本发明专利技术提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,包括以下步骤:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。本发明专利技术基于OpenFlow协议中的流表指定的匹配字段,利用OpenFlow交换机的清洗功能,将发往工业以太网交换机的非法报文丢掉,把合法报文重新送回交换机,实现一种集中式控制的报文检测,以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。
【技术实现步骤摘要】
一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
本专利技术属于电力系统通信
,具体涉及一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法。
技术介绍
SDN作为一种新型的网络技术,其控制平面与数据转发平面分离的思想,正符合信息网络中对信息高度可控性的要求。SDN将原来与单独的网络设备紧紧绑定在一起的控制面板迁移到一个中央控制器上,负责监控管理整个网络。控制平面与转发平面的分离在极大程度上简化了网络的设计和运行,同时也能够简化网络设备,因为它不再需要了解和处理各种各样的协议,只需接受来自SDN控制器的指令即可。目前,接入层的目的是将终端节点设备连接到网络,因此,它需要支持端口安全功能、VLAN、快速以太网/千兆以太网、PoE和链路聚合等功能。其中,端口安全功能决定允许多少设备或哪些设备连接到交换机,因此,接入层的端口安全功能是保护网络的第一道重要防线。
技术实现思路
为了克服上述现有技术的不足,本专利技术提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,基于OpenFlow协议中的流表指定的匹配字段,利用OpenFlow交换机的清洗功能,将发往工业以太网交换机的非法报文丢掉,把合法报文重新送回交换机,实现一种集中式控制的报文检测,以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。为了实现上述专利技术目的,本专利技术采取如下技术方案:本专利技术提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,所述方法具体包括以下步骤:步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动。所述步骤2中,当工业以太网交换机的某一固定端口接收到报文后,则从另一特定端口将该报文转送到OpenFlow交换机中,根据SDN控制器预先配置好的OpenFlow交换机,匹配OpenFlow交换机流表中的流表项。若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配,视该报文为非法报文,并将该报文丢到丢弃箱中;若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配,视该报文为合法报文,并将该报文的源IP改为OpenFlow交换机的IP,再将修改后的报文重新送回到工业以太网交换机中。与现有技术相比,本专利技术的有益效果在于:1、本专利技术针对电力通信网络中交换机报文的安全控制处理,引入SDN技术,并基于OpenFlow协议通过SDN控制器控制OpenFlow交换机流表中的流表项,从而有效地实现了交换机报文安全的集中控制处理。2、本专利技术在对报文进行清洗后,将合法报文的源IP修改为OpenFlow交换机的IP,防止交换机再将此报文送回来,避免形成环。附图说明图1是本专利技术实施例中基于OpenFlow协议的OpenFlow交换机报文安全监控方法流程图;图2是本专利技术实施例中基于OpenFlow协议的网络架构示意图;图3是本专利技术实施例中基于OpenFlow协议的网络应用拓扑图。具体实施方式下面结合附图对本专利技术作进一步详细说明。本专利技术通过SDN控制器集中控制发送到工业以太网交换机中的报文,并基于OpenFlow交换机流表中的流表项,控制传送到交换机上的报文,将那些非法报文丢弃,同时将过滤后的合法报文传送到汇聚层交换机中。该方法可以快速、集中、有效地控制接入层报文的输入,并有效提高了报文传输的安全性,在创建一个更加动态、灵活、自动化、可管理的网络的同时,还创建了能够满足特定性能和安全的私有网络。如图1,本专利技术提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,引入了OpenFlow技术,通过SDN控制器集中控制工业以太网交换机中的报文,滤掉所述报文中的非法报文,有效地实现了报文安全的集中控制及处理。具体包括以下步骤:步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动(Action)。所述步骤2中,当工业以太网交换机的某一固定端口接收到报文后,则从另一特定端口将该报文转送到OpenFlow交换机中,根据SDN控制器预先配置好的OpenFlow交换机,匹配OpenFlow交换机流表中的流表项。若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配,视该报文为非法报文,并将该报文丢到丢弃箱中;若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配,视该报文为合法报文,并将该报文的源IP改为OpenFlow交换机的IP,再将修改后的报文重新送回到工业以太网交换机中。修改报文的源IP的目的是防止工业以太网交换机再将该合法报文送回到OpenFlow交换机中,形成环,造成不必要的网络拥塞。最后应当说明的是:以上实施例仅用以说明本专利技术的技术方案而非对其限制,所属领域的普通技术人员参照上述实施例依然可以对本专利技术的具体实施方式进行修改或者等同替换,这些未脱离本专利技术精神和范围的任何修改或者等同替换,均在申请待批的本专利技术的权利要求保护范围之内。本文档来自技高网...
【技术保护点】
一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,其特征在于:所述方法具体包括以下步骤:步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。
【技术特征摘要】
1.一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,其特征在于:所述方法具体包括以下步骤:步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理;所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动;所述步骤2中,当工业...
【专利技术属性】
技术研发人员:孙晓艳,张增华,吴军民,张刚,黄辉,黄在朝,于海,虞跃,姚启桂,黄治,王向群,李春龙,喻强,任杰,陈伟,于鹏飞,刘川,吴鹏,陈磊,陶静,邓辉,王玮,沈文,
申请(专利权)人:国家电网公司,中国电力科学研究院,国网上海市电力公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。