[发明专利]基于软件定义网络的访问控制列表运行系统和方法

说明书

技术领域

本发明涉及一种基于软件定义网络（SDN，Software Defined Network）的访问控制列表（ACL，Access Control List）运行系统和方法，能根据需求自动生成端对端的全网ACL规则，属于网络通信安全领域。

背景技术

为了保护内部网络资源不被他人侵扰，提供允许或阻止业务来往的网络通信安全机制是非常必要的。因此为了保护网络的安全，最普遍的方案就是ACL。ACL是路由器和交换机接口的指令列表，其基本用途是限制访问网络的用户，其通过使用包过滤技术，对经过路由器的数据包按照设定的规则进行过滤，可以使数据包有选择的通过路由器，以起到防火墙的作用。

ACL由一组规则组成，在规则中定义允许或拒绝通过路由器的条件。ACL的过滤是在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对数据包进行过滤，从而达到访问控制的目的。一般情况下，ACL的过滤依据主要包括源MAC（Media Access Control，媒体访问控制）地址、目的MAC地址、源IP地址、目的IP地址和四层协议字段等。

而ACL的限制内容通常包括：1、允许哪些用户访问网络，这是根据用户的IP地址进行的限制；2、允许用户访问的类型，如允许http和ftp的访问，但拒绝Telnet的访问，这是根据用户使用的上层协议进行的限制。

ACL是由多条判断指令组成的。每条指令给出一个条件和处理方式（也就是允许或拒绝）。路由器对收到的数据包按照判断指令的书写次序进行检查，当遇到相匹配的条件时，就按照指定的处理方式进行处理。ACL中各指令的书写次序非常重要，如果一个数据包和其中某一个判断指令的条件相匹配时，该数据包的匹配过程就结束了，剩下的条件指令就直接被忽略了。

传统的ACL存在其局限性，由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，具体包括以下两大缺点，一是无法识别到具体的用户，无法识别到应用内部的权限级别等；另外，ACL的配置是基于一台路由器，如果要实现端对端的权限控制目的，要求网络管理员对具体业务和网络拓扑非常了解，对于一个较大规模的网络，这项工作显然不够轻松，而且非常容易出错。

发明内容

本发明的目的在于提供一种基于SDN的访问控制列表运行系统和方法，能自动计算完成访问控制列表的生成，并根据用户需求自动生成端对端的全网ACL规则，简化了网络维护工作。

为了达到上述目的，本发明提供一种基于SDN的访问控制列表运行系统，其基于路由器设置，包含：多个SDN交换机，其中，至少一个SDN交换机与Internet用户连接，至少一个SDN交换机与网络资源连接，其余SDN交换机为中间转发接点；SDN控制器，其分别与各个所述的SDN交换机相连接。

本发明还提供一种基于SDN的访问控制列表运行方法，其基于所述的访问控制列表运行系统实现，具体包含以下步骤：

S1、SDN控制器获取网络结构和网络资源，并向所有SDN交换机下发交换机流表；

S2、SDN交换机接收用户发出的报文，并查询交换机流表进行匹配；如报文与交换机流表相匹配，则按交换机流表的规则转发报文；如报文与交换机流表不相匹配，则继续执行S3；

S3、SDN交换机将未与交换机流表匹配的报文发送至SDN控制器，并由SDN控制器对该报文与ACL Profile表进行匹配；将未与ACL Profile表中任意ACL条目相匹配的报文丢弃；

S4、对于与ACL Profile表中某一ACL条目相匹配的报文，由SDN控制器确定其转发路径，在转发路径经过的所有SDN交换机接口上设置与该报文相匹配的ACL条目规则，并将该报文按所选择的转发路径进行转发；

S5、对SDN交换机上设置的ACL条目规则设置老化机制，将一定老化时间内未被报文匹配的ACL条目规则删除。

所述的S1中，具体包含以下步骤：

S11、SDN控制器根据LLDP协议获知全网络拓扑结构；

S12、SDN控制器获取计算资源，存储资源和网络资源在网络中的分布和位置；

S13、SDN控制器向所有SDN交换机下发交换机流表，在SDN交换机上设置该交换机流表的规则。

所述的ACL Profile表中还包含位于所有ACL条目之后的Deny Any条目，其表示任何一个与之前各ACL条目都不匹配的报文将会被拒绝。