[发明专利]一种面向应用的SDN网络策略控制方法

摘要

一种面向应用的SDN网络策略控制方法，本发明由SDN策略控制器、SDN智能交换机、基础应用系统TE组成的SDN基础控制环境，将有类似策略需求的应用终端系统TE划分到同一个TG；使用Overlay封装技术，将SDN网络内的流量封装在VXLAN中传输，扩展VXLAN报头添加新的TG标识，区分不同的策略组；本发明的有益效果本发明基于SDN基础环境，通过扩展VXLAN技术和增加策略组标识，分离物理位置、安全策略与IP地址关系，从而更加方便的部署、迁移服务器，设置安全控制策略，提高SDN的自动化性能和安全管理性能。

主权项

一种面向应用的SDN网络策略控制方法，其特征在于，该方法基于SDN网络系统，该系统包括：SDN策略控制器、SDN智能交换机、基础应用系统组成的SDN基础环境，其中，SDN策略控制器作为集中策略管理中心，全局控制网络应用策略信息；SDN智能交换机能够解析并执行SDN策略控制器下发的策略信息；基础应用系统包含服务器裸机、虚拟机或者应用实体服务，将基础应用系统节点标记成一个TE，根据应用需求将网络应用策略相似的TE划分到同一组，称为TG；使用Overlay多重封装技术，将SDN网络内的流量封装在VXLAN中传输，基础应用系统节点的MAC或IP与VETP映射，并扩展VXLAN报头添加新的TG标识，将物理位置、安全策略与网络IP地址解耦合；通过API接口，将TG标识下发至KVM、VCENTER服务器管理平台，标识终端应用系统节点所属策略组；服务器新增迁移、网络安全策略作用粒度为TG，TG之间的访问控制策略用{Cij,Rij}表示，其中Cij表示TG的连接关系，Rij表示TG的互访关系；根据上述方法，采取如下步骤：S1.初始化SDN基础环境；S2.在SDN策略控制器中，划分TG标识并通过API下发TG标识，区分终端应用系统节点所属策略组；S3.根据应用系统访问关系和安全策略需求，在SDN策略控制器中配置访问控制策略{Cij,Rij}；S4.应用系统连接至SDN智能交换机后，根据所属策略组绑定相应的TG；S5.应用系统数据转发时，到达SDN智能交换机的数据包均通过新增TG标识的扩展VXLAN进行封装再进行转发；S6.SDN策略控制器下发TG间的访问控制策略至SDN智能交换机；S7.SDN智能交换机解析并执行访问控制策略。