技術領域

本發明涉及SDN網絡技術領域，尤其涉及一種SDN服務鏈應用有效性的檢測方法。

背景技術

隨著網絡技術的不斷發展，軟件定義網絡(SDN，SoftwareDefinedNetworking)受到了極大的關注。SDN將傳統網絡設備的數據平面與物理平面相隔離，通過軟件編程的方式管理控制整個網絡。通過SDN控制器，用戶可以編寫自己的APP(Application，應用程序)讓網絡完成指定的功能，以便實現網絡的創新。這些APP可以形成一個服務鏈(servicechaining)來對同一流量進行處理。

然而，這些APP中可能存在惡意的APP或者用戶將某個APP誤配置從而導致整個服務鏈不能正常工作。

所謂的惡意的或者誤配置的app主要是指，通過該app處理后的流量不在受服務鏈后續App的管理控制或者違反網絡的不變量。

如圖1所示，由防火墻(firewall)、監視器(monitor)和負載均衡器(loadbalance)構成的一個服務鏈為server提供一系列服務。但由于用戶誤配置監視器或者啟用了一個未經安全驗證的監視器，這導致了除去源IP為1.0.0.0/24的用戶外其余的用戶都無法正常訪問到服務器。

發明內容

本發明所要解決的技術問題是針對背景技術中的缺陷，提供一種SDN服務鏈應用有效性的檢測方法，通過多app規則合并方法來檢測服務鏈中的惡意或者誤配置app。

本發明為解決上述技術問題采用以下技術方案：

一種SDN服務鏈應用有效性的檢測方法，包含以下具體步驟：

步驟1)，取SDN服務鏈中第一個和第二個應用，記為P和Q；

步驟2)，模擬執行P中每條規則的action，將其作用于規則的匹配域；

步驟3)，取出Q中的一條規則，與P中的每條規則求交，求交結果不為空則作為新的一條規則；

步驟4)，若步驟3)中所述Q中取出的規則與P的任何規則求交均不產生除默認規則外任何新的規則，則標記P應用使Q應用中該取出的規則失效，跳轉到步驟6)，否則跳轉到步驟5)；

步驟5)，將所述Q中取出的規則從Q中刪除后判定Q中是否還存在規則，若Q中不存在規則，則標記P應用沒有覆蓋Q中的規則，跳轉到步驟6)，否則轉到步驟3)；

步驟6)，若服務鏈在Q后還有其他應用，則記Q應用為新的P應用，Q的后續app記為為新的Q應用，并跳轉到步驟2)，否則跳轉到步驟7)；

步驟7)，結束檢測。

本發明采用以上技術方案與現有技術相比，具有以下技術效果：

1.設計簡單，使用方便；

2.能夠有效檢測SDN服務鏈中惡意或者誤配置的apps，從而保證整個鏈功能的有效性。

附圖說明

圖1是SDN服務鏈中存在惡意或誤配置App的一個示例；

圖2是本發明中流表規則合并的示意圖；

圖3是本發明的檢測流程圖；

圖4是本發明的一個具體實施例。

具體實施方式

下面結合附圖對本發明的技術方案做進一步的詳細說明：

本發明公開了一種SDN服務鏈應用有效性的檢測方法，包含以下具體步驟：

步驟1)，取SDN服務鏈中第一個和第二個應用，記為P和Q；

步驟2)，模擬執行P中每條規則的action，將其作用于規則的匹配域；

步驟3)，取出Q中的一條規則，與P中的每條規則求交，求交結果不為空則作為新的一條規則；

步驟4)，若步驟3)中所述Q中取出的規則與P的任何規則求交均不產生除默認規則外任何新的規則，則標記P應用使Q應用中該取出的規則失效，跳轉到步驟6)，否則跳轉到步驟5)；

步驟5)，將所述Q中取出的規則從Q中刪除后判定Q中是否還存在規則，若Q中不存在規則，則標記P應用沒有覆蓋Q中的規則，跳轉到步驟6)，否則轉到步驟3)；

步驟6)，若服務鏈在Q后還有其他應用，則記Q應用為新的P應用，Q的后續app記為為新的Q應用，并跳轉到步驟2)，否則跳轉到步驟7)；

步驟7)，結束檢測。

如圖4所示，本發明的核心思想是合并apps的流表規則，對所形成的“大流表”進行規則的有效性檢查，從而分析出惡意的或者誤配置的apps。

而流表規則的合并主要采用了叉乘的方法，具體過程如下：