[发明专利]openflow流表的告警方法及告警装置

说明书

技术领域

本发明涉及网络通信的报文转发技术领域，尤其是涉及一种openfllow流表的告警方法及告警装置。

背景技术

随着网络的发展和使用越来越普及，网络暴露出越来越多的弊病，并且，网络用户对网络性能的需求也在不断提高。于是，研究人员不得不把很多复杂功能加入到路由器的体系结构当中，例如：开放式最短路径优先(OSPF，Open Shortest Path First)、边界网关协议(BGP，Border Gateway Protocol)、组播、区分服务、流量工程、网络地址转换(NAT，Network Address Translation)、防火墙、多协议标签交换(MPLS，Multi-Protocol Label Switching)等等，这就使路由器等交换设备越来越臃肿且性能提升的空间越来越小，无法满足日益增长的新业务需求。

软件定义网络(SDN，Software Defined Network)，是一种新型网络创新架构，它的提出即是为了解决现有网络的冗余问题，并提供可靠的性能提升空间，其核心技术为OpenFlow网络。

2008年，美国斯坦福大学提出OpenFlow网络的概念，基本的OpenFlow网络包括：控制面的网络控制器(Controller)和转发面的交换机(Switch)。OpenFlow网络中转发数据报文的方法为利用流表进行数据报文转发，具体为：Controller通过标准化的OpenFlow协议控制多个Switch并下发流表给Switch；Switch接收并保存流表；当Switch收到网络发来的数据报文后，查看流表中是否有匹配的流表项，若有，则按照流表项中的动作转发数据报文；若没有查找到匹配的流表项，则将数据报文的头信息封装为Packet-in消息发给Controller；Controller接收到Packet-in消息后，根据自身保存的拓扑信息计算路径，利用得到的路径生成Packet-out消息和Flow-mod消息，将Packet-out消息和Flow-mod消息发给Switch；Switch根据Packet-out消息转发数据报文，并根据Flow-mod消息建立流表项。

其中Controller接收到的未匹配到的报文为数据报文，这些数据报文不带有告警消息，因此导致Controller察觉告警信息的敏感性较低，易受到一些恶意攻击，不能保证设备的使用安全性。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种openflow流表的告警方法及告警装置，通过在指定流表的指令中扩展告警行为指令，增强了网络的监控管理能力，实现控制器和管理员均可以监控某种报文的传输。

为实现上述目的，本发明提出如下技术方案：一种openflow流表的告警方法，包括：交换机对接收到的报文进行检查并与流表进行匹配，若匹配到的流表中包含告警指令，则将该报文按流表中的指令执行后，再按所述告警指令向控制器发送告警消息；若匹配到的流表中不包含所述告警指令，则将该报文按匹配到的指令进行直接执行。

优选地，每个所述流表包括复数个流表项，所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie，所述报文按照所述流表项中的匹配字段和优先级进行匹配。

当匹配到的流表中包含告警行为时，所述告警行为存在于所述指令中。

所述告警消息包括包头域、优先级、告警类型和数据包。

所述控制器接收到所述告警消息后记录监控日志，并将所述监控日志提供给管理员。

本发明还提供了一种openflow流表的告警装置，包括检查匹配装置、告警行为判断装置、报文处理装置，所述检查匹配装置对接收到的报文进行检查并进行流表的匹配，匹配到的流表被送入到所述告警行为判断装置中进行识别，识别后送入到所述报文处理装置中进行相应的处理。

优选地，每个所述流表包括复数个流表项，所述流表项包括匹配字段、优先级、计数器、指令、超时定时器和cookie，所述检查匹配装置按照所述流表项中的匹配字段和优先级进行匹配。

所述报文处理装置包括转发装置和转发告警装置，所述转发装置将报文直接按匹配到的指令进行执行；所述转发告警装置将报文按流表中的指令执行后，再向控制器发送告警消息。

所述告警消息包括：包头域、优先级、告警类型和报文。

所述告警行为判断装置识别匹配到的流表中是否包含向控制器发送告警消息的指令，若包含，则将该报文发送给所述转发告警装置；若不包含，则发送给所述转发装置。