一種流表條目生成方法及相應(yīng)設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種流表條目生成方法及相應(yīng)設(shè)備�,所述方法應(yīng)用于開放流(Openflow)轉(zhuǎn)發(fā)設(shè)備����,包括:接收Openflow控制器發(fā)來的引導(dǎo)流表條目和流表模板�;其中���,所述引導(dǎo)流表條目的動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID�;在接收到數(shù)據(jù)報文后,如果該數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�����,則根據(jù)所述引導(dǎo)流表條目的Action信息中預(yù)設(shè)置的所述流表模板ID查找對應(yīng)的流表模板����,并根據(jù)所述對應(yīng)的流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表條目。本發(fā)明增強了Openflow協(xié)議的安全性����,同時擴展了Openflow/SDN網(wǎng)絡(luò)的應(yīng)用場景和實用性。
【專利說明】一種流表條目生成方法及相應(yīng)設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域�,具體而言�����,涉及一種流表條目生成方法及相應(yīng)設(shè)備���。
【背景技術(shù)】
[0002] 基于 TCP(Transmission Control Protocol,傳輸控制協(xié)議)/IP 的當(dāng)今 Internet (互聯(lián)網(wǎng))經(jīng)過四十多年的發(fā)展已取得巨大的成功��,與人們息息相關(guān),已成為工作�����、學(xué)習(xí)和生 活必不可少的基礎(chǔ)設(shè)施之一����。TCP/IP式的互聯(lián)網(wǎng),因其設(shè)計之初的"網(wǎng)絡(luò)/網(wǎng)絡(luò)設(shè)備進(jìn)行 簡單處理����,復(fù)雜的處理交給主機端/側(cè)"的分工與組織原則,形成了當(dāng)今的互聯(lián)網(wǎng)體系結(jié)構(gòu) 現(xiàn)狀:主機側(cè)的應(yīng)用層協(xié)議可以很方便�����、靈活地進(jìn)行修改和部署�����,應(yīng)用層軟件因此得到了突 飛猛進(jìn)地發(fā)展�����,應(yīng)用層的功能因此得到了極大的豐富;與之形成鮮明對比的是網(wǎng)絡(luò)層��,網(wǎng)絡(luò) 層協(xié)議的設(shè)計雖然簡單��,但是可擴展性不強并且不易修改���,造成:一方面�,互聯(lián)網(wǎng)網(wǎng)絡(luò)層面 暴露出的許多致命的漏洞長期難以得到修補和改進(jìn)�,如網(wǎng)絡(luò)管理難以部署、網(wǎng)絡(luò)安全問題 日益嚴(yán)重�����、盡力而為的轉(zhuǎn)發(fā)策略不能滿足用戶的服務(wù)質(zhì)量要求���、組播難以部署和應(yīng)用等���;另 一方面,新協(xié)議�、新應(yīng)用由于對網(wǎng)絡(luò)層提出變革要求而難以得到實現(xiàn),如從IPv4向IPv6過 渡困難���、接入設(shè)備日益呈現(xiàn)泛在移動性與異質(zhì)性對網(wǎng)絡(luò)可靠性和區(qū)分服務(wù)能力提出挑戰(zhàn)�����、 大規(guī)模網(wǎng)絡(luò)情況下路由面臨可擴展性問題��、云計算和內(nèi)容分發(fā)等應(yīng)用對網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率提出 新需求�����、TCP/IP之父Vinton G. Cerf也指出互聯(lián)網(wǎng)應(yīng)該在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)可靠性方面做得 更好("安全性與可靠性是邁向未來互聯(lián)網(wǎng)最基本的兩個門檻���,否則這個架構(gòu)將無法存活") 等。因此互聯(lián)網(wǎng)目前形成了一種"應(yīng)用層靈活多變��、百花齊放��,網(wǎng)絡(luò)層僵硬難變���、漏洞百出" 的尷尬局面��?��;ヂ?lián)網(wǎng)要解決當(dāng)前所面臨的問題和尷尬局面����,需要從網(wǎng)絡(luò)體系結(jié)構(gòu)���、控制等層 面深層次的進(jìn)行探討�����、研究和改革�����,才能全面迎接二十一世紀(jì)新的機遇和巨大的挑戰(zhàn)��。
[0003] 對于如何解決當(dāng)前互聯(lián)網(wǎng)所面臨的問題與挑戰(zhàn)��,國內(nèi)外研究機構(gòu)從互聯(lián)網(wǎng)體系結(jié) 構(gòu)層面進(jìn)行了大量積極的探索和研究��。主要經(jīng)歷了兩個階段的發(fā)展��,對互聯(lián)網(wǎng)的改進(jìn)可分 為兩類方式:演進(jìn)式改進(jìn)和革命性改進(jìn)��。
[0004] 多年來���,針對傳統(tǒng)IP網(wǎng)絡(luò)在服務(wù)質(zhì)量保證��、移動支持�、高效可靠和安全保證等方 面暴露出的許多問題��,研究領(lǐng)域普遍采用設(shè)計針對性的修補方式來分別解決這些問題�����,一 旦發(fā)現(xiàn)運行的網(wǎng)絡(luò)的弱點或錯誤就立即改進(jìn)�����,例如在傳統(tǒng)互聯(lián)網(wǎng)體系結(jié)構(gòu)中添加新的協(xié)議 和功能組件等�����。這種"修補-> 發(fā)現(xiàn)問題-> 再修改"的改進(jìn)方式是以現(xiàn)有互聯(lián)網(wǎng)TCP/IP體 系結(jié)構(gòu)為基礎(chǔ)�����,對現(xiàn)有網(wǎng)絡(luò)進(jìn)行逐步演進(jìn)和發(fā)展以添加新的功能和特性來解決目前面臨的 問題的方式����,是一種Evolution (演進(jìn)式)的改進(jìn)方式�。這種改進(jìn)方式的優(yōu)勢在于易于部署 和實施�����,有利于保護(hù)現(xiàn)有互聯(lián)網(wǎng)建設(shè)中的已有投入����。但是它的缺陷在于:(1)某次修補只是 在小范圍內(nèi)解決局部的問題����;(2)現(xiàn)有的改進(jìn)可能引入短期收益,而從長期看則具有破壞 性如NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)���,或者局部收益對整體有破壞性��; (3)某次修補可能不容易"兼容"未來的繼續(xù)修改�;(4)經(jīng)過多次修補�����,互聯(lián)網(wǎng)變得越來越 "厚重"��、復(fù)雜��、不靈活�,超出了當(dāng)初設(shè)計Internet的簡單的體系結(jié)構(gòu)的承受能力�����;(5)傳統(tǒng) 互聯(lián)網(wǎng)體系結(jié)構(gòu)中的一些固有問題難以得到根本性的解決��。從2005年開始��,研究領(lǐng)域逐漸 形成了另一種觀點�����,只有重新設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)才能從根本上解決IP網(wǎng)絡(luò)所面臨的問題�, 而目前正是互聯(lián)網(wǎng)體系結(jié)構(gòu)"Clean-slate"(從零開始)進(jìn)行全面徹底變革的好時機�,完全 舍棄現(xiàn)有的互聯(lián)網(wǎng)體系結(jié)構(gòu),設(shè)計一種全新的�、融合多種設(shè)計目標(biāo)的新一代互聯(lián)網(wǎng)體系結(jié) 構(gòu)。這種方案旨在從根本上解決現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)存在的各種問題���,是一種Revolution (革命性)的改進(jìn)方案���。這種方案的優(yōu)勢在于:(1)可以擺脫TPC/IP體系結(jié)構(gòu)的束縛��,跳出 其約束與框架���,以解決互聯(lián)網(wǎng)多年來因體系結(jié)構(gòu)造成的遺留難題;(2)可以對互聯(lián)網(wǎng)進(jìn)行 重新、全面的設(shè)計,統(tǒng)籌解決互聯(lián)網(wǎng)的諸多問題,統(tǒng)籌安排互聯(lián)網(wǎng)的諸多新需求的實現(xiàn)�����。但 是這種方案的缺陷在于:(1)由于全新網(wǎng)絡(luò)可能不能兼容現(xiàn)有互聯(lián)網(wǎng),需要完全替換原有 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施����,因此存在著網(wǎng)絡(luò)部署和平滑過渡的問題����;(2)如何建立新的體系結(jié)構(gòu)以 及建立了新的體系結(jié)構(gòu)是否能解決當(dāng)前和未來網(wǎng)絡(luò)所面臨的問題也存在很大風(fēng)險���;(3)需 要重新構(gòu)建適合全新體系結(jié)構(gòu)的試驗網(wǎng)絡(luò)��,演進(jìn)代價高�����。
[0005] 為了解決目前互聯(lián)網(wǎng)存在的問題����,實現(xiàn)對新網(wǎng)絡(luò)協(xié)議快速�、靈活的部署�,開放可編 程網(wǎng)絡(luò)被提出。開放可編程網(wǎng)絡(luò)是指允許網(wǎng)絡(luò)研究者而不只是設(shè)備廠商�����,在網(wǎng)絡(luò)設(shè)備上進(jìn) 行編程和管理其網(wǎng)絡(luò)體系結(jié)構(gòu)或網(wǎng)絡(luò)協(xié)議�����。開放可編程式思路是革命性改進(jìn)方案的代表性 成果之一����,基本可以概括為:將原來多張功能網(wǎng)絡(luò)并存、整體的、復(fù)雜的MAN (Metropolitan Area Network,城域網(wǎng))/WAN (Wide Area Network,廣域網(wǎng))網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備按功能進(jìn)行劃 分�����,例如劃分成數(shù)據(jù)轉(zhuǎn)發(fā)部分和邏輯控制部分���、或者系統(tǒng)核心部分和用戶功能部分等。各部 分之間的接口是開放的和標(biāo)準(zhǔn)的��。基于這個開放和標(biāo)準(zhǔn)化的接口�,每個部分都可以自我演 進(jìn)和改進(jìn)而不需通知或影響其他部分���,這樣整個網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備也將實現(xiàn)獨立、平滑演進(jìn) 和改進(jìn)��。開放可編程式思路面臨的挑戰(zhàn)在于:(1)網(wǎng)絡(luò)分層需要具備一定的合理性����、科學(xué)性 和可擴展性;(2)定義科學(xué)����、可擴展的分層間的接口�;(3)控制層面如果采取集中管控方式, 貝懦要考慮域間連接���、可擴展性(如擴展到全球)等��。
[0006] 在開放可編程網(wǎng)絡(luò)的研究方面��,Berkeley (伯克利)大學(xué)的Scott Shenker等人提 出的SDN (Software Defined Networking��,軟件定義網(wǎng)絡(luò))技術(shù)�、Stanford (斯坦福)大學(xué)的 OpenFlow(開放流協(xié)議)等技術(shù)是網(wǎng)絡(luò)開放性研究的代表性成果。圖1是SDN/OpenFlow技術(shù) 的層次模型示意圖�����,包含:基礎(chǔ)設(shè)施層�、網(wǎng)絡(luò)控制層和應(yīng)用層三個層次���。SDN/OpenFlow網(wǎng)絡(luò) 中的基礎(chǔ)設(shè)施層由1個以上的轉(zhuǎn)發(fā)設(shè)備構(gòu)成����,轉(zhuǎn)發(fā)設(shè)備相對當(dāng)前網(wǎng)絡(luò)中的路由器���、交換機 及各類網(wǎng)關(guān)來說結(jié)構(gòu)更加簡單�����、沒有復(fù)雜的Control Plane (控制面)�,主要的工作是進(jìn)行數(shù) 據(jù)流的轉(zhuǎn)發(fā)����。網(wǎng)絡(luò)控制層中的主要設(shè)備是網(wǎng)絡(luò)操作系統(tǒng)(或稱SDN/OpenFlow控制器),網(wǎng)絡(luò) 操作系統(tǒng)通過標(biāo)準(zhǔn)化的接口同時對多臺轉(zhuǎn)發(fā)設(shè)備進(jìn)行控制��,替代了原本獨立于各臺轉(zhuǎn)發(fā)設(shè) 備中的控制面�、甚至當(dāng)前的網(wǎng)絡(luò)管理系統(tǒng),可以實現(xiàn)網(wǎng)絡(luò)管理和端到端的數(shù)據(jù)流規(guī)則下發(fā) (即向轉(zhuǎn)發(fā)路徑上的多臺轉(zhuǎn)發(fā)設(shè)備下發(fā)流規(guī)則),同時網(wǎng)絡(luò)操作系統(tǒng)通過API (Application Programming Interface,應(yīng)用程序編程接口)與應(yīng)用層進(jìn)行交互��。應(yīng)用層由不同應(yīng)用構(gòu)成, 應(yīng)用通過API接口能夠直接調(diào)用網(wǎng)絡(luò)控制層的網(wǎng)絡(luò)管理和控制功能�。
[0007] 與其它革命性的改進(jìn)技術(shù)的部署一樣�����,運營商網(wǎng)絡(luò)在向SDN/OpenFlow架構(gòu)演進(jìn) 的過程中勢必遇到各方面的問題�,如安全性就是其中最重要的問題之一�。此外,對各種現(xiàn)網(wǎng) 技術(shù)的適配性也是衡量一項新技術(shù)是否符合網(wǎng)絡(luò)發(fā)展趨勢的重要指標(biāo)。如圖2所示�����,在實 際的SDN/OpenFlow網(wǎng)絡(luò)中�����,網(wǎng)絡(luò)控制層設(shè)備(如SDN/OpenFlow控制器)和基礎(chǔ)設(shè)施層設(shè)備 (即轉(zhuǎn)發(fā)設(shè)備)之間通過基于IP地址的通信協(xié)議消息進(jìn)行交互(如OpenFlow協(xié)議)�����,網(wǎng)絡(luò)終 端之間、網(wǎng)絡(luò)終端和應(yīng)用服務(wù)器之間、應(yīng)用服務(wù)器和應(yīng)用服務(wù)器之間的數(shù)據(jù)流量在轉(zhuǎn)發(fā)設(shè) 備間通過流表進(jìn)行轉(zhuǎn)發(fā),每條流的流表均由SDN/OpenFlow控制器生成并下發(fā)給轉(zhuǎn)發(fā)設(shè)備, 轉(zhuǎn)發(fā)設(shè)備對沒有命中本轉(zhuǎn)發(fā)設(shè)備當(dāng)前存儲的流表的數(shù)據(jù)報文統(tǒng)一上送給SDN/OpenFlow控 制器進(jìn)行流表的查詢和生成�����,轉(zhuǎn)發(fā)設(shè)備需要等待SDN/OpenFlow控制器下發(fā)新的流表才可 以轉(zhuǎn)發(fā)該數(shù)據(jù)報文。這種數(shù)據(jù)報文的轉(zhuǎn)發(fā)模式帶來了以下幾個問題:
[0008] -、安全性問題:對于轉(zhuǎn)發(fā)面攻擊源(如惡意終端)發(fā)出的攻擊SDN/OpenFlow控 制器或攻擊應(yīng)用服務(wù)器的報文����,轉(zhuǎn)發(fā)設(shè)備在收到流表前會將所有攻擊報文發(fā)送給SDN/ OpenFlow控制器,如果攻擊報文的發(fā)送頻率較大��,可能導(dǎo)致轉(zhuǎn)發(fā)設(shè)備和SDN/OpenFlow控制 器之間的路徑擁塞�����,影響正常的轉(zhuǎn)發(fā)設(shè)備和控制設(shè)備間的其它控制消息(如流表查詢��、配置 下發(fā)等)的傳遞效率���,且當(dāng)前的流表下發(fā)機制無法實現(xiàn)在攻擊報文抵達(dá)應(yīng)用服務(wù)器前對應(yīng) 用服務(wù)器進(jìn)行保護(hù),即在應(yīng)用服務(wù)器發(fā)現(xiàn)攻擊并通過應(yīng)用層與SDN/OpenFlow控制器之間 的接口發(fā)送安全策略��、SDN/OpenFlow控制器再形成新的流表下發(fā)給轉(zhuǎn)發(fā)設(shè)備之前��,攻擊源 針對應(yīng)用服務(wù)器的所有攻擊報文都將被發(fā)送給應(yīng)用服務(wù)器;
[0009] 二���、適配性問題:對于NAT等業(yè)務(wù)場景����,當(dāng)前的流量上送��、流表條目生成��、流表條目 下發(fā)模式的控制流程較長����,對轉(zhuǎn)發(fā)時延和效率影響較大。例如在NAT場景下��,轉(zhuǎn)發(fā)設(shè)備收到 用戶私網(wǎng)終端發(fā)出的數(shù)據(jù)報文后,對于沒有命中本轉(zhuǎn)發(fā)設(shè)備存儲的流表條目的報文���,需要 首先發(fā)送給SDN/OpenFlow控制器���,由SDN/OpenFlow控制器完成公網(wǎng)地址和端口號的指定、 地址匹配關(guān)系及對應(yīng)流表條目的生成以及流表條目的下發(fā)��,在當(dāng)前每個用戶同時存在大量 會話頻繁生成和釋放的場景(如P2P (Peer to Peer��,對等網(wǎng)絡(luò))應(yīng)用)而言轉(zhuǎn)發(fā)效率較低�����, 在未來IPv4/IPv6長期共存�����、私網(wǎng)IPv4地址長期大量存在的網(wǎng)絡(luò)中���,這種轉(zhuǎn)發(fā)模式需要進(jìn) 一步優(yōu)化。
【發(fā)明內(nèi)容】
[0010] 本發(fā)明提供了一種流表條目生成方法及相應(yīng)設(shè)備�,以在提升SDN/Openflow網(wǎng)絡(luò) 安全性的前提下提升報文轉(zhuǎn)發(fā)模式的時效性和適配性。
[0011] 為解決上述問題��,本發(fā)明提供了一種流表條目生成方法,應(yīng)用于開放流 (Openflow)轉(zhuǎn)發(fā)設(shè)備���,包括:
[0012] 接收Openf low控制器發(fā)來的引導(dǎo)流表條目和流表模板���;其中,所述引導(dǎo)流表條目 的動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID ;
[0013] 在接收到數(shù)據(jù)報文后�����,如果所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�����,則根據(jù)所 述引導(dǎo)流表條目的Action信息中預(yù)設(shè)置的所述流表模板ID查找對應(yīng)的流表模板��,并根據(jù) 所述對應(yīng)的流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表 條目�����。
[0014] 進(jìn)一步地,所述方法還包括:
[0015] 將生成的所述流表條目通過擴展的流條目添加消息發(fā)送給所述Openflow控制 器�。
[0016] 進(jìn)一步地,
[0017] 所述將生成的所述流表條目通過所述流條目添加消息發(fā)送給所述Openf low控制 器���,具體包括:
[0018] 所述Openflow轉(zhuǎn)發(fā)設(shè)備通過所述流條目添加消息實時或批量發(fā)送所述流表條目 的信息��。
[0019] 進(jìn)一步地,所述方法還包括:
[0020] 按照生成的所述流表條目對所述數(shù)據(jù)報文進(jìn)行處理轉(zhuǎn)發(fā)���。
[0021] 進(jìn)一步地���,
[0022] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址;
[0023] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目����,具體包括:
[0024] 所述數(shù)據(jù)報文的目的地址為所述受保護(hù)設(shè)備的IP地址。
[0025] 進(jìn)一步地���,
[0026] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速����;
[0027] 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信 息生成流表條目����,具體包括:
[0028] 生成所述流表條目����;其中,所述流表條目的匹配規(guī)則包括:源IP地址為所述數(shù)據(jù) 報文的源IP地址����、目的IP地址為所述受保護(hù)設(shè)備的IP地址���,Action信息為向所述受保護(hù) 設(shè)備發(fā)送與本匹配規(guī)則相匹配的數(shù)據(jù)報文并利用測量表條目限制發(fā)送速率。
[0029] 進(jìn)一步地����,
[0030] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為一類用戶的私網(wǎng)地址網(wǎng)段;
[0031] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目��,具體包括:
[0032] 所述數(shù)據(jù)報文的源地址為所述私網(wǎng)地址網(wǎng)段中的一個�。
[0033] 進(jìn)一步地,
[0034] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則����;
[0035] 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信 息生成流表條目,具體包括:
[0036] 生成所述流表條目���;其中���,所述流表條目的匹配規(guī)則包括:所述數(shù)據(jù)報文的私網(wǎng) 地址,Actions包括將所述私網(wǎng)地址轉(zhuǎn)換為分配的公網(wǎng)地址����,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后 的報文���。
[0037] 進(jìn)一步地,所述方法還包括:
[0038] 接收所述Openflow控制器發(fā)來的第二流表模板;其中�,所述第二流表模板與所述 流表模板級聯(lián),所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的 報文的地址轉(zhuǎn)換規(guī)則���。
[0039] 進(jìn)一步地,所述方法還包括:
[0040] 根據(jù)生成的所述流表條目���,結(jié)合所述第二流表模板生成所述第二流表條目;
[0041] 其中�����,所述第二流表條目的匹配規(guī)則包括:所述分配的公網(wǎng)地址��,Action信息為 將所述公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)地址���,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報文���。
[0042] 進(jìn)一步地,
[0043] 所述私網(wǎng)地址包括:私網(wǎng)IP地址�;
[0044] 所述公網(wǎng)地址包括:公網(wǎng)IP地址���,或者�,公網(wǎng)IP地址及端口信息。
[0045] 進(jìn)一步地���,所述方法還包括:
[0046] 將生成的所述第二流表條目通過流條目添加消息發(fā)送給所述Openflow控制器���。
[0047] 此外,本發(fā)明還提供了一種流表條目生成方法�����,應(yīng)用于開放流(Openflow)控制器�����, 包括:
[0048] 向Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送引導(dǎo)流表條目和流表模板��;其中�����,所述引導(dǎo)流表條目的 動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID����。
[0049] 進(jìn)一步地�����,
[0050] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址��;和/或��,
[0051] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速�。
[0052] 進(jìn)一步地,所述方法還包括:
[0053] 在接收到所述Openflow轉(zhuǎn)發(fā)設(shè)備通過流條目添加消息發(fā)來的流表條目后�,
[0054] 所述Openflow控制器不回復(fù)所述流條目添加消息,表示接受所述Openflow轉(zhuǎn)發(fā) 設(shè)備根據(jù)所述流表模板生成的所述本地流表條目�;或者,
[0055] 所述Openf low控制器向所述Openf low轉(zhuǎn)發(fā)設(shè)備發(fā)送拒絕消息�,要求所述 Openf low轉(zhuǎn)發(fā)設(shè)備刪除根據(jù)所述流表模板生成的所述流表條目;或者��,
[0056] 所述Openflow控制器向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送更高優(yōu)先級的流表條目�����。
[0057] 進(jìn)一步地���,
[0058] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為用戶的私網(wǎng)地址網(wǎng)段�����;和/或�,
[0059] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則�。
[0060] 進(jìn)一步地,
[0061] 所述私網(wǎng)地址網(wǎng)段包括:私網(wǎng)IP地址��。
[0062] 進(jìn)一步地�����,所述方法還包括:
[0063] 向所述Openf low轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表模板���;其中�����,所述第二流表模板與所述流 表模板級聯(lián)�����,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報 文的地址轉(zhuǎn)換規(guī)則�����。
[0064] 相應(yīng)地�,本發(fā)明還提供了一種開放流(Openflow)轉(zhuǎn)發(fā)設(shè)備,包括:
[0065] 接收模塊�,用于接收Openflow控制器發(fā)來的引導(dǎo)流表條目和流表模板;其中��,所 述引導(dǎo)流表條目的動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID ;還用于接收數(shù)據(jù)報 文����;
[0066] 生成模塊,用于在所述接收模塊接收到所述數(shù)據(jù)報文后����,如果所述數(shù)據(jù)報文匹配 命中所述接收模塊接收到的所述引導(dǎo)流表條目,則根據(jù)所述引導(dǎo)流表條目的Action信息 中預(yù)設(shè)置的所述流表模板ID查找對應(yīng)的流表模板�,并根據(jù)所述對應(yīng)的流表模板定義的流 表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表條目。
[0067] 進(jìn)一步地�����,所述設(shè)備還包括:
[0068] 發(fā)送模塊����,用于將所述生成模塊生成的所述流表條目通過擴展的流條目添加消息 發(fā)送給所述Openflow控制器。
[0069] 進(jìn)一步地�����,所述設(shè)備還包括:
[0070] 發(fā)送模塊,用于按照所生成模塊生成的所述流表條目對所述數(shù)據(jù)報文進(jìn)行處理轉(zhuǎn) 發(fā)���。
[0071] 進(jìn)一步地����,
[0072] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址��;
[0073] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目����,具體包括:
[0074] 所述數(shù)據(jù)報文的目的地址為所述受保護(hù)設(shè)備的IP地址�。
[0075] 進(jìn)一步地,
[0076] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速�����;
[0077] 所述生成模塊用于根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文 的關(guān)鍵字段信息生成流表條目�����,具體包括:
[0078] 所述生成模塊用于生成所述流表條目�����;其中,所述流表條目的匹配規(guī)則包括:源 IP地址為所述數(shù)據(jù)報文的源IP地址�����、目的IP地址為所述受保護(hù)設(shè)備的IP地址����,Action信 息為向所述受保護(hù)設(shè)備發(fā)送與本匹配規(guī)則相匹配的數(shù)據(jù)報文并利用測量表條目限制發(fā)送 速率。
[0079] 進(jìn)一步地�,
[0080] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為一類用戶的私網(wǎng)地址網(wǎng)段;
[0081] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目���,具體包括:
[0082] 所述數(shù)據(jù)報文的源地址為所述私網(wǎng)地址網(wǎng)段中的一個����。
[0083] 進(jìn)一步地����,
[0084] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則;
[0085] 所述生成模塊用于根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文 的關(guān)鍵字段信息生成流表條目����,具體包括:
[0086] 所述生成模塊用于生成所述流表條目����;其中���,所述流表條目的匹配規(guī)則包括:所 述數(shù)據(jù)報文的私網(wǎng)地址�,Actions包括將所述私網(wǎng)地址轉(zhuǎn)換為分配的公網(wǎng)地址��,并通過對應(yīng) 出接口發(fā)送轉(zhuǎn)換后的報文��。
[0087] 進(jìn)一步地��,
[0088] 所述接收模塊還用于接收所述Openflow控制器發(fā)來的第二流表模板���;
[0089] 其中,所述第二流表模板與所述流表模板級聯(lián)�,所述第二流表模板定義的流表條 目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報文的地址轉(zhuǎn)換規(guī)則。
[0090] 進(jìn)一步地�,
[0091] 所述生成模塊還用于根據(jù)生成的所述流表條目,結(jié)合所述第二流表模板生成所述 第二流表條目�;
[0092] 其中,所述第二流表條目的匹配規(guī)則包括:所述分配的公網(wǎng)地址���,Action信息為 將所述公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)地址�,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報文。
[0093] 進(jìn)一步地���,
[0094] 所述私網(wǎng)地址包括:私網(wǎng)IP地址�����;
[0095] 所述公網(wǎng)地址包括:公網(wǎng)IP地址��,或者�,公網(wǎng)IP地址及端口信息�。
[0096] 進(jìn)一步地,
[0097] 所述發(fā)送模塊還用于將生成的所述第二流表條目通過流條目添加消息發(fā)送給所 述Openflow控制器���。
[0098] 相應(yīng)地�����,本發(fā)明還提供了一種開放流(Openflow)控制器�,包括:
[0099] 存儲模塊��,用于保存預(yù)配置的引導(dǎo)流表條目和流表模板����;其中����,所述引導(dǎo)流表條目 的動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID ;
[0100] 發(fā)送模塊����,用于向Openf low轉(zhuǎn)發(fā)設(shè)備發(fā)送所述存儲模塊保存的所述引導(dǎo)流表條 目和流表模板。
[0101] 進(jìn)一步地���,
[0102] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址����;和/或�,
[0103] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速。
[0104] 進(jìn)一步地���,所述控制器還包括:
[0105] 接收模塊,用于接收所述Openflow轉(zhuǎn)發(fā)設(shè)備通過流條目添加消息發(fā)來的流表條 目��;
[0106] 所述發(fā)送模塊����,還用于在接收模塊接收到所述流表條目后,向所述Openflow轉(zhuǎn)發(fā) 設(shè)備發(fā)送拒絕消息�,要求所述Openflow轉(zhuǎn)發(fā)設(shè)備刪除根據(jù)所述流表模板生成的所述流表 條目�����;或者����,還用于在接收模塊接收到所述流表條目后�,向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送更 高優(yōu)先級的流表條目。
[0107] 進(jìn)一步地�,
[0108] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為用戶的私網(wǎng)地址網(wǎng)段;和/或����,
[0109] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則。
[0110] 進(jìn)一步地�,
[0111] 所述私網(wǎng)地址網(wǎng)段包括:私網(wǎng)IP地址。
[0112] 進(jìn)一步地����,
[0113] 所述發(fā)送模塊還用于向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表模板;其中��,所述第 二流表模板與所述流表模板級聯(lián)����,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè) 發(fā)往所述用戶側(cè)的報文的地址轉(zhuǎn)換規(guī)則�。
[0114] 本發(fā)明實現(xiàn)了在Openflow轉(zhuǎn)發(fā)設(shè)備上根據(jù)流表條目模板生成流表條目的功能���, 增強了 Openflow協(xié)議的安全性����,同時擴展了 Openflow/SDN網(wǎng)絡(luò)的應(yīng)用場景和實用性����。
【專利附圖】
【附圖說明】
[0115] 圖1是現(xiàn)有技術(shù)中SDN/OpenFlow網(wǎng)絡(luò)的拓?fù)涫疽鈭D;
[0116] 圖2是現(xiàn)有技術(shù)一種網(wǎng)絡(luò)拓?fù)涫疽鈭D�;
[0117] 圖3是本發(fā)明實施例中流表條目生成方法流程示意圖;
[0118] 圖4是本發(fā)明的第一實施例的拓?fù)涫疽鈭D���;
[0119] 圖5是本發(fā)明的第一實施例的流程圖��;
[0120] 圖6是本發(fā)明的第二實施例的拓?fù)涫疽鈭D���;
[0121] 圖7是本發(fā)明的第二實施例的流程圖���;
[0122] 圖8是本發(fā)明的第三實施例的拓?fù)涫疽鈭D����;
[0123] 圖9是本發(fā)明的第三實施例的流程圖;
【具體實施方式】
[0124] 為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚明白,下文中將結(jié)合附圖對本發(fā)明 的實施例進(jìn)行詳細(xì)說明���。需要說明的是����,在不沖突的情況下��,本申請中的實施例及實施例中 的特征可以相互任意組合��。
[0125] 在本實施例中����,一種流表條目生成方法,應(yīng)用于Openflow轉(zhuǎn)發(fā)設(shè)備�,如圖3所示, 包括:
[0126] 接收Openf low控制器發(fā)來的引導(dǎo)流表條目和流表模板���;其中��,所述引導(dǎo)流表條目 的Action信息包括預(yù)設(shè)置的所述流表模板ID ;
[0127] 在接收到數(shù)據(jù)報文后��,如果所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�,則根據(jù)所 述引導(dǎo)流表條目的Action信息中預(yù)設(shè)置的所述流表模板ID查找對應(yīng)的流表模板,并根據(jù) 所述對應(yīng)的流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表 條目���。
[0128] 較佳地��,所述方法還包括:
[0129] 將生成的所述流表條目通過擴展的流條目添加消息發(fā)送給所述Openflow控制 器���。
[0130] 較佳地,
[0131] 所述將生成的所述流表條目通過所述流條目添加消息發(fā)送給所述Openf low控制 器�����,具體包括:
[0132] 所述Openflow轉(zhuǎn)發(fā)設(shè)備通過所述流條目添加消息實時或批量發(fā)送所述流表條目 的信息����。
[0133] 較佳地,所述方法還包括:
[0134] 按照生成的所述流表條目對所述數(shù)據(jù)報文進(jìn)行處理轉(zhuǎn)發(fā)���。
[0135] 較佳地����,
[0136] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址��;
[0137] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目��,具體包括:
[0138] 所述數(shù)據(jù)報文的目的地址為所述受保護(hù)設(shè)備的IP地址��。
[0139] 較佳地�����,
[0140] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速����;
[0141] 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信 息生成流表條目,具體包括:
[0142] 生成所述流表條目��;其中�����,所述流表條目的匹配規(guī)則包括:源IP地址為所述數(shù)據(jù) 報文的源IP地址��、目的IP地址為所述受保護(hù)設(shè)備的IP地址�����,Action信息為向所述受保護(hù) 設(shè)備發(fā)送與本匹配規(guī)則相匹配的數(shù)據(jù)報文并利用測量表條目限制發(fā)送速率��。
[0143] 較佳地,
[0144] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為一類用戶的私網(wǎng)地址網(wǎng)段���;
[0145] 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�����,具體包括:
[0146] 所述數(shù)據(jù)報文的源地址為所述私網(wǎng)地址網(wǎng)段中的一個��。
[0147] 較佳地��,
[0148] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則���;
[0149] 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信 息生成流表條目,具體包括:
[0150] 生成所述流表條目�����;其中�,所述流表條目的匹配規(guī)則包括:所述數(shù)據(jù)報文的私網(wǎng) 地址,Actions包括將所述私網(wǎng)地址轉(zhuǎn)換為分配的公網(wǎng)地址��,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后 的報文����。
[0151] 較佳地�����,所述方法還包括:
[0152] 接收所述Openflow控制器發(fā)來的第二流表模板�����;其中,所述第二流表模板與所述 流表模板級聯(lián)��,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的 報文的地址轉(zhuǎn)換規(guī)則����。
[0153] 較佳地,所述方法還包括:
[0154] 根據(jù)生成的所述流表條目���,結(jié)合所述第二流表模板生成所述第二流表條目�����;
[0155] 其中���,所述第二流表條目的匹配規(guī)則包括:所述分配的公網(wǎng)地址,Action信息為 將所述公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)地址�,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報文�����。
[0156] 較佳地�,
[0157] 所述私網(wǎng)地址包括:私網(wǎng)IP地址��;
[0158] 所述公網(wǎng)地址包括:公網(wǎng)IP地址�����,或者�����,公網(wǎng)IP地址及端口信息��。
[0159] 較佳地���,所述方法還包括:
[0160] 將生成的所述第二流表條目通過流條目添加消息發(fā)送給所述Openflow控制器�����。
[0161] 此外�,本發(fā)明還提供了一種流表條目生成方法,應(yīng)用于開放流(Openflow)控制器���, 包括:
[0162] 向Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送引導(dǎo)流表條目和流表模板����;其中�����,所述引導(dǎo)流表條目的 動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID���。
[0163] 較佳地,
[0164] 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址�;和/或,
[0165] 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā) 送的報文進(jìn)行限速�����。
[0166] 較佳地��,所述方法還包括:
[0167] 在接收到所述Openflow轉(zhuǎn)發(fā)設(shè)備通過流條目添加消息發(fā)來的流表條目后����,
[0168] 所述Openflow控制器不回復(fù)所述流條目添加消息,表示接受所述Openflow轉(zhuǎn)發(fā) 設(shè)備根據(jù)所述流表模板生成的所述本地流表條目;或者�����,
[0169] 所述Openflow控制器向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送拒絕消息�,要求所述 Openf low轉(zhuǎn)發(fā)設(shè)備刪除根據(jù)所述流表模板生成的所述流表條目;或者�,
[0170] 所述Openflow控制器向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送更高優(yōu)先級的流表條目。
[0171] 較佳地�,
[0172] 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為用戶的私網(wǎng)地址網(wǎng)段;和/或�����,
[0173] 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn) 換規(guī)則�����。
[0174] 較佳地�,
[0175] 所述私網(wǎng)地址網(wǎng)段包括:私網(wǎng)IP地址。
[0176] 較佳地�,所述方法還包括:
[0177] 向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表模板;其中�,所述第二流表模板與所述流 表模板級聯(lián),所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報 文的地址轉(zhuǎn)換規(guī)則�����。
[0178] 本實施例所述方法在二層網(wǎng)絡(luò)設(shè)備不支持IPv6安全RA (Random Access,隨機接 入)特性的情況下,可實現(xiàn)對IPv6主機惡意發(fā)送RA消息造成網(wǎng)關(guān)欺騙行為的防范����。
[0179] 下面分別介紹本發(fā)明在不同應(yīng)用場景下的三個實施例。
[0180] 實施例一
[0181] 以O(shè)penflow控制器的攻擊防范����、Openf low轉(zhuǎn)發(fā)設(shè)備的硬件架構(gòu)以ASIC轉(zhuǎn)發(fā)平面 和CPU控制平面的組合為例,組網(wǎng)示意圖參見圖4,詳細(xì)流程如圖5所示,包括:
[0182] 步驟101 =Openflow控制器配置本地安全策略,防范TCP半連接攻擊����;
[0183] 步驟102 :0penflow控制器根據(jù)本地安全策略向各Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送引導(dǎo)流 表條目Xl和流表模板Yl����。
[0184] 較佳地,引導(dǎo)流表條目Xl的匹配規(guī)則為目的地址為Openflow控制器的IP地址��、 報文類型為TCP或TCP SYN (synchronize�����,同步)�����,引導(dǎo)流表條目的Action (動作)為查詢 流表模板Yl,流表模板Yl定義的流表條目生成規(guī)則為限制任一源IP地址向Openf low控制 器發(fā)送的TCP或TCP SYN報文的速率���。
[0185] 較佳地��,所述Openflow轉(zhuǎn)發(fā)設(shè)備收到所述引導(dǎo)流表條目Xl和流表模板Yl后���,將 引導(dǎo)流表條目Xl下發(fā)到ASIC轉(zhuǎn)發(fā)平面,將流表模板Yl保存在CPU控制平面����。
[0186] 步驟103 :攻擊源Al以一定速率向Openflow控制器發(fā)送TCP SYN報文,形成TCP 半連接類型的網(wǎng)絡(luò)攻擊�;
[0187] 步驟104 :0penflow轉(zhuǎn)發(fā)設(shè)備接收到攻擊源Al發(fā)送的第一個TCP SYN報文后,匹 配流表命中引導(dǎo)流表條目Xl后��,根據(jù)Xl的Action動作查詢流表模板Y1�,根據(jù)Yl定義的流 表條目生成規(guī)則和所述攻擊報文的源IP地址生成流表條目Zl ;
[0188] 較佳地,所述Openflow轉(zhuǎn)發(fā)設(shè)備的ASIC轉(zhuǎn)發(fā)平面命中所述引導(dǎo)流表條目Xl后, 向CPU控制平面上送該報文和該流表模板Yl的ID����,CPU控制平面根據(jù)上述信息查詢流表模 板、根據(jù)流表模板定義的規(guī)則生成流表條目Zl并下發(fā)給ASIC轉(zhuǎn)發(fā)平面�����。
[0189] 較佳地,流表條目Zl的匹配規(guī)則包括:源IP地址為上述TCP SYN報文的源IP地 址�、目的IP地址為Openflow控制器的IP地址、報文類型為TCP或TCP SYN��,Action動作為 向Openflow控制器發(fā)送匹配該匹配規(guī)則的報文并限制報文的發(fā)送速率����。
[0190] 步驟105 :0penflow轉(zhuǎn)發(fā)設(shè)備根據(jù)流表條目Zl將所述攻擊源Al發(fā)出的TCP SYN 報文發(fā)送給Openflow控制器并限制該報文的發(fā)送速率,并向Openflow控制器發(fā)送流條目 添加消息���,將Zl定義的流表條目生成規(guī)則通知給Openflow控制器�����。
[0191] 較佳地�,若攻擊源的發(fā)送速率高于流表條目Zl的限制速率�����,Openflow轉(zhuǎn)發(fā)設(shè)備對 超出速率的報文進(jìn)行緩存或丟棄�����;
[0192] 較佳地�,Openflow控制器在收到所述TCP SYN報文后,若判斷其為攻擊報文�,則向 Openf low轉(zhuǎn)發(fā)設(shè)備發(fā)送更高優(yōu)先級的流表條目,該流表條目的匹配規(guī)則包括:源IP地址為 上述TCP SYN報文的源IP地址�、目的IP地址為Openflow控制器的IP地址、報文類型為 TCP�,Action動作為丟棄匹配該匹配規(guī)則的報文;Openf low轉(zhuǎn)發(fā)設(shè)備在收到該流表條目��,對 后續(xù)收到的報文會優(yōu)先采用該更高優(yōu)先級的流表條目進(jìn)行匹配��。
[0193] 此外���,Openflow控制器在收到上述流條目添加消息后����,將其中攜帶的Zl定義的流 表條目生成規(guī)則進(jìn)行保存���,并可能下發(fā)給其他Openf low轉(zhuǎn)發(fā)設(shè)備����。
[0194] 較佳地���,流表模板的格式根據(jù)Openflow協(xié)議的版本不同略有區(qū)別����,參考的實例格 式如表1所示。
[0195] 表1流表模板基本格式
【權(quán)利要求】
1. 一種流表條目生成方法����,應(yīng)用于開放流(Openflow)轉(zhuǎn)發(fā)設(shè)備,包括: 接收Openflow控制器發(fā)來的引導(dǎo)流表條目和流表模板��;其中�,所述引導(dǎo)流表條目的動 作(Action)信息包括預(yù)設(shè)置的所述流表模板ID; 在接收到數(shù)據(jù)報文后,如果所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�,則根據(jù)所述引 導(dǎo)流表條目的Action信息中預(yù)設(shè)置的所述流表模板ID查找對應(yīng)的流表模板,并根據(jù)所述 對應(yīng)的流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表條目�����。
2. 如權(quán)利要求1所述的方法���,其特征在于���,還包括: 將生成的所述流表條目通過擴展的流條目添加消息發(fā)送給所述Openflow控制器�����。
3. 如權(quán)利要求2所述的方法,其特征在于: 所述將生成的所述流表條目通過所述流條目添加消息發(fā)送給所述Openflow控制器����, 具體包括: 所述Openflow轉(zhuǎn)發(fā)設(shè)備通過所述流條目添加消息實時或批量發(fā)送所述流表條目的信 肩、�����。
4. 如權(quán)利要求1?3中任意一項所述的方法��,其特征在于���,還包括: 按照生成的所述流表條目對所述數(shù)據(jù)報文進(jìn)行處理轉(zhuǎn)發(fā)��。
5. 如權(quán)利要求1?3中任意一項所述的方法�,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址�����; 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目����,具體包括: 所述數(shù)據(jù)報文的目的地址為所述受保護(hù)設(shè)備的IP地址�。
6. 如權(quán)利要求5所述的方法��,其特征在于: 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā)送的 報文進(jìn)行限速�����; 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生 成流表條目�,具體包括: 生成所述流表條目;其中�����,所述流表條目的匹配規(guī)則包括:源IP地址為所述數(shù)據(jù)報文 的源IP地址�、目的IP地址為所述受保護(hù)設(shè)備的IP地址,Action信息為向所述受保護(hù)設(shè)備 發(fā)送與本匹配規(guī)則相匹配的數(shù)據(jù)報文并利用測量表條目限制發(fā)送速率���。
7. 如權(quán)利要求1?3中任意一項所述的方法�,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為一類用戶的私網(wǎng)地址網(wǎng)段�����; 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目�����,具體包括: 所述數(shù)據(jù)報文的源地址為所述私網(wǎng)地址網(wǎng)段中的一個�。
8. 如權(quán)利要求7所述的方法,其特征在于: 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn)換規(guī) 則���; 所述根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生 成流表條目�����,具體包括: 生成所述流表條目����;其中�,所述流表條目的匹配規(guī)則包括:所述數(shù)據(jù)報文的私網(wǎng)地址,Actions包括將所述私網(wǎng)地址轉(zhuǎn)換為分配的公網(wǎng)地址��,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報 文���。
9. 如權(quán)利要求8所述的方法��,其特征在于�����,還包括: 接收所述Openflow控制器發(fā)來的第二流表模板�;其中,所述第二流表模板與所述流表 模板級聯(lián)�����,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報文 的地址轉(zhuǎn)換規(guī)則�����。
10. 如權(quán)利要求9所述的方法��,其特征在于���,還包括: 根據(jù)生成的所述流表條目��,結(jié)合所述第二流表模板生成所述第二流表條目����; 其中���,所述第二流表條目的匹配規(guī)則包括:所述分配的公網(wǎng)地址����,Action信息為將所 述公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)地址,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報文��。
11. 如權(quán)利要求7�、8或10所述的方法,其特征在于: 所述私網(wǎng)地址包括:私網(wǎng)IP地址�����; 所述公網(wǎng)地址包括:公網(wǎng)IP地址�,或者��,公網(wǎng)IP地址及端口信息���。
12. 如權(quán)利要求10所述的方法����,其特征在于�,還包括: 將生成的所述第二流表條目通過流條目添加消息發(fā)送給所述Openflow控制器。
13. -種流表條目生成方法,應(yīng)用于開放流(Openflow)控制器�����,包括: 向Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送引導(dǎo)流表條目和流表模板�����;其中,所述引導(dǎo)流表條目的動作 (Action)信息包括預(yù)設(shè)置的所述流表模板ID�。
14. 如權(quán)利要求13所述的方法,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址���;和/或���, 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā)送的 報文進(jìn)行限速。
15. 如權(quán)利要求13所述的方法���,其特征在于��,還包括: 在接收到所述Openflow轉(zhuǎn)發(fā)設(shè)備通過流條目添加消息發(fā)來的流表條目后�, 所述Openflow控制器不回復(fù)所述流條目添加消息�,表示接受所述Openflow轉(zhuǎn)發(fā)設(shè)備 根據(jù)所述流表模板生成的所述本地流表條目;或者����, 所述Openflow控制器向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送拒絕消息,要求所述Openflow轉(zhuǎn) 發(fā)設(shè)備刪除根據(jù)所述流表模板生成的所述流表條目�����;或者, 所述Openflow控制器向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送更高優(yōu)先級的流表條目��。
16. 如權(quán)利要求13所述的方法��,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為用戶的私網(wǎng)地址網(wǎng)段����;和/或, 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn)換規(guī) 則��。
17. 如權(quán)利要求16所述的方法����,其特征在于: 所述私網(wǎng)地址網(wǎng)段包括:私網(wǎng)IP地址��。
18. 如權(quán)利要求16所述的方法���,其特征在于�,還包括: 向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表模板����;其中,所述第二流表模板與所述流表模 板級聯(lián)����,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報文的 地址轉(zhuǎn)換規(guī)則���。 19?一種開放流(Openflow)轉(zhuǎn)發(fā)設(shè)備,包括: 接收模塊�����,用于接收Openflow控制器發(fā)來的引導(dǎo)流表條目和流表模板�����;其中�,所述引 導(dǎo)流表條目的動作(Action)信息包括預(yù)設(shè)置的所述流表模板ID;還用于接收數(shù)據(jù)報文; 生成模塊��,用于在所述接收模塊接收到所述數(shù)據(jù)報文后�����,如果所述數(shù)據(jù)報文匹配命中 所述接收模塊接收到的所述引導(dǎo)流表條目�,則根據(jù)所述引導(dǎo)流表條目的Action信息中預(yù) 設(shè)置的所述流表模板ID查找對應(yīng)的流表模板,并根據(jù)所述對應(yīng)的流表模板定義的流表條 目生成規(guī)則和所述數(shù)據(jù)報文的關(guān)鍵字段信息生成流表條目�����。
20. 如權(quán)利要求19所述的設(shè)備,其特征在于�����,還包括: 發(fā)送模塊����,用于將所述生成模塊生成的所述流表條目通過擴展的流條目添加消息發(fā)送 給所述Openflow控制器。
21. 如權(quán)利要求19或20所述的設(shè)備���,其特征在于����,還包括: 發(fā)送模塊�,用于按照所生成模塊生成的所述流表條目對所述數(shù)據(jù)報文進(jìn)行處理轉(zhuǎn)發(fā)�����。
22. 如權(quán)利要求19或20所述的設(shè)備��,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址�����; 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目,具體包括: 所述數(shù)據(jù)報文的目的地址為所述受保護(hù)設(shè)備的IP地址��。
23. 如權(quán)利要求22所述的設(shè)備��,其特征在于: 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā)送的 報文進(jìn)行限速���; 所述生成模塊用于根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān) 鍵字段信息生成流表條目��,具體包括: 所述生成模塊用于生成所述流表條目����;其中���,所述流表條目的匹配規(guī)則包括:源IP地 址為所述數(shù)據(jù)報文的源IP地址���、目的IP地址為所述受保護(hù)設(shè)備的IP地址,Action信息為 向所述受保護(hù)設(shè)備發(fā)送與本匹配規(guī)則相匹配的數(shù)據(jù)報文并利用測量表條目限制發(fā)送速率��。
24. 如權(quán)利要求19或20所述的設(shè)備��,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為一類用戶的私網(wǎng)地址網(wǎng)段��; 所述數(shù)據(jù)報文匹配命中所述引導(dǎo)流表條目���,具體包括: 所述數(shù)據(jù)報文的源地址為所述私網(wǎng)地址網(wǎng)段中的一個�。
25. 如權(quán)利要求24所述的設(shè)備,其特征在于: 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn)換規(guī) 則���; 所述生成模塊用于根據(jù)所述流表模板定義的流表條目生成規(guī)則和所述數(shù)據(jù)報文的關(guān) 鍵字段信息生成流表條目���,具體包括: 所述生成模塊用于生成所述流表條目;其中�,所述流表條目的匹配規(guī)則包括:所述數(shù) 據(jù)報文的私網(wǎng)地址�����,Actions包括將所述私網(wǎng)地址轉(zhuǎn)換為分配的公網(wǎng)地址��,并通過對應(yīng)出接 口發(fā)送轉(zhuǎn)換后的報文����。
26. 如權(quán)利要求25所述的設(shè)備�,其特征在于: 所述接收模塊還用于接收所述Openflow控制器發(fā)來的第二流表模板; 其中�,所述第二流表模板與所述流表模板級聯(lián),所述第二流表模板定義的流表條目生 成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往所述用戶側(cè)的報文的地址轉(zhuǎn)換規(guī)則�����。
27. 如權(quán)利要求26所述的設(shè)備,其特征在于: 所述生成模塊還用于根據(jù)生成的所述流表條目����,結(jié)合所述第二流表模板生成所述第二 流表條目����; 其中�����,所述第二流表條目的匹配規(guī)則包括:所述分配的公網(wǎng)地址,Action信息為將所 述公網(wǎng)地址轉(zhuǎn)換為對應(yīng)的私網(wǎng)地址����,并通過對應(yīng)出接口發(fā)送轉(zhuǎn)換后的報文�。
28. 如權(quán)利要求24、25或27所述的設(shè)備��,其特征在于: 所述私網(wǎng)地址包括:私網(wǎng)IP地址; 所述公網(wǎng)地址包括:公網(wǎng)IP地址��,或者�����,公網(wǎng)IP地址及端口信息�。
29. 如權(quán)利要求28所述的設(shè)備�,其特征在于: 所述發(fā)送模塊還用于將生成的所述第二流表條目通過流條目添加消息發(fā)送給所述 Openflow控制器。 30?-種開放流(Openflow)控制器�����,包括: 存儲模塊�����,用于保存預(yù)配置的引導(dǎo)流表條目和流表模板���;其中����,所述引導(dǎo)流表條目的動 作(Action)信息包括預(yù)設(shè)置的所述流表模板ID; 發(fā)送模塊���,用于向Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送所述存儲模塊保存的所述引導(dǎo)流表條目和 流表模板�����。
31. 如權(quán)利要求30所述的控制器��,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括:目的地址為受保護(hù)設(shè)備的IP地址��;和/或���, 所述流表模板定義的流表條目生成規(guī)則為對任一源IP地址向所述受保護(hù)設(shè)備發(fā)送的 報文進(jìn)行限速。
32. 如權(quán)利要求30所述的控制器����,其特征在于,還包括: 接收模塊�,用于接收所述Openflow轉(zhuǎn)發(fā)設(shè)備通過流條目添加消息發(fā)來的流表條目; 所述發(fā)送模塊�����,還用于在接收模塊接收到所述流表條目后����,向所述Openflow轉(zhuǎn)發(fā)設(shè)備 發(fā)送拒絕消息�����,要求所述Openflow轉(zhuǎn)發(fā)設(shè)備刪除根據(jù)所述流表模板生成的所述流表條目�; 或者���,還用于在接收模塊接收到所述流表條目后����,向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送更高優(yōu)先 級的流表條目����。
33. 如權(quán)利要求30所述的控制器,其特征在于: 所述引導(dǎo)流表條目的匹配規(guī)則包括源地址為用戶的私網(wǎng)地址網(wǎng)段�����;和/或�, 所述流表模板定義的流表條目生成規(guī)則為由用戶側(cè)發(fā)往網(wǎng)絡(luò)側(cè)的報文的地址轉(zhuǎn)換規(guī) 則。
34. 如權(quán)利要求33所述的控制器��,其特征在于: 所述私網(wǎng)地址網(wǎng)段包括:私網(wǎng)IP地址�����。
35. 如權(quán)利要求33所述的控制器,其特征在于: 所述發(fā)送模塊還用于向所述Openflow轉(zhuǎn)發(fā)設(shè)備發(fā)送第二流表模板���;其中,所述第二流 表模板與所述流表模板級聯(lián)��,所述第二流表模板定義的流表條目生成規(guī)則為由網(wǎng)絡(luò)側(cè)發(fā)往 所述用戶側(cè)的報文的地址轉(zhuǎn)換規(guī)則����。
【文檔編號】H04L12/741GK104378298SQ201310359664
【公開日】2015年2月25日 申請日期:2013年8月16日 優(yōu)先權(quán)日:2013年8月16日
【發(fā)明者】梁乾燈, 范亮, 尤建潔, 韓杰 申請人:中興通訊股份有限公司