【技术实现步骤摘要】
本专利技术实施例涉及网络通信的,具体而言,涉及一种基于控制器的动态隔离方法及装置。
技术介绍
1、在网络通信的
,为了实现虚拟网络和物理网络之间的安全通信,vxlan(virtual extensible lan,可扩展虚拟局域网络)技术被广泛应用。vxlan是一种基于ip网络的二层vpn技术,通过采用"mac in udp"封装的方式,在现有的ip网络上扩展了大规模虚拟局域网的能力。
2、通常情况下,vxlan的配置需要管理员或控制器(例如sdn控制器)预先在接入设备(如交换机)上进行。管理员需要在接入设备上配置终端的vxlan信息,以建立终端与虚拟网络之间的对应关系。一般采用"接口+vlan"的方式来区分流量与vxlan之间的关系。这种配置方式存在一些问题。
3、首先,预先配置vxlan信息导致系统管理复杂,缺乏灵活性。当需要添加、删除或修改终端的vxlan信息时,需要手动操作接入设备进行配置更新,耗费时间和精力。特别是在大规模网络环境下,这种手动配置方式变得非常繁琐和困难。
4、其次,由于vxlan的终端无需身份认证即可接入网络,存在终端假冒的风险。在传统的vxlan配置中,任何拥有合法网络访问权限的终端都可以使用事先配置好的vxlan信息进行接入,无需进行身份验证。这给网络安全带来了潜在的威胁,可能导致未经授权的终端进入虚拟网络。
5、此外,接口与vxlan绑定的方式限制了终端的接入方式,缺乏动态性。一旦终端与特定的接口绑定后,只能通过该固定接口进行网络接入。这种静态
6、因此,为了解决上述问题,需要一种基于控制器的动态隔离方法。
技术实现思路
1、本专利技术实施例提供了一种基于控制器的动态隔离方法及装置,以至少解决相关技术中静态的接入方式限制了终端的灵活性和可移动性,难以根据实际需求和网络拓扑的变化来动态调整终端的接入位置以及信息安全的问题。
2、根据本专利技术的一个实施例,提供了一种基于控制器的动态隔离方法,应用于网络设备,所述方法包括:
3、将所述网络设备上的接入接口配置为仅允许认证报文通过;
4、通过所述接入接口接收终端设备发送的以进行身份认证请求的认证报文;
5、基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,若认证通过,则通过控制器为所述终端设备配置隔离信息和接口权限;
6、基于所述接口权限对所述接入接口授权以允许非认证报文通过,并根据配置的所述隔离信息为所述终端设备生成隔离流表。
7、在一个示例性实施例中,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
8、所述网络设备发送所述认证报文至控制器,以使所述控制器基于所述认证报文向所述终端设备询问终端身份标识,以将所述终端设备回复的终端身份标识发送至所述认证服务器对所述终端设备进行身份认证。
9、在一个示例性实施例中,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
10、所述网络设备基于所述认证报文向所述终端设备询问终端身份标识,并将所述终端设备回复的终端身份标识发送至所述认证服务器对所述终端设备进行身份认证。
11、在一个示例性实施例中,所述身份认证请求为以下之一:802.1x认证、以太网点对点协议pppoe认证、门户portal认证。
12、在一个示例性实施例中,根据配置的所述隔离信息为所述终端设备生成隔离流表之后,还包括:
13、所述网络设备发送认证成功消息给终端设备以通知终端设备认证成功,以便所述终端设备与地址分配服务器之间进行ip地址请求和分配。
14、在一个示例性实施例中,所述隔离流表为mac表项,所述mac表项包括隔离信息、终端mac、接口、接口权限。
15、在一个示例性实施例中,在所述终端设备与地址分配服务器之间进行ip地址请求和分配之后,还包括:
16、接收所述终端设备发送的下线请求消息;
17、将所述下线请求消息转发至所述控制器,以使所述控制器生成取消授权流表;
18、根据所述取消授权流表取消所述接入接口授权,并删除对应mac表项,以使所述接入接口配置为仅允许认证报文通过。
19、根据本专利技术的另一个实施例,提供了一种基于控制器的动态隔离方法,应用于认证服务器,所述方法包括:
20、接收网络设备转发的以对终端设备进行身份认证请求的认证报文,其中,所述网络设备上的接入接口配置为仅允许所述认证报文通过;
21、获取终端设备的终端身份标识;
22、基于所述终端身份标识对所述终端设备进行身份认证,若认证通过,则通过控制器为所述终端设备配置隔离信息和接口权限,以使所述网络设备基于所述接口权限对所述接入接口授权以允许非认证报文通过,并根据配置的所述隔离信息为所述终端设备生成隔离流表。
23、根据本专利技术的另一个实施例,提供了一种基于控制器的动态隔离方法,应用于控制器,所述方法包括:
24、接收网络设备转发的终端设备的认证报文,其中,所述网络设备上的接入接口被配置为仅允许所述认证报文通过;
25、基于所述认证报文得到终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,若认证通过,则生成认证成功报文;
26、基于所述认证成功报文为所述终端设备配置隔离信息和接口权限,以使所述网络设备基于所述接口权限对所述接入接口授权以允许非认证报文通过,并根据配置的所述隔离信息为所述终端设备生成隔离流表。
27、根据本专利技术的另一个实施例,提供了一种网络设备,包括:
28、获取模块,用于通过接入接口接收终端设备发送的以进行身份认证请求的认证报文,其中,所述网络设备上的接入接口被配置为仅允许认证报文通过;
29、处理模块,用于基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,若认证通过,则通过控制器为所述终端设备配置隔离信息和接口权限;以及,
30、基于所述接口权限对所述接入接口授权以允许非认证报文通过,并根据配置的所述隔离信息为所述终端设备生成隔离流表。
31、根据本专利技术的另一个实施例,提供了一种认证服务器,包括:
32、获取模块,用于接收网络设备转发的以对终端设备进行身份认证请求的认证报文,其中,所述网络设备上的接入接口配置为仅允许所述认证报文通过;获取终端设备的终端身份标识;
33、处理模块,用于基于所述终端身份标识对所述终端设备进行身份认证,若认证通本文档来自技高网...
【技术保护点】
1.一种基于控制器的动态隔离方法,其特征在于,应用于网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
3.根据权利要求1所述的方法,其特征在于,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
4.根据权利要求1所述的方法,其特征在于,所述身份认证请求为以下之一:802.1X认证、以太网点对点协议PPPoE认证、门户Portal认证。
5.根据权利要求1所述的方法,其特征在于,根据配置的所述隔离信息为所述终端设备生成隔离流表之后,还包括:
6.根据权利要求1所述的方法,其特征在于,所述隔离流表为MAC表项,所述MAC表项包括隔离信息、终端MAC、接口、接口权限。
7.根据权利要求5所述的方法,其特征在于,在所述终端设备与地址分配服务器之间进行IP地址请求和分配之后,还包括:
8.一种基于控制器的动
9.一种基于控制器的动态隔离方法,其特征在于,应用于控制器,所述方法包括:
10.一种网络设备,其特征在于,包括:
11.一种认证服务器,其特征在于,包括:
12.一种控制器,其特征在于,包括:
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至7任一项中所述的方法的步骤,或者实现权利要求8所述的方法的步骤,或者实现权利要求9所述的方法的步骤。
14.一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至7任一项中所述的方法的步骤,或者实现权利要求8所述的方法的步骤,或者实现权利要求9所述的方法的步骤。
...【技术特征摘要】
1.一种基于控制器的动态隔离方法,其特征在于,应用于网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
3.根据权利要求1所述的方法,其特征在于,基于所述认证报文获取所述终端设备的终端身份标识,以使认证服务器基于所述终端身份标识对所述终端设备进行身份认证,包括:
4.根据权利要求1所述的方法,其特征在于,所述身份认证请求为以下之一:802.1x认证、以太网点对点协议pppoe认证、门户portal认证。
5.根据权利要求1所述的方法,其特征在于,根据配置的所述隔离信息为所述终端设备生成隔离流表之后,还包括:
6.根据权利要求1所述的方法,其特征在于,所述隔离流表为mac表项,所述mac表项包括隔离信息、终端mac、接口、接口权限。
7.根据权利要求5所述的方法,其特征在于,在所述终端设备与地址分...
【专利技术属性】
技术研发人员:宋琳,闫新成,周娜,蒋志红,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。