CN110519404A - 一种基于sdn的策略管理方法、装置及电子设备 - Google Patents
一种基于sdn的策略管理方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110519404A CN110519404A CN201910711617.7A CN201910711617A CN110519404A CN 110519404 A CN110519404 A CN 110519404A CN 201910711617 A CN201910711617 A CN 201910711617A CN 110519404 A CN110519404 A CN 110519404A
- Authority
- CN
- China
- Prior art keywords
- terminal
- incidence relation
- address
- subnet
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及通信技术领域,尤其涉及一种基于SDN的策略管理方法、装置及电子设备,接收终端基于分配的IP地址发送的网络访问请求,IP地址是DHCP服务器根据终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给终端的;终端对应的业务子网是核心交换机根据确定的终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给DHCP服务器的,进而确定对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定终端对应的网络访问权限策略;根据终端对应的网络访问权限策略,对该网络访问请求进行处理,这样,可以实现网络访问权限策略随行,不需要重新配置。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种基于SDN的策略管理方法、装置及电子设备。
背景技术
软件定义网络(Software Defined Networks,SDN)是一种新型的网络创新架构,可以通过将网络设备的控制面与数据面分离,从而实现网络流量的灵活控制,为核心网络及应用的创新提供了良好的平台,例如基于SDN可以部署局域网中不同终端的网络访问权限策略,控制不同终端的网络访问权限。
但是,现有技术中,当终端位置跨区域变化,例如,终端移动到局域网的另一个地方接入,其网络访问权限无法自动跟随,通常都需要对其网络访问权限进行重新配置,例如,需要对该终端的接口重新划分回其所在部门归属区域的网段,或者对该终端重新配置网络访问权限。现有技术中的这种方法,终端位置迁移后,需要重新进行配置,导致需要投入大量网络运维的成本,网络运维难度较高。
发明内容
本申请实施例提供一种基于SDN的策略管理方法、装置及电子设备,以解决现有技术中终端位置迁移后,需要对其网络访问权限重新配置的问题。
本申请实施例提供的具体技术方案如下:
一种基于软件定义网络SDN的策略管理方法,包括:
接收终端基于分配的IP地址发送的网络访问请求,其中,所述IP地址是动态主机设置协议DHCP服务器根据所述终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给所述终端的,所述终端对应的业务子网是核心交换机根据确定的所述终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给所述DHCP服务器的;
确定所述IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定所述终端对应的网络访问权限策略;
根据所述终端对应的网络访问权限策略,对所述网络访问请求进行处理。
可选的,接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
接收所述终端发送的第一DHCP请求,其中,所述第一DHCP请求用于请求获取IP地址;
根据确定的所述终端与终端组的关联关系,以及所述预设的终端组与业务子网的关联关系,确定所述终端对应的业务子网,其中,一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段;
基于所述第一DHCP请求,向所述DHCP服务器发送第二DHCP请求,以使所述DHCP服务器根据所述预设的业务子网和IP地址池关联关系,向所述终端返回对应的IP地址,其中,所述第二DHCP请求中至少包括确定出的所述终端对应的业务子网。
可选的,进一步包括:
接收所述终端发送的第三DHCP请求,其中,所述第三DHCP请求用于请求获取IP地址;
若确定未找到所述终端和终端组的关联关系,则确定所述终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使所述DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向所述终端返回对应的临时IP地址,其中,所述第四DHCP请求中至少包括所述临时子网;
将所述终端基于所述临时IP地址发送的认证请求,转发至认证服务器,以使所述认证服务器对所述终端进行认证;
接收所述认证服务器发送的在认证通过后确定的所述终端和终端组的关联关系。
可选的,所述认证请求中至少包括用户名和密码;
则所述终端和终端组的关联关系是所述认证服务器确定所述用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
可选的,所述业务子网和IP地址池关联关系、所述临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给所述DHCP服务器的。
可选的,所述临时IP的租期为设定时长;
则所述第一DHCP请求是所述终端确定临时IP的租期超过设定时长时发送的。
可选的,进一步包括:
与SDN控制器建立连接;
接收所述SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系,其中,所述终端组是所述SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略;
接收所述SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系,其中,所述业务子网是所述SDN控制器针对业务网进行规划配置的,并一个业务网对应一个规划出的虚拟局域网VLAN。
一种基于软件定义网络SDN的策略管理装置,包括:
第一接收模块,用于接收所述终端基于分配的IP地址发送的网络访问请求,其中,所述IP地址是动态主机设置协议DHCP服务器根据所述终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给所述终端的,所述终端对应的业务子网是核心交换机根据确定的所述终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给所述DHCP服务器的;
第一确定模块,用于确定所述IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定所述终端对应的网络访问权限策略;
处理模块,用于根据所述终端对应的网络访问权限策略,对所述网络访问请求进行处理。
可选的,核心交换机接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
第二接收模块,用于接收所述终端发送的第一DHCP请求,其中,所述第一DHCP请求用于请求获取IP地址;
第二确定模块,用于根据确定的所述终端与终端组的关联关系,以及所述预设的终端组与业务子网的关联关系,确定所述终端对应的业务子网,其中,一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段;
发送模块,用于基于所述第一DHCP请求,向所述DHCP服务器发送第二DHCP请求,以使所述DHCP服务器根据所述预设的业务子网和IP地址池关联关系,向所述终端返回对应的IP地址,其中,所述第二DHCP请求中至少包括确定出的所述终端对应的业务子网。
可选的,进一步包括:
第三接收模块,用于接收所述终端发送的第三DHCP请求,其中,所述第三DHCP请求用于请求获取IP地址;
第三确定模块,用于若确定未找到所述终端和终端组的关联关系,则确定所述终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使所述DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向所述终端返回对应的临时IP地址,其中,所述第四DHCP请求中至少包括所述临时子网;
转发模块,用于将所述终端基于所述临时IP地址发送的认证请求,转发至认证服务器,以使所述认证服务器对所述终端进行认证;
第四接收模块,用于接收所述认证服务器发送的在认证通过后确定的所述终端和终端组的关联关系。
可选的,所述认证请求中至少包括用户名和密码;则所述终端和终端组的关联关系是所述认证服务器确定所述用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
可选的,所述业务子网和IP地址池关联关系、所述临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给所述DHCP服务器的。
可选的,所述临时IP的租期为设定时长;则所述第一DHCP请求是所述终端确定临时IP的租期超过设定时长时发送的。
可选的,进一步包括:
连接模块,用于与SDN控制器建立连接;
第五接收模块,用于接收所述SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系,其中,所述终端组是所述SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略;
第六接收模块,用于接收所述SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系,其中,所述业务子网是所述SDN控制器针对业务网进行规划配置的,并一个业务网对应一个规划出的虚拟局域网VLAN。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于软件定义网络SDN的策略管理方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于软件定义网络SDN的策略管理方法的步骤。
本申请实施例中,通过SDN控制器可以进行预配置,预先设置业务子网和IP地址池关联关系、终端组和业务子网的关联关系等,并且可以确定出终端和终端组的关联关系,这样,即使终端位置发生了迁移,也可以为该终端分配其所属业务子网下的IP地址,进而核心交换机可以接收终端基于分配的IP地址发送的网络访问请求,核心交换机能够确定IP地址对应的业务子网,并根据预先建立的业务子网和网络访问权限策略的关联关系,可以确定终端对应的网络访问权限策略,这样,由于已经确定了网络访问权限策略,则可以根据终端对应的网络访问权限策略来处理网络访问请求,使得终端可以获得之前的网络访问权限策略,实现了网络访问权限策略跟随,不需要对其重新配置,大大降低了网络运维的成本和网络运维的难度。
附图说明
图1为本申请实施例中SDN架构示意图;
图2为本申请实施例中基于SDN的策略管理方法的应用架构示意图;
图3为本申请实施例中基于SDN的策略管理系统的结构示意图;
图4为本申请实施例中基于SDN的策略管理方法流程图;
图5为本申请实施例中基于SDN的策略管理方法的交互流程图;
图6为本申请实施例中基于SDN的策略管理装置的结构示意图;
图7为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为便于对本申请实施例的理解,下面先对几个概念进行简单介绍:
1、软件定义网络(Software Defined Networks,SDN):SDN是一种软件集中控制、网络开放的三层体系架构,参阅图1所示,为本申请实施例中SDN架构示意图,应用层实现对网络业务的呈现和网络模型的抽象,控制层实现网络操作系统功能,集中管理网络资源,转发层实现分组交换功能,其中,应用层与控制层之间的北向接口是网络开放的核心,控制层的产生实现了控制面与转发面的分离,是集中控制的基础。
2、动态主机设置协议(Dynamic Host Configuration Protocol,DHCP):DHCP是一个局域网的网络协议,使用用户数据报协议(User Datagram Protocol,UDP)协议工作,主要有两个用途:用于内部网或网络服务供应商自动分配互联网协议(Internet Protocol,IP)地址;给用户用于内部网管理员作为对所有计算机作中央管理的手段。
3、业务网:表示为接入用户提供某种业务服务的网络。
4、业务子网:本申请实施例中表示根据子业务的类型不同而划分的子网,每个业务子网下的终端,网络访问权限相同,一个业务子网表示同一业务网下的一个网段。
5、终端组:本申请实施例中表示一组业务类型相同的终端,网络访问权限策略都是基于终端组设置,同一终端组中的所有终端的网络访问权限策略相同。
SDN为核心网络及应用的创新提供了良好的平台,例如基于SDN可以部署局域网中不同终端的网络访问权限策略,控制不同终端的网络访问权限。但是,现有技术中,当终端位置跨区域变化,例如,终端移动到局域网的另一个地方接入,或者某个终端被单独划分到另一个区域,其网络访问权限无法自动跟随,通常都需要对其网络访问权限进行重新配置,例如,需要对该终端的接口重新划分回其所在部门归属区域的网段,或者对该终端重新配置网络访问权限。现有技术中的这种方法,终端位置迁移后,网络访问权限不能实现策略跟随,导致在每次终端迁移后,都需要对核心交换机重新进行配置以及认证,这种方法会导致投入大量网络运维的成本,网络运维难度较高。
本申请实施例中,提供了一种基于SDN的策略管理方法,通过SDN控制器进行预配置,SDN控制器将配置的终端组信息、终端组和业务子网的关联关系以及业务子网和网络访问权限策略的关联关系发送给核心交换机,并且可以配置业务子网和IP地址池关联关系下发给DHCP服务器,进而,核心交换机接收到终端基于分配的IP地址发送的网络访问请求时,可以确定对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定终端对应的网络访问权限策略,进而对网络访问请求进行相应处理,这样,当终端位置迁移后,由于终端和终端组的关联关系不会发生变化,根据终端组和业务子网的关联关系,业务子网和网络访问权限策略的关联关系,可以确定出终端对应的网络访问权限策略,其网络访问权限策略不会改变,从而实现终端网络访问权限策略随行,不需要重新对终端进行网络访问权限配置,从而大大降低了网络运维的成本和难度。
参阅图2所示,为本申请实施例中基于SDN的策略管理方法的应用架构示意图,包括终端100、终端200、基于SDN的策略管理系统300。
终端100、终端200表示两种不同终端,可以是智能手机、平板电脑、便携式个人计算机、台式机等任何智能设备或用户办公设备,终端100、终端200均具有上网功能,终端100、终端200在本申请实施例中的基于SDN的策略管理方法中作用相同,这里仅以终端100为例进行说明,例如,针对局域网,用户可以在终端100上,使用用户名和密码认证后进行上网。如图2所示,区域110和区域120表示物理位置不同的两个网络接入点,终端100位置可能会发生迁移,可能会在区域110或区域120申请上网,但是通常局域网是针对某区域进行配置,当终端100位置迁移到其它区域,用户再通过其用户名和密码申请上网,可能就无法上网了,本申请实施例中提供的基于SDN的策略管理方法,可以在终端100位置迁移到其它区域时,其网络访问权限策略不需要重新设置,仍可以获得之前的网络访问权限策略。
终端100与基于SDN的策略管理系统300之间以通过互联网相连,实现相互之间的通信。
基于SDN的策略管理系统300能够在终端100位置发生迁移时,自动为其确定出之前的网络访问权限策略,不需要重新配置,其中,基于SDN的策略管理系统300由SDN控制器、核心交换机、认证服务器、DHCP服务器组成。例如,本申请实施例中,终端100在区域110中的网络访问权限策略为能够登陆某局域网并访问对应的业务网,例如当终端100在区域110中申请上网时,输入用户名和密码,认证通过后即可访问该业务网,但是当终端100从区域110迁移到区域120后,终端100可能会掉线,无法继续访问,这时在区域120中用户基于终端100想要重新访问,例如,终端100可以发送网络访问请求,基于SDN的策略管理系统300中的核心交换机接收到该网络访问请求后,可以确定出对应的网络访问权限策略,进而对该网络访问请求进行处理,本申请实施例中不需要对该终端100重新配置,基于SDN的策略管理系统300可以自动为其确定出之前的网络访问权限策略,用户重新输入用户名和密码后,认证通过,即可以继续访问该业务网,网络访问权限策略不会改变,实现了网络访问权限策略随行。
需要说明的是,本申请实施例中的应用架构图是为了更加清楚地说明本申请实施例中的技术方案,并不构成对本申请实施例提供的技术方案的限制,对于其它的应用架构和业务应用,本申请实施例提供的技术方案对于类似的问题,同样适用。下面本申请各个实施例中,以基于SDN的策略管理方法应用于图2所示的应用架构为例进行示意性说明。
基于上述实施例,下面对上述图2中基于SDN的策略管理系统300进行具体说明,参阅图3所示,为本申请实施例中基于SDN的策略管理系统的结构示意图,包括核心交换机、SDN控制器、认证服务器、DHCP服务器,具体可以分为以下几部分:
一、SDN控制器
本申请实施例中SDN控制器可以分别与核心交换机、DHCP服务器建立连接。
例如,SDN控制器可以通过简单网络管理(Simple Network ManagementProtocol,SNMP)、网络配置(Network Configuration,NETCONF)或软件定义网络(OpenFlow)协议等与核心交换建立连接,具体方式本申请实施例中并不进行限制。
又例如,DHCP服务器能够通过表述性状态传递(Representational StateTransfer,REST)接口对SDN控制器提供服务业务,以使SND控制器能够通过超文本传输协议(Hyper Text Transfer Protocol,HTTP)请求对其配置。
具体地,SDN控制器用于:1)负责实现网络的规划配置。
具体包括:预先规划好业务网,包括业务网的VLAN信息、包括的业务子网、业务子网的网关地址等信息。
其中,业务子网是SDN控制器针对业务网进行规划配置的,并且一个业务网对应一个规划出的虚拟局域网(Virtual Local Area Network,VLAN),一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段,即每个业务子网为独立的网段,并且有单独的网关,进一步地,可以将这些规划好的网络配置相关信息发送至核心交换机。
并且,业务子网的划分可以基于网络访问权限策略,每个业务子网的网络访问权限策略是一致的,例如,可以配置为有多少种不同的网络访问权限策略,就有多少种业务子网,所有的业务子网都在同一个业务网下。
2)负载配置网络的网络访问权限策略,策略可以基于每个业务子网,每个业务子网内所有终端的网络访问权限一致。
具体地:配置业务子网和网络访问权限策略的关联关系,并将业务子网和网络访问权限策略的关联关系发送至核心交换机。
也就是说,本申请实施例中SDN控制器提供网络访问权限策略的编排,将网络访问权限策略与业务子网进行关联,其内部模块通过转化,将网络访问权限策略转化为核心交换机能识别的配置,即转化为基于网段的访问控制列表并发送给核心交换机。
3)创建终端组,将创建完成的终端组关联至业务子网,该终端组是根据对应的网络访问权限策略类型创建的,将确定的终端组以及终端组和业务子网的关联关系发送至核心交换机。
其中,SDN控制器创建的终端组与认证服务器上配置的终端组是相同的,每一个终端组对应一种网络访问权限策略,即属于同一终端组的终端网络访问权限策略都是相同的。
4)SDN控制器还用于向DHCP服务器发送与业务子网对应的IP地址池,即将业务子网和IP地址池关联关系发送至DHCP服务器,以使DHCP服务器从IP地址池中选择分配的IP地址。
即SDN控制器还负责实现IP地址池的配置,将IP地址池与业务子网关联起来,使得DHCP服务器可以为业务子网下的终端分配关联的IP地址。
进一步地,由于WEB认证是三层认证,需要终端先获取IP地址,才能进行认证,但是在首次接入时,终端可能还未关联到某终端组或业务子网下,因此SDN控制器需要规划出一个临时网段,用于做认证,临时网段对应一临时子网,SDN控制器需要将临时子网下发至核心交换机。
并且,针对临时子网,SDN控制器也需要配置一个对应的IP地址池,称为临时IP地址池,将临时子网和临时IP地址池关联关系发送给DHCP服务器。
其中,临时IP地址的租期可以为设定时长,例如,在本申请实施例中,可以设置为1分钟,并不进行限制。
二、核心交换机
核心交换机主要用于提供终端的基本网络功能,并提供网络访问权限控制功能。
具体地:1)接收SDN控制器发送的预配置信息。
2)接收终端发送的用于获取IP地址的请求的DHCP请求时,确定终端对应的业务子网,并发送给DHCP服务器,以使DHCP服务器根据业务子网与IP地址池的关联关系,分配对应的IP地址给终端。
3)将终端发送的认证请求转发至认证服务器,当认证服务器确定认证成功后,可以接收来自认证服务器确定的终端与终端组的关联关系,并进行存储。
三、认证服务器
认证服务器主要用于终端的认证,负责终端的用户的上网认证。
并且,认证服务器还用于配置用户名和终端组的关联关系,这样,在认证时,可以先对终端的用户名和密码进行认证,认证通过后,可以根据预设的用户名和终端组的关联关系,将该终端和终端组进行关联,并且可以将确定的终端和终端组的关联关系发送给核心交换机。
例如,对终端认证,可以采用WEB认证方式,并不进行限制。
四、DHCP服务器
DHCP服务器主要用于负责对终端的IP地址分配。
具体地:可以根据业务子网与IP地址池的关联关系,或临时子网和临时IP地址池的关联关系,从中选择一个IP地址,分配给终端。
这样,本申请实施例中的基于SDN的策略管理系统,通过SDN控制器预先进行网络配置,从而在终端位置迁移后,可以确定出终端关联的终端组,终端组关联的业务子网,业务子网关联的IP地址池,实现为终端分配对应的业务子网下的IP地址,并根据业务子网关联的网络访问权限策略,确定对应的网络访问权限策略,实现网络访问权限策略的跟随,不需要在交换机上重新进行配置,降低了网络运维成本和难度。
基于上述实施例,参阅图4所示为本申请实施例中基于SDN的策略管理方法的流程图,主要应用于核心交换机,具体包括:
步骤400:接收终端基于分配的IP地址发送的网络访问请求。
其中,IP地址是DHCP服务器根据终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给终端的,终端对应的业务子网是核心交换机根据确定的终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给DHCP服务器的。
在现有技术中,当终端从局域网的一个区域迁移到另一个区域进行接入时,其网络访问权限需重新配置,增加了网络运维成本,因此,本申请实施例中提供了一种基于SDN的策略管理方法,预先进行网络配置,可以当终端位置迁移后,不需要重新配置,仍可以直接获得之前的网络访问权限。
则在执行步骤400之前,本申请实施例中,还需要预先进行网络配置,具体地:
第一方面:配置核心交换机。
(1)核心交换机与SDN控制器建立连接。
例如,SDN控制器可以通过SNMP、NETCONF或OPENFLOW协议等与核心交换建立连接,具体方式本申请实施例中并不进行限制。
(2)接收SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系。
其中,终端组是SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略。并且,SDN控制器创建的终端组信息应与认证服务器的终端组信息相同,以使终端组能够关联到业务网下的业务子网,从而建立终端与终端组的关联关系。
(3)接收SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系。
其中,业务子网是SDN控制器针对业务网进行规划配置的,一个业务网对应一个规划出的VLAN。
第二方面:配置DHCP服务器。
DHCP服务器可以通过REST接口对SDN控制器提供服务,使SDN控制器能够通过HTTP请求对其进行配置。
具体地:业务子网和IP地址池关联关系、临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给DHCP服务器的。
也就是说,SDN控制器可以配置业务子网和IP地址池关联关系,同理,也可以配置临时子网和临时IP地址池关联关系并发送至DHCP服务器。
第三方面:认证服务器配置。
认证服务器配置用户名与终端组的关联关系,可以用于确定后续中终端与终端组的关联关系。
本申请实施例中,终端在发送网络访问请求之前,需要先获取IP地址,从而终端可以基于分配的IP地址向核心交换机发送网络访问请求,具体地,针对上述步骤400中终端获取到分配的IP地址的方式,可以有以下两种情况:
第一种情况:当终端位置发生迁移后,首次接入时,终端未进行认证,并且核心交换机中还未存储有终端与终端组的关联关系,具体包括:
S1、核心交换机接收终端发送的第三DHCP请求,其中,第三DHCP请求用于请求获取IP地址。
也就是说,在本申请实施例中,当终端位置迁移后,接入新的位置,需要终端重新认证,在认证前需要重新获取IP地址,该第三DHCP请求是用于请求获取IP地址的,终端发送第三DHCP请求至核心交换机,该第三DHCP请求可以为DHCP request报文。
S2、若确定未找到终端和终端组的关联关系,则确定终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向终端返回对应的临时IP地址,其中,第四DHCP请求中至少包括所述临时子网。
本申请实施例中,由于终端位置迁移,在新位置区域首次接入,因此核心交换机不能确定终端和终端组的关联关系,此时可以确定终端对应的预设的临时子网,核心交换机可以将第三DHCP请求中的giaddr值修改为临时子网的网关地址,封装为第四DHCP请求,并将第四DHCP请求发送给DHCP服务器。
从而DHCP服务器接收到第四DHCP请求后,可以根据预设的临时子网与临时IP地址池关联关系,从而从临时地址池中确定出一个临时IP地址并发送给终端。
其中,临时IP的租期为设定时长,例如在本申请实施例中,可以将该临时IP地址池的租期时长设定为1分钟。
这样,终端即可以获取到分配的临时IP地址,可以基于临时IP地址发送网络访问请求,即执行上述步骤400。
进一步地,在第一种情况下,由于是终端首次接入,因此在执行步骤400之前,即在发送网络访问请求之前,终端还需要进行认证,认证通过后才能请求上网,具体地本申请实施例中提供了一种可能的实施方式:
S3、核心交换机将终端基于临时IP地址发送的认证请求,转发至认证服务器,以使认证服务器对终端进行认证。
其中,认证请求中至少包括用户名和密码。
S4、核心交换机接收认证服务器发送的在认证通过后确定的终端和终端组的关联关系。
终端和终端组的关联关系是认证服务器确定用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
本申请实施例中,认证服务器收到认证请求后,可以对用户名和密码进行认证,若确定用户名和密码正确,则确定认证通过,认证通过后,可以再根据预设的用户名和终端组的关联关系,建立终端与终端组的关联关系,即将该终端与终端组进行了关联,并且可以将终端和终端组的关联关系发送给核心交换机,此时核心交换机上即获得了终端和终端组的关联关系。
第二种情况:初次认证通过后,由于此时终端获得是临时IP地址,而临时IP地址通常租期比较短,在临时IP地址租期到期后,终端需要重新请求获取分配的IP地址,具体包括:
S1、核心交换机接收终端发送的第一DHCP请求,其中,第一DHCP请求用于请求获取IP地址。
其中,第一DHCP请求是终端确定临时IP的租期超过设定时长时发送的。例如,临时IP地址设定时长可以设置为1分钟,1分钟过后,临时IP地址租期到期,临时IP地址失效,此时终端可以向核心交换机重新发出第一DHCP请求,请求重新获取IP地址。
S2、根据确定的终端与终端组的关联关系,以及预设的终端组与业务子网的关联关系,确定终端对应的业务子网。
也就是说,本申请实施例中此时核心交换机已经确定了终端与终端组的关联关系,进而可以再根据终端组与业务子网的关联关系,从而可以确定出终端对应的业务子网。
S3、基于第一DHCP请求,向DHCP服务器发送第二DHCP请求,以使DHCP服务器根据预设的业务子网和IP地址池关联关系,向终端返回对应的IP地址,其中,第二DHCP请求中至少包括确定出的终端对应的业务子网。
也就是说,当核心交换机接收到终端发送的第一DHCP请求后,可以根据终端组与业务子网的关联关系,确定终端应当对应的业务子网,从而可以将第一DHCP请求中giaddr值修改为业务子网的网关地址,修改后的第一DHCP请求即为第二DHCP请求,再将该第二DHCP请求发送给DHCP服务器,以使DHCP服务器可以根据业务子网和IP地址池关联关系,可以从该终端的业务子网下确定其对应的IP地址,进而DHCP服务器可以将对应的IP地址发送至终端,终端重新获取到分配的IP地址,用于请求访问网络。
步骤410:确定IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定终端对应的网络访问权限策略。
本申请实施例中,通过SDN控制器的预配置已经建立业务子网与网络访问权限策略的关联关系,因此核心交换机可以根据已经确定的IP地址,确定出对应的业务子网,再根据业务子网与网络访问权限策略的关联关系,确定终端对应的网络访问权限策略,这样,确定出的网络访问权限策略与终端之前的相同,实现策略跟随,不需要重新配置。
步骤420:根据终端对应的网络访问权限策略,对网络访问请求进行处理。
例如,终端与终端组1关联,终端组1与业务子网1关联,业务子网1关联的网络访问权限策略为可以访问某业务网,若终端在实验室可以上网访问,则即使终端从实验室迁移到宿舍,该终端依然可以在宿舍访问该业务网,不需要对宿舍区域的终端重新配置,用户在终端上输入用户名和密码,认证通过后就可以继续上网访问该业务网,实现网络访问权限策略跟随。
本申请实施例中,预先建立了终端组,并且可以确定终端与终端组的关联关系,每个终端组与网络访问权限策略也建立了关联关系,因此当终端位置发生了迁移后,仍可以根据终端与终端组的关联关系,确定出对应的网络访问权限策略,实现了网络访问权限策略跟随,不需要对其重新配置,大大降低了网络运维的成本和难度。
基于上述实施例,下面采用具体应用场景进行说明,具体参阅图5所示,为本申请实施例中基于SDN的策略管理方法的交互流程图。
步骤500:SDN控制器与核心交换机建立连接。
步骤501:SDN控制器将配置的终端组,以及终端组和业务子网的关联关系发送至核心交换机。
具体地,本申请实施例中SDN控制器可以通过网络访问权限策略的类型规划出IP网段以及网关地址,并发送至核心交换机,一个网段即表示一个业务子网,每个网段的网络访问权限策略都是相同的,例如,有多少种网络访问权限策略,就规划出多少个网段,又例如,可以根据用户部门或组织的数量,规划出多少个网段,可以有多个网段的网络访问权限策略相同。
其中,一个业务子网可以表示同一业务网下的一个网段,所有网段都包含在同一个业务网下,并且SDN控制器能够规划出业务网的VLAN,并将业务网所包含的业务子网的配置通过NETCONF协议发送至核心交换机,其中,业务网与核心交换机的一个VLAN对应,业务子网表示同一个VLAN下的一个网段,在配置时核心交换机支持一个交换机虚拟接口(Switch Virtual Interface,SVI)配置的多个业务子网,第二个业务子网以及后面业务子网需要加入secondary。
并且,本申请实施例中SDN控制器还能够创建终端组,具体地,根据网络访问权限策略的类型创建,一个终端组对应一种网络访问权限策略,其中,SDN创建的终端组应该与认证服务器上终端组相同,进而SDN控制器可以将终端组关联到业务网下的业务子网,建立终端组与业务子网的关联关系。
步骤502:SDN控制器将配置的业务子网和网络访问权限策略的关联关系发送至核心交换机。
具体地:SDN控制器可以将网络访问权限策略与业务子网进行关联,建立网络访问权限策略与业务子网的关联关系,并通过SDN控制器将网络访问权限策略与业务子网的关联关系发送至核心交换机。其中,SDN控制器内部包含控制模块,可以将网络访问权限策略转化为核心交换机所能识别的配置,并能够将其转化完成的对应的配置发送至核心交换机。
步骤503:SDN控制器将配置的业务子网和IP地址池关联关系、临时子网和临时IP地址池关联关系发送至DHCP服务器。
步骤504:认证服务器配置用户名与终端组的关系。
步骤505:终端发送第三DHCP请求至核心交换机。
本申请实施例中,终端位置迁移后,在新的位置接入,这时终端需要重新发起认证,在认证时需要终端先获取到IP地址,因此,此时终端可以发送第三DHCP请求至核心交换机,用于请求IP地址。
步骤506:核心交换机若确定未找到终端和终端组的关联关系,则确定终端对应的为临时子网,向DHCP服务器发送第四DHCP请求,其中,第四DHCP请求中至少包括临时子网。
本申请实施例中,由于终端在新的位置首次接入,终端未进行认证,因此核心交换机不能确定终端和终端组的关联关系,这时可以给该终端确定为临时子网,配置的临时子网是SDN控制器发送给核心交换机的,进而核心交换机在第三DHCP请求中将giaddr值修改为临时子网的网关地址,以使DHCP服务器根据接收到的临时子网和临时IP地址池关联关系,可以确定其对应的临时IP地址。
步骤507:DHCP服务器将确定的临时IP地址发送至终端。
其中,临时IP地址的租期可以为设定时长,例如,在本申请实施例中,可以设置为1分钟,终端可以先基于该临时IP地址为源地址发起认证请求。
步骤508:终端发送认证请求至核心交换机。
其中,该终端发送的认证请求中至少包括临时IP地址、用户名和密码。
步骤509:核心交换机将认证请求重定向至认证服务器。
进而认证服务器接收到该认证请求后,可以进行认证,例如,为WEB认证,该WEB认证是三层认证。
步骤510:认证服务器在认证通过后,确定出终端与终端组的关联关系并发送至核心交换机。
其中,终端和终端组的关联关系是认证服务器确定用户名和密码通过认证后,根据预设的用户名和终端组的关联关系确定的。
这样,在认证成功后,核心交换机可以获取到终端与终端组的关联关系,并可以进行存储,并且此时终端也可以基于该临时IP地址发送网络访问请求,请求访问该业务网,但是,临时IP地址的租期通常是比较短的,在临时IP地址的租期到期后,终端需要重新发起DHCP请求,来重新请求获取IP地址,具体如下述步骤511-步骤513。
步骤511:终端向核心交换机发送第一DHCP请求。
步骤512:核心交换机根据终端与终端组的关联关系,以及终端组与业务子网的关联关系,确定终端对应的业务子网,并向DHCP服务器发送第二DHCP请求,其中,第二DHCP请求中至少包括确定出的终端对应的业务子网。
本申请实施例中,由于这时核心交换机中已经存储有了终端和终端组的关联关系,因此,核心交换机再接收到终端的第一DHCP请求时,可以根据终端组和业务子网的关联关系,确定出终端对应的业务子网,进而可以将第一DHCP请求中giaddr值修改为业务子网的网关地址,修改后的第一DHCP请求即第二DHCP请求,再发送给DHCP服务器,以使DHCP服务器可以根据接收到的业务子网和IP地址池关联关系,可以确定其对应的IP地址。
步骤513:DHCP服务器将对应的IP地址发送至终端。
这样,终端可以再基于DHCP服务器返回的IP地址,发送网络访问请求,具体如下述步骤514-步骤516。
步骤514:终端基于分配的IP地址向核心交换机发送网络访问请求。
步骤515:核心交换机根据业务子网和网络访问权限策略的关联关系,确定终端对应的网络访问权限策略。
步骤516:核心交换机根据终端对应的网络访问权限策略,对网络访问请求进行处理。
例如,网络访问权限策略为允许访问或不允许访问,进而根据该网络访问权限策略,允许终端访问或拒绝访问。
本申请实施例中,由于终端和终端组建立了关联关系,并且预先建立了终端组,针对每个终端组关联了网络访问权限策略,这样,即使终端位置发生了迁移,仍可以关联到对应的终端组,并确定出对应的网络访问权限策略,而不需要重新对该终端进行网络配置,终端可以获得之前的网络访问权限策略,也降低了网络运维的成本和难度。
基于同一发明构思,本申请实施例中还提供了一种基于SDN的策略管理方法装置,该基于SDN的策略管理方法装置例如可以是前述实施例中的核心交换机,该基于SDN的策略管理方法可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图6所示,本申请实施例中基于SDN的策略管理装置,具体包括:
第一接收模块600,用于接收所述终端基于分配的IP地址发送的网络访问请求,其中,所述IP地址是DHCP服务器根据所述终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给所述终端的,所述终端对应的业务子网是核心交换机根据确定的所述终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给所述DHCP服务器的;
第一确定模块601,用于确定所述IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定所述终端对应的网络访问权限策略;
处理模块602,用于根据所述终端对应的网络访问权限策略,对所述网络访问请求进行处理。
可选的,核心交换机接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
第二接收模块603,用于接收所述终端发送的第一DHCP请求,其中,所述第一DHCP请求用于请求获取IP地址;
第二确定模块604,用于根据确定的所述终端与终端组的关联关系,以及所述预设的终端组与业务子网的关联关系,确定所述终端对应的业务子网,其中,一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段;
发送模块605,用于基于所述第一DHCP请求,向所述DHCP服务器发送第二DHCP请求,以使所述DHCP服务器根据所述预设的业务子网和IP地址池关联关系,向所述终端返回对应的IP地址,其中,所述第二DHCP请求中至少包括确定出的所述终端对应的业务子网。
可选的,第三接收模块606,用于接收所述终端发送的第三DHCP请求,其中,所述第三DHCP请求用于请求获取IP地址;
第三确定模块607,用于若确定未找到所述终端和终端组的关联关系,则确定所述终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使所述DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向所述终端返回对应的临时IP地址,其中,所述第四DHCP请求中至少包括所述临时子网;
转发模块608,用于将所述终端基于所述临时IP地址发送的认证请求,转发至认证服务器,以使所述认证服务器对所述终端进行认证;
第四接收模块609,用于接收所述认证服务器发送的在认证通过后确定的所述终端和终端组的关联关系。
可选的,所述认证请求中至少包括用户名和密码;
则所述终端和终端组的关联关系是所述认证服务器确定所述用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
可选的,所述业务子网和IP地址池关联关系、所述临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给所述DHCP服务器的。
可选的,所述临时IP的租期为设定时长;
则所述第一DHCP请求是所述终端确定临时IP的租期超过设定时长时发送的。
可选的,所述装置还包括:
连接模块610,用于与SDN控制器建立连接;
第五接收模块611,用于接收所述SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系,其中,所述终端组是所述SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略;
第六接收模块612,用于接收所述SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系,其中,所述业务子网是所述SDN控制器针对业务网进行规划配置的,并一个业务网对应一个规划出的VLAN。
基于上述实施例,参阅图7所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以包括处理器710(CenterProcessing Unit,CPU)、存储器720、输入设备730和输出设备740等,输入设备730可以包括键盘、鼠标、触摸屏等,输出设备740可以包括显示设备,如液晶显示器(Liquid CrystalDisplay,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器720可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器710提供存储器720中存储的程序指令和数据。在本申请实施例中,存储器720可以用于存储本申请实施例中任一种基于SDN的策略管理系统的程序。
处理器710通过调用存储器720存储的程序指令,处理器710用于按照获得的程序指令执行本申请实施例中任一种基于SDN的策略管理系统。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的基于SDN的策略管理系统。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (16)
1.一种基于软件定义网络SDN的策略管理方法,其特征在于,包括:
接收终端基于分配的IP地址发送的网络访问请求,其中,所述IP地址是动态主机设置协议DHCP服务器根据所述终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给所述终端的,所述终端对应的业务子网是核心交换机根据确定的所述终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给所述DHCP服务器的;
确定所述IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定所述终端对应的网络访问权限策略;
根据所述终端对应的网络访问权限策略,对所述网络访问请求进行处理。
2.如权利要求1所述的方法,其特征在于,接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
接收所述终端发送的第一DHCP请求,其中,所述第一DHCP请求用于请求获取IP地址;
根据确定的所述终端与终端组的关联关系,以及所述预设的终端组与业务子网的关联关系,确定所述终端对应的业务子网,其中,一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段;
基于所述第一DHCP请求,向所述DHCP服务器发送第二DHCP请求,以使所述DHCP服务器根据所述预设的业务子网和IP地址池关联关系,向所述终端返回对应的IP地址,其中,所述第二DHCP请求中至少包括确定出的所述终端对应的业务子网。
3.如权利要求1或2所述的方法,其特征在于,接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
接收所述终端发送的第三DHCP请求,其中,所述第三DHCP请求用于请求获取IP地址;
若确定未找到所述终端和终端组的关联关系,则确定所述终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使所述DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向所述终端返回对应的临时IP地址,其中,所述第四DHCP请求中至少包括所述临时子网;
将所述终端基于所述临时IP地址发送的认证请求,转发至认证服务器,以使所述认证服务器对所述终端进行认证;
接收所述认证服务器发送的在认证通过后确定的所述终端和终端组的关联关系。
4.如权利要求3所述的方法,其特征在于,所述认证请求中至少包括用户名和密码;
则所述终端和终端组的关联关系是所述认证服务器确定所述用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
5.如权利要求3所述的方法,其特征在于,所述业务子网和IP地址池关联关系、所述临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给所述DHCP服务器的。
6.如权利要求3所述的方法,其特征在于,所述临时IP的租期为设定时长;
则所述第一DHCP请求是所述终端确定临时IP的租期超过设定时长时发送的。
7.如权利要求1所述的方法,其特征在于,进一步包括:
与SDN控制器建立连接;
接收所述SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系,其中,所述终端组是所述SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略;
接收所述SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系,其中,所述业务子网是所述SDN控制器针对业务网进行规划配置的,并一个业务网对应一个规划出的虚拟局域网VLAN。
8.一种基于软件定义网络SDN的策略管理装置,其特征在于,包括:
第一接收模块,用于接收所述终端基于分配的IP地址发送的网络访问请求,其中,所述IP地址是动态主机设置协议DHCP服务器根据所述终端对应的业务子网,以及预设的业务子网和IP地址池关联关系确定并返回给所述终端的,所述终端对应的业务子网是核心交换机根据确定的所述终端和终端组的关联关系,以及预设的终端组和业务子网的关联关系确定并发送给所述DHCP服务器的;
第一确定模块,用于确定所述IP地址对应的业务子网,并根据预设的业务子网和网络访问权限策略的关联关系,确定所述终端对应的网络访问权限策略;
处理模块,用于根据所述终端对应的网络访问权限策略,对所述网络访问请求进行处理。
9.根据权利要求8所述的装置,其特征在于,接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
第二接收模块,用于接收所述终端发送的第一DHCP请求,其中,所述第一DHCP请求用于请求获取IP地址;
第二确定模块,用于根据确定的所述终端与终端组的关联关系,以及所述预设的终端组与业务子网的关联关系,确定所述终端对应的业务子网,其中,一个业务子网表示同一业务网下的一个网段,一个业务网预划分为多个网段;
发送模块,用于基于所述第一DHCP请求,向所述DHCP服务器发送第二DHCP请求,以使所述DHCP服务器根据所述预设的业务子网和IP地址池关联关系,向所述终端返回对应的IP地址,其中,所述第二DHCP请求中至少包括确定出的所述终端对应的业务子网。
10.根据权利要求8或9所述的装置,其特征在于,接收所述终端基于分配的IP地址发送的网络访问请求之前,进一步包括:
第三接收模块,用于接收所述终端发送的第三DHCP请求,其中,所述第三DHCP请求用于请求获取IP地址;
第三确定模块,用于若确定未找到所述终端和终端组的关联关系,则确定所述终端对应的为预设的临时子网,向DHCP服务器发送第四DHCP请求,以使所述DHCP服务器根据预设的临时子网和临时IP地址池关联关系,向所述终端返回对应的临时IP地址,其中,所述第四DHCP请求中至少包括所述临时子网;
转发模块,用于将所述终端基于所述临时IP地址发送的认证请求,转发至认证服务器,以使所述认证服务器对所述终端进行认证;
第四接收模块,用于接收所述认证服务器发送的在认证通过后确定的所述终端和终端组的关联关系。
11.如权利要求10所述的装置,其特征在于,所述认证请求中至少包括用户名和密码;
则所述终端和终端组的关联关系是所述认证服务器确定所述用户名和密码通过后,根据预设的用户名和终端组的关联关系确定的。
12.如权利要求10所述的装置,其特征在于,所述业务子网和IP地址池关联关系、所述临时子网和临时IP地址池关联关系是由SDN控制器配置并发送给所述DHCP服务器的。
13.如权利要求10所述的装置,其特征在于,所述临时IP的租期为设定时长;
则所述第一DHCP请求是所述终端确定临时IP的租期超过设定时长时发送的。
14.如权利要求8所述的装置,其特征在于,进一步包括:
连接模块,用于与SDN控制器建立连接;
第五接收模块,用于接收所述SDN控制器配置并发送的终端组,以及终端组和业务子网的关联关系,其中,所述终端组是所述SDN控制器根据网络访问权限策略的类型创建的,一个终端组对应一种网络访问权限策略;
第六接收模块,用于接收所述SDN控制器配置并发送的业务子网和网络访问权限策略的关联关系,其中,所述业务子网是所述SDN控制器针对业务网进行规划配置的,并一个业务网对应一个规划出的虚拟局域网VLAN。
15.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7任一项所述方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910711617.7A CN110519404B (zh) | 2019-08-02 | 2019-08-02 | 一种基于sdn的策略管理方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910711617.7A CN110519404B (zh) | 2019-08-02 | 2019-08-02 | 一种基于sdn的策略管理方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110519404A true CN110519404A (zh) | 2019-11-29 |
CN110519404B CN110519404B (zh) | 2022-04-26 |
Family
ID=68624339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910711617.7A Active CN110519404B (zh) | 2019-08-02 | 2019-08-02 | 一种基于sdn的策略管理方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110519404B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532506A (zh) * | 2020-12-02 | 2021-03-19 | 天津卓朗科技发展有限公司 | 混合组网方法、装置、服务器和计算机可读存储介质 |
CN112564946A (zh) * | 2020-11-23 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN114124477A (zh) * | 2021-11-05 | 2022-03-01 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
CN115150272A (zh) * | 2022-06-30 | 2022-10-04 | 北京珞安科技有限责任公司 | 网络场景下设备入网管理方法 |
CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056178A (zh) * | 2007-05-28 | 2007-10-17 | 中兴通讯股份有限公司 | 一种控制用户网络访问权限的方法和系统 |
CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
CN102318314A (zh) * | 2011-07-29 | 2012-01-11 | 华为技术有限公司 | 访问权限控制方法和设备 |
CN103684861A (zh) * | 2013-12-05 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 网络配置的处理方法和装置以及通信系统 |
US20160112452A1 (en) * | 2014-10-15 | 2016-04-21 | Adtran, Inc. | Network access control using subnet addressing |
CN107612923A (zh) * | 2017-10-09 | 2018-01-19 | 中国银联股份有限公司 | 一种基于网络策略组的业务访问方法及装置 |
-
2019
- 2019-08-02 CN CN201910711617.7A patent/CN110519404B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056178A (zh) * | 2007-05-28 | 2007-10-17 | 中兴通讯股份有限公司 | 一种控制用户网络访问权限的方法和系统 |
CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
CN102318314A (zh) * | 2011-07-29 | 2012-01-11 | 华为技术有限公司 | 访问权限控制方法和设备 |
CN103684861A (zh) * | 2013-12-05 | 2014-03-26 | 北京星网锐捷网络技术有限公司 | 网络配置的处理方法和装置以及通信系统 |
US20160112452A1 (en) * | 2014-10-15 | 2016-04-21 | Adtran, Inc. | Network access control using subnet addressing |
CN107612923A (zh) * | 2017-10-09 | 2018-01-19 | 中国银联股份有限公司 | 一种基于网络策略组的业务访问方法及装置 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN112564946B (zh) * | 2020-11-23 | 2022-11-11 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
CN112564946A (zh) * | 2020-11-23 | 2021-03-26 | 浪潮思科网络科技有限公司 | 一种基于sdn的应用程序终端组通信方法及装置 |
CN112532506B (zh) * | 2020-12-02 | 2023-01-06 | 天津卓朗科技发展有限公司 | 混合组网方法、装置、服务器和计算机可读存储介质 |
CN112532506A (zh) * | 2020-12-02 | 2021-03-19 | 天津卓朗科技发展有限公司 | 混合组网方法、装置、服务器和计算机可读存储介质 |
CN112968880B (zh) * | 2021-02-01 | 2022-07-12 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN114124477A (zh) * | 2021-11-05 | 2022-03-01 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
CN114124477B (zh) * | 2021-11-05 | 2024-04-05 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
CN115150272A (zh) * | 2022-06-30 | 2022-10-04 | 北京珞安科技有限责任公司 | 网络场景下设备入网管理方法 |
CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
CN115412319B (zh) * | 2022-08-19 | 2024-03-26 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110519404B (zh) | 2022-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110519404A (zh) | 一种基于sdn的策略管理方法、装置及电子设备 | |
CN108062248B (zh) | 异构虚拟化平台的资源管理方法、系统、设备及存储介质 | |
CN103384237B (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
D’Oro et al. | A game theoretic approach for distributed resource allocation and orchestration of softwarized networks | |
US9246765B2 (en) | Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure | |
CN104090825B (zh) | 动态迁移计算机网络 | |
US8296434B1 (en) | Providing dynamically scaling computing load balancing | |
CN108989091A (zh) | 基于Kubernetes网络的租户网络隔离方法、存储介质、电子设备 | |
CN106209402B (zh) | 一种虚拟网络功能的伸缩方法和设备 | |
CN106663034A (zh) | 基于企业的网络与多租户网络之间的应用程序迁移 | |
JP2011081809A (ja) | ネットワークリソース管理装置 | |
CN105960784A (zh) | 用于在云中创建业务链和虚拟网络的系统和方法 | |
Couto et al. | Building an IaaS cloud with droplets: a collaborative experience with OpenStack | |
US11616687B2 (en) | Systems and methods for dynamic layer 3 network connection | |
US20230254383A1 (en) | Operations control of network services | |
CN105516397B (zh) | 多操作系统终端接入网络的方法及多操作系统终端 | |
CN104506368B (zh) | 一种统一管理交换机设备的方法和设备 | |
CN116997889A (zh) | 分布式人工智能结构控制器 | |
Stavropoulos et al. | Design, architecture and implementation of a resource discovery, reservation and provisioning framework for testbeds | |
US10148529B2 (en) | Apparatus of mapping logical point-of-delivery to physical point-of-delivery based on telecommunication information networking | |
CN104601412B (zh) | 一种独立测试网络系统及其建立方法 | |
CN105516019B (zh) | 网络设备QoS控制方法、装置、系统和网络设备 | |
US20240007385A1 (en) | Automated methods and systems for simulating a radio access network | |
US20230394126A1 (en) | Computer system and user management method | |
CN114363226B (zh) | 一种基于虚拟化复杂网络场景中设备自动测试方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |