一种感知网络安全设备的方法、网络安全设备及控制器的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域,尤其涉及一种感知网络安全设备的方法、网络安全设备及控制器。
【背景技术】
[0002]软件定义网络(SDN, Software Defined Network)就是将原有的网络中交换机或路由器中的控制功能分离出来,交由控制器(Controller)来完成,原有的交换机或是路由器,只负责标准化的数据转发功能,这样就实现了控制层面与数据层面的分离。用户可以在控制器上对其进行编程,从而实现用户自身需要的网络控制功能。
[0003]OpenFlow技术是目前SDN网络最为通用的一种实现。狭义的OpenFlow是指OpenFlow协议或者是OpenFlow网络架构,广义的OpenFlow是指OpenFlow标准。
[0004]在OpenFlow网络架构中,至少包括控制器和多个OpenFlow交换机(也就是原有网络中的交换机或者路由器)O OpenFlow协议用于描述控制器和OpenFlow交换机之间交互所用信息的标准,以及控制器和OpenFlow交换机的接口标准。
[0005]OpenFlow协议能够实现原有网络中交换机或者路由器的数据层面与控制层面的分离,能够在链路层和网络层对网络流量进行细粒度的全局智能控制,SDN网络架构在带来新的安全机遇的同时,也带来了新的安全问题。在OpenFlow网络架构中还包括网络安全设备,网络安全设备可以作为OpenFlow交换机的旁路设备,也可以作为至少两个OpenFlow交换机之间的直路设备,网络安全设备不与控制器相连接,要想实现对网络安全设备的全局智能控制,首先需要让控制器感知网络安全设备,而目前在SDN中并没有控制器如何感知网络安全设备的具体实现方式。
【发明内容】
[0006]本发明实施例提供一种感知网络安全设备的方法、网络安全设备及控制器,解决了现有技术无法实现控制器感知网络安全设备的问题。
[0007]第一方面,本发明提供了一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,包括:
[0008]网络安全设备接收链路层发现协议LLDP报文;
[0009]所述网络安全设备将所述网络安全设备的设备信息添加在所述LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。
[0010]通过上述实施例提供的方法,网络安全设备在接收到LLDP报文后,将网络安全设备的设备信息添加在接收到的LLDP报文中,然后将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过网络安全设备的设备信息感知到网络安全设备,进而达到了控制器感知网络安全设备的目的。
[0011]结合第一方面,在第一方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。
[0012]结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信息。
[0013]第二方面,本发明实施例提供了一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,包括:
[0014]控制器发送第一链路层发现协议LLDP报文;
[0015]所述控制器接收第二 LLDP报文,所述第二 LLDP报文是经过所述网络安全设备对所述第一 LLDP报文处理过的,所述第二 LLDP报文中包含所述网络安全设备的设备信息;
[0016]所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备。
[0017]通过上述实施例提供的方法,控制器先发送第一 LLDP报文,接收第二 LLDP报文,所述第二 LLDP报文是经过所述网络安全设备对所述第一 LLDP报文处理过的,所述第二LLDP报文中包含所述网络安全设备的设备信息;根据所述网络安全设备的设备信息,感知到所述网络安全设备。
[0018]结合第二方面,在第二方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息;
[0019]所述根据所述网络安全设备的设备信息,感知所述网络安全设备之后,所述方法还包括:
[0020]所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。
[0021]结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及保存所述网络安全设备在所述网络拓扑中的位置信息,包括:
[0022]所述控制器根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;
[0023]如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;
[0024]如果所述网络安全设备的连接类型是直路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一 LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号OpenFlow交换机的设备标识及端口编号。
[0025]第三方面,本发明实施例还提供一种网络安全设备,所述网络安全设备应用于软件定义网络SDN中,包括:
[0026]接收模块,用于接收链路层发现协议LLDP报文;
[0027]LLDP处理模块,用于将所述网络安全设备的设备信息添加在所述LLDP报文中;
[0028]发送模块,用于发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。
[0029]通过上述实施例提供的网络安全设备,在接收模块接收到LLDP报文后,LLDP模块将网络安全设备的设备信息添加在接收到的LLDP报文中,然后发送模块将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过网络安全设备的设备信息来感知所述网络安全设备。
[0030]结合第三方面,在第三方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。
[0031]结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信息。
[0032]第四方面,本发明实施例提供一种控制器,所述控制器应用于软件定义网络SDN中,包括:
[0033]发送模块,用于发送第一链路层发现协议LLDP报文;
[0034]接收模块,用于接收第二 LLDP报文,所述第二 LLDP报文是经过所述网络安全设备对所述第一 LLDP报文处理过的,所述第二 LLDP报文中包含网络安全设备的设备信息后的LLDP报文;
[0035]LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备。
[0036]结合第四方面,在第四方面的第一种可能的实现方式中,所述网络安全设备的设备信息包括所述网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息,所述LLDP处理模块还用于,根据所述网络安全设备的设备信息,感知所述网络安全设备之后,在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。
[0037]结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述LLDP处理模块还用于根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果所述网络安全设备的连接类型是直路设备,所述LLDP处理模块在所述网