一种按需灵活定制NFV网络服务的系统与方法与流程

本发明属于网络通信和计算领域，具体地说是提出了一种根据用户需求在网络功能虚拟化(nfv)环境下灵活定制网络服务的系统与方法。

背景技术：

在计算机网络中，网络服务是运行在应用层的一种应用程序，它们能够提供数据存储、处理、表示、通信或其它分布式计算能力，可认为一个网络服务是某种网络功能的集合。网络服务是网络创新最为活跃的领域，是网络价值的体现。对于传统网络而言，一个网络服务通常是由位于不同网络设备中的多个网络功能组合而成的，部署、配置一个网络服务通常需要在多个物理网络设备上，通过人工安装多个软硬件、配置多种策略，定义分组流的转发路径来完成；并且网络服务的升级和变更也都需要人工调整，无法满足网络服务快速迭代变更的需求。随着网络应用类型和数量的爆炸性增长，目前这种僵化的网络架构和服务模式已经无法满足用户日益增长的应用需求。而网络功能虚拟化(nfv)技术的出现，为网络运营商应对网络应用创新速度加快的形势，迅速处理不断升级和变化的用户场景和降低管理网络的成本提供了发展契机。

在nfv中，通过虚拟化技术抽象出虚拟网络功能(vnf)，这些vnf通常运行在虚拟机、容器之中形成各种类型的虚拟中间盒，每个虚拟中间盒具有独立的网络空间和功能，能够支持vnf的运行，它们是运行在通用服务器之上由软件实现的提供专用网络功能的虚拟网络设备。人们利用服务功能链(sfc)技术能够将这些位于虚拟中间盒中的若干vnf关联起来，通过生成一条满足特定功能、性能的网络路径来定制网络服务。由于sfc能够通过定义vnf的组合以及执行顺序来定制某种网络服务，为定制基于vnf的网络服务提供了一种灵活方法。通过分析定制sfc的过程可见，定制一个sfc有两个基本要求：一是通过保持各vnf间的顺序而保证功能正确；二是让流量不要通过不必要的vnf以保证其效率。然而，目前该方法还存在以下两方面问题：第一个问题是控制精度不够精细。对于在nfv环境中的每个vnf而言，除了定制分组流经过vnf序列的顺序外，还有其他因素影响vnf行为，如控制每个vnf运行的时序与时段，以及运行vnf时的配置参数等。因此，如果我们能够以更细的粒度来管控vnf行为(即vnf逻辑、流经各个vnf的次序、vnf运行时序、vnf运行参数)，就能使vnf序列呈现出更为丰富的行为，从而能够更为精细地定制网络服务，使基于nfv的网络服务功能更加多样化。第二个问题是如何让系统能够理解用户对网络服务的需求，并且能够将需求描述自动转换为对vnf行为的控制，从而使得定制网络服务更加灵活。

本发明的意义和重要性在于，提出了一种在nfv环境中支持灵活定制网络服务的系统，定义了一种细粒度描述网络服务需求的表示方法；用户能够利用网络服务需求的表示方法描述网络服务需求并定义网络服务控制文件，系统能够根据该控制文件灵活地控制网络服务。

技术实现要素：

[发明目的]：

针对目前在nfv环境中无法根据用户需求灵活定制网络服务的问题，本发明设计了一个在nfv环境中支持灵活定制网络服务功能的系统，定义了一种细粒度描述网络服务需求的表示方法以生成网络服务控制文件；系统采用本发明的方法，解释执行网络服务控制文件从而灵活地控制网络服务。

[技术方案]：

本发明针对的技术方案是：

1、一种支持灵活定制基于nfv的网络服务功能的系统，其特征是它包括：

a.该系统的组成结构如图1所示，包括网络服务控制文件、解释执行模块和虚拟中间盒。其中网络服务控制文件用于描述用户的网络服务需求；解释执行模块负责解析控制文件并将分解出来的对于各个vnf行为控制动作插入任务队列中；任务到达队列首部，执行程序直接操作虚拟中间盒中的vnf，使vnf具有网络服务控制文件所指示的行为。网络服务控制文件和解释执行模块构成了控制平面，控制平面根据网络服务控制文件定义的vnf运行逻辑、先后顺序、时序关系、运行参数等控制执行平面中的虚拟中间盒中的vnf运行。执行平面是由提供各种vnf的虚拟中间盒组成，具体执行由控制平面下达的各种控制vnf行为的指令，从而形成网络服务的功能。

b.该系统的工作过程是：首先，用户根据网络服务的需求，编辑描述vnf行为的网络服务控制文件；其次，解释执行模块读入该网络服务控制文件，通过解析该文件生成控制vnf行为的任务队列，执行程序根据任务调度顺序来调控虚拟中间盒中的vnf行为；最后，虚拟中间盒中的vnf运行，提供用户定制的网络服务所提供的功能。

2、一种细粒度描述网络服务需求的表示方法，其特征是它包括：

a.该表示方法采用一种标记语言形式化地描述用户的网络服务需求控制策略，该标记语言的语法定义如下：

identifier[trigger]subject‘{’action‘}’target[priority]

式中identifier表示策略的唯一标识符，trigger表示此策略下发到虚拟中间盒的时刻，subject表示该控制策略的来源，action表示目标集合内vnf的处理动作，target表示控制目标集合，priority表示策略的优先级，在执行时间trigger相同时生效，优先级高的目标优先接收任务。

b.一种细粒度描述网络服务需求的定义方法，该方法的第一层为根元素<nsvmbcontrol></nsvmbcontrol>，表示该文档是描述控制构成网络服务的vnf行为的xml文档。第二层的标签为<strategy></strategy>，该元素定义了一条控制策略的描述信息。第3层定义了该策略的控制目标集合、执行时间和动作等信息，这些子元素的标签定义如表1所示。

表1控制策略子元素定义

c.上述标签按层次逐行存放在网络服务控制文件中(参见图2)。

3、一种解释执行模块的实现方法，其特征是它包括：

a.用户可以直接编辑控制描述文件，或通过图形界面来编辑该文件；编辑好的控制文件既可送入解释执行模块直接解析执行，也可以存入文件库以等待时机再进行解析执行；被解析的控制策略交由任务队列处理，到达队列首部的任务由执行程序来控制特定虚拟中间盒中的vnf，使该vnf具有指定的行为；成功解析执行后的控制描述文件可以进入文件库中，以供日后再次利用，解释执行模块的实现方法参见图3。

b.解释执行模块的处理流程如算法1所示。

[有益效果]：本发明的意义在于用户能够在nfv环境中根据网络应用需求，细粒度地描述网络服务，系统能够解释执行网络服务控制文件自动控制vnf的行为，从而按需灵活定制网络服务功能。

[附图说明]：

图1支持灵活定制基于nfv的网络服务的系统结构

图2网络服务控制文件的格式

图3解释执行模块的实现方法

图4原型系统的组成

图5控制ddos攻击和防御服务对网络性能的影响

[具体实施方式]：

以下结合附图和具体实例具体介绍本发明的应用。

1、构建原型系统

在实验室环境下，在intel(r)xeon(r)x5647服务器上实现了一个图3所示的原型系统。该服务器主频为2.93ghz，内存为32g，安装ubuntu16.04server版系统。

采用linux容器(lxc)作为虚拟中间盒，在虚拟中间盒上运行相应的vnf，以构建相应的sdn控制器、openflow交换机、ddos攻击/防御工具、虚拟路由器和虚拟主机等。为实现sdn网络功能，在lxc中间盒上安装和配置了开源sdn控制器onos，以作为虚拟sdn控制器；安装和配置了openvswitch，使用openflow1.3协议与onos控制器通信，以作为虚拟openflow交换机；在lxc中安装tfn2k软件生成具有ddos攻击功能的虚拟中间盒；lxc中安装ddos防御程序生成具有ddos防御功能的虚拟中间盒；为了实现ip的路由功能，在lxc上安装配置了quagga，以作为虚拟路由器。使用linux虚拟网桥技术作为模拟的网络链路，将虚拟中间盒按照图4连接起来，形成了基于nfv的原型系统。

2、ddos攻击服务和防御服务过程控制

试验方案与过程：试验方案与过程：编辑ddos攻击服务和防御服务网络服务控制文件，该文件的部分内容如下：

在t0＝0s时刻，不可信用户a1、a2、a3向sdn网络中发送100mbps的tcp或者udp报文；在t1＝10s时刻，控制a1、a2、a3启动应用tfn2k进行源ip地址随机变换的ddos攻击；在t2＝20s时刻试验结束。为了方便对试验数据进行分析比对，在t1时刻分别启动和不启动d1、d2、d3中的ddos防御程序的两种情况下，统计各个交换机端口转发到sdn网络中的报文的数量。试验重复了20次，取平均值作为试验结果。

图5(a)和图5(b)分别是不启动或启动防御中间盒时，各个交换机端口转发到sdn网络中的报文数量的变化情况。试验表明，该系统能够根据控制描述文件在预定时间自动开启/关闭vnf程序，精确控制vnf的行为，如可以随时修改vnf运行参数。

综上，本发明提出的控制网络服务行为的方法能够正确解析控制文件，精准控制vnf的运行情况，从而灵活、精准地控制网络服务提供功能。