网络系统及策略路由设置方法

文档序号:7989252阅读:359来源:国知局
网络系统及策略路由设置方法
【专利摘要】当生成新的流时,在不向控制器传送分组的情况下,本发明实现在虚拟网络配置中定义的给定策略路由控制。具体地,在虚拟网络中,关于在与物理交换机关联的虚拟接口和仅在虚拟节点上定义的虚拟接口之间重定向的策略路由控制,指定与虚拟节点上的虚拟接口的传送目的地关联的物理接口,并且将切换操作设置为物理交换机内部的策略过滤器。当基于策略在虚拟网络中执行重定向传送时,预先在流表中设置与该策略相对应的传送规则,其基于指示虚拟网络中的策略是否是与实际物理交换机的端口相对应的规则的信息来判断是否将传送规则视作静态设置还是通过对终端的检测触发的动态设置,并且确定物理交换机的切换操作。
【专利说明】网络系统及策略路由设置方法
【技术领域】
[0001]本发明涉及网络系统,并且具体地涉及虚拟网络中的策略路由设置方法。
【背景技术】
[0002]在诸如数据中心等的大规模公共使用的网络环境中,已经注意到网络的虚拟化。为了改变系统配置,不会通过改变网络设备之间的连接来构建系统。替代地,期望在不改变物理配置的情况下,能够通过虚拟地管理物理交换机来灵活地构建虚拟网络。
[0003]作为相关技术,在专利文献1(JP2007-213465A)中公开了一种计算机、程序和虚拟计算机系统的控制方法。在该相关技术中,在计算机中,通过控制程序来构建多个逻辑分区。在该多个逻辑分区中分别设置的虚拟接口(I / F)共享物理接口。在存储单元中,存储了指示在物理接口和虚拟接口之间的对应关系的管理信息。控制单元执行该程序。由此,获得通过虚拟接口接收到的去往外部设备的通信数据,并且通过参考该管理信息来选择用于去往外部设备的通信的物理接口。当在通信路由中发生麻烦时,改变在物理接口和虚拟接口之间的对应关系。
[0004]此外,在专利文献2(JP2010-233126A)中,公开了一种路由选择方法、路由选择系统及用于其的路由器。在该路由选择方法中,执行从一个域中的终端到另一域中的终端的路由选择,这形成了跨越多个域的虚拟网络的覆盖(overlay)网络。具体地,在多个域的每一个域中的路由器中,通过使用被分别形成的虚拟节点来形成该覆盖网络。在覆盖网络中,执行从特定域中的边缘路由器(第一路由器)到另一域中的边缘路由器(第二路由器)的隧道连接。第二路由器测量通过该隧道的流量状态并将其报告给第一路由器。在第一路由器中,通过使用下述各项来执行路由选择:测量结果;以及通过由多个域构成的底层(underlay)网络测量的流量状态。通过管理表来管理由被称为BGP(边界网关协议)的协议确定的流量状态(使用频带、延迟和分组丢失率)以及通过多个覆盖网络上的隧道(虚拟链路)控制的路由的流量状态。基于每个路由的流量状态的管理表,确定由底层网络的BGP选择的路由是不是最优路由。如果不是最优路由,则针对其前缀从流量状态管理表中选择最优路由。
[0005][关于⑶分离网络的说明]
[0006]注意,作为用于控制网络系统的方法,提出了一种CU (C:控制平面/ U:用户平面)分离网络系统,其中从外部控制设备(控制平面)控制节点设备(用户平面)。
[0007]作为CU分离网络系统的示例,存在开流网络系统,该开流网络系统利用开流技术,通过该开流技术,通过从控制器控制交换机来执行网络系统的路由控制。在非专利文献I和2中描述了开流技术的细节。注意,开流网路仅仅是各种示例中的一个。
[0008][开流网络系统的说明]
[0009]在开流网络系统中,诸如OFC(开流控制器)等的控制器操作诸如OFS(开流交换机)等的交换机中的流表,使得交换机的行为受到控制。通过使用符合开流协议的控制消息,由用于控制交换机的安全信道来形成在控制器和交换机之间的连接。[0010]开流网络系统中的交换机指形成开流网络并且在控制器的控制下的核心交换机和边缘交换机。在开流网络中分组从输入侧边缘交换机处的分组接收到输出侧边缘交换机处的分组发送的流序列被称为流。
[0011]分组还可以被称为帧。在分组和帧之间的差异仅仅是由协议处理的数据单位(PDU:协议数据单元)的差异。在TCP / IP(传送控制协议/因特网协议)中,分组是rou。另一方面,在以太网(注册商标)中,帧是rou。
[0012]流表是其中登记有流条目的表,通过该流条目定义应用于与预定匹配条件(规则)匹配的分组(通信数据)的预定动作。
[0013]流条目的规则通过下述各项中的任何一项或全部的各种组合来定义:目的地地址;源地址;目的地端口 ;源端口,其被包括在分组的每个协议层级的报头区域中并且是可区分的。注意,作为上述地址,包括了 MAC地址(媒体接入控制地址)和IP地址(因特网协议地址)。此外,除了上述之外,进入端口的信息可以用作流条目的规则。而且,作为流条目的规则,可以设置通过常规表达、通配符等表达指示流的分组的报头区域的一部分(或全部)的表达。
[0014]流条目的动作指示诸如“输出到特定端口”、“丢弃”、“重写报头”等的动作。例如,当在流条目的动作中表示输出端口的标识信息(输出端口号等)时,交换机向对应的端口输出分组。当没有表示输出端口的标识信息时,交换机丢弃该分组。或者,当在流条目的动作中表不报头信息时,交换机基于所表不的报头信息来重写该分组的报头。
[0015]开流网络系统中的交换机对与流条目的规则匹配的分组群(分组系列)执行流条目的动作。
[0016]在开流网络系统中,当存在与接收到的分组匹配的流条目时,交换机根据该流条目中描述的动作来处理接收到的分组。当不存在匹配的流条目时,交换机向开流协议报告分组的接收。
[0017]在开流网络系统中,在通过将从物理节点接收到分组用作为触发来解决虚拟网络的操作来实现路由控制的情况下,当输入分组的数目增加时,控制器的负载变重,并且作为结果,产生了网络操作不稳定的问题。
[0018]此外,存在下述设备(中间设备),该设备被暗地安装在网络中以监视或检查流量(通过该网络传送的数字数据),诸如防火墙或安全设备。这里,这样的中间设备被称为中部盒(Middlebox)。因为中部盒是精密设备并且从而其成本一般较高,因此期望通过使其用于诸如数据中心的环境中的更多服务来提高使用效率。通过虚拟化网络,可以由物理连接关系独立地构建网络。然后,在虚拟网络中,期望一种用于在执行可以灵活利用中部盒的策略路由控制的情况下,解决控制器的负载变重的问题的方法。
[0019]引用列表
[0020]专利文献
[0021][PTL1]日本专利申请公开 JP2007-213465A
[0022][PTL2]日本专利申请公开 JP2010-233126A
[0023]非专利文献
[0024][NPTLl]Nick McKeown 以及其他七个人,“OpenFlow:EnablingInnovationin Campus Networks”,[在线],[2010 年 10 月 22 日获取 I<URL:http: / / www.openflowswitch.0rg / / documents / openflow~wp-latest.pdf>
[0025][NPTL2]OpenFlow Switch Specification,版本 1.0.0<URL:http://www.0penflowswitch.0rg/documents / openflow-spec-vl.0.0.pdf>

【发明内容】

[0026]在实现采用开流网络系统的交换机的虚拟网络配置的情况下,当大约在相同时间从多个交换机出现大量新流或者对新流的询问发生时,存在控制器处理的负载变重并且操作变得不稳定的可能性。
[0027]此外,在用于降低交换机控制器的负载的手段中,已经期望在虚拟网络中实现策略路由控制。
[0028]本发明的目的在于提供一种网络系统,通过该网络系统,当出现新的流时,在不向控制器传送分组的情况下,可以实现在虚拟网络配置中定义的任何策略路由控制。
[0029]根据本发明的一方面,一种网络系统,包括:交换机;以及控制器,该控制器被配置成向交换机中的流表设置流条目,在该流条目中,用于将预定分组作为流统一控制的规则和动作被定义。该控制器包括:用于管理由虚拟节点构成的虚拟网络的配置的功能单元;以及用于基于虚拟网络的配置来确定预定分组的传送路由并且基于传送路由来预先向交换机的流表设置流条目的功能单元。
[0030]根据本发明的一方面,一种控制器,包括:用于管理由虚拟节点构成的虚拟网络的配置的功能单元;用于基于虚拟网络的配置来确定预定分组的传送路由的功能单元;以及用于基于传送路由来预先向交换机的流表设置流条目的功能单元,在该流条目中,用于将预定分组作为流统一控制的规则和动作被定义。
[0031]根据本发明的一方面,由计算机执行一种策略路由设置方法,并且该方法包括:管理由虚拟节点构成的虚拟网络的配置;基于虚拟网络的配置来确定预定分组的传送路由;以及基于传送路由来预先向交换机的流表设置流条目,在该流条目中,用于将预定分组作为流统一控制的规则和动作被定义。
[0032]根据本发明的一方面,一种程序使得计算机执行下述步骤:管理由虚拟节点构成的虚拟网络的配置;基于虚拟网络的配置来确定预定分组的传送路由;以及基于传送路由来预先向交换机的流表设置流条目,在该流条目中,用于将预定分组作为流统一控制的规则和动作被定义。
[0033]在独立于物理网络配置的虚拟网络中,能够实现在稳定网络操作下通过任何中部盒的灵活路由控制。
【专利附图】

【附图说明】
[0034]图1是用于说明根据本发明的网络系统的策略路由设置的示例性实施例的视图;
[0035]图2是示出根据本发明的网络系统的策略路由设置的操作的流程图;以及
[0036]图3是示出根据本发明的网络系统的控制器的配置的框图。
【具体实施方式】
[0037]<示例性实施例>[0038]以下将参考附图来描述本发明的一些示例性实施例。
[0039]本发明针对CU分离型网络系统。在下面的说明中,说明作为CU分离型网络系统的示例的开流网络系统。然而,实际上,本发明不限于开流网络系统。
[0040][两种类型的流条目登记手段]
[0041]在开流中,用于将流条目登记在流表中的手段大致分为“主动型(Proactivetype)” 和“反应型(Reactive type)”。
[0042]在“主动型”中,控制器“预先”(在开始数据通信之前)计算预定分组群(流)的路由(路径),并且将流条目登记在交换机的流表中。即,术语“主动型”这里指示由控制器自动执行的“预先流条目登记”。
[0043]在“反应型”中,“当控制器从交换机接收到关于第一分组(其流条目没有被登记在交换机中的新的分组)的询问时”,控制器计算分组群(流)的路由,并且将流条目登记在交换机中的流表中。即,术语“反应型”这里指示由控制器响应于来自交换机的询问所执行的“实时流条目登记”。
[0044]在开流网络中,基本上“反应型”是主要的,其中,当控制器从交换机接收到关于第一分组的询问时,登记与接收到的分组相对应的流条目。
[0045]然而,为了通过降低流表的处理频率来解决性能的问题,“主动型”被认为是优选的。例如,当大量第一分组到达控制器时,“主动型”被视为优选以用于处理所有第一分组。然而,实际上,在百分之百的“主动型”中,流条目的数目被认为是巨大的。因此,考虑部分地采用“反应型”以避免对流条目的数目的限制。
[0046]此外,通过采用“主动型”,可以在通信开始之前定义流。因此,由于病毒Nimda等产生的大量流的发生以及由未被识别的分组产生的欺骗性接入的问题等被视作是可避免的。
[0047]本发明是用于在开流网络中实现“主动型”的特定手段。
[0048][整体配置]
[0049]如图1中所示,根据本发明的网络系统包括:控制器10 ;交换机20(20_i,i=l到η:η是交换机的数目);路由器30;中间设备(中部盒)40;以及终端50(50-j,j=l到m:m是终端的数目)。
[0050]控制器10基于指示网络连接状态等的拓扑信息来计算路由,并且将流条目登记在与计算的路由相关的交换机的流表中。
[0051]交换机20(20_i,i=l到η)中的每一个交换机根据登记在自身流表中的流条目来传送接收到的分组。交换机20(20-1,i=l到η)经由网络进行连接。
[0052]路由器连接由交换机20(20_i,i=l到η)形成的内部(内侧)网络和外部(外侧)网络。
[0053]中间设备40通常指示在网络中中间插入的设备,诸如防火墙、负载均衡器(负载分散设备)、频带控制设备、安全监视设备等。
[0054]终端50(50_j,j=l至m)是由用户操纵的输入/输出设备,其生成分组并且将分组传送到交换机20(20-1,i=l到η)之中的、作为输入侧边缘交换机(进入)的交换机。
[0055]控制器10和交换机20(20_i,i=l到η)经由安全信道来连接。此外,路由器30、中间设备40和终端50 (50-j, j=l至m)中的每一个连接到交换机20 (20-1, i=l到η)。[0056][硬件的示例]
[0057]以下说明根据本发明的用于实现网络系统的硬件的一些特定示例。
[0058]作为控制器10和终端50(50_j,j=l至m)的示例,假定诸如PC(个人计算机)的计算机、设施、瘦客户端服务器、工作站、主机、超级计算机等。此外,控制器10和终端50(50-j,j=l至m)可以是安装在计算机上的扩展板或者在物理机器上构建的虚拟机(VM)。此外,作为控制器10和终端50(50-j,j=l至m)的示例,考虑移动电话、智能电话、智能本、汽车导航系统、便携式游戏控制台、非便携式游戏控制台、移动音频播放器、手持终端、小部件(电子设备)、交互电视、数字调谐器、数字记录器、信息设施、OA(办公自动化)设备、销售点终端以及多功能复印机、数字标记等。注意,控制器10和终端50(50-j,j=l至m)可以被安装在诸如汽车、船、航空器等的可移动体上。
[0059]作为交换机20(20_i,i=l到η)、路由器30以及中间设备40的示例,考虑网络交换机、路由器、代理、网关、防火墙、负载均衡器、频带控制设备(分组整形器)、安全监视控制设备(SCADA:监督控制和数据获取)、网闸(gateke印er)、基站、接入点(AP)、通信卫星(CS)或具有多个通信端口的计算机。此外,交换机20(20-1,i=l到η)可以是通过在物理机器上构建的虚拟机(VM)实现的虚拟交换机。
[0060]控制器10、交换机20(20-1,i=l到η)、路由器30、中间设备40和终端50 (50_j,
j=l至m)通过下述来实现:处理器,基于程序驱动并且执行预定处理;存储器,存储这样的程序或各种数据;用于连接到网络的通信接口(I / F)。
[0061]作为上述处理器的示例,考虑CPU(中央处理单元)、网络处理器(NP)、微处理器、微控制器和具有专用功能的LSI (大规模集成电路)。
[0062]作为上述存储器的示例,考虑诸如RAM(随机存取存储器)、R0M(只读存储器)、EEPROM(电可擦除和可编程只读存储器)、闪速存储器等的半导体存储设备、诸如HDD (硬盘驱动)或SSD (固态驱动)的辅助存储设备、诸如DVD (数字通用盘)等的可移动盘或者诸如SD存储器卡(安全数字存储器卡)的存储介质等。
[0063]注意,可以将上述处理器和上述存储器组合以形成一体。例如,近年来,在诸如微计算机的设备中已经开发了在一个芯片上形成设备。然后,考虑安装在计算机等上并且具有处理器和存储器的单芯片微计算机的示例。
[0064]作为上述通信接口的示例,考虑诸如板(母版、I / O板)、芯片等的适应网络通信的半导体集成电路、诸如NIC(网络接口卡)或类似扩展卡的网络适配器、诸如天线的通信设备、诸如连接器等的通信端口。
[0065]此外,作为网络的示例,考虑因特网、LAN(局域网)、无线LAN、WAN(广域网)、主干、有线电视(CATV)通信线路、地面线路电话网络、移动电话网络、WiMAX(IEEE802.16a)、3G(第三代)、专用线路(租用线路)、IrDA(红外线数据协会)、蓝牙(注册商标)、串行通信线路、数据总线等。
[0066]然而,它们不限于上述示例。
[0067][物理网络]
[0068]将说明图1中示出的物理网络(实际网络)。
[0069]这里,说明了交换机数目为“3”并且终端的数目为“2”的示例。然而,实际上,其不限于这样的示例。[0070]路由器30的接口 “el”和交换机20-1的接口 “pll”彼此连接。
[0071]中间设备40的接口 “Al”和交换机20-1的接口 “pl2”彼此连接。
[0072]中间设备40的接口 “A2”和交换机20-2的接口 “pl3”彼此连接。
[0073]终端50-1的接口 “e2”和交换机20_2的接口 “p21”彼此连接。
[0074]终端50-2的接口 “e3”和交换机20_2的接口 “p22”彼此连接。
[0075]此外,控制器10通过其内部配置管理单元管理以下说明的逻辑网络的配置(虚拟配置)。注意,该配置管理单元通过上述处理器和上述存储器来实现。
[0076][逻辑网络I
[0077]将说明图1中示出的逻辑网络(虚拟网络)。
[0078]在图1所示的逻辑网络中,路由器、中间设备和终端中的每一个被定义为虚拟节点,并且它们被连接到虚拟桥以形成逻辑虚拟网络。
[0079]这里,逻辑网络包括:虚拟桥“ vBR” 120、路由器“R”、中间设备“Ml ” 140、终端“SI” 150-1 以及终端 “S2” 150-2。
[0080]逻辑网络的接口(虚拟接口 )和物理网络的接口(物理接口 )通过在设计逻辑网络时的配置设置来彼此关联。
[0081 ] 将说明在虚拟网络和物理网络之间的对应关系。
[0082]路由器“R” 130的虚拟接口 “vel”关联到交换机20-1的接口 “pll”。
[0083]终端“SI” 150-1的虚拟接口 “ve2”关联到交换机20_2的接口 “p21”。
[0084]终端“S2” 150-2的虚拟接口 “ve3”关联到交换机20-2的接口 “p22”。
[0085]中间设备“Ml”的虚拟接口 “VA1”关联到交换机20-1的接口 “pl2”。
[0086]中间设备“Ml” 140的虚拟接口 “VA2”关联到交换机20-1的接口 “pl3”。
[0087]虚拟桥“vBR”的虚拟接口 “vpl”连接中间设备“Ml”的虚拟接口 “VA2”和路由器“R,,130 的虚拟接口 “vel”。
[0088]这里,在虚拟桥“vBR”120的虚拟接口“vpl”中,“策略I”被定义为重定向策略(重定向型策略)。在“策略I”中,设置了 “条件I”和“条件2”。
[0089]“条件I”是表示传送分组(输出分组)被传送到中间设备“Ml” 140的规则。
[0090]“条件2”是表示传送分组(输出分组)被传送到虚拟路由器“R” 130的规则。
[0091]S卩,当传送分组与“条件I”匹配时,虚拟桥“vBR” 120将传送分组传送到中间设备“Ml”的虚拟接口 “VA2”。
[0092]而且,当传送分组与“条件2”匹配时,虚拟桥“vBR”将传送分组传送到路由器“R,,130 的虚拟接口 “vel”。
[0093]中间设备“Ml” 140的虚拟接口 “VA1”连接到路由器“R” 130的虚拟接口 “vel”。
[0094]虚拟桥“vBR” 120的虚拟接口 “vp2”和终端“SI” 150-1的虚拟接口 “ve2”彼此连接。
[0095]虚拟桥“vBR” 120的虚拟接口 “vp3”和终端“S2” 150-2的虚拟接口 “ve3”彼此连接。
[0096]在图1中所示的网络中,虚拟配置的重定向策略被反映到物理网络,以在保持由逻辑网络定义的连接关系或者数据流的情况下向物理网络的连接设置进行反映。
[0097][虚拟配置的重定向策略][0098]将说明图1中示出的逻辑网络的操作(预期操作)。
[0099]从终端“SI” 150-1或终端“S2” 150-2传送到路由器“R” 130的外部的流量在被传送到虚拟桥“vBR” 120之后,被从虚拟接口 “vpl”输出。
[0100]此时,“策略I”被应用于虚拟接口 “vpl”,并且当在“策略I”的条件下流量与“条件I”匹配时,其被从虚拟接口 “vpl”传送到中间设备“Ml” 140。
[0101]然后,在应用中间设备“Ml”的诸如流量监视、控制、安全等功能之后,其被输出到路由器“R” 130。
[0102]另一方面,当其与“条件2”匹配时,不被传送到中间设备“Ml” 140,而是直接被传送到路由器“R” 130。
[0103]为了实现使交换机的传送设置遵循逻辑网络的操作,在假定存在终端“A”和终端“B”的情况下,需要针对终端“A” 一终端“B”的路由设置的物理开发。
[0104]终端“A”和终端“B”指示在开流网络系统中除了交换机之外的物理设备,其连接到开流网络系统的交换机的端口,诸如如服务器、客户端PC等的计算机、如安全设备、负载均衡器等的中间设备以及如路由器、层3交换机或层2交换机的中继设备。
[0105]在图1中所示的逻辑网络中,路由器“R” 130、终端“SI” 150-1和终端“S2” 150-2与终端“ A ” 或终端“ B ” 相对应。因此,“ R” 一 “ SI ”、“ R” 一 “ S2 ”、“ SI ” 一 “ S2 ”、“ SI ” 一 “ R”、“S2” 一 “S1”、“S2” 一 “R”与任何终端“A”和终端“B”之间的通信相对应(终端“A” 一终端 “B,,)。
[0106]例如,在图1示出的逻辑网络中,当从路由器“R”130接收到诸如ARP (地址解析协议)的分组时,可以识别路由器“R” 130的MAC地址。而且,当从终端“SI” 150-1接收到诸如ARP的分组时,可以识别终端“SI” 150-1的MAC地址。
[0107]此时,如果能够预先(初步)通过“主动型”来执行在路由器“R”130和终端“Sl”150-1之间的交换机的传送设置,则可以减少“反应型”的被动操作,其中,控制器10在流的第一分组到达控制器10时解决路由(响应于关于第一分组的询问)。因此,能够在数据传送流量的输入之前主动执行交换机设置。
[0108][策略路由设置]
[0109]出于上述目的,参考图2,将说明在终端“A”和终端“B” (终端“A”一终端“B”)之间的通信的路由设置的操作。
[0110](I)步骤 SlOl
[0111]首先,控制器确定在虚拟网络中对于在终端“
之间的通信是否存在重定向策略。
[0112](2)步骤 S102
[0113]此时,当对于在终端“A”和终端“B’
定向策略时,控制器10通过设置从终端“A”
致)的流条目来预先设置传送流。
[0114](3)步骤 S103
[0115]此外,当对于在终端“A”和终端“B’
’(终端“A”一终端“B”)之间的通信不存在重到终端“B”的、与终端“B”的目的地匹配(一
(终端“A”一终端“B”)之间的通信存在重定向策略时,控制器10检查(确认)对其设置了重定向策略的虚拟接口以及作为重定向目的地的虚拟接口。[0116](4)步骤 S104
[0117]控制器10确定那些虚拟接口是否被映射到终端、路由器、中间设备等的物理端口。即,控制器判断虚拟网络上的策略是否是与实际物理网络的端口相对应的规则。
[0118](5)步骤 S105
[0119]当这些虚拟接口两者都被映射到物理端口时(当虚拟网络上的策略是与实际物理交换机的端口相对应的规则时),控制器执行下述操作:控制器在这两个物理端口之间将流条目的设置位置(对其执行了策略设置的接口)设置到被映射到输入侧接口(输入物理端口)的交换机端口 ;并且控制器将重定向目的地设置到被映射到输出侧接口(目的地物理端口)的交换机端口,并且将流条目的匹配条件设置为策略的匹配条件(策略条件)。即,控制器10将对其应用策略设置的接口设置为“输入物理端口 ”,将作为重定向目的地的接口设置为“目的地物理端口 ”,并且将匹配条件设置为“策略条件”。此时,不论终端“A”和终端“B”的地址如何,控制器10都可以对交换机设置与重定向策略相对应的流条目。
[0120](6)步骤 SlO6
[0121]此外,控制器解决物理信息,使得当两个虚拟接口或其中任何一个仅被映射到虚拟端口时(在虚拟网络上的策略不是与物理交换机的端口相对应的规则的情况下),可以执行流设置。首先,当目的地被映射到虚拟端口时,控制器通过从虚拟节点跟踪到终端“B”来识别目的地物理端口。例如,在虚拟节点是虚拟桥“vBR”120并且终端“B”连接到其目的地侧的情况下,终端“B”与之连接的端口被视作为“目的地物理端口 ”。此时,当跟踪虚拟网络时,因为控制器10需要终端“A”和终端“B”的网络地址信息,因此在执行站检测(终端的检测)时,控制器10获悉当终端“A”或终端“B”发送诸如ARP的分组时的MAC地址,并且通过使用MAC地址来对交换机设置与重定向策略相对应的流条目。
[0122](7)步骤 S107
[0123]接下来,当重定向源的输入端口是虚拟端口时,控制器跟踪虚拟网络,直至识别了输入物理端口。例如,在终端“A”经由中间设备“Ml”140和虚拟桥“vBR”120连接到终端“B”的情况下,控制器10从虚拟桥“vBR” 120跟踪到终端“A”,并且当识别到中间设备“Ml” 140的物理端口时,将该物理端口设置为“输入物理端口 ”。
[0124](8)步骤 S108
[0125]此外,当重定向目的地是不具有MAC地址的中间设备“Ml”140时,连接到中间设备“Μ1”140的目的地侧的终端“B”的地址变成目的地地址。因此,控制器10通过跟踪虚拟网络来获得“最终目的地MAC地址”。
[0126](9)步骤 S109
[0127]控制器10将流条目的设置位置设置到中间设备“Μ1”140的物理端口,将重定向目的地设置到终端“B”与之连接的端口,并且将流条目的匹配条件设置为策略的匹配条件和目的地地址条件”。即,控制器10将针对其执行了策略设置的接口设置为“输入物理端口 ”,将重定向目的地侧的接口设置为“目的地物理端口 ”,并且将匹配条件设置为“策略条件+目的地地址条件”。
[0128]如上所述,控制器10可以通过获得针对其设置了策略的交换机的端口位置、重定向目的地和用作流条目的匹配条件的目的地地址来对相应交换机20 (20-1, i=l至η)的流条目中的每一个设置在虚拟网络中定义的重定向处理。[0129]通过上述操作,诸如重定向到中间设备的、在虚拟网络中定义的策略可以被预先设置,通过终端(ARP等)的检测、从管理系统对终端的登记等来触发,不通过在流交换机处接收到分组来触发。
[0130][流条目的设置的示例]
[0131]接下来,将具体说明图1中所示的配置示例中的流条目的设置。
[0132]这里,将考虑执行图1中的从终端“SI” 150-1到目的地路由器“R” 130的流设置的情况。
[0133]在该路由上,应用“策略1”,并且通过在“条件I”下经由中间设备“Ml” 140而在“条件2”下不经由中间设备“Ml” 140来执行针对路由器“R” 130的传送。可以通过基于分组报头字段对条件I和条件2进行区分来定义条件I和条件2。例如,条件I是在TCP (传送控制协议)通信中,TCP的目的地端口号是80 (HTTP)的情况,并且条件2是除了条件I以外的情况。
[0134]针对其应用了“策略I”的接口是虚拟桥“vBR” 120的虚拟接口“vpl”,并且重定向目的地接口是中间设备“Ml” 140的虚拟接口 “VA2”和路由器“R” 130的输出端口 “vel”。
[0135]全部上述情况是从虚拟端口到物理端口的转换。
[0136][经由中间设备“Ml”的情况]
[0137]首先,控制器10获得经由中间设备“Ml”的策略。
[0138]在图2中所示的步骤S106中,物理端口被获得作为目的地端口。因为与中间设备40的虚拟接口 “VA2”相对应的物理端口是中间设备40的接口 “A2”,所以重定向目的地接口是连接到中间设备40的接口 “A2”的交换机20-1的接口 “pl3”。
[0139]此外,针对其设置了策略的端口是通过经由虚拟桥“vBR” 120跟踪到终端“SI” 150-1而识别的终端“SI” 150-1的虚拟接口“ve2”。因为与终端“SI” 150-1的虚拟接口“ve2”相对应的物理端口是终端50-1的接口“e2”,因此针对其执行了策略设置的接口是连接到终端50-1的接口 “e2”的交换机20-2的接口 “p21”。
[0140]此外,因为与路由器“R” 130的输出端口 “vel”相对应的物理端口是路由器30的接口 “el”,所以该路由的目的地是路由器30的地址(描述为“Mr”)。
[0141]然后,在交换机20-2的接口“p21”中,适当地设置其匹配条件是“条件I”、其目的地是“Mr”并且其重定向目的地是接口 “pl3”的流条目。
[0142]注意,实际上,从交换机20-2的接口“p21”到交换机20-1的接口“pl3”构建了多级交换机,使得每个交换机的流设置具有灵活性。
[0143]S卩,当目的地是“Mr”时,可以采用流条目的下述设置。设置了经由交换机20-3向交换机20-1进行传送。在从交换机20-3到交换机20-1的输入端口处,在策略I是“条件I”并且目的地是“Mr”的条件下,设置向接口 “pl3”端口进行传送。
[0144]此外,关于从中间设备到路由器的路由,因为链路的两端被映射到物理端口,所以设置从输入接口 “P 12”到输出接口 “pll”的流条目。
[0145][不经由中间设备“Ml”的情况]
[0146]接下来,将说明在“条件2”下设置从虚拟桥“vBR” 120的虚拟接口 “vpl”到路由器“R” 130的输出端口 “vel”的传送的情况下的设置。
[0147]因为与路由器“R” 130的输出端口 “vel”相对应的物理端口是路由器30的接口“ e 1”,所以重定向目的地接口是连接到路由器30的接口 “ eI ”的交换机20-1的接口 “p11 ”。
[0148]因为与交换机20-1的接口“pll”相对应的虚拟接口是虚拟桥“vBR”120的虚拟接口 “vpl”,所以通过从虚拟桥“vBR” 120的虚拟接口 “vpl”跟踪逻辑网络所到达的输入侧物理端口是连接到终端“SI” 150-1的接口 “p21”。
[0149]此外,与路由器“R” 130的输出端口 “vel”相对应的物理端口是路由器30的接口“el”,该路由的目的地是作为路由器30的地址的“Mr”。
[0150]然后,在交换机20-2的接口“p21”中,适当地设置其策略是“条件2”、其目的地是“Mr”并且其重定向目的地是接口 “pll”的流条目。
[0151]而且,在该情况下,如上所述,在针对交换机20-2、交换机20-3和交换机20_1的每一个的流条目的设置中存在灵活性。
[0152][控制器的配置]
[0153]参考图3,说明控制器10的配置示例。
[0154]控制器10包括配置管理单元11、路由设置单元12和流表设置单元13。
[0155]配置管理单元11管理由虚拟节点构成的虚拟网络的重定向策略和配置。路由设置单元12基于虚拟网络的重定向策略和配置来确定预定分组的传送路由。流表设置单元13基于传送路由来预先向传送路由上的交换机的流表设置其中定义了用于将预定分组作为流统一进行控制的规则和动作的流条目,并且向物理网络反映虚拟网络的重定向策略。
[0156]注意,路由确定单元12判断重定向策略是否是与交换机的物理接口相对应的规则。此时,如果重定向策略是与交换机的端口相对应的规则,则流表设置单元13向传送路由上的交换机中的流表设置与重定向策略相对应的流条目。相反,如果重定向策略不是与交换机的端口相对应的规则,则路由确定单元12通过使用在检测到终端时所获得的终端的信息来解决与该交换机的端口相对应的规则。流表设置单元13向传送路由上的交换机中的流表设置与重定向策略相对应的流条目。
[0157]此外,路由确定单元12基于下述来指定关联到虚拟节点的虚拟接口的传送目的地的物理接口:虚拟节点的虚拟接口之间的重定向策略;以及关联到交换机的物理接口的虚拟接口的信息。流表设置单元13向传送路由上的交换机中的流表设置与重定向策略相对应的流条目。
[0158][本发明的特征]
[0159]如上所述,在本发明中,在虚拟网络的配置信息中,关于在下述项之间重定向的策略路由控制:关联到物理交换机的虚拟接口 ;以及仅在虚拟节点上定义的虚拟接口来指定关联到虚拟网络的传送目的地的物理接口。然后,切换操作被设置为物理交换机中的策略过滤器。结果,当出现新的流时,在不向控制器传送分组的情况下,实现在虚拟网络配置中定义的任何策略路由控制。
[0160]此外,在本发明中,在基于虚拟网络中的策略处理重定向传送中,判断虚拟网络上的策略是否是与实际物理交换机的端口相对应的规则。然后,如果其是与物理交换机的端口相对应的规则,则在不使用终端信息的情况下统计地解决与该策略相对应的传送规则,并且向流表设置与该策略相对应的流条目。如果其是不与物理交换机的端口相对应的规则,则通过检测到终端来触发,通过使用终端信息来动态地解决传送规则,并且向流表设置与该策略相对应的流条目。[0161][效果说明]
[0162]根据本发明,在不取决于物理网络配置的虚拟网络中,可以在稳定网络操作下自由地实现经由任何中部盒(中间设备,诸如防火墙、安全功能等)的路由的灵活控制。
[0163]因此,在虚拟化环境下灵活利用其成本高的中部盒,使得可以在多租户(tenant)环境下改善利用率。
[0164][备注]
[0165]在上述中,具体描述了一些示例性实施例。然而,本发明不限于上述示例性实施例,并且即使在本发明的范围内对其应用了一些修改,其也被包括在本发明中。
[0166]本申请要求基于日本专利申请N0.2011-060408的优先权,并且其公开内容通过引用并入本申请。
【权利要求】
1.一种网络系统,包括:交换机;以及控制器,所述控制器被配置成向所述交换机中的流表设置流条目,在所述流条目中,用于将预定分组作为流统一控制的规则和动作被定义,其中,所述控制器包括:被配置用于管理由虚拟节点构成的虚拟网络的配置的装置;以及被配置用于基于所述虚拟网络的所述配置和所述虚拟网络的重定向策略来确定所述预定分组的传送路由,基于所述传送路由预先向所述交换机的所述流表设置流条目,并且向物理网络反映所述虚拟网络的所述重定向策略的装置。
2.根据权利要求1所述的网络系统,其中所述控制器包括:被配置用于确定所述重定向策略是否是与所述交换机的物理接口相对应的规则的装置;被配置用于当所述重定向策略是与所述交换机的端口相对应的规则时,向所述交换机的所述流表设置与所述重定向策略相对应的流条目的装置;以及 被配置用于当所述重定向策略不与所述交换机的所述端口相对应时,通过使用在终端被检测到时获得的所述终端的信息来解决与所述交换机的所述端口相对应的规则,并且向所述交换机的所述流表设置与所述重定向策略相对应的所述流条目的装置。
3.根据权利要求2所述的网络系统,其中所述控制器进一步包括:被配置用于基于在所述虚拟节点的虚拟接口之间的重定向策略以及关联到所述交换机的物理接口的虚拟接口的信息,来指定关联到所述虚拟节点的虚拟接口的传送目的地的物理接口的装置;以及被配置用于向所述交换机的所述流表设置其中所述交换机的物理交换机处的动作被定义的流条目,作为所述交换机中的策略过滤器的装置。
4.一种控制器,包括:被配置用于管理由虚拟节点构成的虚拟网络的配置和所述虚拟网络的重定向策略的装置;被配置用于基于所述虚拟网络的所述配置和所述虚拟网络的所述重定向策略来确定预定分组的传送路由的装置;以及被配置用于基于所述传送路由来预先向所述交换机的流表设置流条目,并且向物理网络反映所述虚拟网络的所述重定向策略的装置,在所述流条目中,用于将所述预定分组作为流统一控制的规则和动作被定义。
5.根据权利要求4所述的控制器,进一步包括:被配置用于确定所述重定向策略是否是与所述交换机的物理接口相对应的规则的装置;被配置用于当所述重定向策略是与所述交换机的端口相对应的规则时,向所述交换机的所述流表设置与所述重定向策略相对应的流条目的装置;以及被配置用于当所述重定向策略不与所述交换机的所述端口相对应时,通过使用在终端被检测到时获得的所述终端的信息来解决与所述交换机的所述端口相对应的规则,并且向所述交换机的所述流表设置与所述重定向策略相对应的所述流条目的装置。
6.根据权利要求5所述的控制器,进一步包括:被配置用于基于所述虚拟节点的虚拟接口之间的重定向策略以及关联到所述交换机的物理接口的虚拟接口的信息,来指定关联到所述虚拟节点的虚拟接口的传送目的地的物理接口的装置;以及被配置用于向所述交换机的所述流表设置其中所述交换机的物理交换机处的动作被定义的流条目,作为所述交换机中的策略过滤器的装置。
7.一种由计算机执行的策略路由设置方法,包括:管理由虚拟节点构成的虚拟网络的配置和所述虚拟网络的重定向策略;基于所述虚拟网络的所述配置和所述重定向策略,来确定预定分组的传送路由;以及基于所述传送路由来预先向所述交换机的流表设置流条目,并且向物理网络反映所述虚拟网络的所述重定向策略,在所述流条目中,用于将所述预定分组作为流统一控制的规则和动作被定义。
8.一种存储程 序的存储介质,所述程序用于使计算机执行下述步骤:管理由虚拟节点构成的虚拟网络的配置和所述虚拟网络的重定向策略;基于所述虚拟网络的所述配置和所述虚拟网络的重定向策略,来确定预定分组的传送路由;以及基于所述传送路由来预先向所述交换机的流表设置流条目,并且向物理网络反映所述虚拟网络的所述重定向策略,在所述流条目中,用于将所述预定分组作为流统一控制的规则和动作被定义。
9.根据权利要求8所述的存储介质,其中所述程序使所述计算机进一步执行下述步骤:确定所述重定向策略是否是与所述交换机的物理接口相对应的规则;当所述重定向策略是与所述交换机的端口相对应的规则时,向所述交换机的所述流表设置与所述重定向策略相对应的流条目;以及当所述重定向策略不与所述交换机的所述端口相对应时,通过使用在终端被检测到时获得的所述终端的信息来解决与所述交换机的所述端口相对应的规则,并且向所述交换机的所述流表设置与所述重定向策略相对应的所述流条目。
10.根据权利要求9所述的存储介质,其中所述程序使所述计算机进一步执行下述步骤:基于所述虚拟节点的虚拟接口之间的重定向策略以及关联到所述交换机的物理接口的虚拟接口的信息,来指定关联到所述虚拟节点的虚拟接口的传送目的地的物理接口 ;以及向所述交换机的所述流表设置其中所述交换机的物理交换机处的动作被定义的流条目,作为所述交换机中的策略过滤器。
【文档编号】H04L12/931GK103444143SQ201280013945
【公开日】2013年12月11日 申请日期:2012年1月6日 优先权日:2011年3月18日
【发明者】上野洋史 申请人:日本电气株式会社
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1