设备连接的、转发第一 LLDP报文给网络安全设备的设备标识及端口编号,和与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号。
[0131]可选的,网络安全设备的设备信息中包括网络安全设备的连接类型的信息,处理器1002根据获取到的网络安全设备的设备信息确定网络安全设备的连接类型;
[0132]可选的,处理器1002根据与网络安全设备连接的、转发第一 LLDP报文给网络安全设备的设备标识及端口编号,与网络安全设备连接的、接收网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号,确定网络安全设备的连接类型。
[0133]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
[0134]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0135]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0136]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0137]尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0138]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1.一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,其特征在于,包括: 网络安全设备接收链路层发现协议LLDP报文; 所述网络安全设备将所述网络安全设备的设备信息添加在所述LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。2.如权利要求1所述的方法,其特征在于,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。3.如权利要求2所述的方法,其特征在于,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信息。4.一种感知网络安全设备的方法,所述方法应用于软件定义网络SDN中,其特征在于,包括: 控制器发送第一链路层发现协议LLDP报文; 所述控制器接收第二 LLDP报文,所述第二 LLDP报文是经过所述网络安全设备对所述第一 LLDP报文处理过的,所述第二 LLDP报文中包括所述网络安全设备的设备信息; 所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备。5.如权利要求4所述的方法,其特征在于,所述网络安全设备的设备信息包括所述网络安全设备的设备标识信息以及所述网络安全设备的连接类型信息; 所述控制器根据所述网络安全设备的设备信息,感知所述网络安全设备之后,所述方法还包括: 所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。6.如权利要求5所述的方法,其特征在于,所述控制器在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息,包括: 所述控制器根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型; 如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号; 如果所述网络安全设备的连接类型是直路设备,所述控制器在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一 LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,和与所述网络安全设备连接的、接收所述网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号。7.—种网络安全设备,所述网络安全设备应用于软件定义网络SDN中,其特征在于,包括: 接收模块,用于接收链路层发现协议LLDP报文; LLDP处理模块,用于将所述网络安全设备的设备信息添加在所述LLDP报文中; 发送模块,用于发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使控制器通过所述LLDP报文中所述网络安全设备的设备信息来感知所述网络安全设备。8.如权利要求7所述的网络安全设备,其特征在于,所述网络安全设备的设备信息包括:所述网络安全设备的设备标识信息。9.如权利要求8所述的网络安全设备,其特征在于,所述网络安全设备的设备信息还包括以下至少一项:所述网络安全设备的设备类型信息,所述网络安全设备的连接类型信肩、O10.一种控制器,所述控制器应用于软件定义网络SDN中,其特征在于,包括: 发送模块,用于发送第一链路层发现协议LLDP报文; 接收模块,用于接收第二 LLDP报文,所述第二 LLDP报文是经过网络安全设备对所述第一 LLDP报文处理过的,所述第二 LLDP报文中包括所述网络安全设备的设备信息; LLDP处理模块,用于根据所述网络安全设备的设备信息,感知所述网络安全设备。11.如权利要求10所述的控制器,其特征在于,所述网络安全设备的设备信息包括设备标识信息以及所述网络安全设备的连接类型信息,所述LLDP处理模块还用于,根据所述网络安全设备的设备信息,感知所述网络安全设备之后,在网络拓扑记录中保存所述网络安全设备的设备标识信息,及根据所述网络安全设备的连接类型信息保存所述网络安全设备在所述网络拓扑中的位置信息。12.如权利要求11所述的控制器,其特征在于,所述LLDP处理模块还用于根据所述网络安全设备的连接类型信息确定所述网络安全设备的连接类型;如果所述网络安全设备的连接类型是OpenFlow交换机的旁路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息为与所述网络安全设备相连接的OpenFlow交换机的设备标识及端口编号;如果所述网络安全设备的连接类型是直路设备,所述LLDP处理模块在所述网络拓扑记录中关联保存所述网络安全设备的设备标识信息及所述网络安全设备在网络拓扑中的位置信息,所述位置信息包括与所述网络安全设备连接的、转发所述第一 LLDP报文给所述网络安全设备的OpenFlow交换机的设备标识及端口编号,与所述网络安全设备连接的、接收所述网络安全设备发送的第二 LLDP报文的OpenFlow交换机的设备标识及端口编号。
【专利摘要】本发明公开了一种感知网络安全设备的方法、网络安全设备及控制器,解决了现有技术无法实现控制器感知网络安全设备的问题。该方法包括:网络安全设备接收链路层发现协议LLDP报文;所述网络安全设备将网络安全设备的设备信息添加在所述LLDP报文中,并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器,以使所述控制器通过所述LLDP报文中网络安全设备的设备信息来感知所述网络安全设备。
【IPC分类】H04L29/06
【公开号】CN105100013
【申请号】CN201410205241
【发明人】蔡启申, 李金明
【申请人】华为技术有限公司
【公开日】2015年11月25日
【申请日】2014年5月15日