和網(wǎng)站黑名單,其中,網(wǎng)站黑名單采用 網(wǎng)站的統(tǒng)一資源定位器地址��;網(wǎng)站黑名單開關(guān)選項(xiàng)表示內(nèi)網(wǎng)用戶是否允許訪問網(wǎng)站黑名單 中的網(wǎng)站。3. 根據(jù)權(quán)利要求2所述的基于SDN的行為策略方法����,其特征在于����,所述控制器接收交換 機(jī)上報(bào)的MAC地址信息��,并根據(jù)交換機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)洌唧w包括: 控制器接收交換機(jī)發(fā)送的Experimenter報(bào)文�����,所述Experimenter報(bào)文中包括交換機(jī)的 MAC地址信息����,所述交換機(jī)的MAC地址信息包括交換機(jī)自己的MAC地址����、交換機(jī)的端口 ID�����、以 及所述交換端口下學(xué)習(xí)到MAC地址�����; 控制器根據(jù)所述交換機(jī)自己的MAC地址����、交換機(jī)的端口 ID��、以及所述交換端口下學(xué)習(xí)到 MAC地址��,采用鏈路層發(fā)現(xiàn)協(xié)議計(jì)算網(wǎng)絡(luò)拓?fù)洹?. 根據(jù)權(quán)利要求3所述的基于SDN的行為策略方法�,其特征在于���,所述控制器根據(jù)網(wǎng)絡(luò) 拓?fù)洹⒔粨Q機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑�����,并根據(jù)特征碼匹配行為策略�,具 體包括: 所述控制器從交換機(jī)上報(bào)的未匹配流表的報(bào)文中獲取報(bào)文MAC地址和特征碼����; 控制器根據(jù)網(wǎng)絡(luò)拓?fù)?、交換機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑����; 控制器判斷所述報(bào)文的類型����,如果所述報(bào)文不是超文本傳輸協(xié)議報(bào)文,所述報(bào)文的特 征碼為源IP地址�,則根據(jù)所述報(bào)文的源IP地址匹配行為策略;如果所述報(bào)文是超文本傳輸 協(xié)議報(bào)文����,所述報(bào)文的特征碼為統(tǒng)一資源定位器地址,則根據(jù)所述報(bào)文的統(tǒng)一資源定位器 地址匹配行為策略�。5. 根據(jù)權(quán)利要求4所述的基于SDN的行為策略方法�,其特征在于����,所述在轉(zhuǎn)發(fā)路徑上下 發(fā)流表,通告轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)匹配的行為策略進(jìn)行報(bào)文轉(zhuǎn)發(fā),具體包括: 若所述報(bào)文不是超文本傳輸協(xié)議報(bào)文,根據(jù)所述報(bào)文的源IP地址查詢行為策略中的用 戶禁止功能��,如果所述報(bào)文的源IP地址在戶禁止選項(xiàng)為不允許訪問互聯(lián)網(wǎng)且源IP地址在用 戶禁止范圍內(nèi)��,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表�����,禁止所述報(bào)文轉(zhuǎn)發(fā);如果用戶禁止選 項(xiàng)為允許訪問互聯(lián)網(wǎng)���,或者用戶禁止選項(xiàng)為不允許訪問互聯(lián)網(wǎng)但所述報(bào)文的源IP地址不在 用戶禁止范圍內(nèi),則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表����,允許所述報(bào)文轉(zhuǎn)發(fā); 若所述報(bào)文是超文本傳輸協(xié)議報(bào)文��,根據(jù)所述報(bào)文的URL地址查詢網(wǎng)站黑名單功能���,如 果網(wǎng)站黑名單開關(guān)選項(xiàng)為不允許訪問網(wǎng)站黑名單中的網(wǎng)站且所述報(bào)文的URL地址在網(wǎng)站黑 名單內(nèi)����,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表���,禁止所述報(bào)文轉(zhuǎn)發(fā);如果網(wǎng)站黑名單開關(guān)為 允許訪問網(wǎng)站黑名單中的網(wǎng)站,或者網(wǎng)站黑名單開關(guān)選項(xiàng)為不允許訪問網(wǎng)站黑名單中的網(wǎng) 站但所述報(bào)文的URL地址不在網(wǎng)站黑名單內(nèi)���,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表,允許所 述報(bào)文轉(zhuǎn)發(fā)�。6. -種基于SDN的行為策略系統(tǒng)�����,其特征在于����,包括: 交換機(jī),用于向控制器上報(bào)MAC地址信息���,以及向控制器上報(bào)未匹配流表的報(bào)文���,所述 報(bào)文包括報(bào)文MAC地址和特征碼����; 控制器���,用于配置全網(wǎng)的行為策略����;當(dāng)接收到交換機(jī)的MAC地址信息后���,根據(jù)所述交換 機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)?;?dāng)接收到交換機(jī)的未匹配流表的報(bào)文后���,根據(jù)網(wǎng)絡(luò)拓?fù)洹?交換機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑��,并根據(jù)特征碼匹配行為策略����,在轉(zhuǎn)發(fā) 路徑上下發(fā)流表,通告轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)匹配的行為策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)�����。7. 根據(jù)權(quán)利要求6所述的基于SDN的行為策略系統(tǒng)����,其特征在于,所述行為策略包括用 戶禁止功能和網(wǎng)站黑名單功能�����; 所述用戶禁止功能包括用戶禁止開關(guān)選項(xiàng)和用戶禁止范圍�,其中,用戶禁止范圍采用 IP地址段范圍��;用戶禁止開關(guān)選項(xiàng)表示用戶禁止范圍的IP地址段對(duì)應(yīng)的用戶是否允許訪問 互聯(lián)網(wǎng)�����; 所述網(wǎng)站黑名單功能包括網(wǎng)站黑名單開關(guān)選項(xiàng)和網(wǎng)站黑名單���,其中,網(wǎng)站黑名單采用 網(wǎng)站的統(tǒng)一資源定位器地址���;網(wǎng)站黑名單開關(guān)選項(xiàng)表示內(nèi)網(wǎng)用戶是否允許訪問網(wǎng)站黑名單 中的網(wǎng)站���。8. 根據(jù)權(quán)利要求7所述的基于SDN的行為策略系統(tǒng)��,其特征在于��,所述控制器接收交換 機(jī)上報(bào)的MAC地址信息���,并根據(jù)交換機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)洌唧w為: 控制器接收交換機(jī)發(fā)送的Experimenter報(bào)文����,所述Experimenter報(bào)文中包括交換機(jī)的 MAC地址信息,所述交換機(jī)的MAC地址信息包括交換機(jī)自己的MAC地址���、交換機(jī)的端口 ID���、以 及所述交換端口下學(xué)習(xí)到MAC地址; 控制器根據(jù)所述交換機(jī)的MAC地址信息�����,采用鏈路層發(fā)現(xiàn)協(xié)議計(jì)算網(wǎng)絡(luò)拓?fù)洹?. 根據(jù)權(quán)利要求8所述的基于SDN的行為策略系統(tǒng)���,其特征在于��,所述控制器根據(jù)網(wǎng)絡(luò) 拓?fù)?����、交換機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑�����,并根據(jù)特征碼匹配行為策略�,具 體為: 所述控制器從交換機(jī)上報(bào)的未匹配流表的報(bào)文中獲取報(bào)文MAC地址和特征碼; 控制器根據(jù)網(wǎng)絡(luò)拓?fù)?�、交換機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑���; 控制器判斷所述報(bào)文的類型�����,如果所述報(bào)文不是超文本傳輸協(xié)議報(bào)文���,所述報(bào)文的特 征碼為源IP地址,則根據(jù)所述報(bào)文的源IP地址匹配行為策略�����;如果所述報(bào)文是超文本傳輸 協(xié)議報(bào)文�����,所述報(bào)文的特征碼為統(tǒng)一資源定位器地址����,則根據(jù)所述報(bào)文的統(tǒng)一資源定位器 地址匹配行為策略。10. 根據(jù)權(quán)利要求9所述的基于SDN的行為策略系統(tǒng)�����,其特征在于�����,所述控制器在轉(zhuǎn)發(fā)路 徑上下發(fā)流表��,通告轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)匹配的行為策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)�,具體為: 若所述報(bào)文不是超文本傳輸協(xié)議報(bào)文,根據(jù)所述報(bào)文的源IP地址查詢行為策略中的用 戶禁止功能�����,如果用戶禁止選項(xiàng)為不允許訪問互聯(lián)網(wǎng)且所述報(bào)文的源IP地址在用戶禁止范 圍內(nèi),則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表�,禁止所述報(bào)文轉(zhuǎn)發(fā);如果用戶禁止選項(xiàng)為允許 訪問互聯(lián)網(wǎng),或者用戶禁止選項(xiàng)為不允許訪問互聯(lián)網(wǎng)但所述報(bào)文的源IP地址不在用戶禁止 范圍內(nèi)�����,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表��,允許所述報(bào)文轉(zhuǎn)發(fā)��; 若所述報(bào)文是超文本傳輸協(xié)議報(bào)文���,根據(jù)所述報(bào)文的URL地址查詢網(wǎng)站黑名單功能�,如 果網(wǎng)站黑名單開關(guān)選項(xiàng)為不允許訪問網(wǎng)站黑名單中的網(wǎng)站且所述報(bào)文的URL地址在網(wǎng)站黑 名單內(nèi)���,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表�����,禁止所述報(bào)文轉(zhuǎn)發(fā);如果網(wǎng)站黑名單開關(guān)為 允許訪問網(wǎng)站黑名單中的網(wǎng)站�,或者網(wǎng)站黑名單開關(guān)選項(xiàng)為不允許訪問網(wǎng)站黑名單中的網(wǎng) 站但所述報(bào)文的URL地址不在網(wǎng)站黑名單內(nèi)����,則所述控制器在轉(zhuǎn)發(fā)路徑上下發(fā)流表����,允許所 述報(bào)文轉(zhuǎn)發(fā)���。
【專利摘要】本發(fā)明實(shí)施例提供一種基于SDN的行為策略方法和系統(tǒng),其中方法包括:控制器配置全網(wǎng)的行為策略����;接收交換機(jī)上報(bào)的MAC地址信息,并根據(jù)交換機(jī)的MAC地址信息計(jì)算網(wǎng)絡(luò)拓?fù)?����;接收交換機(jī)上報(bào)的未匹配流表的報(bào)文�����,所述報(bào)文包括報(bào)文MAC地址和特征碼����;根據(jù)網(wǎng)絡(luò)拓?fù)洹⒔粨Q機(jī)的MAC地址信息和報(bào)文MAC地址計(jì)算轉(zhuǎn)發(fā)路徑���,并根據(jù)特征碼匹配行為策略���,在轉(zhuǎn)發(fā)路徑上下發(fā)流表�,通告轉(zhuǎn)發(fā)路徑上的交換機(jī)根據(jù)匹配的行為策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)�。本發(fā)明實(shí)施例通過控制器集中配置,實(shí)現(xiàn)鏈路資源的網(wǎng)絡(luò)流量?jī)?yōu)化��。
【IPC分類】H04L12/24, H04L29/06, H04L29/08, H04L12/801
【公開號(hào)】CN105681102
【申請(qǐng)?zhí)枴緾N201610116213
【發(fā)明人】翟躍
【申請(qǐng)人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司
【公開日】2016年6月15日
【申請(qǐng)日】2016年3月1日