[發(fā)明專利]一種安全表項的配置方法、裝置、SDN控制器及介質(zhì)有效

申請?zhí)枺?/td>	202011273111.1	申請日：	2020-11-13
公開（公告）號：	CN112383646B	公開（公告）日：	2022-04-22
發(fā)明（設(shè)計）人：	霍曉宇	申請（專利權(quán)）人：	新華三大數(shù)據(jù)技術(shù)有限公司
主分類號：	H04L61/103	分類號：	H04L61/103;H04L61/5014
代理公司：	北京柏杉松知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11413	代理人：	項京;高鶯然
地址：	450000 河南省鄭州市高新技***	國省代碼：	河南;41
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種安全配置方法裝置 sdn 控制器介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【說明書】：

本發(fā)明實施例提供了一種安全表項的配置方法、裝置、SDN控制器及介質(zhì)，涉及通信技術(shù)領(lǐng)域。本申請實施例包括：采集所控制的網(wǎng)絡(luò)拓?fù)渲懈鹘粨Q機的DHCP Snooping表項、ARP Snooping表項以及各AP的WLAN Snooping表項；根據(jù)采集到的DHCP Snooping表項、ARP Snooping表項和WLAN Snooping表項生成安全表項；接收待綁定終端信息，將各待綁定終端的安全表項靜態(tài)綁定至待綁定終端接入的交換機或AP，以使得網(wǎng)絡(luò)拓?fù)渲械慕粨Q機和AP基于靜態(tài)綁定的安全表項進行報文過濾?？梢栽诒ＷC終端接入安全性的前提下，減小配置工作量，提高配置效率。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種安全表項的配置方法、裝置、SDN控制器及介質(zhì)。

背景技術(shù)

網(wǎng)絡(luò)安全對每個企業(yè)的網(wǎng)絡(luò)都非常重要，目前存在一些小規(guī)模的網(wǎng)點，比如金融行業(yè)的小規(guī)模營業(yè)網(wǎng)點、零售行業(yè)的網(wǎng)點等，都具有組網(wǎng)規(guī)模小、接入用戶數(shù)量小的特點，且每個小規(guī)模網(wǎng)點還需要與總部進行通信，由總部負(fù)責(zé)部署和管理。

這種海量小分支組網(wǎng)適合通過軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)控制器進行管理，網(wǎng)絡(luò)管理員不需要熟悉每一臺網(wǎng)絡(luò)設(shè)備的配置方法，SDN控制器可針對網(wǎng)絡(luò)拓?fù)?、設(shè)備型號、業(yè)務(wù)特征等將網(wǎng)絡(luò)配置批量下發(fā)給網(wǎng)絡(luò)設(shè)備，完成自動化部署。

對于海量小分支組網(wǎng)，若使用IP Source Guard(IP源地址保護)功能對報文進行過濾，則采用動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol，DHCP)的IP地址分配方式，才能通過獲取DHCP偵聽(Snooping)的綁定表項，從而實現(xiàn)對報文的有效過濾。但網(wǎng)點中不可避免的會存在一些使用靜態(tài)IP地址的終端，通過IP Source Guard功能無法對攜帶靜態(tài)IP地址的報文進行有效過濾。

若通過人工為每個接口配置使用靜態(tài)IP地址的終端的綁定表項，需要對分支網(wǎng)絡(luò)中的接口進行逐個配置，配置工作量較大，且效率較低。若使用SDN控制器實現(xiàn)分支網(wǎng)絡(luò)部署，需要管理員搜集各靜態(tài)IP地址和媒體訪問控制(Media Access Control，MAC)地址，一旦管理員對IP地址和MAC地址輸入錯誤，就會導(dǎo)致終端無法正常接入網(wǎng)絡(luò)，或者無法有效對報文進行過濾，終端接入的安全性無法得到保障。

發(fā)明內(nèi)容

本發(fā)明實施例的目的在于提供一種安全表項的配置方法、裝置、SDN控制器及介質(zhì)，可以在保證終端接入安全性的前提下，減小配置工作量，提高配置效率。具體技術(shù)方案如下：

第一方面，本申請實施例提供一種安全表項的配置方法，所述方法應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，所述方法包括：

采集所控制的網(wǎng)絡(luò)拓?fù)渲懈鹘粨Q機的動態(tài)主機配置協(xié)議DHCP偵聽Snooping表項、地址解析協(xié)議ARP Snooping表項以及各無線接入點AP的無線局域網(wǎng)WLAN Snooping表項；

根據(jù)采集到的DHCP Snooping表項、ARP Snooping表項和WLAN Snooping表項生成安全表項；

接收待綁定終端信息，將各待綁定終端的安全表項靜態(tài)綁定至待綁定終端接入的交換機或AP，以使得所述網(wǎng)絡(luò)拓?fù)渲械慕粨Q機和AP基于靜態(tài)綁定的安全表項進行報文過濾。

在一種可能的實現(xiàn)方式中，所述根據(jù)采集到的DHCP Snooping表項、ARP Snooping表項和WLAN Snooping表項生成安全表項，包括：

根據(jù)所述網(wǎng)絡(luò)拓?fù)?，從采集到的DHCP Snooping表項和ARP Snooping表項中，刪除將鄰居交換機接口作為接入接口的DHCP Snooping表項和ARP Snooping表項，并刪除將AP接口作為接入接口的DHCP Snooping表項和ARP Snooping表項；

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于新華三大數(shù)據(jù)技術(shù)有限公司，未經(jīng)新華三大數(shù)據(jù)技術(shù)有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202011273111.1/2.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。