WO2015062295A1 - 流量清洗方法、装置和计算机存储介质 - Google Patents
流量清洗方法、装置和计算机存储介质 Download PDFInfo
- Publication number
- WO2015062295A1 WO2015062295A1 PCT/CN2014/080768 CN2014080768W WO2015062295A1 WO 2015062295 A1 WO2015062295 A1 WO 2015062295A1 CN 2014080768 W CN2014080768 W CN 2014080768W WO 2015062295 A1 WO2015062295 A1 WO 2015062295A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- traffic
- cleaning
- policy
- network
- sdn controller
- Prior art date
Links
- 238000004140 cleaning Methods 0.000 title claims abstract description 146
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 8
- 238000013461 design Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910003460 diamond Inorganic materials 0.000 description 1
- 239000010432 diamond Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Definitions
- the embodiment of the present invention provides a flow cleaning device.
- the structure of the device is as shown in FIG. 6, and includes: a flow cleaning system 601, which includes a policy controller 6011 and a flow cleaner 6012.
- Step 705 After receiving the network drainage instruction, the network device uploads the specified traffic to the traffic cleaner according to the network drainage instruction.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种流量清洗方法、装置和计算机存储介质,该方法包括:流量清洗系统的策略控制器向SDN控制器发送引流策略,所述引流策略指示所述SDN控制器将指定的流量重定向到所述流量清洗系统的流量清洗器以进行流量清洗;所述流量清洗器接收网络设备根据所述SDN控制器指示上送的指定的流量。
Description
流量清洗方法、 装置和计算机存储介质 技术领域
本发明涉及通信技术领域, 尤其涉及一种基于软件定义网络的流量清 洗方法、 装置和计算机存储介质。 背景技术
随着互联网的快速发展, 互联网业务不断丰富, 互联网病毒、 互联网 攻击也不断涌现, 互联的的安全问题已经成为影响互联网的稳定性, 影响 用户业务体验的重要问题。
目前, 针对分布式拒绝服务(DDOS, Distributed Denial of Service )攻 击主要釆用流量清洗系统对攻击流量进行清洗。 目前的流量清洗系统一般 在网络中集中部署, 针对受到 DDOS攻击的用户, 在网络中特定的位置部 署策略路由, 或者釆用边界网关协议(BGP, BorderGatewayProtocol )方式 进行引流, 将用户的流量引到流量清洗系统, 由流量清洗系统将攻击流量 清洗掉之后, 将用户的正常业务流量返回给用户。
目前的流量清洗系统的主要问题在于, 流量清洗系统直接和网络设备 交互, 限制了流量清洗系统的部署位置, 同时, 由于流量清洗系统直接向 设备交互, 釆用策略路由或者 BGP方式引流, 需要涉及复杂的路由规划和 设计, 部署复杂, 且容易出错, 导致网络的不稳定性。 发明内容
为解决现有存在的技术问题, 本发明实施例主要提供一种流量清洗方 法、 装置和计算机存储介质。
本发明实施例提供了一种流量清洗方法, 该方法包括:
流量清洗系统的策略控制器向软件定义网络(SDN, Software Defined Network )控制器发送引流策略, 所述引流策略指示所述 SDN控制器将指 定的流量重定向到所述流量清洗系统的流量清洗器以进行流量清洗;
所述流量清洗器接收网络设备根据所述 SDN控制器指示上送的指定的 流量。
本发明实施例还提供了一种流量清洗装置, 包括流量洗清系统, 所述 流量清洗系统包括策略控制器和流量清洗器;
所述策略控制器, 配置为向 SDN控制器发送引流策略, 所述引流策略 指示所述 SDN控制器将指定的流量重定向到所述流量清洗器以进行流量清 洗;
所述流量清洗器, 配置为接收网络设备根据所述 SDN控制器指示上送 的指定的流量。
本发明实施例还提供了一种计算机存储介质, 其中存储有计算机程序, 该计算机程序用于执行上述的流量清洗方法。
本发明实施例提供的一种流量清洗方法、 装置和计算机存储介质, 流 量清洗系统的策略控制器向 SDN控制器发送引流策略, 指示所述 SDN控 制器将指定的流量重定向到所述流量清洗系统的流量清洗器以进行流量清 洗, 所述流量清洗器接收网络设备根据所述 SDN控制器指示上送的指定的 流量。 实现了不用改变硬件布局的基于软件定义网络的流量清洗, 简化了 网络结构, 提高了流量清洗效率, 解决了现有流量清洗方式导致网络不稳 定的问题。 附图说明
图 1为软件定义网络架构图;
图 2为软件定义网络扩展架构图;
图 3 为本发明的实施例提供的一种基于软件定义网络的流量清洗系统
架构图;
图 4为本发明的实施例一提供的一种流量清洗方法的流程图; 图 5 为本发明的实施例二实现一种基于软件定义网络扩展架构的流量 清洗系统的业务处理流程图;
图 6为本发明的实施例三提供的一种流量清洗装置的结构示意图; 图 7为本发明的实施例四提供的一种流量清洗方法的流程图。 具体实施方式
目前的流量清洗系统的主要问题在于, 流量清洗系统直接和网络设备 交互, 限制了流量清洗系统的部署位置, 同时, 由于流量清洗系统直接与 设备交互, 釆用策略路由或者 BGP方式引流, 需要涉及复杂的路由规划和 设计, 部署复杂, 且容易出错, 导致网络的不稳定性。
为了解决上述问题, 本发明的实施例提供了一种流量清洗方法和系统。 下文中将结合附图对本发明的实施例进行详细说明。 需要说明的是, 在不 冲突的情况下, 本申请中的实施例及实施例中的特征可以相互任意组合。
本发明的实施例提供了一种流量清洗方法和系统, 基于 SDN实现, 不 需要对网络的硬件布局进行更改。
为了便于理解本发明的实施例所提供的技术方案, 首先对 SDN进行简 单说明。
SDN釆用统一控制的方式, 实现网络的全局管理和控制, 同时基于北 向接口提供网络能力调用。 这种架构可实施全局优化, 屏蔽网络底层的路 由规划和设计细节, 使得流量清洗系统的灵活部署、 降低设计和实施的难 度成为可能。
图 1描述了 SDN的体系架构, 本发明的实施例提供的流量清洗系统基 于软件定义网络架构实现。 SDN分为转发层、 网络控制层、 应用层; 其中 转发层主要为通用网络设备, 主要用于实现报文的封装和转发处理; 网络
控制层, 主要为 SDN控制器, 主要用于实现对网络的集中控制和管理, 包 括了拓朴收集、 路由计算、 状态收集和维护、 路由管理等; 应用层主要为 上层应用系统; SDN控制器通过南向接口控制网络设备, 收集相关的状态 和信息, 下发相应的控制指令和内容, 目前主要的南向接口协议有 Openflow, SNMP等; SDN控制器通过北向接口向应用层提供网络能力服 务和调用。
图 2描述软件定义网络扩展体系架构, 本发明的实施例提供的流量清 洗系统也可基于软件定义网络的扩展体系架构。 由于软件定义网络主要聚 焦在如何实现软件对网络的灵活定义, 在软件定义网络架构中对网络运营 考虑不够, 已经有相关的标准组织提出一些扩展的 SDN网络体系架构。
软件定义网络扩展体系架构主要包括转发层、 网络控制层、 业务控制 层、 应用层。 其中, 转发层主要为通用网络设备, 主要用于实现报文的封 装和转发处理; 网络控制层, 主要为 SDN控制器, 主要用于实现对网络的 集中控制和管理, 包括了拓朴收集、 路由计算、 状态收集和维护、 路由管 理等; SDN控制器通过南向接口控制网络设备, 收集相关的状态和信息, 下发相应的控制指令和内容, 目前主要的南向接口协议有 Openflow、 SNMP 等; SDN控制器通过北向接口向业务控制层提供网络基础能力调用接口; 业务控制层主要为网络运营商进行网络能力封装、 抽象, 并向上层应用提 供网络能力服务的网络能力系统; 业务控制层通过对网络控制层的基本网 络功能进行调用和整合, 形成更抽象的, 适合网络运营的网络能力, 并通 过北向接口向上层应用提供网络能力服务。
图 3描述了本发明的实施例提供的一种基于软件定义网络的流量清洗 系统架构图。 流量清洗系统主要包括流量清洗器和策略控制器, 其中流量 清洗器主要用于实施流量的清洗处理, 策略控制器主要用于进行相关的策 略控制、 流量的牵引等。
所述的流量清洗系统基于软件定义网络架构或软件定义网络扩展体系 架构实现, 与现有的流量清洗系统的区别在于: 现有流量清洗系统直接控 制网络设备, 向网络设备下发相应的网络引流策略, 使得流量清洗业务的 部署涉及到设备层面、 网络层面复杂的路由设计和部署, 实施难度大, 容 易出错导致网络不稳定。
基于软件定义网络的流量清洗系统通过 SDN控制器的北向接口向 SDN 控制器下发网络引流策略, 再由 SDN控制器进行解析之后, 统一下发到相 关的设备; 由于 SDN控制器提供了抽象接口, 屏蔽了底层的路由设计和部 署细节, 使得流量清洗业务部署大幅简化; 由于 SDN控制器具有网络全局 控制能力, 可使得流量清洗业务部署更加灵活。
基于软件定义网络扩展体系架构的流量清洗系统通过网络能力系统的 北向接口向网络能力系统下发网络引流策略; 网络能力系统收到网络引流 指令后进行解析处理, 形成具体的、 SDN控制器能识别的控制指令, 并通 过 SDN控制器的北向接口向 SDN控制器下发控制指令; SDN控制器对收 到的控制指令进行解析, 并通过 SDN控制器的南向接口统一下发到相关的 设备; 由于网络能力系统和 SDN控制器提供了抽象接口, 屏蔽了底层的路 由设计和部署细节, 使得流量清洗业务部署大幅简化; 由于 SDN控制器具 有网络全局控制能力, 可使得流量清洗业务部署更加灵活。
下面结合附图, 对本发明的实施例一进行说明。
图 4描述了本发明实施例提供的一种流量清洗方法中基于软件定义网 络的流量清洗系统的业务处理流程图。 在本处理流程中包括: 流量清洗系 统、 SDN控制器、 网络设备; 其中流量清洗系统包括流量清洗器和策略控 制器。 业务处理流程步骤如下:
步骤 401、 流量清洗系统需要针对特定的流量进行清洗时, 由策略控制 器向流量清洗器下发清洗策略, 确定需要清洗的服务等级、 服务策略以及
相关参数;
步骤 402、 策略控制器向 SDN控制器下发网络引流策略, 具体可体现 为: 将目的 IP地址为 1.1.1.1的流量重定向到流量清洗器;
步骤 403、 SDN控制器收到网络引流策略后, 进行解析及处理, 转换 为网络设备能识别和执行的、 可通过 SDN控制器南向接口下发的网络引流 指令,该网络引流指令包括 ACL、重定向路由表、转发流表等; 并通过 SDN 控制器的南向接口向相关网络设备下发;
步骤 404、 网络设备收到 SDN控制器下发的网络引流指令后, 执行指 令的操作, 将网络引流指令中指定的流量上送到流量清洗器;
步骤 405、 流量清洗器根据既定的策略执行流量清洗; 流量清洗处理完 成后, 将合法的流量回送到相应的网络设备;
下面结合附图, 对本发明的实施例二进行说明。
图 5描述了本发明实施例提供的一种流量清洗方法中基于软件定义网 络扩展架构的流量清洗系统的业务处理流程图。 在本处理流程中包括: 流 量清洗系统, 网络能力系统, SDN控制器, 网络设备; 其中流量清洗系统 包括流量清洗器和策略控制器。 业务处理流程步骤如下:
步骤 501、 流量清洗系统需要针对特定的流量进行清洗时, 由策略控制 器向流量清洗器下发清洗策略, 确定需要清洗的服务等级、 服务策略以及 相关参数;
步骤 502、 策略控制器向网络能力系统发送流量清洗请求。在此层面的 流量清洗请求侧重于业务需求的描述, 较为抽象, 网络引流策略具体可表 现为: 用户 A需要流量清洗服务, 服务等级为钻石级, 服务时长为 12小时 等;
步骤 503、 网络能力系统接收到流量清洗请求后, 进行解析处理, 将流 量清洗请求转化为相应的网络引流策略, 并通过 SDN控制器的北向接口向
SDN控制器下发, 具体网络引流策略可体现为: 将目的 IP地址为 1丄 1.1 的流量重定向到流量清洗器;
步骤 504、 SDN控制器收到引流策略后, 进行解析及处理, 转换为网 络设备能识别和执行的、可通过 SDN控制器南向接口下发的网络引流指令, 该网络引流指令包括: ACL、 重定向路由表、 转发流表等; 并通过 SDN控 制器的南向接口向相关网络设备下发;
步骤 505、 网络设备收到 SDN控制器下发的网络引流指令后, 执行指 令的操作, 将网络引流指令中指定的流量上送到流量清洗器;
步骤 506、 流量清洗器根据既定的策略执行流量清洗; 流量清洗处理完 成后, 将合法的流量回送到相应的网络设备。
需要说明的是, 基于目的 IP地址标记需要清洗的流量的来源只是一种 具体的实施方式, 实际应用中, 亦可以通过 MAC地址、 以太类型端口号以 及组合类型等多种方式标记流量。 无论釆用何种手段标记流量, 引流过程 的实现原理均与本发明实施例所述相同, 在此不再——赘述。
下面结合附图, 对本发明的实施例三进行说明。
本发明实施例提供了一种流量清洗装置, 该装置的结构如图 6 所示, 包括: 流量清洗系统 601, 该流量清洗系统 601包括策略控制器 6011和流 量清洗器 6012。
优选的, 该装置还包括 SDN控制器 602、 至少一个网络设备 603和网 络能力系统 604。
所述策略控制器 6011, 配置为向 SDN控制器 602发送引流策略, 指示 所述 SDN控制器 602将指定的流量重定向到所述流量清洗器 6012以进行 流量清洗;
所述流量清洗器 6012,配置为接收所述网络设备 603根据所述 SDN控 制器 602指示上送的指定的流量。
所述策略控制器 6011, 具体配置为通过网络能力系统 604的北向接口 向所述网络能力系统 604下发流量清洗请求;
所述网络能力系统 604, 配置为将所述流量清洗请求解析为引流策略, 通过所述 SDN控制器 602的北向接口向所述 SDN控制器 602发送所述引 流策略。
优选的, 所述策略控制器 6011, 具体配置为生成引流策略并直接向所 述 SDN控制器 602发送。
优选的, 所述 SDN控制器 602, 配置为解析所述引流策略, 得到网络 设备 603能够识别和执行的网络引流指令, 通过 SDN控制器 602南向接口 向网络设备 603发送所述网络引流指令, 指示所述网络设备 603将指定的 流量上送到所述流量清洗器 6012。
具体的, 所述流量清洗器 6012, 还配置为根据既定的清洗策略对所述 流量进行清洗, 并在清洗完成后, 将合法的流量回送至所述网络设备 603。
具体的, 所述策略控制器 6011, 还配置为判定需要对指定流量进行流 量清洗时, 向所述流量清洗器 6012下发清洗策略, 确定需要清洗的服务等 级、 服务策略及相关参数。
下面结合附图, 对本发明的实施例四进行说明。
结合图 6 所示的流量清洗装置, 本发明实施例还提供了一种流量清洗 方法, 使用该方法完成流量清洗的流程如图 7所示, 包括:
步骤 701、 所述策略控制器判定需要对指定流量进行流量清洗时, 向所 述流量清洗器下发清洗策略, 确定需要清洗的服务等级、 服务策略及相关 参数;
步骤 702、 流量清洗系统的策略控制器向 SDN控制器发送引流策略; 在所述引流策略中包含目的 IP地址或 MAC地址或以太类型端口号或 不同标识的组合类型, 其目的是确定需要清洗的流量。 本步骤中, 在引流
策略内携带指示所述 SDN控制器将指定的流量重定向到所述流量清洗系统 的流量清洗器以进行流量清洗的信息。
本步骤, 具体包括以下两种情况:
情况一、 策略控制器通过网络能力系统的北向接口向所述网络能力系 统下发流量清洗请求, 所述网络能力系统将所述流量清洗请求解析为引流 策略, 通过所述 SDN控制器的北向接口向所述 SDN控制器发送所述引流 策略;
情况二、所述策略控制器生成引流策略并直接向所述 SDN控制器发送。 步骤 703、 所述 SDN控制器解析所述引流策略, 得到网络设备能够识 别和执行的网络引流指令;
所述网络引流指令包括以下内容的任一或任意多项:
ACL、 重定向路由表、 转发流表。
步骤 704、所述 SDN控制器通过 SDN控制器南向接口向相应的网络设 备发送所述网络引流指令, 指示所述网络设备将指定的流量上送到所述流 量清洗器;
步骤 705、 所述网络设备在接收到所述网络引流指令后, 根据该网络引 流指令, 将指定的流量上传到所述流量清洗器。
步骤 706、 所述流量清洗器接收网络设备根据所述 SDN控制器指示上 送的指定的流量。
步骤 707、 所述流量清洗器根据既定的清洗策略对所述流量进行清洗, 并在清洗完成后, 将合法的流量回送至所述网络设备。
本发明的实施例提供了一种流量清洗方法和装置, 流量清洗系统的策 略控制器向 SDN控制器发送引流策略, 所述引流策略指示所述 SDN控制 器将流量重定向到所述流量清洗系统的流量清洗器以进行流量清洗, 所述 流量清洗器接收所述网络设备根据所述 SDN控制器指示上送的流量。 实现
了不用改变硬件布局的基于软件定义网络的流量清洗, 简化了网络结构, 提高了流量清洗效率, 解决了现有流量清洗方式导致网络不稳定的问题。
流量清洗系统可基于软件定义网络架构实现, 也可基于软件定义网络 扩展架构实现。 流量清洗系统釆用与 SDN控制器交互的方式, 或者与网络 能力系统交互的方式实现网络的交互和控制, 可屏蔽大量的网络底层细节, 避免在流量清洗业务部署过程中涉及的大量路由规划、 设计和实施, 避免 由此可能导致的网络震荡和不稳定性。 同时, 通过基于 SDN方式实现流量 清洗系统的部署将更加灵活, 提高系统的可适应性。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用 计算机程序流程来实现, 所述计算机程序可以存储于一计算机可读存储介 质中, 所述计算机程序在相应的硬件平台上 (如系统、 设备、 装置、 器件 等)执行, 在执行时, 包括方法实施例的步骤之一或其组合。
可选地, 上述实施例的全部或部分步骤也可以使用集成电路来实现, 这些步骤可以被分别制作成一个个集成电路模块, 或者将它们中的多个模 块或步骤制作成单个集成电路模块来实现。 这样, 本发明不限制于任何特 定的硬件和软件结合。
上述实施例中的各装置 /功能模块 /功能单元可以釆用通用的计算装置 来实现, 它们可以集中在单个的计算装置上, 也可以分布在多个计算装置 所组成的网络上。
上述实施例中的各装置 /功能模块 /功能单元以软件功能模块的形式实 现并作为独立的产品销售或使用时, 可以存储在一个计算机可读取存储介 质中。 上述提到的计算机可读取存储介质可以是只读存储器, 磁盘或光盘 等。
相应的, 本发明实施例还提供一种计算机存储介质, 其中存储有计算 机程序, 该计算机程序用于执行本发明实施例的流量清洗方法。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内, 可轻易 想到变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保 护范围应以权利要求所述的保护范围为准。
Claims
1、 一种流量清洗方法, 该方法包括:
流量清洗系统的策略控制器向软件定义网络 SDN控制器发送引流策 略, 所述引流策略指示所述 SDN控制器将指定的流量重定向到所述流量清 洗系统的流量清洗器以进行流量清洗;
所述流量清洗器接收网络设备根据所述 SDN控制器指示上送的指定的 流量。
2、 根据权利要求 1所述的流量清洗方法, 其中, 所述流量清洗系统的 策略控制器向 SDN控制器发送引流策略包括:
所述策略控制器通过网络能力系统的北向接口向所述网络能力系统下 发流量清洗请求;
所述网络能力系统将所述流量清洗请求解析为引流策略, 通过所述 SDN控制器的北向接口向所述 SDN控制器发送所述引流策略。
3、 根据权利要求 1所述的流量清洗方法, 其中, 所述流量清洗系统的 策略控制器向 SDN控制器发送引流策略包括:
所述策略控制器生成引流策略并直接向所述 SDN控制器发送。
4、 根据权利要求 1所述的流量清洗方法, 其中, 所述流量清洗系统的 策略控制器向 SDN控制器发送引流策略的步骤之后, 还包括:
所述 SDN控制器解析所述引流策略, 得到网络设备能够识别和执行的 网络引流指令;
所述 SDN控制器通过 SDN控制器南向接口向相应的网络设备发送所 述网络引流指令, 指示所述网络设备将指定的流量上送到所述流量清洗器; 所述网络设备在接收到所述网络引流指令后, 根据该网络引流指令, 将指定的流量上传到所述流量清洗器。
5、 根据权利要求 4所述的流量清洗方法, 其中, 所述流量清洗器接收
网络设备根据所述 SDN控制器指示上送的指定的流量的步骤之后,还包括: 所述流量清洗器根据既定的清洗策略对所述流量进行清洗, 并在清洗 完成后, 将合法的流量回送至所述网络设备。
6、 根据权利要求 1所述的流量清洗方法, 其中, 流量清洗系统的策略 控制器向 SDN控制器发送引流策略的步骤之前, 还包括:
所述策略控制器判定需要对指定流量进行流量清洗时, 向所述流量清 洗器下发清洗策略, 确定需要清洗的服务等级、 服务策略及相关参数。
7、 一种流量清洗装置, 该装置包括流量洗清系统, 所述流量清洗系统 包括策略控制器和流量清洗器;
所述策略控制器, 配置为向 SDN控制器发送引流策略, 所述引流策略 指示所述 SDN控制器将指定的流量重定向到所述流量清洗器以进行流量清 洗;
所述流量清洗器, 配置为接收网络设备根据所述 SDN控制器指示上送 的指定的流量。
8、 根据权利要求 7所述的流量清洗装置, 其中, 该装置还包括网络能 力系统;
所述策略控制器, 配置为通过网络能力系统的北向接口向所述网络能 力系统下发流量清洗请求;
所述网络能力系统, 配置为将所述流量清洗请求解析为引流策略, 通 过所述 SDN控制器的北向接口向所述 SDN控制器发送所述引流策略。
9、 根据权利要求 7所述的流量清洗装置, 其中, 所述策略控制器, 配 置为生成引流策略并直接向所述 SDN控制器发送。
10、 根据权利要求 8或 9所述的流量清洗装置, 其中, 该装置还包括 SDN控制器;
所述 SDN控制器, 配置为解析所述引流策略, 得到网络设备能够识别
和执行的网络引流指令, 通过 SDN控制器南向接口向所述的网络设备发送 所述网络引流指令, 指示所述网络设备将指定的流量上送到所述流量清洗 器。
11、 根据权利要求 7所述的流量清洗装置, 其中,
所述流量清洗器, 还配置为根据既定的清洗策略对所述流量进行清洗, 并在清洗完成后, 将合法的流量回送至所述网络设备。
12、 根据权利要求 7所述的流量清洗装置, 其中,
所述策略控制器, 还配置为判定需要对指定流量进行流量清洗时, 向 所述流量清洗器下发清洗策略, 确定需要清洗的服务等级、 服务策略及相 关参数。
13、 一种计算机存储介质, 其中存储有计算机程序, 该计算机程序用 于执行权利要求 1至 6任一项所述的流量清洗方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP14858550.8A EP3065360A4 (en) | 2013-10-30 | 2014-06-25 | Traffic cleaning method and device, and computer storage medium |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310529457.7A CN104601482A (zh) | 2013-10-30 | 2013-10-30 | 流量清洗方法和装置 |
| CN201310529457.7 | 2013-10-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2015062295A1 true WO2015062295A1 (zh) | 2015-05-07 |
Family
ID=53003266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2014/080768 WO2015062295A1 (zh) | 2013-10-30 | 2014-06-25 | 流量清洗方法、装置和计算机存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3065360A4 (zh) |
| CN (1) | CN104601482A (zh) |
| WO (1) | WO2015062295A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105007239A (zh) * | 2015-06-26 | 2015-10-28 | 刘昱 | 网络装置及其网络资源调配方法 |
| US11563640B2 (en) | 2018-12-13 | 2023-01-24 | At&T Intellectual Property I, L.P. | Network data extraction parser-model in SDN |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516129A (zh) * | 2015-12-04 | 2016-04-20 | 重庆邮电大学 | 基于sdn技术实现僵尸网络控制信道阻断的方法和装置 |
| CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
| CN107360115A (zh) * | 2016-05-09 | 2017-11-17 | 中兴通讯股份有限公司 | 一种sdn网络防护方法及装置 |
| CN106059939B (zh) * | 2016-05-19 | 2019-12-06 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN107645400B (zh) * | 2016-07-22 | 2019-09-03 | 中兴通讯股份有限公司 | 策略发送、接收方法、装置及控制器 |
| CN108156004A (zh) * | 2016-12-02 | 2018-06-12 | 中国移动通信有限公司研究院 | Sdn控制器及交换机管理方法 |
| CN106789703B (zh) * | 2017-01-12 | 2020-10-13 | 上海斐讯数据通信技术有限公司 | 一种基于sdn架构的流量监管方法 |
| CN106961422B (zh) * | 2017-02-24 | 2020-06-05 | 中国人民解放军信息工程大学 | 一种dns递归服务器的拟态安全方法及装置 |
| CN106921666B (zh) * | 2017-03-06 | 2020-10-02 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
| CN107682342B (zh) * | 2017-10-17 | 2020-03-10 | 盛科网络(苏州)有限公司 | 一种基于openflow的DDoS流量牵引的方法和系统 |
| CN108965000B (zh) * | 2018-07-12 | 2021-06-01 | 成都安恒信息技术有限公司 | 一种私有云sdn引流实现方法 |
| CN109547437B (zh) * | 2018-11-23 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种安全资源池的引流处理方法及装置 |
| US20220231909A1 (en) * | 2019-06-21 | 2022-07-21 | Nippon Telegraph And Telephone Corporation | Plug-in generation device, controller, plug-in generation method, and plug-in generation program |
| CN113810348B (zh) * | 2020-06-17 | 2023-04-07 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| US8510826B1 (en) * | 2005-12-06 | 2013-08-13 | Sprint Communications Company L.P. | Carrier-independent on-demand distributed denial of service (DDoS) mitigation |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8089871B2 (en) * | 2005-03-25 | 2012-01-03 | At&T Intellectual Property Ii, L.P. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| CN101431449B (zh) * | 2008-11-04 | 2011-05-04 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| US9130977B2 (en) * | 2012-04-18 | 2015-09-08 | Radware, Ltd. | Techniques for separating the processing of clients' traffic to different zones |
-
2013
- 2013-10-30 CN CN201310529457.7A patent/CN104601482A/zh active Pending
-
2014
- 2014-06-25 WO PCT/CN2014/080768 patent/WO2015062295A1/zh active Application Filing
- 2014-06-25 EP EP14858550.8A patent/EP3065360A4/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8510826B1 (en) * | 2005-12-06 | 2013-08-13 | Sprint Communications Company L.P. | Carrier-independent on-demand distributed denial of service (DDoS) mitigation |
| CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105007239A (zh) * | 2015-06-26 | 2015-10-28 | 刘昱 | 网络装置及其网络资源调配方法 |
| US11563640B2 (en) | 2018-12-13 | 2023-01-24 | At&T Intellectual Property I, L.P. | Network data extraction parser-model in SDN |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3065360A1 (en) | 2016-09-07 |
| EP3065360A4 (en) | 2017-06-07 |
| CN104601482A (zh) | 2015-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2015062295A1 (zh) | 流量清洗方法、装置和计算机存储介质 | |
| US9825867B2 (en) | Supporting software defined networking with application layer traffic optimization | |
| US9729424B2 (en) | Defining data flow paths in software-defined networks with application-layer traffic optimization | |
| EP2747355B1 (en) | Aggregation network with centralized control | |
| EP2721777B1 (en) | Methods and devices for monitoring a data path | |
| US9148358B2 (en) | Method, apparatus and system for filtering captured network traffic | |
| EP2608459B1 (en) | Router, virtual cluster router system and establishing method thereof | |
| US11528190B2 (en) | Configuration data migration for distributed micro service-based network applications | |
| CN107438016A (zh) | 网络管理方法、设备、系统以及存储介质 | |
| US11489836B2 (en) | Method, apparatus, and system for collecting access control list | |
| WO2014187429A1 (zh) | 一种实现流表配置的方法及装置 | |
| Feng et al. | OpenRouteFlow: Enable legacy router as a software-defined routing service for hybrid SDN | |
| Zhao et al. | The implementation of border gateway protocol using software-defined networks: A systematic literature review | |
| WO2017000858A1 (zh) | 网元设备及数据通信网络开通的方法 | |
| EP2983333B1 (en) | A system and method for providing routes to physical residential gateways | |
| CN115801674A (zh) | 双栈的sdn控制方法、装置、介质以及系统 | |
| WO2018054209A1 (zh) | 一种传输多协议分组段层tms的处理方法、装置及系统 | |
| CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 | |
| Ren et al. | A reactive traffic flow estimation in software defined networks | |
| KR101334459B1 (ko) | 멀티캐스트 vpn망에서의 mdt 시험 시스템 및 그 방법 | |
| CN109688062A (zh) | 一种路由方法和路由设备 | |
| Feamster | Implications of the software defined networking revolution for technology policy | |
| Xie et al. | Research on firewall in software defined network | |
| CN105052098A (zh) | 中继管理装置、中继管理方法、程序以及中继管理系统 | |
| ZHAO et al. | The Implementation of Border Gateway Protocol Using Software-Defined Networks: A Systematic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14858550 Country of ref document: EP Kind code of ref document: A1 |
|
| REEP | Request for entry into the european phase |
Ref document number: 2014858550 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2014858550 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |