專利名稱:基于OpenFlow的FlowVisor網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于OpenFlow網(wǎng)絡(luò)設(shè)計技術(shù)領(lǐng)域,尤其涉及一種基于OpenFlow的FlowVisor網(wǎng)絡(luò)系統(tǒng)�。
背景技術(shù):
與其構(gòu)建塊OpenFlow —樣,FlowVisor能夠幫助研究人員快速靈活地在大型生產(chǎn)環(huán)境對新的SDN理念和工具進(jìn)行實(shí)驗(yàn)。目前FlowVisor被部署在美國各地的生產(chǎn)環(huán)境中����,特別是在大型校園(例如斯坦福)。此外�����,兩個以研究為重點(diǎn)的大型網(wǎng)絡(luò)一全球網(wǎng)絡(luò)創(chuàng)新環(huán)境(GENI)和Internet2的參與者也在使用FlowVisor�。然而,這并不意味著FlowVisor即將出現(xiàn)在你附近的業(yè)務(wù)網(wǎng)絡(luò)中。斯坦福大學(xué)開發(fā)人員表示���,雖然該平臺非常穩(wěn)定�,但仍然有很長的路要走�。FlowVisor是建立在OpenFlow之上的網(wǎng)絡(luò)虛擬化平臺,它可以將物理網(wǎng)絡(luò)分成多個邏輯網(wǎng)絡(luò)��,從而實(shí)現(xiàn)開放軟件定義網(wǎng)絡(luò)(SDN)��。它為管理員提供了廣泛定義規(guī)則來管理網(wǎng)絡(luò)�,而不是通過調(diào)整路由器和交換機(jī)來管理網(wǎng)絡(luò)。
發(fā)明內(nèi)容
本發(fā)明的目的在于����,提供一種建立在OpenFlow之上的FlowVisor網(wǎng)絡(luò)虛擬化平臺,用于將物理網(wǎng)絡(luò)分成多個邏輯網(wǎng)絡(luò)�,從而實(shí)現(xiàn)開放軟件定義網(wǎng)絡(luò)(SDN)。為了實(shí)現(xiàn)上述目的�����,本發(fā)明提出的技術(shù)方案是,一種基于OpenFlow的FlowVisor網(wǎng)絡(luò)系統(tǒng)���,包括OpenFlow交換機(jī)和OpenFlow控制器�����,其特征在于OpenFlow交換機(jī)和OpenFlow控制器之間設(shè)置FlowVisor代理服務(wù)器����,所述FlowVisor代理服務(wù)器分別與OpenFlow交換機(jī)和OpenFl ow控制器相連����,并通過OpenFlow協(xié)議與OpenFlow交換機(jī)和OpenFlow控制器進(jìn)行通信;所述Fl owV isor代理服務(wù)器用于對OpenF I ow交換機(jī)發(fā)送的消息進(jìn)行攔截�、修改和轉(zhuǎn)發(fā),具體包括:當(dāng)OpenFlow交換機(jī)發(fā)送的消息無需修改時,直接將OpenFlow交換機(jī)發(fā)送的消息轉(zhuǎn)發(fā)OpenFlow控制器�����;當(dāng)OpenFlow交換機(jī)發(fā)送的消息需要修改時,根據(jù)預(yù)先設(shè)定的規(guī)則修改所述OpenFlow交換機(jī)發(fā)送的消息后,轉(zhuǎn)發(fā)至OpenFlow控制器���;當(dāng)OpenFlow交換機(jī)發(fā)送的消息是錯誤消息時��,將所述OpenFlow交換機(jī)發(fā)送的消息返回OpenFlow交換機(jī)��。所述網(wǎng)絡(luò)系統(tǒng)還包括FlowChecker控制器,所述FlowChecker控制器與OpenFlow控制器相連�,用于獲取OpenFlow控制器中的流表����。本發(fā)明提供的網(wǎng)絡(luò)系統(tǒng)通過FlowVisor抽象層來分割物理網(wǎng)絡(luò),它位于一組交換機(jī)和軟件定義網(wǎng)絡(luò)或多個網(wǎng)絡(luò)之間����,管理帶寬、CPU利用率和流量表�,這類似于管理程序位于服務(wù)器硬件和軟件之間,以允許多個虛擬操作系統(tǒng)運(yùn)行����。
圖1是是虛擬化層次示意;
圖2 是 FlowVisor 和 FlowChecker 的連接圖��;圖3 是 FlowChecker 交互圖�����。
具體實(shí)施例方式下面結(jié)合附圖,對優(yōu)選實(shí)施例作詳細(xì)說明��。應(yīng)該強(qiáng)調(diào)的是��,下述說明僅僅是示例性的��,而不是為了限制本發(fā)明的范圍及其應(yīng)用��。1> FlowVisorFlowVisor通過抽象層來分割物理網(wǎng)絡(luò)�,它位于一組交換機(jī)和軟件定義網(wǎng)絡(luò)或多個網(wǎng)絡(luò)之間,管理帶寬���、CPU利用率和流量表�,這類似于管理程序位于服務(wù)器硬件和軟件之間�����,以允許多個虛擬操作系統(tǒng)運(yùn)行��。正如管理程序依賴于標(biāo)準(zhǔn)x86指令來虛擬化服務(wù)器一樣�,F(xiàn)lowVisor使用標(biāo)準(zhǔn)OpenFlow指令集來管理OpenFlow交換機(jī),這些指令設(shè)置了低級別規(guī)則,比如如何基于數(shù)據(jù)包表頭中的特點(diǎn)來轉(zhuǎn)發(fā)數(shù)據(jù)包��。由于所有這些規(guī)則都是通過流量表定義的���,因此�,無論是從帶寬還是CPU使用率來看,網(wǎng)絡(luò)虛擬化都沒有增加很多開銷或者幾乎沒有增加開銷����,不過另外需要設(shè)置和修改流量表規(guī)則的單獨(dú)的帶外物理控制器。FlowVisor網(wǎng)絡(luò)的基本要素是網(wǎng)絡(luò)切片���,網(wǎng)絡(luò)切片是由一組文本配置文件來定義的。文本配置文件包含控制各種網(wǎng)絡(luò)活動的規(guī)則����,例如允許、只讀和拒絕���,其范圍包括流量的來源IP地址�、端口號或者數(shù)據(jù)包表頭信息����。切片隔離是FlowVisor虛擬化的重要組成部分,但它仍然在處于發(fā)展中���。在近日發(fā)表的一篇描述FlowVisor愿景和部署的學(xué)術(shù)文章中�����,作者呼吁進(jìn)行嚴(yán)密的交換機(jī)與CPU隔離�����,但由于目前只能通過OpenFlow對交換機(jī)CPU進(jìn)行間接管理����,導(dǎo)致該功能被限制。鑒于這些限制和功能����,F(xiàn)lowVisor按照以下五個規(guī)格(出自該OpenFlow技術(shù)報告)來進(jìn)行虛擬化和隔離:(I)帶寬:每個切片應(yīng)該具有專門的總可用帶寬百分比。(2)拓?fù)浣Y(jié)構(gòu):每個切片對于網(wǎng)絡(luò)節(jié)點(diǎn)(包括物理和虛擬交換機(jī)及路由器)應(yīng)該有自己的“看法”���。切片的組成部分應(yīng)該是不知道切片的:對于控制器而言��,F(xiàn)lowVisor看起來就是普通的交換機(jī)�����;從OpenFlow交換機(jī)的角度來看�,F(xiàn)lowVisor就是一個控制器���。(3)流量:根據(jù)上述規(guī)則設(shè)置�,流量應(yīng)該嚴(yán)密地始終如一地隔離到一個特定切片或者多個切片。(4)設(shè)備CPU:重載物理交換機(jī)可以丟掉緩慢路徑的數(shù)據(jù)包�����。網(wǎng)絡(luò)管理員會更新OpenFlow統(tǒng)計計數(shù)器和規(guī)則,所以在評定限速密集命令時��,F(xiàn)lowVisor應(yīng)該考慮CPU資源���。(5)轉(zhuǎn)發(fā)表:由于轉(zhuǎn)發(fā)表往往被限定在物理設(shè)備上�����,網(wǎng)絡(luò)管理員應(yīng)確保一個切片不會影響任何特定設(shè)備的轉(zhuǎn)發(fā)表,迫使它放棄另一切片的規(guī)則�����。2�、網(wǎng)絡(luò)虛擬化的內(nèi)容FlowVisor的主要工作就是進(jìn)行網(wǎng)絡(luò)虛擬化。通過網(wǎng)絡(luò)虛擬化��,多個邏輯上相互獨(dú)立的網(wǎng)絡(luò)可以共享同一個物理基礎(chǔ)架構(gòu)�����,這些網(wǎng)絡(luò)可能具有不同的編址方法或運(yùn)轉(zhuǎn)機(jī)制。
首先可以看計算機(jī)的虛擬化���。計算機(jī)虛擬化的成功與對底層硬件的清晰抽象密不可分�,這樣�����,計算機(jī)虛擬化層便可以使用硬件抽 象�,它允許上層Guest操作系統(tǒng)對硬件資源的分割與共享。
與之類似的�����,網(wǎng)絡(luò)虛擬化需要網(wǎng)絡(luò)本身帶有自己的硬件抽象層�。硬件抽象層需要容易被分片,以使得多種不同的網(wǎng)絡(luò)可以同時運(yùn)行在一系列不同的硬件之上�����。在硬件抽象層之上�,允許有新的協(xié)議和編址方式獨(dú)立地運(yùn)行于在各自獨(dú)立的分片中,實(shí)際上他們都處于同一個物理網(wǎng)絡(luò)中����,并使得網(wǎng)絡(luò)具有對網(wǎng)絡(luò)應(yīng)用進(jìn)行優(yōu)化的能力���,或?qū)?yīng)用所有者提供自定義的能力。在硬件抽象層以下�,可以是不同的硬件。圖1為虛擬化層次示意圖����。3、網(wǎng)絡(luò)虛擬化的實(shí)現(xiàn)網(wǎng)絡(luò)中需要進(jìn)行虛擬化的資源包括:帶寬��、拓?fù)?���、流量、設(shè)備CPU���、轉(zhuǎn)發(fā)表。(I)實(shí)現(xiàn)過程:在FlowVisor實(shí)現(xiàn)中����,OpenFlow被作為硬件抽象層。類似于計算機(jī)上的抽象層�����,F(xiàn)lowVisor被設(shè)置于底層硬件和上層控制軟件之間;類似于操作系統(tǒng)使用指令集控制下層硬件���,F(xiàn)lowVisor使用OpenFlow協(xié)議控制下層物理網(wǎng)絡(luò)�����。(2)主要特點(diǎn)如下:DFlowVisor定義分片為:運(yùn)行在某個交換機(jī)邏輯結(jié)構(gòu)上的一組流�����;2)FlowVisor安置于OpenFlow控制器與交換機(jī)間,保證每一個控制器都只能看到和控制那些事先設(shè)置的交換機(jī)�;3) FlowVisor通過對組成分區(qū)的流集合設(shè)置一個最小數(shù)據(jù)速率來劃分帶寬����;
4) FlowVisor通過跟蹤每個流表項所屬的控制器來劃分每個交換機(jī)中的流表。(3) FlowVisor 實(shí)現(xiàn)目標(biāo):I)透明:網(wǎng)絡(luò)虛擬層須對網(wǎng)絡(luò)硬件和控制器透明�����;2)隔離:網(wǎng)絡(luò)虛擬層必須使得分片間高度隔離���;3)可擴(kuò)展的分片定義����。(3)系統(tǒng)描述:FlowVisor是一個特殊的OpenFlow控制器,扮演著OpenFlow交換機(jī)和OpenFlow控制器間透明代理的角色�。所有OpenFlow消息都將透過FlowVisor進(jìn)行傳送。FlowVisor使用OpenFlow協(xié)議與控制器與交換機(jī)相互進(jìn)行通信�。無需對控制器進(jìn)行任何修改,并且它們認(rèn)為自己直接與交換機(jī)進(jìn)行通信����。FlowVisor在充當(dāng)代理角色時,會根據(jù)內(nèi)配置的策略,對OpenFlow消息進(jìn)行攔截、修改����、轉(zhuǎn)發(fā)等操作。這樣����,OpenFlow控制器就只控制其被允許控制的流,并不知道其所控制的網(wǎng)絡(luò)被FlowVisor進(jìn)行過分片操作���。相似的�����,從交換機(jī)發(fā)出的消息經(jīng)過FlowVisor,也只會被發(fā)送到相應(yīng)的控制器���。FlowVisor通過檢查、覆寫和監(jiān)管從其通過的OpenFlow消息來保證了透明和隔離�。根據(jù)資源分配策略、消息類型��、目的和內(nèi)容�,F(xiàn)lowVisor會進(jìn)行下列幾種操作:a)不修改,直接轉(zhuǎn)發(fā)山)修改為合適的消息然后轉(zhuǎn)發(fā)�����;c)以錯誤信息的形式反彈消息到發(fā)送者��。從控制器看來�,F(xiàn)lowVisor就是一個交換機(jī);從交換機(jī)看來���,F(xiàn)lowVisor又成為了一臺控制器�����。4> FlowChecker(I) FlowChecker 的作用I)驗(yàn)證跨越不同的基礎(chǔ)設(shè)置組合的不同交換機(jī)和控制器的一致性�;2)驗(yàn)證用新協(xié)議產(chǎn)生的綜合設(shè)置的正確性;
3)調(diào)試可達(dá)性和安全問題�����。對于組合的OpenFlow 管理���,F(xiàn)lowChecker 米用了主控制器(Master Controller,MC)來運(yùn)行FlowChecker并與OF控制器進(jìn)行通信來驗(yàn)證和解決不一致性或任何錯誤配置��?���?偟膩碚f��,這個項目的結(jié)果就是一個配置驗(yàn)證工具�,或者說是一個由管理員或主控制器運(yùn)行的應(yīng)用程序,用于驗(yàn)證���、分析和迫使OpenFlow在運(yùn)行時的端到端配置跨越多個組合�����。(2) FlowChecker 操作I)第一種情況���,當(dāng)作獨(dú)立的服務(wù)����。FlowChecker的連接如上圖2所示�����。這種情況下����,OpenFlow控制器會通過SSL安全通道同F(xiàn)lowChecker通信��。FlowChecker通過傳遞令牌到OpenFlow交換機(jī)����,對交換機(jī)進(jìn)行查詢,查詢內(nèi)容包含拓?fù)?��、用戶��、控制器ID和名字綁定�?��?刂破魍ㄟ^SSL安全通道向FlowChecker發(fā)送請求接受回復(fù)��。2)另一種情況��,流表可以被存在數(shù)據(jù)庫中����。很明顯,這是一個簡單性與安全性之間的 trade-off��。目前��,F(xiàn)lowChecker米用了第一種情況�。一個FlowChecker交互的例子如圖3所
/Jn oI) FlowChecker向控制器請求流表信息;2)控制器向交換機(jī)發(fā)送一條消息,消息通過了 FlowVisor ���;3) 3a表示:Fl owVisor攔截下了那條消息��,向FlowChecker發(fā)送分片規(guī)則����;4) 3b表示:0penFlow交換機(jī)將流表發(fā)送給控制器�;5)控制器將流表發(fā)送給FlowChecker。現(xiàn)在����,F(xiàn)lowChecker可以驗(yàn)證分片策略在這個流表中是否保證正確���。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�����,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)�。
權(quán)利要求
1.一種基于OpenFlow的FlowVisor網(wǎng)絡(luò)系統(tǒng),包括OpenFlow交換機(jī)和OpenFlow控制器,其特征在于OpenFlow交換機(jī)和OpenFlow控制器之間設(shè)置FlowVisor代理服務(wù)器,所述FlowVisor代理服務(wù)器分別與OpenFlow交換機(jī)和OpenFlow控制器相連����,并通過OpenFlow協(xié)議與OpenFlow交換機(jī)和OpenFlow控制器進(jìn)行通信; 所述FlowVisor代理服務(wù)器用于對OpenFlow交換機(jī)發(fā)送的消息進(jìn)行攔截�����、修改和轉(zhuǎn)發(fā),具體包括:當(dāng)OpenFlow交換機(jī)發(fā)送的消息無需修改時,直接將OpenFlow交換機(jī)發(fā)送的消息轉(zhuǎn)發(fā)OpenFlow控制器��;當(dāng)OpenFlow交換機(jī)發(fā)送的消息需要修改時,根據(jù)預(yù)先設(shè)定的規(guī)則修改所述OpenFlow交換機(jī)發(fā)送的消息后,轉(zhuǎn)發(fā)至OpenFlow控制器�;當(dāng)OpenFlow交換機(jī)發(fā)送的消息是錯誤消息時,將所述OpenFlow交換機(jī)發(fā)送的消息返回OpenFlow交換機(jī)���。
2.根據(jù)權(quán) 利要求1所述的網(wǎng)絡(luò)系統(tǒng)�,其特征在于所述網(wǎng)絡(luò)系統(tǒng)還包括FlowChecker控制器���,所述FlowChecker控制器與OpenFlow控制器相連,用于獲取OpenFlow控制器中的流表�����。
全文摘要
本發(fā)明公開了OpenFlow網(wǎng)絡(luò)設(shè)計技術(shù)領(lǐng)域中的一種基于OpenFlow網(wǎng)絡(luò)的QoS集中管理系統(tǒng)����。包括OpenFlow交換機(jī)和OpenFlow控制器�����,OpenFlow交換機(jī)和OpenFlow控制器之間設(shè)置FlowVisor代理服務(wù)器��,所述FlowVisor代理服務(wù)器分別與OpenFlow交換機(jī)和OpenFlow控制器相連,并通過OpenFlow協(xié)議與OpenFlow交換機(jī)和OpenFlow控制器進(jìn)行通信����。本發(fā)明提供的網(wǎng)絡(luò)系統(tǒng)通過FlowVisor抽象層來分割物理網(wǎng)絡(luò),它位于一組交換機(jī)和軟件定義網(wǎng)絡(luò)或多個網(wǎng)絡(luò)之間�����,類似于管理程序位于服務(wù)器硬件和軟件之間���,以允許多個虛擬操作系統(tǒng)運(yùn)行。
文檔編號H04L12/24GK103236945SQ20131012024
公開日2013年8月7日 申請日期2013年4月8日 優(yōu)先權(quán)日2013年4月8日
發(fā)明者程遠(yuǎn), 馮剛, 常寧 申請人:北京天地互連信息技術(shù)有限公司