[发明专利]一种安全表项的配置方法、装置、SDN控制器及介质

权利要求书

1.一种安全表项的配置方法，其特征在于，所述方法应用于软件定义网络SDN控制器，所述方法包括：

采集所控制的网络拓扑中各交换机的动态主机配置协议DHCP侦听Snooping表项、地址解析协议ARP Snooping表项以及各无线接入点AP的无线局域网WLAN Snooping表项；

根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项；

接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机或AP，以使得所述网络拓扑中的交换机和AP基于静态绑定的安全表项进行报文过滤。

2.根据权利要求1所述的方法，其特征在于，所述根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项，包括：

根据所述网络拓扑，从采集到的DHCP Snooping表项和ARP Snooping表项中，删除将邻居交换机接口作为接入接口的DHCP Snooping表项和ARP Snooping表项，并删除将AP接口作为接入接口的DHCP Snooping表项和ARP Snooping表项；

将剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项进行修正；

将WLAN Snooping表项、修正后的DHCP Snooping表项和ARP Snooping表项中的终端的MAC地址作为终端唯一标识，生成安全表项，所述安全表项包括终端的MAC地址、IP地址、VLAN标识、接入位置、来源信息和绑定标志，所述绑定标志用于表示安全表项是否已与网络设备的接口绑定。

3.根据权利要求2所述的方法，其特征在于，所述将剩余的DHCP Snooping表项和ARPSnooping表项中具有相同MAC地址的表项进行修正，包括：

查找剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项；

将具有相同MAC地址的DHCP Snooping表项和ARP Snooping表项中的ARP Snooping表项删除。

4.根据权利要求2或3所述的方法，其特征在于，在所述采集所控制的网络拓扑中各交换机的DHCP Snooping表项和ARP Snooping表项以及各AP的WLAN Snooping表项之前，所述方法还包括：

查询所述网络拓扑中的交换机接口和AP是否已被配置静态绑定表项；

若所述网络拓扑中的AP已被配置静态绑定表项，则将所述AP的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；

若所述网络拓扑中的交换机接口已被配置静态绑定表项，则判断所述交换机接口是否连接于其他交换机；

若所述交换机接口连接于其他交换机，则发出第一告警消息，以提醒用户选择是否保留所述交换机接口的静态绑定表项；

若识别到所述用户选择保留所述交换机接口的静态绑定表项，则将所述交换机接口的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；若识别到用户选择不保留所述交换机接口的静态绑定表项，则删除所述交换机接口的静态绑定表项；

若所述交换机接口未连接于其他交换机，则将所述交换机接口的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定。