CN104994065A - 基于软件定义网络的访问控制列表运行系统和方法 - Google Patents
基于软件定义网络的访问控制列表运行系统和方法 Download PDFInfo
- Publication number
- CN104994065A CN104994065A CN201510260147.9A CN201510260147A CN104994065A CN 104994065 A CN104994065 A CN 104994065A CN 201510260147 A CN201510260147 A CN 201510260147A CN 104994065 A CN104994065 A CN 104994065A
- Authority
- CN
- China
- Prior art keywords
- acl
- sdn
- message
- switch
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/023—Delayed use of routing table updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Abstract
一种基于SDN的访问控制列表运行方法,基于访问控制列表运行系统实现,包含:S1、SDN控制器获取网络结构和资源,向SDN交换机下发交换机流表;S2、SDN交换机接收报文,如与交换机流表相匹配则按规则转发,如不匹配则将报文发至SDN控制器;S3、SDN控制器对报文进行ACL Profile匹配,匹配不成功丢弃报文,匹配成功则确定转发路径;S4、在转发路径经过的所有SDN交换机上设置ACL条目规则,并将报文转发;S5、将一定老化时间内未被报文匹配的ACL条目规则删除。本发明能自动计算完成访问控制列表的生成,并根据用户需求自动生成端对端的全网ACL规则,简化了网络维护工作。
Description
技术领域
本发明涉及一种基于软件定义网络(SDN,Software Defined Network)的访问控制列表(ACL,Access Control List)运行系统和方法,能根据需求自动生成端对端的全网ACL规则,属于网络通信安全领域。
背景技术
为了保护内部网络资源不被他人侵扰,提供允许或阻止业务来往的网络通信安全机制是非常必要的。因此为了保护网络的安全,最普遍的方案就是ACL。ACL是路由器和交换机接口的指令列表,其基本用途是限制访问网络的用户,其通过使用包过滤技术,对经过路由器的数据包按照设定的规则进行过滤,可以使数据包有选择的通过路由器,以起到防火墙的作用。
ACL由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。ACL的过滤是在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对数据包进行过滤,从而达到访问控制的目的。一般情况下,ACL的过滤依据主要包括源MAC(Media Access Control,媒体访问控制)地址、目的MAC地址、源IP地址、目的IP地址和四层协议字段等。
而ACL的限制内容通常包括:1、允许哪些用户访问网络,这是根据用户的IP地址进行的限制;2、允许用户访问的类型,如允许http和ftp的访问,但拒绝Telnet的访问,这是根据用户使用的上层协议进行的限制。
ACL是由多条判断指令组成的。每条指令给出一个条件和处理方式(也就是允许或拒绝)。路由器对收到的数据包按照判断指令的书写次序进行检查,当遇到相匹配的条件时,就按照指定的处理方式进行处理。ACL中各指令的书写次序非常重要,如果一个数据包和其中某一个判断指令的条件相匹配时,该数据包的匹配过程就结束了,剩下的条件指令就直接被忽略了。
传统的ACL存在其局限性,由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,具体包括以下两大缺点,一是无法识别到具体的用户,无法识别到应用内部的权限级别等;另外,ACL的配置是基于一台路由器,如果要实现端对端的权限控制目的,要求网络管理员对具体业务和网络拓扑非常了解,对于一个较大规模的网络,这项工作显然不够轻松,而且非常容易出错。
发明内容
本发明的目的在于提供一种基于SDN的访问控制列表运行系统和方法,能自动计算完成访问控制列表的生成,并根据用户需求自动生成端对端的全网ACL规则,简化了网络维护工作。
为了达到上述目的,本发明提供一种基于SDN的访问控制列表运行系统,其基于路由器设置,包含:多个SDN交换机,其中,至少一个SDN交换机与Internet用户连接,至少一个SDN交换机与网络资源连接,其余SDN交换机为中间转发接点;SDN控制器,其分别与各个所述的SDN交换机相连接。
本发明还提供一种基于SDN的访问控制列表运行方法,其基于所述的访问控制列表运行系统实现,具体包含以下步骤:
S1、SDN控制器获取网络结构和网络资源,并向所有SDN交换机下发交换机流表;
S2、SDN交换机接收用户发出的报文,并查询交换机流表进行匹配;如报文与交换机流表相匹配,则按交换机流表的规则转发报文;如报文与交换机流表不相匹配,则继续执行S3;
S3、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器,并由SDN控制器对该报文与ACL Profile表进行匹配;将未与ACL Profile表中任意ACL条目相匹配的报文丢弃;
S4、对于与ACL Profile表中某一ACL条目相匹配的报文,由SDN控制器确定其转发路径,在转发路径经过的所有SDN交换机接口上设置与该报文相匹配的ACL条目规则,并将该报文按所选择的转发路径进行转发;
S5、对SDN交换机上设置的ACL条目规则设置老化机制,将一定老化时间内未被报文匹配的ACL条目规则删除。
所述的S1中,具体包含以下步骤:
S11、SDN控制器根据LLDP协议获知全网络拓扑结构;
S12、SDN控制器获取计算资源,存储资源和网络资源在网络中的分布和位置;
S13、SDN控制器向所有SDN交换机下发交换机流表,在SDN交换机上设置该交换机流表的规则。
所述的ACL Profile表中还包含位于所有ACL条目之后的Deny Any条目,其表示任何一个与之前各ACL条目都不匹配的报文将会被拒绝。
所述的ACL条目的字段结构包含:源端条件,其是源MAC地址、源IP地址、源TCP端口、源UDP端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;目的端条件,其是目的MAC地址、目的IP地址、目的TCP端口、目的UDP端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;动作,其包含允许或拒绝;方向,其包含In方向和Out方向,In方向表示在报文进入时使用ACL进行过滤,Out方向表示报文离开时使用ACL进行过滤。
所述的S3中,具体包含以下步骤:
S31、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器;
S32、SDN控制器判断报文是否匹配ACL Profile表中的其中一条ACL条目中的源端条件和目的端条件;如不匹配,则丢弃报文;如匹配,则继续执行S33;
S33、对于与报文匹配的ACL条目,判断其动作是否为允许;如为拒绝,则丢弃报文;如为允许,则继续执行S4。
所述的S32中,具体包含以下步骤:
S321、读取ACL Profile表中的一条ACL条目;
S322、判断报文是否匹配该ACL条目中的源端条件;如匹配,则继续执行S323;如不匹配,则继续执行S324;
S323、判断报文是否匹配该ACL条目中的目的端条件;如匹配,则继续执行S33;如不匹配,则继续执行S324;
S324、判断当前ACL条目是否为ACL Profile表中的最后一条ACL条目,如不是,则继续读取ACL Profile表中的下一条ACL条目,并返回执行S322;如是,则将报文匹配Deny Any条目,并丢弃报文。
所述的S5中,具体包含以下步骤:
S51、SDN控制器设置老化时间;
S52、对于设置了ACL条目规则且已经与报文匹配的SDN交换机,刷新其老化时间;
S53、对于设置了ACL条目规则但尚未与报文匹配的SDN交换机,计算其设置ACL条目规则后所经过的时间,并判断是否超过老化时间;如未超过,则返回执行S53;如超过,则继续执行S54;
S54、删除SDN交换机上的ACL条目规则。
所述的ACL条目规则采用多级流表结构,其中第一级流表用于匹配入端口In方向,后续N级流表用于匹配源端条件,再接着的M级流表用于匹配目的端条件,最后一级流表用于匹配出端口Out方向。
所述的ACL条目规则中还包含用于识别报文第七层的用户字段,其能够识别某个具体用户。
综上所述,本发明所提供的基于SDN的访问控制列表运行系统和方法,其基于SDN架构,SDN控制器可以根据用户需求自动生成端对端的全网ACL规则,扩展的ACL流表采用协议无感知的设计,可以精确地识别到具体用户;并且SDN控制器能自动计算完成访问控制列表的生成,简化了网络维护工作。
附图说明
图1为本发明中基于SDN的访问控制列表运行系统的结构示意图;
图2为本发明中基于SDN的访问控制列表运行方法的流程图;
图3为本发明中SDN控制器获取网络结构、资源信息并下发ACL流表的流程图;
图4为本发明中SDN控制器对报文进行ACL Profile匹配的流程图;
图5为本发明中对ACL条目规则设置老化机制的流程图;
图6为本发明中ACL条目规则的结构示意图;
图7为本发明中基于SDN的访问控制列表运行模拟环境的示意图。
具体实施方式
以下结合图1~图7,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。
如图1所示,为本发明提供的基于SDN的访问控制列表运行系统,其基于路由器设置,包含:多个SDN交换机,其中,至少一个SDN交换机S1与Internet用户连接,至少一个SDN交换机S4与网络资源连接,其余SDN交换机S2和S3为中间转发接点;SDN控制器,其分别与各个所述的SDN交换机相连接。
如图2所示,本发明还提供一种基于SDN的访问控制列表运行方法,具体包含以下步骤:
S1、SDN控制器获取网络结构和网络资源,并向所有SDN交换机下发交换机流表;
S2、SDN交换机接收用户发出的报文,并查询交换机流表进行匹配;如报文与交换机流表相匹配,则按交换机流表的规则转发报文;如报文与交换机流表不相匹配,则继续执行S3;
S3、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器,并由SDN控制器对该报文与ACL Profile表进行匹配;将未与ACL Profile表中任意ACL条目相匹配的报文丢弃;
S4、对于与ACL Profile表中某一ACL条目相匹配的报文,由SDN控制器确定其转发路径,在转发路径经过的所有SDN交换机接口上设置与该报文相匹配的ACL条目规则(也称为下发ACL流表),并将该报文按所选择的转发路径进行转发;
S5、对SDN交换机上设置的ACL条目规则设置老化机制,将一定老化时间内未被报文匹配的ACL条目规则删除。
如图3所示,所述的S1中,具体包含以下步骤:
S11、SDN控制器根据LLDP(Link Layer Discovery Protocol,链路层发现协议)协议获知全网络拓扑结构;
S12、SDN控制器获取计算资源,存储资源和网络资源在网络中的分布和位置;
S13、SDN控制器向所有SDN交换机下发交换机流表,在SDN交换机上设置该交换机流表的规则。
所述的ACL Profile表中除了包含多个ACL条目,还包含位于整个ACL Profile表最后(即所有ACL条目之后)的拒绝所有条目(Deny Any),其表示任何一个与之前各ACL条目都不匹配的报文将会被拒绝。
如下表所示,为所述的ACL Profile表的ACL条目的字段结构,包含:源端条件,其是源MAC地址、源IP地址、源TCP(Transmission Control Protocol,传输控制协议)端口、源UDP(User Datagram Protocol,用户数据报协议)端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;目的端条件,其是目的MAC地址、目的IP地址、目的TCP端口、目的UDP端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;动作,其包含允许或拒绝;方向,其包含In方向和Out方向,In方向表示在报文进入时使用ACL进行过滤,Out方向表示报文离开时使用ACL进行过滤。其中,所述的源端条件和目的端条件的字段格式为{偏移,长度}。
如图4所示,所述的S3中,具体包含以下步骤:
S31、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器;
S32、SDN控制器判断报文是否匹配ACL Profile表中的其中一条ACL条目中的源端条件和目的端条件;如不匹配,则丢弃报文;如匹配,则继续执行S33;
S33、对于与报文匹配的ACL条目,判断其动作是否为允许;如为拒绝,则丢弃报文;如为允许,则继续执行S4。
进一步,所述的S32中,具体包含以下步骤:
S321、读取ACL Profile表中的一条ACL条目;
S322、判断报文是否匹配该ACL条目中的源端条件;如匹配,则继续执行S323;如不匹配,则继续执行S324;
S323、判断报文是否匹配该ACL条目中的目的端条件;如匹配,则继续执行S33;如不匹配,则继续执行S324;
S324、判断当前ACL条目是否为ACL Profile表中的最后一条ACL条目,如不是,则继续读取ACL Profile表中的下一条ACL条目,并返回执行S322;如是,则将报文匹配Deny Any条目,并丢弃报文。
如图5所示,所述的S5中,具体包含以下步骤:
S51、SDN控制器设置老化时间;
S52、对于设置了ACL条目规则且已经与报文匹配的SDN交换机,刷新其老化时间;
S53、对于设置了ACL条目规则但尚未与报文匹配的SDN交换机,计算其设置ACL条目规则后所经过的时间,并判断是否超过老化时间;如未超过,则返回执行S53;如超过,则继续执行S54;
S54、删除SDN交换机上的ACL条目规则,以避免过多占用流表资源,保证流表性能。
所述的ACL条目规则采用多级流表结构,如图6所示,其中第一级流表Table0用于匹配入端口In方向,后续N级流表Table1~TableN用于匹配源端条件,再接着的M级流表TableN+1~TableN+M用于匹配目的端条件,最后一级流表TableN+M+1用于匹配出端口Out方向。其中,In方向和Out方向的匹配是互斥的。
所述的ACL条目规则中还包含用于识别报文第七层的用户字段Flow Match,其能够识别某个具体用户,从而支持协议无感知的流表设计。该用户字段Flow Match的结构如下表所示,
如图7所示,以下通过一个具体实施例,简单描述本发明在模拟测试环境中的运行程序,本实施例中,以Internet用户需要访问计算资源A。
先按照图7所示进行组网,其中SDN交换机S1接入Internet,SDN交换机S2和S3为中间转发接点,SDN交换机S4连接计算资源A、B、C。
SDN控制器首先确定最佳转发路径S1-S2-S4,并向位于该转发路径上的SDN交换机S1,S2和S4下发ACL条目规则(源端条件:Any;目的端条件:计算资源A的IP地址;动作:允许;方向:In)。
但是由于路径S1和S2之间发生断链,从而SDN控制器再次重新确定转发路径S1-S3-S4,并向位于该转发路径上的SDN交换机S1,S3和S4下发ACL条目规则(源端条件:Any;目的端条件:计算资源A的IP地址;动作:允许;方向:In),并按照该转发路径发送Internet用户的报文。
而设置在SDN交换机S2上的ACL条目规则,由于一直没有报文与之匹配,在一定老化之间之后被删除。
综上所述,本发明所提供的基于SDN的访问控制列表运行系统和方法,其基于SDN架构,SDN控制器可以根据用户需求自动生成端对端的全网ACL规则,扩展的ACL流表采用协议无感知的设计,可以精确地识别到具体用户;并且SDN控制器能自动计算完成访问控制列表的生成,简化了网络维护工作。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (10)
1.一种基于SDN的访问控制列表运行系统,基于路由器设置,其特征在于,包含:
多个SDN交换机,其中至少一个SDN交换机与Internet用户连接,至少一个SDN交换机与网络资源连接,其余SDN交换机为中间转发接点;
SDN控制器,其分别与各个所述的SDN交换机相连接。
2.一种基于SDN的访问控制列表运行方法,基于权利要求1所述的访问控制列表运行系统实现,其特征在于,包含以下步骤:
S1、SDN控制器获取网络结构和网络资源,并向所有SDN交换机下发交换机流表;
S2、SDN交换机接收用户发出的报文,并查询交换机流表进行匹配;如报文与交换机流表相匹配,则按交换机流表的规则转发报文;如报文与交换机流表不相匹配,则继续执行S3;
S3、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器,并由SDN控制器对该报文与ACL Profile表进行匹配;将未与ACL Profile表中任意ACL条目相匹配的报文丢弃;
S4、对于与ACL Profile表中某一ACL条目相匹配的报文,由SDN控制器确定其转发路径,在转发路径经过的所有SDN交换机接口上设置与该报文相匹配的ACL条目规则,并将该报文按所选择的转发路径进行转发;
S5、对SDN交换机上设置的ACL条目规则设置老化机制,将一定老化时间内未被报文匹配的ACL条目规则删除。
3.如权利要求2所述的基于SDN的访问控制列表运行方法,其特征在于,所述的S1中,具体包含以下步骤:
S11、SDN控制器根据LLDP协议获知全网络拓扑结构;
S12、SDN控制器获取计算资源,存储资源和网络资源在网络中的分布和位置;
S13、SDN控制器向所有SDN交换机下发交换机流表,在SDN交换机上设置该交换机流表的规则。
4.如权利要求2所述的基于SDN的访问控制列表运行方法,其特征在于,所述的ACL Profile表中还包含位于所有ACL条目之后的Deny Any条目,其表示任何一个与之前各ACL条目都不匹配的报文将会被拒绝。
5.如权利要求4所述的基于SDN的访问控制列表运行方法,其特征在于,所述的ACL条目的字段结构包含:
源端条件,其是源MAC地址、源IP地址、源TCP端口、源UDP端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;
目的端条件,其是目的MAC地址、目的IP地址、目的TCP端口、目的UDP端口中的一个条件,或是上述多个条件的“与”关系,或是上述多个条件的“或”关系;
动作,其包含允许或拒绝;
方向,其包含In方向和Out方向,In方向表示在报文进入时使用ACL进行过滤,Out方向表示报文离开时使用ACL进行过滤。
6.如权利要求5所述的基于SDN的访问控制列表运行方法,其特征在于,所述的S3中,具体包含以下步骤:
S31、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器;
S32、SDN控制器判断报文是否匹配ACL Profile表中的其中一条ACL条目中的源端条件和目的端条件;如不匹配,则丢弃报文;如匹配,则继续执行S33;
S33、对于与报文匹配的ACL条目,判断其动作是否为允许;如为拒绝,则丢弃报文;如为允许,则继续执行S4。
7.如权利要求6所述的基于SDN的访问控制列表运行方法,其特征在于,所述的S32中,具体包含以下步骤:
S321、读取ACL Profile表中的一条ACL条目;
S322、判断报文是否匹配该ACL条目中的源端条件;如匹配,则继续执行S323;如不匹配,则继续执行S324;
S323、判断报文是否匹配该ACL条目中的目的端条件;如匹配,则继续执行S33;如不匹配,则继续执行S324;
S324、判断当前ACL条目是否为ACL Profile表中的最后一条ACL条目,如不是,则继续读取ACL Profile表中的下一条ACL条目,并返回执行S322;如是,则将报文匹配Deny Any条目,并丢弃报文。
8.如权利要求7所述的基于SDN的访问控制列表运行方法,其特征在于,所述的S5中,具体包含以下步骤:
S51、SDN控制器设置老化时间;
S52、对于设置了ACL条目规则且已经与报文匹配的SDN交换机,刷新其老化时间;
S53、对于设置了ACL条目规则但尚未与报文匹配的SDN交换机,计算其设置ACL条目规则后所经过的时间,并判断是否超过老化时间;如未超过,则返回执行S53;如超过,则继续执行S54;
S54、删除SDN交换机上的ACL条目规则。
9.如权利要求8所述的基于SDN的访问控制列表运行方法,其特征在于,所述的ACL条目规则采用多级流表结构,其中第一级流表用于匹配入端口In方向,后续N级流表用于匹配源端条件,再接着的M级流表用于匹配目的端条件,最后一级流表用于匹配出端口Out方向。
10.如权利要求9所述的基于SDN的访问控制列表运行方法,其特征在于,所述的ACL条目规则中还包含用于识别报文第七层的用户字段,其能够识别某个具体用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510260147.9A CN104994065A (zh) | 2015-05-20 | 2015-05-20 | 基于软件定义网络的访问控制列表运行系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510260147.9A CN104994065A (zh) | 2015-05-20 | 2015-05-20 | 基于软件定义网络的访问控制列表运行系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104994065A true CN104994065A (zh) | 2015-10-21 |
Family
ID=54305817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510260147.9A Pending CN104994065A (zh) | 2015-05-20 | 2015-05-20 | 基于软件定义网络的访问控制列表运行系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104994065A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847300A (zh) * | 2016-05-30 | 2016-08-10 | 北京琵琶行科技有限公司 | 企业网络边界设备拓扑结构的可视化方法及装置 |
CN105933225A (zh) * | 2016-04-20 | 2016-09-07 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的策略路由方法和系统 |
CN106357446A (zh) * | 2016-09-20 | 2017-01-25 | 杭州迪普科技有限公司 | 一种流量转发路径的获取方法及装置 |
CN106453332A (zh) * | 2016-10-18 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
CN106559342A (zh) * | 2016-11-10 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的协议端口保护方法、装置和系统 |
CN106559345A (zh) * | 2016-12-05 | 2017-04-05 | 深圳市国电科技通信有限公司 | 基于网络拓扑的分级数据采集算法 |
CN108040268A (zh) * | 2017-11-30 | 2018-05-15 | 浙江宇视科技有限公司 | 一种基于sdn的视频监控网络安全控制方法及系统 |
WO2018137384A1 (zh) * | 2017-01-24 | 2018-08-02 | 华为技术有限公司 | 一种调整转发路径的方法、装置及系统 |
CN108650154A (zh) * | 2018-06-29 | 2018-10-12 | 新华三技术有限公司 | 流量控制方法及装置 |
CN109257372A (zh) * | 2018-10-29 | 2019-01-22 | 深信服科技股份有限公司 | 基于网络融合的报文转发方法、设备、存储介质及装置 |
CN110022281A (zh) * | 2018-01-08 | 2019-07-16 | 中国移动通信有限公司研究院 | 访问控制列表容量的测试方法、设备和计算机存储介质 |
CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
CN111343090A (zh) * | 2020-02-28 | 2020-06-26 | 中国科学技术大学苏州研究院 | 基于规则预部署的软件定义网络高效路由方法 |
CN112019361A (zh) * | 2019-05-30 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
CN112769748A (zh) * | 2020-12-07 | 2021-05-07 | 浪潮云信息技术股份公司 | 一种基于dpdk的acl包过滤方法 |
CN113315712A (zh) * | 2021-05-20 | 2021-08-27 | 中国联合网络通信集团有限公司 | 网络流量控制方法及系统、sdn控制器 |
CN114039770A (zh) * | 2021-11-05 | 2022-02-11 | 北京字节跳动网络技术有限公司 | 访问控制方法、装置、存储介质及电子设备 |
WO2023236858A1 (zh) * | 2022-06-06 | 2023-12-14 | 华为技术有限公司 | 流表规则的管理方法、流量管理方法、系统及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944828A (zh) * | 2014-04-15 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种协议报文的传输方法和设备 |
CN104601380A (zh) * | 2015-01-30 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种软件定义网络控制器及其恢复主机信息的方法 |
US20150131666A1 (en) * | 2013-11-08 | 2015-05-14 | Electronics And Telecommunications Research Institute | Apparatus and method for transmitting packet |
-
2015
- 2015-05-20 CN CN201510260147.9A patent/CN104994065A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150131666A1 (en) * | 2013-11-08 | 2015-05-14 | Electronics And Telecommunications Research Institute | Apparatus and method for transmitting packet |
CN103944828A (zh) * | 2014-04-15 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种协议报文的传输方法和设备 |
CN104601380A (zh) * | 2015-01-30 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种软件定义网络控制器及其恢复主机信息的方法 |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105933225A (zh) * | 2016-04-20 | 2016-09-07 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的策略路由方法和系统 |
CN105847300A (zh) * | 2016-05-30 | 2016-08-10 | 北京琵琶行科技有限公司 | 企业网络边界设备拓扑结构的可视化方法及装置 |
CN106357446B (zh) * | 2016-09-20 | 2019-07-09 | 杭州迪普科技股份有限公司 | 一种流量转发路径的获取方法及装置 |
CN106357446A (zh) * | 2016-09-20 | 2017-01-25 | 杭州迪普科技有限公司 | 一种流量转发路径的获取方法及装置 |
CN106453332A (zh) * | 2016-10-18 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
CN106559342A (zh) * | 2016-11-10 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的协议端口保护方法、装置和系统 |
CN106559345A (zh) * | 2016-12-05 | 2017-04-05 | 深圳市国电科技通信有限公司 | 基于网络拓扑的分级数据采集算法 |
US11063874B2 (en) | 2017-01-24 | 2021-07-13 | Huawei Technologies Co., Ltd. | Forwarding path adjustment method, apparatus, and system |
WO2018137384A1 (zh) * | 2017-01-24 | 2018-08-02 | 华为技术有限公司 | 一种调整转发路径的方法、装置及系统 |
EP3567812A4 (en) * | 2017-01-24 | 2019-12-25 | Huawei Technologies Co., Ltd. | METHOD, DEVICE AND SYSTEM FOR ADAPTING A FORWARDING PATH |
CN108040268A (zh) * | 2017-11-30 | 2018-05-15 | 浙江宇视科技有限公司 | 一种基于sdn的视频监控网络安全控制方法及系统 |
CN110022281A (zh) * | 2018-01-08 | 2019-07-16 | 中国移动通信有限公司研究院 | 访问控制列表容量的测试方法、设备和计算机存储介质 |
CN108650154A (zh) * | 2018-06-29 | 2018-10-12 | 新华三技术有限公司 | 流量控制方法及装置 |
CN108650154B (zh) * | 2018-06-29 | 2020-11-27 | 新华三技术有限公司 | 流量控制方法及装置 |
CN109257372B (zh) * | 2018-10-29 | 2021-07-06 | 深信服科技股份有限公司 | 基于网络融合的报文转发方法、设备、存储介质及装置 |
CN109257372A (zh) * | 2018-10-29 | 2019-01-22 | 深信服科技股份有限公司 | 基于网络融合的报文转发方法、设备、存储介质及装置 |
CN112019361A (zh) * | 2019-05-30 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 访问控制列表的迁移方法及装置,存储介质和电子设备 |
CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
CN111343090A (zh) * | 2020-02-28 | 2020-06-26 | 中国科学技术大学苏州研究院 | 基于规则预部署的软件定义网络高效路由方法 |
CN112769748A (zh) * | 2020-12-07 | 2021-05-07 | 浪潮云信息技术股份公司 | 一种基于dpdk的acl包过滤方法 |
CN113315712A (zh) * | 2021-05-20 | 2021-08-27 | 中国联合网络通信集团有限公司 | 网络流量控制方法及系统、sdn控制器 |
CN113315712B (zh) * | 2021-05-20 | 2022-07-12 | 中国联合网络通信集团有限公司 | 网络流量控制方法及系统、sdn控制器 |
CN114039770A (zh) * | 2021-11-05 | 2022-02-11 | 北京字节跳动网络技术有限公司 | 访问控制方法、装置、存储介质及电子设备 |
CN114039770B (zh) * | 2021-11-05 | 2023-06-06 | 抖音视界有限公司 | 访问控制方法、装置、存储介质及电子设备 |
WO2023236858A1 (zh) * | 2022-06-06 | 2023-12-14 | 华为技术有限公司 | 流表规则的管理方法、流量管理方法、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
US11050713B2 (en) | Firewall configured with dynamic membership sets representing machine attributes | |
US9401928B2 (en) | Data stream security processing method and apparatus | |
WO2017016162A1 (zh) | 一种基于sdn架构的工业通信流传输安全控制方法 | |
CN105227463B (zh) | 一种分布式设备中业务板间的通信方法 | |
US20160212048A1 (en) | Openflow service chain data packet routing using tables | |
US7995499B2 (en) | Minimizing spanning-tree protocol event processing and flooding in distribution networks | |
US10284471B2 (en) | AIA enhancements to support lag networks | |
CN106953788A (zh) | 一种虚拟网络控制器及控制方法 | |
US10805390B2 (en) | Automated mirroring and remote switch port analyzer (RSPAN) functions using fabric attach (FA) signaling | |
CN108833305B (zh) | 主机的虚拟网络装置 | |
JP6024664B2 (ja) | 通信システム、制御装置および通信方法 | |
CN103763310A (zh) | 基于虚拟网络的防火墙服务系统及方法 | |
CN108353068A (zh) | Sdn控制器辅助的入侵防御系统 | |
EP3576347A1 (en) | Network device snapshots | |
EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
Kumar et al. | Open flow switch with intrusion detection system | |
US9130818B2 (en) | Unified systems of network tool optimizers and related methods | |
CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
US11303576B2 (en) | Accurate analytics, quality of service and load balancing for internet protocol fragmented packets in data center fabrics | |
CN104885417A (zh) | 控制装置、通信系统、通信节点控制方法以及程序 | |
JP7156310B2 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
CN111654558B (zh) | Arp交互与内网流量转发方法、装置和设备 | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
US20170048128A1 (en) | Locating traffic origin in a network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151021 |
|
WD01 | Invention patent application deemed withdrawn after publication |