[发明专利]一种基于SDN的多租户虚拟网络隔离方法

说明书

本发明公开一种基于SDN的多租户虚拟网络隔离方法，同一网络设施下，租户可以使用完整的地址空间，且可以和其他租户重叠，相比于传统的基于SDN的虚拟网络隔离方法，解决了虚拟网络在同一网络设施环境下的地址复用问题；同时提出基于MAC地址重写的方式解决了大型数据中心多租户虚拟网络的隔离问题，并且通过优化流表的匹配规则允许通配匹配，大大压缩了流表空间，提高了交换机存储资源的利用率和可存储的流表项数量，间接减少了由于流表空间不足而重新下发流表造成的时延。

技术领域

本发明属于云管理领域，具体涉及一种基于SDN的多租户虚拟网络隔离方法。

背景技术

近年来，云计算的兴起极大提高了资源的利用率、减少了成本开支，受到各行各业的广泛关注和应用。随着云计算的飞速发展和用户规模的不断增大，用户网络需求不断提高，如何使得用户可以灵活地自定义网络拓扑和不同租户之间在同一网络设施下进行网络隔离，成为云计算网络不得不解决的重大问题。

传统的网络隔离方案主要采用VLAN的方式，但同一局域网内的VLAN数量有限，难以满足大型数据中心大规模用户的需求。而由Overlay技术衍生的OpenVPN、VXLAN、NVGRE等技术，虽然能够满足大规模租户的需求，但是由于采用封装手段在效率上不尽人意，而且配置复杂、扩展性比较差，因而在大型云数据中心的效果并不理想。

随着软件定义网络技术的出现，大型数据中心网络管理复杂、结构臃肿、可扩展性差的问题迎来了新的转机。SDN(软件定义网络)技术控制与转发分离的架构以及开放、可编程的特性，为云数据中心规模庞大的虚拟网络提供了程序一体化管理的可能，同时为多租户环境下虚拟网络的隔离和资源的高效利用提供了新的解决方案。

以OpenFlow为核心的软件定义网络技术围绕网络的虚拟化、多租户环境下的网络隔离的研究不断涌现。这些技术在特定的环境下实现了很好的隔离效果，从一定程度上满足了多租户的需求，但在某些方面表现出不足。

现有的一种实现多租户需求的SDN的方法，将物理网络划分成多个逻辑网络，从而实现多租户的需求。其主要利用由一组文本配置文件来定义的网络切片，其包含控制各种网络活动的规则，如允许、只读和拒绝，其范围包括流量的源IP地址、端口号或数据包的表头信息等，不同用户分属不同的网络切片。其转发所有控制器和openflow交换机的OpenFlow协议消息，根据报文是否在该租户租户的网络切片中来决定是否转发，从而实现不同租户在物理网络中的流量是隔离的。

由于这种方法只是简单地管理流空间的划分和消息的过滤，因此它只能实现轻量级的多租户虚拟网络。其所有的切片共享同样的流和地址空间，一个切片网络并没拥有完整、独立的地址空间，因此不支持任意的网络拓扑，且每个切片的流空间不允许重叠，租户之间的网络切片也需要协商。这些局限性也决定了这种方法并不适用于大型数据中心。

现有的另一种方法是利用网络虚拟化平台，通过流空间的虚拟化实现了多租户的虚拟网络。其翻译OpenFlow消息以及交换机和控制器、主机之间的数据包，实现了虚拟网络和物理网络的映射。这种方法完全虚拟化了流空间，用户可以使用任意的地址空间，也可以相互重复。当数据包从主机发出时，代理将数据包的虚拟MAC和IP地址替换成物理MAC和IP地址；当向主机发送报文时，代理又将物理MAC和IP地址替换成虚拟的MAC和IP地址。根据报文的物理MAC和IP地址来隔离不同租户的网络，从而使得在用户视图下的虚拟网络是相互隔离的，且拥有完成的流和地址空间。

由于匹配域中需要确切的物理MAC或IP地址来隔离不同租户的网络流量，且物理地址需要与唯一的虚拟地址相匹配，因此这种方法并不支持通配匹配和大规模流量的洪泛，另外，这种方法在处理可以通配匹配的流量时需要下发更多的流表项，消耗交换机大量的存储资源；同时由于交换机的存储资源有限，频繁的下发流表也会给网络带来更大的延时。

发明内容