技術領域

本發明屬于計算機網絡技術領域，具體涉及一種基于OpenFlow協議的網絡虛擬化平臺虛擬網絡流量分類的方法。

背景技術

隨著互聯網技術的飛速發展，互聯網應用與用戶數量急劇增長，基于TCP/IP的互聯網逐漸暴露出許多的問題與弊端。不少國家提出了下一代互聯網計劃，軟件定義網絡應運而生。

OpenFlow軟件定義網絡由兩部分組成：數據平面，用來轉發網絡數據包；控制平面，用來控制網絡數據包的轉發策略。數據平面的OpenFlow交換機內部維護一張轉發表，稱之為虛擬網絡流規則描述表。虛擬網絡流規則描述表可以根據數據包包頭的一層(物理層)到四層(傳輸層)特征進行匹配，并指定匹配虛擬網絡流規則描述表項的數據包的處理方法。當一個數據包進入OpenFlow交換機后，OpenFlow交換機會查詢內部的虛擬網絡流規則描述表，按虛擬網絡流規則描述表處理數據包。若OpenFlow交換機內部沒有能夠匹配數據包的虛擬網絡流規則描述表，OpenFlow交換機會將這個數據包轉發給控制平面的OpenFlow控制器，OpenFlow控制器再向OpenFlow交換機下發一條虛擬網絡流規則描述表，指示OpenFlow交換機如何處理這個數據包。OpenFlow交換機和OpenFlow控制器之間的通信遵循OpenFlow協議。OpenFlow協議定義的上行信令(OpenFlow交換機到OpenFlow控制器)和下行信令(OpenFlow控制器到OpenFlow交換機)。

如果將一個OpenFlow網絡交給多個OpenFlow控制器來控制，每個OpenFlow控制器只控制網絡中的一部分特定的網絡數據包，這樣，每個OpenFlow控制器就控制著一個虛擬網絡。但是在OpenFlow1.0中，每個OpenFlow交換機只能有一個控制邏輯，因此，不能將不同特征的數據包交給不同的OpenFlow控制器處理。為此，需要在OpenFlow交換機和OpenFlow控制器之間添加一個網絡虛擬化層，它接收所有OpenFlow交換機的上行信令，并根據上行信令的特征將它轉發給對應的OpenFlow控制器處理。同樣，網絡虛擬化層收到的OpenFlow控制器下發的下行信令也要對信令進行處理，處理后再將其轉發給相應的OpenFlow交換機。

網絡虛擬化層具體實現過程如下：網絡虛擬化平臺為網絡建立與多個虛擬網絡相對應的多個切片(Slice)，為每個Slice指定一個OpenFlow控制器，將屬于不同Slice的網絡數據包轉發給對應的OpenFlow控制器以實現網絡虛擬化；再向每個Slice中添加流空間(FlowSpace)。流空間描述了轉發給Slice的數據包的特征，至少包含以下多個匹配項中的一個或多個：交換機端口(layer?1)，源mac/目的mac或以太網類型(layer?2)，源IP/目的IP或協議類型(layer?3)，TCP/UDP源端口/目的端口(layer?4)；網絡數據包進入OpenFlow交換機后向網絡虛擬化平臺發送PacketIn信令，網絡虛擬化平臺將PacketIn信令與FlowSpace中的匹配項進行匹配，若PacketIn信令匹配了FlowSpace中的流規則，則將這條PacketIn消息轉發給這條FlowSpace所在的OpenFlow控制器。

現有技術中存在以下缺點：

1）網絡虛擬化平臺基于每個交換機進行虛擬網絡劃分，每當一個數據包進入OpenFlow交換機產生PacketIn，網絡虛擬化平臺都會將數據包與所有FlowSpace匹配，判斷該數據包屬于哪個虛擬網絡，當數據包離開本交換機進入下一個交換機后，網絡虛擬化平臺還會將此數據包與所有FlowSpace匹配，判斷該數據包屬于哪個虛擬網絡。這樣每一跳都要進行虛擬網絡的判斷，效率較低。

2）OpenFlow協議允許交換機對數據包進行靈活的修改操作，當一個數據包被一個虛擬網絡操作后，數據包的部分字段可能被改變，此數據包進入另一個OpenFlow交換機后，可能被網絡虛擬化平臺判斷為另一個虛擬網絡的數據包，這就導致了一個數據包被不同的與虛擬網絡相對應的OpenFlow控制器控制，數據包隔離性差。

3）網絡虛擬化平臺雖然對與虛擬網絡相對應的OpenFlow控制器下發的虛擬網絡流規則描述表匹配項進行檢查與修改，但是對flowspace的互斥性沒有檢查，這導致與虛擬網絡1相對應的OpenFlow控制器下發的虛擬網絡流規則描述表可能匹配了虛擬網絡2對應的數據包，產生信令越界。