本发明涉及软件及网络技术,具体涉及一种利用SDN技术解决分布式防火墙网络一致更新的方法。
背景技术:
在网络规模急剧增长的大数据时代,网络的一致更新难题正日益凸显,即便我们小心翼翼让旧的和新的配置都准确无误,也会很难正确的被实现,处理不当就会出现诸如转发回路、数据丢包或者网络堵塞等问题。最主要的原因在于网络是一个分布式系统,而算法很难完全做到分布式管理。有些时候需要网络管理员手动验证网络的一系列更新是否是正确,但是这一过程冗杂并极易出错。
通常情况下网络又是需要更新配置的,比如网络设备的维护升级,或者防止网络拥塞修改数据流的路径,改变现有网络环境的安全策略等等。它需要设备在网运行时去修改路由器或交换机中的配置。如果没有策略的去简单实现,会影响网络的安全,这在网络中是决不允许出现的。
在现有技术下,如若想实现网络的更新,我们要么是对整个网络环境进行版本化的更新,或者对设备进行下电处理,然后逐一进行配置,更新版本的方式太过于复杂,手动配置不能实现网络的一致更新,尽管对于一部分的应用场景还可以继续适用,但是在如今的快速度低延时的大数据环境下已经不再是主流。
技术实现要素:
本发明的目的在于提供一种利用SDN技术解决分布式防火墙网络一致更新的方法。
实现本发明目的的技术方案为:一种利用SDN技术解决特定分布式防火墙网络一致性更新问题的方法,系统架构包括Mininet模拟环境平台、OpenDaylight控制器、RESTAPI应用编程接口和分布式防火墙网络拓扑结构;所述分布式防火墙网络拓扑结构包括第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机、第四OpenFlow智能交换机、第一主机、第二主机、第一监控主机和第二监控主机,所述第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机、第四OpenFlow智能交换机顺次连接,所述第一主机与第二OpenFlow智能交换机相连,第二主机与第三OpenFlow智能交换机相连,第一监控主机与第一OpenFlow智能交换机相连,第二监控主机与第四OpenFlow智能交换机相连;该方法包括以下步骤:
第一步,开启Mininet模拟平台并初始化SDN基础环境,修改自定义拓扑配置文件创建需要的网络结构,使用net命令查看链路状态;
第二步,运行/opt/opendaylight-snapshot/run.DelayedSFEP.sh命令来开启内部OpenDaylight控制器,并让主机之间互ping,测试平台环境是否能够模拟真实有效的网络;
第三步,关于第一监控主机和第二监控主机,分别配置命令“ifconfigh1-eth0:010.0.0.10”和“ifconfigh2-eth0:010.0.0.10”,在第一监控主机和第一OpenFlow智能交换机的接口之间以及第二监控主机和第四OpenFlow智能交换机之间添加混叠IP地址10.0.0.10;创建task-init.sh脚本文件来对第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机安装初始流表条目,使第一主机周期性的发送数据包至第二主机上,初始状态下由第一监控主机负责监测经过验证的主机流量;在下发的流表规则中对第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机进行配置,所有的流表项中添加匹配信息,设置VLAN为1,数据报文在传输前包头中的VLAN匹配字段设置为1;
流表中定义第一OpenFlow智能交换机的操作集,操作集中交换机剥离原有的vlan标记并将新的VLAN匹配信息值设置为1,将报文的目的MAC地址设置为第一监控主机的MAC地址,报文流经第一OpenFlow智能交换机时的转入接口为第二接口,转出接口为第一接口。
设定第二OpenFlow智能交换机为初始交换机,第一OpenFlow智能交换机、第三OpenFlow智能交换机为后续交换机,设置流表优先级为1000,流表中定义第二OpenFlow智能交换机的操作集,交换机剥离原先设定的vlan标记并将新的匹配信息vlan的值设置为1,报文流经第二OpenFlow智能交换机时的转入接口为第一接口,与第一智能交换机相连的转出接口为第三接口,与第三智能交换机相连的转出接口为第二接口;
将第三OpenFlow智能交换机中匹配信息vlan值设置为1,报文流经第三OpenFlow智能交换机时的转入接口为第一接口,转出接口为第二接口;
第一主机发送数据包至第二主机时,数据包流经第二OpenFlow智能交换机、第三OpenFlow智能交换机,将第二OpenFlow智能交换机的第一接口作为数据包的入接口,第二接口作为数据包的出接口,第三OpenFlow智能交换机s3的第一接口作为数据包的入接口,第二接口作为数据包的出接口;
第一监控主机监测第一主机发送的数据包时,数据包流经第二OpenFlow智能交换机、第一OpenFlow智能交换机,将第二OpenFlow智能交换机的第一接口作为数据包的转入接口,第三接口作为数据包的转出接口,第一OpenFlow智能交换机的第二接口作为数据包的转入接口,第一接口作为数据包的转出接口;
第四步,第二监控主机开始监测经过验证的主机流量,此时后续交换机为第四OpenFlow智能交换机、第三OpenFlow智能交换机,初始交换机仍为第二OpenFlow智能交换机,按照先后续交换机最后初始交换机的配置顺序下发流表,即按照第四OpenFlow智能交换机、第三OpenFlow智能交换机、第二OpenFlow智能交换机的顺序依次配置;
创建并运行task-update.sh脚本进行防火墙的一致性更新,确保能完全监控发送的数据报文,在该脚本中对第四OpenFlow智能交换机、第三OpenFlow智能交换机和第二OpenFlow智能交换机定义操作集进行更新;定义的操作集要求所有流表项中添加VLAN匹配信息并将其设置为2,传输的报文添加相应的匹配字段并将VLAN标记设置为相同的值2;
流表规则中定义第四OpenFlow智能交换机的操作集,操作集中要求交换机剥离原先的vlan标记并将新的匹配信息设置为2,报文的目的MAC地址设置为第二监控主机h2的MAC地址,数据报文流经第四OpenFlow智能交换机时的流入口为第二接口,转出接口为第一接口;
下发给第三OpenFlow智能交换机的流表中同样要求交换机剥离原有的vlan标记并将新的vlan匹配信息值设置为2,报文流经第三OpenFlow智能交换机时的流入口为第一接口,与第四OpenFlow智能交换机相连的转出接口为第三接口,与第二主机相连的转出接口为第二接口;
对于第二OpenFlow智能交换机,将流表优先级提高至2000,同时将vlan匹配信息设置为2;数据报文在发送前包头中添加新的vlan匹配字段,当网络更新后流经交换机时按照新的匹配规则进行匹配,由于优先级的提高,数据流按照新的路由路径进行传输,流经第二OpenFlow智能交换机时的流入口为第一接口,与第三OpenFlow智能交换机相连的数据转出接口为第二接口;
第五步,通过第一监控主机和第二监控主机的xterm终端屏显查看接收到的数据报文标号,判断所有数据是否都已经成功发送,如成功则关闭Mininet模拟环境平台,反之继续监测发送直至发送完成。
与现有技术相比,本发明的显著优点为:
(1)本发明通过控制器对交换机下发不同的流表规则,实现了网络的一致更新,从而省去了对每一个交换设备逐一进行手动配置的繁复步骤,且不再需要考虑对交换机进行配置时对传输的数据包以及对原有网络安全造成影响,相比于版本化的更新,能够很容易的实现网络的一致更新;
(2)本发明不会对控制器带来额外的控制负载,并且流表的更新时间很短,能快速适应网络出现的更新。
附图说明
图1本发明所采用的分布式防火墙网络拓扑图。
图2本发明初始条件下由第一监控主机h1监测流量的网络拓扑图。
图3本发明更换监控设备后的网络拓扑图。
图4本发明解决网络更新问题的方法流程图。
具体实施方式
SDN的出现增加了网络的灵活性,通过软件编程的方式改变了之前的“硬编码”,可以让添加和改变网络控制逻辑变得更简单,能够为不同的用户设计专用的协议并且能够对新案例快速支撑。它减少了交换机的复杂性,控制逻辑从交换机和主机移到主服务器上,交换机上硬件仍支持转发,所以交换机的转发性能未受到影响,而集中的网络控制有更快的时间收敛和更高的资源利用率。利用SDN技术来解决分布式防火墙一致更新问题是本发明基于上述考虑而设计的。
结合图1-图4,本发明的一种利用SDN技术解决特定分布式防火墙网络一致性更新问题的方法,系统架构包括Mininet模拟环境平台、OpenDaylight控制器、RESTAPI应用编程接口和分布式防火墙网络拓扑结构;所述分布式防火墙网络拓扑结构包括第一OpenFlow智能交换机s1、第二OpenFlow智能交换机s2、第三OpenFlow智能交换机s3、第四OpenFlow智能交换机s4、第一主机gen、第二主机srv、第一监控主机h1和第二监控主机h2,所述第一OpenFlow智能交换机s1、第二OpenFlow智能交换机s2、第三OpenFlow智能交换机s3、第四OpenFlow智能交换机s4顺次连接,所述第一主机gen与第二OpenFlow智能交换机s2相连,第二主机srv与第三OpenFlow智能交换机s3相连,第一监控主机h1与第一OpenFlow智能交换机s1相连,第二监控主机h2与第四OpenFlow智能交换机s4相连;该方法包括以下步骤:
第一步,开启Mininet模拟平台并初始化SDN基础环境,修改自定义拓扑配置文件创建需要的网络结构,使用net命令查看链路状态;
第二步,运行/opt/opendaylight-snapshot/run.DelayedSFEP.sh命令来开启内部OpenDaylight控制器,并让主机之间互ping,测试平台环境是否能够很好的模拟真实有效的网络;
第三步,关于第一监控主机h1和第二监控主机h2,分别配置命令“ifconfigh1-eth0:010.0.0.10”和“ifconfigh2-eth0:010.0.0.10”,在第一监控主机h1和第一OpenFlow智能交换机s1的接口之间以及第二监控主机h2和第四OpenFlow智能交换机s4之间添加混叠IP地址10.0.0.10;创建task-init.sh脚本文件来对第一OpenFlow智能交换机s1、第二OpenFlow智能交换机s2、第三OpenFlow智能交换机s3安装初始流表条目,使第一主机gen周期性的发送数据包至第二主机srv上,初始状态下由第一监控主机h1负责监测经过验证的主机流量;在下发的流表规则中对第一OpenFlow智能交换机s1、第二OpenFlow智能交换机s2、第三OpenFlow智能交换机s3进行配置,所有的流表项中添加匹配信息,设置VLAN为1,数据报文在传输前包头中的VLAN匹配字段设置为1;
流表中定义第一OpenFlow智能交换机s1的操作集,操作集中交换机剥离原有的vlan标记并将新的VLAN匹配信息值设置为1,将报文的目的MAC地址设置为第一监控主机h1的MAC地址,报文流经第一OpenFlow智能交换机s1时的转入接口为第二接口,转出接口为第一接口。
设定第二OpenFlow智能交换机s2为初始交换机,第一OpenFlow智能交换机s1、第三OpenFlow智能交换机s3为后续交换机,设置流表优先级为1000,流表中定义第二OpenFlow智能交换机s2的操作集,交换机剥离原先设定的vlan标记并将新的匹配信息vlan的值设置为1,报文流经第二OpenFlow智能交换机s2时的转入接口为第一接口,与第一智能交换机相连的转出接口为第三接口,与第三智能交换机相连的转出接口为第二接口;
将第三OpenFlow智能交换机s3中匹配信息vlan值设置为1,报文流经第三OpenFlow智能交换机s3时的转入接口为第一接口,转出接口为第二接口;
第一主机gen发送数据包至第二主机srv时,数据包流经第二OpenFlow智能交换机s2、第三OpenFlow智能交换机s3,将第二OpenFlow智能交换机s2的第一接口作为数据包的入接口,第二接口作为数据包的出接口,第三OpenFlow智能交换机s3的第一接口作为数据包的入接口,第二接口作为数据包的出接口;
第一监控主机h1监测第一主机gen发送的数据包时,数据包流经第二OpenFlow智能交换机s2、第一OpenFlow智能交换机s1,将第二OpenFlow智能交换机s2的第一接口作为数据包的转入接口,第三接口作为数据包的转出接口,第一OpenFlow智能交换机s1的第二接口作为数据包的转入接口,第一接口作为数据包的转出接口;
第四步,第二监控主机h2开始监测经过验证的主机流量,此时后续交换机为第四OpenFlow智能交换机s4、第三OpenFlow智能交换机s3,初始交换机仍为第二OpenFlow智能交换机s2,按照先后续交换机最后初始交换机的配置顺序下发流表,即按照第四OpenFlow智能交换机s4、第三OpenFlow智能交换机s3、第二OpenFlow智能交换机s2的顺序依次配置;
创建并运行task-update.sh脚本进行防火墙的一致性更新,确保能完全监控发送的数据报文,在该脚本中对第四OpenFlow智能交换机s4、第三OpenFlow智能交换机s3和第二OpenFlow智能交换机s2定义操作集进行更新;定义的操作集要求所有流表项中添加VLAN匹配信息并将其设置为2,传输的报文添加相应的匹配字段并将VLAN标记设置为相同的值2;
流表规则中定义第四OpenFlow智能交换机s4的操作集,操作集中要求交换机剥离原先的vlan标记并将新的匹配信息设置为2,报文的目的MAC地址设置为第二监控主机h2的MAC地址,数据报文流经第四OpenFlow智能交换机s4时的流入口为第二接口,转出接口为第一接口;
下发给第三OpenFlow智能交换机s3的流表中同样要求交换机剥离原有的vlan标记并将新的vlan匹配信息值设置为2,报文流经第三OpenFlow智能交换机s3时的流入口为第一接口,与第四OpenFlow智能交换机s4相连的转出接口为第三接口,与第二主机srv相连的转出接口为第二接口;
对于第二OpenFlow智能交换机s2,将流表优先级提高至2000,同时将vlan匹配信息设置为2;数据报文在发送前包头中添加新的vlan匹配字段,当网络更新后流经交换机时按照新的匹配规则进行匹配,由于优先级的提高,数据流按照新的路由路径进行传输,流经第二OpenFlow智能交换机s2时的流入口为第一接口,与第三OpenFlow智能交换机s3相连的数据转出接口为第二接口;
第五步,通过第一监控主机h1和第二监控主机h2的xterm终端屏显查看接收到的数据报文标号,判断所有数据是否都已经成功发送,如成功则关闭Mininet模拟环境平台,反之继续监测发送直至发送完成。
下面结合具体实施例对本发明作进一步说明。
实施例
为了便于本领域的普通技术人员理解本发明的原理、工作过程,首先对本发明中用到的词汇作如下解释或定义:
SDN:SoftwareDefinedNetwork,软件自定义网络。
API:Application Program Interface,应用编程接口。
Xterm:终端模拟器,用来提供多个独立的SHELL输入输出。为了方便更复杂的调试工作,可以使用Mininet中的Xterms命令来开启每个主机节点的终端模拟。
OpenDaylight:是一个基于Java实现的开源控制器,能够快速执行需要完成的网络任务,旨在推动创新以及实施软件定义网络的透明化,它利用了SDN和NFV技术。
Mininet:软件定义网络系统中一种基于进程的虚拟化平台,它使用虚拟化技术使一个单一的系统可以模拟完整的网络,并支持OpenFlow、OpenvSwith等协议。平台中主机的行为同真实网络环境下的设备几乎完全相像,可以通过安全协议远程登录并且运行任意的程序。
下面结合具体的网络结构说明本发明利用SDN技术解决特定分布式防火墙网络一致更新问题,所采用的系统架构为:支持OpenFlow协议的智能交换机,Mininet模拟实验平台,RESTAPI应用编程接口,OpenDaylight控制器,特定分布式防火墙网络拓扑结构。
OpenDaylight控制器能够快速执行需要完成的网络任务,以此来管理并控制分布式防火墙网络状态更新前后的交换机中的流表规则。OpenFlow智能交换机能够解析并执行控制器下发的流表规则,按照流表定义的操作集对流经的数据流进行相应的处理。RESTAPI应用编程接口能够根据网络需求自定义开发,编写程序实现所需的流表配置。
本发明所指的单个初始交换机应用场景下的分布式防火墙网络包括4台支持OpenFlow协议的交换机。
为满足网络初始条件下由第一监控主机h1来监测发送的数据流量,需要对流表规则进行如下配置:
1)为避免对结果产生影响,首先需要将交换机中存在的原有流表规则都删除;
2)按照先后续交换机最后初始交换机的顺序下发流表规则,对第一OpenFlow智能交换机s1、第三OpenFlow智能交换机s3、第二OpenFlow智能交换机s2依次进行配置,要求所有的流表项中添加VLAN匹配信息并将值设置为1。数据在传输前包头信息中会添加VLAN匹配字段,其值也设置为1,这样数据流经交换设备时才能与现有规则匹配,从而传送到接收设备上。
3)流表中定义了第一OpenFlow智能交换机s1相关联的操作集,要求交换机剥离原先设定的vlan标记,并将数据报文的目的MAC地址设置成第一监控主机h1的MAC地址,数据流经交换机s1时的流入口为第二接口,转出接口为第一接口。
4)下发给第三OpenFlow智能交换机s3的流表中规定如下配置,删除并设置新的vlan匹配标记为1,报文流经第三OpenFlow智能交换机s3时的流入口为第一接口,转出接口为第二接口。
5)对第二OpenFlow智能交换机s2进行如下配置,将流表优先级设置为1000,交换机删除并添加新的VLAN匹配信息将值设置为1。报文流经交换机s2时的流入口为第一接口,与第一智能交换机s1相连的转出接口为第三接口,与第三智能交换机s3相连的转出接口为第二接口。
通过RESTAPI接口配置的脚本1为:
#Removepreviousflowsifthereareany:
Curlhttp://localhost:8080/wm/staticflowentrypusher/clear/all/json
#SWITCHS1::
#Packetiscomingtoport2ofswitchS1forh1usingVLAN1tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:01","name":"flow-mod-1","ingress-port":"2",
vlan-id":"1","active":"true","actions":"set-dst-mac=00:00:00:00:00:02,strip-vlan,
output=1"}'http://localhost:8080/wm/staticflowentrypusher/json
#SWITCHS3::
#Packetiscomingtoport1ofswitchS3usingVLAN1tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:03","name":"flow-mod-2","ingress-port":"1",
vlan-id":"1","active":"true","actions":"strip-vlan,output=2"}'
http://localhost:8080/wm/staticflowentrypusher/json
#SWITCHS2::
#Packetiscomingtoport1ofswitchS2forh1&srvusingVLAN1tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:02","name":"flow-mod-3","priority":"1000",
"ingress-port":"1","active":"true","actions":"set-vlan-id=1,output=2,output=3"}'
http://localhost:8080/wm/staticflowentrypusher/json
为了更好的应对网络负载,网络管理员决定改变网络的配置,让经过验证的主机流量由第二监控主机h2进行监测,此时不再需要对设备进行下电处理并逐一对交换机进行配置,仅仅根据需要重新创建task-update.sh脚本就可以实现一致性更新并确保对数据流量不间断的监控,这里按照先更新后续交换机s4、其次交换机s3最后初始交换机s2的顺序来完成:
1)对第四OpenFlow智能交换机s4、第三OpenFlow智能交换机s3和第二OpenFlow智能交换机s2定义明确的操作集,来规避由于网络时延以及新规则生效的时延而导致的无法对传输的数据报文全部监测的问题,从而实现网络更新的连续性。因此在新规则的所有流表项中重新定义新的VLAN标签,即设置VLAN值为2,并在报文传送之前在包头中添加同样的匹配字段。
2)第二监控主机h2监测经过验证的主机流量包时,数据会流经第四OpenFlow智能交换机s4,流表中定义了第四OpenFlow智能交换机s4的操作集,要求交换机剥离原先设定的vlan标记,并将vlan匹配信息值设置为2,将数据报文的目的MAC地址设置成第二监控主机h2的MAC地址。数据流经交换机s4时的流入口为2接口,转出接口为1接口。
3)下发给第三OpenFlow智能交换机s3的流表规定的操作集,同样也要求剥离原先设定的vlan标记,数据流经第三OpenFlow智能交换机s3时的流入口为第一接口,与第四OpenFlow智能交换机s4相连的转出接口为第三接口。
4)对于第二OpenFlow智能交换机s2,需要将流表优先级提高至2000,同时设置匹配信息vlan的值为2。数据流经第二OpenFlow智能交换机s2时的流入口为第一接口,与第三OpenFlow智能交换机s3相连的转出接口为第二接口。在流经交换机的数据被打上vlan2的标记后,由于优先级的提高,会按照新的路由路径进行传输。
通过RESTAPI接口顺序配置的脚本2为:
#SWITCHS4::
#Packetiscomingtoport2ofswitchS4forh2usingVLAN2tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:04","name":"flow-mod-4","ingress-port":"2",
vlan-id":"2","active":"true","actions":"set-dst-mac=00:00:00:00:00:03,strip-vlan,
output=1"}'http://localhost:8080/wm/staticflowentrypusher/json
#SWITCHS3::
#Packetiscomingtoport1ofswitchS3usingVLAN2tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:03","name":"flow-mod-5","ingress-port":"1",
vlan-id":"2","active":"true","actions":"putput=3,strip-vlan,output=2"}'
http://localhost:8080/wm/staticflowentrypusher/json
#SWITCHS2::
#Packetiscomingtoport1ofswitchS2forh2&srvusingVLAN2tag:
curl-d
'{"switch":"00:00:00:00:00:00:00:02","name":"flow-mod-6","priority","2000",
"ingress-port":"1","active":"true","actions":"set-vlan-id=2,output=2"}'
http://localhost:8080/wm/staticflowentrypusher/json
本发明利用SDN技术解决分布式防火墙网络一致更新问题的方法,具体步骤如下:
第一步,开启Mininet模拟平台并初始化SDN基础环境,修改自定义拓扑配置文件创建需要的网络结构,使用net命令查看链路状态;
第二步,运行/opt/opendaylight-snapshot/run.DelayedSFEP.sh命令来开启内部OpenDaylight控制器,并让主机之间互ping,测试平台环境是否能够很好的模拟真实有效的网络;
第三步,运行命令“sudomn--mac--arp--controller remote--custom monitors-topo.py--topo monitors”来使用定义好的Topo.sh脚本文件,创建需要的网络拓扑架构;
第四步,关于第一监控主机h1和第二监控主机h2,分别配置命令ifconfig h1-eth0:010.0.0.10和ifconfig h2-eth0:0 10.0.0.10,在第一监控主机h1和第一OpenFlow智能交换机S1的接口之间以及第二监控主机h2和第四OpenFlow智能交换机s4之间添加混叠IP地址10.0.0.10。创建task-init.sh脚本文件来对交换机安装初始流表条目,使第一监控主机h1来监测传送的网络流量;
第五步,在第一主机gen上运行命令“./udpsender 10.0.0.10 4000 300”,发送数据包到第二主机srv上并持续30S,同时运行命令“mininet>xterm h1 h2 gen srv”来开启每个主机的终端模拟器。第一监控主机h1负责监测来自经过验证的主机流量,一旦出现异常则报错并停止数据报文的传送;
第六步,为应对网络负载,让第二监控主机h2开始监测经过验证的主机流量,因此需要重新创建task-update.sh脚本来实现网络一致性更新并确保能完全监控发送的数据报文。此时后续交换机为s4、s3,初始交换机仍为s2,按照先后续交换机最后初始交换机的配置顺序下发流表,这里按第四OpenFlow智能交换机s4、第三OpenFlow智能交换机s3、第二OpenFlow智能交换机s2的顺序依次配置。
第七步,通过第一监控主机h1和第二监控主机h2开启的xterm终端屏显查看接收到的数据报文标号,判断所有数据是否都已经成功发送,如成功则关闭Mininet模拟环境平台,反之继续监测发送直至发送完成。