[发明专利]一种SDN交换机流表控制方法及装置

说明书

本发明提供一种SDN交换机流表控制方法及装置，包括至少一个控制器，至少两个交换机，其中包括第一交换机使用第一类存储器存储第一流表，所述第一流表最大表项数量为N；第二交换机使用第二类存储器存储第二流表，所述第二流表表项数量无限制；所述第一流表和第二流表都包括存活时间和数据流量字段；通过存活时间和数据流量调整两个流表之间的项目，以达到抵御饱和攻击的目的。

技术领域

本发明属于网络技术领域，具体地涉及一种SDN交换机流表控制方法及装置。

背景技术

如图1所示，SDN(Software-defined networking，软件定义网络)是一种控制逻辑和数据转发分离的创新网络架构，由软件驱动的控制器(Controller)自动化控制转发面设备，它以开放软件的模式替代传统基于嵌入式且不够灵活的控制平面。

OpenFlow是实现SDN的一项重要技术。网络主要由控制器(Controller)和交换机组成：控制器对网络进行集中控制，实现控制层的功能；交换机进行数据层的转发。控制器通过OpenFlow协议来管理交换机，交换机拥有若干个流表(FlowTable)，它只按照流表进行转发，流表的生成、维护和下发由外置的控制器来实现。

在SDN网络中，为了保证转发效率，网络中的交换机通常使用非常昂贵的三态内容寻址存储器（TCAM）进行寻址，而且三态内容寻址存储器的容易通常比较小，一个10M的三态内容寻址存储器通常只能存储数千条的流表项。

由于SDN交换机中，三态内容寻址存储器存储空间有限，其容易成为黑客的攻击对象；攻击流表的一种方法为，攻击者可能通过技术手段获取表项老化时间，在流表项老化前发送数据，使得攻击者的垃圾流表项长期存活，从而占用流表项；如SDN交换机中的流表老化时间设置为60S，即当某一表项60S不活动的话则将其删除，从而释放表空间，但黑客控制a.b.c.d的主机，每59s就发送一次数据，那么这个表项则一直不会被清除，攻击者可以通过网络中的肉鸡（被黑客控制的主机）发起攻击，使用足够多的机主采用类似的方法进行攻击时，流表就会被攻击者长期占据，从而造成流表饱和，网络无法正常运行。此类攻击非常难防范，目前通常采用定时强制清理表项的策略，但很显然清理后攻击者很容易卷土重来，并且此处理方法容易造成误杀，如网络中可能会有很多设备或服务采用心跳包保持连接，如某物联网设备每30S向服务器发送一次心跳数据，也会造成类似的现象，如果使用强制清理表现的策略则容易对此类服务造成破坏。

发明内容

本发明的目的在于解决如背景技术中所述的流表饱和攻击问题，提出一种SDN交换机流表控制方法及装置，解决流表饱和攻击问题同时不会造成误杀问题。

根据本发明的一个方面，提供一种SDN交换机流表控制方法，其特征在于所述方法应用于SDN网络，所述SDN网络包括：至少一个控制器，至少两个交换机，其中包括第一交换机使用第一类存储器存储第一流表，所述第一流表最大表项数量为N；第二交换机使用第二类存储器存储第二流表，所述第二流表表项数量无限制；所述第一流表和第二流表都包括存活时间和数据流量字段；所述方法包括如下步骤：步骤S100，所述控制器获取第一交换机的第一流表，并获取所述第一流表的当前流表项数量，如果当前流表项数量大于N*a%，则进行下一步，否则间隔时间T后继续运行步骤S100，其中a%为预设百分比；步骤S102，所述控制器对所述第一流表按存活时间由大至小排序，取排名前a1项的集合记为A1；对所述第一流表按数据流量由小至大排序，取排名前b1项的集合记为B1；对A1和B1取交集，记交集为S1；步骤S103，所述控制器获取第二交换机的第二流表，并对所述第二流表按存活时间由小至大排序，取排名前a2项的集合记为A2；对所述第二流表按数据流量由大至小排序，取排名前b2项的集合记为B2；对A2和B2取交集，记交集为S2；步骤S104，将所述集合S1调整至第二流表，将所述S2中至多为S1项数一半数量的项调整至第一流表；返回步骤S100。

进一步地，本发明还可对间隔时间T进行动态调整，取最近Nt次的流表项数量，如果最近Nt次的流表项数量依次升高，则设T=T-t，其中t为调整时间。