ifferentiatedServicesCodePoint,差分服务代码点)值改为最高优先级并转发 符合该DSCP的流表至网络转发设备20,进而保证报文在经过后续设备是可以获得最高的 QoS〇
[0034] 在本实施方式中,数据库包括网络安全信息对应的网络调配策略,当所述侦测模 块侦测到所述网络上有网络安全事件发生时,所述管控模块可以将预先设置的重要资源予 以保护和限制访问。
[0035] 在本实施方式中,SDN控制器也可以通过网络转发设备20获取网络用户的实施 行为,并根据其实施行为对其访问权限进行控制。比如当DPI(DeepPacketInspection, 深度包检测技术)/IPS(IntrusionPreventionSystem,入侵防御系统)/IDS(Intrusion DetectionSystems,入侵检测系统)模块检测到该用户有攻击行为时,自动将其访问权限 改为最小,而且关闭其访问相关网络资源的权限。
[0036] 图3所示为本发明网络装置10又一实施方式的功能模块图。网络装置10包括数 据库建立模块100、侦测模块102、判断模块104、管控模块106、处理器108和存储器110,在 本实施方式中,模块100~106为可执行程序且分别存在于控制设备10的存储器110中, 并由处理器108执行相关程序以实现上述模块的功能。
[0037] 图4是本发明网络装置10调配网络资源方法一实施方式的流程图。其中本方法 通过图2或图3所示的功能模块实现所述方法。
[0038] 在步骤S400,数据库建立模块100用于建立关于网络活动信息的数据库。在本实 施方式中,所述网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信 息、业务类型信息或者安全信息,针对网络活动信息中的部分信息或者全部信息的组合,数 据库均存储着对应的网络调配策略,其中,所述网络调配策略为网络管理员根据需要进行 设置或从其他的数据库中自动、手工导入。具体而言,该网络调配策略包括但不限于:针对 用户身份、业务类型或者安全信息的访问权限设置、虚拟局域网的划分、QoS设置、网络地址 设置、虚拟局域网设置、虚拟专用网络设置、地址转换设置。在本实施方式中,网络装置10 为SDN控制器,其通过数据库建立模块100建立关于网络活动信息的数据库对全网络中的 网络资源进行统筹,进而方便了网络资源的调配和控制。
[0039] 在步骤S402,侦测模块102用于侦测网络应用层的网络活动信息。在本实施方式 中,网络活动信息包括但不限于用户属性及相关权限信息、用户计费及套餐信息、业务类型 信息或者安全信息。举例而言,针对用户属性及相关权限信息,侦测模块102可以通过网络 转发设备20转发的用户身份识别信息来获取,另外,侦测模块102也可以从其他的数据库 中获取信息,比如AD域服务器;针对业务类型信息,侦测模块102可以通过侦测网络流量中 的相关信息来获取,比如用DPI (Deep Packet Inspection,深度报文解析)来侦测流量的类 型(视频、上网、音频等等);而针对安全信息,侦测模块102也可以通过DPI、FW/IPS/IDS 来获取。另外,针对上述网络活动信息的获取方式也可以通过其他可能的方式进行获取,故 上述所列举方式并不对本发明构成限制。
[0040] 在步骤S404,判断模块104用于判断所获取的网络活动信息是否匹配所述数据 库。在本实施方式中,网络活动信息可能包括但不限于用户属性及相关权限信息、用户计费 及套餐信息、业务类型信息或者安全信息的一个或者几个,针对网络活动信息的不同,数据 库中会对应不同的网络调配策略。
[0041] 在步骤S406,管控模块106根据判断模块104判断的结果对网络资源进行管控。 在本实施方式中,若判断模块104判断网络活动信息与数据库中数据不匹配,则不针对该 网络活动进行网络资源的调配,若判断模块判断网络活动信息与数据库中数据匹配,则针 对该网络活动进行网络资源的调配。
[0042] 在本实施方式中,数据库包括用户属性及相关权限信息的调配策略,当侦测模块 102侦测到该用户接入网络时,管控模块106可以根据该用户的属性和相关权限对其网络 资源分配、服务质量、安全策略和访问控制予以设置;同样数据库也包括用户计费及套餐 信息调配策略,当侦测模块102侦测到该用户接入网络或其计费、套餐相关事件发生时, 管控模块106可以根据预设的策略对该用户的网络资源分配、服务质量、安全策略和访问 控制予以设置。举例而言,针对研发用户属性及相关权限信息,管控模块106为此用户分 配研发用户可访问的网络地址段、VLAN,其不能连接互联网,可以使用ftp(FileTransfer Protocol,文件传输协议)服务。
[0043] 在本实施方式中,数据库包括业务类型信息相关的网络服务质量调配策略,当侦 测模块102侦测到业务类型相关的网络服务质量相关事件发生时,管控模块106可以根据 预设的策略对网络资源分配、服务质量、带宽予以差别化设置以保证重要的服务可以得到 优先的转发和处理。举例而言,比如感知到用户发起的业务类型为语音呼叫,则自动将其 DSCP(DifferentiatedServicesCodePoint,差分服务代码点)值改为最高优先级并转发 符合该DSCP的流表至网络转发设备20,进而保证报文在经过后续设备是可以获得最高的 QoS〇
[0044] 在本实施方式中,数据库包括网络安全信息对应的网络调配策略,当所述侦测模 块侦测到所述网络上有网络安全事件发生时,所述管控模块可以将预先设置的重要资源予 以保护和限制访问。
[0045] 在本实施方式中,SDN控制器也可以获取网络用户的实施行为,并根据其实施行 为对其访问权限进行控制。比如当DPI (Deep Packet Inspection,深度包检测技术)/ IPS (Intrusion Prevention System,入侵防御系统)/IDS (Intrusion Detection Systems, 入侵检测系统)模块检测到该用户有攻击行为时,自动将其访问权限改为最小,而且关闭 其访问相关网络资源的权限。
[0046] 综上所述,网络装置10通过获取到的应用层信息对网络资源进行调配,实现了权 限设置、QoS设置的统一,减少了网络转发设备20的负担,实现了网络归一化管理和网络全 局统筹的管控。
[0047] 需要说明的是,上文所述实施方式,并不构成对发明保护范围的限定。任何在本发 明的精神和原则内所作的修改,等同替换和改进等,均应包含在本发明的保护范围内。
【主权项】
1. 一种网络资源调配方法,其特征在于: 建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配 策略; 侦测所述网络活动信息; 判断所述网络活动信息是否匹配所述数据库;及 当所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略对所述网络资源 进行调配。2. 如权利要求1所述的网络资源调配方法,其特征在于,所述网络活动信息包括用户 属性及相关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个。3. 如权利要求1所述的网络资源调配方法,其特征在于,所述网络调配策略包括访问 权限的设置、服务质量的设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设 置、地址转换设置中至少一个。4. 如权利要求1所述的网络资源调配方法,其特征在于,所述方法应用于软件定义网 络或者含有软件定义网络的混合网络。5. -种网络装置,应用于软件定义网络,其特征在于: 数据库建立模块,用于建立关于网络活动信息的数据库,所述数据库包括对应所述网 络活动信息的网络调配策略; 侦测模块,用于侦测所述网络活动信息; 判断模块,用于判断所述网络活动信息是否匹配所述数据库;及 管控模块,用于在所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略 对网络资源进行调配。6. 如权利要求5所述的网络装置,其特征在于,所述网络活动信息包括用户属性及相 关权限信息、用户计费及套餐信息、业务类型信息、安全信息中至少一个。7. 如权利要求5所述的网络装置,其特征在于,所述网络调配策略包括访问权限的设 置、服务质量的设置、安全设置、网络地址设置、虚拟局域网设置、虚拟专用网络设置、地址 转换设置中至少一个。8. 如权利要求5所述的网络装置,其特征在于,所述网络装置应用于软件定义网络或 含有软件定义网络的混合网络。
【专利摘要】一种网络装置,包括数据库建立模块、侦测模块、判断模块和管控模块。数据库建立模块建立关于网络活动信息的数据库,所述数据库包括对应所述网络活动信息的网络调配策略;侦测模块侦测所述网络活动信息;判断模块判断所述网络活动信息是否匹配所述数据库;管控模块在所述网络活动信息匹配所述数据库时,根据其对应的网络调配策略对网络资源进行调配。本发明还提供了一种网络资源调配方法。本发明可让网络资源的调配更加统筹。
【IPC分类】H04L12/911
【公开号】CN105007239
【申请号】CN201510366232
【发明人】刘昱
【申请人】刘昱
【公开日】2015年10月28日
【申请日】2015年6月26日