CN105100013B - 一种感知网络安全设备的方法、网络安全设备及控制器 - Google Patents
一种感知网络安全设备的方法、网络安全设备及控制器 Download PDFInfo
- Publication number
- CN105100013B CN105100013B CN201410205241.XA CN201410205241A CN105100013B CN 105100013 B CN105100013 B CN 105100013B CN 201410205241 A CN201410205241 A CN 201410205241A CN 105100013 B CN105100013 B CN 105100013B
- Authority
- CN
- China
- Prior art keywords
- security device
- network security
- network
- controller
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种感知网络安全设备的方法、网络安全设备及控制器,解决了现有技术无法实现控制器感知网络安全设备的问题。该方法包括:网络安全设备接收链路层发现协议LLDP报文;所述网络安全设备将网络安全设备的设备信息添加在所述LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过所述LLDP报文中网络安全设备的设备信息来感知所述网络安全设备。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种感知网络安全设备的方法、网络安全设备及控制器。
背景技术
软件定义网络(SDN,Software Defined Network)就是将原有的网络中交换机或路由器中的控制功能分离出来,交由控制器(Controller)来完成,原有的交换机或是路由器,只负责标准化的数据转发功能,这样就实现了控制层面与数据层面的分离。用户可以在控制器上对其进行编程,从而实现用户自身需要的网络控制功能。
OpenFlow技术是目前SDN网络最为通用的一种实现。狭义的OpenFlow是指OpenFlow协议或者是OpenFlow网络架构,广义的OpenFlow是指OpenFlow标准。
在OpenFlow网络架构中,至少包括控制器和多个OpenFlow交换机(也就是原有网络中的交换机或者路由器)。OpenFlow协议用于描述控制器和OpenFlow交换机之间交互所用信息的标准,以及控制器和OpenFlow交换机的接口标准。
OpenFlow协议能够实现原有网络中交换机或者路由器的数据层面与控制层面的分离,能够在链路层和网络层对网络流量进行细粒度的全局智能控制,SDN网络架构在带来新的安全机遇的同时,也带来了新的安全问题。在OpenFlow网络架构中还包括网络安全设备,网络安全设备可以作为OpenFlow交换机的旁路设备,也可以作为至少两个OpenFlow交换机之间的直路设备,网络安全设备不与控制器相连接,要想实现对网络安全设备的全局智能控制,首先需要让控制器感知网络安全设备,而目前在SDN中并没有控制器如何感知网络安全设备的具体实现方式。
发明内容
本发明实施例提供一种感知网络安全设备的方法、网络安全设备及控制器,解决了现有技术无法实现控制器感知网络安全设备的问题。
第一方面,本发明提供了一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,包括:
网络安全设备接收链路层发现协议LLDP报文;
所述网络安全设备将所述网络安全设备的设备信息添加在所述LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。
通过上述实施例提供的方法,网络安全设备在接收到LLDP报文后,将网络安全设备的设备信息添加在接收到的LLDP报文中,然后将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过网络安全设备的设备信息感知到网络安全设备,进而达到了控制器感知网络安全设备的目的。
结合第一方面,在第一方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信息。
第二方面,本发明实施例提供了一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,包括:
控制器发送第一链路层发现协议LLDP报文;
所述控制器接收第二LLDP报文,所述第二LLDP报文是经过所述网络安全设备对所述第一LLDP报文处理过的,所述第二LLDP报文中包含所述网络安全设备的设备信息;
所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备。
通过上述实施例提供的方法,控制器先发送第一LLDP报文,接收第二LLDP报文,所述第二LLDP报文是经过所述网络安全设备对所述第一LLDP报文处理过的,所述第二LLDP报文中包含所述网络安全设备的设备信息;根据所述网络安全设备的设备信息,感知到所述网络安全设备。
结合第二方面,在第二方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息;
所述根据所述网络安全设备的设备信息,感知所述网络安全设备之后,所述方法还包括:
所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及保存所述网络安全设备在所述网络拓扑中的位置信息,包括:
所述控制器根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;
如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;
如果所述网络安全设备的连接类型是直路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号OpenFlow交换机的设备标识及端口编号。
第三方面,本发明实施例还提供一种网络安全设备,所述网络安全设备应用于软件定义网络SDN中,包括:
接收模块,用于接收链路层发现协议LLDP报文;
LLDP处理模块,用于将所述网络安全设备的设备信息添加在所述LLDP报文中;
发送模块,用于发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。
通过上述实施例提供的网络安全设备,在接收模块接收到LLDP报文后,LLDP模块将网络安全设备的设备信息添加在接收到的LLDP报文中,然后发送模块将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过网络安全设备的设备信息来感知所述网络安全设备。
结合第三方面,在第三方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信息。
第四方面,本发明实施例提供一种控制器,所述控制器应用于软件定义网络SDN中,包括:
发送模块,用于发送第一链路层发现协议LLDP报文;
接收模块,用于接收第二LLDP报文,所述第二LLDP报文是经过所述网络安全设备对所述第一LLDP报文处理过的,所述第二LLDP报文中包含网络安全设备的设备信息后的LLDP报文;
LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备。
结合第四方面,在第四方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括所述网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息,所述LLDP处理模块还用于,根据所述网络安全设备的设备信息,感知所述网络安全设备之后,在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述LLDP处理模块还用于根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果所述网络安全设备的连接类型是直路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号。
通过上述实施例提供的控制器,发送模块发送第一LLDP报文,接收模块接收第二LLDP报文,该第二LLDP报文是经过网络安全设备对LLDP报文处理过的,且该第二LLDP报文中包含所述网络安全设备的设备信息,LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备。从而而达到了感知网络安全设备的目的。
附图说明
图1为本发明实施例提供的一种感知网络安全设备的方法;
图2为本发明实施例提供的LLDP报文的格式;
图3为本发明实施例提供的LLDPU的格式;
图4为本发明实施例提供的TLV的格式;
图5为本发明实施例提供的另一种感知网络安全设备的方法;
图6为本发明实施例提供的添加了网络安全设备的设备信息后的LLDP报文的格式;
图7为本发明实施例提供的网络安全设备的示意图;
图8为本发明实施例提供的控制器的示意图;
图9为本发明实施例提供的另一种网络安全设备的示意图;
图10为本发明实施例提供的另一种控制器的示意图。
具体实施方式
本发明实施例提供了一种感知网络安全设备的方法、网络安全设备及控制器,该方法、网络安全设备及控制器应用于软件定义网络(SDN,Software Defined Network)中,解决了现有技术无法实现控制器感知网络安全设备的问题。
下面结合附图对本发明实施例作进一步说明。
本发明实施例提供了一种感知网络安全设备的方法,如图1所示,该方法可以由网络安全设备执行,该方法包括:
步骤101:网络安全设备接收链路层发现协议(LLDP)报文。
其中,该LLDP报文是OpenFlow交换机向网络安全设备发送的。
步骤102:网络安全设备将网络安全设备的设备信息添加在该LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过该LLDP报文中网络安全设备的设备信息来感知网络安全设备。
其中,网络安全设备将自身的设备信息添加在该LLDP报文中,并将添加其自身的设备信息的LLDP报文发送给OpenFlow交换机。该OpenFlow交换机可以与控制器直接相连,也可以通过其它OpenFlow交换机与控制器相连。在与控制器直接相连的OpenFlow交换机接收到该LLDP报文后,将该LLDP报文发送给控制器,从而控制器在接收到该LLDP报文时,通过该LLDP报文中网络安全设备的设备信息来感知网络安全设备。
通过本发明提供的方法,网络安全设备在接收到LLDP报文后,将自身的设备信息添加在接收到的LLDP报文中,然后将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过LLDP报文中网络安全设备的设备信息感知到网络安全设备。
可选的,网络安全设备的设备信息包括:网络安全设备的设备标识信息。
网络安全设备的设备信息还可以包括以下至少一项:网络安全设备的设备类型信息,网络安全设备的连接类型信息等等。其中,网络安全设备的连接类型包括:网络安全设备是OpenFlow交换机的旁路设备,或者网络安全设备是串联在两个OpenFlow交换机之间的直路设备。
下面结合具体应用场景对本发明实施例进行具体说明。
假设有第一OpenFlow交换机和第二OpenFlow交换机,这两个OpenFlow交换机相连接,且分别与控制器连接(控制器能够感知到该与控制器直接相连的第一OpenFlow交换机和第二OpenFlow交换机)。两个交换机之间串联有网络安全设备,即网络安全设备作为直路设备,该网络安全设备既有入端口也有出端口。其它更为复杂的结构,比如网络安全设备是三个或三个以上的OpenFlow交换机之间串联的链路的直路设备,也可以参照以下实现方式进行实施。
具体的,控制器在感知到第一OpenFlow交换机后,第一OpenFlow交换机将其使能端口报告给控制器。控制器向第一OpenFlow交换机发送封装有LLDP报文的Packet_out消息,其中Packet_out是OpenFlow协议的一种消息类型,该Packet_out消息的消息头中携带端口指示信息,该端口指示信息用于指示第一OpenFlow交换机从哪个使能端口发送该LLDP报文。第一OpenFlow交换机在接收到Packet_out消息后,将LLDP报文从消息头中的端口指示信息指示的使能端口发送,若该使能端口与网络安全设备连接,则网络安全设备从器入端口接收该LLDP报文。
网络安全设备在接收到该LLDP报文后,将其自身的设备信息添加在LLDP报文中。
该网络安全设备是串联在第一OpenFlow交换机和第二OpenFlow交换机之间的直路设备,网络安全设备将添加自身的设备信息的LLDP报文从其出端口发送给第二OpenFlow交换机。第二OpenFlow交换机在接收到LLDP报文后,会根据预设规则,将该LLDP报文封装在Packet_in消息(Packet_in是OpenFlow协议的一种消息类型)中发送给控制器,从而控制器在接收到添加网络安全设备的设备信息的LLDP报文后,通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
对于网络安全设备串联在第一OpenFlow交换机和第二OpenFlow交换机之间的情况,网络安全设备无需与控制器之间建立安全通道,而是通过两个OpenFlow交换机与控制器之间的安全通道,就能够实现控制器感知到网络安全设备。
假设控制器连接有第一OpenFlow交换机,第一OpenFlow交换机连接有网络安全设备,且网络安全设备作为第一OpenFlow交换机的旁路设备,该网络安全设备仅有一个端口,可以称为入端口。
具体的,控制器在感知到第一OpenFlow交换机后,第一OpenFlow交换机将其使能端口报告给控制器。控制器向第一OpenFlow交换机发送封装有LLDP报文的Packet_out消息,该Packet_out消息的消息头中携带端口指示信息,该端口指示信息用于指示第一OpenFlow交换机从哪个使能端口发送该LLDP报文。第一OpenFlow交换机在接收到Packet_out消息后,将LLDP报文从消息头中的端口指示信息指示的使能端口发送,若该使能端口与网络安全设备连接,则网络安全设备从其入端口接收该LLDP报文。
网络安全设备在接收到该LLDP报文后,将自身的设备信息添加在LLDP报文中。
该网络安全设备是第一OpenFlow交换机的旁路设备,网络安全设备将添加自身的设备信息的LLDP报文从其入端口发送给第一OpenFlow交换机。第一OpenFlow交换机在接收到LLDP报文后,将该LLDP报文封装在Packet_in消息中发送给控制器,从而控制器在接收到添加网络安全设备的设备信息的LLDP报文后,通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
对于网络安全设备是第一OpenFlow交换机的旁路设备的情况,网络安全设备无需与控制器之间建立安全通道,而是通过第一OpenFlow交换机与控制器之间的安全通道,就能够实现控制器感知到网络安全设备。
上述网络安全设备将自身的设备信息添加在LLDP报文中,具体是将自身的设备信息添加在LLDP报文的LLDPU(LLDP数据单元)中。具体可以添加在LLDPU的尾部,中部等任何位置。
具体LLDP报文的格式如图2所示。
其中,图2中Destination MAC address是LLDP报文的目的MAC地址,Source MACaddress是LLDP报文的源MAC地址,Type是LLDP报文的类型,LLDPU是存储LLDP报文的数据单元,FCS是LLDP报文的校验位。
LLDP报文的主要的数据存储在LLDPU中,LLDPU的内容主要由TLV组成,如图3所示。
其中,图3中,Chassis ID用于标识通信设备的桥MAC地址,Port ID用于标识发送LLDP报文的端口编号,TTL用于标识信息在通信设备上的存活时间,Optional标识可选择的TLV,End用于标识LLDPU的结束。
TLV的格式如图4所示。TLV由TLV头和TLV信息字段组成。
控制器在收到LLDP报文后,会依次解析LLDPU中每个TLV的内容,每个TLV的前七位标识了TLV type(TLV类型),接着的9位标识了这个TLV的长度,根据这个长度值就可以确定下一个TLV的起始位置。End TLV用来确定LLDPU的结束位置,End TLV是一个type为0,length为0的TLV。TLV使用前7位来标识TLV type,共可以表示127种type,目前9-126这些值是保留的,我们可以用保留的部分值来标识网络安全设备添加的TLV的type,控制器收到LLDP报文后,根据TLV的type就可以确定哪些是网络安全设备添加的信息。
本发明实施例还提供了一种感知网络安全设备的方法,该方法可以由控制器执行,如图5所示,该方法包括:
步骤501:控制器发送第一LLDP报文。
步骤502:控制器接收第二LLDP报文,该第二LLDP报文是经过网络安全设备对上述第一LLDP报文处理过的,且该第二LLDP报文中包括网络安全设备的设备信息。
步骤503:控制器根据网络安全设备的设备信息,感知网络安全设备。
其中,网络安全设备的设备信息包括网络安全设备的设备标识信息,还可以包括网络安全设备的设备类型信息或者网络安全设备的连接类型信息等等。网络安全设备的连接类型可以是网络安全设备是OpenFlow交换机的旁路设备,或者网络安全设备是串联在两个OpenFlow交换机之间的直路设备。
具体的,控制器在收到第二LLDP报文后,会依次解析LLDPU中每个TLV的内容,如图4所示,每个TLV的前七位标识了TLV type(TLV类型),接着的9位标识了这个TLV的长度,根据这个长度值就可以确定下一个TLV的起始位置。End TLV用来确定LLDPU的结束位置,EndTLV是一个type为0,length为0的TLV。TLV使用前7位来标识TLV type,共可以表示127种type,目前9-126这些值是保留的,我们可以用其中的某些值来标识网络安全设备添加的TLV的type,控制器收到LLDP报文后,根据TLV的type就可以确定哪些是网络安全设备添加的信息。
例如:携带网络安全设备的设备信息(设备类型信息,设备标识信息,连接类型信息)的第二LLDP报文的TLV格式如图6所示(本发明实施例以将网络安全设备的设备信息添加在LLDPU的尾部为例进行说明)。控制器在收到第二LLDP报文后,可以确定该TLV的数量增加了3个,依次解析LLDPU中每个TLV的内容,从而可以解析获取到TLV中增加的网络安全设备的设备类型信息、设备标识信息及连接类型信息。
可选的,网络安全设备的设备信息包括网络安全设备的设备标识信息以及网络安全设备的连接类型信息,控制器根据网络安全设备的设备信息,感知网络安全设备之后,该方法还包括:
控制器在网络拓扑记录中保存网络安全设备的设备标识信息,及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息。若网络安全设备的设备信息中还包括其它如网络安全设备的设备类型信息、连接类型信息等等,控制器可以将这些信息一并保存在网络拓扑记录中。
可选的,控制器在网络拓扑记录中保存网络安全设备的设备标识,及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息,包括:
控制器根据网络安全设备的连接类型信息确定网络安全设备的连接类型;
如果网络安全设备连接类型是OpenFlow交换机的旁路设备,控制器在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息为与网络安全设备相连接的OpenFlow交换机的设备标识信息及端口编号。
具体的,网络安全设备的连接类型是OpenFlow交换机的旁路设备(该OpenFlow交换机与网络安全设备相连),控制器以二元组(dpid,portid)将OpenFlow交换机的设备标识及端口编号保存在网络拓扑记录中,其中,dpid表示该OpenFlow交换机的设备标识,portid表示该OpenFlow交换机的端口编号。
其中,OpenFlow交换机(该OpenFLow交换机与网络安全设备相连且与控制器相连)的设备标识及端口标号携带在第一LLDP报文中。也就是在控制器接收OpenFlow交换机发送的封装在Packet_in消息中的LLDP报文,LLDP中携带有该OpenFlow交换机的设备标识及端口编号;控制器通过检测接收到的LLDP报文就能获取到该OpenFlow交换机的设备标识及端口编号。
如果网络安全设备的连接类型是直路设备,控制器在网络拓扑记录中关联保存网络安全设备的设备标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息包括:与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号,和与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号。
若网络安全设备为与控制器相连接的两个OpenFlow交换机之间的直路设备,且该网络安全设备与两个OpenFlow交换机相连接,那么与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机也就是直路设备的入端口连接的OpenFlow交换机;与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机也就是直路设备出端口连接的OpenFlow交换机。
具体的,网络安全设备的连接类型是直路设备,控制器以四元组(in_dpid,in_portid,out_dpid,out_portid)将与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号,与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号关联保存在网络拓扑记录中。与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号、与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的设备标识及端口编号为(in_dpid,in_portid,out_dpid,out_portid),其中,in_dpid表示与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的设备标识,in_portid表示与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的端口编号端口编号,out_dpid表示与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识,out_portid表示与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的端口编号。
其中,与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口标号携带在LLDP报文中。针对该与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机与控制器相连的情况,在控制器接收与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机发送的封装在Packet_in消息中的LLDP报文,LLDP中携带有该与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号;控制器通过检测接收到的LLDP报文就能获取到该OpenFlow交换机的设备标识及端口编号。
针对该与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机与控制器相连的情况,与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的端口标识携带在Packet_in消息中,控制器在接收到该Packet_in消息后,能够获取到该作为与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的端口编号。
针对该与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机不与控制器相连的情况,该OpenFlow交换机在接收到第一LLDP报文后将自身的设备标识及端口编号添加在该第一LLDP报文中,控制器通过接收到的第二LLDP报文获取OpenFlow交换机的设备标识及端口编号。其他可以获取OpenFlow交换机的设备标识及端口编号的实现方式均适用于本发明。
与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机不与控制器相连的情况,该OpenFlow交换机在接收到网络安全设备发送的第二LLDP报文后将自身的设备标识及端口编号添加在该第二LLDP报文中,控制器通过接收到的第二LLDP报文获取OpenFlow交换机的设备标识及端口编号。其他可以获取OpenFlow交换机的设备标识及端口编号的实现方式均适用于本发明。
针对该与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机(该OpenFlow交换机与控制器相连)的设备标识有但不仅限于以下两种获取方式:
第一种获取方式:
根据传输该Packet_in消息的通路确定与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识。
具体的,在Packet_in消息之前,控制器和与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机有一个握手的过程,也就是在控制器和该与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机之间建立了一条通路,控制器在这个通路上不停的接收消息,因此,控制器在接收到Packet_in消息之后,就知道这个消息来自哪个通路,进而找到通路的对端,也就是与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机,也就获取到该作为与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识信息。
第二种获取方式:
在Packet_in消息中携带有与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识,控制器在接收到该Packet_in消息后,能够获取到该与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识。
基于与图1所示的方法同样的发明构思,本发明实施例还提供一种网络安全设备,如图7所示,该网络安全设备包括:
接收模块701,用于接收LLDP报文;
其中,该LLDP报文是OpenFlow交换机向网络安全设备发送的。
LLDP处理模块702,用于将网络安全设备的设备信息添加在上述LLDP报文中。
发送模块703,用于发送添加网络安全设备的设备信息的LLDP报文至控制器,以使控制器通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
本发明实施例提供的网络安全设备,仅需要在该现有的网络安全设备上增加LLDP处理模块702,即可实现网络安全设备被控制器感知,且LLDP模块的处理逻辑简单。
可选的,网络安全设备的设备信息包括:网络安全设备的设备标识,还可以包括:网络安全设备的设备类型,网络安全设备的连接类型等等。
可选的,若网络安全设备是直路设备,网络安全设备还包括入端口和出端口,接收模块701用于从所述入端口接收LLDP报文;发送模块703用于从出端口发送添加网络安全设备自身的设备信息的LLDP报文。
可选的,若网络安全设备为OpenFlow交换机的旁路设备,网络安全设备还包括入端口,接收模块701用于从所述入端口接收LLDP报文;发送模块703用于从入端口发送添加网络安全设备的设备信息的LLDP报文。
基于与上述方法实施例同样的发明构思,本发明实施例还提供一种控制器,如图8所示,该控制器包括:
发送模块801,用于发送第一LLDP报文;
接收模块802,用于接收第二LLDP报文,该第二LLDP报文是经过网络安全设备对第一LLDP报文处理过的,且该第二LLDP报文中包括网络安全设备的设备信息;
LLDP处理模块803,用于根据网络安全设备的设备信息,感知网络安全设备。
本发明实施例提供的控制器,仅需增加LLDP处理模块803,用于对LLDP中增加的网络安全设备的设备信息进行处理,即可实现感知到网络安全设备。
可选的,网络安全设备的设备信息包括网络安全设备的设备标识信息以及网络安全设备的连接类型信息,LLDP处理模块803还用于,通过根据网络安全设备的设备信息,感知网络安全设备之后,在网络拓扑记录中保存网络安全设备的设备标识,及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息。
可选的,LLDP处理模块803还用于根据网络安全设备的连接类型信息确定网络安全设备的连接类型;如果网络安全设备的连接类型是OpenFlow交换机的旁路设备,LLDP处理模块803在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息为与网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果网络安全设备的连接类型是直路设备,LLDP处理模块803在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息包括与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号,和与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号OpenFlow交换机的设备标识及端口编号。
可选的,网络安全设备的设备信息中包括网络安全设备的连接类型的信息,LLDP处理模块803根据获取到的网络安全设备的设备信息确定网络安全设备的连接类型;
可选的,LLDP处理模块803用于,根据与网络安全设备连接的、转发第一LLDP报文给述网络安全设备的设备标识及端口编号,与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号,确定网络安全设备的连接类型。
基于与图1所示的方法同样的发明构思,本发明实施例还提供一种网络安全设备,如图9所示,该网络安全设备包括收发器901和处理器902:
收发器901接收LLDP报文,处理器902将网络安全设备的设备信息添加在上述LLDP报文中,收发器发送添加网络安全设备的设备信息的LLDP报文至控制器,以使控制器通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
可选的,网络安全设备的设备信息包括:网络安全设备的设备标识,还可以包括:网络安全设备的设备类型,网络安全设备的连接类型等等。
可选的,若网络安全设备是直路设备,网络安全设备还包括入端口和出端口,收发器901用于从入端口接收LLDP报文;从出端口发送添加网络安全设备自身的设备信息的LLDP报文。
可选的,若网络安全设备为OpenFlow交换机的旁路设备,网络安全设备还包括入端口,收发器901用于从入端口接收LLDP报文;用于从入端口发送添加网络安全设备的设备信息的LLDP报文。
基于与图2所示的方法同样的发明构思,本发明实施例还提供一种控制器,如图10所示,该控制器包括收发器1001和处理器1002:
收发器1001发送第一LLDP报文;接收第二LLDP报文,该第二LLDP报文是经过网络安全设备对所述LLDP报文处理过的,且该第二LLDP报文中包含网络安全设备的设备信息;处理器1002根据收发器1001接收到的网络安全设备的设备信息,感知网络安全设备。
可选的,网络安全设备的设备信息包括网络安全设备的设备标识信息以及网络安全设备的连接类型信息,该网络安全设备还包括存储器。处理器1002通过根据网络安全设备的设备信息,感知网络安全设备之后,存储器在网络拓扑记录中保存网络安全设备的设备标识及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息。
可选的,处理器1002根据网络安全设备的连接类型信息确定网络安全设备的连接类型;如果网络安全设备的连接类型是OpenFlow交换机的旁路设备,存储器在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息为与网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果网络安全设备的连接类型是直路设备,存储器1002在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息包括作为与网络安全设备连接的、转发第一LLDP报文给网络安全设备的设备标识及端口编号,和与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号。
可选的,网络安全设备的设备信息中包括网络安全设备的连接类型的信息,处理器1002根据获取到的网络安全设备的设备信息确定网络安全设备的连接类型;
可选的,处理器1002根据与网络安全设备连接的、转发第一LLDP报文给网络安全设备的设备标识及端口编号,与网络安全设备连接的、接收网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号,确定网络安全设备的连接类型。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (2)
1.一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,其特征在于,包括:
控制器发送第一链路层发现协议LLDP报文;
所述控制器接收第二LLDP报文,所述第二LLDP报文是经过所述网络安全设备对所述第一LLDP报文处理过的,所述第二LLDP报文中包括所述网络安全设备的设备信息;
所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备;
所述网络安全设备的设备信息包括所述网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息;
所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备之后,所述方法还包括:
所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息;
所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息,包括:
所述控制器根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;
如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;
如果所述网络安全设备的连接类型是直路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号。
2.一种控制器,所述控制器应用于软件定义网络SDN中,其特征在于,包括:
发送模块,用于发送第一链路层发现协议LLDP报文;
接收模块,用于接收第二LLDP报文,所述第二LLDP报文是经过网络安全设备对所述第一LLDP报文处理过的,所述第二LLDP报文中包括所述网络安全设备的设备信息;
LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备;
所述网络安全设备的设备信息包括设备标识信息以及所述网络安全设备的连接类型信息,所述LLDP处理模块还用于,根据所述网络安全设备的设备信息,感知所述网络安全设备之后,在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息;
所述LLDP处理模块还用于根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果所述网络安全设备的连接类型是直路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,与所述网络安全设备连接的、接收所述网络安全设备发送的第二LLDP报文的OpenFlow交换机的设备标识及端口编号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410205241.XA CN105100013B (zh) | 2014-05-15 | 2014-05-15 | 一种感知网络安全设备的方法、网络安全设备及控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410205241.XA CN105100013B (zh) | 2014-05-15 | 2014-05-15 | 一种感知网络安全设备的方法、网络安全设备及控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105100013A CN105100013A (zh) | 2015-11-25 |
| CN105100013B true CN105100013B (zh) | 2018-10-12 |
Family
ID=54579572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410205241.XA Active CN105100013B (zh) | 2014-05-15 | 2014-05-15 | 一种感知网络安全设备的方法、网络安全设备及控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105100013B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018049545A1 (zh) * | 2016-09-13 | 2018-03-22 | 深圳前海达闼云端智能科技有限公司 | Sdn中数据处理方法、装置、系统、电子设备和计算机程序产品 |
| CN108462633B (zh) * | 2016-12-09 | 2021-05-28 | 中兴通讯股份有限公司 | 基于sdn的网络安全路由调度方法及系统 |
| CN117097804A (zh) * | 2022-05-11 | 2023-11-21 | 华为技术有限公司 | 一种获得应用感知网络标识的方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549493A (zh) * | 2003-05-23 | 2004-11-24 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
| CN101827380A (zh) * | 2010-04-09 | 2010-09-08 | 北京傲天动联技术有限公司 | 无线热点识别系统及其方法 |
| CN103178997A (zh) * | 2013-03-19 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种基于lldp协议的mac地址相同的检测方法和设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8752131B2 (en) * | 2008-04-30 | 2014-06-10 | Fujitsu Limited | Facilitating protection of a maintenance entity group |
| US10050824B2 (en) * | 2012-01-20 | 2018-08-14 | Arris Enterprises Llc | Managing a cluster of switches using multiple controllers |
-
2014
- 2014-05-15 CN CN201410205241.XA patent/CN105100013B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1549493A (zh) * | 2003-05-23 | 2004-11-24 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
| CN101827380A (zh) * | 2010-04-09 | 2010-09-08 | 北京傲天动联技术有限公司 | 无线热点识别系统及其方法 |
| CN103178997A (zh) * | 2013-03-19 | 2013-06-26 | 杭州华三通信技术有限公司 | 一种基于lldp协议的mac地址相同的检测方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105100013A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376154B (zh) | 渐进式mac地址学习 | |
| CN104380667B (zh) | 一种数据报文的路由方法和设备 | |
| US9246818B2 (en) | Congestion notification in leaf and spine networks | |
| CN104639470B (zh) | 流标识封装方法及系统 | |
| CN102792646B (zh) | 通信系统、控制装置、通信方法 | |
| CN111953604B (zh) | 一种为业务流提供业务服务的方法和装置 | |
| US9414136B2 (en) | Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCoE-to-FC gateway | |
| US10425337B2 (en) | Method for processing downlink signalling of SDN virtualization platform based on openflow | |
| US9401928B2 (en) | Data stream security processing method and apparatus | |
| CN104219145B (zh) | 网络系统及路由方法 | |
| CN110506411A (zh) | 基于逻辑端口标识符管理虚拟交换机中的网络流量 | |
| CN107181663A (zh) | 一种报文处理方法、相关设备及计算机可读存储介质 | |
| CN108092934A (zh) | 安全服务系统及方法 | |
| CN105376158B (zh) | 基于mpls报文中exp值的sdn流转方法及其装置 | |
| US9813342B2 (en) | Method and system for improved load balancing of received network traffic | |
| CN105610710A (zh) | 交换结构系统上部署的标准协议验证机制的方法和装置 | |
| US20120163174A1 (en) | Methods and apparatus to reduce forwarding state on an fcoe-to-fc gateway using port-specific mac addresses | |
| CN108183861A (zh) | Sdn交换机获取精确流表项方法及sdn交换机、控制器、系统 | |
| CN103475583B (zh) | 清除媒体接入控制转发表项的方法和设备 | |
| CN107864061A (zh) | 一种在私有云中虚拟机端口限速和镜像的方法 | |
| CN104937896A (zh) | 地址解析协议消息的处理方法和转发器、控制器 | |
| CN104488237B (zh) | 一种报文处理的方法、报文设备和系统 | |
| CN105100013B (zh) | 一种感知网络安全设备的方法、网络安全设备及控制器 | |
| CN107171852A (zh) | 基于OpenFlow的二层业务配置系统及其方法 | |
| CN105991435A (zh) | 用于获取端口路径的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |