WO2016078260A1

WO2016078260A1 - 一种从控制平面和数据平面访问交换机外存的方法

Info

Publication number: WO2016078260A1
Application number: PCT/CN2015/074086
Authority: WO
Inventors: 王玲芳; 王劲林; 齐卫宁
Original assignee: 中国科学院声学研究所; 北京中科智网科技有限公司
Priority date: 2014-11-19
Filing date: 2015-03-12
Publication date: 2016-05-26
Also published as: US20170310676A1; CN105635086A; JP6378841B2; KR101907903B1; JP2017536766A; CN105635086B; EP3211851B1; EP3211851A4; KR20170086495A; EP3211851A1

Abstract

本发明涉及一种从控制平面和数据平面访问交换机外存的方法，包括：控制模块向交换机下发被授权实体与被授权操作的信息，交换机接收这些被授权信息后存储；交换机接收文件I/O操作指令，根据该指令以及被授权信息确定操作实体是否具有该文件I/O操作指令的权限；对所述文件I/O操作指令有权限的操作实体，所述交换机从所述文件I/O操作指令中提取指令索引与参数，执行文件I/O操作。

Description

一种从控制平面和数据平面访问交换机外存的方法

技术领域

本发明涉及网络技术领域，特别涉及一种从控制平面和数据平面访问交换机外存的方法。

背景技术

自2008年以来，网络界围绕SDN(软件定义网络)展开研究，开始了新一轮的创新热潮。SDN的提出，最早的出发点是为了应付网络故障或网络攻击，在互联网的分布式路由架构下，出现网络故障或攻击之后，很难从一个点启动整个网络，而且路由的交换是不受中心控制的，路由收敛时间在分钟量级，这远远不能满足快速响应。因此，就有研究人员提出一个中心控制点向路由交换设备下发控制策略和路由的观点，这就是SDN。

SDN提出之后，就有必要以实际设备/协议/网络/应用作为验证，在此情况下出现了ONF的OpenFlow。OpenFlow涉及到控制器、交换机两种实体，OpenFlow是控制器的南向接口，与交换机通信，传递控制信息、数据和状态等。最初，OpenFlow被用于校园网、企业网、数据中心网络，优化其控制过程和数据流量路径，增强管理控制。后来由于其控制网络的灵活性，网络研究人员用之进行未来网络架构和协议的研究，因此就出现了华为公司的协议无感知转发(POF)和美国以Nick Mckeown为首的P4语言。围绕OpenFlow展开的研究，将可能涉及三个方面：控制器、线协议和交换机，其中控制器体现控制平面，交换机是数据平面，线协议是联系二者的桥梁。OpenFlow的核心重点是网络的可编程，前期强调的是控制平面的可编程，目前开始转入数据平面的可编程。

在数据平面的可编程方面，关注点在交换机的计算资源、网络资源的利用方面，缺乏存储资源方面的有效方法。现有技术中的交换机无法解决存储资源控制的问题，无法有效地从控制平面和数据平面访问交换机外存。

发明内容

本发明的目的在于克服现有技术中无法有效地从控制平面和数据平面访问交换机外存的缺陷，从而提供一种能够从控制平面和数据平面访问交换机外存的方法。

为了实现上述目的，本发明提供了一种从控制平面和数据平面访问交换机外存的方法，包括：

步骤1)、控制模块向交换机下发被授权实体与被授权操作的信息，交换机接收这些被授权信息后存储；

步骤2)、交换机接收文件I/O操作指令，根据该指令以及步骤1)所得到的被授权信息确定操作实体是否具有该文件I/O操作指令的权限；

步骤3)、对所述文件I/O操作指令有权限的操作实体，所述交换机从所述文件I/O操作指令中提取指令索引与参数，执行文件I/O操作。

上述技术方案中，在步骤1)中，被授权实体与被授权操作的信息通过被授权操作列表的方式下发给交换机；其中，所述被授权操作列表采用POSIX.1中定义的文件操作集合实现。

上述技术方案中，所述步骤2)进一步包括：

交换机接收到文件I/O操作指令后，从该指令中提取操作实体以及文件I/O操作指令索引，将从指令中所提取的信息与步骤1)中交换机所存储的被授权信息进行比较，判断操作实体是否有该文件I/O操作指令的权限，如果有，则执行步骤3)，否则拒绝操作，并生成拒绝报文，发回文件I/O操作指令的发送方。

上述技术方案中，所述步骤3)进一步包括：交换机从所接收到的文件I/O操作指令中提取文件I/O操作指令索引和参数，根据所提取的结果调用对应的本地文件I/O操作指令，生成相应的操作结果，最后将操作结果封装成报文后返回调用方。

本发明的优点在于：

本发明解决了目前控制平面和数据平面不能访问可编程交换机外存的问题。

附图说明

图1是控制器与交换机(含外存)的连接关系示意图；

图2是交换机内部文件I/O模块图；

图3是本发明方法中访问授权过程的流程图；

图4是本发明方法中文件I/O操作控制过程的流程图；

图5是本发明方法中文件I/O操作执行过程的流程图；

图6是在一个NDN节点处的转发进程的示意图。

具体实施方式

现结合附图对本发明作进一步的描述。

本发明的从控制平面和数据平面访问交换机外存的方法涉及如下实体：控制模块、交换机。所述控制模块可以是控制器或应用，其中，所述控制器与OpenFlow中的控制器在功能上相近似，其除了要承担OpenFlow中的控制器所承担的角色外，还具有交换机外存的访问授权控制、定义特定协议访问交换机外存的动作等功能。所述交换机与OpenFlow中的交换机在功能上相近似，其除了要承担OpenFlow中的交换机所承担的角色外，该交换机还带有外存设备，并具有对外存设备实施访问操作的功能。如图1所示，控制模块与交换机之间通过线协议通信。

交换机与外存设备之间可采用IDE、SATA、光纤通道、SCSI等总线方式进行通信，如图2所示，在交换机操作系统中可采用VFS/文件系统/设备标识/设备驱动的方法实现本地访问，也可采用VFS直接映射到设备驱动的方法实现本地访问。交换机与外存设备之间如何通信不是本发明的内容，此处不再做详细说明。

本发明的从控制平面和数据平面访问交换机外存的方法包括：

步骤1)、参见图3，控制模块向交换机下发被授权实体与被授权操作的信息，交换机接收这些被授权信息后存储。

本步骤中所涉及的被授权实体可以是交换机中所执行的某一应用程序或协议，被授权的操作可以是包括读、写、删除等操作在内的多种操作。作为一种可选的实现方式，所述被授权实体、被授权操作的信息通过被授权操作列表的方式下发给交换机。被授权操作列表可采用POSIX.1中定义的或自定义的文件操作集合实现，可以是其子集或全集，采用二进制映射表的方式加以表示，若相应位为1表示授权，若为0表示没有授权，这可大幅度降低控制模块向交换机下发被授权操作列表的规模。被授权操作列表也可采用文本串的方法，但这样会增加开销。

步骤2)、参见图4，交换机接收到文件I/O操作指令后，从该指令中提取操作实体以及文件I/O操作指令索引(索引为指令所对应的二进制映射码)，将从指令中所提取的信息与步骤1)中交换机所存储的被授权信息进行比较，判断操作实体是否有该文件I/O操作指令的权限，如果有，则执行下一步，否则拒绝操作，并生成拒绝报文，发回文件I/O操作指令的发送方。

步骤3)、参见图5，交换机从所接收到的文件I/O操作指令中提取文件I/O操作指令索引和参数，根据所提取的结果调用对应的本地文件I/O操作指令，生成相应的操作结果，最后将操作结果封装成报文后返回调用方。

为了便于理解，在下面的实施例中，将结合一个具体的实例对本发明的方法做详细说明。

如图6所示，在命名数据联网的NDN节点中，Content Store表中的Data部分需要外存设备的支持，假定数据以文件方式存储。在这一场景中，假定采用SDN方法开发NDN协议，并假定交换机中采用以太网报文，在以太网报文中NDN对应的类型字段Ethertype为0x8099(仅做举例说明之用)。下面结合这种场景说明本发明的方法。

控制模块将访问被授权实体(即Ethertype＝0x8099)授权对其目录下的文件读、写、删除操作(其他操作默认为禁止)(假定授权映射表为32位，每位对应一项操作，且这三项操作在最高字节，则对应的16进制为0xe0000000)。控制模块将授权信息“Ethertype＝0x8099，PermittedOperation＝0xe0000000”以被授权操作列表的方式通过安全信道传递给交换机，交换机将被授权实体的标识Ethertype＝0x8099和被允许操作码PermittedOperation＝0xe0000000存储。

假定交换机接收到Ethertype＝0x8099的报文，即NDN的报文；同时在匹配动作表(SDN南向接口协议Openflow中的表格，包含字段名、值、动作(action)等信息)中的动作要求将该报文的净荷部分写入本地文件。交换机接到文件写操作时，提取操作实体(即NDN)、文件写操作指令索引，检查被授权列表，发现NDN的文件读操作指令是允许的，则执行文件I/O操作。

交换机提取到文件写操作指令索引和报文净荷，调用本地文件写操作指令执行写操作，并将操作结果封装成报文，返回匹配动作表中的动作调用方。

如果在动作要求中是目录创建操作，则交换机接到目录创建操作时，提取操作实体(即NDN)、目录操作指令索引，检查被授权列表，发现NDN的目录创建操作指令是禁止的，则拒绝操作，并生成拒绝报文，发回匹配动作表中的动作调用方。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims

一种从控制平面和数据平面访问交换机外存的方法，包括：

步骤1)、控制模块向交换机下发被授权实体与被授权操作的信息，交换机接收这些被授权信息后存储；

步骤2)、交换机接收文件I/O操作指令，根据该指令以及步骤1)所得到的被授权信息确定操作实体是否具有该文件I/O操作指令的权限；

步骤3)、对所述文件I/O操作指令有权限的操作实体，所述交换机从所述文件I/O操作指令中提取指令索引与参数，执行文件I/O操作。
根据权利要求1所述的从控制平面和数据平面访问交换机外存的方法，其特征在于，在步骤1)中，被授权实体与被授权操作的信息通过被授权操作列表的方式下发给交换机；其中，所述被授权操作列表采用POSIX.1中定义的文件操作集合实现。
根据权利要求1所述的从控制平面和数据平面访问交换机外存的方法，其特征在于，所述步骤2)进一步包括：

交换机接收到文件I/O操作指令后，从该指令中提取操作实体以及文件I/O操作指令索引，将从指令中所提取的信息与步骤1)中交换机所存储的被授权信息进行比较，判断操作实体是否有该文件I/O操作指令的权限，如果有，则执行步骤3)，否则拒绝操作，并生成拒绝报文，发回文件I/O操作指令的发送方。
根据权利要求1所述的从控制平面和数据平面访问交换机外存的方法，其特征在于，所述步骤3)进一步包括：交换机从所接收到的文件I/O操作指令中提取文件I/O操作指令索引和参数，根据所提取的结果调用对应的本地文件I/O操作指令，生成相应的操作结果，最后将操作结果封装成报文后返回调用方。