本申请涉及网络安全技术领域,特别涉及一种端口隔离方法、装置及相关设备。该方法包括:获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息,并生成定义有根设备的所述组网的树状网络拓扑图;针对每一目标网络设备,计算该目标网络设备与所述根设备间的最短路径,并将该目标网络设备上归属所述最短路径的端口设置为第一类端口;确定该目标网络设备组成的主备系统的特殊链路,并该目标网络设备上组成所述特殊链路的端口设置为第一类端口;将该目标网络设备上除所述第一类端口之外的其它端口作为第二类端口,并基于预设规则在所述第二类端口上部署端口安全隔离策略。
1、在园区sdn(software-defined networking,软件定义网络)vlan网络解决方案中,在vxlan组网场景下,同一个vxlan内的流量使用vlan进行流量隔离。vlan组网场景,使用vlan对不同业务进行隔离,即一种业务类型的网络使用一个vlan,在这个业务中的所有终端都在该vlan内传输报文。但是同一vlan内的用户流量无法精准隔离,导致未经授权的设备或用户流量进入指定区域的网络,形成安全隐患。
>8、基于链路层发现协议lldp,获取已纳管组网的设备物理拓扑信息,并基于snmp协议获取所述组网包括的各网络设备的设备信息。9、可选地,所述已纳管组网的物理拓扑信息包括:设备型号、接口信息、邻居设备信息;
10、所述组网包括的各网络设备的设备信息包括:设备配置、设备角色。
11、可选地,所述sdn控制器配置有用户流量检测规则;基于预设规则在所述第二类端口上部署端口安全隔离策略的步骤包括:
12、在确定一个第二类端口接收到流量时,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端,若是,则在该第二类端口上部署端口安全隔离策略;否则,不在该第二类端口上部署端口安全隔离策略。
13、可选地,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端的步骤包括:
14、解析该流量报文,获取发送该流量报文的终端的mac地址;
15、判断该目标网络设备维护的本地mac表中是否存在该终端的mac地址,若存在,则确定发送该流量的对端为直连接入该目标网络设备的客户端。
16、可选地,所述方法还包括:
17、基于预设周期更新所述组网的树状网络拓扑图,并基于更新后的树状网络拓扑图,计算各目标网络设备的第二类端口,以及基于预设规则在所述第二类端口上部署端口安全隔离策略;或者,
18、维护直连接入各目标网络设备的客户端上/下线状态,若目标网络设备的一个端口直连接入的客户端从上线状态变更为下线状态,则撤销该端口的端口安全隔离策略。
19、第二方面,本申请提供了一种端口隔离装置,应用于sdn控制器,所述装置包括:
20、获取单元,用于获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息,并生成定义有根设备的所述组网的树状网络拓扑图;
21、设置单元,用于针对每一目标网络设备,计算该目标网络设备与所述根设备间的最短路径,并将该目标网络设备上归属所述最短路径的端口设置为第一类端口;
22、确定单元,用于确定该目标网络设备组成的主备系统的特殊链路,并该目标网络设备上组成所述特殊链路的端口设置为第一类端口;
23、部署单元,用于将该目标网络设备上除所述第一类端口之外的其它端口作为第二类端口,并基于预设规则在所述第二类端口上部署端口安全隔离策略。
24、可选地,获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息时,所述获取单元具体用于:
25、基于链路层发现协议lldp,获取已纳管组网的设备物理拓扑信息,并基于snmp协议获取所述组网包括的各网络设备的设备信息。
26、可选地,所述已纳管组网的物理拓扑信息包括:设备型号、接口信息、邻居设备信息;
27、所述组网包括的各网络设备的设备信息包括:设备配置、设备角色。
28、可选地,所述sdn控制器配置有用户流量检测规则;基于预设规则在所述第二类端口上部署端口安全隔离策略时,所述部署单元具体用于:
29、在确定一个第二类端口接收到流量时,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端,若是,则在该第二类端口上部署端口安全隔离策略;否则,不在该第二类端口上部署端口安全隔离策略。
30、可选地,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端时,所述部署单元具体用于:
31、解析该流量报文,获取发送该流量报文的终端的mac地址;
32、判断该目标网络设备维护的本地mac表中是否存在该终端的mac地址,若存在,则确定发送该流量的对端为直连接入该目标网络设备的客户端。
33、可选地,所述装置还包括更新单元,所述更新单元具体用于:
34、基于预设周期更新所述组网的树状网络拓扑图,并基于更新后的树状网络拓扑图,计算各目标网络设备的第二类端口,以及基于预设规则在所述第二类端口上部署端口安全隔离策略;或者,
35、维护直连接入各目标网络设备的客户端上/下线状态,若目标网络设备的一个端口直连接入的客户端从上线状态变更为下线状态,则撤销该端口的端口安全隔离策略。
36、第三方面,本申请实施例提供一种端口隔离装置,该端口隔离装置包括:
37、存储器,用于存储程序指令;
38、处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
39、第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
40、综上可知,本申请实施例提供的端口隔离方法,应用于sdn控制器,所述方法包括:获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息,并生成定义有根设备的所述组网的树状网络拓扑图;针对每一目标网络设备,计算该目标网络设备与所述根设备间的最短路径,并将该目标网络设备上归属所述最短路径的端口设置为第一类端口;确定该目标网络设备组成的主备系统的特殊链路,并该目标网络设备上组成所述特殊链路的端口设置为第一类端口;将该目标网络设备上除所述第一类端口之外的其它端口作为本文档来自技高网...
【技术保护点】
1.一种端口隔离方法,其特征在于,应用于SDN控制器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息的步骤包括:
3.如权利要求2所述的方法,其特征在于,所述已纳管组网的物理拓扑信息包括:设备型号、接口信息、邻居设备信息;
4.如权利要求1所述的方法,其特征在于,所述SDN控制器配置有用户流量检测规则;基于预设规则在所述第二类端口上部署端口安全隔离策略的步骤包括:
5.如权利要求4所述的方法,其特征在于,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端的步骤包括:
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
7.一种端口隔离装置,其特征在于,应用于SDN控制器,所述装置包括:
8.如权利要求7所述的装置,其特征在于,获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息时,所述获取单元具体用于:
9.如权利要求8所述的装置,其特征在于,所述已纳管组网的物理拓扑信息包括:设备型号、接口信息、邻居设备信息;
10.如权利要求7所述的装置,其特征在于,所述SDN控制器配置有用户流量检测规则;基于预设规则在所述第二类端口上部署端口安全隔离策略时,所述部署单元具体用于:
11.如权利要求10所述的装置,其特征在于,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端时,所述部署单元具体用于:
12.如权利要求7所述的装置,其特征在于,所述装置还包括更新单元,所述更新单元具体用于:
13.一种端口隔离装置,其特征在于,所述端口隔离装置包括:
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1-6中任一项所述方法的步骤。
...
【技术特征摘要】
1.一种端口隔离方法,其特征在于,应用于sdn控制器,所述方法包括:
2.如权利要求1所述的方法,其特征在于,获取已纳管组网的物理拓扑信息和所述组网包括的各网络设备的设备信息的步骤包括:
3.如权利要求2所述的方法,其特征在于,所述已纳管组网的物理拓扑信息包括:设备型号、接口信息、邻居设备信息;
4.如权利要求1所述的方法,其特征在于,所述sdn控制器配置有用户流量检测规则;基于预设规则在所述第二类端口上部署端口安全隔离策略的步骤包括:
5.如权利要求4所述的方法,其特征在于,基于所述用户流量检测规则判断发送该流量的对端是否为直连接入该目标网络设备的客户端的步骤包括:
6.如权利要求1所述的方法,其特征在于,所述方法还包括:
7.一种端口隔离装置,其特征在于,应用于sdn控制器,所述装置包括:
8.如权利要求7所述的装置,其特征在于,获取已纳管组网的物理拓扑信息和所述组网...
【专利技术属性】
技术研发人员:蔡田杰,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。