[发明专利]一种基于OpenFlow的SDN虚拟化平台上行信令流标签处理方法

说明书

技术领域

本发明属于计算机网络技术领域，具体涉及一种基于OpenFlow的SDN虚拟化平台上行信令流标签处理方法。

背景技术

随着互联网技术的飞速发展，互联网应用与用户数量急剧增长，基于TCP/IP的互联网逐渐暴露出许多的问题与弊端。不少国家提出了下一代互联网计划，软件定义网络应运而生。

OpenFlow软件定义网络由两部分组成：数据平面，用来转发网络数据包；控制平面，用来控制网络数据包的转发策略。数据平面的OpenFlow交换机内部维护一张流表，称之为虚拟网络流规则描述表。虚拟网络流规则描述表可以根据数据包包头的一层(物理层)到四层(传输层)特征进行匹配，并指定匹配虚拟网络流规则描述表项的数据包的处理方法。当一个数据包进入OpenFlow交换机后，OpenFlow交换机会查询内部的虚拟网络流规则描述表，按虚拟网络流规则描述表处理数据包。若OpenFlow交换机内部没有能够匹配数据包的虚拟网络流规则描述表，OpenFlow交换机会将这个数据包转发给控制平面的OpenFlow控制器，OpenFlow控制器再向OpenFlow交换机下发一条虚拟网络流规则描述表，指示OpenFlow交换机如何处理这个数据包。OpenFlow交换机和OpenFlow控制器之间的通信遵循OpenFlow协议。OpenFlow协议定义的上行信令(OpenFlow交换机到OpenFlow控制器)和下行信令(OpenFlow控制器到OpenFlow交换机)。

如果将一个OpenFlow网络交给多个OpenFlow控制器来控制，每个OpenFlow控制器只控制网络中的一部分特定的网络数据包，这样，每个OpenFlow控制器就控制着一个虚拟网络。但是在OpenFlow1.0中，每个OpenFlow交换机只能有一个控制逻辑，因此，不能将不同特征的数据包交给不同的OpenFlow控制器处理。为此，需要在OpenFlow交换机和OpenFlow控制器之间添加一个网络虚拟化层，它接收所有OpenFlow交换机的上行信令，并根据上行信令的特征将它转发给对应的OpenFlow控制器处理。同样，网络虚拟化层收到的OpenFlow控制器下发的下行信令也要对信令进行处理，处理后再将其转发给相应的OpenFlow交换机。

网络虚拟化层具体实现过程如下：网络虚拟化平台为网络建立与多个虚拟网络相对应的多个切片(Slice)，为每个Slice指定一个OpenFlow控制器，将属于不同Slice的网络数据包转发给对应的OpenFlow控制器以实现网络虚拟化；再向每个Slice中添加流空间(FlowSpace)。流空间描述了转发给Slice的数据包的特征，至少包含以下多个匹配项中的一个或多个：交换机端口(layer1)，源mac/目的mac或以太网类型(layer2)，源IP/目的IP或协议类型(layer3)，TCP/UDP源端口/目的端口(layer4)；网络数据包进入OpenFlow交换机后向网络虚拟化平台发送PacketIn信令，网络虚拟化平台将PacketIn信令与FlowSpace中的匹配项进行匹配，若PacketIn信令匹配了FlowSpace中的流规则，则将这条PacketIn消息转发给这条FlowSpace所在的OpenFlow控制器。

现有技术中存在以下缺点：

1）网络虚拟化平台基于每个交换机进行虚拟网络划分，每当一个数据包进入OpenFlow交换机产生PacketIn，网络虚拟化平台都会将数据包与所有FlowSpace匹配，判断该数据包属于哪个虚拟网络，当数据包离开本交换机进入下一个交换机后，网络虚拟化平台还会将此数据包与所有FlowSpace匹配，判断该数据包属于哪个虚拟网络。这样每一跳都要进行虚拟网络的判断，效率较低。

2）OpenFlow协议允许交换机对数据包进行灵活的修改操作，当一个数据包被一个虚拟网络操作后，数据包的部分字段可能被改变，此数据包进入另一个OpenFlow交换机后，可能被网络虚拟化平台判断为另一个虚拟网络的数据包，这就导致了一个数据包被不同的与虚拟网络相对应的OpenFlow控制器控制，数据包隔离性差。

3）网络虚拟化平台虽然对与虚拟网络相对应的OpenFlow控制器下发的虚拟网络流规则描述表匹配项进行检查与修改，但是对flowspace的互斥性没有检查，这导致与虚拟网络1相对应的OpenFlow控制器下发的虚拟网络流规则描述表可能匹配了虚拟网络2对应的数据包，产生信令越界。