[发明专利]一种基于SDN的全网络端口隔离方法及装置

权利要求书

1.一种基于SDN的全网络端口隔离方法，其特征在于，所述方法包括步骤：

SDN交换机与控制器之间建立连接通道；

所述SDN交换机上报自身的MAC地址和端口信息至所述控制器；

所述控制器根据所述MAC地址、所述端口信息以及隔离配置任务序列下发流表至所述SDN交换机；

所述SDN交换机根据所述流表，实现全网络端口配置隔离；

于报文进入SDN网络时，判断需要接收所述报文的端口的端口类型；

若所述端口类型为隔离端口，判断所述报文是否为原始报文；

若所述报文是原始报文，在所述报文的源MAC地址以后追加隔离组信息头；

若所述报文不是原始报文，判断所述报文的隔离组信息头和所述端口的隔离组是否一致，如果一致，丢弃所述报文；否则，转发所述报文；

若所述端口类型不是隔离端口，则不做任何处理。

2.根据权利要求1所述的基于SDN的全网络端口隔离方法，其特征在于，在所述SDN交换机与所述控制器之间建立连接通道的过程中，SDN交换机初始化OpenFlow通道。

3.根据权利要求2所述的基于SDN的全网络端口隔离方法，其特征在于，所述SDN交换机通过私有的Experimenter报文，上报所述MAC地址和所述端口信息。

4.根据权利要求3所述的基于SDN的全网络端口隔离方法，其特征在于，所述SDN交换机通过所述Experimenter报文上报的端口数量不多于128个。

5.根据权利要求1所述的基于SDN的全网络端口隔离方法，其特征在于，所述隔离配置任务序列包括：全局隔离组号、全局端口号以及隔离流的特征。

6.根据权利要求5所述的基于SDN的全网络端口隔离方法，其特征在于，所述隔离流的特征包括：源MAC地址、目的MAC地址、源IP地址以及目的IP地址。

7.根据权利要求5所述的基于SDN的全网络端口隔离方法，其特征在于，所述全局端口号包括SDN交换机号以及端口号。

8.根据权利要求5所述的基于SDN的全网络端口隔离方法，其特正规在于，所述全局隔离组号为全局唯一标识的隔离组。

9.根据权利要求1所述的基于SDN的全网络端口隔离方法，其特征在于，所述隔离组信息头包括：目的MAC地址、源MAC地址、隔离组、以太网以及数据。

10.根据权利要求9所述的基于SDN的全网络端口隔离方法，其特征在于，所述SDN交换机和所述控制器之间支持扩展OpenFlow流表。

11.一种基于SDN的全网络端口隔离装置，其特征在于，所述装置包括：

连接单元，用以在SDN交换机与控制器之间建立连接通道；

信息单元，与所述连接单元相连，用以获取所述SDN交换机的MAC地址和端口信息；

流表单元，与所述信息单元相连，用以根据所述MAC地址、所述端口信息以及隔离任务配置序列获取流表；

隔离单元，与所述流表单元相连，用以根据所述流表实现全网络端口配置隔离；第一判断单元，与所述隔离单元相连，用以当报文进入SDN网络时判断需要接收所述报文的端口的端口类型；

第二判断单元，与所述第一判断单元相连，用以判断所述报文是否为原始报文；追加单元，与所述第二判断单元相连，用以在所述报文的源MAC地址以后追加隔离组信息头；

第三判断单元，与所述第二判断单元相连，用以判断所述报文的隔离组信息头和所述端口的隔离组是否一致；

丢弃单元，与所述第三判断单元相连，用以丢弃所述报文；

转发单元，与所述第三判断单元相连，用以转发所述报文；

当所述端口类型为隔离端口时，第二判断单元判断所述报文是否为原始报文；当所述报文是原始报文时，追加单元在所述报文的源MAC地址以后追加隔离组信息头；否则，第三判断单元判断报文的隔离组信息头和所述端口的隔离组是否一致；如果隔离组信息头和所述端口的隔离组一致，则丢弃单元丢弃所述报文，否则，转发单元转发所述报文。