CN104378298A - 一种流表条目生成方法及相应设备 - Google Patents
一种流表条目生成方法及相应设备 Download PDFInfo
- Publication number
- CN104378298A CN104378298A CN201310359664.2A CN201310359664A CN104378298A CN 104378298 A CN104378298 A CN 104378298A CN 201310359664 A CN201310359664 A CN 201310359664A CN 104378298 A CN104378298 A CN 104378298A
- Authority
- CN
- China
- Prior art keywords
- flow table
- address
- table entry
- entry
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000009471 action Effects 0.000 claims abstract description 61
- 238000013519 translation Methods 0.000 claims description 18
- 238000006243 chemical reaction Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 10
- 239000004973 liquid crystal related substance Substances 0.000 description 21
- 229920000642 polymer Polymers 0.000 description 21
- 230000006872 improvement Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000011160 research Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 208000033748 Device issues Diseases 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000000275 quality assurance Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流表条目生成方法及相应设备,所述方法应用于开放流(Openflow)转发设备,包括:接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;在接收到数据报文后,如果该数据报文匹配命中所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。本发明增强了Openflow协议的安全性,同时扩展了Openflow/SDN网络的应用场景和实用性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种流表条目生成方法及相应设备。
背景技术
基于TCP(Transmission Control Protocol,传输控制协议)/IP的当今Internet(互联网)经过四十多年的发展已取得巨大的成功,与人们息息相关,已成为工作、学习和生活必不可少的基础设施之一。TCP/IP式的互联网,因其设计之初的“网络/网络设备进行简单处理,复杂的处理交给主机端/侧”的分工与组织原则,形成了当今的互联网体系结构现状:主机侧的应用层协议可以很方便、灵活地进行修改和部署,应用层软件因此得到了突飞猛进地发展,应用层的功能因此得到了极大的丰富;与之形成鲜明对比的是网络层,网络层协议的设计虽然简单,但是可扩展性不强并且不易修改,造成:一方面,互联网网络层面暴露出的许多致命的漏洞长期难以得到修补和改进,如网络管理难以部署、网络安全问题日益严重、尽力而为的转发策略不能满足用户的服务质量要求、组播难以部署和应用等;另一方面,新协议、新应用由于对网络层提出变革要求而难以得到实现,如从IPv4向IPv6过渡困难、接入设备日益呈现泛在移动性与异质性对网络可靠性和区分服务能力提出挑战、大规模网络情况下路由面临可扩展性问题、云计算和内容分发等应用对网络转发效率提出新需求、TCP/IP之父Vinton G.Cerf也指出互联网应该在网络安全和网络可靠性方面做得更好(“安全性与可靠性是迈向未来互联网最基本的两个门槛,否则这个架构将无法存活”)等。因此互联网目前形成了一种“应用层灵活多变、百花齐放,网络层僵硬难变、漏洞百出”的尴尬局面。互联网要解决当前所面临的问题和尴尬局面,需要从网络体系结构、控制等层面深层次的进行探讨、研究和改革,才能全面迎接二十一世纪新的机遇和巨大的挑战。
对于如何解决当前互联网所面临的问题与挑战,国内外研究机构从互联网体系结构层面进行了大量积极的探索和研究。主要经历了两个阶段的发展,对互联网的改进可分为两类方式:演进式改进和革命性改进。
多年来,针对传统IP网络在服务质量保证、移动支持、高效可靠和安全保证等方面暴露出的许多问题,研究领域普遍采用设计针对性的修补方式来分别解决这些问题,一旦发现运行的网络的弱点或错误就立即改进,例如在传统互联网体系结构中添加新的协议和功能组件等。这种“修补->发现问题->再修改”的改进方式是以现有互联网TCP/IP体系结构为基础,对现有网络进行逐步演进和发展以添加新的功能和特性来解决目前面临的问题的方式,是一种Evolution(演进式)的改进方式。这种改进方式的优势在于易于部署和实施,有利于保护现有互联网建设中的已有投入。但是它的缺陷在于:(1)某次修补只是在小范围内解决局部的问题;(2)现有的改进可能引入短期收益,而从长期看则具有破坏性如NAT(Network Address Translation,网络地址转换),或者局部收益对整体有破坏性;(3)某次修补可能不容易“兼容”未来的继续修改;(4)经过多次修补,互联网变得越来越“厚重”、复杂、不灵活,超出了当初设计Internet的简单的体系结构的承受能力;(5)传统互联网体系结构中的一些固有问题难以得到根本性的解决。从2005年开始,研究领域逐渐形成了另一种观点,只有重新设计网络体系结构才能从根本上解决IP网络所面临的问题,而目前正是互联网体系结构“Clean-Slate”(从零开始)进行全面彻底变革的好时机,完全舍弃现有的互联网体系结构,设计一种全新的、融合多种设计目标的新一代互联网体系结构。这种方案旨在从根本上解决现有互联网体系结构存在的各种问题,是一种Revolution(革命性)的改进方案。这种方案的优势在于:(1)可以摆脱TPC/IP体系结构的束缚,跳出其约束与框架,以解决互联网多年来因体系结构造成的遗留难题;(2)可以对互联网进行重新、全面的设计,统筹解决互联网的诸多问题,统筹安排互联网的诸多新需求的实现。但是这种方案的缺陷在于:(1)由于全新网络可能不能兼容现有互联网,需要完全替换原有网络的基础设施,因此存在着网络部署和平滑过渡的问题;(2)如何建立新的体系结构以及建立了新的体系结构是否能解决当前和未来网络所面临的问题也存在很大风险;(3)需要重新构建适合全新体系结构的试验网络,演进代价高。
为了解决目前互联网存在的问题,实现对新网络协议快速、灵活的部署,开放可编程网络被提出。开放可编程网络是指允许网络研究者而不只是设备厂商,在网络设备上进行编程和管理其网络体系结构或网络协议。开放可编程式思路是革命性改进方案的代表性成果之一,基本可以概括为:将原来多张功能网络并存、整体的、复杂的MAN(Metropolitan Area Network,城域网)/WAN(Wide Area Network,广域网)网络或网络设备按功能进行划分,例如划分成数据转发部分和逻辑控制部分、或者系统核心部分和用户功能部分等。各部分之间的接口是开放的和标准的。基于这个开放和标准化的接口,每个部分都可以自我演进和改进而不需通知或影响其他部分,这样整个网络或网络设备也将实现独立、平滑演进和改进。开放可编程式思路面临的挑战在于:(1)网络分层需要具备一定的合理性、科学性和可扩展性;(2)定义科学、可扩展的分层间的接口;(3)控制层面如果采取集中管控方式,则需要考虑域间连接、可扩展性(如扩展到全球)等。
在开放可编程网络的研究方面,Berkeley(伯克利)大学的Scott Shenker等人提出的SDN(Software Defined Networking,软件定义网络)技术、Stanford(斯坦福)大学的OpenFlow(开放流协议)等技术是网络开放性研究的代表性成果。图1是SDN/OpenFlow技术的层次模型示意图,包含:基础设施层、网络控制层和应用层三个层次。SDN/OpenFlow网络中的基础设施层由1个以上的转发设备构成,转发设备相对当前网络中的路由器、交换机及各类网关来说结构更加简单、没有复杂的Control Plane(控制面),主要的工作是进行数据流的转发。网络控制层中的主要设备是网络操作系统(或称SDN/OpenFlow控制器),网络操作系统通过标准化的接口同时对多台转发设备进行控制,替代了原本独立于各台转发设备中的控制面、甚至当前的网络管理系统,可以实现网络管理和端到端的数据流规则下发(即向转发路径上的多台转发设备下发流规则),同时网络操作系统通过API(ApplicationProgramming Interface,应用程序编程接口)与应用层进行交互。应用层由不同应用构成,应用通过API接口能够直接调用网络控制层的网络管理和控制功能。
与其它革命性的改进技术的部署一样,运营商网络在向SDN/OpenFlow架构演进的过程中势必遇到各方面的问题,如安全性就是其中最重要的问题之一。此外,对各种现网技术的适配性也是衡量一项新技术是否符合网络发展趋势的重要指标。如图2所示,在实际的SDN/OpenFlow网络中,网络控制层设备(如SDN/OpenFlow控制器)和基础设施层设备(即转发设备)之间通过基于IP地址的通信协议消息进行交互(如OpenFlow协议),网络终端之间、网络终端和应用服务器之间、应用服务器和应用服务器之间的数据流量在转发设备间通过流表进行转发,每条流的流表均由SDN/OpenFlow控制器生成并下发给转发设备,转发设备对没有命中本转发设备当前存储的流表的数据报文统一上送给SDN/OpenFlow控制器进行流表的查询和生成,转发设备需要等待SDN/OpenFlow控制器下发新的流表才可以转发该数据报文。这种数据报文的转发模式带来了以下几个问题:
一、安全性问题:对于转发面攻击源(如恶意终端)发出的攻击SDN/OpenFlow控制器或攻击应用服务器的报文,转发设备在收到流表前会将所有攻击报文发送给SDN/OpenFlow控制器,如果攻击报文的发送频率较大,可能导致转发设备和SDN/OpenFlow控制器之间的路径拥塞,影响正常的转发设备和控制设备间的其它控制消息(如流表查询、配置下发等)的传递效率,且当前的流表下发机制无法实现在攻击报文抵达应用服务器前对应用服务器进行保护,即在应用服务器发现攻击并通过应用层与SDN/OpenFlow控制器之间的接口发送安全策略、SDN/OpenFlow控制器再形成新的流表下发给转发设备之前,攻击源针对应用服务器的所有攻击报文都将被发送给应用服务器;
二、适配性问题:对于NAT等业务场景,当前的流量上送、流表条目生成、流表条目下发模式的控制流程较长,对转发时延和效率影响较大。例如在NAT场景下,转发设备收到用户私网终端发出的数据报文后,对于没有命中本转发设备存储的流表条目的报文,需要首先发送给SDN/OpenFlow控制器,由SDN/OpenFlow控制器完成公网地址和端口号的指定、地址匹配关系及对应流表条目的生成以及流表条目的下发,在当前每个用户同时存在大量会话频繁生成和释放的场景(如P2P(Peer to Peer,对等网络)应用)而言转发效率较低,在未来IPv4/IPv6长期共存、私网IPv4地址长期大量存在的网络中,这种转发模式需要进一步优化。
发明内容
本发明提供了一种流表条目生成方法及相应设备,以在提升SDN/Openflow网络安全性的前提下提升报文转发模式的时效性和适配性。
为解决上述问题,本发明提供了一种流表条目生成方法,应用于开放流(Openflow)转发设备,包括:
接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;
在接收到数据报文后,如果所述数据报文匹配命中所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
进一步地,所述方法还包括:
将生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
进一步地,
所述将生成的所述流表条目通过所述流条目添加消息发送给所述Openflow控制器,具体包括:
所述Openflow转发设备通过所述流条目添加消息实时或批量发送所述流表条目的信息。
进一步地,所述方法还包括:
按照生成的所述流表条目对所述数据报文进行处理转发。
进一步地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
进一步地,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
进一步地,
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
进一步地,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
进一步地,所述方法还包括:
接收所述Openflow控制器发来的第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
进一步地,所述方法还包括:
根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
进一步地,
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
进一步地,所述方法还包括:
将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
此外,本发明还提供了一种流表条目生成方法,应用于开放流(Openflow)控制器,包括:
向Openflow转发设备发送引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID。
进一步地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
进一步地,所述方法还包括:
在接收到所述Openflow转发设备通过流条目添加消息发来的流表条目后,
所述Openflow控制器不回复所述流条目添加消息,表示接受所述Openflow转发设备根据所述流表模板生成的所述本地流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送更高优先级的流表条目。
进一步地,
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
进一步地,
所述私网地址网段包括:私网IP地址。
进一步地,所述方法还包括:
向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
相应地,本发明还提供了一种开放流(Openflow)转发设备,包括:
接收模块,用于接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;还用于接收数据报文;
生成模块,用于在所述接收模块接收到所述数据报文后,如果所述数据报文匹配命中所述接收模块接收到的所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
进一步地,所述设备还包括:
发送模块,用于将所述生成模块生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
进一步地,所述设备还包括:
发送模块,用于按照所生成模块生成的所述流表条目对所述数据报文进行处理转发。
进一步地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
进一步地,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
进一步地,
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
进一步地,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
进一步地,
所述接收模块还用于接收所述Openflow控制器发来的第二流表模板;
其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
进一步地,
所述生成模块还用于根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
进一步地,
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
进一步地,
所述发送模块还用于将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
相应地,本发明还提供了一种开放流(Openflow)控制器,包括:
存储模块,用于保存预配置的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;
发送模块,用于向Openflow转发设备发送所述存储模块保存的所述引导流表条目和流表模板。
进一步地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
进一步地,所述控制器还包括:
接收模块,用于接收所述Openflow转发设备通过流条目添加消息发来的流表条目;
所述发送模块,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送更高优先级的流表条目。
进一步地,
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
进一步地,
所述私网地址网段包括:私网IP地址。
进一步地,
所述发送模块还用于向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
本发明实现了在Openflow转发设备上根据流表条目模板生成流表条目的功能,增强了Openflow协议的安全性,同时扩展了Openflow/SDN网络的应用场景和实用性。
附图说明
图1是现有技术中SDN/OpenFlow网络的拓扑示意图;
图2是现有技术一种网络拓扑示意图;
图3是本发明实施例中流表条目生成方法流程示意图;
图4是本发明的第一实施例的拓扑示意图;
图5是本发明的第一实施例的流程图;
图6是本发明的第二实施例的拓扑示意图;
图7是本发明的第二实施例的流程图;
图8是本发明的第三实施例的拓扑示意图;
图9是本发明的第三实施例的流程图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在本实施例中,一种流表条目生成方法,应用于Openflow转发设备,如图3所示,包括:
接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的Action信息包括预设置的所述流表模板ID;
在接收到数据报文后,如果所述数据报文匹配命中所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
较佳地,所述方法还包括:
将生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
较佳地,
所述将生成的所述流表条目通过所述流条目添加消息发送给所述Openflow控制器,具体包括:
所述Openflow转发设备通过所述流条目添加消息实时或批量发送所述流表条目的信息。
较佳地,所述方法还包括:
按照生成的所述流表条目对所述数据报文进行处理转发。
较佳地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
较佳地,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
较佳地,
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
较佳地,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
较佳地,所述方法还包括:
接收所述Openflow控制器发来的第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
较佳地,所述方法还包括:
根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
较佳地,
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
较佳地,所述方法还包括:
将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
此外,本发明还提供了一种流表条目生成方法,应用于开放流(Openflow)控制器,包括:
向Openflow转发设备发送引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID。
较佳地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
较佳地,所述方法还包括:
在接收到所述Openflow转发设备通过流条目添加消息发来的流表条目后,
所述Openflow控制器不回复所述流条目添加消息,表示接受所述Openflow转发设备根据所述流表模板生成的所述本地流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送更高优先级的流表条目。
较佳地,
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
较佳地,
所述私网地址网段包括:私网IP地址。
较佳地,所述方法还包括:
向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
本实施例所述方法在二层网络设备不支持IPv6安全RA(RandomAccess,随机接入)特性的情况下,可实现对IPv6主机恶意发送RA消息造成网关欺骗行为的防范。
下面分别介绍本发明在不同应用场景下的三个实施例。
实施例一
以Openflow控制器的攻击防范、Openflow转发设备的硬件架构以ASIC转发平面和CPU控制平面的组合为例,组网示意图参见图4,详细流程如图5所示,包括:
步骤101:Openflow控制器配置本地安全策略,防范TCP半连接攻击;
步骤102:Openflow控制器根据本地安全策略向各Openflow转发设备发送引导流表条目X1和流表模板Y1。
较佳地,引导流表条目X1的匹配规则为目的地址为Openflow控制器的IP地址、报文类型为TCP或TCP SYN(synchronize,同步),引导流表条目的Action(动作)为查询流表模板Y1,流表模板Y1定义的流表条目生成规则为限制任一源IP地址向Openflow控制器发送的TCP或TCP SYN报文的速率。
较佳地,所述Openflow转发设备收到所述引导流表条目X1和流表模板Y1后,将引导流表条目X1下发到ASIC转发平面,将流表模板Y1保存在CPU控制平面。
步骤103:攻击源A1以一定速率向Openflow控制器发送TCP SYN报文,形成TCP半连接类型的网络攻击;
步骤104:Openflow转发设备接收到攻击源A1发送的第一个TCP SYN报文后,匹配流表命中引导流表条目X1后,根据X1的Action动作查询流表模板Y1,根据Y1定义的流表条目生成规则和所述攻击报文的源IP地址生成流表条目Z1;
较佳地,所述Openflow转发设备的ASIC转发平面命中所述引导流表条目X1后,向CPU控制平面上送该报文和该流表模板Y1的ID,CPU控制平面根据上述信息查询流表模板、根据流表模板定义的规则生成流表条目Z1并下发给ASIC转发平面。
较佳地,流表条目Z1的匹配规则包括:源IP地址为上述TCP SYN报文的源IP地址、目的IP地址为Openflow控制器的IP地址、报文类型为TCP或TCP SYN,Action动作为向Openflow控制器发送匹配该匹配规则的报文并限制报文的发送速率。
步骤105:Openflow转发设备根据流表条目Z1将所述攻击源A1发出的TCP SYN报文发送给Openflow控制器并限制该报文的发送速率,并向Openflow控制器发送流条目添加消息,将Z1定义的流表条目生成规则通知给Openflow控制器。
较佳地,若攻击源的发送速率高于流表条目Z1的限制速率,Openflow转发设备对超出速率的报文进行缓存或丢弃;
较佳地,Openflow控制器在收到所述TCP SYN报文后,若判断其为攻击报文,则向Openflow转发设备发送更高优先级的流表条目,该流表条目的匹配规则包括:源IP地址为上述TCP SYN报文的源IP地址、目的IP地址为Openflow控制器的IP地址、报文类型为TCP,Action动作为丢弃匹配该匹配规则的报文;Openflow转发设备在收到该流表条目,对后续收到的报文会优先采用该更高优先级的流表条目进行匹配。
此外,Openflow控制器在收到上述流条目添加消息后,将其中携带的Z1定义的流表条目生成规则进行保存,并可能下发给其他Openflow转发设备。
较佳地,流表模板的格式根据Openflow协议的版本不同略有区别,参考的实例格式如表1所示。
表1流表模板基本格式
其中,Flow Template Identifier表示流表模板的ID,其取值唯一;FlowTemplate Description是流表模板定义的流表条目生成规则;Counters为计数器,每根据该流表模板生成一个流表条目,可将该计数器的当前计数值加1。
实施例二
应用服务器的攻击防范,Openflow转发设备的硬件架构以多核CPU架构(控制核和转发核并存)为例。组网示意图参见图6,详细流程如图7所示,包括:
步骤201:应用服务器通过Openflow控制器的NBI(North BoundInterface,北向接口)向Openflow控制器发送安全需求;其中,该安全需求中可以但不限于包括以下几类信息:一类行为特征的流标识,例如TCP建链报文,TTL(Time To Live,生存时间)为0的报文;针对这类流需要设置的特性,例如基础限速值等;
步骤202:Openflow控制器根据应用服务器发来的安全需求向各Openflow转发设备发送引导流表条目X2和流表模板Y2;
较佳地,引导流表条目X2的匹配规则为目的地址为应用服务器地址、报文类型为TCP或TCP SYN,引导流表条目的Action动作为查询流表模板,流表模板Y2定义的流表条目生成规则为限制任一源IP地址向应用服务器发送的TCP或TCP SYN报文的速率。
较佳地,所述Openflow转发设备收到所述引导流表条目X2和流表模板Y2后,将所述引导流表条目X2下发到转发核,将所述流表模板Y2保存在控制核。
步骤203:终端用户A2以一定速率向应用服务器发送TCP报文;
步骤204:Openflow转发设备在接收到A2发送的第一个TCP报文后,匹配流表命中引导流表条目X2后,根据X2的Action动作查询流表模板Y2,根据Y2定义的流表条目生成规则和所述TCP报文的源IP地址生成流表条目Z2;
较佳地,所述Openflow转发设备的转发核命中所述引导流表条目X2后,向所述控制核发送查询消息并携带所述报文和所述流表模板Y2的ID,所述控制核根据上述信息查询所述流表模板Y2、据此生成所述流表条目Z2并下发给所述转发核。
较佳地,所述流表条目Z2的匹配规则包括:源IP地址为上述TCP报文的源IP地址、目的IP地址为应用服务器的IP地址、报文类型为TCP或TCPSYN,Action动作为通过对应出接口发送匹配所述匹配规则的报文并限制报文的发送速率;
步骤205:Openflow转发设备根据流表条目Z2将所述终端用户发出的TCP报文通过对应的出接口发出并限制该报文的发送速率,并向所述Openflow控制器发送流条目添加消息,其中携带所述流表条目Z2的信息。
较佳地,若攻击源的发送速率高于流表条目Z2的限制发送速率,Openflow转发设备对超出速率的报文进行缓存/或丢弃。
较佳地,所述终端用户与所述应用服务器间有多台Openflow转发设备,则其他Openflow转发设备对所述TCP报文的转发过程与步骤201~205相同或Openflow控制器在预知攻击源的情况下发送优先级更高的精确流表条目来限速。
步骤206,应用服务器接收到所述终端用户发出的所述TCP报文后,判断该终端用户发送的是普通TCP报文或攻击报文和/或判断所述终端用户的身份信息。
较佳地,在应用服务器和终端用户间进行鉴权的报文交互过程中,应用服务器发向终端用户发送的数据报文根据Openflow管道的流表信息转发,由Openflow控制器向沿途的Openflow转发设备发送对应的流表条目。
步骤207,应用服务器根据所述TCP报文类型和/或对所述终端用户的鉴权结果向所述Openflow控制器发送授权信息。若应用服务器判断出所述TCP报文是普通TCP报文和/或判断出所述终端用户为合法用户,则要求所述Openflow控制器取消或放宽对所述TCP报文的速率限制;若判断出所述TCP报文为TCP半连接攻击报文,则要求所述Openflow控制器下发流表条目要求Openflow转发设备惩罚性丢弃所述终端用户向所述应用服务器发送的TCP报文;
步骤208,所述Openflow控制器根据所述应用服务器的授权信息向所述Openflow转发设备发送控制消息,要求所述Openflow转发设备删除上述生成的流表条目Z2或向所述Openflow转发设备发送更高优先级的流表条目;
步骤209,所述Openflow转发设备根据所述Openflow控制器发送的控制消息进行流表条目操作和流量转发。
较佳地,根据应用服务器的授权信息的不同,所述更高优先级的流表条目包括不限制所述TCP报文的发送速率和按需修改对所述TCP报文的发送速率的限速参数。
实施例三
网络地址转换会话表的快速生成,Openflow转发设备的硬件架构以OF(Openflow的简称)转发面和OF-Agent(代理)的组合为例。组网示意图参见图8,详细流程如图9所示,包括:
步骤301:Openflow控制器根据本地配置规则或应用需求配置用户的NAT公网地址池、端口号段和匹配规则;
较佳地,所述应用需求包括:用户私网主机的公网地址转换需求和/或匹配规则需求,用户可通过特定的NAT应用向Openflow控制器的北向接口发送所述需求;
步骤302:Openflow控制器根据应用服务器的安全需求向对应的Openflow转发设备发送引导流表条目X3和流表模板Y3-0及Y3-1(其中,Y3-0和Y3-1级联);
较佳地,引导流表条目X3的匹配规则包括源地址为用户的私网地址或网段和用户侧接口信息,引导流表条目的Action动作为查询流表模板,流表模板Y3-0定义的流表条目生成规则包括:用户的NAT公网地址池及为所述用户的分配一个流表(表示用户发往网络侧地址的报文的地址转换规则),流表模板Y3-1定义的流表条目生成规则包括:为所述用户分配另一个流表条目(表示由网络侧地址向用户发送报文的地址转换规则);
较佳地,所述Openflow转发设备收到所述引导流表条目X3和流表模板Y3-0、Y3-1后,将所述引导流表条目X3下发到OF转发面,将所述流表模板Y3-0、Y3-1保存在OF-Agent;
步骤303:私网主机A3以一定速率向网络侧设备发送UDP(UserDatagram Protocol,用户数据报协议)报文;
步骤304:Openflow转发设备接收到A3发送的第一个UDP报文后,匹配流表命中引导流表条目X3后,根据X3的Action动作查询流表模板Y3-0,根据Y3-0定义的流表条目生成规则和所述报文信息为该私网主机A3分配一个公网IP地址、或一个公网IP地址及端口号,并生成流表条目Z31(对应用户发往网络侧地址的报文地址转换规则)。因为Y3-0级联了流表模板Y3-1,Y3-0,在生成Z31的同时填充了Y3-0、Y3-1约定格式的metadata(元数据),生成Z31后,将报文继续交由Y3-1进行处理。根据Y3-1定义的流表条目生成规则和所述报文信息以及所述元数据生成Z32(对应网络侧地址发送用户的报文地址转换规则)。
较佳地,所述Openflow转发设备的OF转发面命中所述引导流表条目X3后,向所述OF-Agent发送查询消息并携带所述报文和所述流表模板Y3-0的ID,所述OF-Agent根据上述信息查询所述流表模板和/或级联的流表模板、分配公网IP地址或分配公网IP地址及端口号,并生成所述流表条目Z31和Z32发送给所述OF转发面。
较佳地,所述流表条目Z31的匹配规则包括:源IP地址、源端口号、报文类型,Action动作为将源IP地址转换为分配的公网IP地址,还有可能将源端口转换为分配的端口号,并通过对应出接口发送转换后的报文。
较佳地,所述流表条目Z32的匹配规则包括:目的IP地址、目的端口号、报文类型,Action动作为将目的IP地址转换为分配的公网IP地址,还有可能就将目的端口转换为分配的端口号,并通过对应出接口发送转换后的报文。
步骤305:Openflow转发设备根据流表条目Z31和Z32将A3和网络侧设备间的TCP/UDP报文执行NAT动作并通过对应的出接口转发,并通过流条目添加消息向所述Openflow控制设备发送Z31和Z32的信息。
较佳地,所述流表条目Z31和Z32老化后,Openflow转发设备回收对应的公网地址和/或端口号。
较佳地,对于同时生成2个以上流表条目的情况,可选采用流表模板级联的方式实现,生成流表条目的同时生成级联流表模板间的meta数据,主要用于流表模板级联时的处理。
较佳地,流表模板的描述方式根据描述手段的不同有区别,以XML为例,在本实施例的NAT应用场景为例,如果在OpenFlow协议中扩展实现,需要转换成对应的数据结构。
在上述示例中,flow-template-entry的id是流表模板的ID标识;table-id表示该流表模板为该表ID标识的流表生成条目;cascade-template-id表示该流表模板级联一个指定ID的流表模板;Out-meta/In-mate表示级联的两个流表模板传递的中间数据的格式定义
本发明的Openflow转发设备的硬件架构和各实施例的应用场景可以根据实际环境的需要自由组合,所述硬件架构保全但不限于上述实施例中的几种类型。
相应地,本实施例中,一种开放流(Openflow)转发设备,包括:
接收模块,用于接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;还用于接收数据报文;
生成模块,用于在所述接收模块接收到所述数据报文后,如果所述数据报文匹配命中所述接收模块接收到的所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
较佳地,所述设备还包括:
发送模块,用于将所述生成模块生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
较佳地,所述设备还包括:
发送模块,用于按照所生成模块生成的所述流表条目对所述数据报文进行处理转发。
较佳地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
较佳地,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
较佳地,
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
较佳地,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
较佳地,
所述接收模块还用于接收所述Openflow控制器发来的第二流表模板;
其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
较佳地,
所述生成模块还用于根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
较佳地,
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
较佳地,
所述发送模块还用于将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
相应地,一种开放流(Openflow)控制器,包括:
存储模块,用于保存预配置的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;
发送模块,用于向Openflow转发设备发送所述存储模块保存的所述引导流表条目和流表模板。
较佳地,
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
较佳地,所述控制器还包括:
接收模块,用于接收所述Openflow转发设备通过流条目添加消息发来的流表条目;
所述发送模块,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送更高优先级的流表条目。
较佳地,
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
较佳地,
所述私网地址网段包括:私网IP地址。
较佳地,
所述发送模块还用于向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上所述仅为本发明的优选实施例而已,并非用于限定本发明的保护范围。根据本发明的发明内容,还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (35)
1.一种流表条目生成方法,应用于开放流(Openflow)转发设备,包括:
接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;
在接收到数据报文后,如果所述数据报文匹配命中所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
2.如权利要求1所述的方法,其特征在于,还包括:
将生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
3.如权利要求2所述的方法,其特征在于:
所述将生成的所述流表条目通过所述流条目添加消息发送给所述Openflow控制器,具体包括:
所述Openflow转发设备通过所述流条目添加消息实时或批量发送所述流表条目的信息。
4.如权利要求1~3中任意一项所述的方法,其特征在于,还包括:
按照生成的所述流表条目对所述数据报文进行处理转发。
5.如权利要求1~3中任意一项所述的方法,其特征在于:
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
6.如权利要求5所述的方法,其特征在于:
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
7.如权利要求1~3中任意一项所述的方法,其特征在于:
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
8.如权利要求7所述的方法,其特征在于:
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
9.如权利要求8所述的方法,其特征在于,还包括:
接收所述Openflow控制器发来的第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
10.如权利要求9所述的方法,其特征在于,还包括:
根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
11.如权利要求7、8或10所述的方法,其特征在于:
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
12.如权利要求10所述的方法,其特征在于,还包括:
将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
13.一种流表条目生成方法,应用于开放流(Openflow)控制器,包括:
向Openflow转发设备发送引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID。
14.如权利要求13所述的方法,其特征在于:
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
15.如权利要求13所述的方法,其特征在于,还包括:
在接收到所述Openflow转发设备通过流条目添加消息发来的流表条目后,
所述Openflow控制器不回复所述流条目添加消息,表示接受所述Openflow转发设备根据所述流表模板生成的所述本地流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,
所述Openflow控制器向所述Openflow转发设备发送更高优先级的流表条目。
16.如权利要求13所述的方法,其特征在于:
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
17.如权利要求16所述的方法,其特征在于:
所述私网地址网段包括:私网IP地址。
18.如权利要求16所述的方法,其特征在于,还包括:
向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
19.一种开放流(Openflow)转发设备,包括:
接收模块,用于接收Openflow控制器发来的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;还用于接收数据报文;
生成模块,用于在所述接收模块接收到所述数据报文后,如果所述数据报文匹配命中所述接收模块接收到的所述引导流表条目,则根据所述引导流表条目的Action信息中预设置的所述流表模板ID查找对应的流表模板,并根据所述对应的流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目。
20.如权利要求19所述的设备,其特征在于,还包括:
发送模块,用于将所述生成模块生成的所述流表条目通过扩展的流条目添加消息发送给所述Openflow控制器。
21.如权利要求19或20所述的设备,其特征在于,还包括:
发送模块,用于按照所生成模块生成的所述流表条目对所述数据报文进行处理转发。
22.如权利要求19或20所述的设备,其特征在于:
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的目的地址为所述受保护设备的IP地址。
23.如权利要求22所述的设备,其特征在于:
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:源IP地址为所述数据报文的源IP地址、目的IP地址为所述受保护设备的IP地址,Action信息为向所述受保护设备发送与本匹配规则相匹配的数据报文并利用测量表条目限制发送速率。
24.如权利要求19或20所述的设备,其特征在于:
所述引导流表条目的匹配规则包括源地址为一类用户的私网地址网段;
所述数据报文匹配命中所述引导流表条目,具体包括:
所述数据报文的源地址为所述私网地址网段中的一个。
25.如权利要求24所述的设备,其特征在于:
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则;
所述生成模块用于根据所述流表模板定义的流表条目生成规则和所述数据报文的关键字段信息生成流表条目,具体包括:
所述生成模块用于生成所述流表条目;其中,所述流表条目的匹配规则包括:所述数据报文的私网地址,Actions包括将所述私网地址转换为分配的公网地址,并通过对应出接口发送转换后的报文。
26.如权利要求25所述的设备,其特征在于:
所述接收模块还用于接收所述Openflow控制器发来的第二流表模板;
其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
27.如权利要求26所述的设备,其特征在于:
所述生成模块还用于根据生成的所述流表条目,结合所述第二流表模板生成所述第二流表条目;
其中,所述第二流表条目的匹配规则包括:所述分配的公网地址,Action信息为将所述公网地址转换为对应的私网地址,并通过对应出接口发送转换后的报文。
28.如权利要求24、25或27所述的设备,其特征在于:
所述私网地址包括:私网IP地址;
所述公网地址包括:公网IP地址,或者,公网IP地址及端口信息。
29.如权利要求28所述的设备,其特征在于:
所述发送模块还用于将生成的所述第二流表条目通过流条目添加消息发送给所述Openflow控制器。
30.一种开放流(Openflow)控制器,包括:
存储模块,用于保存预配置的引导流表条目和流表模板;其中,所述引导流表条目的动作(Action)信息包括预设置的所述流表模板ID;
发送模块,用于向Openflow转发设备发送所述存储模块保存的所述引导流表条目和流表模板。
31.如权利要求30所述的控制器,其特征在于:
所述引导流表条目的匹配规则包括:目的地址为受保护设备的IP地址;和/或,
所述流表模板定义的流表条目生成规则为对任一源IP地址向所述受保护设备发送的报文进行限速。
32.如权利要求30所述的控制器,其特征在于,还包括:
接收模块,用于接收所述Openflow转发设备通过流条目添加消息发来的流表条目;
所述发送模块,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送拒绝消息,要求所述Openflow转发设备删除根据所述流表模板生成的所述流表条目;或者,还用于在接收模块接收到所述流表条目后,向所述Openflow转发设备发送更高优先级的流表条目。
33.如权利要求30所述的控制器,其特征在于:
所述引导流表条目的匹配规则包括源地址为用户的私网地址网段;和/或,
所述流表模板定义的流表条目生成规则为由用户侧发往网络侧的报文的地址转换规则。
34.如权利要求33所述的控制器,其特征在于:
所述私网地址网段包括:私网IP地址。
35.如权利要求33所述的控制器,其特征在于:
所述发送模块还用于向所述Openflow转发设备发送第二流表模板;其中,所述第二流表模板与所述流表模板级联,所述第二流表模板定义的流表条目生成规则为由网络侧发往所述用户侧的报文的地址转换规则。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310359664.2A CN104378298A (zh) | 2013-08-16 | 2013-08-16 | 一种流表条目生成方法及相应设备 |
| PCT/CN2014/078406 WO2014177097A1 (zh) | 2013-08-16 | 2014-05-26 | 一种流表条目生成方法及相应设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310359664.2A CN104378298A (zh) | 2013-08-16 | 2013-08-16 | 一种流表条目生成方法及相应设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104378298A true CN104378298A (zh) | 2015-02-25 |
Family
ID=51843172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310359664.2A Withdrawn CN104378298A (zh) | 2013-08-16 | 2013-08-16 | 一种流表条目生成方法及相应设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104378298A (zh) |
| WO (1) | WO2014177097A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827629A (zh) * | 2016-05-04 | 2016-08-03 | 王燕清 | 云计算环境下软件定义安全导流装置及其实现方法 |
| CN106330649A (zh) * | 2015-06-18 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
| WO2017088780A1 (zh) * | 2015-11-27 | 2017-06-01 | 新华三技术有限公司 | 软件定义网络的表项生成以及报文转发 |
| CN106878178A (zh) * | 2015-12-11 | 2017-06-20 | 中国电信股份有限公司 | 流表下发方法、系统及控制器 |
| CN106911595A (zh) * | 2017-03-22 | 2017-06-30 | 新华三技术有限公司 | 一种Openflow消息执行方法及装置 |
| CN106936716A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种ttp解析转换方法、转发表项发送方法及装置 |
| CN107172120A (zh) * | 2017-03-27 | 2017-09-15 | 联想(北京)有限公司 | 信息处理方法、处理节点及网络节点 |
| WO2017206841A1 (zh) * | 2016-05-30 | 2017-12-07 | 华为技术有限公司 | 一种网络设备的服务质量检测方法和装置 |
| CN108810182A (zh) * | 2018-04-28 | 2018-11-13 | 深圳市德赛微电子技术有限公司 | 一种基于openflow系统的NAT流表动态学习及配置方法 |
| CN109379163A (zh) * | 2018-09-05 | 2019-02-22 | 新华三技术有限公司 | 一种报文转发速率控制方法及装置 |
| CN109450798A (zh) * | 2018-12-13 | 2019-03-08 | 郑州云海信息技术有限公司 | 路由表信息的管理方法和计算机可读存储介质 |
| CN110166360A (zh) * | 2019-05-27 | 2019-08-23 | 盛科网络(苏州)有限公司 | 基于OpenFlow交换机的MPLS-TP APS实现方法及系统 |
| WO2020207105A1 (zh) * | 2019-04-10 | 2020-10-15 | 中兴通讯股份有限公司 | 目的报文的确定方法及装置、存储介质、电子装置 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591805B (zh) * | 2015-09-28 | 2018-10-26 | 新华三技术有限公司 | 一种修改服务链配置的方法和装置 |
| US20180287932A1 (en) * | 2015-09-30 | 2018-10-04 | Hewlett-Packard Enterprise Development L.P. | Identification of an sdn action path based on a measured flow rate |
| US9893997B2 (en) * | 2016-04-07 | 2018-02-13 | Nxp Usa,Inc. | System and method for creating session entry |
| US10440058B2 (en) | 2016-06-09 | 2019-10-08 | LGS Innovations LLC | Methods and systems for controlling traffic to VPN servers |
| US10637890B2 (en) | 2016-06-09 | 2020-04-28 | LGS Innovations LLC | Methods and systems for establishment of VPN security policy by SDN application |
| CN107566278B (zh) * | 2016-07-01 | 2021-12-21 | 中兴通讯股份有限公司 | 传输方法、装置及系统 |
| CN109600318B (zh) * | 2018-11-29 | 2022-07-12 | 新华三技术有限公司合肥分公司 | 一种监控sdn中应用程序的方法及sdn控制器 |
| CN111510329B (zh) * | 2020-04-10 | 2023-07-07 | 全球能源互联网研究院有限公司 | 一种电力sdn控制器中处理报文的方法及流表匹配模块 |
| CN114827044B (zh) * | 2022-04-27 | 2023-12-26 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| CN102769576A (zh) * | 2012-08-17 | 2012-11-07 | 北京傲天动联技术有限公司 | 流表自学习方法、报文转发方法和交换机 |
| US20130044636A1 (en) * | 2011-08-17 | 2013-02-21 | Teemu Koponen | Distributed logical l3 routing |
| CN103023826A (zh) * | 2012-12-26 | 2013-04-03 | 华中科技大学 | 一种OpenFlow控制器的路由控制方法 |
| CN103067534A (zh) * | 2012-12-26 | 2013-04-24 | 中兴通讯股份有限公司 | 一种NAT实现系统、方法及Openflow交换机 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010103909A1 (ja) * | 2009-03-09 | 2010-09-16 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
| CN103166866B (zh) * | 2011-12-12 | 2016-08-03 | 华为技术有限公司 | 生成表项的方法、接收报文的方法及相应装置和系统 |
| CN103428094B (zh) * | 2013-08-12 | 2016-08-17 | 杭州华三通信技术有限公司 | 开放流OpenFlow系统中的报文转发方法及装置 |
-
2013
- 2013-08-16 CN CN201310359664.2A patent/CN104378298A/zh not_active Withdrawn
-
2014
- 2014-05-26 WO PCT/CN2014/078406 patent/WO2014177097A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255909A (zh) * | 2011-07-11 | 2011-11-23 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
| US20130044636A1 (en) * | 2011-08-17 | 2013-02-21 | Teemu Koponen | Distributed logical l3 routing |
| CN102769576A (zh) * | 2012-08-17 | 2012-11-07 | 北京傲天动联技术有限公司 | 流表自学习方法、报文转发方法和交换机 |
| CN103023826A (zh) * | 2012-12-26 | 2013-04-03 | 华中科技大学 | 一种OpenFlow控制器的路由控制方法 |
| CN103067534A (zh) * | 2012-12-26 | 2013-04-24 | 中兴通讯股份有限公司 | 一种NAT实现系统、方法及Openflow交换机 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330649B (zh) * | 2015-06-18 | 2019-08-02 | 新华三技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
| CN106330649A (zh) * | 2015-06-18 | 2017-01-11 | 杭州华三通信技术有限公司 | 一种跨软件定义网络的数据报文转发方法和装置 |
| WO2017088780A1 (zh) * | 2015-11-27 | 2017-06-01 | 新华三技术有限公司 | 软件定义网络的表项生成以及报文转发 |
| US10833988B2 (en) | 2015-11-27 | 2020-11-10 | New H3C Technologies Co., Ltd. | Generating table entry and forwarding packet in software defined network |
| CN106878178A (zh) * | 2015-12-11 | 2017-06-20 | 中国电信股份有限公司 | 流表下发方法、系统及控制器 |
| CN106936716A (zh) * | 2015-12-31 | 2017-07-07 | 华为技术有限公司 | 一种ttp解析转换方法、转发表项发送方法及装置 |
| CN105827629A (zh) * | 2016-05-04 | 2016-08-03 | 王燕清 | 云计算环境下软件定义安全导流装置及其实现方法 |
| CN105827629B (zh) * | 2016-05-04 | 2018-08-03 | 王燕清 | 云计算环境下软件定义安全导流装置及其实现方法 |
| WO2017206841A1 (zh) * | 2016-05-30 | 2017-12-07 | 华为技术有限公司 | 一种网络设备的服务质量检测方法和装置 |
| US11095546B2 (en) | 2016-05-30 | 2021-08-17 | Huawei Technologies Co., Ltd. | Network device service quality detection method and apparatus |
| CN106911595A (zh) * | 2017-03-22 | 2017-06-30 | 新华三技术有限公司 | 一种Openflow消息执行方法及装置 |
| CN107172120A (zh) * | 2017-03-27 | 2017-09-15 | 联想(北京)有限公司 | 信息处理方法、处理节点及网络节点 |
| CN107172120B (zh) * | 2017-03-27 | 2022-06-28 | 联想(北京)有限公司 | 信息处理方法、处理节点及网络节点 |
| CN108810182A (zh) * | 2018-04-28 | 2018-11-13 | 深圳市德赛微电子技术有限公司 | 一种基于openflow系统的NAT流表动态学习及配置方法 |
| CN109379163A (zh) * | 2018-09-05 | 2019-02-22 | 新华三技术有限公司 | 一种报文转发速率控制方法及装置 |
| CN109379163B (zh) * | 2018-09-05 | 2021-11-23 | 新华三技术有限公司 | 一种报文转发速率控制方法及装置 |
| CN109450798A (zh) * | 2018-12-13 | 2019-03-08 | 郑州云海信息技术有限公司 | 路由表信息的管理方法和计算机可读存储介质 |
| WO2020207105A1 (zh) * | 2019-04-10 | 2020-10-15 | 中兴通讯股份有限公司 | 目的报文的确定方法及装置、存储介质、电子装置 |
| CN110166360A (zh) * | 2019-05-27 | 2019-08-23 | 盛科网络(苏州)有限公司 | 基于OpenFlow交换机的MPLS-TP APS实现方法及系统 |
| CN110166360B (zh) * | 2019-05-27 | 2021-04-20 | 盛科网络(苏州)有限公司 | 基于OpenFlow交换机的MPLS-TP APS实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014177097A1 (zh) | 2014-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104378298A (zh) | 一种流表条目生成方法及相应设备 | |
| US9455956B2 (en) | Load balancing in a network with session information | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| US10623308B2 (en) | Flow routing system | |
| US9197568B2 (en) | Method for providing quality of service in software-defined networking based network and apparatus using the same | |
| EP2656559B1 (en) | Method and apparatus for applying client associated policies in a forwarding engine | |
| EP2773073B1 (en) | Entry generation method, message receiving method, and corresponding device and system | |
| US20190281085A1 (en) | Dynamic device isolation in a network | |
| CN104821890A (zh) | 一种基于普通交换芯片的OpenFlow多级流表的实现方法 | |
| CN107800626B (zh) | 数据报文的处理方法、装置及设备 | |
| JP7216120B2 (ja) | Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス | |
| US9647876B2 (en) | Linked identifiers for multiple domains | |
| Lee | Enhanced IP services for cisco networks | |
| Ohtani et al. | VCCN: Virtual content-centric networking for realizing group-based communication | |
| US20170237691A1 (en) | Apparatus and method for supporting multiple virtual switch instances on a network switch | |
| WO2014153758A1 (zh) | 一种报文传输的方法与交换设备和控制器 | |
| JP2017208718A (ja) | 通信装置および通信方法 | |
| WO2012075768A1 (zh) | 身份位置分离网络的监听方法和系统 | |
| Tariq et al. | Cbam: A controller based broadcast storm avoidance mechanism in sdn based ndn-iots | |
| JP5152835B2 (ja) | 多重アクセス装置 | |
| WO2012075770A1 (zh) | 身份位置分离网络的阻断方法和系统 | |
| CN115622872A (zh) | 虚拟路由器流处理系统及方法 | |
| RU181257U1 (ru) | Межсетевой экран на основе кластеризации данных | |
| Vassilakis et al. | Calculating distributed denial of service attack probability in bloom-filter based information-centric networks | |
| Sun et al. | A Collaborated IPv6-Packets Matching Mechanism Base on Flow Label in OpenFlow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20150225 |
|
| WW01 | Invention patent application withdrawn after publication |