[发明专利]流量清洗方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于软件定义网络的流量清洗方法和装置。

背景技术

随着互联网的快速发展，互联网业务不断丰富，互联网病毒、互联网攻击也不断涌现，互联的的安全问题已经成为影响互联网的稳定性，影响用户业务体验的重要问题。

目前，针对DDOS攻击主要采用流量清洗系统对攻击流量进行清洗。目前的流量清洗系统一般在网络中集中部署，针对受到DDOS攻击的用户，在网络中特定的位置部署策略路由，或者采用BGP方式进行引流，将用户的流量引到流量清洗系统，由流量清洗系统将攻击流量清洗掉之后，将用户的正常业务流量返回给用户。

目前的流量清洗系统的主要问题在于，流量清洗系统直接和网络设备交互，限制了流量清洗系统的部署位置，同时，由于流量清洗系统直接向设备交互，采用策略路由或者BGP方式引流，需要涉及复杂的路由规划和设计，部署复杂，且容易出错，导致网络的不稳定性。

发明内容

本发明提供了一种流量清洗方法和装置，解决了现有流量清洗方式导致网络不稳定的问题。

一种流量清洗方法，包括：

流量清洗系统的策略控制器向SDN控制器发送引流策略，所述引流策略指示所述SDN控制器将指定的流量重定向到所述流量清洗系统的流量清洗器以进行流量清洗；

所述流量清洗器接收网络设备根据所述SDN控制器指示上送的指定的流量。

优选的，所述流量清洗系统的策略控制器向SDN控制器发送引流策略包括：

所述策略控制器通过网络能力系统的北向接口向所述网络能力系统下发流量清洗请求；

所述网络能力系统将所述流量清洗请求解析为引流策略，通过所述SDN控制器的北向接口向所述SDN控制器发送所述引流策略。

优选的，所述流量清洗系统的策略控制器向SDN控制器发送引流策略包括：

所述策略控制器生成引流策略并直接向所述SDN控制器发送。

优选的，所述流量清洗系统的策略控制器向SDN控制器发送引流策略的步骤之后，还包括：

所述SDN控制器解析所述引流策略，得到网络设备能够识别和执行的网络引流指令；

所述SDN控制器通过SDN控制器南向接口向相应的网络设备发送所述网络引流指令，指示所述网络设备将指定的流量上送到所述流量清洗器；

所述网络设备在接收到所述网络引流指令后，根据该网络引流指令，将指定的流量上传到所述流量清洗器。

优选的，所述流量清洗器接收网络设备根据所述SDN控制器指示上送的指定的流量的步骤之后，还包括：

所述流量清洗器根据既定的清洗策略对所述流量进行清洗，并在清洗完成后，将合法的流量回送至所述网络设备。

优选的，流量清洗系统的策略控制器向SDN控制器发送引流策略的步骤之前，还包括：

所述策略控制器判定需要对指定流量进行流量清洗时，向所述流量清洗器下发清洗策略，确定需要清洗的服务等级、服务策略及相关参数。

本发明还提供了一种流量清洗装置，包括流量洗清系统，所述流量清洗系统包括策略控制器和流量清洗器；

所述策略控制器，用于向SDN控制器发送引流策略，所述引流策略指示所述SDN控制器将指定的流量重定向到所述流量清洗器以进行流量清洗；

所述流量清洗器，用于接收网络设备根据所述SDN控制器指示上送的指定的流量。

优选的，该装置还包括网络能力系统；

所述策略控制器，具体用于通过网络能力系统的北向接口向所述网络能力系统下发流量清洗请求；

所述网络能力系统，用于将所述流量清洗请求解析为引流策略，通过所述SDN控制器的北向接口向所述SDN控制器发送所述引流策略。

优选的，所述策略控制器，具体用于生成引流策略并直接向所述SDN控制器发送。

优选的，该装置还包括SDN控制器；

所述SDN控制器，用于解析所述引流策略，得到网络设备能够识别和执行的网络引流指令，通过SDN控制器南向接口向所述的网络设备发送所述网络引流指令，指示所述网络设备将指定的流量上送到所述流量清洗器。

优选的，所述流量清洗器，还用于根据既定的清洗策略对所述流量进行清洗，并在清洗完成后，将合法的流量回送至所述网络设备。

优选的，所述策略控制器，还用于判定需要对指定流量进行流量清洗时，向所述流量清洗器下发清洗策略，确定需要清洗的服务等级、服务策略及相关参数。