一種報(bào)文轉(zhuǎn)發(fā)方法�、路由節(jié)點(diǎn)及軟件定義網(wǎng)絡(luò)的制作方法
【專利摘要】本發(fā)明公開了一種報(bào)文轉(zhuǎn)發(fā)方法、路由節(jié)點(diǎn)及軟件定義網(wǎng)絡(luò),屬于路由路徑技術(shù)領(lǐng)域�;方法包括:步驟S1,路由節(jié)點(diǎn)向路由控制端上報(bào)未匹配轉(zhuǎn)發(fā)流表的報(bào)文���;步驟S2�����,路由控制端將關(guān)聯(lián)于報(bào)文的報(bào)文信息與訪問控制表進(jìn)行匹配:若無法找到匹配于報(bào)文信息的標(biāo)準(zhǔn)報(bào)文信息����,則丟棄報(bào)文信息���,隨后退出����;步驟S3�,路由控制端根據(jù)匹配結(jié)果�����,依照訪問控制表生成相應(yīng)的協(xié)議狀態(tài)表����;步驟S4�����,路由控制端根據(jù)訪問控制表以及生成的協(xié)議狀態(tài)表��,生成和下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表����,從而在路由節(jié)點(diǎn)之間轉(zhuǎn)發(fā)報(bào)文�。上述技術(shù)方案的有益效果是:能夠兼容多通道的應(yīng)用層協(xié)議,可以檢測(cè)一些來自傳輸層和應(yīng)用層的攻擊行為��,并且動(dòng)態(tài)地對(duì)傳輸層協(xié)議進(jìn)行檢測(cè)����。
【專利說明】
一種報(bào)文轉(zhuǎn)發(fā)方法、路由節(jié)點(diǎn)及軟件定義網(wǎng)絡(luò)
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及路由路徑技術(shù)領(lǐng)域��,尤其涉及一種報(bào)文轉(zhuǎn)發(fā)方法���、路由節(jié)點(diǎn)及軟件定 義網(wǎng)絡(luò)���。
【背景技術(shù)】
[0002] SDN(Software Defined Network�,軟件定義網(wǎng)絡(luò))網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)����, 是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式,其核心技術(shù)OpenFlow(屬于控制器到交換機(jī)的南向接口)通 過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來����,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制,使網(wǎng)絡(luò)作為管 道變得更加智能���。
[0003] 現(xiàn)有的SDN網(wǎng)絡(luò)�����,對(duì)于多通道的應(yīng)用層協(xié)議(如FTP����、H.323等)�����,部分安全策略配置 無法預(yù)知����,因此對(duì)于某些數(shù)據(jù)報(bào)文無法進(jìn)行轉(zhuǎn)發(fā)。
【發(fā)明內(nèi)容】
[0004] 根據(jù)現(xiàn)有技術(shù)中存在的上述問題��,現(xiàn)提供一種報(bào)文轉(zhuǎn)發(fā)方法�、路由節(jié)點(diǎn)及軟件定 義網(wǎng)絡(luò)的技術(shù)方案,旨在能夠兼容多通道的應(yīng)用層協(xié)議��,可以檢測(cè)一些來自傳輸層和應(yīng)用 層的攻擊行為���,并且動(dòng)態(tài)地對(duì)傳輸層協(xié)議進(jìn)行檢測(cè)��。
[0005] 上述技術(shù)方案具體包括:
[0006] -種報(bào)文轉(zhuǎn)發(fā)方法���,適用于軟件定義網(wǎng)絡(luò);其中�����,包括路由控制端與多個(gè)路由節(jié) 點(diǎn)����,所述路由控制端分別與每個(gè)所述路由節(jié)點(diǎn)連接,每個(gè)所述路由節(jié)點(diǎn)至其余所述路由節(jié) 點(diǎn)之間均存在路由路徑���;
[0007] 所述路由控制端內(nèi)預(yù)先配置有一訪問控制表�����,所述訪問控制表內(nèi)預(yù)設(shè)有多類標(biāo)準(zhǔn) 報(bào)文信息����,還包括:
[0008] 步驟S1,所述路由節(jié)點(diǎn)向所述路由控制端上報(bào)未匹配轉(zhuǎn)發(fā)流表的報(bào)文�����;
[0009] 步驟S2,所述路由控制端將關(guān)聯(lián)于所述報(bào)文的報(bào)文信息與所述訪問控制表進(jìn)行匹 配:
[0010] 若無法找到匹配于所述報(bào)文信息的所述標(biāo)準(zhǔn)報(bào)文信息���,則丟棄所述報(bào)文信息�,隨 后退出����;
[0011] 步驟S3,所述路由控制端根據(jù)所述匹配結(jié)果,依照所述訪問控制表生成相應(yīng)的協(xié) 議狀態(tài)表�;
[0012] 步驟S4,所述路由控制端根據(jù)所述訪問控制表以及生成的所述協(xié)議狀態(tài)表,生成 和下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表��,從而在所述路由節(jié)點(diǎn)之間轉(zhuǎn)發(fā)所述報(bào)文����。
[0013] 優(yōu)選的�����,該報(bào)文轉(zhuǎn)發(fā)方法,其中���,于所述訪問控制表中定義有協(xié)議報(bào)文和自定義報(bào) 文�;
[0014] 于所述訪問控制表中����,針對(duì)所述協(xié)議報(bào)文預(yù)設(shè)的所述標(biāo)準(zhǔn)報(bào)文信息為第一類報(bào)文 信息,包括:
[0015] 協(xié)議報(bào)文的協(xié)議字段���;
[0016] 協(xié)議報(bào)文的報(bào)文源IP地址�;
[0017] 協(xié)議報(bào)文的目的IP地址���;
[0018] 以及
[0019] 于所述訪問控制表中����,針對(duì)所述自定義報(bào)文預(yù)設(shè)的所述標(biāo)準(zhǔn)報(bào)文信息而第二類報(bào) 文信息����,包括:
[0020] 用戶可自行設(shè)置的預(yù)設(shè)偏移位置�;
[0021] 用戶可自行設(shè)置的預(yù)設(shè)數(shù)據(jù)長度����;
[0022] 用戶可自行設(shè)置的匹配數(shù)據(jù)。
[0023] 優(yōu)選的��,該報(bào)文轉(zhuǎn)發(fā)方法�,其中,所述步驟S1具體包括:
[0024] 步驟S11��,所述路由節(jié)點(diǎn)初始化交換通道����,以建立與所述路由控制端的數(shù)據(jù)傳輸通 道;
[0025] 步驟S12,所述路由節(jié)點(diǎn)通過所述數(shù)據(jù)傳輸通道����,將包括所述路由節(jié)點(diǎn)的節(jié)點(diǎn)信息 的同步消息報(bào)文發(fā)送至所述路由控制端。
[0026] 優(yōu)選的�,該報(bào)文轉(zhuǎn)發(fā)方法,其中�����,于所述訪問控制表中定義有協(xié)議報(bào)文和自定義報(bào) 文,以及分別定義關(guān)聯(lián)于所述協(xié)議報(bào)文的所述標(biāo)準(zhǔn)報(bào)文信息和關(guān)聯(lián)于所述自定義報(bào)文的所 述標(biāo)準(zhǔn)報(bào)文信息��;
[0027] 所述步驟S2中���,在所述路由控制端將關(guān)聯(lián)于所述報(bào)文的報(bào)文信息與所述訪問控制 表進(jìn)行匹配之前����,首先執(zhí)行下述步驟:
[0028] 所述路由控制端判斷所述報(bào)文的類型:
[0029] 若所述報(bào)文為所述協(xié)議報(bào)文���,則所述路由控制端通過初步解析得到關(guān)聯(lián)于所述協(xié) 議報(bào)文的所述報(bào)文信息;
[0030] 若所述報(bào)文為所述自定義報(bào)文���,則所述路由控制端通過初步解析得到關(guān)聯(lián)于所述 自定義報(bào)文的所述報(bào)文信息��;
[0031 ]關(guān)聯(lián)于所述協(xié)議報(bào)文的所述報(bào)文信息包括:
[0032]所述協(xié)議報(bào)文的協(xié)議字段����;
[0033]所述協(xié)議報(bào)文的報(bào)文源IP地址���;
[0034]所述協(xié)議報(bào)文的目的IP地址��;
[0035] 關(guān)聯(lián)于所述自定義報(bào)文的所述報(bào)文信息包括:
[0036] 所述自定義報(bào)文的偏移位置�����;
[0037] 所述自定義報(bào)文的數(shù)據(jù)長度���;
[0038]根據(jù)所述偏移位置和所述數(shù)據(jù)長度獲得的所述自定義報(bào)文的承載數(shù)據(jù)�����。
[0039] 優(yōu)選的�,該報(bào)文轉(zhuǎn)發(fā)方法���,其中��,所述協(xié)議狀態(tài)表中包括:
[0040] 所述報(bào)文的控制通道源端口��;
[0041] 所述報(bào)文的控制通道目的端口�;
[0042]所述報(bào)文的數(shù)據(jù)通道源端口�;以及 [0043]所述報(bào)文的數(shù)據(jù)通道目的端口。
[0044] 優(yōu)選的���,該報(bào)文轉(zhuǎn)發(fā)方法��,其中����,所述步驟S4中,所述路由控制端根據(jù)所述協(xié)議狀 態(tài)表���,向所述路由節(jié)點(diǎn)下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表項(xiàng)�����,并且:
[0045] 根據(jù)所述控制通道源端口和所述控制通道目的端口�����,轉(zhuǎn)發(fā)關(guān)聯(lián)于所述報(bào)文的控制 報(bào)文;以及
[0046]根據(jù)所述數(shù)據(jù)通道源端口和所述數(shù)據(jù)通道目的端口����,轉(zhuǎn)發(fā)關(guān)聯(lián)于所述報(bào)文的數(shù)據(jù) 報(bào)文。
[0047]優(yōu)選的����,該報(bào)文轉(zhuǎn)發(fā)方法,其中��,執(zhí)行所述步驟S2之前��,首先執(zhí)行下述步驟:
[0048] 步驟S21,所述路由控制器解析所述報(bào)文并分別得到關(guān)聯(lián)于每個(gè)所述路由節(jié)點(diǎn)的 每個(gè)端口的IP地址�����;
[0049] 步驟S22,所述路由控制器判斷全網(wǎng)的所有所述路由節(jié)點(diǎn)中��,是否存在相互沖突的 所述IP地址:
[0050] 若不存在��,則繼續(xù)執(zhí)行所述步驟S2;
[0051] 步驟S23,于相互沖突的所述IP地址中����,所述路由控制器將關(guān)聯(lián)于最小序號(hào)的路由 節(jié)點(diǎn)的所述IP地址作為優(yōu)先地址并保留;
[0052]步驟S24,所述路由控制器將除去所述優(yōu)先地址的所有相互沖突的所述IP地址均 設(shè)為沖突地址���,并分別通知每個(gè)關(guān)聯(lián)于所述沖突地址的所述路由節(jié)點(diǎn)修改相應(yīng)所述端口的 所述IP地址�,并重新上報(bào)未匹配轉(zhuǎn)發(fā)流表的所述報(bào)文����。
[0053] 一種路由節(jié)點(diǎn),其中�,采用上述的報(bào)文轉(zhuǎn)發(fā)方法。
[0054] 一種軟件定義網(wǎng)絡(luò)�����,其中,采用上述的報(bào)文轉(zhuǎn)發(fā)方法�����。
[0055] 上述技術(shù)方案的有益效果是:提供一種報(bào)文轉(zhuǎn)發(fā)方法���,能夠兼容多通道的應(yīng)用層 協(xié)議��,可以檢測(cè)一些來自傳輸層和應(yīng)用層的攻擊行為�,并且動(dòng)態(tài)地對(duì)傳輸層協(xié)議進(jìn)行檢測(cè)����。
【附圖說明】
[0056] 圖1是本發(fā)明的較佳的實(shí)施例中,一種軟件定義網(wǎng)絡(luò)的結(jié)構(gòu)布局示意圖����;
[0057] 圖2是本發(fā)明的較佳的實(shí)施例中�����,一種報(bào)文轉(zhuǎn)發(fā)方法的總體流程示意圖�;
[0058] 圖3-4是本發(fā)明的較佳的實(shí)施例中,于圖2的基礎(chǔ)上�����,報(bào)文轉(zhuǎn)發(fā)方法的分步驟流程 示意圖。
【具體實(shí)施方式】
[0059] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述���,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例��?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其 他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。
[0060] 需要說明的是����,在不沖突的情況下,本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相 互組合���。
[0061] 下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明��,但不作為本發(fā)明的限定�����。
[0062] 本發(fā)明的較佳的實(shí)施例中��,基于現(xiàn)有技術(shù)中存在的上述問題���,現(xiàn)提供一種報(bào)文轉(zhuǎn) 發(fā)方法����,該方法中�����,包括路由控制端與多個(gè)路由節(jié)點(diǎn)���,路由控制端分別與每個(gè)路由節(jié)點(diǎn)連 接,每個(gè)路由節(jié)點(diǎn)至其余路由節(jié)點(diǎn)之間均存在路由路徑���。
[0063] 具體地����,上述路由環(huán)境的搭建如圖1所示:
[0064] 首先設(shè)置一路由控制端A,該路由控制端可以為SDN控制器���,并且設(shè)置多個(gè)路由節(jié) 點(diǎn)(如圖1中所示設(shè)置S1-S4共4個(gè)路由節(jié)點(diǎn))����。在圖1中的每兩個(gè)路由節(jié)點(diǎn)(S1-S4)之間均存 在能夠連通的路由路徑�����。上述路由節(jié)點(diǎn)S1-S4以及路由控制端A組成上述SDN網(wǎng)絡(luò)的內(nèi)網(wǎng)�����,外 網(wǎng)服務(wù)器B與該SDN網(wǎng)絡(luò)的內(nèi)網(wǎng)連接����,并且該內(nèi)網(wǎng)連接多個(gè)客戶端(圖1中示出客戶端C和客 戶端D)。來自外網(wǎng)服務(wù)器B的報(bào)文經(jīng)過篩選進(jìn)入該SDN網(wǎng)絡(luò)內(nèi)網(wǎng)���,并且根據(jù)路由控制端A的路 由控制可以被轉(zhuǎn)發(fā)到客戶端C和/客戶端D���。
[0065] 本發(fā)明的較佳的實(shí)施例中,在上述路由控制端A內(nèi)預(yù)先配置有一訪問控制表���,訪問 控制表內(nèi)預(yù)設(shè)有多類標(biāo)準(zhǔn)報(bào)文信息���。
[0066] 則本發(fā)明的較佳的實(shí)施例中����,上述報(bào)文轉(zhuǎn)發(fā)方法的具體步驟如圖2所示�,包括:
[0067] 步驟S1,路由節(jié)點(diǎn)向路由控制端上報(bào)未匹配轉(zhuǎn)發(fā)流表的報(bào)文�;
[0068] 步驟S2,路由控制端將關(guān)聯(lián)于報(bào)文的報(bào)文信息與訪問控制表進(jìn)行匹配:
[0069] 若無法找到匹配于報(bào)文信息的標(biāo)準(zhǔn)報(bào)文信息,則丟棄報(bào)文信息����,隨后退出;
[0070] 步驟S3,路由控制端根據(jù)匹配結(jié)果��,依照訪問控制表生成相應(yīng)的協(xié)議狀態(tài)表�;
[0071] 步驟S4,路由控制端根據(jù)訪問控制表以及生成的協(xié)議狀態(tài)表,生成和下發(fā)相應(yīng)的 轉(zhuǎn)發(fā)流表���,從而在路由節(jié)點(diǎn)之間轉(zhuǎn)發(fā)報(bào)文��。
[0072] 在一個(gè)具體實(shí)施例中,在上述路由控制端中首先預(yù)設(shè)一個(gè)訪問控制表��,在訪問控 制表中預(yù)設(shè)多類標(biāo)準(zhǔn)報(bào)文信息,這些標(biāo)準(zhǔn)報(bào)文信息就是之后路由控制端進(jìn)行報(bào)文轉(zhuǎn)發(fā)的依 據(jù)��。該標(biāo)準(zhǔn)報(bào)文信息在下文中會(huì)詳述�。
[0073] 則上述步驟S1中,外網(wǎng)服務(wù)器向內(nèi)網(wǎng)發(fā)送報(bào)文�����,SDN內(nèi)網(wǎng)的路由節(jié)點(diǎn)首先判斷該報(bào) 文是否匹配該路由節(jié)點(diǎn)上已有的轉(zhuǎn)發(fā)流表����。所謂轉(zhuǎn)發(fā)流表,是OpenFlow協(xié)議中的一個(gè)重要 組成部分��,相當(dāng)于傳統(tǒng)路由領(lǐng)域內(nèi)的MAC (Media Access Control�����,介質(zhì)訪問控制)地址表或 者路由表���。轉(zhuǎn)發(fā)流表中包括多個(gè)流表項(xiàng)���,每個(gè)流表項(xiàng)即代表一項(xiàng)轉(zhuǎn)發(fā)規(guī)則,在流表中整合了 傳統(tǒng)路由轉(zhuǎn)發(fā)中的網(wǎng)絡(luò)所有層次的配置信息,從而在進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)能夠使用更加豐富的 規(guī)則����。
[0074]則該實(shí)施例中,若路由節(jié)點(diǎn)判斷該報(bào)文能夠匹配已有的轉(zhuǎn)發(fā)流表�����,則直接根據(jù)轉(zhuǎn) 發(fā)流表對(duì)該報(bào)文進(jìn)行轉(zhuǎn)發(fā);若路由節(jié)點(diǎn)判斷該報(bào)文無法匹配已有的轉(zhuǎn)發(fā)流表�,則路由節(jié)點(diǎn) 將該報(bào)文上報(bào)給路由控制端。
[0075] 該實(shí)施例中���,上述路由控制端接收到被上報(bào)的報(bào)文后����,解析得到關(guān)聯(lián)于該報(bào)文的 報(bào)文信息���,并且將該報(bào)文信息與上述訪問控制表中已經(jīng)預(yù)設(shè)的標(biāo)準(zhǔn)報(bào)文信息進(jìn)行比對(duì):若 無法找到相匹配的標(biāo)準(zhǔn)報(bào)文信息����,則表示該報(bào)文無法被轉(zhuǎn)發(fā)�,此時(shí)丟棄該報(bào)文并退出,以等 待下一個(gè)被上報(bào)的報(bào)文;若能夠找到相匹配的標(biāo)準(zhǔn)報(bào)文信息���,則根據(jù)匹配結(jié)果����,依照上述訪 問控制表中相匹配的標(biāo)準(zhǔn)報(bào)文信息生成關(guān)聯(lián)于該報(bào)文的相應(yīng)的協(xié)議狀態(tài)表�����,并進(jìn)而生成并 向路由節(jié)點(diǎn)下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表��。則路由節(jié)點(diǎn)根據(jù)被下發(fā)的轉(zhuǎn)發(fā)流表對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)����,以 發(fā)送至相應(yīng)的客戶端中。
[0076] 本發(fā)明的較佳的實(shí)施例中�,如圖3所示,上述步驟S1具體包括:
[0077] 步驟S11���,路由節(jié)點(diǎn)初始化交換通道���,以建立與路由控制端的數(shù)據(jù)傳輸通道;
[0078] 步驟S12,路由節(jié)點(diǎn)通過數(shù)據(jù)傳輸通道��,將包括路由節(jié)點(diǎn)的節(jié)點(diǎn)信息的同步消息報(bào) 文發(fā)送至路由控制端����。
[0079] 具體地��,本發(fā)明的較佳的實(shí)施例中�����,路由節(jié)點(diǎn)首先建立與路由控制前之間的連接 通道�,需要初始化其交換通道(即OpenF 1 ow通道)���。初始化OpenFl ow通道之后��,路由節(jié)點(diǎn)通過 私有的同步消息報(bào)文(即Experimenter報(bào)文)將自己的MAC地址��、端口信息(包括端口 ID等) 以及端口的IP地址等上報(bào)給路由控制端�����。換言之��,上述步驟S12中����,所謂路由節(jié)點(diǎn)的節(jié)點(diǎn)信 息����,其中包括路由節(jié)點(diǎn)的MAC地址�、端口 ID信息以及端口的IP地址信息等��。
[0080] 本發(fā)明的較佳的實(shí)施例中�����,于上述訪問控制表中定義有協(xié)議報(bào)文和自定義報(bào)文����。 具體地�,所謂協(xié)議報(bào)文,是指針對(duì)一般的通信協(xié)議的報(bào)文���,例如依據(jù)FTP�、HTTP����、SMTP以及 RTSP等常規(guī)的通信協(xié)議進(jìn)行傳輸?shù)膱?bào)文。所謂自定義報(bào)文����,是指一些依據(jù)非常規(guī)的或者用 戶自定義的通信協(xié)議進(jìn)行傳輸?shù)膱?bào)文���。在現(xiàn)有技術(shù)中,通常只能做到針對(duì)一些通常的標(biāo)準(zhǔn) 通信協(xié)議傳輸?shù)膱?bào)文進(jìn)行轉(zhuǎn)發(fā)�����,并無法顧及根據(jù)自定義協(xié)議傳輸?shù)膱?bào)文�����。而在本發(fā)明技術(shù) 方案中����,由于預(yù)先設(shè)定了訪問控制表,因此使得路由控制端能夠分辨協(xié)議報(bào)文和自定義報(bào) 文�����,并且根據(jù)不同的報(bào)文類型依據(jù)不同類型的標(biāo)準(zhǔn)報(bào)文信息進(jìn)行匹配�����,并最終達(dá)到報(bào)文轉(zhuǎn) 發(fā)的目的���。
[0081] 具體地����,本發(fā)明的較佳的實(shí)施例中,于上述訪問控制表中�����,針對(duì)協(xié)議報(bào)文預(yù)設(shè)的標(biāo) 準(zhǔn)報(bào)文信息為第一類報(bào)文信息����,包括:
[0082]協(xié)議報(bào)文的協(xié)議字段;
[0083]協(xié)議報(bào)文的報(bào)文源IP地址����;
[0084]協(xié)議報(bào)文的目的IP地址���;
[0085] 以及
[0086]于上述訪問控制表中�����,針對(duì)自定義報(bào)文預(yù)設(shè)的標(biāo)準(zhǔn)報(bào)文信息而第二類報(bào)文信息���, 包括:
[0087] 用戶可自行設(shè)置的預(yù)設(shè)偏移位置;
[0088] 用戶可自行設(shè)置的預(yù)設(shè)數(shù)據(jù)長度��;
[0089]用戶可自行設(shè)置的匹配數(shù)據(jù)。
[0090]上述訪問控制表的具體設(shè)置如下表a所示:
[0092]表 a
[0093] 上述表a中���,所謂ANY地址����,實(shí)際是指定為0.0.0.0的地址����,這個(gè)地址事實(shí)上表示不 確定地址,或"所有地址"�����、"任意地址"��。
[0094] 則本發(fā)明的較佳的實(shí)施例中����,上述步驟S2中,在路由控制端將關(guān)聯(lián)于報(bào)文的報(bào)文 信息與訪問控制表進(jìn)行匹配之前�,首先執(zhí)行下述步驟:
[0095] 路由控制端判斷報(bào)文的類型:
[0096] 若報(bào)文為協(xié)議報(bào)文,則路由控制端通過初步解析得到關(guān)聯(lián)于協(xié)議報(bào)文的報(bào)文信 息���;
[0097] 若報(bào)文為自定義報(bào)文����,則路由控制端通過初步解析得到關(guān)聯(lián)于自定義報(bào)文的報(bào)文 信息;
[0098] 關(guān)聯(lián)于協(xié)議報(bào)文的報(bào)文信息包括:
[0099]協(xié)議報(bào)文的協(xié)議字段���;
[0100]協(xié)議報(bào)文的報(bào)文源IP地址����;
[0101 ]協(xié)議報(bào)文的目的IP地址����;
[0102]關(guān)聯(lián)于自定義報(bào)文的報(bào)文信息包括:
[0103]自定義報(bào)文的偏移位置;
[0104] 自定義報(bào)文的數(shù)據(jù)長度�;
[0105] 根據(jù)偏移位置和數(shù)據(jù)長度獲得的自定義報(bào)文的承載數(shù)據(jù)。
[0106] 本發(fā)明的較佳的實(shí)施例中�,上述承載數(shù)據(jù)可以根據(jù)自定義報(bào)文的偏移位置和數(shù)據(jù) 長度獲得���。
[0107] 因此���,在上述步驟S2中:
[0108] 若是協(xié)議報(bào)文,則路由控制端將上述協(xié)議報(bào)文的報(bào)文信息中包括的協(xié)議字段���、報(bào) 文源IP地址和目的IP地址分別與上述訪問控制表中的標(biāo)準(zhǔn)報(bào)文信息中包括的協(xié)議字段����、報(bào) 文源IP地址和目的IP地址進(jìn)行匹配,并得到相應(yīng)的匹配結(jié)果��;
[0109] 若是自定義報(bào)文�,則路由控制端將上述自定義報(bào)文的報(bào)文信息中包括的偏移位置 與預(yù)設(shè)偏移位置進(jìn)行比對(duì),上述自定義報(bào)文的報(bào)文信息中的數(shù)據(jù)長度與預(yù)設(shè)數(shù)據(jù)長度進(jìn)行 比對(duì)���,并且上述自定義報(bào)文的報(bào)文信息中的承載數(shù)據(jù)與匹配數(shù)據(jù)進(jìn)行比對(duì)��,最終得到相應(yīng) 的匹配結(jié)果�����。
[0110] 本發(fā)明的較佳的實(shí)施例中���,上述步驟S2之后,根據(jù)匹配結(jié)果�����,依照上述訪問控制表 可以生成相應(yīng)的協(xié)議狀態(tài)表����。該協(xié)議狀態(tài)表中可以包括:
[0111] 報(bào)文的控制通道源端口��;
[0112] 報(bào)文的控制通道目的端口�;
[0113]報(bào)文的數(shù)據(jù)通道源端口�;以及 [0114]報(bào)文的數(shù)據(jù)通道目的端口。
[0115]具體地��,本發(fā)明的較佳的實(shí)施例中�,上述協(xié)議狀態(tài)表中包括的信息如下表b中所 示:
[0117] 表b
[0118] 則本發(fā)明的較佳的實(shí)施例中,上述步驟S4中����,針對(duì)上述表b中的協(xié)議狀態(tài)表的各表 項(xiàng)信息,路由控制端根據(jù)協(xié)議狀態(tài)表�����,向路由節(jié)點(diǎn)下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表項(xiàng)���,并且:
[0119] 根據(jù)控制通道源端口和控制通道目的端口,轉(zhuǎn)發(fā)關(guān)聯(lián)于報(bào)文的控制報(bào)文����;以及
[0120] 根據(jù)數(shù)據(jù)通道源端口和數(shù)據(jù)通道目的端口,轉(zhuǎn)發(fā)關(guān)聯(lián)于報(bào)文的數(shù)據(jù)報(bào)文。
[0121] 具體地�,本發(fā)明的較佳的實(shí)施例中,若未匹配流表并被上報(bào)的報(bào)文匹配上述訪問 控制表���,則路由控制端對(duì)該報(bào)文進(jìn)行深層次的解析�����,以得到關(guān)聯(lián)于該報(bào)文的控制通道源端 口�、控制通道目的端口���、數(shù)據(jù)通道源端口以及數(shù)據(jù)通道目的端口等信息���,并生成相應(yīng)的協(xié)議 狀態(tài)表中的各表項(xiàng)信息。隨后��,路由控制端根據(jù)上述訪問控制表以及生成的協(xié)議狀態(tài)表���,轉(zhuǎn) 發(fā)關(guān)聯(lián)于該報(bào)文的通信協(xié)議報(bào)文��,下發(fā)相應(yīng)的多條流表項(xiàng)���,并且對(duì)該報(bào)文相關(guān)的控制報(bào)文 和回應(yīng)控制報(bào)文都進(jìn)行轉(zhuǎn)發(fā),以及對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā),從而完成對(duì)該未匹配流表并被上 報(bào)的報(bào)文進(jìn)行轉(zhuǎn)發(fā)的操作��。
[0122] 綜上所述���,本發(fā)明技術(shù)方案中���,采用在路由控制端(SDN控制器)中預(yù)設(shè)訪問控制表 以及根據(jù)該訪問控制表可生成相應(yīng)的協(xié)議狀態(tài)表的技術(shù),能夠在路由控制端支持基于SDN 網(wǎng)絡(luò)的應(yīng)用層狀態(tài)的包過濾操作�����,并且支持對(duì)一些自定義的安全策略無法預(yù)知的通信協(xié)議 相關(guān)的報(bào)文進(jìn)行轉(zhuǎn)發(fā)�����,以及能夠檢測(cè)一些來自傳輸層和應(yīng)用層的攻擊行為(例如TCP SYN以 及Java Applets等)���,完善了SDN網(wǎng)絡(luò)中路由控制端對(duì)傳輸層協(xié)議進(jìn)行動(dòng)態(tài)檢測(cè)的操作���。
[0123] 本發(fā)明的一個(gè)較佳的實(shí)施例中,仍然以圖1中所示的模擬網(wǎng)絡(luò)環(huán)境為例����。路由控制 端A上配置訪問控制表,該訪問控制表中預(yù)先配置了客戶端C的IP地址以及外網(wǎng)服務(wù)器B的 IP地址���,則此時(shí)客戶端C可以外網(wǎng)服務(wù)器B下載文件��,而客戶端D不可以下載�。相反地����,在該訪 問控制表中預(yù)先配置了客戶端D的IP地址和外網(wǎng)服務(wù)器B的IP地址,則此時(shí)客戶端D可以下 載文件����,而客戶端C不可以下載。
[0124] 本發(fā)明的較佳的實(shí)施例中�����,如圖4所示�,在執(zhí)行上述步驟S2之前,首先執(zhí)行下述步 驟:
[0125] 步驟S21�����,路由控制器解析報(bào)文并分別得到關(guān)聯(lián)于每個(gè)路由節(jié)點(diǎn)的每個(gè)端口的IP 地址���;
[0126] 步驟S22,路由控制器判斷全網(wǎng)的所有路由節(jié)點(diǎn)中��,是否存在相互沖突的IP地址:
[0127] 若不存在���,則繼續(xù)執(zhí)行步驟S2;
[0128] 步驟S23,于相互沖突的IP地址中���,路由控制器將關(guān)聯(lián)于最小序號(hào)的路由節(jié)點(diǎn)的IP 地址作為優(yōu)先地址并保留;
[0129] 步驟S24,路由控制器將除去優(yōu)先地址的所有相互沖突的IP地址均設(shè)為沖突地址�, 并分別通知每個(gè)關(guān)聯(lián)于沖突地址的路由節(jié)點(diǎn)修改相應(yīng)端口的IP地址,并重新上報(bào)未匹配轉(zhuǎn) 發(fā)流表的報(bào)文���。
[0130] 具體地�,本發(fā)明的較佳的實(shí)施例中��,由于SDN網(wǎng)絡(luò)內(nèi)網(wǎng)中可能有較多數(shù)量的路由節(jié) 點(diǎn)���,在實(shí)際報(bào)文轉(zhuǎn)發(fā)的過程中可能存在不同的路由節(jié)點(diǎn)之間端口 IP地址沖突的問題�。因此 在路由節(jié)點(diǎn)向路由控制端上報(bào)其節(jié)點(diǎn)信息(包括在Packet_in報(bào)文中上報(bào))時(shí)����,路由控制端 通過解析報(bào)文獲取路由節(jié)點(diǎn)的節(jié)點(diǎn)信息����,其中包括路由節(jié)點(diǎn)每個(gè)端口的IP地址信息����。隨后 路由控制端在全網(wǎng)范圍內(nèi)判斷是否存在相互沖突的IP地址信息(即不同的兩個(gè)端口使用了 同一個(gè)IP地址):
[0131]若存在相互沖突的IP地址,則依照路由節(jié)點(diǎn)ID越小優(yōu)先級(jí)越高的規(guī)則�,將關(guān)聯(lián)于 最小序號(hào)(ID)的路由節(jié)點(diǎn)的IP地址作為優(yōu)先地址進(jìn)行保留,并且通知其他所有沖突端口相 關(guān)的路由節(jié)點(diǎn)修改該沖突端口的IP地址����;
[0132]若不存在相互沖突的iP地址,則直接進(jìn)行后續(xù)的操作���,即繼續(xù)執(zhí)行步驟S2�。
[0133]本發(fā)明的較佳的實(shí)施例中����,路由控制端同樣通過下發(fā)Experimenter報(bào)文的方式向 沖突端口的路由節(jié)點(diǎn)通知其修改沖突端口的IP地址。則路由節(jié)點(diǎn)接收到Experimenter報(bào)文 通知之后���,從地址池中動(dòng)態(tài)獲取IP地址并進(jìn)行修改�����,最后可以再次向路由控制端上報(bào)其節(jié) 點(diǎn)信息���,即重新執(zhí)行上述步驟S1��。
[0134] 本發(fā)明的較佳的實(shí)施例中�,還提供一種路由節(jié)點(diǎn)�,其中采用上文中所述的報(bào)文轉(zhuǎn) 發(fā)方法。
[0135] 本發(fā)明的較佳的實(shí)施例中����,還提供一種軟件定義網(wǎng)絡(luò)(SDN網(wǎng)絡(luò)),其中采用上文中 所述的報(bào)文轉(zhuǎn)發(fā)方法�。
[0136] 以上所述僅為本發(fā)明較佳的實(shí)施例,并非因此限制本發(fā)明的實(shí)施方式及保護(hù)范 圍�����,對(duì)于本領(lǐng)域技術(shù)人員而言��,應(yīng)當(dāng)能夠意識(shí)到凡運(yùn)用本發(fā)明說明書及圖示內(nèi)容所作出的 等同替換和顯而易見的變化所得到的方案���,均應(yīng)當(dāng)包含在本發(fā)明的保護(hù)范圍內(nèi)��。
【主權(quán)項(xiàng)】
1. 一種報(bào)文轉(zhuǎn)發(fā)方法���,適用于軟件定義網(wǎng)絡(luò);其特征在于�,包括路由控制端與多個(gè)路由 節(jié)點(diǎn)���,所述路由控制端分別與每個(gè)所述路由節(jié)點(diǎn)連接�,每個(gè)所述路由節(jié)點(diǎn)至其余所述路由 節(jié)點(diǎn)之間均存在路由路徑���; 所述路由控制端內(nèi)預(yù)先配置有一訪問控制表,所述訪問控制表內(nèi)預(yù)設(shè)有多類標(biāo)準(zhǔn)報(bào)文 信息�����,還包括: 步驟S1��,所述路由節(jié)點(diǎn)向所述路由控制端上報(bào)未匹配轉(zhuǎn)發(fā)流表的報(bào)文�; 步驟S2,所述路由控制端將關(guān)聯(lián)于所述報(bào)文的報(bào)文信息與所述訪問控制表進(jìn)行匹配: 若無法找到匹配于所述報(bào)文信息的所述標(biāo)準(zhǔn)報(bào)文信息,則丟棄所述報(bào)文信息�,隨后退 出; 步驟S3,所述路由控制端根據(jù)所述匹配結(jié)果�����,依照所述訪問控制表生成相應(yīng)的協(xié)議狀 態(tài)表����; 步驟S4,所述路由控制端根據(jù)所述訪問控制表以及生成的所述協(xié)議狀態(tài)表�����,生成和下 發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表����,從而在所述路由節(jié)點(diǎn)之間轉(zhuǎn)發(fā)所述報(bào)文��。2. 如權(quán)利要求1所述的報(bào)文轉(zhuǎn)發(fā)方法�����,其特征在于�,于所述訪問控制表中定義有協(xié)議報(bào) 文和自定義報(bào)文; 于所述訪問控制表中��,針對(duì)所述協(xié)議報(bào)文預(yù)設(shè)的所述標(biāo)準(zhǔn)報(bào)文信息為第一類報(bào)文信 息�,包括: 協(xié)議報(bào)文的協(xié)議字段; 協(xié)議報(bào)文的報(bào)文源IP地址��; 協(xié)議報(bào)文的目的IP地址���; 以及 于所述訪問控制表中���,針對(duì)所述自定義報(bào)文預(yù)設(shè)的所述標(biāo)準(zhǔn)報(bào)文信息而第二類報(bào)文信 息����,包括: 用戶可自行設(shè)置的預(yù)設(shè)偏移位置�����; 用戶可自行設(shè)置的預(yù)設(shè)數(shù)據(jù)長度����; 用戶可自行設(shè)置的匹配數(shù)據(jù)。3. 如權(quán)利要求1所述的報(bào)文轉(zhuǎn)發(fā)方法�,其特征在于�,所述步驟Sl具體包括: 步驟Sll,所述路由節(jié)點(diǎn)初始化交換通道���,以建立與所述路由控制端的數(shù)據(jù)傳輸通道�����; 步驟S12,所述路由節(jié)點(diǎn)通過所述數(shù)據(jù)傳輸通道��,將包括所述路由節(jié)點(diǎn)的節(jié)點(diǎn)信息的同 步消息報(bào)文發(fā)送至所述路由控制端����。4. 如權(quán)利要求1所述的報(bào)文轉(zhuǎn)發(fā)方法,其特征在于�����,于所述訪問控制表中定義有協(xié)議報(bào) 文和自定義報(bào)文����,以及分別定義關(guān)聯(lián)于所述協(xié)議報(bào)文的所述標(biāo)準(zhǔn)報(bào)文信息和關(guān)聯(lián)于所述自 定義報(bào)文的所述標(biāo)準(zhǔn)報(bào)文信息; 所述步驟S2中��,在所述路由控制端將關(guān)聯(lián)于所述報(bào)文的報(bào)文信息與所述訪問控制表進(jìn) 行匹配之前���,首先執(zhí)行下述步驟: 所述路由控制端判斷所述報(bào)文的類型: 若所述報(bào)文為所述協(xié)議報(bào)文�����,則所述路由控制端通過初步解析得到關(guān)聯(lián)于所述協(xié)議報(bào) 文的所述報(bào)文信息����; 若所述報(bào)文為所述自定義報(bào)文��,則所述路由控制端通過初步解析得到關(guān)聯(lián)于所述自定 義報(bào)文的所述報(bào)文信息�����; 關(guān)聯(lián)于所述協(xié)議報(bào)文的所述報(bào)文信息包括: 所述協(xié)議報(bào)文的協(xié)議字段; 所述協(xié)議報(bào)文的報(bào)文源IP地址���; 所述協(xié)議報(bào)文的目的IP地址��; 關(guān)聯(lián)于所述自定義報(bào)文的所述報(bào)文信息包括: 所述自定義報(bào)文的偏移位置�; 所述自定義報(bào)文的數(shù)據(jù)長度����; 根據(jù)所述偏移位置和所述數(shù)據(jù)長度獲得的所述自定義報(bào)文的承載數(shù)據(jù)。5. 如權(quán)利要求1所述的報(bào)文轉(zhuǎn)發(fā)方法�����,其特征在于����,所述協(xié)議狀態(tài)表中包括: 所述報(bào)文的控制通道源端口�����; 所述報(bào)文的控制通道目的端口���; 所述報(bào)文的數(shù)據(jù)通道源端口�;以及 所述報(bào)文的數(shù)據(jù)通道目的端口。6. 如權(quán)利要求5所述的報(bào)文轉(zhuǎn)發(fā)方法�,其特征在于,所述步驟S4中���,所述路由控制端根 據(jù)所述協(xié)議狀態(tài)表��,向所述路由節(jié)點(diǎn)下發(fā)相應(yīng)的轉(zhuǎn)發(fā)流表項(xiàng)��,并且: 根據(jù)所述控制通道源端口和所述控制通道目的端口��,轉(zhuǎn)發(fā)關(guān)聯(lián)于所述報(bào)文的控制報(bào) 文�;以及 根據(jù)所述數(shù)據(jù)通道源端口和所述數(shù)據(jù)通道目的端口����,轉(zhuǎn)發(fā)關(guān)聯(lián)于所述報(bào)文的數(shù)據(jù)報(bào) 文。7. 如權(quán)利要求1所述的報(bào)文轉(zhuǎn)發(fā)方法�����,其特征在于,執(zhí)行所述步驟S2之前����,首先執(zhí)行下 述步驟: 步驟S21��,所述路由控制器解析所述報(bào)文并分別得到關(guān)聯(lián)于每個(gè)所述路由節(jié)點(diǎn)的每個(gè) 端口的IP地址�����; 步驟S22,所述路由控制器判斷全網(wǎng)的所有所述路由節(jié)點(diǎn)中�����,是否存在相互沖突的所述 IP地址: 若不存在,則繼續(xù)執(zhí)行所述步驟S2; 步驟S23,于相互沖突的所述IP地址中����,所述路由控制器將關(guān)聯(lián)于最小序號(hào)的路由節(jié)點(diǎn) 的所述IP地址作為優(yōu)先地址并保留�����; 步驟S24,所述路由控制器將除去所述優(yōu)先地址的所有相互沖突的所述IP地址均設(shè)為 沖突地址�����,并分別通知每個(gè)關(guān)聯(lián)于所述沖突地址的所述路由節(jié)點(diǎn)修改相應(yīng)所述端口的所述 IP地址,并重新上報(bào)未匹配轉(zhuǎn)發(fā)流表的所述報(bào)文。8. -種路由節(jié)點(diǎn)�,其特征在于,采用如權(quán)利要求1-7所述的報(bào)文轉(zhuǎn)發(fā)方法�。9. 一種軟件定義網(wǎng)絡(luò)���,其特征在于��,采用如權(quán)利要求1-7所述的報(bào)文轉(zhuǎn)發(fā)方法��。
【文檔編號(hào)】H04L29/12GK105959222SQ201610260493
【公開日】2016年9月21日
【申請(qǐng)日】2016年4月25日
【發(fā)明人】翟躍
【申請(qǐng)人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司