软件定义网络中的数据包转发单元制造技术

本发明专利技术涉及一种数据包转发单元(202)，用于基于一组数据包转发规则在软件定义网络中转发数据包。所述数据包转发单元(202)包括：存储器(202b)，用于存储所述一组数据包转发规则和一组访问规则；访问控制实体(202a)，用于基于所述一组访问规则控制对所述一组数据包转发规则的访问。

Packet forwarding unit in software defined network

The invention relates to a data packet forwarding unit (202) for forwarding data packets in a software defined network based on a set of data packet forwarding rules. The packet forwarding unit (202) includes a memory (202b) for storing the set of packet forwarding rules and a set of access rules, and an access control entity (202a) for controlling access to the set of packet forwarding rules based on the set of access rules.

【技术实现步骤摘要】
【国外来华专利技术】软件定义网络中的数据包转发单元
本专利技术大体涉及软件定义网络。更具体地说，本专利技术涉及软件定义网络中的数据包转发单元。
技术介绍
在传统网络中，路由器和交换机等网络转发元件包含数据面功能(dataplane，简称D面)以及控制面(controlplane，简称C面)功能。软件定义网络(softwaredefinednetworking，简称SDN)是一种网络设计和管理方法，它将控制面与网络的转发面分离，从而实现其独立处理。可以集中管理控制面，以使控制面协议的开发更简单快捷。软件定义网络将网络设备定义为流处理设备，表示为交换机。在这些交换机的基础上，SDN可以将经典管理和控制面智能集中在一个逻辑设备中，该逻辑设备也称为控制器(也称为SDN控制器)。通用抽象和本地可用数据使控制和管理应用的开发更简便。由于控制面的集中化，网络功能迁移到控制器，例如，它们可以实现为在控制器上运行的控制应用(controlapplication，简称cAPP)。例如，在路由时，传统交换机运行链路状态分配协议和路由(路径)计算，而支持SDN的交换机仅将它们的链路状态分发给控制器，然后控制器执行路径计算。通过设置适当的流规则，可以在交换机中使用这些路径。图1示出了SDN架构100的图示。在该网络中，SDN控制器108是关键组件之一。通过所谓的南向应用编程接口(即南向API)，SDN控制器108可以与基础设施层中的网络元件(即多个交换机102)进行通信，并且将必要数据转发至这些交换机102并从这些交换机中转发必要数据，以构建网络状态的集中视图。通过所谓的“北向API”，SDN控制器108可以向多个SDN控制应用104a-c(即，在SDN控制器108上运行的SDNcAPP)呈现集中视图，从而使这些控制应用104a-c能够执行其逻辑并操纵网络状态。南向API可以使用OpenFlow(OF)协议来实现。OF交换机抽象层是协议所做的关键假设，流和流表的概念是该抽象层的核心。流本质上是数据包的任意序列，它们共享通用的一组第2层-第3层(L2-L3)协议比特(例如，目的地为相同互联网协议(InternetProtocol，简称IP)地址的数据包)，而交换机的流表是与该交换机相关的所有流的集合。流表中的每个流表项与一组操作相关联，当输入数据包与流表项匹配时，应执行这些操作。SDN控制器108和交换机102之间的通信信道通常称为控制信道。它可以在逻辑上实现为SDN控制器108和交换机102之间的传输层安全(transportlayersecurity，简称TLS)或传输控制协议(transmissioncontrolprotocol，简称TCP)连接。因此，术语“控制连接”也与“控制信道”具有相同的含义。软件定义网络(更具体地说是基于OF的SDN)被认为是可以发展下一代移动网络架构设计的关键技术之一，因为它具有简单性和网络可编程性特征(例如，参见NGMNAlliance，“5G白皮书”，2015年2月17日)。下一代移动网络的其中一个目标是支持网络切片概念。网络切片主要针对移动核心网的分区，其中网络切片被定义为来自SDN基础设施的资源集合以及支持特定用途的通信服务要求的一组控制应用(controlapplication，简称cAPP)，例如，机器类通信(machinetypecommunication，简称MTC)、车联网(vehicle-to-X，简称V2X)、移动宽带(mobilebroadband，简称MBB)等。对于一个网络切片，可以有一个或多个SDNcAPP，它们可以提供不同的网络服务。来自不同切片的资源可以共享同一个支持SDN的基础设施，并且这些切片可能具有不同的cAPP并具有发送到SDN控制面的不同请求，以便操作基础设施。然而，需要在网络切片的范围内解决几个问题。首先，必须保证同一基础设施上运行的不同切片(例如切片A和切片B)仅可访问该基础设施中与其相关的部分(例如，OpenFlow交换机中的流表项)且切片A不会更改与切片B相关的基础设施的部分。例如，如果切片A的cAPP在交换机S1中配置流表项，则应该保证来自切片B的cAPP无法修改同一交换机S1中切片A的流表项。另一个问题是保证即使在相同的切片内，也可以存在各个切片的每个cAPP的控制域。例如，在来自切片B的具有cAPP#1(例如，移动管理cAPP)和cAPP#2(例如，连接管理cAPP)的情况下，cAPP#1可以在交换机S1中定义一组流表项，以将事件从数据面发送到控制面。然而，应该有机制来保证，只有cAPP#1可以实施这些配置更改(即流表项)，因此不允许cAPP#2更改可能会对cAPP#1运行造成损害的配置。在OpenFlow交换机论坛2009年技术报告文档《FlowVisor：网络虚拟化层》中，建议将名为FlowVisor的虚拟化解决方案用于在不同SDN控制域之间共享物理交换机。该解决方案基于管理程序层。每个SDN控制实体均可获得一份完全隔离的网络资源。FlowVisor实现为OpenFlow代理，可拦截和转换交换机和控制器之间的消息。但是，这种方法也存在一些问题。首先，它不允许单个切片内cAPP之间的访问控制。其次，控制器和交换机之间的附加层增加了额外的控制延迟和开销。第三，由于在控制层消息处理中涉及到附加层，控制面复杂性的增加是不可避免的。在Blenk等人于2015年5月11-15日召开的IFIP/IEEE综合网络管理国际研讨会上发表的文档《具有灵活管理程序功能分配的SDN虚拟化架构》中，提出了一种支持控制面多租户功能的管理程序。这项工作仅侧重于控制面的隔离。然而，该方法没有解决同一切片上cAPP之间的资源共享问题，并且与前面提到的文档类似的是，它的性能较低。在US20150139238A1中，公开了一种用于在与不同切片或租户相关联的交换机中动态创建流表项的方法。然而，本专利技术并未定义在部署之后对所部署的流表项执行哪种访问控制。因此，无法保证另一个切片将覆盖或删除另一个切片定义的流表项。此外，这种方法没有提供任何解决同一租户的cAPP之间的流表项共享问题的机制。因此，鉴于上述情况，需要用于软件定义网络的改进设备和方法。
技术实现思路
本专利技术的目的在于提供用于软件定义网络的改进设备和方法。上述和其它目的通过独立权利要求的主题来实现。根据从属权利要求、说明书以及附图，进一步的实现形式是显而易见的。根据第一方面，本专利技术涉及一种数据包转发单元，尤其是交换机，用于基于一组数据包转发规则在由SDN控制器管理的软件定义网络中转发数据包。所述数据包转发单元包括：存储单元，例如存储器，用于存储所述一组数据包转发规则和一组访问规则；以及访问控制实体，用于基于所述一组访问规则控制对所述一组数据包转发规则的访问。根据如上所述第一方面，在所述数据包转发单元的第一种可能的实现方式中，所述访问控制实体用于通过控制以下过程来控制对所述一组数据包转发规则的访问：控制读取数据包转发规则、写入数据包转发规则和/或使用数据包转发规则。根据如上所述第一方面或所述第一方面的所述第一种实现方式，在所述数据包转发单元的第二种可能的实现方式中，所述数据包转发单元用于接收来自SDN控制器的SDN控制消息，以访问所述一组数本文档来自技高网...

【技术保护点】
1.一种数据包转发单元(202)，用于基于一组数据包转发规则在软件定义网络中转发数据包，其特征在于，所述数据包转发单元(202)包括：存储单元(202b)，用于存储所述一组数据包转发规则和一组访问规则；和访问控制实体(202a)，用于基于所述一组访问规则控制对所述一组数据包转发规则的访问。

【技术特征摘要】
【国外来华专利技术】1.一种数据包转发单元(202)，用于基于一组数据包转发规则在软件定义网络中转发数据包，其特征在于，所述数据包转发单元(202)包括：存储单元(202b)，用于存储所述一组数据包转发规则和一组访问规则；和访问控制实体(202a)，用于基于所述一组访问规则控制对所述一组数据包转发规则的访问。2.根据权利要求1所述的数据包转发单元(202)，其特征在于，所述访问控制实体(202a)用于通过控制以下过程来控制对所述一组数据包转发规则的访问：控制读取数据包转发规则、写入数据包转发规则和/或使用所述一组数据包转发规则的数据包转发规则。3.根据权利要求1或2所述的数据包转发单元(202)，其特征在于，所述数据包转发单元(202)用于接收来自SDN控制器(208a-c)的SDN控制消息，以访问所述一组数据包转发规则；且所述访问控制实体(202a)用于从SDN控制消息中提取识别控制实体的标识，并基于所述一组访问规则和所述标识控制对所述一组数据包转发规则的访问。4.根据上述权利要求中任一项所述的数据包转发单元(202)，其特征在于，所述数据包转发单元(202)是根据OpenFlow标准实现的交换机(202)，且所述一组数据包转发规则以流表、组表和/或计量表的形式存储在所述存储单元(202b)中。5.根据权利要求4所述的数据包转发单元(202)，其特征在于，所述访问控制实体(202a)用于检查以下事项：如果存储在流表中的数据包转发规则和存储在组表或计量表中的另一数据包转发规则具有冲突的访问规则，存储在所述流表中的所述数据包转发规则不将数据包重定向到存储在所述组表或计量表中的所述另一数据包转发规则。6.根据权利要求4或5中任一项所述的数据包转发单元(202)，其特征在于，所述访问控制实体(202b)用于通过控制向所述一组数据包转发规则添加新数据包转发规则的过程，来控制对所述一组数据包转发规则的访问，具体方式为：检查以所述流表扩展形式存储的所述访问规则是否允许向所述一组数据包转发规则添加所述新数据包转发规则。7.根据权利要求6所述的数据包转发单元(202)，其特征在于，所述访问控制实体(202b)用于通过控制向所述一组数据包转发规则添加新数据包转发规则的过程，来控制对所述一组数据包转发规则的访问，具体方式为：如果以所述流表扩展形式存储的所述访问规则允许向所述一组数据包转发规则添加所述新数据包转发规则，进一步检查以所述组表和/...

【专利技术属性】
技术研发人员：安雪莉，克拉丽莎·玛奎赞，伊尚·瓦什纳维，卓然·德斯波托维奇，阿图尔·赫克，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44