[发明专利]一种基于SDN的网络配置系统

说明书

本发明涉及通信设备的网络配置系统技术领域，尤其涉及一种基于SDN的网络配置系统，应用于Linux系统；包括：SDN控制器用于生成并下发转发流表；SDN设备内包括：获取单元，用于获取系统内各个应用程序产生的应用流量；路由单元内预先设有多个相互独立的业务转发通道，每个业务转发通道对应于一个应用程序；转发单元根据转发流表的流表项将各应用流量匹配到对应的至少一个业务转发通道中。有益效果在于：通过多个业务转发通道隔离三层网络，避免了复杂的路由设置；多个业务转发通道于应用层相互隔离，保障了网络运行的稳定性和安全性；多个业务转发通道于内核层相互连接，提升了业务转发的灵活性。

技术领域

本发明涉及通信设备的网络配置系统技术领域，尤其涉及一种基于SDN的网络配置系统。

背景技术

Linux系统的Network Namespaces(网络命名空间)是一种网络资源隔离方案。Network不再是全局性的，而是属于某个特定的Namespace(命名空间)。每个Namespace下的资源对于其他Namespace下的资源都是不透明的、不可见的。

在现有技术中，SDN设备采用iptables配置网络，有着配置复杂且难以更改的天然劣势。而且对于多上联的网络配置系统，iptables需要复杂的路由设置，SDN设备中不同的三层网络的上联需要通过路由来区分不同的网络。在路由区分的同时还要完成多IP上联的NAT(Network Address Translation，网络地址转换)转换，策略编写复杂，策略的复杂度随着上联数量增加而成倍增加，不符合简化网络配置的目的。业务控制程序在路由规则和业务绑定上存在业务深度耦合的问题，影响业务的灵活性。因此，现需要一种既能使Namespace的应用流量隔离，同时又能使三层网络互通的网络配置系统。

发明内容

针对现有技术中存在的上述问题，现提供一种基于SDN的网络配置系统。

具体技术方案如下：

本发明包括一种基于SDN的网络配置系统，应用于Linux系统；包括：

一SDN控制器，用于生成并下发转发流表；

一SDN设备，所述SDN设备内包括：

获取单元，用于获取系统内各个应用程序产生的应用流量；

路由单元，所述路由单元内预先设有多个相互独立的业务转发通道，每个所述业务转发通道对应于一个所述应用程序，并用于将分配至所述业务转发通道的所述应用流量转发至所述SDN设备的外部端口；

转发单元，分别连接所述获取单元和所述路由单元，用于接收所述转发流表，并根据所述转发流表的流表项将各所述应用流量匹配到对应的至少一个所述业务转发通道中。

优选的，每个所述业务转发通道包括一接收端口和一发送端口，所述接收端口通过一网络地址转换模块连接所述发送端口，所述接收端口用于接收匹配的所述应用流量，并通过所述网络地址转换模块和所述发送端口将所述应用流量转发至所述外部端口。

优选的，多个所述业务转发通道包括第一类业务转发通道和第二类业务转发通道，所述第一类业务转发通道的发送端口与所述SDN设备的外部端口连接；

所述第一类业务转发通道的发送端口与所述第二类业务转发通道的发送端口相互连接以实现所有的所述业务转发通道于内核层打通；

在所述第二类业务转发通道转发匹配的所述应用流量时，由获得公网地址的所述第一类业务转发通道的发送端口向所述第二类业务转发通道发送自己的序列号，以使所述第二类业务转发通道能够通过所述第一类业务转发通道的发送端口将所述应用流量转发至所述外部端口，从而与对端服务器完成连接。

优选的，所有的所述接收端口相互隔离以实现所有的所述业务转发通道于应用层上相互隔离。