文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機(jī)的第一個(gè)流表tableO上查詢對應(yīng)的上送流表項(xiàng),查找到后刪除該流表項(xiàng)��,步驟4-3-2生成的對應(yīng)交換機(jī)的第二個(gè)流表tablel轉(zhuǎn)發(fā)流表項(xiàng)假如沒有報(bào)文匹配Is后消失��,且不會(huì)再生成(tableO上送流表項(xiàng)已刪除��,報(bào)文不會(huì)再上送至SDN控制器)���。
[0036]本發(fā)明中�����,防火墻實(shí)現(xiàn)主要由3個(gè)模塊組成:初始化模塊���、報(bào)文過濾模塊和報(bào)文處理模塊。對于單級流表實(shí)現(xiàn)防火墻的情況下�,初始化模塊在防火墻啟動(dòng)時(shí)寫一條優(yōu)先級最低(優(yōu)先級為0)的流表項(xiàng)到注冊的交換機(jī)(作為table miss)�����,該流表的數(shù)據(jù)包匹配特征為全匹配(即匹配所有報(bào)文)�����,動(dòng)作為丟棄所有報(bào)文�。對于兩級流表實(shí)現(xiàn)防火墻的情況下�,初始化模塊在防火墻啟動(dòng)時(shí)寫一條優(yōu)先級最低(優(yōu)先級為0)的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO (作為table miss),該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配(即匹配所有報(bào)文)���,動(dòng)作為丟棄所有報(bào)文�,然后寫一條優(yōu)先級最低(優(yōu)先級為0)的流表項(xiàng)到相應(yīng)交換機(jī)的第二個(gè)流表tablel (作為table miss)�,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配(即匹配所有報(bào)文),動(dòng)作為上送到SDN控制器����。
[0037]報(bào)文過濾模塊根據(jù)北向接口下發(fā)的數(shù)據(jù)包匹配域、動(dòng)作(允許或者丟棄)和交換機(jī)ID來下發(fā)流表項(xiàng)到相應(yīng)交換機(jī)�����,當(dāng)規(guī)則為允許時(shí),流表項(xiàng)Type為0FPAT_0UTPUT的Act1n的port參數(shù)設(shè)為CONTROLLER�����,即該報(bào)文上送到SDN控制器進(jìn)行處理���。當(dāng)規(guī)則為丟棄時(shí)Act1n設(shè)為空,即丟棄該報(bào)文��。
[0038]報(bào)文處理模塊主要對允許的防火墻規(guī)則寫轉(zhuǎn)發(fā)流表項(xiàng)�����,即對SDN控制器收到的packet_in報(bào)文進(jìn)行處理����,對報(bào)文的入端口 in_port和源MAC地址smac進(jìn)行學(xué)習(xí)(即記錄in_port和smac的對應(yīng)關(guān)系到軟件表mac_table),然后在mac_table查詢報(bào)文的目的MAC地址dmac�,假如查詢到將對應(yīng)的in_port作為流表的Act1n的物理輸出端口,dmac作為流表項(xiàng)的數(shù)據(jù)包匹配域�����,然后將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對應(yīng)的交換機(jī)��。
[0039]有益效果:本發(fā)明可用于現(xiàn)有基于openflow-hybrid交換機(jī)和openflow-only交換機(jī)的SDN網(wǎng)絡(luò)。現(xiàn)有防火墻實(shí)現(xiàn)一般只適用于openflow-hybrid交換機(jī)�����,即防火墻實(shí)現(xiàn)模塊根據(jù)下發(fā)的數(shù)據(jù)包匹配域�����、動(dòng)作(允許或者丟棄)和交換機(jī)ID來下發(fā)流表到相應(yīng)交換機(jī)����。當(dāng)規(guī)則為允許時(shí),流表Type為0FPAT_0UTPUT的Act1n的port參數(shù)設(shè)為NORMAL��,即該報(bào)文按普通以太網(wǎng)交換機(jī)規(guī)則轉(zhuǎn)發(fā)�,報(bào)文查詢相應(yīng)act1n為NORMAL的流表進(jìn)入普通二三層轉(zhuǎn)發(fā)。本發(fā)明法適用于所有類型的SDN交換機(jī)(openflow-only交換機(jī)不支持port參數(shù)為NORMAL,本方法不使用NORMAL)�。
【附圖說明】
[0040]下面結(jié)合附圖和【具體實(shí)施方式】對本發(fā)明做更進(jìn)一步的具體說明,本發(fā)明的上述和/或其他方面的優(yōu)點(diǎn)將會(huì)變得更加清楚��。
[0041]圖1為單級流表實(shí)現(xiàn)防火墻情況下防火墻規(guī)則下發(fā)流程圖�����。
[0042]圖2為兩級流表實(shí)現(xiàn)防火墻情況下防火墻規(guī)則下發(fā)流程圖�。
[0043]圖3防火墻實(shí)施組網(wǎng)圖����。
【具體實(shí)施方式】
[0044]本發(fā)明公開了一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法����,所述防火墻包括初始化模塊、報(bào)文過濾模塊和報(bào)文處理模塊���;
[0045]本發(fā)明中,對于不支持openflowl.3及以上的版本的交換機(jī)���,即不支持多級流表的交換機(jī)��,采用單級流表實(shí)現(xiàn)防火墻功能���,步驟如下:
[0046]步驟1-1,啟動(dòng)SDN控制器��,SDN控制器與要注冊到SDN控制器的交換機(jī)互發(fā)openflow協(xié)議報(bào)文�����,獲取所有交換機(jī)的信息�,交換機(jī)的信息包括交換機(jī)ID ;
[0047]步驟1-2,SDN控制器啟動(dòng)已注冊交換機(jī)的防火墻功能��,防火墻的初始化模塊寫一條優(yōu)先級最低�����,即優(yōu)先級為0的流表項(xiàng)到相應(yīng)交換機(jī)�����,作為查不到流表的默認(rèn)匹配選項(xiàng)�����,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配��,即匹配所有報(bào)文�,動(dòng)作為丟棄所有經(jīng)過交換機(jī)的報(bào)文;
[0048]步驟1-3���,SDN控制器下發(fā)防火墻規(guī)則到已注冊交換機(jī)��,防火墻的報(bào)文過濾模塊和報(bào)文處理模塊根據(jù)規(guī)則的類型進(jìn)行相應(yīng)的操作����;
[0049]對于支持openflowl.3及以上的版本的交換機(jī),即支持多級流表的交換機(jī)����,采用兩級流表實(shí)現(xiàn)防火墻功能,步驟如下:
[0050]步驟2-1�����,啟動(dòng)SDN控制器��,SDN控制器與要注冊到SDN控制器的交換機(jī)互發(fā)openflow協(xié)議報(bào)文�����,獲取所有交換機(jī)的信息�����,交換機(jī)的信息包括交換機(jī)ID ���;
[0051]步驟2-2,SDN控制器啟動(dòng)已注冊交換機(jī)的防火墻功能����,防火墻的初始化模塊寫一條優(yōu)先級最低�,即優(yōu)先級為0的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO��,作為查不到流表的默認(rèn)匹配選項(xiàng)table miss���,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配��,即匹配所有報(bào)文���,動(dòng)作為丟棄所有報(bào)文,然后寫一條優(yōu)先級最低��,即優(yōu)先級為0的流表項(xiàng)到相應(yīng)交換機(jī)的第二個(gè)流表tablel�,作為查不到流表的默認(rèn)匹配選項(xiàng)table miss,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配,即匹配所有報(bào)文�,動(dòng)作為上送到SDN控制器;
[0052]步驟2-3���,SDN控制器下發(fā)防火墻規(guī)則到已注冊交換機(jī)��,防火墻的報(bào)文過濾模塊和報(bào)文處理模塊根據(jù)規(guī)則的類型進(jìn)行相應(yīng)的操作�����。
[0053]步驟1-3中����,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時(shí),進(jìn)行如下操作:
[0054]步驟1-3-1��,防火墻的報(bào)文過濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)����,流表項(xiàng)優(yōu)先級指定為(1,round (M/2)-l)的任意整數(shù)值�����,其中Μ表示交換機(jī)支持最大流表項(xiàng)數(shù)��,round ()表示取整�����;
[0055]步驟1-3-2�,交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后�,將報(bào)文上送到SDN控制器進(jìn)行處理,處理過程為:SDN通過防火墻的報(bào)文處理模塊對報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找����,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對應(yīng)的交換機(jī)���,后續(xù)報(bào)文匹配轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)流表項(xiàng)的優(yōu)先級寫為round(M/2)(確保比上送流表項(xiàng)的優(yōu)先級高)�,轉(zhuǎn)發(fā)流表項(xiàng)的hard_timeout硬超時(shí)設(shè)為Is。
[0056]步驟1-3中���,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時(shí)�,進(jìn)行如下操作:
[0057]步驟2-3-1�����,防火墻的報(bào)文過濾模塊寫一條丟棄的流表項(xiàng)到相應(yīng)交換機(jī)�����,該丟棄流表項(xiàng)的優(yōu)先級指定為除了 round(M/2)外的任意不定于零的整數(shù)值���;
[0058]步驟2-3-2��,若存在允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突��,則判斷二者優(yōu)先級����,若丟棄規(guī)則優(yōu)先級更高,則報(bào)文匹配丟棄流表項(xiàng)后丟棄��,步驟1-3-2中生成的轉(zhuǎn)發(fā)流表項(xiàng)消失(假如允許轉(zhuǎn)發(fā)規(guī)則先下發(fā)�����,則轉(zhuǎn)發(fā)流表項(xiàng)已經(jīng)生成�����,在Is的緩沖時(shí)間內(nèi)報(bào)文還是匹配轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)而不會(huì)丟棄)�,因?yàn)閳?bào)文不會(huì)匹配到上送的流表項(xiàng)上送處理,也就不會(huì)再生成轉(zhuǎn)發(fā)流表項(xiàng)了�。若丟棄規(guī)則優(yōu)先級更低,則報(bào)文按照如下流程處理:
[0059]防火墻的報(bào)文過濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)����,流表項(xiàng)優(yōu)先級指定為(1,round (M/2)-l)的任意整數(shù)值��,其中Μ表示交換機(jī)支持最大流表項(xiàng)數(shù)�,round ()表示取整�����;
[0060]交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后,將報(bào)文上送到SDN控制器進(jìn)行處理�����,處理過程為:SDN控制器通過報(bào)文處理模塊對報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找�,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對應(yīng)的交換機(jī),后續(xù)報(bào)文匹配轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)��,轉(zhuǎn)發(fā)流表項(xiàng)的優(yōu)先級寫為round(M/2)���,轉(zhuǎn)發(fā)流表項(xiàng)的硬超時(shí)設(shè)為Is���。
[0061]步驟1-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為刪除時(shí)�����,進(jìn)行如下操作:
[0062]若刪除的是丟棄規(guī)則��,防火墻的報(bào)文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機(jī)上查詢對應(yīng)的丟棄流表項(xiàng)��,查找到后刪除該流表項(xiàng)�����,所述規(guī)則信息包括數(shù)據(jù)包匹配域、動(dòng)作和交換機(jī)ID ;
[0063]若刪除的是允許轉(zhuǎn)發(fā)規(guī)則�,防火墻的報(bào)文過濾模塊根據(jù)下發(fā)的規(guī)則信息到對應(yīng)交換機(jī)上查詢對應(yīng)的上送流表項(xiàng),查找到后刪除該流表項(xiàng)�����,步驟1-3-2中生成的轉(zhuǎn)發(fā)流表項(xiàng)Is后消失����,且不會(huì)再生成(上送流表項(xiàng)已刪除,報(bào)文不會(huì)再上送至SDN控制器)���。
[0064]步驟2-3中��,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時(shí)��,進(jìn)行如下操作:
[0065]步驟4-3-1��,防火墻的報(bào)文過濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO�����,該流表項(xiàng)跳轉(zhuǎn)到相應(yīng)交換機(jī)的第二個(gè)流表tablel ;
[0066]步驟4-3-2��,交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后��,將報(bào)文上送到SDN控制器進(jìn)行處理�����,處理過程為:SDN控制器通過防火墻的報(bào)文處理模塊對報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找�����,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對應(yīng)的交換機(jī)的第二個(gè)流表tablel����,后續(xù)報(bào)文匹配2級流表進(jìn)行轉(zhuǎn)發(fā)��,即匹配對應(yīng)的交換機(jī)的第一個(gè)流表tableO的上送流表項(xiàng)和第二個(gè)流表tablel的轉(zhuǎn)發(fā)流表項(xiàng)(最終執(zhí)行動(dòng)作為從物理端口轉(zhuǎn)發(fā)���,因?yàn)閠ablel和tableO的被匹配流表項(xiàng)動(dòng)作類型都為0FPAT_0UTPUT����,那么tablel的流表項(xiàng)就會(huì)覆蓋原有tableO的流表項(xiàng)動(dòng)作)����,轉(zhuǎn)發(fā)流表項(xiàng)的idle_timeout空閑超時(shí)設(shè)為Is�����。
[0067]步驟2-3中����,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時(shí)��,進(jìn)行如下操作:
[0068]步驟5-3-1���,防火墻的報(bào)文處理模塊寫一條丟棄的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表 tableO ���;
[0069]步驟5-3-2,若允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突�,判斷二者優(yōu)先級,若丟棄規(guī)則