到端伪线仿真虚拟租用线接入虚拟专用网的方法及系统
CN108574616A (zh) 一种处理路由的方法、设备及系统
US20070025276A1 (en) Congruent forwarding paths for unicast and multicast traffic
EP4150866A1 (en) Virtual gateways in a cloud exchange
US9112711B2 (en) Optimizing OTV multicast traffic flow for site local receivers
CN110022262B (zh) 一种基于sdn网络实现平面分离的方法、系统和装置
WO2019184653A1 (zh) 链路配置方法和控制器
CN103326940A (zh) 在网络中转发报文的方法和运营商边缘设备
TWI759571B (zh) 基於流表的資料傳送方法
CN104662850A (zh) 用于通信路径选择的方法与装置
WO2018157466A1 (zh) 一种基于sdn的跨数据中心通信方法和网络系统
CN108141392A (zh) 伪线负载分担的方法和设备