[发明专利]利用SDN技术解决分布式防火墙网络一致更新的方法

说明书

本发明公开了一种利用SDN技术解决分布式防火墙网络一致更新的方法，该方法利用SDN支持用户按照自己的实际需求定义开发的优势，通过API接口进行编程的方式让控制器对在网的交换机下发不同的流表，从而省去了对每一个交换机逐一进行配置的步骤，且不再需要考虑更新交换机中的配置对传输的数据报文以及原有网络安全规则造成影响，解决了分布式防火墙这一配置难题。本发明通过编程下发流表实现了交换机的自动配置，能够完成分布式防火墙的一致性更新。

技术领域

本发明涉及软件及网络技术，具体涉及一种利用SDN技术解决分布式防火墙网络一致更新的方法。

背景技术

在网络规模急剧增长的大数据时代，网络的一致更新难题正日益凸显，即便我们小心翼翼让旧的和新的配置都准确无误，也会很难正确的被实现，处理不当就会出现诸如转发回路、数据丢包或者网络堵塞等问题。最主要的原因在于网络是一个分布式系统，而算法很难完全做到分布式管理。有些时候需要网络管理员手动验证网络的一系列更新是否是正确，但是这一过程冗杂并极易出错。

通常情况下网络又是需要更新配置的，比如网络设备的维护升级，或者防止网络拥塞修改数据流的路径，改变现有网络环境的安全策略等等。它需要设备在网运行时去修改路由器或交换机中的配置。如果没有策略的去简单实现，会影响网络的安全，这在网络中是决不允许出现的。

在现有技术下，如若想实现网络的更新，我们要么是对整个网络环境进行版本化的更新，或者对设备进行下电处理，然后逐一进行配置，更新版本的方式太过于复杂，手动配置不能实现网络的一致更新，尽管对于一部分的应用场景还可以继续适用，但是在如今的快速度低延时的大数据环境下已经不再是主流。

发明内容

本发明的目的在于提供一种利用SDN技术解决分布式防火墙网络一致更新的方法。

实现本发明目的的技术方案为：一种利用SDN技术解决特定分布式防火墙网络一致性更新问题的方法，系统架构包括Mininet模拟环境平台、OpenDaylight控制器、RESTAPI应用编程接口和分布式防火墙网络拓扑结构；所述分布式防火墙网络拓扑结构包括第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机、第四OpenFlow智能交换机、第一主机、第二主机、第一监控主机和第二监控主机，所述第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机、第四OpenFlow智能交换机顺次连接，所述第一主机与第二OpenFlow智能交换机相连，第二主机与第三OpenFlow智能交换机相连，第一监控主机与第一OpenFlow智能交换机相连，第二监控主机与第四OpenFlow智能交换机相连；该方法包括以下步骤：

第一步，开启Mininet模拟平台并初始化SDN基础环境，修改自定义拓扑配置文件创建需要的网络结构，使用net命令查看链路状态；

第二步，运行/opt/opendaylight-snapshot/run.DelayedSFEP.sh命令来开启内部OpenDaylight控制器，并让主机之间互ping，测试平台环境是否能够模拟真实有效的网络；

第三步，关于第一监控主机和第二监控主机，分别配置命令“ifconfigh1-eth0:010.0.0.10”和“ifconfigh2-eth0:010.0.0.10”，在第一监控主机和第一OpenFlow智能交换机的接口之间以及第二监控主机和第四OpenFlow智能交换机之间添加混叠IP地址10.0.0.10；创建task-init.sh脚本文件来对第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机安装初始流表条目，使第一主机周期性的发送数据包至第二主机上，初始状态下由第一监控主机负责监测经过验证的主机流量；在下发的流表规则中对第一OpenFlow智能交换机、第二OpenFlow智能交换机、第三OpenFlow智能交换机进行配置，所有的流表项中添加匹配信息，设置VLAN为1，数据报文在传输前包头中的VLAN匹配字段设置为1；