CN106100996A - 基于软件定义网络的交换机、控制器及检查系统 - Google Patents

基于软件定义网络的交换机、控制器及检查系统 Download PDF

Info

Publication number
CN106100996A
CN106100996A CN201610370734.8A CN201610370734A CN106100996A CN 106100996 A CN106100996 A CN 106100996A CN 201610370734 A CN201610370734 A CN 201610370734A CN 106100996 A CN106100996 A CN 106100996A
Authority
CN
China
Prior art keywords
stream table
data integrity
switch
inspection
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610370734.8A
Other languages
English (en)
Inventor
翟跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Feixun Data Communication Technology Co Ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201610370734.8A priority Critical patent/CN106100996A/zh
Publication of CN106100996A publication Critical patent/CN106100996A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/021Ensuring consistency of routing table updates, e.g. by using epoch numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于软件定义网络的交换机、控制器及数据完整性的检查系统,交换机包括:预置模块,用以预置一扩充流表,扩充流表包括匹配字段、动作字段,动作字段含有执行数据完整性检查;第一接收模块,用以接收报文;第一发送模块,其中,根据扩充流表对所接收到的报文进行数据完整性检查;当数据完整性检查不通过时,则通过第一发送模块将检查结果反馈至控制器;当数据完整性检查通过时,则通过第一发送模块直接转发报文。本发明由于可以在转发路径上的交换机中进行数据完整性检查,而不是在客户端与服务端,因此,当转发路径上有数据被篡改时,交换机可以及时发现并上报至控制器。

Description

基于软件定义网络的交换机、控制器及检查系统
技术领域
本发明涉及通信领域,特别涉及基于软件定义网络的数据完整性的检查方法、系统及交换机与控制器。
背景技术
参照图6,图6绘示了现有的数据完整性检查的示意图。
如图6所示,现有的数据完整性检查,是基于传统网络,通常是在客户端与服务器端运行相关协议,首先在客户端对数据进行校验和计算,并插入校验头,然后在服务器端再次对数据进行校验和计算,即检查校验头,如果匹配报文中的校验头,则数据完整性检查通过。简单地说,现有的数据完整性检查,是在客户端与服务器端进行。
但是,现有的数据完整性检查,如果中间路径出现数据被篡改,比如在网络节点S1或者S2出现数据篡改,都只能在服务器端才被发现,并且还无法得知是哪个网络节点出现数据被篡改。
软件定义网络(Software Defined Network,SDN),是一种正在快速发展的新型网络架构,目前已经在广域网(Wide Area Network,WAN)和骨干网中部署应用了。在SDN中,控制平面与数据平面分离,其中,控制平面由逻辑集中的控制器组成,数据平面由多个SDN交换机组成。其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
因此,如何基于SDN来解决现有的数据完整性检查,是本领域技术人员亟待解决的一技术问题。
发明内容
鉴于上述,有必要针对如何基于SDN来解决现有的数据完整性检查的问题提出一种基于软件定义网络的数据完整性的检查方法、系统及交换机与控制器。
本发明的一方面提出了一种基于软件定义网络的数据完整性的检查方法,包括:
在交换机中预置一扩充流表,所述扩充流表包括匹配字段、动作字段,所述动作字段含有执行数据完整性检查;
在所述交换机中,根据所述扩充流表对所接收到的报文进行数据完整性检查;
当数据完整性检查不通过时,则所述交换机将检查结果反馈至控制器;以及
当数据完整性检查通过时,则所述交换机直接转发所接收到的报文。
在一实施方式中,所述检查方法还包括:
在所述控制器中配置数据完整性检查,并下发流表至所述交换机以生成所述扩充流表。
在一实施方式中,配置数据完整性检查包括:配置数据完整性检查功能的开启与关闭及配置数据完整性检查表,所述数据完整性检查表。
在一实施方式中,根据所述扩充流表进行数据完整性检查包括:
所述交换机将所接收的报文与所述扩充流表中的匹配字段进行匹配;
当所接收的报文与所述扩充流表中的匹配字段匹配不成功时,则所述交换机将所接收的报文上报至所述控制器;
所述控制器对所述交换机所上报的报文进行处理,并下发流表至转发路径上的所有交换机,以对所述扩充流表进行更新;以及
在所述交换机中,当所接收的报文与所述扩充流表中匹配字段匹配成功时,则进行数据完整性检查。
在一实施方式中,所述控制器对所述换机所上报的报文进行处理并下发流表至转发路径上的所有交换机包括:
从所上报的报文解析出匹配字段;
根据匹配字段在所述数据完整性检查表中进行查询;
当查询不到时,则动态生成新的数据检查条目与预设检索类型,并更新所述数据完整性检查表;以及
根据所查询到的数据检查条目或动态生成新的数据检查条目生成流表,并向转发路径上的所有交换机下发流表。
在一实施方式中,所述动作字段包括插入校验头、匹配校验头,所述校验头包括校验和与队列ID,其中,在所述交换机中,将所接收的报文的校验和与校验头中的校验和进行匹配,当不匹配时,则数据完整性检查不通过,否则通过。
在一实施方式中,在所述交换机中,当所接收的报文与所述扩充流表中匹配字段匹配成功时,则在进行数据完整性检查之前还包括:
判断所接收的报文中是否含有校验头;
当所接收的报文中不含有校验头时,则插入校验头;以及
当所接收的报文中含有校验头时,则计算所接收的报文的校验和并与校验头中的校验和进行匹配。
在一实施方式中,所述交换机通过私有Experimenter报文将检查结果反馈至所述控制器。
在一实施方式中,当数据完整性检查不通过时,所述交换机将所接收的报文丢弃。
在一实施方式中,所述的检查方法还包括:转发路径上的所有所述交换机将检索结果反馈至所述控制器。
本发明的另一方面提出了一种基于软件定义网络的交换机,包括:
预置模块,用以预置一扩充流表,所述扩充流表包括匹配字段、动作字段,所述动作字段含有执行数据完整性检查;
第一接收模块,用以接收报文;
第一发送模块,
其中,根据所述扩充流表对所接收到的报文进行数据完整性检查;当数据完整性检查不通过时,则通过所述第一发送模块将检查结果反馈至控制器;当数据完整性检查通过时,则通过所述第一发送模块直接转发报文。
在一实施方式中,根据所述扩充流表进行数据完整性检查包括:
将所接收的报文与所述扩充流表中的匹配字段进行匹配;
当所接收的报文与所述扩充流表中的匹配字段匹配不成功时,则通过所述第一发送模块将所接收的报文上报至所述控制器,且,所述第一接收模块接收所述控制器对所述第一发送模块所上报的报文进行处理后的所下发的流表,以对所述扩充流表进行更新;以及
当所接收的报文与所述扩充流表中匹配字段匹配成功时,则进行数据完整性检查。
在一实施方式中,所述动作字段包括插入校验头、匹配校验头,所述校验头包括校验和与队列ID,其中,在所述交换机中,将所接收的报文的校验和与校验头中的校验和进行匹配,当不匹配时,则数据完整性检查不通过,否则通过。
在一实施方式中,在所述交换机中,当所接收的报文与所述扩充流表中匹配字段匹配成功时,则在进行数据完整性检查之前还包括:
判断所接收的报文中是否含有校验头;
当所接收的报文中不含有校验头时,则插入校验头;以及
当所接收的报文中含有校验头时,则计算所接收的报文的校验和并与校验头中的校验和进行匹配。
在一实施方式中,通过私有Experimenter报文将检查结果反馈至所述控制器。
在一实施方式中,所述的交换机还包括:转发路径上的所有所述交换机将检索结果反馈至所述控制器。
本发明的又一方面提出了一种基于软件定义网络的控制器,包括:
配置模块,用以配置数据完整性检查;
流表生成模块,用以生成流表,以给交换机提供扩充流表,所述扩充流表包括匹配字段、动作字段,所述动作字段含有执行数据完整性检查;
第二接收模块,用以接收交换机所上报的报文及数据完整性检查的检查结果;
处理模块,用以对所述交换机所上报的报文进行处理,并使所述流表生成模块生成流表,以对所述交换机中的扩充流表进行更新;以及
第二发送模块,用以下发所述流表生成模块所生成的流表至转发路径上的所有交换机。
在一实施方式中,所述配置模块配置数据完整性检查包括:配置数据完整性检查功能的开启与关闭及配置数据完整性检查表。
在一实施方式中,所述处理模块对所述换机所上报的报文进行处理包括:
从所上报的报文解析出匹配字段;
根据匹配字段在所述数据完整性检查表中进行查询;
当查询不到时,则动态生成新的数据检查条目与预设检索类型,并更新所述数据完整性检查表。
在一实施方式中,所述流表生成模块根据所查询到的数据检查条目或动态生成新的数据检查条目生成流表,以对所述交换机中的扩充流表进行更新。
本发明的再一方面提出了一种基于软件定义网络的数据完整性的检查系统,包括:
如上述任一项所述的交换机;以及
如上述任一项所述的控制器。
综上,本发明所提出的一种基于软件定义网络的数据完整性的检查方法、系统及交换机与控制器,由于可以在转发路径上的交换机中进行数据完整性检查,而不是在客户端与服务端,因此,当转发路径上有数据被篡改时,交换机可以及时发现并上报至控制器,而不要等到服务端才被发现,并且,数据完整性检查,即插入校验头、匹配校验头,都是通过扩充流表来达成的,效率高。
附图说明
图1绘示了本发明一实施方式的基于软件定义网络的数据完整性的检查方法的流程示意图;
图2绘示了图1中的步骤S120的一具体流程示意图;
图3绘示了本发明的另一实施方式的基于软件定义网络的交换机的结构示意图;
图4绘示了本发明的又一实施方式的基于软件定义网络的控制器的结构示意图;
图5绘示了本发明的再一实施方式的基于软件定义网络的数据完整性的检查系统的结构示意图;以及
图6绘示了现有的数据完整性检查的示意图。
具体实施方式
为了使本领域相关技术人员更好地理解本发明的技术方案,下面将结合本发明实施方式的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。
参照图1,图1绘示了本发明一实施方式的基于软件定义网络的数据完整性的检查方法的流程图。
由于本实施方式中,是基于软件定义网络(SDN)的,因此,文中的交换机,泛指SDN交换机,同样,控制器,泛指SDN控制器。
首先,在步骤S110中,在交换机中预置一扩充流表,扩充流表包括匹配字段、动作字段,动作字段含有执行数据完整性检查。
然后,在步骤S120中,在交换机中,根据扩充流表对收到的报文进行数据完整性检查。
之后,在步骤S130中,当数据完整性检查不通过时,则交换机将检查结果反馈至控制器。
继而,在步骤S140中,当数据完整性检查通过时,则交换机直接转发所接收到的报文。
本实施方式中,在控制器中,可以先配置数据完整性检查,这里的配置数据完整性检查,可以是配置数据完整性检查功能的开启与关闭及配置数据完整性检查表,如表一:
配置项 含义
基于SDN的数据完整性检查功能 打开或关闭基于SDN的数据完整性检查功能
数据完整性检查表 需指定数据的特征,检查类型
表一
关于数据完整性检查表,如表二:
表二
需说明的是,表一的配置项及表二的数据完整性检查表,仅仅为了示意,并不限定于此,可以根据需要,添加或更改字段。
当配置完后,那么,控制器中会生成相应的流表,并将此流表下发至交换机,从而形成交换机中的扩充流表,此扩充流表中的匹配字段,可以包括目的IP地址、源IP地址,扩充流表中的动作字段,可以包括插入校验头、匹配校验头,其中,校验头中含有校验和与队列ID。
参照图2,图2绘示了图1中的步骤S120的一具体流程示意图。
首先,在步骤S121中,在所述交换机中,将所接收的报文与扩充流表中的匹配字段进行匹配。比如,将报文中的目的IP地址、源IP地址与流表中的目的IP地址、源IP地址相匹配。
然后,在步骤S122中,当所接收的报文与扩充流表中的匹配字段匹配不成功时,则交换机将所接收的报文上报至控制器。比如,收到的报文的目的IP地址、源IP地址在扩充流表中未找到,则此时,交换机可以将此报文上报至控制器。
之后,在步骤S123中,控制器对交换机所上报的报文进行处理,并下发流表至转发路径上的所有交换机,以对扩充流表进行更新。
在一具体实施例中,控制器对交换机所上报的报文进行处理,可以包括如下:
首先,从所上报的报文解析出匹配字段,比如解析出目的IP地址、源IP地址。
然后,根据匹配字段在数据完整性检查表中进行查询,比如,在数据完整性检索表中查询是否有相应的目的IP地址、源IP地址。
之后,当查询不到时,则动态生成新的数据检查条目与预设检索类型,并更新数据完整性检查,即,在数据完整性检查表中添加新的数据检查条目,并设置相应的检索类型,比如可以设检索类型为1。
继而,根据所查询到的数据检查条目或动态生成新的数据检查条目,生成相对应的流表,向转发路径上的所有交换机下发流表,从而可以更新交换机中的扩充流表。
由以上可知,通过控制器对报文的处理之后,则可以产生新的流表,并下发到交换机中,从而可以对交换机中之前的扩充流表进行更新。
较佳地,在交换机中,当所接收的报文与扩充流表中匹配字段匹配成功时,则还可以判断是否含有校验头,如步骤S124,校验头,可以包括校验和与队列ID(即转发优先队列ID)。
继而,在步骤S125中,当没有校验头时,则通过扩充流表中的插入校验头的执行字段插入校验头,并依据队列ID对报文进行转发,此时,对应的是入口交换机。
然后,在步骤S126中,当具有校验头时,则通过扩充流表中的匹配校验头的执行字段,来进行匹配校验头,具体地说,计算所接收的报文的校验和,然后与校验头中的校验和进行匹配,从而达成具体进行数据完整性检查,此时对应的是非入口交换机,即入口交换机后的转发路径上的交换机。
当所接收的报文的校验和与校验头中的校验和不相匹配时,则表示数据完整性检查不通过,即相应转发节点的数据不完整,当所接收的报文的校验和与校验头中的校验和相匹配时,则表示数据完整性检查通过,即相应转发节点的数据完整。
下面将介绍交换机如何将检查结果反馈至控制器。
在一实施方式中,交换机通过私有扩展Experimenter报文将检查结果反馈至控制器。
私有扩展Expermenter报文,如表三:
表三
私有扩展Experimenter值为255,Experimenter type值为1,表明是从交换机方向到控制器。具体地说,私有扩展Experimenter报文则由转发路径上的SDN交换机上报给控制器,目的IP和源IP用于匹配数据,入端口指明数据进入端口,检查结果为0表示检查正确,检查结果为1表示检查失败。
需说明的是,本实施方式中,当数据完整性检查不通过时,交换机不但可以将检查结果反馈至控制器,还可以将所接收的报文进行直接丢弃,即,将检查不合格的报文丢弃掉。
需说明的是,本实施方式中,当在数据完整性检查表中将检索类型设置为“2”时,即“进行数据完整性检查,转发路径上的所有交换机都需要把检查结果上报控制器”,此时,不止数据完整性检查不通过,会将检查结果反馈至控制器,即使数据完整性检查通过时,也会将检查结果反馈至控制器。
本实施方式中,由于可以在转发路径上的交换机中进行数据完整性检查,而不是在客户端与服务端,因此,当转发路径上有数据被篡改时,交换机可以及时发现并上报至控制器,而不要等到服务端才被发现,并且,数据完整性检查,即插入校验头、匹配校验头,都是通过扩充流表来达成的,效率高。
参照图3,图3绘示了本发明的另一实施方式的基于软件定义网络的交换机的结构示意图。
本实施方式中,由于是基于SDN,因此,交换机300,泛指SDN交换机,控制器,泛指SDN控制器。
如图3所示,交换机300包括预置模块310、第一接收模块320及第一发送模块330。
预置模块310,用以预置一扩充流表,扩充流表包括匹配字段、动作字段,动作字段含有执行数据完整性检查,匹配字段可以包括目的IP地址、源IP地址,动作字段可以包括插入校验头、匹配校验头,其中,校验头中含有校验和与队列ID。
第一接收模块320,用以接收报文及接收控制器(未绘示)下发的流表。
本实施方式中,根据扩充流表对所接收到的报文进行数据完整性检查;当数据完整性检查不通过时,则通过第一发送模块330将检查结果反馈至控制器;当数据完整性检查通过时,则第一接收模块330直接将转发报文。
本实施方式中,在交换机300中,根据扩充流表进行数据完整性检查,可以包括如下:
首先,将所接收的报文与扩充流表中的匹配字段进行匹配,比如,将报文中的目的IP地址、源IP地址与流表中的目的IP地址、源IP地址相匹配。
然后,当所接收的报文与扩充流表中的匹配字段匹配不成功时,则通过第一发送模块330将所接收的报文上报至控制器,且,第一接收模块320接收控制器对第一发送模块330所上报的报文进行处理后的所下发的流表,以对扩充流表进行更新。
之后,当所接收的报文与扩充流表中匹配字段匹配成功时,则判断所接收的报文中是否含有校验头。
继而,当所接收的报文中不含有校验头时,则插入校验头。
然后,当所接收的报文中含有校验头时,则匹配校验头,即计算所接收的报文的校验和并与校验头中的校验和进行匹配,以进行数据完整性检查。
之后,当所接收的报文的校验和与校验头中的校验和不匹配时,则数据完整性检查不通过,否则通过。
继而,当数据完整性检查不通过,第一发送模块330通过私有Experimenter报文将检查结果反馈至控制器。
关于私有扩招Experimenter报文,私有扩展Experimenter值为255,Experimentertype值为1,表明是从交换机方向到控制器。具体地说,私有扩展Experimenter报文则由转发路径上的SDN交换机上报给控制器,目的IP和源IP用于匹配数据,入端口指明数据进入端口,检查结果为0表示检查正确,检查结果为1表示检查失败。
需说明的是,在其它实施方式中,不论数据完整性检查通过与否,转发路径上的所有交换机都将检索结果反馈至控制器,即此时并不限于数据完整性检查不通过时,第一发送模块130才将检查结果反馈至控制器。
参照图4,图4绘示了本发明的又一实施方式的基于软件定义网络的控制器的结构示意图。
本实施方式中,由于是基于SDN,因此,控制器400,泛指SDN控制器,交换机,泛指SDN交换机。
如图4所示,控制器400包括配置模块410、流表生成模块420、第二接收模块430、处理模块440、第二发送模450。
配置模块410,用以配置数据完整性检查,比如,可以是配置数据完整性检查功能的开启与关闭及配置数据完整性检查表,具体可以参考上文的表一、表二。
流表生成模块420,用以生成流表,以给交换机提供扩充流表,扩充流表包括匹配字段、动作字段,动作字段含有执行数据完整性检查。此扩充流表中的匹配字段,可以包括目的IP地址、源IP地址,扩充流表中的动作字段,可以包括插入校验头、匹配校验头,其中,校验头中含有校验和与队列ID。
第二接收模块430,用以接收交换机所上报的报文及数据完整性检查的检查结果;
处理模块440,用以对交换机所上报的报文进行处理,并使流表生成模块生成流表,以对所述交换机中的扩充流表进行更新。
在一具体实施例中,处理模块440对换机所上报的报文进行处理,可以包括:
首先,从所上报的报文解析出匹配字段,比如解析出目的IP地址、源IP地址。
然后,根据匹配字段在数据完整性检查表中进行查询,比如,在数据完整性检索表中查询是否有相应的目的IP地址、源IP地址。
之后,当查询不到时,则动态生成新的数据检查条目与预设检索类型,并更新数据完整性检查表,即,在数据完整性检查表中添加新的数据检查条目,并设置相应的检索类型,比如可以设检索类型为1。
第二发送模块450,用以下发流表生成模块420所生成的流表至转发路径上的所有交换机,比如,第二发送模块450可以下发流表至交换机中形成预置的扩充流表,另外,在处理模块440对交换机所上报的报文进行处理后,流表生成模块420根据所查询到的数据检查条目或动态生成新的数据检查条目生成流表,此时,第二发送模块450同样可以下发新生成的流表,以对交换机中的扩充流表进行更新。
参照图5,图5绘示了本发明的再一实施方式的基于软件定义网络的数据完整性的检查系统的结构示意图。
如图5所示,检查系统包括图3中的交换机300及控制器400,对于交换机300,可以参考上文的图3及其描述,同样,对于控制器400,可以参考上文的图4及其描述,在此不再赘述。
综上,本发明所提出的一种基于软件定义网络的数据完整性的检查方法、系统及交换机与控制器,由于可以在转发路径上的交换机中进行数据完整性检查,而不是在客户端与服务端,因此,当转发路径上有数据被篡改时,交换机可以及时发现并上报至控制器,而不要等到服务端才被发现,并且,数据完整性检查,即插入校验头、匹配校验头,都是通过扩充流表来达成的,效率高。
以上仅表达了本发明的部分实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于软件定义网络的交换机,其特征在于,包括:
预置模块,用以预置一扩充流表,所述扩充流表包括匹配字段、动作字段,所述动作字段含有执行数据完整性检查;
第一接收模块,用以接收报文;
第一发送模块,
其中,根据所述扩充流表对所接收到的报文进行数据完整性检查;当数据完整性检查不通过时,则通过所述第一发送模块将检查结果反馈至控制器;当数据完整性检查通过时,则通过所述第一发送模块直接转发报文。
2.根据权利要求1所述的交换机,其特征在于,根据所述扩充流表进行数据完整性检查包括:
将所接收的报文与所述扩充流表中的匹配字段进行匹配;
当所接收的报文与所述扩充流表中的匹配字段匹配不成功时,则通过所述第一发送模块将所接收的报文上报至所述控制器,且,所述第一接收模块接收所述控制器对所述第一发送模块所上报的报文进行处理后的所下发的流表,以对所述扩充流表进行更新;以及
当所接收的报文与所述扩充流表中匹配字段匹配成功时,则进行数据完整性检查。
3.根据权利要求1所述的交换机,其特征在于,所述动作字段包括插入校验头、匹配校验头,所述校验头包括校验和与队列ID,其中,在所述交换机中,将所接收的报文的校验和与校验头中的校验和进行匹配,当不匹配时,则数据完整性检查不通过,否则通过。
4.根据权利要求3所述的交换机,其特征在于,在所述交换机中,当所接收的报文与所述扩充流表中匹配字段匹配成功时,则在进行数据完整性检查之前还包括:
判断所接收的报文中是否含有校验头;
当所接收的报文中不含有校验头时,则插入校验头;以及
当所接收的报文中含有校验头时,则计算所接收的报文的校验和并与校验头中的校验和进行匹配。
5.根据权利要求1所述的交换机,其特征在于,通过私有Experimenter报文将检查结果反馈至所述控制器。
6.一种基于软件定义网络的控制器,其特征在于,包括:
配置模块,用以配置数据完整性检查;
流表生成模块,用以生成流表,以给交换机提供扩充流表,所述扩充流表包括匹配字段、动作字段,所述动作字段含有执行数据完整性检查;
第二接收模块,用以接收交换机所上报的报文及数据完整性检查的检查结果;
处理模块,用以对所述交换机所上报的报文进行处理,并使所述流表生成模块生成流表,以对所述交换机中的扩充流表进行更新;以及
第二发送模块,用以下发所述流表生成模块所生成的流表至转发路径上的所有交换机。
7.根据权利要求6所述的控制器,其特征在于,所述配置模块配置数据完整性检查包括:配置数据完整性检查功能的开启与关闭及配置数据完整性检查表。
8.根据权利要求6所述的控制器,其特征在于,所述处理模块对所述换机所上报的报文进行处理包括:
从所上报的报文解析出匹配字段;
根据匹配字段在所述数据完整性检查表中进行查询;
当查询不到时,则动态生成新的数据检查条目与预设检索类型,并更新所述数据完整性检查表。
9.根据权利要求8所述的控制器,其特征在于,所述流表生成模块根据所查询到的数据检查条目或动态生成新的数据检查条目生成流表,以对所述交换机中的扩充流表进行更新。
10.一种基于软件定义网络的数据完整性的检查系统,其特征在于,包括:
如权利要求1-5中的任一项所述的交换机;以及
如权利要求6-9中的任一项所述的控制器。
CN201610370734.8A 2016-05-30 2016-05-30 基于软件定义网络的交换机、控制器及检查系统 Pending CN106100996A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610370734.8A CN106100996A (zh) 2016-05-30 2016-05-30 基于软件定义网络的交换机、控制器及检查系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610370734.8A CN106100996A (zh) 2016-05-30 2016-05-30 基于软件定义网络的交换机、控制器及检查系统

Publications (1)

Publication Number Publication Date
CN106100996A true CN106100996A (zh) 2016-11-09

Family

ID=57230328

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610370734.8A Pending CN106100996A (zh) 2016-05-30 2016-05-30 基于软件定义网络的交换机、控制器及检查系统

Country Status (1)

Country Link
CN (1) CN106100996A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020207105A1 (zh) * 2019-04-10 2020-10-15 中兴通讯股份有限公司 目的报文的确定方法及装置、存储介质、电子装置
CN112769800A (zh) * 2020-12-31 2021-05-07 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 交换机的完整性验证方法、装置和计算机存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095701A (zh) * 2013-01-11 2013-05-08 中兴通讯股份有限公司 开放流表安全增强方法及装置
CN103927497A (zh) * 2014-04-25 2014-07-16 华为技术有限公司 Ndm文件保护方法及装置
CN105162608A (zh) * 2015-10-13 2015-12-16 上海斐讯数据通信技术有限公司 基于软件定义网络的物理地址旁路认证方法及装置
CN105591754A (zh) * 2016-02-26 2016-05-18 上海斐讯数据通信技术有限公司 一种基于sdn的验证头验证方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095701A (zh) * 2013-01-11 2013-05-08 中兴通讯股份有限公司 开放流表安全增强方法及装置
CN103927497A (zh) * 2014-04-25 2014-07-16 华为技术有限公司 Ndm文件保护方法及装置
CN105162608A (zh) * 2015-10-13 2015-12-16 上海斐讯数据通信技术有限公司 基于软件定义网络的物理地址旁路认证方法及装置
CN105591754A (zh) * 2016-02-26 2016-05-18 上海斐讯数据通信技术有限公司 一种基于sdn的验证头验证方法和系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020207105A1 (zh) * 2019-04-10 2020-10-15 中兴通讯股份有限公司 目的报文的确定方法及装置、存储介质、电子装置
CN112769800A (zh) * 2020-12-31 2021-05-07 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) 交换机的完整性验证方法、装置和计算机存储介质

Similar Documents

Publication Publication Date Title
US8457017B2 (en) Multi-chassis interconnect
CN106101070A (zh) 基于软件定义网络的数据完整性的检查方法
JP2009296493A (ja) パスプロテクション機能を有する通信装置及びその通信装置を使用するネットワークシステム
US20120263035A1 (en) System and method for changing a delivery path of multicast traffic
US20110149986A1 (en) Switching hub, line card and frame relay method
US10171351B2 (en) Method for updating flow table
CN106375223B (zh) 一种基于sdn的数据转发系统及方法
CN106100996A (zh) 基于软件定义网络的交换机、控制器及检查系统
CN105591754A (zh) 一种基于sdn的验证头验证方法和系统
CN103595712B (zh) 一种Web认证方法、装置及系统
CN105207950A (zh) 一种基于sdn技术的通信数据保护方法
CN106059964B (zh) 报文转发方法及装置
CN101783769A (zh) 链路故障时报文转发的方法和设备
JP2008085557A (ja) パターンフレーム生成方法およびテストパターン照合方法、並びにジッタテスト方法、通信装置、通信システム
CN110391981B (zh) 为网状网络中的网关节点建立源路由树的设备、方法及介质
US9743371B2 (en) Control apparatus, communication system, synchronization method and program
US20090083379A1 (en) Enabling connections for use with a network
CN105282036A (zh) 一种路由节点、路由交换方法及系统
CN104243319A (zh) 一种邻居发现的方法及装置
US7808982B2 (en) Method for verifying shared state synchronization of redundant modules in a high availability network switch
CN109474588A (zh) 一种终端认证方法及装置
EP3691211B1 (en) Apparatus and method of crosschecking data copies using one or more voter elements
CN102035716B (zh) 路由更新方法、系统及路由器
CN106254243A (zh) 一种报文转发方法及装置
US7835354B2 (en) Modeling broadcast, multicast, point to point, and handshake communications over the same channel in a spin model checker

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20161109

WD01 Invention patent application deemed withdrawn after publication