一种流偏转能力被提供用于偏转在软件定义的网络(SDN)内的数据流,以便为所述SDN提供安全性。基于与第一网络单元相关联的状况(例如TCAM利用状况、CPU利用状况等)的检测,生成用于所述SDN的第一网络单元的流转发规则。所述流转发规则由所述SDN的控制单元或所述SDN的第一网络单元生成。所述流转发规则指示在第一网络单元处接收的新的流请求的至少一部分将从第一网络单元转发到所述SDN的第二网络单元。所述流转发规则可指定完全的流偏转或选择性的流偏转。
【技术实现步骤摘要】
【国外来华专利技术】
本公开一般地涉及通信网络,并且更具体但不排他地涉及提供在软件定义的网络(SDN)中的安全性。
技术介绍
软件定义的网络(SDN)是一种计算机网络,在其中控制平面与数据平面分离。一般地,在SDN中,数据平面使用转发单元(例如交换机、路由器等)来实现,而控制平面使用与转发单元分离的一个或多个控制单元(例如服务器等)来实现。
技术实现思路
用于提供在软件定义的网络(SDN)中的安全性的实施例解决了现有技术中的多种缺陷。在一个实施例中,装置包括处理器和通信地连接到所述处理器的存储器,其中所述处理器被配置以基于在SDN的第一网络单元处的资源利用状况的检测,生成指示在SDN的第一网络单元处接收的新的流请求的至少一部分将从SDN的第一网络单元转发到SDN的第二网络单元的流转发规则。在一个实施例中,方法包括使用处理器来基于在SDN的第一网络单元处的资源利用状况的检测,生成指示在SDN的第一网络单元处接收的新的流请求的至少一部分将从SDN的第一网络单元转发到SDN的第二网络单元的流转发规则。在一个实施例中,装置包括处理器和通信地连接到所述处理器的存储器,其中所述处理器被配置以基于指示在第一网络单元处接收的新的流请求的至少一部分将从第一网络单元转发到第二网络单元的流转发规则,接收在SDN的第一网络单元处的新的流请求,并且从所述第一网络单元向SDN的第二网络转发所述新的流请求。在一个实施例中,方法包括使用处理器来在SDN的第一网络单元处接收新的流请求,并且基于指示在第一网络单元处接收的新的流请求的至少一部分将从第一网络单元转发到第二网络单元的流转发规则,从第一网络单元向SDN的第二网络转发新的流请求。【附图说明】通过结合附图考虑以下详细的描述,本文的教导可以容易被理解,在其中:图1示出了包括实施为软件定义的网络(SDN)的数据中心网络的数据中心环境的高级框图;图2示出了图1的数据中心网络的相邻网络单元中相对低的资源消耗相关性的示例性累积分布函数;图3示出了响应于检测在网络单元处的资源利用状况,用于使用在网络单元处的流偏转的方法的一个实施例;以及图4示出了适于在执行本文所述功能中使用的计算机的高级框图。为便于理解,已使用相同的参考标记,其在可能的情况下指示为附图所共用的相同单元。【具体实施方式】一般地,流偏转能力被提供用于偏转在软件定义的网络(SDN)内的数据流以便提供用于SDN的安全性。图1示出包括实施为软件定义的网络(SDN)的数据中心网络的数据中心环境的高级框图。如在图1中所示,数据中心环境100包括数据中心102。数据中心102包括多个主机服务器110 (统称为主机服务器110)和数据中心网络120。主机服务器110被配置以支持相应的多个虚拟机(VM) 112。应当理解,每一个主机服务器110可包括一个或多个服务器刀片,其中每一个服务器刀片可包括一个或多个中央处理单元(CPU)。数据中心网络120被配置以支持数据中心环境100的通信(例如在数据中心环境100内的主机服务器110的VM 112之间、在主机服务器110的VM 112和位于数据中心环境100外部的设备之间等等,以及它们的各种组合)。数据中心网络120包括多个网络单元122和控制器127。网络单元122包括三个顶式机架(ToR)交换机122T1 - 122Τ3(统称为ToR交换机122τ)、一对聚集交换机122Α1 -122Α2 (统称为聚集交换机122α)和一对路由器122K1 - 122κ(统称为路由器122κ)。如在图1中所示,主机服务器110被通信地连接到ToR交换机122τ (其中每一个主机服务器110被连接到ToR交换机122τ*的一个相关联的交换机,以使得每一个ToR交换机122 τ支持多个主机服务器110,并且每一个主机服务器110由ToR交换机122τ*的一个来支持),ToR交换机122τ*的每一个被通信地连接到两个聚集交换机122 Α,并且聚集交换机122Α中的每一个被通信地连接到两个路由器122κ。控制器127经由路由器122κ中的一个路由器被通信地连接到网络单元122中的每一个网络单元。如在图1中进一步示出的,每一个路由器122κ被通信地连接到通信网络140 (例如诸如因特网、专用数据网络等的公共数据网络)。应当理解,数据中心网络120仅仅是示例性的,并且各种其它类型的数据中心网络120均可被支持,例如包括更少或更多的ToR交换机122τ、更少或更多的聚集交换机122Α、更少或更多的路由器122κ、更少层或更多层的网络单元122、不同布置的网络单元120等,以及它们的各种组合。数据中心网络120被实施为SDN。一般地,SDN提供经由集中控制器将网络的网络单元编程的能力(说明性地,经由控制器127将数据中心网络120的网络单元122编程)。这种类型的灵活性简化了各种任务,诸如管理和更新网络、控制网络内的流布置(placementof flows)等。应当理解,这种优点可能有利于大规模的数据中心。例如,SDN可用于规划数据中心内大数据集的迀移。在数据中心网络120中,网络单元122被配置以作为SDN的转发单元来操作,并且控制器127被配置以作为SDN的控制单元来操作。换句话说,网络单元122提供用于在数据中心网络120内传播数据的SDN的数据平面,并且控制器127提供用于在数据中心网络120内控制数据的传播的SDN的控制平面。在典型的SDN中,网络单元122向控制器127转发用于新的数据流的请求,控制器127计算用于新的数据流的数据路径,控制器127提供指示计算出的数据路径的数据路径信息给将支持该数据流的网络单元122,并且将支持该数据流的网络单元122从控制器127接收数据路径信息,并使用该数据路径信息以根据该数据流的计算出的数据路径转发该数据流的数据。以这种方式,控制器127控制在SDN内的数据流的数据路径。在数据中心网络120中,网络单元122和控制器127被配置以使用SDN的控制协议来通信(例如用于使得网络单元122能够请求用于数据流的数据路径的计算、用于使得控制器127能够提供用于数据流的数据路径信息至网络单元122等)。在至少一些实施例中,在数据中心网络120中使用的控制协议是OpenFlow协议。—般地,OpenFlow通过分流(offloading)从网络单元到中央控制器的数据流的路径设立决策来提供网络的精细粒度控制(说明性地,通过分流从网络单元122到控制器127的数据流的路径设立决策来提供数据中心网络120的精细粒度控制)。控制器127被配置以基于SDN的全局知识(说明性地,基于数据中心网络120的全局知识)识别用于给定数据流的最优数据路径。在OpenFlow中,接收新的流请求的SDN的第一网络单元122发送新的流请求给控制器127,并且控制器127确定在数据中心网络120内用于该数据流的数据路径,并且通过用转发规则编程网络单元122来提供在数据中心网络120内的数据路径,其中所述转发规则被配置来由网络单元122使用以根据用于该数据流的确定的数据路径转发该数据流的分组。新的流请求可以是以数据流第一分组、数据流请求消息等的形式。例如,对于源自数据中心102的主机服务器110中的一个主机服务器的VM本文档来自技高网...
【技术保护点】
一种装置,包括:处理器和通信地连接到所述处理器的存储器,所述处理器被配置以:基于与软件定义的网络的第一网络单元相关联的资源利用状况的检测,生成指示在所述第一网络单元处接收的新的流请求的至少一部分将从所述第一网络单元转发到所述软件定义的网络的第二网络单元的流转发规则。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:K·P·普塔斯瓦米纳加,F·郝,T·V·拉克什曼,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。