一種基于sdn的行為策略方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明實施例涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于SDN(Software Defined Network��,軟件定義網(wǎng)絡(luò))的行為策略方法和系統(tǒng)�����。
【背景技術(shù)】
[0002] 隨著計算機���、寬帶技術(shù)的迅速發(fā)展�����,網(wǎng)絡(luò)辦公日益流行�����,互聯(lián)網(wǎng)已經(jīng)成為人們工 作�、生活�、學(xué)習(xí)過程中不可或缺、便捷高效的工具����。但是,伴隨網(wǎng)絡(luò)的快速發(fā)展�����,互聯(lián)網(wǎng)成為 企業(yè)發(fā)展不可缺少的工具,同時互聯(lián)網(wǎng)在為企業(yè)創(chuàng)造效益的同時���,也起到了一定的負(fù)面效 果��,例如:在享受著電腦辦公和互聯(lián)網(wǎng)帶來的便捷同時�,員工非工作上網(wǎng)現(xiàn)象越來越突出�����, 企業(yè)普遍存在著電腦和互聯(lián)網(wǎng)絡(luò)濫用的嚴(yán)重問題���。網(wǎng)上購物�����、在線聊天���、在線欣賞音樂和電 影、P2P工具下載等與工作無關(guān)的行為占用了有限的帶寬�����,嚴(yán)重影響了正常的工作效率。
[0003] 圖1是現(xiàn)有技術(shù)的企業(yè)網(wǎng)絡(luò)組網(wǎng)示意圖����,如圖1所示���,通常都是路由加交換機的組 網(wǎng)形態(tài)���,連接用戶的通信網(wǎng)絡(luò)通過網(wǎng)關(guān)連接到電信設(shè)備,能夠滿足企業(yè)的基本互聯(lián)網(wǎng)絡(luò)需 求;也有部分企業(yè)采用專業(yè)的企業(yè)防火墻設(shè)備來保護企業(yè)的內(nèi)部安全�,防范外部攻擊,同時 進行人員基本的上網(wǎng)控制功能���。
[0004] 但是��,傳統(tǒng)的行為策略只是基于網(wǎng)關(guān)節(jié)點配置行為策略��,不是端對端的和全網(wǎng)的 策略���,因此會出現(xiàn)不一致,面對需要解決企業(yè)網(wǎng)絡(luò)安全�,文檔信息保護,高效利用網(wǎng)絡(luò)帶寬��, 管理員工上網(wǎng),管理員工的工作情況等現(xiàn)實問題���,往往達不到預(yù)期效果�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實施例提供一種基于SDN的行為策略方法和系統(tǒng)�����,通過控制器集中配置�����,實 現(xiàn)鏈路資源的網(wǎng)絡(luò)流量優(yōu)化�。
[0006] 本發(fā)明實施例提供一種基于SDN的行為策略方法,包括:控制器配置全網(wǎng)的行為策 略;接收交換機上報的MAC地址信息�,并根據(jù)交換機的MAC地址信息計算網(wǎng)絡(luò)拓?fù)?接收交換 機上報的未匹配流表的報文,所述報文包括報文MAC地址和特征碼;根據(jù)網(wǎng)絡(luò)拓?fù)?���、交換機 的MAC地址信息和報文MAC地址計算轉(zhuǎn)發(fā)路徑,并根據(jù)特征碼匹配行為策略����,在轉(zhuǎn)發(fā)路徑上 下發(fā)流表,通告轉(zhuǎn)發(fā)路徑上的交換機根據(jù)匹配的行為策略進行報文轉(zhuǎn)發(fā)�����。
[0007] 進一步地,所述行為策略包括用戶禁止功能和網(wǎng)站黑名單功能;所述用戶禁止功 能包括用戶禁止開關(guān)選項和用戶禁止范圍�����,其中��,用戶禁止范圍采用IP地址段范圍��;用戶禁 止開關(guān)選項表示用戶禁止范圍的IP地址段對應(yīng)的用戶是否允許訪問互聯(lián)網(wǎng)���;所述網(wǎng)站黑名 單功能包括網(wǎng)站黑名單開關(guān)選項和網(wǎng)站黑名單,其中�����,網(wǎng)站黑名單采用網(wǎng)站的統(tǒng)一資源定 位器地址���;網(wǎng)站黑名單開關(guān)選項表示內(nèi)網(wǎng)用戶是否允許訪問網(wǎng)站黑名單中的網(wǎng)站��。
[0008] 進一步地��,所述控制器接收交換機上報的MAC地址信息��,并根據(jù)交換機的MAC地址 信息計算網(wǎng)絡(luò)拓?fù)?,具體包括:控制器接收交換機發(fā)送的Experimenter報文,所述 Experimenter報文中包括交換機的MAC地址信息����,所述交換機的MAC地址信息包括交換機自 己的MAC地址、交換機的端口 ID�、以及所述交換端口下學(xué)習(xí)到MAC地址;控制器根據(jù)所述交換 機的MAC地址信息,采用鏈路層發(fā)現(xiàn)協(xié)議計算網(wǎng)絡(luò)拓?fù)洹?br>[0009] 進一步地�����,所述控制器根據(jù)網(wǎng)絡(luò)拓?fù)?���、交換機的MAC地址信息和報文MAC地址計算 轉(zhuǎn)發(fā)路徑,并根據(jù)特征碼匹配行為策略��,具體包括:所述控制器從交換機上報的未匹配流表 的報文中獲取報文MAC地址和特征碼;控制器根據(jù)網(wǎng)絡(luò)拓?fù)?�、交換機的MAC地址信息和報文 MAC地址計算轉(zhuǎn)發(fā)路徑;控制器判斷所述報文的類型�,如果所述報文不是超文本傳輸協(xié)議報 文,所述報文的特征碼為源IP地址����,則根據(jù)所述報文的源IP地址匹配行為策略;如果所述報 文是超文本傳輸協(xié)議報文����,所述報文的特征碼為統(tǒng)一資源定位器地址�,則根據(jù)所述報文的 統(tǒng)一資源定位器地址匹配行為策略。
[0010] 進一步地�����,所述在轉(zhuǎn)發(fā)路徑上下發(fā)流表����,通告轉(zhuǎn)發(fā)路徑上的交換機根據(jù)匹配的行 為策略進行報文轉(zhuǎn)發(fā)���,具體包括:若所述報文不是超文本傳輸協(xié)議報文�,根據(jù)所述報文的源 IP地址查詢行為策略中的用戶禁止功能�,如果所述報文的源IP地址在戶禁止選項為不允許 訪問互聯(lián)網(wǎng)且源IP地址在用戶禁止范圍內(nèi),則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表��,禁止所 述報文轉(zhuǎn)發(fā);如果用戶禁止選項為允許訪問互聯(lián)網(wǎng)�,或者用戶禁止選項為不允許訪問互聯(lián) 網(wǎng)但所述報文的源IP地址不在用戶禁止范圍內(nèi),則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表���,允 許所述報文轉(zhuǎn)發(fā);若所述報文是超文本傳輸協(xié)議報文�����,根據(jù)所述報文的URL地址查詢網(wǎng)站黑 名單功能���,如果網(wǎng)站黑名單開關(guān)選項為不允許訪問網(wǎng)站黑名單中的網(wǎng)站且所述報文的URL 地址在網(wǎng)站黑名單內(nèi)�����,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表�����,禁止所述報文轉(zhuǎn)發(fā);如果網(wǎng)站 黑名單開關(guān)為允許訪問網(wǎng)站黑名單中的網(wǎng)站���,或者網(wǎng)站黑名單開關(guān)選項為不允許訪問網(wǎng)站 黑名單中的網(wǎng)站但所述報文的URL地址不在網(wǎng)站黑名單內(nèi),則所述控制器在轉(zhuǎn)發(fā)路徑上下 發(fā)流表���,允許所述報文轉(zhuǎn)發(fā)�。
[0011] 本發(fā)明還提供了一種基于SDN的行為策略系統(tǒng)�����,包括:交換機,用于向控制器上報 MAC地址信息����,以及向控制器上報未匹配流表的報文,所述報文包括報文MAC地址和特征碼����; 控制器,用于配置全網(wǎng)的行為策略�;當(dāng)接收到交換機的MAC地址信息后,根據(jù)所述交換機的 MAC地址信息計算網(wǎng)絡(luò)拓?fù)洌划?dāng)接收到交換機的未匹配流表的報文后,根據(jù)網(wǎng)絡(luò)拓?fù)?����、交換 機的MAC地址信息和報文MAC地址計算轉(zhuǎn)發(fā)路徑���,并根據(jù)特征碼匹配行為策略���,在轉(zhuǎn)發(fā)路徑 上下發(fā)流表,通告轉(zhuǎn)發(fā)路徑上的交換機根據(jù)匹配的行為策略進行報文轉(zhuǎn)發(fā)�。
[0012] 進一步地,所述行為策略包括用戶禁止功能和網(wǎng)站黑名單功能;所述用戶禁止功 能包括用戶禁止開關(guān)選項和用戶禁止范圍��,其中,用戶禁止范圍采用IP地址段范圍�����;用戶禁 止開關(guān)選項表示用戶禁止范圍的IP地址段對應(yīng)的用戶是否允許訪問互聯(lián)網(wǎng)���;所述網(wǎng)站黑名 單功能包括網(wǎng)站黑名單開關(guān)選項和網(wǎng)站黑名單����,其中���,網(wǎng)站黑名單采用網(wǎng)站的統(tǒng)一資源定 位器地址����;網(wǎng)站黑名單開關(guān)選項表示內(nèi)網(wǎng)用戶是否允許訪問網(wǎng)站黑名單中的網(wǎng)站�����。
[0013] 進一步地�����,所述控制器接收交換機上報的MAC地址信息�����,并根據(jù)交換機的MAC地址 信息計算網(wǎng)絡(luò)拓?fù)洌唧w為:控制器接收交換機發(fā)送的Experimenter報文���,所述 Experimenter報文中包括交換機的MAC地址信息�����,所述交換機的MAC地址信息包括交換機自 己的MAC地址�����、交換機的端口 ID��、以及所述交換端口下學(xué)習(xí)到MAC地址;控制器根據(jù)所述交換 機的MAC地址信息���,采用鏈路層發(fā)現(xiàn)協(xié)議計算網(wǎng)絡(luò)拓?fù)洹?br>[0014] 進一步地,所述控制器根據(jù)網(wǎng)絡(luò)拓?fù)?、交換機的MAC地址信息和報文MAC地址計算 轉(zhuǎn)發(fā)路徑,并根據(jù)特征碼匹配行為策略��,具體為:所述控制器從交換機上報的未匹配流表的 報文中獲取報文MAC地址和特征碼;控制器根據(jù)網(wǎng)絡(luò)拓?fù)?�、交換機的MAC地址信息和報文MAC 地址計算轉(zhuǎn)發(fā)路徑;控制器判斷所述報文的類型�,如果所述報文不是超文本傳輸協(xié)議報文, 所述報文的特征碼為源IP地址����,則根據(jù)所述報文的源IP地址匹配行為策略;如果所述報文 是超文本傳輸協(xié)議報文���,所述報文