基于流量變化實時改善網絡吞吐量的方法
【技術領域】
[0001]本發明屬于通信技術領域,特別涉及一種基于流量變化實時改善網絡吞吐量的方法。
【背景技術】
[0002]當前電信網絡使用的各種設備,均是基于私有平臺部署的,各種網元都是一個個封閉的盒子,各種盒子間硬件資源無法互用,每個設備擴容必須增加硬件,縮容后硬件資源閑置,耗時長,彈性差,成本高。
[0003]NFV的技術基礎就是目前IT業界的云計算和虛擬化技術。通用的COTS計算/存儲/網絡硬件設備通過虛擬化技術可以分解為多種虛擬資源,供上層各種應用使用,同時通過虛擬化技術,使得應用與硬件解耦,資源的供給速度大大提高,從物理硬件的數天縮短到數分鐘;通過云計算技術,可以實現應用的彈性伸縮,從而實現資源和業務負荷的匹配,既提高了資源利用效率,又保證了系統響應速度。
[0004]IPS是英文“Intrus1n Prevent1n System”的縮寫,中文意思是入侵防御系統。隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現,傳統防火墻技術加傳統IDS的技術,已經無法應對一些安全威脅。在這種情況下,IPS技術應運而生,IPS技術可以深度感知并檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。因此,IPS在Firewal I的基礎上需要對數據報文的Pay load進行匹配檢查,增強了安全性,但是吞吐量比Firewall也小了很多,其他功能類似。
[0005]在目前技術方案中,若用IPS作為安全網關的時候,安全性得到充分的保障,但是當由于其所支持的吞吐量相對Firerall所支持的較小,當遇到網絡突發的情況時,將會網絡性能將大大降低。但若用Firewall作為安全網關的時候,雖然在網絡遇到突發情況下,可以很好的支持其吞吐量,但是一般情況下的安全性得不到保障。
[0006]上述網絡突發情況比如:(I)當一個社區突然發現了它喜歡的內容,網站的訪問流量會突然增大。知名博客、爆炸性新聞、新聞聚合網站會將成千上萬的訪問者在短時間內帶到網站;(2)對于全國鐵路訂票網站12306,每年的春運都是流量高發期;(3)對于阿里巴巴,每年的雙11都是流量突發時間。就算在平時,訪問量也會有變化,一般,后半夜肯定流量會少,而周末流量會高,即,數據中心的流量時時刻刻都有波動,隨時都可能產生突發流量。
[0007]CN105162716A(公布日:2015年12月16日)提出了一種NFV架構下的流控方法及裝置。該方法通過設置業務優先級與虛擬資源之間的映射關系,實現基于業務優先級的流控。在業務流量突發導致資源擁塞時,根據虛擬資源的優先級及虛擬資源與子物理資源之間的預設對應關系及待接入業務對應的虛擬資源的優先級可以控制虛擬資源對應使用的子物理資源。但是該現有技術不能解決突發流量的情況下網絡吞吐量提供不足的問題,即無法解決當流量突發時通過之前切分的塊的方法快速切換middleb0X(IPS和Firerall有共同實現的部分,把其對應的實現都分為不同的塊)的問題。
【發明內容】
[0008]針對上述技術問題,本發明主要在NFV(網絡功能虛擬化)的背景下,實現一種通過流量變化實時切換Firewill和IPS兩個網絡功能來改善網絡吞吐量的方法。
[0009]為達到上述目的,本發明采用的技術方案為:一種基于流量變化實時改善網絡吞吐量的方法,將各個網絡功能進行細分為不同的塊,將IPS和Firewall兩個網絡功能結合,即當遇到突發流量的情況下,IPS自動切換到Firewall,既保證了安全性又保證了網絡性能。IPS在Firewal I的基礎上需要對數據報文的Pay load進行匹配檢查,增強了安全性,但是吞吐量比Firewal I減小很多,其他功能類似。
[0010]本發明提供了將各個網絡功能進行細粒度分解的方法,分為:
[0011]PacketIN:數據包進入網關;
[0012]BandwidthRatedSpl itter:實時判斷網絡中的吞吐量;
[0013]PayloadMatch:對數據包中數據報文的Payload部分進行匹配檢查;
[0014]PacketOut:允許數據包出網關。
[0015]進一步,還包括TableMatch:依照一定的安全策略進行檢查,以決定通信是否被允許,保護內部網絡信息不被外部非授權用戶訪問并過濾不良信息。
[0016]本發明的基于流量變化實時切換FirewilI和IPS兩個網絡功能來改善網絡吞吐量方法,具體包括以下步驟:
[0017]步驟11、數據包進入網關對應的處理環節;
[0018]步驟12、實時檢測網絡的吞吐量,通過提前指定閾值,判斷直接允許數據包出網關或進一步對數據包中數據報文的Payload部分進行匹配檢查:
[0019]若所述吞吐量的值小于等于閾值,則執行IPS,進一步對數據包中數據報文的Payload部分進行匹配檢查,此時在支持的吞吐量允許的情況下,提高了網絡傳輸的安全性;
[0020]若所述吞吐量的值大于閾值,則執行Firewall,直接允許數據包出網關,保證網絡吞吐量的性能;
[0021]步驟13、允許數據包出網關。
[0022]根據以上步驟,每次執行到步驟12的時候根據網絡實時的吞吐量來判斷直接允許出網關還是進一步進行匹配檢查,從而決定使用IPS網絡功能還是Firewal I網絡功能。
[0023]以上方法的進一步特征在于:步驟11后還包括步驟21、按照一定的安全策略檢查數據包的通信是否被允許,保護內部網絡信息不被外部非授權用戶訪問并過濾不良信息:
[0024]若符合所述安全策略,則允許數據包通信,進入步驟12;
[0025]若不符合所述安全策略,則拒絕數據包通信。
[0026]本發明具有以下有益效果:本技術相對于傳統的技術,解決了在FirewilI和IPS只能單獨使用時各自帶來的缺陷:僅使用IPS時,支持的吞吐量在網絡遇到突發情況的時候,網絡性能將大大降低,僅使用Firewall時,安全性得不到很好的保證。通過本技術,可以實現通過流量變化實時切換Firerall和IPS兩個網絡功能來改善網絡吞吐量及安全性。保障網絡傳輸可靠性的同時,大大提高了系統突發流量情況下的容納能力。并且,可以節省大量的設備及前期投入。
【附圖說明】
[0027]圖1繪示本發明中網絡功能虛擬化視角結構圖。
[0028]圖2繪示本發明中高層次的網絡功能虛擬化框架。
[0029]圖3繪示本發明中當網絡發生流量突發情況的帶寬變化圖。
[0030]圖4繪示本發明中基于流量變化實時改善網絡吞吐量的方法流程圖。
[0031]圖5繪示本發明中基于流量變化實時改善網絡吞吐量的方法的更細粒度的功能流程圖。
[0032]圖6繪示本發明中基于流量變化實時改善網絡吞吐量的方法實施的方案效果圖。
【具體實施方式】
[0033]為了便于本領域技術人員的理解,下面結合實施例與附圖對本發明作進一步的說明,實施方式提及的內容并非對本發明的限定。
[0034]如圖1的NFV視角結構圖,在NFV方法中,各種網元變成了獨立的應用,可以靈活部署在基于標準的服務器、存儲、交換機構建的統一平臺上,這樣軟硬件解耦,每個應用可以通過快速增加減少虛擬資源來達到快速縮擴容的目的,大大提升網絡的彈性。按照NFV設計,從縱向看網絡分為三層:基礎設施層、虛擬網絡層和運營支撐層。一個業務網絡可以分解為一組VNF和VNFL(VNF Link),表示為VNF_FG(VNF Forwarding Graph),然后每個VNF可以分解為一組VNFC(VNF Componet)和內部連接圖,每個VNFC映射為一個VM;對于每個VNFL,對應著一個IP連接,需要分配一定的鏈路資源(流量、QoS、路由等參數)。
[0035]Firerall和IPS部署在內部網絡與外部網絡交流的出入口處(如圖2) ,Firewall是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,其控制能力包括服務控制(確定哪些服務可以被訪問)、方向控制(對于特定的服務,可以確定允許哪個方向能夠通過防火墻)、用戶控制(根據用戶來控制對服務的訪問)和行為控制(控制一個特定的服務的行為)。
[0036]在NFV(網絡功能虛擬化)的背景下,將各個網絡功能進行細分為不同的塊;在NFV方法中,各種網元變成了獨立的應用,可以靈活部署在基于標準的服務器、存儲、交換機構建的統一平臺上,這樣軟硬件解耦,每個應用可以通過快速增加減少虛擬資源來達到快速縮擴容的目的,大大提升網絡的彈性。
[0037]將各個網絡功能進行細粒度分解,可以分為PacketIN(數據包進入網關),TableMatch(依照一定的安全策略進行檢查,以決定通信是否被允許,從而達到保護內部網絡信息不被外部非授權用戶訪問和過濾不良信息的目的),BandwidthRatedSplitter(實時判斷網絡中的吞吐量),PayloadM