络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一 LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号。
[0038]通过上述实施例提供的控制器,发送模块发送第一 LLDP报文,接收模块接收第二LLDP报文,该第二 LLDP报文是经过网络安全设备对LLDP报文处理过的,且该第二 LLDP报文中包含所述网络安全设备的设备信息,LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备。从而而达到了感知网络安全设备的目的。
【附图说明】
[0039]图1为本发明实施例提供的一种感知网络安全设备的方法;
[0040]图2为本发明实施例提供的LLDP报文的格式;
[0041 ]图3为本发明实施例提供的LLDPU的格式;
[0042]图4为本发明实施例提供的TLV的格式;
[0043]图5为本发明实施例提供的另一种感知网络安全设备的方法;
[0044]图6为本发明实施例提供的添加了网络安全设备的设备信息后的LLDP报文的格式;
[0045]图7为本发明实施例提供的网络安全设备的示意图;
[0046]图8为本发明实施例提供的控制器的示意图;
[0047]图9为本发明实施例提供的另一种网络安全设备的示意图;
[0048]图10为本发明实施例提供的另一种控制器的示意图。
【具体实施方式】
[0049]本发明实施例提供了一种感知网络安全设备的方法、网络安全设备及控制器,该方法、网络安全设备及控制器应用于软件定义网络(SDN, Software Defined Network)中,解决了现有技术无法实现控制器感知网络安全设备的问题。
[0050]下面结合附图对本发明实施例作进一步说明。
[0051]本发明实施例提供了一种感知网络安全设备的方法,如图1所示,该方法可以由网络安全设备执行,该方法包括:
[0052]步骤101:网络安全设备接收链路层发现协议(LLDP)报文。
[0053]其中,该LLDP报文是OpenFlow交换机向网络安全设备发送的。
[0054]步骤102:网络安全设备将网络安全设备的设备信息添加在该LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过该LLDP报文中网络安全设备的设备信息来感知网络安全设备。
[0055]其中,网络安全设备将自身的设备信息添加在该LLDP报文中,并将添加其自身的设备信息的LLDP报文发送给OpenFlow交换机。该OpenFlow交换机可以与控制器直接相连,也可以通过其它OpenFlow交换机与控制器相连。在与控制器直接相连的OpenFlow交换机接收到该LLDP报文后,将该LLDP报文发送给控制器,从而控制器在接收到该LLDP报文时,通过该LLDP报文中网络安全设备的设备信息来感知网络安全设备。
[0056]通过本发明提供的方法,网络安全设备在接收到LLDP报文后,将自身的设备信息添加在接收到的LLDP报文中,然后将经过添加网络安全设备的设备信息后的LLDP报文发送至控制器,从而使得控制器在接收到该LLDP报文后,能够通过LLDP报文中网络安全设备的设备信息感知到网络安全设备。
[0057]可选的,网络安全设备的设备信息包括:网络安全设备的设备标识信息。
[0058]网络安全设备的设备信息还可以包括以下至少一项:网络安全设备的设备类型信息,网络安全设备的连接类型信息等等。其中,网络安全设备的连接类型包括:网络安全设备是OpenFlow交换机的旁路设备,或者网络安全设备是串联在两个OpenFlow交换机之间的直路设备。
[0059]下面结合具体应用场景对本发明实施例进行具体说明。
[0060]假设有第一 OpenFlow交换机和第二 OpenFlow交换机,这两个OpenFlow交换机相连接,且分别与控制器连接(控制器能够感知到该与控制器直接相连的第一 OpenFlow交换机和第二 OpenFlow交换机)。两个交换机之间串联有网络安全设备,即网络安全设备作为直路设备,该网络安全设备既有入端口也有出端口。其它更为复杂的结构,比如网络安全设备是三个或三个以上的OpenFlow交换机之间串联的链路的直路设备,也可以参照以下实现方式进行实施。
[0061]具体的,控制器在感知到第一 OpenFlow交换机后,第一 OpenFlow交换机将其使能端口报告给控制器。控制器向第一 OpenFlow交换机发送封装有LLDP报文的Packet_out消息,其中Packet_out是OpenFlow协议的一种消息类型,该Packet_out消息的消息头中携带端口指示信息,该端口指示信息用于指示第一 OpenFlow交换机从哪个使能端口发送该LLDP报文。第一 OpenFlow交换机在接收到Packet_0ut消息后,将LLDP报文从消息头中的端口指示信息指示的使能端口发送,若该使能端口与网络安全设备连接,则网络安全设备从器入端口接收该LLDP报文。
[0062]网络安全设备在接收到该LLDP报文后,将其自身的设备信息添加在LLDP报文中。
[0063]该网络安全设备是串联在第一 OpenFlow交换机和第二 OpenFlow交换机之间的直路设备,网络安全设备将添加自身的设备信息的LLDP报文从其出端口发送给第二OpenFlow交换机。第二 OpenFlow交换机在接收到LLDP报文后,会根据预设规则,将该LLDP报文封装在Packet_in消息(Packet_in是OpenFlow协议的一种消息类型)中发送给控制器,从而控制器在接收到添加网络安全设备的设备信息的LLDP报文后,通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
[0064]对于网络安全设备串联在第一 OpenFlow交换机和第二 OpenFlow交换机之间的情况,网络安全设备无需与控制器之间建立安全通道,而是通过两个OpenFlow交换机与控制器之间的安全通道,就能够实现控制器感知到网络安全设备。
[0065]假设控制器连接有第一 OpenFlow交换机,第一 OpenFlow交换机连接有网络安全设备,且网络安全设备作为第一 OpenFlow交换机的旁路设备,该网络安全设备仅有一个端口,可以称为入端口。
[0066]具体的,控制器在感知到第一 OpenFlow交换机后,第一 OpenFlow交换机将其使能端口报告给控制器。控制器向第一 OpenFlow交换机发送封装有LLDP报文的Packet_out消息,该Packet_out消息的消息头中携带端口指示信息,该端口指示信息用于指示第一OpenFlow交换机从哪个使能端口发送该LLDP报文。第一 OpenFlow交换机在接收到Packet_out消息后,将LLDP报文从消息头中的端口指示信息指示的使能端口发送,若该使能端口与网络安全设备连接,则网络安全设备从其入端口接收该LLDP报文。
[0067]网络安全设备在接收到该LLDP报文后,将自身的设备信息添加在LLDP报文中。
[0068]该网络安全设备是第一 OpenFlow交换机的旁路设备,网络安全设备将添加自身的设备信息的LLDP报文从其入端口发送给第一 OpenFlow交换机。第一 OpenFlow交换机在接收到LLDP报文后,将该LLDP报文封装在Packet_in消息中发送给控制器,从而控制器在接收到添加网络安全设备的设备信息的LLDP报文后,通过LLDP报文中网络安全设备的设备信息来感知网络安全设备。
[0069]对于网络安全设备是第一 OpenFlow交换机的旁路设备的情况,网络安全设备无需与控制器之间建立安全通道,而是通过第一 OpenFlow交换机与控制器之间的安全通道,就能够实现控制器感知到网络安全设备。
[0070]上述网络安全设备将自身的设备信息添加在LLDP报文中,具体是将自身的设备信息添加在LLDP报文的LLDPU (LLDP数据单元)中。具体可以添加在LLDPU的尾部,中部等任何位置。
[0071]具体LLDP报文的格式如图2所示。
[0072]其中,图2 中 Destinat1n MAC address 是 LLDP 报文的目的 MAC 地址,Source MACaddress是LLDP报文的源MAC地址,Type是LLDP报文的类型,LLDPU是存储LLDP报文的数据单元,FCS是LLDP报文的校验位。
[0073]LLDP报文的主要的数据存储在LLDPU中,LLDPU的内容主要由TLV组成,如图3所
/Jn ο
[007