WO2015149563A1

WO2015149563A1 - 通信方法、系统、资源池管理系统、交换机和控制装置

Info

Publication number: WO2015149563A1
Application number: PCT/CN2014/095739
Authority: WO
Inventors: 李晨; 黄璐; 刘志恒
Original assignee: 中国移动通信集团公司
Priority date: 2014-03-31
Filing date: 2014-12-31
Publication date: 2015-10-08
Also published as: CN104954281A; EP3128705A4; CN104954281B; EP3128705B1; US20160373345A1; US9992104B2; EP3128705A1

Abstract

本公开文本提供一种SDN的通信方法、系统、资源池管理系统、交换机及控制装置。所述通信方法包括：获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；当第一虚拟机与第二虚拟机之间第一次通信时，将从网络属性中获得的租户网络拓扑信息翻译为流表；将流表下发至虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。在所述通信方法中，能够避免控制器向全网广播ARP消息，并减少发送给SDN控制器的packet_in报文，使SDN中的网络资源得到充分利用，缓解网络和控制器的资源压力。

Description

通信方法、系统、资源池管理系统、交换机和控制装置

相关申请的交叉参考

本申请主张在2014年3月31日在中国提交的中国专利申请号No.201410127774.0的优先权，其全部内容通过引用包含于此。

技术领域

本公开文本涉及网络通信技术领域，尤其是指一种软件定义网络(SDN)的通信方法、系统、资源池管理系统、交换机及控制装置。

背景技术

软件定义网络(Software-Defined Net working，SDN)是最近几年最热门的未来网络技术，也是企业网、校园网、数据中心网络的热门候选网络形式。其核心思想是数据平面与控制平面的分离，采用远程的控制器集中对网络进行统一管控。

在SDN网络中，网络控制与转发被分离并由专有设备进行处理。网络转发由基于OpenFlow的专有SDN交换机负责完成。网络的控制功能由基于OpenFlow的SDN控制器完成，控制器完成网络基本功能的运算，如拓扑管理、流表管理、设备配置等。

如图1为现有技术SDN网络架构实现的一种举例，现有SDN通信工作机制为，结合图1，网络中由三台Openflow交换机组成，简称OF交换机。三台OF交换机被一台SDN控制器通过Openflow协议进行控制，OF交换机1和OF交换机3作为接入交换机，分别接入两台主机A和B，OF交换机2作为汇聚交换机与SDN控制器连接。

当接入网络的主机A(物理服务器或虚拟机)向SDN网络提出通信需求，要求与主机B进行通信，OF交换机1判断是第一次接收到该请求数据包时，则将数据包的首包转发给SDN控制器，也称为packet_in上送。

之后，SDN控制器根据首包生成流表，具体方式为：SDN控制器接收到首包信息后，根据五元组信息(包括目的MAC、目的IP等)判断数据包的目的接收端为主机B。若SDN控制器内已存储有主机B的位置，则开始计算主机A到主机B的端到端流表，并下发给路径上的OF交换机3。否则SDN控制器向全网广播一条ARP消息搜寻主机B。该ARP广播由OF交换机3响应，并反馈给SDN控制器。SDN控制器根据拓扑信息，逐跳生成流表，即OF交换机1上：所在主机A对应的端口到OF交换机2所在端口；OF交换机2上：OF交换机1对应端口到OF交换机3所在端口；OF交换机3上：OF交换机2对应端口到主机B所在端口，共三条流表分别下发到OF交换机1、2、3。

然而，在上述packet_in上送的机制中，交换机会发出大量的packet_in报文给SDN控制器，使SDN控制器性能受限，降低网络规模。

其次，在上述SDN控制器向全网广播的机制中，SDN控制器产生大量广播报文，造成网络资源的浪费，对网络和控制器的资源造成压力，降低网络规模。

另外，在现有SDN网络架构下，云计算数据中心资源池管理系统(如Openstack、VMWare、微软、Citrix等)和数据中心网络脱节。例如，资源池进行主机创建、修改、删除时的操作信息无法传递给网络。

发明内容

(一)要解决的技术问题

本公开文本技术方案的目的是提供一种SDN的通信方法、系统、资源池管理系统、交换机及控制装置，能够避免SDN控制器发出的ARP广播，减少发送给SDN控制器的packet_in报文。

(二)技术方案

本公开文本实施例所提供的技术方案如下：

本公开文本提供一种软件定义网络的通信方法，用于一控制器，其中所述通信方法包括：

获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；

当第一虚拟机与第二虚拟机之间第一次通信时，将从所述网络属性中获得的租户网络拓扑信息翻译为流表；

将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的通信方法中，在获取所述网络属性之后还包括：为所述虚拟机对应的交换机之间建立逻辑隧道，用于使对应的交换机逻辑连接。

作为示例，在上述所述的通信方法中，将所述流表下发至所述虚拟机对应的交换机的步骤之后，还包括：所述交换机依据所述流表控制第一虚拟机与第二虚拟机之间的通信，具体包括：

接收第一虚拟机向第二虚拟机通信时的报文，当判断第一虚拟机与第二虚拟机之间为第一次通信时，则将所述报文转换为第一packet_in报文；

接收第一虚拟机向第二虚拟机通信时的报文，当判断第一虚拟机与第二虚拟机之间并非为第一次通信时：

匹配所述流表判断第一虚拟机与第二虚拟机之间为互通，将所述报文发送至第二虚拟机对应的交换机；

匹配所述流表判断第一虚拟机与第二虚拟机之间不能互通，直接将所述报文丢弃；

判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文。

作为示例，在上述所述的通信方法中，所述通信方法还包括：

接收交换机发送的上送报文；

当所述上送报文为第一packet_in报文时，则将所述租户网络拓扑信息翻译为流表；

当所述上送报文为第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机。

作为示例，在上述所述的通信方法中，所述获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性的步骤中，所述网络属性记载于网络信息表中，所述网络信息表由所述资源池管理系统根据所述网络属性创建。

作为示例，在上述所述的通信方法中，所述租户网络拓扑信息包括租户子网段互通策略信息、虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息，其中所述子网段互通策略信息是由用户通过所述资源池管理系统预先配置。

作为示例，在上述所述的通信方法中，所述网络属性包括资源池管理系统根据用户的操作所配置的虚拟机的IP地址、VLAN ID、VXLAN ID、隧道ID、VRF ID、虚拟机所在服务器主机的信息、服务器主机连接的物理交换机端口、租户网络拓扑信息。

本公开文本还提供一种软件定义网络的控制装置，包括一控制器，其中所述控制器包括：

数据接收模块，用于获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；

数据处理模块，用于当第一虚拟机与第二虚拟机之间第一次通信时，将从所述网络属性中获得的租户网络拓扑信息翻译为流表；

数据传输模块，用于将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的控制装置中，所述控制器还包括：

资源建立模块，用于为所述虚拟机对应的交换机之间建立逻辑隧道，使对应的交换机连接。

作为示例，在上述所述的控制装置中，所述数据接收模块还用于：接收交换机发送的上送报文；其中当所述上送报文为第一packet_in报文时，所述数据处理模块启动；所述第一packet_in报文为交换机接收第一虚拟机向第二虚拟机第一次通信的报文时，对所述报文进行转换所获得。

所述控制器还包括：

路径计算模块，用于当所述上送报文为第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机；其中当交换机接收第一虚拟机向第二虚拟机非第一次通信时的报文，判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文并发送至所述数据接收模块。

作为示例，在上述所述的控制装置中，所述数据接收模块从所述资源池管理系统获取网络信息表，所述网络属性记载于所述网络信息表中，所述网络信息表由所述资源池管理系统根据所述网络属性创建。

作为示例，在上述所述的控制装置中，所述租户网络拓扑信息包括租户子网段互通策略信息，虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息，其中所述子网段互通策略信息是由用户通过所述资源池管理系统预先配置。

作为示例，在上述所述的控制装置中，所述网络属性包括资源池管理系统根据用户的操作所配置虚拟机的IP地址、VLAN ID、VXLAN ID、隧道ID、VRF ID、虚拟机所在服务器主机的信息、服务器主机连接的物理交换机端口、租户网络拓扑信息。

本公开文本还提供另一种软件定义网络的通信方法，用于资源池管理系统，其中，所述通信方法包括：

根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源；

根据所述网络资源的信息生成网络属性；

将所述网络属性发送至控制器，使所述控制器能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的通信方法中，根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源的步骤包括：

根据用户对网络资源池的操作，在资源池配置对应所述操作的虚拟机；

根据资源池所配置的虚拟机，在由多台服务器主机和交换机构成的物理网络资源中，在其中至少一台服务器主机的物理端口和逻辑端口下，创建相同数量的虚拟机，并配置相应的网络资源。

作为示例，在上述所述的通信方法中，在根据所述网络资源的信息生成网络属性的步骤之后还包括：

根据所述网络属性形成网络信息表，通过将所述网络信息表发送至控制器，将所述网络属性发送至控制器。

本公开文本还提供一种资源池管理系统，包括：

资源管理模块，用于根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源；

属性生成模块，用于根据所述网络资源的信息生成网络属性；

信息发送模块，用于将所述网络属性发送至控制器，使所述控制器能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机，使使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的资源池管理系统中，所述资源管理模块包括：

计算资源管理单元，用于根据用户对网络资源池的操作，在资源池配置对应所述操作的虚拟机；

网络资源管理单元，用于根据资源池所配置的虚拟机，在由多台服务器主机和交换机构成的物理网络资源中，在其中至少一台服务器主机的物理端口和逻辑端口下，创建相同数量的虚拟机，并配置相应的网络资源。

本公开文本还提供另一种软件定义网络的通信方法，用于交换机，其中所述通信方法包括：

接收第一虚拟机向第二虚拟机通信时的报文；

从控制器获取用于使资源池管理系统根据用户对网络资源池的操作所配置虚拟机通信的流表，依据所述流表进行匹配，获得匹配结果，其中所述流表为控制器依据虚拟机的网络资源的租户网络拓扑信息生成；

根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的通信方法中，在所述接收第一虚拟机向第二虚拟机通信时的报文的步骤之后还包括：

判断第一虚拟机与所述第二虚拟机之间是否为第一次通信，当为第一次通信时，则将所述报文转换为第一packet_in报文并发送至控制器；当并非为第一次通信时，则向下执行步骤。

作为示例，在上述所述的通信方法中，在获得所述匹配结果的步骤之后还包括：

当根据匹配结果，判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

当根据匹配结果，判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向控制器发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到路径，形成第一虚拟机和第二虚拟机之间的流表。

本公开文本还提供一种交换机，包括：

报文获取模块，用于接收第一虚拟机向第二虚拟机通信时的报文；

匹配模块，用于从控制器获取用于使资源池管理系统根据用户对网络资源池的操作所配置虚拟机通信的流表，依据所述流表进行匹配，获得匹配结果，其中所述流表为控制器依据虚拟机的网络资源的信息生成；

第一报文处理模块，用于根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

作为示例，在上述所述的交换机中，所述交换机还包括：

判断模块，用于判断第一虚拟机与所述第二虚拟机之间是否为第一次通信；

报文转换模块，当为第一次通信时，则将所述报文转换为第一packet in报文并发送至控制器；当并非为第一次通信时，则将所述报文发送至所述匹配模块。

作为示例，在上述所述的交换机中，所述交换机还包括：

第二报文处理单元，用于当根据匹配结果判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

第三报文处理单元，用于当根据匹配结果判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向控制器发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表。

本公开文本还提供一种软件定义网络的通信系统，包括多台服务器主机，其中，还包括如上所述的控制装置、如上所述的资源池管理系统和如上所述的交换机，其中每一所述服务器主机与其中一所述交换机连接，所述交换机与所述控制装置，所述控制装置与所述资源池管理系统连接。

(三)有益效果

本公开文本具体实施例上述技术方案中的至少一个具有以下有益效果：

控制器根据所接收虚拟机的网络属性，掌握全网拓扑，相较于现有技术SDN架构，避免两虚拟机首次通信时，控制器向全网广播ARP消息，并使交换机存储流表，交换机根据流表能够直接判断出两虚拟机不能通信的情况，从而直接丢弃两虚拟机之间的报文，相对于现有技术，减少两虚拟机不能通信时发送给SDN控制器的packet_in报文，使SDN中的网络资源得到充分利用，缓解网络和控制器的资源压力。

附图说明

为了更清楚地说明本公开文本实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开文本的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术SDN网络架构举例的结构示意图；

图2为本公开文本具体实施例用于SDN的通信系统的架构示意图；

图3为本公开文本中所述资源池管理系统的结构及其与各部分之间连接关系的示意图；

图4为本公开文本中所述控制器的结构及其与各部分之间连接关系的示意图；

图5为本公开文本中所述交换机的结构及其与各部分之间连接关系的示意图；

图6为采用本公开文本所述通信系统的通信方法创建网络资源时的流程示意图；

图7为采用本公开文本所述通信系统的通信方法修改或删除网络资源时的流程示意图；

图8为本公开文本第一实施例所述通信方法的流程示意图；

图9为本公开文本第二实施例所述通信方法的流程示意图；

图10为本公开文本第三实施例所述通信方法的流程示意图。

具体实施方式

下面结合附图和实施例，对本公开文本的具体实施方式做进一步描述。以下实施例仅用于说明本公开文本，但不用来限制本公开文本的范围。

为使本公开文本实施例的目的、技术方案和优点更加清楚，下面将结合本公开文本实施例的附图，对本公开文本实施例的技术方案进行清楚、完整地描述。显然，所描述的实施例是本公开文本的一部分实施例，而不是全部的实施例。基于所描述的本公开文本的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本公开文本保护的范围。

除非另作定义，此处使用的技术术语或者科学术语应当为本公开文本所属领域内具有一般技能的人士所理解的通常意义。本公开文本专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。同样，“一个”或者“一”等类似词语也不表示数量限制，而是表示存在至少一个。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也相应地改变。

以下结合附图对本公开文本的原理和特征进行描述，所举实例只用于解释本公开文本，并非用于限定本公开文本的范围。

本公开文本具体实施例所述SDN的通信方法，用于一控制器，包括步骤：

将所述流表下发至所述虚拟机对应的交换机，使所述交换机依据所述流表控制第一虚拟机与第二虚拟机之间的通信。

本公开文本实施例所述通信方法，将资源池管理系统为用户虚拟机所配置网络资源的网络属性发送至控制器，并通过控制器将从网络属性中获得的租户网络拓扑信息翻译获得的流表下发至交换机，使交换机依据所述流表控制第一虚拟机与第二虚拟机之间的通信。例如，第一虚拟机和第二虚拟机通信时，交换机匹配所保存的流表以确认第一虚拟机和第二虚拟机之间的网段能否互通，如果区配流表判断能够互通，可以使该两个虚拟机之间通信；如果匹配流表判断不能互通，则直接丢弃两虚拟机之间通信的报文，如果不存在能够匹配的流表，则将两虚拟机之间通信的报文转换成packet_in报文发送给控制器，控制器根据网络信息表计算端到端路径，并下发给相应的交换机。

采用上述通信方法，控制器根据所接收虚拟机的网络属性，掌握全网拓扑，相较于现有技术SDN架构，避免两虚拟机首次通信时，控制器向全网广播ARP消息，并使交换机存储流表，交换机根据流表能够直接判断出两虚拟机不能通信的情况，从而直接丢弃两虚拟机之间的报文，相对于现有技术，减少两虚拟机不能通信时，且减少发送给SDN控制器的packet_in报文，使SDN中的网络资源得到充分利用，缓解网络和控制器的资源压力。

本公开文本上述的租户网络拓扑信息，包括租户子网段互通策略信息，虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息，其中所述子网段互通策略信息是由用户通过所述资源池管理系统预先配置。

以下结合图2所示本公开文本具体实施例用于SDN的通信系统的架构示意图，对本公开文本具体实施例的通信系统及通信方法进行说明。

根据图2，本公开文本实施例用于SDN的通信系统包括：资源池管理系统10、控制器20、交换机30和服务器主机40。其中资源池管理系统10与用户端50连接，用户端50可以通过该资源池管理系统10创建、修改或删除所使用的网络资源；控制器20与资源池管理系统10连接，并与交换机30连接，服务器主机40分别对应连接一交换机30。

如图3所示，所述资源池管理系统10包括：

信息发送模块，用于将所述网络属性发送至控制器20，使所述控制器20能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机30，使所述虚拟机之间依据所述流表进行通信。具体地，当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

具体地，所述资源管理模块包括：

上述结构的资源池管理系统10为用户端50提供运营管理界面，通过该运营管理界面，用户端50可以申请创建、修改和删除所属的网络资源。上述中所提及的所述资源池管理系统10为用户配置虚拟机，包括创建、修改和删除相应的虚拟机及网络资源。当用户端50在运营管理界面上的操作请求被批准后，资源池管理系统10的计算资源管理单元根据用户在运营管理界面上对网络资源池的操作，在资源池配置对应该操作的虚拟机，其中包括删除旧的虚拟机以及创建新的虚拟机等；同时，该计算资源管理单元通知网络资源管理单元，使网络资源管理单元根据在资源池所配置的虚拟机，在一台或多台服务器主机的物理端口和逻辑端口下，创建相同数量的虚拟机，并为该些虚拟机配置相应的网络资源，为该用户端生成逻辑网络并在服务器主机40的端口上生成虚机。

举例说明，以用户端的操作为创建虚拟机为例，如图2所示，对于第一用户端(租户1)，分别在交换机A、交换机B和交换器C相连接的服务器主机40的物理端口和逻辑端口上创建虚拟机VM1至VM3(在图2中以横向填充线表示租户1的虚拟机)；对于第二用户端(租户2)，也分别在交换机A、交换机B和交换器C相连接的服务器主机40的物理端口和逻辑端口上创建虚拟机VM1至VM3(在图2中以竖直填充线表示租户1的虚拟机)。

其中，根据图2的实线连接线，交换机A、交换机B、交换机C和交换机D之间具有对应的物理连接。

此外，控制器20可以为所述虚拟机对应的交换机之间建立逻辑隧道，用于使对应的交换机逻辑连接，如图2的虚线连接线。

根据以上的结构，资源池管理系统10为用户端对应的虚拟机配置网络资源，该些网络资源包括：IP地址、VLAN ID、VXLAN ID、隧道ID、VRF ID、虚拟机所在服务器主机的信息、服务器主机连接的物理交换机端口、租户网络拓扑信息等。此外，用户端可以通过资源池管理系统10的运营管理界面自配置同网段或跨网段虚拟机之间的访问策略，形成子网段互通策略信息，该子网段互通策略信息、虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息的组合，构成为租户网络拓扑信息，租户网络拓扑信息与上述信息的组合，构成为虚拟机的网络属性。

作为示例，所述资源池管理系统10将上述网络属性记载于一网络信息表中，也即通过该网络信息表记录用户端对应虚拟机所在的服务器主机40的信息、该服务器主机40相对应的交换机30的信息、各对应交换机30之间的连接信息以及访问策略信息(子网段互通策略信息)。

具体地，所述网络信息表中所保存内容如下表1所示：

表1

用户名称
用户名称	用户子网段
子网段互通策略	用户子网段
子网段互通策略	虚拟机名称
虚拟机MAC	虚拟机名称
虚拟机MAC	虚拟机IP
所在服务器主机	虚拟机IP
所在服务器主机	所用物理端口
所用逻辑端口	所用物理端口
所用逻辑端口	服务器主机MAC
服务器主机IP	服务器主机MAC
服务器主机IP	服务器主机所连交换机

所述网络信息表中保存的以上内容仅为举例说明，并不限于仅包括该些内容。

数据处理模块将包括以上内容的网络信息表发送至控制器20，结合图4，并参阅图2，所述控制器20包括：

数据接收模块，用于获取资源池管理系统10根据用户对网络资源池的操作所配置的虚拟机的网络属性；

数据传输模块，用于将所述流表下发至所述虚拟机对应的交换机30，使所述交换机30依据所述流表控制第一虚拟机与第二虚拟机之间的通信。具体地，当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

所述控制器还包括：

资源建立模块，用于为所述虚拟机对应的交换机之间建立逻辑隧道，使对应的交换机30连接。

另外，所述数据接收模块还用于：接收交换机发送的上送报文；其中当所述上送报文为第一packet_in报文时，所述数据处理模块启动；所述第一packet_in报文为交换机接收第一虚拟机向第二虚拟机第一次通信的报文时，对所述报文进行转换所获得。

所述控制器还包括：

路径计算模块，用于当所述上送报文为交换机发送的第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机；其中当交换机接收第一虚拟机向第二虚拟机非第一次通信时的报文，判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文并发送至数据接收模块。

基于控制器20的上述结构，控制器20的数据接收模块从数据处理模块10获取上述网络信息表，资源建立模块根据网络信息表为用户端所配置虚拟机的对应交换机之间建立逻辑隧道，使对应的交换机连接，在没有用户端所配置虚拟机的交换机之间不建立逻辑隧道，其中该交换机包括物理交换机和虚拟交换机。

另外，当第一虚拟机与第二虚拟机之间第一次通信时，所述控制器20的数据处理模块从该网络信息表中获得租户网络拓扑信息，并将该租户网络拓扑信息翻译为对应的一条或几条流表，数据传输模块将该些流表下发至为用户端所配置虚拟机的对应交换机。

结合图5，所述交换机30包括：

报文处理模块，用于根据匹配结果，控制第一虚拟机与第二虚拟机之间的通信。

所述报文处理模块包括第一报文处理模块，用于用根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

此外，所述交换机还包括：

报文转换模块，当为第一次通信时，则将所述报文转换为第一packet_in报文并发送至控制器；当并非为第一次通信时，则将所述报文发送至所述匹配模块。

具体地，所述报文处理模块包括：

第二报文处理单元，用于当匹配结果判断判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

第三报文处理单元，用于当匹配结果判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向外发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表。

所述交换机30利用上述的结构，当判断第一虚拟机与第二虚拟机之间为第一次通信时，则将所述报文转换为第一packet_in报文并发送至控制器，从控制器20获得流表，依据该流表进行匹配，判断第一虚拟机与第二虚拟机之间是否能够通信；当判断第一虚拟机与第二虚拟机之间并非为第一次通信时，则直接根据所述流表进行匹配。

例如当用户端1的第一虚拟机和第二虚拟机通信时，当判断第一虚拟机与第二虚拟机之间并非为第一次通信时，交换机30的匹配模块首先对用户端1对应的流表进行匹配，获得一匹配结果。该匹配结果具备至少三种情况，第一种：根据所述流表，规定第一虚拟机与第二虚拟机之间为互通；第二种：根据所述流表，规定第一虚拟机与第二虚拟机之间不能互通；第三种：不存在记录第一虚拟机和第二虚拟机之间是否互通的流表。

对于上述的第一种匹配结果，交换机30由第一报文处理单元将所述报文发送至第二虚拟机对应的交换机，使第一虚拟机和第二虚拟机之间建立业务连接。

对于上述的第二种匹配结果，交换机30由第二报文处理单元直接将所接收到的报文丢弃。

对于上述的第三种匹配结果，交换机30由第三报文处理单元将所接收到的报文转换为第二packet_in报文并发送至控制器处，使控制器20由路径计算模块获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表。

此外，当为上述的第三种匹配结果时，所述交换机30还用于接收控制器的路径计算模块根据第二packet_in报文形成的流表。

图6为采用本公开文本具体实施例所述通信系统的工作流程示意图，以用户端在资源池管理系统上对所需要的网络资源进行创建为例，包括步骤：

S601，用户端在资源池管理系统上对所需要的网络资源进行创建操作；

S602，资源池管理系统10根据用户端的操作，为虚拟机配置相应的网络属性，并以“网络信息表”的形式将该网络属性进行存储并发送给控制器20；

S603，交换机30接收第一虚拟机向第二虚拟机通信的报文，判断是否为第一次通信；当为第一次通信时，交换机30将报文转换为第一packet_in报文发送到控制器20，并向下步骤S604；当并非为第一次通信时，则向下执行步骤S605；

S604，控制器20将网络信息表中的租户网络拓扑信息翻译为流表，并将流表下发至交换机30，交换机30对流表进行保存；

S605，交换机30匹配保存的流表以确认第一虚拟机和第二虚拟机之间的网段是否能互通；如果能互通则将所述报文发送至第二虚拟机对应的交换机，不能互通则直接丢弃报文，当不存在能够匹配的流表时，则将报文转换成第二packet_in报文发送给控制器20，使控制器30根据packet_in报文计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并下发到交换机。

以上针对用户对资源池管理系统上的网络资源进行创建时的过程进行了描述，同理当用户对资源池管理系统上的网络资源进行修改或删除时，如图7所示，主要包括步骤：

用户端在资源池管理系统上对网络资源进行修改或删除操作；

资源池管理系统根据用户端的操作，调整或删除该用户端的虚拟机，并修改网络信息表，并将修改后的网络信息表发送至控制器，控制器会将网络信息表有修改的信息发送至交换机；

当交换机接收到第一虚拟机向第二虚拟机发送的报文时，根据修改后的网络信息表控制两虚拟机之间的通信，具体方式与虚拟机创建时的步骤相同，可以参阅图6步骤S603至S605的具体描述。

因此，通过具备上述结构的资源池管理系统10、控制器20和交换机30的协同工作，能够根据用户端的操作感知虚拟机的网络属性，在网络资源上作出对应的变化，控制器掌握全网拓扑，相较于现有技术SDN架构，避免两虚拟机首次通信时，控制器向全网广播ARP消息，并减少发送给SDN控制器的packet_in报文，使SDN中的网络资源得到充分利用，缓解网络和控制器的资源压力。

根据以上本公开文本的工作原理以及结构的描述，本公开文本具体实施例提供一种具备上述结构的通信系统，所述通信系统的构成可以结合图2至图6参阅以上的描述，在此不再赘述。

此外，本公开文本还提供一种SDN的通信方法，用于一控制器，如图8，并结合图2，所述通信方法包括：

S701，获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；

S702，当第一虚拟机与第二虚拟机之间第一次通信时，将从所述网络属性中获得的租户网络拓扑信息翻译为流表；

S703，将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

具体地，在步骤S701之后还包括：为所述虚拟机对应的交换机之间建立逻辑隧道，用于使对应的交换机逻辑连接。

此外，将所述流表下发至所述虚拟机对应的交换机的步骤之后，还包括：所述交换机依据所述流表控制第一虚拟机与第二虚拟机之间的通信，具体包括：

判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文并向外发送。

进一步，在步骤S703之后，所述通信方法还包括：

接收交换机发送的上送报文；

当所述上送报文为第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机。

作为示例，在步骤S701中，所述网络属性记载于网络信息表中，所述网络信息表由所述资源池管理系统根据所述网络属性创建。

进一步，本公开文本还提供另一种SDN的通信方法，用于资源池管理系统，参阅图9，并结合图2，所述通信方法包括：

S801，根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源；

S802，根据所述网络资源的信息生成网络属性；

S803，将所述网络属性发送至控制器，使所述控制器能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

具体地，所述S801的步骤包括：

在S801的步骤之后还包括：

本公开文本的另一方面，还提供另一种软件定义网络的通信方法，用于交换机，根据图10并结合图2，所述通信方法包括：

S901，接收第一虚拟机向第二虚拟机通信时的报文；

S902，从控制器获取用于使资源池管理系统根据用户对网络资源池的操作所配置虚拟机通信的流表，依据所述流表进行匹配，获得匹配结果，其中所述流表为控制器依据虚拟机的网络资源的租户网络拓扑信息生成；

S903，根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。

所述S901的步骤之后，还包括：

具体地，所述S902的步骤之后还包括：

当匹配结果判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

当匹配结果判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向控制器发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到路径，形成第一虚拟机和第二虚拟机之间的流表。

采用本公开文本具体实施例所述的通信方法，能够避免控制器向全网广播ARP消息，并减少发送给SDN控制器的packet_in报文，使SDN中的网络资源得到充分利用，缓解网络和控制器的资源压力。

以上所述是本公开文本的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本公开文本所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本公开文本的保护范围。

Claims

一种软件定义网络的通信方法，用于一控制器，所述通信方法包括：

获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；

当第一虚拟机与第二虚拟机之间第一次通信时，将从所述网络属性中获得的租户网络拓扑信息翻译为流表；以及

将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求1所述的通信方法，其中，在获取所述网络属性之后还包括：为所述虚拟机对应的交换机之间建立逻辑隧道，用于使对应的交换机逻辑连接。
如权利要求1所述的通信方法，其中，将所述流表下发至所述虚拟机对应的交换机的步骤之后，还包括：所述交换机依据所述流表控制第一虚拟机与第二虚拟机之间的通信，具体包括：

接收第一虚拟机向第二虚拟机通信时的报文，当判断第一虚拟机与第二虚拟机之间为第一次通信时，则将所述报文转换为第一packet_in报文；

接收第一虚拟机向第二虚拟机通信时的报文，当判断第一虚拟机与第二虚拟机之间并非为第一次通信时：

匹配所述流表判断第一虚拟机与第二虚拟机之间为互通，将所述报文发送至第二虚拟机对应的交换机；

匹配所述流表判断第一虚拟机与第二虚拟机之间不能互通，直接将所述报文丢弃；

判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文。
如权利要求3所述的通信方法，还包括：

接收交换机发送的上送报文；

当所述上送报文为第一packet_in报文时，则将所述租户网络拓扑信息翻译为流表；以及

当所述上送报文为第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机。
如权利要求1所述的通信方法，其中，所述获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性的步骤中，所述网络属性记载于网络信息表中，所述网络信息表由所述资源池管理系统根据所述网络属性创建。
如权利要求1所述的通信方法，其中，所述租户网络拓扑信息包括租户子网段互通策略信息、虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息，其中所述子网段互通策略信息是由用户通过所述资源池管理系统预先配置。
如权利要求1所述的通信方法，其中，所述网络属性包括资源池管理系统根据用户的操作所配置的虚拟机的IP地址、VLAN ID、VXLAN ID、隧道ID、VRF ID、虚拟机所在服务器主机的信息、服务器主机连接的物理交换机端口、租户网络拓扑信息。
一种软件定义网络的控制装置，所述控制装置包括一控制器，所述控制器包括：

数据接收模块，用于获取资源池管理系统根据用户对网络资源池的操作所配置的虚拟机的网络属性；

数据处理模块，用于当第一虚拟机与第二虚拟机之间第一次通信时，将从所述网络属性中获得的租户网络拓扑信息翻译为流表；以及

数据传输模块，用于将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求8所述的控制装置，其中，所述控制器还包括：

资源建立模块，用于为所述虚拟机对应的交换机之间建立逻辑隧道，使对应的交换机连接。
如权利要求8所述的控制装置，其中，所述数据接收模块还用于：接收交换机发送的上送报文；其中当所述上送报文为第一packet_in报文时，所述数据处理模块启动；所述第一packet_in报文为交换机接收第一虚拟机向第二虚拟机第一次通信的报文时，对所述报文进行转换所获得；

所述控制器还包括：

路径计算模块，用于当所述上送报文为第二packet_in报文时，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表，并分别发送给第一虚拟机和第二虚拟机对应的交换机；其中当交换机接收第一虚拟机向第二虚拟机非第一次通信时的报文，判断第一虚拟机与第二虚拟机没有所匹配的所述流表时，将所述报文转换为第二packet_in报文并发送至所述数据接收模块。
如权利要求8所述的控制装置，其中，所述数据接收模块从所述资源池管理系统获取网络信息表，所述网络属性记载于所述网络信息表中，所述网络信息表由所述资源池管理系统根据所述网络属性创建。
如权利要求8所述的控制装置，其中，所述租户网络拓扑信息包括租户子网段互通策略信息，虚拟机所在服务器主机的位置信息和虚拟机所连接交换机的信息，其中所述子网段互通策略信息是由用户通过所述资源池管理系统预先配置。
如权利要求8所述的控制装置，其中，所述网络属性包括资源池管理系统根据用户的操作所配置虚拟机的IP地址、VLAN ID、VXLAN ID、隧道ID、VRF ID、虚拟机所在服务器主机的信息、服务器主机连接的物理交换机端口、租户网络拓扑信息。
一种软件定义网络的通信方法，用于资源池管理系统，所述通信方法包括：

根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源；

根据所述网络资源的信息生成网络属性；以及

将所述网络属性发送至控制器，使所述控制器能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求14所述的通信方法，其中，根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源的步骤包括：

根据用户对网络资源池的操作，在资源池配置对应所述操作的虚拟机；

根据资源池所配置的虚拟机，在由多台服务器主机和交换机构成的物理网络资源中，在其中至少一台服务器主机的物理端口和逻辑端口下，创建相同数量的虚拟机，并配置相应的网络资源。
如权利要求14所述的通信方法，其中，在根据所述网络资源的信息生成网络属性的步骤之后还包括：

根据所述网络属性形成网络信息表，通过将所述网络信息表发送至控制器，将所述网络属性发送至控制器。
一种资源池管理系统，包括：

资源管理模块，用于根据用户对网络资源池的操作配置虚拟机，为所述虚拟机配置网络资源；

属性生成模块，用于根据所述网络资源的信息生成网络属性；以及

信息发送模块，用于将所述网络属性发送至控制器，使所述控制器能够从所述网络属性获得租户网络拓扑信息，并当第一虚拟机与第二虚拟机之间第一次通信时，能够将所述租户网络拓扑信息翻译为流表，将所述流表下发至所述虚拟机对应的交换机，使得当所述交换机依据所述流表判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求17所述的资源池管理系统，其中，所述资源管理模块包括：

计算资源管理单元，用于根据用户对网络资源池的操作，在资源池配置对应所述操作的虚拟机；

网络资源管理单元，用于根据资源池所配置的虚拟机，在由多台服务器主机和交换机构成的物理网络资源中，在其中至少一台服务器主机的物理端口和逻辑端口下，创建相同数量的虚拟机，并配置相应的网络资源。
一种软件定义网络的通信方法，用于交换机，所述通信方法包括：

接收第一虚拟机向第二虚拟机通信时的报文；

从控制器获取用于使资源池管理系统根据用户对网络资源池的操作所配置虚拟机通信的流表，依据所述流表进行匹配，获得匹配结果，其中所述流表为控制器依据虚拟机的网络资源的租户网络拓扑信息生成；以及

根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求19所述的通信方法，其中，在所述接收第一虚拟机向第二虚拟机通信时的报文的步骤之后还包括：

判断第一虚拟机与所述第二虚拟机之间是否为第一次通信，当为第一次通信时，则将所述报文转换为第一packet_in报文并发送至控制器；当并非为第一次通信时，则向下执行步骤。
如权利要求19所述的通信方法，其中，在获得所述匹配结果的步骤之后还包括：

当根据匹配结果，判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

当根据匹配结果，判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向控制器发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到路径，形成第一虚拟机和第二虚拟机之间的流表。
一种交换机，包括：

报文获取模块，用于接收第一虚拟机向第二虚拟机通信时的报文；

匹配模块，用于从控制器获取用于使资源池管理系统根据用户对网络资源池的操作所配置虚拟机通信的流表，依据所述流表进行匹配，获得匹配结果，其中所述流表为控制器依据虚拟机的网络资源的信息生成；以及

第一报文处理模块，用于根据匹配结果，判断第一虚拟机与第二虚拟机之间不能通信时，在第一次通信及后续通信中，直接丢弃第一虚拟机与第二虚拟机之间的报文。
如权利要求22所述的交换机，还包括：

判断模块，用于判断第一虚拟机与所述第二虚拟机之间是否为第一次通信；

报文转换模块，当为第一次通信时，则将所述报文转换为第一packet_in报文并发送至控制器；当并非为第一次通信时，则将所述报文发送至所述匹配模块。
如权利要求22所述的交换机，还包括：

第二报文处理单元，用于当根据匹配结果判断第一虚拟机与第二虚拟机之间为互通时，将所述报文发送至第二虚拟机对应的交换机；

第三报文处理单元，用于当根据匹配结果判断第一虚拟机与第二虚拟机没有相匹配的所述流表时，将所述报文转换为第二packet_in报文并向控制器发送，使控制器获取所述第二packet_in报文，根据第一虚拟机和第二虚拟机分别对应服务器主机的信息计算端到端路径，形成第一虚拟机和第二虚拟机之间的流表。
一种软件定义网络的通信系统，包括多台服务器主机，其中，还包括如权利要求8至13任一项所述控制装置、如权利要求17或18所述的资源池管理系统和如权利要求22至24任一项所述的交换机，其中每一所述服务器主机与其中一所述交换机连接，所述交换机与所述控制装置，所述控制装置与所述资源池管理系统连接。