基于混合规则部署的软件定义网络中的细粒度流管理方法技术

本发明专利技术公开了一种基于混合规则部署的软件定义网络中的细粒度流管理方法，本架构包含掩码规则安装模块和精确匹配规则安装模块，首先定时更新掩码规则的部署，部署掩码规则时要保证流不能根据掩码直接转发至目的地。接着当流到来时，首先根据掩码规则转发，当交换机无法匹配掩码规则时，上报控制器，控制器根据全网状态，下发精确匹配规则，实现对该流的细粒度监控。本发明专利技术通过部署掩码规则节省了流表项使用，通过部署精确匹配规则实现了对流的细粒度控制。每条流只需在一个交换机上匹配精确规则，在其他交换机上均由掩码规则实现转发，既可实现细粒度流控制，又可最大程度减少表项资源消耗，从而在资源有限的前提下尽可能的实现细粒度流管理。

Fine-grained flow management in software definition network based on hybrid rule deployment

【技术实现步骤摘要】
基于混合规则部署的软件定义网络中的细粒度流管理方法
本专利技术属于软件定义网络中的细粒度流管理
，具体地涉及一种在软件定义网络(SoftwareDefinedNetwork，SDN)中基于混合规则部署的细粒度流管理方法。
技术介绍
由于互联网的高速发展，目前的网络具有数据流量大、业务类型丰富、数据结构复杂等特性，而这些特性导致目前的网络架构体系存在效率低、维护困难、扩展性差、安全性较弱、兼容性不佳等问题。软件定义网络正是在这种背景下提出的。软件定义网络是一种新型的网络创新架构，它的核心是将网络设备的控制层和数据层分离开来。控制层主要负责拓扑的发现和流表的下发，并为网络应用提供可编程接口；交换机主要进行数据的转发。通过将控制功能从数据转发层抽离开来，大大增加了网络的可扩展性，有效的简化了交换机的功能，为高速发展的互联网提供了更加高效可靠的网络架构体系。相比粗粒度流管理，细粒度流管理可以实现网络的安全性和可控性。比如研究发现通过实施细粒度的流量管理，可以将端口扫描检测的成功率提高约35％。此外，细粒度流管理同样可以给网络资源分配、异常检测、流量工程、应用识别、负载均衡等应用带来益处。当下的细粒度解决方案都存在较大的缺陷。比如通过购置硬件监控器来监控全网流量，成本高，且部署不灵活；通过软件监控器(VNF)来监控网络，这又会极大降低了网络吞吐率并增加了网络延迟。软件定义网络通过数据层与控制层分离及被动式的流处理方式可以实现细粒度流管理。当数据流到达交换机时，如果没有匹配流表项，则交换机通过packet-in消息将该流信息报告给控制器，控制器因此可以对该流实现细粒度流管理。但由于交换机的流表项资源(TCAM资源)极其有限，如果全网部署精确匹配的流表项规则，借助流表项来监控流量，只能为很少的流实现细粒度管理。由此可见，虽然软件定义网络可以通过精确匹配的表项实现细粒度流管理，但受限于流表项资源有限，全局部署精确匹配的流表项规则只能为极少数量的流实现细粒度流管理。
技术实现思路
针对上述存在的技术问题，本专利技术提出了一种基于混合规则部署的软件定义网络中的细粒度流管理方法，该方法通过结合掩码规则和精确匹配规则的混合规则部署，使每条流至少经过一条精确匹配的流表项，从而借助有限的流表项资源实现细粒度流管理。理想情况下，每条流只需一条精确匹配的流表项便可实现细粒度管理，该方法极大的简化了细粒度流管理的成本、增加了细粒度可控流的数量。本专利技术的技术方案是：一种基于混合规则部署的软件定义网络中的细粒度流管理方法，包括以下步骤：S01：软件定义网络的控制层首先在部分交换机上部署掩码规则，从而节省流表项使用；S02：当流到来时，首先根据掩码规则转发，当在某个交换机无法匹配掩码规则时，上报控制器，控制器根据全网状态，下发精确匹配规则，实现细粒度流管理。优选的技术方案中，所述步骤S01中控制层中设置有掩码规则安装模块，掩码规则安装模块通过流量矩阵预测方法估测出未来一段时间内的流量信息，并将该流量信息作为输入量进行掩码规则的计算。优选的技术方案中，所述步骤S01中布尔变量标记控制层是否在交换机v上安装关于主机u的精确匹配规则，表明控制层将在交换机v上安装一条到主机u的掩码规则；表明在掩码规则安装阶段，控制层不在交换机v上安装关于主机u的掩码规则。优选的技术方案中，所述步骤S01中的掩码规则安装模块在计算掩码规则时的约束条件是保证每条流均可被细粒度控制(即保证流不能根据掩码匹配直接转发至目的地)，目标函数为最小化最大流表项使用率；如果求解出的目标函数大于1，则掩码规则安装模块在计算掩码规则时的约束条件改变为流表项约束，目标函数改变为最大化细粒度可控流数量。优选的技术方案中，所述流表项使用率为每个交换机上所使用的流表项数量除以该交换机上的可用流表项数量。优选的技术方案中，所述流表项约束为每个交换机上所使用的流表项数量不大于该交换机上的可用流表项数量。优选的技术方案中，所述每个交换机上所使用的流表项数量包括在该交换机上部署的掩码规则的数量与在该交换机上无法匹配掩码规则且默认路径流经该交换机的流的数量。优选的技术方案中，所述控制层中设置有精确匹配规则安装模块，所述精确匹配规则安装模块的运行步骤如下：当流到达某个交换机，无法找到对应的匹配流表项后，交换机通过packet-in消息将该流信息上报给控制器，控制器结合全局信息和流表项约束，为该流计算最优转发路径，并将相应流表项下发至对应交换机，实现对该流的细粒度流管理。优选的技术方案中，所述控制层计算最优转发路径时，控制器仅计算转发路径的后半段路径，所述后半段路径为该交换机到目的地址，通过调整后半段转发路径，实现路由优化。与现有技术相比，本专利技术的优点是：该方法设计了一种结合掩码规则和精确匹配规则的混合规则部署架构，从而使每条流理想情况下只需要一条精确匹配的流表项便可实现细粒度控制。本架构包含掩码规则安装模块和精确匹配规则安装模块。首先需要定时更新掩码规则的部署，部署规则时需要考虑流不能根据掩码直接流至目的地(即保证流可以通过精确匹配规则实现细粒度控制)。接着当流到来时，首先根据掩码规则转发，当在某个交换机无法匹配掩码规则时，上报控制器，控制器根据全网状态，下发合适的精确匹配规则，从而实现对该流的细粒度监控。本专利技术通过部署掩码规则节省了流表项使用，通过部署精确匹配规则实现了对流的细粒度控制。理想情况下每条流只需在一个交换机上匹配精确规则，在其他交换机上均由掩码规则实现转发，这样既可实现细粒度流控制，又可最大程度减少表项资源消耗，从而在资源有限的前提下尽可能的实现细粒度流管理。本专利技术拥有良好的拓展性，具有广阔的应用前景。附图说明下面结合附图及实施例对本专利技术作进一步描述：图1为本专利技术基于混合规则部署的软件定义网络架构示意图；图2为本专利技术框架的掩码规则安装模块的工作流程图；图3为本专利技术框架的精确规则安装模块的工作流程图；图4为本实施例为说明细粒度流管理的网络拓扑及数据流流向图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本专利技术进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。实施例：下面结合附图，对本专利技术的较佳实施例作进一步说明。如图1所示，一种基于混合规则部署的软件定义网络中的细粒度流管理方法，网络架构包含掩码规则安装模块和精确匹配规则安装模块。通过结合掩码规则和精确匹配规则的混合规则部署架构，从而使每条流在理想情况下只需要一条精确匹配的流表项便可实现细粒度控制。如图2所示，掩码规则安装模块的运行步骤如下：首先假设网络中的流表项资源较为丰富，可以实现全部流的细粒度管理，此时我们执行算法1进行掩码规则安装。如果执行成功则表明假设成立，顺利安装好掩本文档来自技高网...

【技术保护点】
1.一种基于混合规则部署的软件定义网络中的细粒度流管理方法，其特征在于，包括以下步骤：/nS01：软件定义网络的控制层在部分交换机上部署掩码规则，部署掩码规则时要保证流不能根据掩码直接转发至目的地，使每条流至少经过一条精确匹配的流表项；/nS02：当流到来时，首先根据掩码规则转发，当在某个交换机无法匹配掩码规则时，上报控制器，控制器根据全网状态，下发精确匹配规则，实现细粒度流管理。/n

【技术特征摘要】
1.一种基于混合规则部署的软件定义网络中的细粒度流管理方法，其特征在于，包括以下步骤：
S01：软件定义网络的控制层在部分交换机上部署掩码规则，部署掩码规则时要保证流不能根据掩码直接转发至目的地，使每条流至少经过一条精确匹配的流表项；
S02：当流到来时，首先根据掩码规则转发，当在某个交换机无法匹配掩码规则时，上报控制器，控制器根据全网状态，下发精确匹配规则，实现细粒度流管理。


2.根据权利要求1所述的基于混合规则部署的软件定义网络中的细粒度流管理方法，其特征在于，所述步骤S01中控制层中设置有掩码规则安装模块，该模块通过流量矩阵预测方法估测出未来一段时间内的流量信息，并将该流量信息作为输入量进行掩码规则的计算。


3.根据权利要求1所述的基于混合规则部署的软件定义网络中的细粒度流管理方法，其特征在于，所述步骤S01中使用布尔变量标记控制层是否在交换机v上安装关于主机u的精确匹配规则，表明控制层将在交换机v上安装一条到主机u的掩码规则；表明在掩码规则安装阶段，控制层不在交换机v上安装关于主机u的掩码规则。


4.根据权利要求1所述的基于混合规则部署的软件定义网络中的细粒度流管理方法，其特征在于，所述步骤S01中控制层中设置有掩码规则安装模块，掩码规则安装模块在计算掩码规则时的约束条件是保证每条流均可被细粒度控制，目标函数为最小化最大流表项使用率；如果求解出的目标函数大于1，则掩码规则安装模块在计算掩码规则时的约束条件改变为流表项约束，...

【专利技术属性】
技术研发人员：徐宏力，赵功名，杨旭炜，刘建春，黄刘生，
申请(专利权)人：中国科学技术大学苏州研究院，
类型：发明
国别省市：江苏;32