本發明公開了一種支持IPsec VPN負載均衡的SDN控制器，是在現有SDN控制器中增加了IPsec流負載均衡，通過采集各IPsec流處理節點上的流負載信息，計算負載值；根據負載值分類節點，生成負載均衡流—調度表；在IPsec VPN網關上解析并修改網關轉發—流表，實現負載遷移。本發明通過將節點信息采集(11)、負載均衡計算模塊(12)和負載均衡策略生成模塊(13)植入控制層，能夠有效統籌系統的負載均衡，同時不影響增加了負載均衡執行模塊(21)的IPsec VPN網關的轉發工作，能夠有效提升計算密集型的IPsec流處理系統的流量處理性能。

技術領域

本發明涉及一種SDN控制器，更特別地說，是指一種支持IPSec VPN負載均衡的SDN控制器。

背景技術

2013年9月第1次印刷，電子工業出版社，《SDN核心技術剖析和實戰指南》雷葆華等編著。在第15頁圖1-6公開的SDN核心技術體系圖中(記為圖1)，介紹了在SDN架構的每一層次上都具有很多核心技術，其目標是有效地分離控制層面與轉發層面，支持邏輯上集中化的統一控制，提供靈活的開發接口等。其中，控制層是整個SDN的核心，系統中的南向接口與北向接口也是以它為中心進行命名的。轉發層面通過一個Packet_in消息將數據包(Packet，也稱為報文)發送給控制層面。軟件定義網絡(Software-Defined Networking，SDN)是一種新型的網絡架構，SDN技術將網絡控制的功能從網絡設備中抽離出來，并提供了一個可編程接口。當應用到云計算領域，云平臺可以根據云應用的需求通過這些接口配置底層網絡，以此實現云應用和底層網絡的緊密銜接。SDN技術在云數據中心網絡中正得到越來越廣泛的應用。

混合云是一種結合公有云和私有云的組合形態，其基礎設施部署在各個云中，由其所有者或第三方聯合管理。私有云部署在各個企業的內網之中，通過網絡與公有云進行互連，當需要時將各自的私有云資源擴展到公有云中。將一般應用、數據及服務部署在公有云，將相對重要的服務部署在私有云，以此方式獲得不同云的部署模式帶來的綜合優勢。

雖然帶來了靈活、低成本及可擴展等優勢，混合云在安全方面面臨著許多問題。混合云的安全風險包括公有云部分、私有云部分和安全傳輸部分。為實現安全可靠地互連，通常會使用VPN(Virtual Private Network，虛擬專用網絡)技術。但是相對于傳統的安全傳輸，云節點間數據的傳輸有著更加靈活多變的需求：一個節點可能要與多個節點進行安全的數據交換；在兩個節點間，不同的數據可能有著不同的安全需求。

而使用傳統的IPsec VPN不僅無法很好的適應快速多變的傳輸需求，還會造成資源的閑置和浪費。傳統的IPsec VPN網關管理模型均使用離線的安全隧道建立機制，網絡管理員必須對安全傳輸設備進行預配置，并提前建立安全隧道，且安全隧道的建立和關閉是由管理員手動觸發的，這是一種“推送”的配置管理方式。在該模型下，網絡管理員必須逐一接入安全傳輸設備進行配置才可滿足新的安全傳輸需求，對于空閑隧道的維護也將浪費許多資源。

此外，IPsec VPN網關對IPsec流進行處理時，需要頻繁地進行加解密運算，屬于計算密集型的處理過程。在如今云計算環境下，為了應對這個問題，IPsec VPN網關通常采用分布式模型，將IPsec流的處理過程分配到處理節點進行。但是，這樣的分布式模型常常會面臨負載分配不均衡，從而導致浪費資源，處理性能不佳的問題。同時，在這樣的模型下，IPsec VPN網關的負載分發節點常常采用串行方式，導致負載均衡策略生成過程與負載流的分配過程無法同時進行，降低了網關的處理性能。

發明內容

為了解決在SDN架構下對IPsec VPN網關的管理與負載均衡，本發明將IPsec流負載均衡器作為一個控制模塊部署到SDN控制器中。