一种安全表项的配置方法、装置、SDN控制器及介质制造方法及图纸

本发明专利技术实施例提供了一种安全表项的配置方法、装置、SDN控制器及介质，涉及通信技术领域。本申请实施例包括：采集所控制的网络拓扑中各交换机的DHCP Snooping表项、ARP Snooping表项以及各AP的WLAN Snooping表项；根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项；接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机或AP，以使得网络拓扑中的交换机和AP基于静态绑定的安全表项进行报文过滤。可以在保证终端接入安全性的前提下，减小配置工作量，提高配置效率。效率。效率。

【技术实现步骤摘要】
一种安全表项的配置方法、装置、SDN控制器及介质


[0001]本专利技术涉及通信
，特别是涉及一种安全表项的配置方法、装置、SDN控制器及介质。

技术介绍

[0002]网络安全对每个企业的网络都非常重要，目前存在一些小规模的网点，比如金融行业的小规模营业网点、零售行业的网点等，都具有组网规模小、接入用户数量小的特点，且每个小规模网点还需要与总部进行通信，由总部负责部署和管理。
[0003]这种海量小分支组网适合通过软件定义网络(Software Defined Network，SDN)控制器进行管理，网络管理员不需要熟悉每一台网络设备的配置方法，SDN控制器可针对网络拓扑、设备型号、业务特征等将网络配置批量下发给网络设备，完成自动化部署。
[0004]对于海量小分支组网，若使用IP Source Guard(IP源地址保护)功能对报文进行过滤，则采用动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)的IP地址分配方式，才能通过获取DHCP侦听(Snooping)的绑定表项，从而实现对报文的有效过滤。但网点中不可避免的会存在一些使用静态IP地址的终端，通过IP Source Guard功能无法对携带静态IP地址的报文进行有效过滤。
[0005]若通过人工为每个接口配置使用静态IP地址的终端的绑定表项，需要对分支网络中的接口进行逐个配置，配置工作量较大，且效率较低。若使用SDN控制器实现分支网络部署，需要管理员搜集各静态IP地址和媒体访问控制(Media Access Control，MAC)地址，一旦管理员对IP地址和MAC地址输入错误，就会导致终端无法正常接入网络，或者无法有效对报文进行过滤，终端接入的安全性无法得到保障。

技术实现思路

[0006]本专利技术实施例的目的在于提供一种安全表项的配置方法、装置、SDN控制器及介质，可以在保证终端接入安全性的前提下，减小配置工作量，提高配置效率。具体技术方案如下：
[0007]第一方面，本申请实施例提供一种安全表项的配置方法，所述方法应用于软件定义网络SDN控制器，所述方法包括：
[0008]采集所控制的网络拓扑中各交换机的动态主机配置协议DHCP侦听Snooping表项、地址解析协议ARP Snooping表项以及各无线接入点AP的无线局域网WLAN Snooping表项；
[0009]根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项；
[0010]接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机或AP，以使得所述网络拓扑中的交换机和AP基于静态绑定的安全表项进行报文过滤。
[0011]在一种可能的实现方式中，所述根据采集到的DHCP Snooping表项、ARP Snooping
表项和WLAN Snooping表项生成安全表项，包括：
[0012]根据所述网络拓扑，从采集到的DHCP Snooping表项和ARP Snooping表项中，删除将邻居交换机接口作为接入接口的DHCP Snooping表项和ARP Snooping表项，并删除将AP接口作为接入接口的DHCP Snooping表项和ARP Snooping表项；
[0013]将剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项进行修正；
[0014]将WLAN Snooping表项、修正后的DHCP Snooping表项和ARP Snooping表项中的终端的MAC地址作为终端唯一标识，生成安全表项，所述安全表项包括终端的MAC地址、IP地址、VLAN标识、接入位置、来源信息和绑定标志，所述绑定标志用于表示安全表项是否已与网络设备的接口绑定。
[0015]在一种可能的实现方式中，所述将剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项进行修正，包括：
[0016]查找剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项；
[0017]将具有相同MAC地址的DHCP Snooping表项和ARP Snooping表项中的ARP Snooping表项删除。
[0018]在一种可能的实现方式中，在所述采集所控制的网络拓扑中各交换机的DHCP Snooping表项和ARP Snooping表项以及各AP的WLAN Snooping表项之前，所述方法还包括：
[0019]查询所述网络拓扑中的交换机接口和AP是否已被配置静态绑定表项；
[0020]若所述网络拓扑中的AP已被配置静态绑定表项，则将所述AP的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；
[0021]若所述网络拓扑中的交换机接口已被配置静态绑定表项，则判断所述交换机接口是否连接于其他交换机；
[0022]若所述交换机接口连接于其他交换机，则发出第一告警消息，以提醒用户选择是否保留所述交换机接口的静态绑定表项；
[0023]若识别到所述用户选择保留所述交换机接口的静态绑定表项，则将所述交换机接口的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；若识别到用户选择不保留所述交换机接口的静态绑定表项，则删除所述交换机接口的静态绑定表项；
[0024]若所述交换机接口未连接于其他交换机，则将所述交换机接口的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定。
[0025]在一种可能的实现方式中，在根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项之后，所述方法还包括：
[0026]针对已生成的每条安全表项的MAC地址，判断所述安全表项列表中是否存在该安全表项的MAC地址对应的目标静态绑定表项；
[0027]若不存在，则将该安全表项添加至所述安全表项列表；
[0028]若存在，且所述目标静态绑定表项的来源信息为空，则将所述目标静态绑定表项的来源信息更新为该安全表项的来源信息；
[0029]判断所述目标静态绑定表项与该安全表项的IP地址、VLAN标识、接入位置是否一致；
[0030]若一致，则保留所述目标静态绑定表项；
[0031]若存在任意一项不一致，则发出第二告警消息，以提示用户选择保留所述目标静态绑定表项或者保留该安全表项；
[0032]若所述用户选择保留所述目标静态绑定表项，则保留所述目标静态绑定表项；若所述用户选择保留该安全表项，则将所述目标静态绑定表项删除，并将该安全表项添加至所述安全表项列表。
[0033]在一种可能的实现方式中，在接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全表项的配置方法，其特征在于，所述方法应用于软件定义网络SDN控制器，所述方法包括：采集所控制的网络拓扑中各交换机的动态主机配置协议DHCP侦听Snooping表项、地址解析协议ARP Snooping表项以及各无线接入点AP的无线局域网WLAN Snooping表项；根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项；接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机或AP，以使得所述网络拓扑中的交换机和AP基于静态绑定的安全表项进行报文过滤。2.根据权利要求1所述的方法，其特征在于，所述根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项，包括：根据所述网络拓扑，从采集到的DHCP Snooping表项和ARP Snooping表项中，删除将邻居交换机接口作为接入接口的DHCP Snooping表项和ARP Snooping表项，并删除将AP接口作为接入接口的DHCP Snooping表项和ARP Snooping表项；将剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项进行修正；将WLAN Snooping表项、修正后的DHCP Snooping表项和ARP Snooping表项中的终端的MAC地址作为终端唯一标识，生成安全表项，所述安全表项包括终端的MAC地址、IP地址、VLAN标识、接入位置、来源信息和绑定标志，所述绑定标志用于表示安全表项是否已与网络设备的接口绑定。3.根据权利要求2所述的方法，其特征在于，所述将剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项进行修正，包括：查找剩余的DHCP Snooping表项和ARP Snooping表项中具有相同MAC地址的表项；将具有相同MAC地址的DHCP Snooping表项和ARP Snooping表项中的ARP Snooping表项删除。4.根据权利要求2或3所述的方法，其特征在于，在所述采集所控制的网络拓扑中各交换机的DHCP Snooping表项和ARP Snooping表项以及各AP的WLAN Snooping表项之前，所述方法还包括：查询所述网络拓扑中的交换机接口和AP是否已被配置静态绑定表项；若所述网络拓扑中的AP已被配置静态绑定表项，则将所述AP的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；若所述网络拓扑中的交换机接口已被配置静态绑定表项，则判断所述交换机接口是否连接于其他交换机；若所述交换机接口连接于其他交换机，则发出第一告警消息，以提醒用户选择是否保留所述交换机接口的静态绑定表项；若识别到所述用户选择保留所述交换机接口的静态绑定表项，则将所述交换机接口的静态绑定表项添加至所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定；若识别到用户选择不保留所述交换机接口的静态绑定表项，则删除所述交换机接口的静态绑定表项；若所述交换机接口未连接于其他交换机，则将所述交换机接口的静态绑定表项添加至
所述安全表项列表，将来源信息设置为空，将绑定标志设置为已绑定。5.根据权利要求4所述的方法，其特征在于，在根据采集到的DHCP Snooping表项、ARP Snooping表项和WLAN Snooping表项生成安全表项之后，所述方法还包括：针对已生成的每条安全表项的MAC地址，判断所述安全表项列表中是否存在该安全表项的MAC地址对应的目标静态绑定表项；若不存在，则将该安全表项添加至所述安全表项列表；若存在，且所述目标静态绑定表项的来源信息为空，则将所述目标静态绑定表项的来源信息更新为该安全表项的来源信息；判断所述目标静态绑定表项与该安全表项的IP地址、VLAN标识、接入位置是否一致；若一致，则保留所述目标静态绑定表项；若存在任意一项不一致，则发出第二告警消息，以提示用户选择保留所述目标静态绑定表项或者保留该安全表项；若所述用户选择保留所述目标静态绑定表项，则保留所述目标静态绑定表项；若所述用户选择保留该安全表项，则将所述目标静态绑定表项删除，并将该安全表项添加至所述安全表项列表。6.根据权利要求1所述的方法，其特征在于，在接收待绑定终端信息，将各待绑定终端的安全表项静态绑定至待绑定终端接入的交换机或AP之后，所述方法还包括：将待绑定终端的安全表项中，来源信息为DHCP的安全表项中包括的MAC地址与IP地址的对应关系同步至DHCP服务器，以使得所述DHCP服务器根据所述对应关系为终端分配IP地址。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收待解除绑定终端信息，将待解除绑定终端的安全表项从待绑定终端对应的交换机或AP中删除。8.一种安全表项的配置装置，其特征在于，所述装置应用于软件定义网络SDN控制器，所述装置包括：采集模块，用于采集所控制的网络拓扑中各交换机的动态主机配置协议DHCP侦听Snooping表项、地址解析协议ARP Sn...

【专利技术属性】
技术研发人员：霍晓宇，
申请(专利权)人：新华三大数据技术有限公司，
类型：发明
国别省市：