CN105681102A - 一种基于sdn的行为策略方法和系统 - Google Patents
一种基于sdn的行为策略方法和系统 Download PDFInfo
- Publication number
- CN105681102A CN105681102A CN201610116213.XA CN201610116213A CN105681102A CN 105681102 A CN105681102 A CN 105681102A CN 201610116213 A CN201610116213 A CN 201610116213A CN 105681102 A CN105681102 A CN 105681102A
- Authority
- CN
- China
- Prior art keywords
- message
- switch
- website
- mac address
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明实施例提供一种基于SDN的行为策略方法和系统,其中方法包括:控制器配置全网的行为策略;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配流表的报文,所述报文包括报文MAC地址和特征码;根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。本发明实施例通过控制器集中配置,实现链路资源的网络流量优化。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种基于SDN(SoftwareDefinedNetwork,软件定义网络)的行为策略方法和系统。
背景技术
随着计算机、宽带技术的迅速发展,网络办公日益流行,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。但是,伴随网络的快速发展,互联网成为企业发展不可缺少的工具,同时互联网在为企业创造效益的同时,也起到了一定的负面效果,例如:在享受着电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企业普遍存在着电脑和互联网络滥用的严重问题。网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。
图1是现有技术的企业网络组网示意图,如图1所示,通常都是路由加交换机的组网形态,连接用户的通信网络通过网关连接到电信设备,能够满足企业的基本互联网络需求;也有部分企业采用专业的企业防火墙设备来保护企业的内部安全,防范外部攻击,同时进行人员基本的上网控制功能。
但是,传统的行为策略只是基于网关节点配置行为策略,不是端对端的和全网的策略,因此会出现不一致,面对需要解决企业网络安全,文档信息保护,高效利用网络带宽,管理员工上网,管理员工的工作情况等现实问题,往往达不到预期效果。
发明内容
本发明实施例提供一种基于SDN的行为策略方法和系统,通过控制器集中配置,实现链路资源的网络流量优化。
本发明实施例提供一种基于SDN的行为策略方法,包括:控制器配置全网的行为策略;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换机上报的未匹配流表的报文,所述报文包括报文MAC地址和特征码;根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
进一步地,所述行为策略包括用户禁止功能和网站黑名单功能;所述用户禁止功能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;所述网站黑名单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体包括:控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换机的MAC地址信息,采用链路层发现协议计算网络拓扑。
进一步地,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,具体包括:所述控制器从交换机上报的未匹配流表的报文中获取报文MAC地址和特征码;控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;控制器判断所述报文的类型,如果所述报文不是超文本传输协议报文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的统一资源定位器地址匹配行为策略。
进一步地,所述在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发,具体包括:若所述报文不是超文本传输协议报文,根据所述报文的源IP地址查询行为策略中的用户禁止功能,如果所述报文的源IP地址在户禁止选项为不允许访问互联网且源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允许所述报文转发;若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下发流表,允许所述报文转发。
本发明还提供了一种基于SDN的行为策略系统,包括:交换机,用于向控制器上报MAC地址信息,以及向控制器上报未匹配流表的报文,所述报文包括报文MAC地址和特征码;控制器,用于配置全网的行为策略;当接收到交换机的MAC地址信息后,根据所述交换机的MAC地址信息计算网络拓扑;当接收到交换机的未匹配流表的报文后,根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
进一步地,所述行为策略包括用户禁止功能和网站黑名单功能;所述用户禁止功能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;所述网站黑名单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体为:控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换机的MAC地址信息,采用链路层发现协议计算网络拓扑。
进一步地,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,具体为:所述控制器从交换机上报的未匹配流表的报文中获取报文MAC地址和特征码;控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;控制器判断所述报文的类型,如果所述报文不是超文本传输协议报文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的统一资源定位器地址匹配行为策略。
进一步地,所述控制器在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发,具体为:若所述报文不是超文本传输协议报文,根据所述报文的源IP地址查询行为策略中的用户禁止功能,如果用户禁止选项为不允许访问互联网且所述报文的源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允许所述报文转发;若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下发流表,允许所述报文转发。
本发明实施例基于SDN架构,采用的控制器集中配置,实现了端对端和全网的配置行为策略,将充分利用全网的链路资源做到最优的网络流量优化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的企业网络组网示意图;
图2为本发明实施例中基于SDN的行为策略系统的架构示意图;
图3为本发明实施例中基于SDN的行为策略方法的流程示意图;
图4为本发明实施例中的私有二层报文的格式示意图;
图5为本发明实施例中根据特征码匹配行为策略的流程示意图;
图6为本发明实施例一中基于SDN的行为策略的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
SDN是一种新型的网络架构,其可以通过OpenFlow(开放流)技术将网络设备的控制面与数据面进行分离,从而实现对网络流量的灵活控制。在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机。
图2为本发明实施例中企业网络组网示意图。如图2所示,本发明实施例基于SDN架构,提供集中的全网行为策略,即控制器根据用户的需求,集中配置行为策略,通过下流表的方式,下发到各个交换机。因此,本发明实施例基于SDN架构,采用的控制器集中配置,实现了端对端和全网的配置行为策略,将充分利用全网的链路资源做到最优的网络流量优化。
图3为本发明实施例中基于SDN的行为策略方法的流程示意图。如图3所示,该方法应用于SDN中,所述SDN中包括交换机和控制器,该方法包括:
步骤S31,控制器配置全网的行为策略,其中所述行为策略包括用户禁止功能和网站黑名单功能。
在本步骤中,本发明的控制器支持基于SDN的行为策略配置任务序列,如表1所示。
表1
控制器配置全网的行为策略,该行为策略包括用户禁止功能和网站黑名单功能,用户禁止功能包括用户禁止开关选项和用户禁止范围,其中通过内网商业安全组的形式指定用户禁止范围,例如采用IP地址段范围作为用户禁止范围;用户禁止开关选项打开表示用户禁止范围的用户不允许访问互联网,用户禁止关闭表示用户禁止范围的用户允许访问互联网,缺省值可以设置为用户禁止开关选项打开以在通常情况下不允许用户禁止范围的用户访问互联网。网站黑名单功能包括网站黑名单开关选项和网站黑名单,其中通过输入网站的URL(UniformResoureLocator,统一资源定位器)地址,将网站加入到网站黑名单;黑名单开关选项打开表示禁止内网用户访问网站黑名单中的网站,黑名单开关选项关闭表示允许内网用户访问网站黑名单中的网站,缺省值可以设置为缺省值可以设置为黑名单开关选项打开以在通常情况下不允许内网用户访问网站黑名单中的网站。
步骤S32,控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑。
在本步骤中,SDN中的交换机向控制器上报MAC地址信息,该MAC地址信息携带在交换机向控制器发送的私有二层报文中。
相较于现有技术,交换机向控制器发送的私有二层报文进行了扩展,该私有二层报文可以为私有扩展的Experimenter报文,其格式如图4所示,Experimenter值为255需要向ONF组织申请;Experimentertype值为1表明是从交换机到控制器,Experimentertype值为0表明是从控制器到交换机;此外,在本发明实施例中的私有扩展的Experimenter报文中,增加了MAC地址信息,其中,交换机自己的MAC地址(OwnMACAddress)作为交换机的标识符,交换机的端口ID(Portid)表明SDN交换机的交换端口,MAC地址(MACaddress)是该交换端口下学习到MACaddress。
控制器根据交换机自己的MAC地址,交换机的端口ID,和该交换端口下学习到MACaddress,采用链路层发现协议(LLDP,LinkLayerDiscoveryProtocol)计算网络拓扑。
步骤S33,控制器接收交换机上报的未匹配流表的报文,所述报文包括报文MAC地址和特征码。
在本步骤中,SDN中的交换机向控制器上报未匹配流表的报文,该报文中包括报文MAC地址和特征码,该特征码可以是报文的IP地址或者是报文的URL地址。
步骤S34,控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
在本步骤中,控制器接收报文,判断报文类型。
如果报文不是HTTP(HyperTextTransferProtocol,超文本传输协议)报文,如图5所示,根据报文的源IP地址查询行为策略中的用户禁止功能,如果匹配,例如当前用户禁止选项打开且源IP地址在用户禁止范围内,则说明源IP地址为禁止用户,因此控制器在转发路径上下发流表,禁止此报文转发;如果不匹配,例如当前用户禁止选项关闭,或者当前用户禁止选项打开但源IP地址不在用户禁止范围内,则说明源IP地址不是禁止用户,此控制器在转发路径上下发流表,允许此报文转发。
如果报文是HTTP报文,如图5所示,根据报文的URL地址查询网站黑名单功能,如果匹配,例如当前网站黑名单开关选项打开且URL地址在网站黑名单,则控制器在转发路径上下发流表,禁止此报文转发;如果不匹配,例如当前网站黑名单开关选项关闭,或者当前网站黑名单开关选项打开但URL地址不在网站黑名单内,则控制器在转发路径上下发流表,允许此报文转发。
图2为本发明实施例中基于SDN的行为策略系统的架构示意图。如图2所示,该系统包括:
交换机,用于向控制器上报MAC地址信息,以及向控制器上报未匹配流表的报文,所述报文包括报文MAC地址和特征码;
控制器,用于配置全网的行为策略;当接收到交换机的MAC地址信息后,根据所述交换机的MAC地址信息计算网络拓扑;当接收到交换机的未匹配流表的报文后,根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
具体地,
所述控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;根据所述交换机的MAC地址信息,采用链路层发现协议计算网络拓扑。
所述控制器从交换机上报的未匹配流表的报文中获取报文MAC地址和特征码;根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;判断所述报文的类型,如果所述报文不是超文本传输协议报文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的统一资源定位器地址匹配行为策略。
若所述报文不是超文本传输协议报文,根据所述报文的源IP地址查询行为策略中的用户禁止功能,如果用户禁止选项为不允许访问互联网且所述报文的源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允许所述报文转发;
若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下发流表,允许所述报文转发。
基于SDN的行为策略系统的具体技术细节和前述的基于SDN的行为策略方法对应的技术细节类似,故在此不赘述。
实施例一
下面将列举一个基于本发明的基于SDN的行为策略方法和系统的实施例。
如图6所示,假设用户1和用户2通过SDN接入电信1和电信2,在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机。
在一种情况下,如果用户2在用户禁止范围内被禁止,则控制器在转发路径上下发流表,禁止用户2的报文转发;用户1不在用户禁止范围内,则控制器在转发路径上下发流表,允许用户1的流量转发到电信2。
在另一种情况下,如果修改用户禁止范围,用户1在用户禁止范围内被禁止,则控制器在转发路径上下发流表,禁止用户1的报文转发;用户2不在用户禁止范围内,则控制器在转发路径上下发流表,允许用户2的流量转发到电信1。
传统的行为策略不是基于SDN架构,只是基于网关节点进行配置行为策略,因此不是端对端的和全网的策略,会出现不一致,而达不到预期的效果。本发明采用控制器集中配置,实现端对端和全网的配置行为策略,将充分利用全网的链路资源做到最优的网络流量优化。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于SDN的行为策略方法,其特征在于,包括:
控制器配置全网的行为策略;
控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;
控制器接收交换机上报的未匹配流表的报文,所述报文包括报文MAC地址和特征码;
控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
2.根据权利要求1所述的基于SDN的行为策略方法,其特征在于,所述行为策略包括用户禁止功能和网站黑名单功能;
所述用户禁止功能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;
所述网站黑名单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
3.根据权利要求2所述的基于SDN的行为策略方法,其特征在于,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体包括:
控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;
控制器根据所述交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址,采用链路层发现协议计算网络拓扑。
4.根据权利要求3所述的基于SDN的行为策略方法,其特征在于,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,具体包括:
所述控制器从交换机上报的未匹配流表的报文中获取报文MAC地址和特征码;
控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;
控制器判断所述报文的类型,如果所述报文不是超文本传输协议报文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的统一资源定位器地址匹配行为策略。
5.根据权利要求4所述的基于SDN的行为策略方法,其特征在于,所述在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发,具体包括:
若所述报文不是超文本传输协议报文,根据所述报文的源IP地址查询行为策略中的用户禁止功能,如果所述报文的源IP地址在户禁止选项为不允许访问互联网且源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允许所述报文转发;
若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下发流表,允许所述报文转发。
6.一种基于SDN的行为策略系统,其特征在于,包括:
交换机,用于向控制器上报MAC地址信息,以及向控制器上报未匹配流表的报文,所述报文包括报文MAC地址和特征码;
控制器,用于配置全网的行为策略;当接收到交换机的MAC地址信息后,根据所述交换机的MAC地址信息计算网络拓扑;当接收到交换机的未匹配流表的报文后,根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
7.根据权利要求6所述的基于SDN的行为策略系统,其特征在于,所述行为策略包括用户禁止功能和网站黑名单功能;
所述用户禁止功能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;
所述网站黑名单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
8.根据权利要求7所述的基于SDN的行为策略系统,其特征在于,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑,具体为:
控制器接收交换机发送的Experimenter报文,所述Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自己的MAC地址、交换机的端口ID、以及所述交换端口下学习到MAC地址;
控制器根据所述交换机的MAC地址信息,采用链路层发现协议计算网络拓扑。
9.根据权利要求8所述的基于SDN的行为策略系统,其特征在于,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,具体为:
所述控制器从交换机上报的未匹配流表的报文中获取报文MAC地址和特征码;
控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算转发路径;
控制器判断所述报文的类型,如果所述报文不是超文本传输协议报文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的统一资源定位器地址匹配行为策略。
10.根据权利要求9所述的基于SDN的行为策略系统,其特征在于,所述控制器在转发路径上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发,具体为:
若所述报文不是超文本传输协议报文,根据所述报文的源IP地址查询行为策略中的用户禁止功能,如果用户禁止选项为不允许访问互联网且所述报文的源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允许所述报文转发;
若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下发流表,允许所述报文转发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610116213.XA CN105681102A (zh) | 2016-03-01 | 2016-03-01 | 一种基于sdn的行为策略方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610116213.XA CN105681102A (zh) | 2016-03-01 | 2016-03-01 | 一种基于sdn的行为策略方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105681102A true CN105681102A (zh) | 2016-06-15 |
Family
ID=56306416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610116213.XA Pending CN105681102A (zh) | 2016-03-01 | 2016-03-01 | 一种基于sdn的行为策略方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105681102A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453332A (zh) * | 2016-10-18 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
CN106533940A (zh) * | 2016-10-25 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的等价路由哈希选路方法、装置和系统 |
CN110290093A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Sd-wan网络架构及组网方法、报文转发方法 |
CN110661629A (zh) * | 2018-06-28 | 2020-01-07 | 中兴通讯股份有限公司 | 一种网络拓扑发现方法和装置 |
CN114006858A (zh) * | 2020-07-13 | 2022-02-01 | 中国移动通信有限公司研究院 | IPv6信息的发现方法、装置、网络节点及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN104954226A (zh) * | 2015-07-28 | 2015-09-30 | 上海斐讯数据通信技术有限公司 | 一种基于SDN的支持QoS的通信隧道建立方法及系统 |
CN105162608A (zh) * | 2015-10-13 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的物理地址旁路认证方法及装置 |
CN105187307A (zh) * | 2015-08-19 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 基于SDN的MAC-in-MAC报文传输方法及系统 |
-
2016
- 2016-03-01 CN CN201610116213.XA patent/CN105681102A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
CN104954226A (zh) * | 2015-07-28 | 2015-09-30 | 上海斐讯数据通信技术有限公司 | 一种基于SDN的支持QoS的通信隧道建立方法及系统 |
CN105187307A (zh) * | 2015-08-19 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 基于SDN的MAC-in-MAC报文传输方法及系统 |
CN105162608A (zh) * | 2015-10-13 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的物理地址旁路认证方法及装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453332A (zh) * | 2016-10-18 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
CN106533940A (zh) * | 2016-10-25 | 2017-03-22 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的等价路由哈希选路方法、装置和系统 |
CN106533940B (zh) * | 2016-10-25 | 2019-10-11 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的等价路由哈希选路方法、装置和系统 |
CN110290093A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Sd-wan网络架构及组网方法、报文转发方法 |
CN110661629A (zh) * | 2018-06-28 | 2020-01-07 | 中兴通讯股份有限公司 | 一种网络拓扑发现方法和装置 |
CN110661629B (zh) * | 2018-06-28 | 2022-02-25 | 中兴通讯股份有限公司 | 一种网络拓扑发现方法和装置 |
CN114006858A (zh) * | 2020-07-13 | 2022-02-01 | 中国移动通信有限公司研究院 | IPv6信息的发现方法、装置、网络节点及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105681102A (zh) | 一种基于sdn的行为策略方法和系统 | |
CN103491095B (zh) | 流量清洗架构、装置及流量牵引、流量回注方法 | |
Sgambelluri et al. | OpenFlow-based segment protection in Ethernet networks | |
CN102823205B (zh) | 聚合来自接入域的数据业务 | |
CN104243270B (zh) | 一种建立隧道的方法和装置 | |
CN104717098B (zh) | 一种数据处理方法及装置 | |
CN106375214A (zh) | 一种基于sdn的层次化路由路径确定方法及装置 | |
CN107370673B (zh) | 一种网络中建立转发路径的方法、控制器及系统 | |
US20050152399A1 (en) | Method and apparatus for determining a multilayer switching path | |
EP3229413B1 (en) | Cross-domain cooperative method, cooperative device and control device for network as a service business | |
CN106713026A (zh) | 业务链拓扑结构、业务链设置方法和控制器 | |
Yoon et al. | Minimizing the maximum firewall rule set in a network with multiple firewalls | |
Babbar et al. | Performance evaluation of qos metrics in software defined networking using ryu controller | |
Tarutani et al. | Virtual network reconfiguration for reducing energy consumption in optical data centers | |
Roscoe et al. | Predicate routing: Enabling controlled networking | |
CN105075196A (zh) | 控制器、通信系统、路径切换方法和程序 | |
CN113810405A (zh) | 一种基于sdn网络的路径跳变动态防御系统及方法 | |
Kumar et al. | Enhancing security management at software-defined exchange points | |
CN101540696B (zh) | 基于智能路由模拟技术实现电信大网复杂的动态路由分析方法 | |
CN105721346A (zh) | 一种基于软件定义网络的应用带宽配置方法及控制器 | |
CN105791113A (zh) | 一种基于sdn的多链路时延均衡方法和系统 | |
CN104767720A (zh) | 一种软件定义网络中OpenFlow消息跟踪和过滤的方法 | |
Schudel et al. | Router security strategies: Securing IP network traffic planes | |
CN102932186B (zh) | 一种集群系统及消除环路的方法 | |
CN106453332A (zh) | 一种基于sdn的动态用户权限控制方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20200124 |
|
AD01 | Patent right deemed abandoned |