一种基于SDN的网络域隔离装置,应用于SDN控制器,包括隔离域管理单元、报文接收单元、数据处理单元,隔离域管理单元根据用户需求建立网络域列表;报文接收单元接收SDN交换机接收并转发的数据报文,并记录数据报文中的目的MAC地址以及SDN交换机接收数据报文的端口;数据处理单元查找MAC地址与端口关系表是否存在匹配目的MAC地址的端口;若存在,则判断匹配目的MAC地址的端口与SDN交换机接收数据报文的端口是否存在于网络域列表中的同一个网络域内;若是,则依据匹配目的MAC地址的端口生成并下发转发流表。本发明专利技术还提供了基于SDN的网络域隔离方法。本发明专利技术可控制了网络报文广播的范围,同时提高网络的灵活性和安全性。
【技术实现步骤摘要】
本专利技术涉及网络通信领域,具体而言,一种基于SDN的网络域隔离装置及方法。
技术介绍
网络域隔离指的是将两个或两个以上的计算机或网络划分为独立区域,并可以将有害的、不同安全级别、不同类型、不同用途的网络域隔离开,以保障数据信息在可信网络内进行安全交互和资源共享,以及控制广播报文的广播范围。目前网络域的隔离方法主要包括:访问控制技术,访问控制技术一般是应用在路由器或三层交换机接口的访问控制指令,这些指令用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定;虚拟局域网(Virtual Local Area Network,VLAN)技术,虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。然目前的网络域隔离方法存在配置复杂、不够灵活的缺点,即上面两种技术如果实现一般的网络隔离功能,要配合使用,要在接入设备和汇聚设备(一般是三层交换机)上分别进行配置,配置复杂、易错,或者遇到特殊的场景,比如相同VLAN的网络之间也需要隔离的情况、相同的网段之间进行隔离的情况等等,用上述方法难以实现。
技术实现思路
有鉴于此,本专利技术的目的是提供一种基于SDN(Software Defined Network,软件定义网络)的网络域隔离装置及方法,使得网络隔离更灵活、高效、安全。本专利技术实施方式中提供的一种基于SDN的网络域隔离装置,应用于SDN控制器,所述SDN控制器连接SDN交换机,且包括MAC地址与端口关系表,包括隔离域管理单元、报文接收单元、数据处理单元,隔离域管理单元根据用户需求建立网络域列表,所述网络域列表包括网络中所述SDN交换机的端口,并将所述SDN交换机的端口划分为若干个网络域;报文接收单元接收所述SDN交换机接收并转发的数据报文,并记录所述数据报文中的目的MAC地址以及所述SDN交换机接收所述数据报文的端口;数据处理单元查找所述MAC地址与端口关系表是否存在匹配所述目的MAC地址的端口;若存在,则判断所述匹配所述目的MAC地址的端口与所述SDN交换机接收所述数据报文的端口是否存在于所述网络域列表中的同一个所述网络域内;若是,则依据所述匹配所述目的MAC地址的端口生成并下发转发流表。优选地,所述数据处理单元还用于在所述MAC地址与端口关系表不存在所述匹配所述目的MAC地址的端口时,依据所述接收所述数据报文的端口确定所述网络域,进而针对确定的所述网络域中除所述接收所述数据报文的端口之外的其他端口进行广播。优选地,所述数据处理单元还用于判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口是否位于同一SDN交换机;若是,则生成并下发所述转发流表;若不是,则进一步判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口之间是否具有可达路径;若具有可达路径,则依生成并下发所述转发流表;若不具有可达路径,则控制接收数据报文的SDN交换机丢弃该数据报文。优选地,所述网络域列表中还可以包括关联主机的MAC地址。优选地,所述网络域列表还可以根据用户需求进行查看、更新、删除。本专利技术又一实施方式中提供的一种基于SDN的网络域隔离方法,应用于SDN控制器,所述SDN控制器连接SDN交换机,且包括MAC地址与端口关系表,包括:根据用户需求建立网络域列表,所述网络域列表包括网络中所述SDN交换机的端口,并将所述SDN交换机的端口划分为若干个网络域;接收所述SDN交换机接收并转发的数据报文,并记录所述数据报文中的目的MAC地址以及所述SDN交换机接收所述数据报文的端口;查找所述MAC地址与端口关系表是否存在匹配所述目的MAC地址的端口;若存在,则判断所述匹配所述目的MAC地址的端口与所述SDN交换机接收所述数据报文的端口是否存在于所述网络域列表中的同一个所述网络域内;若是,则依据所述匹配所述目的MAC地址的端口生成并下发转发流表。优选地,若所述MAC地址与端口关系表不存在所述匹配所述目的MAC地址的端口,则依据所述接收所述数据报文的端口确定所述网络域,进而针对确定的所述网络域中除所述接收所述数据报文的端口之外的其他端口进行广播。优选地,所述依据所述匹配所述目的MAC地址的端口生成并下发转发流表的步骤还包括:判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口是否位于同一SDN交换机;若是,则生成并下发所述转发流表;若不是,则进一步判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口之间是否具有可达路径;若具有可达路径,则依生成并下发所述转发流表;若不具有可达路径,则控制接收数据报文的SDN交换机丢弃该数据报文。优选地,所述网络域列表中还可以包括关联主机的MAC地址。优选地,所述网络域列表还可以根据用户需求进行查看、更新、删除。上述基于SDN的网络域隔离方法,自由灵活的实现网络的隔离,进而在不依赖传统的VLAN和访问控制的功能的情况下有效控制了网络报文广播的范围,同时一定程度的提高了网络的安全性。以下结合附图和具体实施例对本专利技术进行详细描述,但不作为对本专利技术的限定。附图说明图1为本专利技术基于SDN的网络域隔离装置10一实施方式的应用环境图。图2为本专利技术基于SDN的网络域隔离装置10一实施方式的功能模块图。图3为本专利技术基于SDN的网络域隔离装置10又一实施方式的功能模块图。图4为本专利技术基于SDN的网络域隔离方法一实施方式的流程图。主要元件符号说明基于SDN的网络域隔离装置 10SDN控制器 1SDN交换机 2隔离域管理单元 100报文接收单元 102数据处理单元 104存储器 106处理器 108如下具体实施方式将结合上述附图进一步说明本专利技术。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术基于SDN的网络域隔离装置10一实施方式的应用环境图。在图1中,SDN控制器1连接若干SDN交换机2,SDN交换机2连接若干主机或者子网。在本实施方式中,若干主机或子网可以根据人为需要划分为多个域,进而实现网络域隔离并分别管理各个网络域。图2为本专利技术基于SDN的网络域隔离装置10一实施方式的功能模块图。在图2中,基于SDN的网络域隔离装置10应用于SDN控制器1,其中包括隔离域管理单元100、报文接收单元102、数据处理单元104。隔离域管理单元100用于根据用户需求建立网络域列表。所谓网络域指的是针对若干主机或子网进行人为划分的区域,在本实施方式中,若干主机或者子网可以利用SDN交换机2上的端口进行表示,进而通过网络中SDN交换机2上的端口进行人为的划分为本文档来自技高网...
【技术保护点】
一种基于SDN的网络域隔离方法,应用于SDN控制器,所述SDN控制器连接SDN交换机,且包括MAC地址与端口关系表,其特征在于,包括:根据用户需求建立网络域列表,所述网络域列表包括网络中所述SDN交换机的端口,并将所述SDN交换机的端口划分为若干个网络域;接收所述SDN交换机接收并转发的数据报文,并记录所述数据报文中的目的MAC地址以及所述SDN交换机接收所述数据报文的端口;查找所述MAC地址与端口关系表是否存在匹配所述目的MAC地址的端口;若存在,则判断所述匹配所述目的MAC地址的端口与所述SDN交换机接收所述数据报文的端口是否存在于所述网络域列表中的同一个所述网络域内;若是,则依据所述匹配所述目的MAC地址的端口生成并下发转发流表。
【技术特征摘要】
1.一种基于SDN的网络域隔离方法,应用于SDN控制器,所述SDN控制器连接SDN交换机,且包括MAC地址与端口关系表,其特征在于,包括:根据用户需求建立网络域列表,所述网络域列表包括网络中所述SDN交换机的端口,并将所述SDN交换机的端口划分为若干个网络域;接收所述SDN交换机接收并转发的数据报文,并记录所述数据报文中的目的MAC地址以及所述SDN交换机接收所述数据报文的端口;查找所述MAC地址与端口关系表是否存在匹配所述目的MAC地址的端口;若存在,则判断所述匹配所述目的MAC地址的端口与所述SDN交换机接收所述数据报文的端口是否存在于所述网络域列表中的同一个所述网络域内;若是,则依据所述匹配所述目的MAC地址的端口生成并下发转发流表。2.如权利要求1所述的基于SDN的网络域隔离方法,其特征在于,还包括:若所述MAC地址与端口关系表不存在所述匹配所述目的MAC地址的端口,则依据所述接收所述数据报文的端口确定所述网络域,进而针对确定的所述网络域中除所述接收所述数据报文的端口之外的其他端口进行广播。3.如权利要求1所述的基于SDN的网络域隔离方法,其特征在于,所述依据所述匹配所述目的MAC地址的端口生成并下发转发流表的步骤还包括:判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口是否位于同一SDN交换机;若是,则生成并下发所述转发流表;若不是,则进一步判断所述匹配所述目的MAC地址的端口与所述接收所述数据报文的端口之间是否具有可达路径;若具有可达路径,则依生成并下发所述转发流表;若不具有可达路径,则控制接收数据报文的SDN交换机丢弃该数据报文。4.如权利要求1所述的基于SDN的网络域隔离方法,其特征在于,所述网络域列表中还可以包括关联主机的MAC地址。5.如权利要求1所述的基于SDN的网络域隔离方法,其特征在于,所述网络域列表还可以根据用户需求进行查看、更新、删除。6.一种基于...
【专利技术属性】
技术研发人员:刘昱,
申请(专利权)人:刘昱,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。