[发明专利]一种基于SDN的安全服务链系统及数据包匹配转发方法

权利要求书

1.一种基于SDN的安全服务链系统，其特征在于，包括控制平面、流分类节点、服务节点和服务链，所述控制平面主要包括SDN服务链的核心控制部件SDN控制器和OpenFlow1.3交换机，SDN控制器根据用户需求，创建服务链，并部署服务链上的每个服务节点的业务逻辑；控制器将需要进入服务链处理的用户报文特征下发至OpenFlow1.3交换机，OpenFlow1.3交换机根据相应的报文特征将数据报文引入服务链。

2.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述控制平面部署跨层的控制器架构：第一层由“主-从”顶层控制器及负载均衡模块构成；第二层是底层控制器集群系；第三层是数据共享系统；

负载均衡模块通过定时收集各个底层控制器的负载状态对交换机在控制器间的迁移过程进行编排，控制器对交换机的管理按照OpenFlow1.3中协议执行。

3.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述SDN控制器为OpenDayLight控制器。

4.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述流分类节点为原始数据报文的接入节点，按照流分类规则匹配数据报文，对报文做服务链封装，并将其转发到服务链进行处理。

5.根据权利要求1所述的基于SDN的安全服务链系统，其特征在于，所述服务节点作为资源被分配使用，通过SDN对服务链的定义和引流串联，完成预定义的工作；服务节点主要包括防火墙、反病毒、视频优化和监控。

6.根据权利要求1所述的基于SDN的安全服务链系统的数据包匹配转发方法，其特征在于，包括以下步骤：

1)数据包上送控制器处理时，在控制器上解析Packet-In报文，根据报文目的地址确定是虚拟网络内的东西向流量还是通往传统网络的南北向流量；

2)如果是南北向流量则将报文转发到网关设备，报文后续的处理由网关设备负责；如果是东西向流量，从收到的Packet-In报文中提取源端口，并根据源端口确定源subnet、network、router信息；同时根据Packet-In报文的目的IP地址获取目的端口，并根据目的端口确定目的subnet、network、router信息；

3)对于东西向流量，根据报文特征进行服务链匹配：

(1)首先使用源端口和目的端口的属性与服务链配置进行匹配，如果找到匹配的服务链，则下发导流表；如果存在匹配的服务链，则控制器会确定服务链所在交换机标签，并向交换机和后续处理节点下发流表项；当匹配到多条服务链时，按照最精确匹配的原则确定实际使用的服务链配置；

(2)非服务链转发：如果未找到匹配的服务链，则下发东西向卸载的流表项。