0.0.1 ”��,” nw_dst”: ” 10.0.0.2”����,” act1ns”: ” DENY” , ” pr1rity”: ” 98” },即添加一條不允許10.0.0.1到10.0.0.2的ICMP報(bào)文轉(zhuǎn)發(fā)的流表項(xiàng)�����。這時(shí)交換機(jī)tableO會(huì)生成一條優(yōu)先級(jí)為98的丟棄流表����,流表匹配域?yàn)閧sip: 10.0.0.1��,dip: 10.0.0.2����,proto:ICMP}���。然后hlping h2�����,之前生成的tablel的2條轉(zhuǎn)發(fā)流表項(xiàng)假如空閑消失����,但是hi過(guò)來(lái)的ICMP會(huì)優(yōu)先匹配tableO的優(yōu)先級(jí)100的上送流表項(xiàng)��,然后goto到tablel的tablemiss流表項(xiàng)���,最終上送到SDN控制器�,也會(huì)繼續(xù)生成tablel的2條轉(zhuǎn)發(fā)流表項(xiàng)�,hi能ping通h20
[0089]提供以上實(shí)例僅僅是為了描述本發(fā)明的可行性,并非要限制本發(fā)明的范圍����,本發(fā)明的范圍由所附權(quán)利要求限定����。
[0090]本發(fā)明提供了一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法���,具體實(shí)現(xiàn)該技術(shù)方案的方法和途徑很多�,以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出���,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下�,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。本實(shí)施例中未明確的各組成部分均可用現(xiàn)有技術(shù)加以實(shí)現(xiàn)。
【主權(quán)項(xiàng)】
1.一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法���,其特征在于:所述防火墻包括初始化模塊�����、報(bào)文過(guò)濾模塊和報(bào)文處理模塊���; 對(duì)于不支持openflowl.3及以上的版本的交換機(jī)�,即不支持多級(jí)流表的交換機(jī)�,采用單級(jí)流表實(shí)現(xiàn)防火墻功能,步驟如下: 步驟1-1���,啟動(dòng)SDN控制器�,SDN控制器與要注冊(cè)到SDN控制器的交換機(jī)互發(fā)openflow協(xié)議報(bào)文��,獲取所有交換機(jī)的信息�,交換機(jī)的信息包括交換機(jī)ID ; 步驟1-2��,SDN控制器啟動(dòng)已注冊(cè)交換機(jī)的防火墻功能��,防火墻的初始化模塊寫一條優(yōu)先級(jí)最低���,即優(yōu)先級(jí)為0的流表項(xiàng)到相應(yīng)交換機(jī)���,作為查不到流表的默認(rèn)匹配選項(xiàng)tablemiss���,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配,即匹配所有報(bào)文����,動(dòng)作為丟棄所有經(jīng)過(guò)相應(yīng)交換機(jī)的報(bào)文; 步驟1-3��,SDN控制器下發(fā)防火墻規(guī)則到已注冊(cè)交換機(jī)���,防火墻的報(bào)文過(guò)濾模塊和報(bào)文處理模塊根據(jù)規(guī)則的類型進(jìn)行相應(yīng)的操作���; 對(duì)于支持openflowl.3及以上的版本的交換機(jī)�,即支持多級(jí)流表的交換機(jī),采用兩級(jí)流表實(shí)現(xiàn)防火墻功能���,步驟如下: 步驟2-1���,啟動(dòng)SDN控制器,SDN控制器與要注冊(cè)到SDN控制器的交換機(jī)互發(fā)openflow協(xié)議報(bào)文��,獲取所有交換機(jī)的信息��,交換機(jī)的信息包括交換機(jī)ID ; 步驟2-2�����,SDN控制器啟動(dòng)已注冊(cè)交換機(jī)的防火墻功能�,防火墻的初始化模塊寫一條優(yōu)先級(jí)最低,即優(yōu)先級(jí)為0的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO�,作為查不到流表的默認(rèn)匹配選項(xiàng)table miss,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配�����,即匹配所有報(bào)文��,動(dòng)作為丟棄所有報(bào)文���,然后寫一條優(yōu)先級(jí)最低��,即優(yōu)先級(jí)為0的流表項(xiàng)到相應(yīng)交換機(jī)的第二個(gè)流表tablel���,作為查不到流表的默認(rèn)匹配選項(xiàng)table miss,該流表項(xiàng)的數(shù)據(jù)包匹配特征為全匹配�,即匹配所有報(bào)文,動(dòng)作為上送到SDN控制器�����; 步驟2-3,SDN控制器下發(fā)防火墻規(guī)則到已注冊(cè)交換機(jī)�����,防火墻的報(bào)文過(guò)濾模塊和報(bào)文處理模塊根據(jù)規(guī)則的類型進(jìn)行相應(yīng)的操作�����。2.根據(jù)權(quán)利要求1所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法���,其特征在于�,步驟1-3中�,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時(shí),進(jìn)行如下操作: 步驟1-3-1�����,防火墻的報(bào)文過(guò)濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)�����,流表項(xiàng)優(yōu)先級(jí)指定為(1���,round(M/2)-l)的任意整數(shù)值�����,其中Μ表示交換機(jī)支持最大流表項(xiàng)數(shù)����,round ()表示取整�; 步驟1-3-2,交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后���,將報(bào)文上送到SDN控制器進(jìn)行處理��,處理過(guò)程為:SDN控制器通過(guò)防火墻的報(bào)文處理模塊對(duì)報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找�����,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對(duì)應(yīng)的交換機(jī)����,后續(xù)報(bào)文匹配轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)�����,轉(zhuǎn)發(fā)流表項(xiàng)的優(yōu)先級(jí)寫為round(M/2),轉(zhuǎn)發(fā)流表項(xiàng)的硬超時(shí)設(shè)為Is�。3.根據(jù)權(quán)利要求2所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法,其特征在于����,步驟1-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時(shí)��,進(jìn)行如下操作: 步驟2-3-1�����,防火墻的報(bào)文過(guò)濾模塊寫一條丟棄的流表項(xiàng)到相應(yīng)交換機(jī)���,該丟棄流表項(xiàng)的優(yōu)先級(jí)指定為除了 round(M/2)外的任意不定于零的整數(shù)值�����; 步驟2-3-2�����,若存在允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突,則判斷二者優(yōu)先級(jí),若丟棄規(guī)則優(yōu)先級(jí)更高����,則報(bào)文匹配丟棄流表項(xiàng)后丟棄,若丟棄規(guī)則優(yōu)先級(jí)更低����,則報(bào)文按照如下流程處理: 防火墻的報(bào)文過(guò)濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī),流表項(xiàng)優(yōu)先級(jí)指定為(1��,round (M/2)-l)的任意整數(shù)值�,其中Μ表示交換機(jī)支持最大流表項(xiàng)數(shù),round ()表示取整����; 交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后,將報(bào)文上送到SDN控制器進(jìn)行處理���,處理過(guò)程為:SDN控制器通過(guò)防火墻的報(bào)文處理模塊對(duì)報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找��,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對(duì)應(yīng)的交換機(jī)�,后續(xù)報(bào)文匹配轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)����,轉(zhuǎn)發(fā)流表項(xiàng)的優(yōu)先級(jí)寫為round(M/2)����,轉(zhuǎn)發(fā)流表項(xiàng)的硬超時(shí)設(shè)為Is��。4.根據(jù)權(quán)利要求3所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法��,其特征在于�,步驟1-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為刪除時(shí)�����,進(jìn)行如下操作: 若刪除的是丟棄規(guī)則�,防火墻的報(bào)文過(guò)濾模塊根據(jù)下發(fā)的規(guī)則信息到對(duì)應(yīng)交換機(jī)上查詢對(duì)應(yīng)的丟棄流表項(xiàng),查找到后刪除該流表項(xiàng)���,所述規(guī)則信息包括數(shù)據(jù)包匹配域�、動(dòng)作和交換機(jī)ID �; 若刪除的是允許轉(zhuǎn)發(fā)規(guī)則,防火墻的報(bào)文過(guò)濾模塊根據(jù)下發(fā)的規(guī)則信息到對(duì)應(yīng)交換機(jī)上查詢對(duì)應(yīng)的上送流表項(xiàng)�����,查找到后刪除該流表項(xiàng)���,步驟1-3-2中生成的轉(zhuǎn)發(fā)流表項(xiàng)Is后消失��,且不再生成�。5.根據(jù)權(quán)利要求1所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法�����,其特征在于�����,步驟2-3中�,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為允許轉(zhuǎn)發(fā)時(shí),進(jìn)行如下操作: 步驟4-3-1�,防火墻的報(bào)文過(guò)濾模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO,該流表項(xiàng)跳轉(zhuǎn)到相應(yīng)交換機(jī)的第二個(gè)流表tablel ; 步驟4-3-2�����,交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后����,將報(bào)文上送到SDN控制器進(jìn)行處理,處理過(guò)程為:SDN控制器通過(guò)防火墻的報(bào)文處理模塊對(duì)報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找����,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對(duì)應(yīng)的交換機(jī)的第二個(gè)流表tablel��,后續(xù)報(bào)文匹配2級(jí)流表進(jìn)行轉(zhuǎn)發(fā)�����,即匹配對(duì)應(yīng)的交換機(jī)的第一個(gè)流表tableO的上送流表項(xiàng)和第二個(gè)流表tablel的轉(zhuǎn)發(fā)流表項(xiàng)��,轉(zhuǎn)發(fā)流表項(xiàng)的空閑超時(shí)設(shè)為Is�����。6.根據(jù)權(quán)利要求5所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法����,其特征在于����,步驟2-3中,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為丟棄時(shí)����,進(jìn)行如下操作: 步驟5-3-1,防火墻的報(bào)文處理模塊寫一條丟棄的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO ���; 步驟5-3-2��,若允許轉(zhuǎn)發(fā)規(guī)則和該丟棄規(guī)則沖突��,判斷二者優(yōu)先級(jí)�,若丟棄規(guī)則優(yōu)先級(jí)更高�,則報(bào)文匹配相應(yīng)交換機(jī)的第一個(gè)流表tableO的丟棄流表項(xiàng)后丟棄,步驟4-3-2中生成的相應(yīng)交換機(jī)的第二個(gè)流表tablel的轉(zhuǎn)發(fā)流表項(xiàng)消失���; 若丟棄規(guī)則優(yōu)先級(jí)更低�����,則報(bào)文根據(jù)以下流程處理: 防火墻的報(bào)文處理模塊寫一條上送SDN控制器的流表項(xiàng)到相應(yīng)交換機(jī)的第一個(gè)流表tableO�����,該流表項(xiàng)跳轉(zhuǎn)到相應(yīng)交換機(jī)的第二個(gè)流表tablel ; 交換機(jī)收到匹配上送流表項(xiàng)的報(bào)文后�����,將報(bào)文上送到SDN控制器進(jìn)行處理����,處理過(guò)程為:SDN控制器通過(guò)防火墻應(yīng)用程序的報(bào)文處理模塊對(duì)報(bào)文MAC地址進(jìn)行學(xué)習(xí)和查找,然后生成轉(zhuǎn)發(fā)流表項(xiàng)并將該轉(zhuǎn)發(fā)流表項(xiàng)寫入對(duì)應(yīng)的交換機(jī)的第二個(gè)流表tablel���,后續(xù)報(bào)文匹配2級(jí)流表進(jìn)行轉(zhuǎn)發(fā)����,即匹配對(duì)應(yīng)的交換機(jī)的第一個(gè)流表tableO的上送流表項(xiàng)和對(duì)應(yīng)的交換機(jī)的第二個(gè)流表tablel的轉(zhuǎn)發(fā)流表項(xiàng)��,轉(zhuǎn)發(fā)流表項(xiàng)的空閑超時(shí)設(shè)為Is�。7.根據(jù)權(quán)利要求6所述的一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法,其特征在于���,步驟2-3中���,當(dāng)所述SDN控制器下發(fā)防火墻規(guī)則為刪除時(shí),進(jìn)行如下操作: 若刪除的是丟棄規(guī)則�,防火墻的報(bào)文過(guò)濾模塊根據(jù)下發(fā)的規(guī)則信息到對(duì)應(yīng)交換機(jī)的第一個(gè)流表tableO上查詢對(duì)應(yīng)的丟棄流表項(xiàng),查找到后刪除該流表項(xiàng)���; 若刪除的是允許轉(zhuǎn)發(fā)規(guī)則�����,防火墻的報(bào)文過(guò)濾模塊根據(jù)下發(fā)的規(guī)則信息到對(duì)應(yīng)交換機(jī)的第一個(gè)流表tableO上查詢對(duì)應(yīng)的上送流表項(xiàng)��,查找到后刪除該流表項(xiàng)���,步驟4-3-2生成的對(duì)應(yīng)交換機(jī)的第二個(gè)流表tablel轉(zhuǎn)發(fā)流表項(xiàng)假如沒(méi)有報(bào)文匹配Is后消失�����,且不再生成�����。
【專利摘要】本發(fā)明公開了一種應(yīng)用于軟件定義網(wǎng)絡(luò)的防火墻實(shí)現(xiàn)方法,包括:?jiǎn)?dòng)SDN控制器�,SDN控制器與要注冊(cè)到SDN控制器的交換機(jī)互發(fā)openflow協(xié)議報(bào)文,獲取所有交換機(jī)的ID�;SDN控制器啟動(dòng)已注冊(cè)交換機(jī)的防火墻功能,防火墻的初始化模塊寫初始流表項(xiàng)到對(duì)應(yīng)的交換機(jī)�����,丟棄所有經(jīng)過(guò)交換機(jī)的報(bào)文����;SDN控制器下發(fā)防火墻規(guī)則到某個(gè)已注冊(cè)交換機(jī),防火墻的報(bào)文過(guò)濾模塊根據(jù)規(guī)則的類型下發(fā)不同的流表項(xiàng)到對(duì)應(yīng)交換機(jī)來(lái)實(shí)現(xiàn)規(guī)則�����,SDN控制器刪除某個(gè)已注冊(cè)交換機(jī)的某條防火墻規(guī)則,防火墻的報(bào)文處理模塊刪除對(duì)應(yīng)交換機(jī)的相應(yīng)流表項(xiàng)����。本方法適用于所有種類SDN交換機(jī)的防火墻實(shí)現(xiàn),實(shí)現(xiàn)了防火墻規(guī)則的下發(fā)和刪除�,通用性強(qiáng)。
【IPC分類】H04L29/06, H04L12/741
【公開號(hào)】CN105338003
【申請(qǐng)?zhí)枴緾N201510905978
【發(fā)明人】張平, 許道峰, 田少鵬, 王鵬, 顧憲鋒, 雷明濤
【申請(qǐng)人】中國(guó)電子科技集團(tuán)公司第二十八研究所
【公開日】2016年2月17日
【申請(qǐng)日】2015年12月9日