[发明专利]利用SDN技术解决分布式防火墙网络一致更新的方法

摘要

本发明公开了一种利用SDN技术解决分布式防火墙网络一致更新的方法，该方法利用SDN支持用户按照自己的实际需求定义开发的优势，通过API接口进行编程的方式让控制器对在网的交换机下发不同的流表，从而省去了对每一个交换机逐一进行配置的步骤，且不再需要考虑更新交换机中的配置对传输的数据报文以及原有网络安全规则造成影响，解决了分布式防火墙这一配置难题。本发明通过编程下发流表实现了交换机的自动配置，能够完成分布式防火墙的一致性更新。

主权项

1.一种利用SDN技术解决特定分布式防火墙网络一致性更新问题的方法，其特征在于，系统架构包括Mininet模拟环境平台、OpenDaylight控制器、RESTAPI应用编程接口和分布式防火墙网络拓扑结构；所述分布式防火墙网络拓扑结构包括第一OpenFlow智能交换机(s1)、第二OpenFlow智能交换机(s2)、第三OpenFlow智能交换机(s3)、第四OpenFlow智能交换机(s4)、第一主机(gen)、第二主机(srv)、第一监控主机(h1)和第二监控主机(h2)，所述第一OpenFlow智能交换机(s1)、第二OpenFlow智能交换机(s2)、第三OpenFlow智能交换机(s3)、第四OpenFlow智能交换机(s4)顺次连接，所述第一主机(gen)与第二OpenFlow智能交换机(s2)相连，第二主机(srv)与第三OpenFlow智能交换机(s3)相连，第一监控主机(h1)与第一OpenFlow智能交换机(s1)相连，第二监控主机(h2)与第四OpenFlow智能交换机(s4)相连；该方法包括以下步骤：第一步，开启Mininet模拟平台并初始化SDN基础环境，修改自定义拓扑配置文件创建需要的网络结构，使用net命令查看链路状态；第二步，运行/opt/opendaylight‑snapshot/run.DelayedSFEP.sh命令来开启内部OpenDaylight控制器，并让主机之间互ping，测试平台环境是否能够模拟真实有效的网络；第三步，关于第一监控主机(h1)和第二监控主机(h2)，分别配置命令“ifconfigh1‑eth0:010.0.0.10”和“ifconfigh2‑eth0:010.0.0.10”，在第一监控主机(h1)和第一OpenFlow智能交换机(s1)的接口之间以及第二监控主机(h2)和第四OpenFlow智能交换机(s4)之间添加混叠IP地址10.0.0.10；创建task‑init.sh脚本文件来对第一OpenFlow智能交换机(s1)、第二OpenFlow智能交换机(s2)、第三OpenFlow智能交换机(s3)安装初始流表条目，使第一主机(gen)周期性的发送数据包至第二主机(srv)上，初始状态下由第一监控主机(h1)负责监测经过验证的主机流量；在下发的流表规则中对第一OpenFlow智能交换机(s1)、第二OpenFlow智能交换机(s2)、第三OpenFlow智能交换机(s3)进行配置，所有的流表项中添加匹配信息，设置VLAN为1，数据报文在传输前包头中的VLAN匹配字段设置为1；流表中定义第一OpenFlow智能交换机(s1)的操作集，操作集中交换机剥离原有的vlan标记并将新的VLAN匹配信息值设置为1，将报文的目的MAC地址设置为第一监控主机(h1)的MAC地址，报文流经第一OpenFlow智能交换机(s1)时的转入接口为第二接口，转出接口为第一接口；设定第二OpenFlow智能交换机(s2)为初始交换机，第一OpenFlow智能交换机(s1)、第三OpenFlow智能交换机(s3)为后续交换机，设置流表优先级为1000，流表中定义第二OpenFlow智能交换机(s2)的操作集，交换机剥离原先设定的vlan标记并将新的匹配信息vlan的值设置为1，报文流经第二OpenFlow智能交换机(s2)时的转入接口为第一接口，与第一智能交换机相连的转出接口为第三接口，与第三智能交换机相连的转出接口为第二接口；将第三OpenFlow智能交换机(s3)中匹配信息vlan值设置为1，报文流经第三OpenFlow智能交换机(s3)时的转入接口为第一接口，转出接口为第二接口；第一主机(gen)发送数据包至第二主机(srv)时，数据包流经第二OpenFlow智能交换机(s2)、第三OpenFlow智能交换机(s3)，将第二OpenFlow智能交换机(s2)的第一接口作为数据包的入接口，第二接口作为数据包的出接口，第三OpenFlow智能交换机s3的第一接口作为数据包的入接口，第二接口作为数据包的出接口；第一监控主机(h1)监测第一主机(gen)发送的数据包时，数据包流经第二OpenFlow智能交换机(s2)、第一OpenFlow智能交换机(s1)，将第二OpenFlow智能交换机(s2)的第一接口作为数据包的转入接口，第三接口作为数据包的转出接口，第一OpenFlow智能交换机(s1)的第二接口作为数据包的转入接口，第一接口作为数据包的转出接口；第四步，第二监控主机(h2)开始监测经过验证的主机流量，此时后续交换机为第四OpenFlow智能交换机(s4)、第三OpenFlow智能交换机(s3)，初始交换机仍为第二OpenFlow智能交换机(s2)，按照先后续交换机最后初始交换机的配置顺序下发流表，即按照第四OpenFlow智能交换机(s4)、第三OpenFlow智能交换机(s3)、第二OpenFlow智能交换机(s2)的顺序依次配置；创建并运行task‑update.sh脚本进行防火墙的一致性更新，确保能完全监控发送的数据报文，在该脚本中对第四OpenFlow智能交换机(s4)、第三OpenFlow智能交换机(s3)和第二OpenFlow智能交换机(s2)定义操作集进行更新；定义的操作集要求所有流表项中添加VLAN匹配信息并将其设置为2，传输的报文添加相应的匹配字段并将VLAN标记设置为相同的值2；流表规则中定义第四OpenFlow智能交换机(s4)的操作集，操作集中要求交换机剥离原先的vlan标记并将新的匹配信息设置为2，报文的目的MAC地址设置为第二监控主机h2的MAC地址，数据报文流经第四OpenFlow智能交换机(s4)时的流入口为第二接口，转出接口为第一接口；下发给第三OpenFlow智能交换机(s3)的流表中同样要求交换机剥离原有的vlan标记并将新的vlan匹配信息值设置为2，报文流经第三OpenFlow智能交换机(s3)时的流入口为第一接口，与第四OpenFlow智能交换机(s4)相连的转出接口为第三接口，与第二主机(srv)相连的转出接口为第二接口；对于第二OpenFlow智能交换机(s2)，将流表优先级提高至2000，同时将vlan匹配信息设置为2；数据报文在发送前包头中添加新的vlan匹配字段，当网络更新后流经交换机时按照新的匹配规则进行匹配，由于优先级的提高，数据流按照新的路由路径进行传输，流经第二OpenFlow智能交换机(s2)时的流入口为第一接口，与第三OpenFlow智能交换机(s3)相连的数据转出接口为第二接口；第五步，通过第一监控主机(h1)和第二监控主机(h2)的xterm终端屏显查看接收到的数据报文标号，判断所有数据是否都已经成功发送，如成功则关闭Mininet模拟环境平台，反之继续监测发送直至发送完成。