一种基于sdn的行为策略方法和系统的制作方法
【技术领域】
[0001 ] 本发明实施例涉及通信技术领域,尤其涉及一种基于SDN(Software Defined Network,软件定义网络)的行为策略方法和系统。
【背景技术】
[0002] 随着计算机、宽带技术的迅速发展,网络办公日益流行,互联网已经成为人们工 作、生活、学习过程中不可或缺、便捷高效的工具。但是,伴随网络的快速发展,互联网成为 企业发展不可缺少的工具,同时互联网在为企业创造效益的同时,也起到了一定的负面效 果,例如:在享受着电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出, 企业普遍存在着电脑和互联网络滥用的严重问题。网上购物、在线聊天、在线欣赏音乐和电 影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。
[0003] 图1是现有技术的企业网络组网示意图,如图1所示,通常都是路由加交换机的组 网形态,连接用户的通信网络通过网关连接到电信设备,能够满足企业的基本互联网络需 求;也有部分企业采用专业的企业防火墙设备来保护企业的内部安全,防范外部攻击,同时 进行人员基本的上网控制功能。
[0004] 但是,传统的行为策略只是基于网关节点配置行为策略,不是端对端的和全网的 策略,因此会出现不一致,面对需要解决企业网络安全,文档信息保护,高效利用网络带宽, 管理员工上网,管理员工的工作情况等现实问题,往往达不到预期效果。
【发明内容】
[0005] 本发明实施例提供一种基于SDN的行为策略方法和系统,通过控制器集中配置,实 现链路资源的网络流量优化。
[0006] 本发明实施例提供一种基于SDN的行为策略方法,包括:控制器配置全网的行为策 略;接收交换机上报的MAC地址信息,并根据交换机的MAC地址信息计算网络拓扑;接收交换 机上报的未匹配流表的报文,所述报文包括报文MAC地址和特征码;根据网络拓扑、交换机 的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径上 下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
[0007] 进一步地,所述行为策略包括用户禁止功能和网站黑名单功能;所述用户禁止功 能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁 止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;所述网站黑名 单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定 位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
[0008] 进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址 信息计算网络拓扑,具体包括:控制器接收交换机发送的Experimenter报文,所述 Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自 己的MAC地址、交换机的端口 ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换 机的MAC地址信息,采用链路层发现协议计算网络拓扑。
[0009] 进一步地,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算 转发路径,并根据特征码匹配行为策略,具体包括:所述控制器从交换机上报的未匹配流表 的报文中获取报文MAC地址和特征码;控制器根据网络拓扑、交换机的MAC地址信息和报文 MAC地址计算转发路径;控制器判断所述报文的类型,如果所述报文不是超文本传输协议报 文,所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报 文是超文本传输协议报文,所述报文的特征码为统一资源定位器地址,则根据所述报文的 统一资源定位器地址匹配行为策略。
[0010] 进一步地,所述在转发路径上下发流表,通告转发路径上的交换机根据匹配的行 为策略进行报文转发,具体包括:若所述报文不是超文本传输协议报文,根据所述报文的源 IP地址查询行为策略中的用户禁止功能,如果所述报文的源IP地址在户禁止选项为不允许 访问互联网且源IP地址在用户禁止范围内,则所述控制器在转发路径上下发流表,禁止所 述报文转发;如果用户禁止选项为允许访问互联网,或者用户禁止选项为不允许访问互联 网但所述报文的源IP地址不在用户禁止范围内,则所述控制器在转发路径上下发流表,允 许所述报文转发;若所述报文是超文本传输协议报文,根据所述报文的URL地址查询网站黑 名单功能,如果网站黑名单开关选项为不允许访问网站黑名单中的网站且所述报文的URL 地址在网站黑名单内,则所述控制器在转发路径上下发流表,禁止所述报文转发;如果网站 黑名单开关为允许访问网站黑名单中的网站,或者网站黑名单开关选项为不允许访问网站 黑名单中的网站但所述报文的URL地址不在网站黑名单内,则所述控制器在转发路径上下 发流表,允许所述报文转发。
[0011] 本发明还提供了一种基于SDN的行为策略系统,包括:交换机,用于向控制器上报 MAC地址信息,以及向控制器上报未匹配流表的报文,所述报文包括报文MAC地址和特征码; 控制器,用于配置全网的行为策略;当接收到交换机的MAC地址信息后,根据所述交换机的 MAC地址信息计算网络拓扑;当接收到交换机的未匹配流表的报文后,根据网络拓扑、交换 机的MAC地址信息和报文MAC地址计算转发路径,并根据特征码匹配行为策略,在转发路径 上下发流表,通告转发路径上的交换机根据匹配的行为策略进行报文转发。
[0012] 进一步地,所述行为策略包括用户禁止功能和网站黑名单功能;所述用户禁止功 能包括用户禁止开关选项和用户禁止范围,其中,用户禁止范围采用IP地址段范围;用户禁 止开关选项表示用户禁止范围的IP地址段对应的用户是否允许访问互联网;所述网站黑名 单功能包括网站黑名单开关选项和网站黑名单,其中,网站黑名单采用网站的统一资源定 位器地址;网站黑名单开关选项表示内网用户是否允许访问网站黑名单中的网站。
[0013] 进一步地,所述控制器接收交换机上报的MAC地址信息,并根据交换机的MAC地址 信息计算网络拓扑,具体为:控制器接收交换机发送的Experimenter报文,所述 Experimenter报文中包括交换机的MAC地址信息,所述交换机的MAC地址信息包括交换机自 己的MAC地址、交换机的端口 ID、以及所述交换端口下学习到MAC地址;控制器根据所述交换 机的MAC地址信息,采用链路层发现协议计算网络拓扑。
[0014] 进一步地,所述控制器根据网络拓扑、交换机的MAC地址信息和报文MAC地址计算 转发路径,并根据特征码匹配行为策略,具体为:所述控制器从交换机上报的未匹配流表的 报文中获取报文MAC地址和特征码;控制器根据网络拓扑、交换机的MAC地址信息和报文MAC 地址计算转发路径;控制器判断所述报文的类型,如果所述报文不是超文本传输协议报文, 所述报文的特征码为源IP地址,则根据所述报文的源IP地址匹配行为策略;如果所述报文 是超文本传输协议报文,所述报文