[发明专利]一种支持IPSec VPN负载均衡的SDN控制器

说明书

本发明公开了一种支持IPsec VPN负载均衡的SDN控制器，是在现有SDN控制器中增加了IPsec流负载均衡，通过采集各IPsec流处理节点上的流负载信息，计算负载值；根据负载值分类节点，生成负载均衡流—调度表；在IPsec VPN网关上解析并修改网关转发—流表，实现负载迁移。本发明通过将节点信息采集(11)、负载均衡计算模块(12)和负载均衡策略生成模块(13)植入控制层，能够有效统筹系统的负载均衡，同时不影响增加了负载均衡执行模块(21)的IPsec VPN网关的转发工作，能够有效提升计算密集型的IPsec流处理系统的流量处理性能。

技术领域

本发明涉及一种SDN控制器，更特别地说，是指一种支持IPSec VPN负载均衡的SDN控制器。

背景技术

2013年9月第1次印刷，电子工业出版社，《SDN核心技术剖析和实战指南》雷葆华等编著。在第15页图1-6公开的SDN核心技术体系图中(记为图1)，介绍了在SDN架构的每一层次上都具有很多核心技术，其目标是有效地分离控制层面与转发层面，支持逻辑上集中化的统一控制，提供灵活的开发接口等。其中，控制层是整个SDN的核心，系统中的南向接口与北向接口也是以它为中心进行命名的。转发层面通过一个Packet_in消息将数据包(Packet，也称为报文)发送给控制层面。软件定义网络(Software-Defined Networking，SDN)是一种新型的网络架构，SDN技术将网络控制的功能从网络设备中抽离出来，并提供了一个可编程接口。当应用到云计算领域，云平台可以根据云应用的需求通过这些接口配置底层网络，以此实现云应用和底层网络的紧密衔接。SDN技术在云数据中心网络中正得到越来越广泛的应用。

混合云是一种结合公有云和私有云的组合形态，其基础设施部署在各个云中，由其所有者或第三方联合管理。私有云部署在各个企业的内网之中，通过网络与公有云进行互连，当需要时将各自的私有云资源扩展到公有云中。将一般应用、数据及服务部署在公有云，将相对重要的服务部署在私有云，以此方式获得不同云的部署模式带来的综合优势。

虽然带来了灵活、低成本及可扩展等优势，混合云在安全方面面临着许多问题。混合云的安全风险包括公有云部分、私有云部分和安全传输部分。为实现安全可靠地互连，通常会使用VPN(Virtual Private Network，虚拟专用网络)技术。但是相对于传统的安全传输，云节点间数据的传输有着更加灵活多变的需求：一个节点可能要与多个节点进行安全的数据交换；在两个节点间，不同的数据可能有着不同的安全需求。

而使用传统的IPsec VPN不仅无法很好的适应快速多变的传输需求，还会造成资源的闲置和浪费。传统的IPsec VPN网关管理模型均使用离线的安全隧道建立机制，网络管理员必须对安全传输设备进行预配置，并提前建立安全隧道，且安全隧道的建立和关闭是由管理员手动触发的，这是一种“推送”的配置管理方式。在该模型下，网络管理员必须逐一接入安全传输设备进行配置才可满足新的安全传输需求，对于空闲隧道的维护也将浪费许多资源。

此外，IPsec VPN网关对IPsec流进行处理时，需要频繁地进行加解密运算，属于计算密集型的处理过程。在如今云计算环境下，为了应对这个问题，IPsec VPN网关通常采用分布式模型，将IPsec流的处理过程分配到处理节点进行。但是，这样的分布式模型常常会面临负载分配不均衡，从而导致浪费资源，处理性能不佳的问题。同时，在这样的模型下，IPsec VPN网关的负载分发节点常常采用串行方式，导致负载均衡策略生成过程与负载流的分配过程无法同时进行，降低了网关的处理性能。

发明内容

为了解决在SDN架构下对IPsec VPN网关的管理与负载均衡，本发明将IPsec流负载均衡器作为一个控制模块部署到SDN控制器中。