[发明专利]一种面向SDN网络的控制层与数据层通信通道自配置方法及其系统

说明书

技术领域

本发明属于计算机网络管理技术领域，是一种针对SDN(Software Defined Network,简称SDN)网络的控制层与数据层的通信通道的自动配置的方法。

背景技术

随着云计算、大数据等新兴业务的迅猛发展，网络的变革已经刻不容缓，在这样的趋势下，SDN技术的发展空间将会越来越广泛。因为越来越多的企业和运营商选择将SDN加入它们的网络中，基于SDN构建的大规模网络的需求将不断增加。然而，建设SDN网络前期(在SDN功能完成之前)所投入的成本、人力将明显阻碍SDN的推广。刨去进行设备升级(由传统网络设备到支持SDN的设备)所花费的必须成本，进行SDN功能配置，特别是SDN控制层和数据层的通信通道的配置所花费的人工成本也会随着网络规模的增大而成倍增加。更糟糕的是，手动配置产生的错误严重影响了网络的性能。为了解决手动配置控制层和数据层的通信通道的低效率、高成本、低可靠性等问题，本发明针对单一控制器的SDN网络，提出基于授权U盘生成白名单的控制层与数据层的通信通道自配置技术。通过将授权U盘插入合法的设备上，收集所有要加入网络的设备的信息，形成白名单，之后控制器就可以依据此名单判断设备的合法性，决定是否允许设备进入网络，在正常操作下，可以有效防止非法设备的加入，从而保证了网络的安全，同时由于无需逐个配置每台设备，可以提高整个SDN网络建设的效率，同时也降低了建设网络的成本。

软件定义网络(Software Defined Network,简称SDN)是由美国斯坦福大学Clean Slate研究组提出的一种新型网络创新架构，其基本架构如图1所示，包括三层：最上层是应用层(Application Layer)，由使用SDN通信服务的终端用户的应用组成；中间是控制层(Control Layer)，包含一个或多个控制器提供综合的网络监控功能，并为应用层提供操作网络的接口；最底层是设施层(Infrastructure Layer，也称为数据层)，通过通信通道(一般称其为安全通道Secure Channel，目前主要是OpenFlow协议实现)与控制层进行交互，完成基本的报文交换和转发功能。SDN的核心技术包括：分离网络设备控制层与数据层，实现控制平面集中化，支持可编程网络，这三项技术相辅相成，最终实现对网络的灵活控制，并为核心网络及应用的创新提供了良好的平台。特别是，随着以云计算、大数据为代表的新兴业务的火热发展，现有网络架构已经无法满足云计算、大数据等带来的新需求，在这个趋势下，网络变革已经成为必然，而SDN恰是其中最具代表性和最为被认可的创新型网络架构。因而，越来越多的厂商(包括Cisco、华为、VMware等)投入到SDN的阵营中，也有越来越多的运营商(如电信、联通等)尝试将SDN应用到他们的网络中。

控制层与数据层的通信通道(即安全通道Secure Channel)是实现SDN的集中控制、可编程特性的关键，是将控制与数据分离的基础。虽然SDN使得网络管理变得更加灵活、敏捷、自动化，然而，这些优势均是在控制层与数据层的通信通道正确建立之后才能实现。而要建立控制层与数据层的通信通道，通常需要手动的到数据层的设备上逐个进行配置，随着设备规模的增大，工作量将成倍增加，耗时耗力；此外，由于手动工作准确率无法保证，容易造成网络故障，降低网络的性能。这些问题严重影响了大规模网络应用SDN技术的效率。自配置技术是解决手动配置问题的最佳选择，然而，传统的IP自配置技术关注的是设备IP地址的配置问题，并不适用于SDN的安全通道的自配置，因为在安全通道的配置过程包含的内容远远多于配置设备IP地址，其需要首先完成控制器和其管理的设备之间的安全认证工作，以防止非法设备进入网络，因为非法的设备可以通过DDoS攻击和利用OpenFlow协议的漏洞攻击控制器和其他设备，从而破坏整个网络的安全性；只有在认证通过后，才能进行安全通道的配置工作。授权U盘可以代替控制器收集合法设备(或要加入网络的设备)的信息，形成白名单，并存储到控制器中，因为所需的人工操作就是插拔U盘，而无需到各台设备上进行配置，省时省力，可以显著提高建设SDN网络的效率。