4]其中,图3中,Chassis ID用于标识通信设备的桥MAC地址,Port ID用于标识发送LLDP报文的端口编号,TTL用于标识信息在通信设备上的存活时间,Opt1nal标识可选择的TLV,End用于标识LLDPU的结束。
[0075]TLV的格式如图4所示。TLV由TLV头和TLV信息字段组成。
[0076]控制器在收到LLDP报文后,会依次解析LLDPU中每个TLV的内容,每个TLV的前七位标识了 TLV type (TLV类型),接着的9位标识了这个TLV的长度,根据这个长度值就可以确定下一个TLV的起始位置。End TLV用来确定LLDPU的结束位置,End TLV是一个type为0,length为O的TLV。TLV使用前7位来标识TLV type,共可以表示127种type,目前9-126这些值是保留的,我们可以用保留的部分值来标识网络安全设备添加的TLV的type,控制器收到LLDP报文后,根据TLV的type就可以确定哪些是网络安全设备添加的信息。
[0077]本发明实施例还提供了一种感知网络安全设备的方法,该方法可以由控制器执行,如图5所示,该方法包括:
[0078]步骤501:控制器发送第一 LLDP报文。
[0079]步骤502:控制器接收第二 LLDP报文,该第二 LLDP报文是经过网络安全设备对上述第一 LLDP报文处理过的,且该第二 LLDP报文中包括网络安全设备的设备信息。
[0080]步骤503:控制器根据网络安全设备的设备信息,感知网络安全设备。
[0081]其中,网络安全设备的设备信息包括网络安全设备的设备标识信息,还可以包括网络安全设备的设备类型信息或者网络安全设备的连接类型信息等等。网络安全设备的连接类型可以是网络安全设备是OpenFlow交换机的旁路设备,或者网络安全设备是串联在两个OpenFlow交换机之间的直路设备。
[0082]具体的,控制器在收到第二 LLDP报文后,会依次解析LLDPU中每个TLV的内容,如图4所示,每个TLV的前七位标识了 TLV type (TLV类型),接着的9位标识了这个TLV的长度,根据这个长度值就可以确定下一个TLV的起始位置。End TLV用来确定LLDPU的结束位置,End TLV是一个type为0,length为O的TLV。TLV使用前7位来标识TLV type,共可以表示127种type,目前9-126这些值是保留的,我们可以用其中的某些值来标识网络安全设备添加的TLV的type,控制器收到LLDP报文后,根据TLV的type就可以确定哪些是网络安全设备添加的信息。
[0083]例如:携带网络安全设备的设备信息(设备类型信息,设备标识信息,连接类型信息)的第二 LLDP报文的TLV格式如图6所示(本发明实施例以将网络安全设备的设备信息添加在LLDPU的尾部为例进行说明)。控制器在收到第二 LLDP报文后,可以确定该TLV的数量增加了 3个,依次解析LLDPU中每个TLV的内容,从而可以解析获取到TLV中增加的网络安全设备的设备类型信息、设备标识信息及连接类型信息。
[0084]可选的,网络安全设备的设备信息包括网络安全设备的设备标识信息以及网络安全设备的连接类型信息,控制器根据网络安全设备的设备信息,感知网络安全设备之后,该方法还包括:
[0085]控制器在网络拓扑记录中保存网络安全设备的设备标识信息,及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息。若网络安全设备的设备信息中还包括其它如网络安全设备的设备类型信息、连接类型信息等等,控制器可以将这些信息一并保存在网络拓扑记录中。
[0086]可选的,控制器在网络拓扑记录中保存网络安全设备的设备标识,及根据网络安全设备的连接类型信息保存网络安全设备在网络拓扑中的位置信息,包括:
[0087]控制器根据网络安全设备的连接类型信息确定网络安全设备的连接类型;
[0088]如果网络安全设备连接类型是OpenFlow交换机的旁路设备,控制器在网络拓扑记录中关联保存网络安全设备的标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息为与网络安全设备相连接的OpenFlow交换机的设备标识信息及端口编号。
[0089]具体的,网络安全设备的连接类型是OpenFlow交换机的旁路设备(该OpenFlow交换机与网络安全设备相连),控制器以二元组(dpid,portid)将OpenFlow交换机的设备标识及端口编号保存在网络拓扑记录中,其中,dpid表示该OpenFlow交换机的设备标识,portid表示该OpenFlow交换机的端口编号。
[0090]其中,OpenFlow交换机(该OpenFLow交换机与网络安全设备相连且与控制器相连)的设备标识及端口标号携带在第一 LLDP报文中。也就是在控制器接收OpenFlow交换机发送的封装在Packet_in消息中的LLDP报文,LLDP中携带有该OpenFlow交换机的设备标识及端口编号;控制器通过检测接收到的LLDP报文就能获取到该OpenFlow交换机的设备标识及端口编号。
[0091]如果网络安全设备的连接类型是直路设备,控制器在网络拓扑记录中关联保存网络安全设备的设备标识信息及网络安全设备在网络拓扑中的位置信息,该位置信息包括:与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号,和与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号。
[0092]若网络安全设备为与控制器相连接的两个OpenFlow交换机之间的直路设备,且该网络安全设备与两个OpenFlow交换机相连接,那么与网络安全设备连接的、转发第一LLDP报文给网络安全设备的OpenFlow交换机也就是直路设备的入端口连接的OpenFlow交换机;与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机也就是直路设备出端口连接的OpenFlow交换机。
[0093]具体的,网络安全设备的连接类型是直路设备,控制器以四元组(in_dpid,in_portid, out_dpid, out_portid)将与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号,与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号关联保存在网络拓扑记录中。与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的设备标识及端口编号、与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的设备标识及端口编号为(in_dpid, in_portid, out_dpid, out_portid),其中,in_dpid 表示与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的设备标识,in_portid表示与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的端口编号端口编号,out_dpid表示与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识,out_portid表示与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的端口编号。
[0094]其中,与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口标号携带在LLDP报文中。针对该与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机与控制器相连的情况,在控制器接收与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机发送的封装在Packet_in消息中的LLDP报文,LLDP中携带有该与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号;控制器通过检测接收到的LLDP报文就能获取到该OpenFlow交换机的设备标识及端口编号。
[0095]针对该与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机与控制器相连的情况,与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的端口标识携带在Packet_in消息中,控制器在接收到该Packet_in消息后,能够获取到该作为与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机的端口编号。
[0096]针对该与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的OpenFlow交换机不与控制器相连的情况,该OpenFlow交换机在接收到第一 LLDP报文后将自身的设备标识及端口编号添加在该第一 LLDP报文中,控制器通