實(shí)現(xiàn)安全組功能的方法及裝置制造方法【專利摘要】本申請?zhí)峁┮环N實(shí)現(xiàn)安全組功能的方法及裝置，應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，該方法包括：接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。本申請通過在控制器中進(jìn)行安全組檢查，避免了系統(tǒng)資源的浪費(fèi)，提供了系統(tǒng)的工作效率?！緦＠f明】實(shí)現(xiàn)安全組功能的方法及裝置【
技術(shù)領(lǐng)域：
】[0001]本申請涉及網(wǎng)絡(luò)通信【
技術(shù)領(lǐng)域：
】，尤其涉及一種實(shí)現(xiàn)安全組功能的方法及裝置?！?br>背景技術(shù)：
】[0002]目前，在SDN(SoftwareDefinedNetworks，軟件定義網(wǎng)絡(luò))網(wǎng)絡(luò)中，SDN控制器向虛擬交換機(jī)下發(fā)流表項(xiàng)，虛擬交換機(jī)根據(jù)該流表項(xiàng)對虛擬機(jī)的業(yè)務(wù)報(bào)文進(jìn)行處理。虛擬機(jī)與虛擬交換機(jī)之間通過Linux的bridge(網(wǎng)橋)相連,并通過在bridge上運(yùn)行用于IP(InternetProtocol,網(wǎng)際協(xié)議)信息包過濾的IPtables(網(wǎng)際協(xié)議地址表)實(shí)現(xiàn)安全組功能。安全組是一系列網(wǎng)絡(luò)安全策略的集合，限定特定端口允許通過的網(wǎng)絡(luò)流量的類型和方向。[0003]現(xiàn)有安全組實(shí)現(xiàn)方案需要為每一個(gè)虛擬機(jī)創(chuàng)建對應(yīng)的bridge，并在每一個(gè)bridge中進(jìn)行IPtables的配置。當(dāng)網(wǎng)絡(luò)中存在大量虛擬機(jī)時(shí)，需要?jiǎng)?chuàng)建同等數(shù)量的bridge，造成系統(tǒng)資源的浪費(fèi)，同時(shí)增加了配置的工作量。同時(shí)，報(bào)文傳輸需要經(jīng)過bridge和虛擬交換機(jī)兩次轉(zhuǎn)發(fā)才能到達(dá)虛擬機(jī)，導(dǎo)致系統(tǒng)性能下降?！?br/>發(fā)明內(nèi)容】[0004]有鑒于此，本申請?zhí)峁┝艘环N實(shí)現(xiàn)安全組功能的方法，應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，該方法包括:[0005]接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；[0006]將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；[0007]根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。[0008]本申請還提供了一種實(shí)現(xiàn)安全組功能的裝置，應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，該裝置包括:[0009]接收單元，用于接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；[0010]匹配單元，用于將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；[0011]下發(fā)單元，用于根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。[0012]本申請?jiān)诳刂破髦蓄A(yù)先配置安全組策略，當(dāng)接收到虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文時(shí)，根據(jù)該流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征進(jìn)行安全組檢查，對于通過安全組檢查的業(yè)務(wù)報(bào)文，向虛擬交換機(jī)下發(fā)該業(yè)務(wù)報(bào)文的流表項(xiàng)。本申請?jiān)诹鞅眄?xiàng)處理過程中進(jìn)行安全組檢查，避免了系統(tǒng)資源的浪費(fèi)，同時(shí)，提高了系統(tǒng)的工作效率。【專利附圖】【附圖說明】[0013]圖1是虛擬環(huán)境下的SDN網(wǎng)絡(luò)結(jié)構(gòu)示意圖；[0014]圖2是本申請一種實(shí)施例中實(shí)現(xiàn)安全組功能方法的處理流程圖；[0015]圖3是本申請一種實(shí)施例中實(shí)現(xiàn)安全組功能裝置的基礎(chǔ)硬件示意圖；[0016]圖4-1是本申請一種實(shí)施例中實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖；[0017]圖4-2是本申請另一種實(shí)施例中實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖；[0018]圖4-3是本申請另一種實(shí)施例中實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖?！揪唧w實(shí)施方式】[0019]為使本申請的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下參照附圖對本申請所述方案作進(jìn)一步地詳細(xì)說明。[0020]圖1所示為虛擬環(huán)境下的SDN網(wǎng)絡(luò)結(jié)構(gòu)示意圖。該SDN網(wǎng)絡(luò)包括服務(wù)器1、服務(wù)器2以及控制器，其中，服務(wù)器I中包括虛擬機(jī)VM1、VM2以及虛擬交換機(jī)OVSl，VMl連接在OVSl的端口SI上，VM2連接在OVSl的端口S2上；服務(wù)器2中包括虛擬機(jī)VM3、VM4以及虛擬交換機(jī)0VS2，VM3連接在0VS2的端口S3上，VM4連接在0VS2的端口S4上?？刂破魍ㄟ^向虛擬交換機(jī)下發(fā)流表項(xiàng)，指導(dǎo)虛擬交換機(jī)按照流表項(xiàng)處理業(yè)務(wù)報(bào)文。[0021]在對SDN網(wǎng)絡(luò)中的業(yè)務(wù)報(bào)文實(shí)行安全組策略時(shí)，現(xiàn)有技術(shù)方案通常采用在虛擬機(jī)和虛擬交換機(jī)之間配置虛擬網(wǎng)橋，在虛擬網(wǎng)橋上運(yùn)行安全組功能，且每一個(gè)虛擬機(jī)需單獨(dú)配置虛擬網(wǎng)橋，占用了大量的系統(tǒng)資源，同時(shí)，業(yè)務(wù)報(bào)文需要經(jīng)過虛擬交換機(jī)和虛擬網(wǎng)橋的兩次轉(zhuǎn)發(fā)，導(dǎo)致系統(tǒng)的工作效率降低。[0022]針對上述問題，本申請實(shí)施例提出一種實(shí)現(xiàn)安全組功能的方法，該方法無需在虛擬機(jī)和虛擬交換機(jī)之間配置虛擬網(wǎng)橋，虛擬機(jī)直接與虛擬交換機(jī)相連?？刂破髟诮邮盏教摂M交換機(jī)上送的流表項(xiàng)請求報(bào)文后，將流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與控制器中預(yù)先配置的安全組策略進(jìn)行匹配，對通過安全組檢查的業(yè)務(wù)報(bào)文，向虛擬交換機(jī)下發(fā)該業(yè)務(wù)報(bào)文的流表項(xiàng)。[0023]參見圖2，為本申請實(shí)現(xiàn)安全組功能方法的一個(gè)實(shí)施例流程圖，該實(shí)施例對實(shí)現(xiàn)安全組功能的處理過程進(jìn)行描述。[0024]步驟210，接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文。[0025]在SDN網(wǎng)絡(luò)中，控制器與交換機(jī)之間通過管理協(xié)議(例如，OpenFlow協(xié)議)進(jìn)行信息交互，在信息交互過程中實(shí)現(xiàn)流表項(xiàng)的下發(fā)。本申請實(shí)施例中控制器與虛擬交換機(jī)之間的信息交互以O(shè)penFlow協(xié)議為例進(jìn)行說明。[0026]與虛擬機(jī)相連的虛擬交換機(jī)在接收到業(yè)務(wù)報(bào)文后，查詢本地的流表項(xiàng)，若沒有找到與該業(yè)務(wù)報(bào)文匹配的流表項(xiàng)，則通過packetin報(bào)文(流表項(xiàng)請求報(bào)文)向控制器請求業(yè)務(wù)報(bào)文對應(yīng)的流表項(xiàng)?？刂破鹘邮仗摂M交換機(jī)上送的流表項(xiàng)請求報(bào)文，進(jìn)行后續(xù)處理。[0027]步驟220，將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配。[0028]控制器接收到虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文后，從該流表項(xiàng)請求報(bào)文中提取業(yè)務(wù)報(bào)文，并從該業(yè)務(wù)報(bào)文中獲取與虛擬交換機(jī)相連的虛擬機(jī)的IP地址，由于控制器負(fù)責(zé)SDN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的收集和路徑計(jì)算，因此，知道該虛擬機(jī)連接在虛擬交換機(jī)的哪個(gè)端口上。[0029]控制器中預(yù)先設(shè)置了虛擬機(jī)端口與安全組策略的綁定關(guān)系，因此，在確定了虛擬機(jī)所連接的虛擬交換機(jī)的端口后，可以查詢與該端口綁定的安全組策略。該安全組策略為網(wǎng)絡(luò)管理員根據(jù)實(shí)際的業(yè)務(wù)需求對SDN網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)流量加以限定而制定的一系列安全策略的集合。例如，當(dāng)網(wǎng)絡(luò)管理員不允許使用某臺虛擬機(jī)的用戶訪問外網(wǎng)時(shí)，可以通過制定安全組策略禁止該虛擬機(jī)訪問外網(wǎng)。[0030]控制器從流表項(xiàng)請求報(bào)文中提取業(yè)務(wù)報(bào)文的報(bào)文特征(例如，業(yè)務(wù)報(bào)文的源IP地址和目的IP地址)，將該報(bào)文特征與前述虛擬交換機(jī)端口對應(yīng)的安全組策略(例如，禁止源IP地址為60.1.1.2，目的IP地址為80.1.1.20的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā))進(jìn)行匹配，以確定該業(yè)務(wù)報(bào)文是否可以通過安全組檢查。[0031]步驟230，根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。[0032]根據(jù)步驟220中的匹配結(jié)果，向虛擬交換機(jī)下發(fā)與虛擬機(jī)連接的端口對應(yīng)的流表項(xiàng)，分為以下兩種情況進(jìn)行處理:[0033]當(dāng)匹配結(jié)果為允許交換機(jī)轉(zhuǎn)發(fā)接收到的業(yè)務(wù)報(bào)文時(shí)，可以向虛擬交換機(jī)下發(fā)該業(yè)務(wù)報(bào)文的轉(zhuǎn)發(fā)流表項(xiàng)，以指導(dǎo)虛擬交換機(jī)按照該轉(zhuǎn)發(fā)流表項(xiàng)對業(yè)務(wù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。[0034]當(dāng)匹配結(jié)果為不允許交換機(jī)轉(zhuǎn)發(fā)接收到的業(yè)務(wù)報(bào)文，可以向虛擬交換機(jī)下發(fā)該業(yè)務(wù)報(bào)文的丟棄流表項(xiàng)，以使虛擬交換機(jī)丟棄該業(yè)務(wù)報(bào)文，不進(jìn)行業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)。[0035]當(dāng)虛擬交換機(jī)端口的安全組策略發(fā)生變化時(shí)，例如，重新配置端口的安全組策略或刪除端口的安全組策略時(shí)，可以通知虛擬交換機(jī)刪除與該端口相關(guān)的所有流表項(xiàng)，以便虛擬機(jī)交換機(jī)在接收到業(yè)務(wù)報(bào)文后重新向控制器發(fā)送packetin報(bào)文，控制器根據(jù)新的安全組策略對業(yè)務(wù)報(bào)文進(jìn)行檢測，重新向交換機(jī)下發(fā)流表項(xiàng)。[0036]上述安全組策略發(fā)生變化時(shí)的處理方法雖然能夠保證流表項(xiàng)的同步更新，但虛擬交換機(jī)刪除大量的流表項(xiàng)后，會集中發(fā)送packetin報(bào)文向控制器請求流表項(xiàng)，造成不必要的網(wǎng)絡(luò)擁塞，不利于網(wǎng)絡(luò)穩(wěn)定。[0037]本申請實(shí)施例針對上述問題，采取了一種更優(yōu)的處理方式，具體為:當(dāng)虛擬交換機(jī)端口的安全組策略發(fā)生變化時(shí)，向虛擬交換機(jī)下發(fā)第一流表項(xiàng)，該第一流表項(xiàng)的優(yōu)先級高于已下發(fā)的與變化的安全組策略相關(guān)的流表項(xiàng)。虛擬交換機(jī)在接收到業(yè)務(wù)報(bào)文后，首先匹配優(yōu)先級高的流表項(xiàng)，因此，會按照第一流表項(xiàng)進(jìn)行業(yè)務(wù)報(bào)文處理。可見，該處理方式只針對確實(shí)發(fā)生了安全策略變化的業(yè)務(wù)報(bào)文進(jìn)行處理，其處理方式更加合理，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)資源的浪費(fèi)。[0038]現(xiàn)仍以圖1所示SDN網(wǎng)絡(luò)為例，介紹實(shí)現(xiàn)安全組功能的處理過程。[0039]假設(shè)，VMl的IP地址為60.1.1.10，VM2的IP地址為60.1.1.20，VM3的IP地址為60.2.2.30，VM4的IP地址為60.2.2.40?？刂破黝A(yù)先為虛擬交換機(jī)中連接虛擬機(jī)的端口配置安全組策略。假設(shè)，在SI端口上配置的一條安全策略為禁止VMl(60.1.1.10)接收VM4(60.2.2.40)發(fā)送的業(yè)務(wù)報(bào)文，即禁止源IP地址為60.2.2.40，目的IP地址為60.1.1.10的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)給VMl。[0040]當(dāng)OVSl首次接收到VM4發(fā)送的業(yè)務(wù)報(bào)文時(shí)，查詢本地的流表項(xiàng)，在未找到與該業(yè)務(wù)報(bào)文匹配的流表項(xiàng)時(shí)，向控制器發(fā)送流表項(xiàng)請求報(bào)文，該流表項(xiàng)請求報(bào)文中攜帶VM4發(fā)送的業(yè)務(wù)報(bào)文。[0041]控制器接收到該流表項(xiàng)請求報(bào)文后，從攜帶的業(yè)務(wù)報(bào)文中獲取到該業(yè)務(wù)報(bào)文的源IP地址為60.2.2.40，目的IP地址為60.1.1.10，該目的IP地址為OVSI的SI端口上的虛擬機(jī)VMl的IP地址，因此，查詢SI端口上的安全組策略，其中的一條安全策略為禁止源IP地址為60.2.2.40，目的IP地址為60.1.1.10的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)給VMl?？刂破鹘邮盏綐I(yè)務(wù)報(bào)文匹配了該安全策略，因此，向OVSl下發(fā)該業(yè)務(wù)報(bào)文的丟棄流表項(xiàng)。[0042]OVSI根據(jù)接收到的丟棄流表項(xiàng)，將VM4發(fā)送的業(yè)務(wù)報(bào)文丟棄，不向VMl轉(zhuǎn)發(fā)。后續(xù)再接收到VM4發(fā)送給VMl的業(yè)務(wù)報(bào)文時(shí)，直接丟棄。[0043]當(dāng)網(wǎng)絡(luò)管理員更改了SI端口的安全組配置，允許VMl接收VM4發(fā)送的業(yè)務(wù)報(bào)文時(shí)，控制器可以通知OVSl刪除與SI端口相關(guān)的所有流表項(xiàng)，以便OVSl再接收到VM4發(fā)送給VMl的業(yè)務(wù)報(bào)文時(shí)，重新向控制器請求流表項(xiàng)?？刂破鞲鶕?jù)變化后安全策略下發(fā)轉(zhuǎn)發(fā)流表項(xiàng)給OVSl，OVSI將VM4發(fā)送的業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)給VMl。[0044]當(dāng)然，在SI端口的安全策略發(fā)生變化時(shí)，控制器可以通過主動(dòng)下發(fā)與變化后的安全策略匹配的轉(zhuǎn)發(fā)流表項(xiàng)給0VS1，但該轉(zhuǎn)發(fā)流表項(xiàng)的優(yōu)先級要高于已下發(fā)的丟棄流表項(xiàng)。當(dāng)OVSl再次接收到VM4發(fā)送給VMl的業(yè)務(wù)報(bào)文時(shí)，會匹配優(yōu)先級高的轉(zhuǎn)發(fā)流表項(xiàng)，從而實(shí)現(xiàn)VM4的業(yè)務(wù)報(bào)文向VMl的轉(zhuǎn)發(fā),而優(yōu)先級低的丟棄流表項(xiàng)在到達(dá)流表項(xiàng)老化時(shí)間時(shí)自動(dòng)刪除。[0045]與前述實(shí)現(xiàn)安全組功能方法的實(shí)施例相對應(yīng)，本申請還提供實(shí)現(xiàn)安全組功能裝置的實(shí)施例。[0046]本申請實(shí)現(xiàn)安全組功能裝置的實(shí)施例可以應(yīng)用在SDN控制器上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在設(shè)備的CPU將非易失性存儲器中對應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖3所示，為本申請實(shí)現(xiàn)安全組功能裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的CPU、內(nèi)存以及非易失性存儲器之外，實(shí)施例中裝置所在的設(shè)備通常還可以包括其他硬件。[0047]請參考圖4-1，為本申請一個(gè)實(shí)施例中的實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖。該實(shí)現(xiàn)安全組功能裝置包括:接收單元401、匹配單元402以及下發(fā)單元403，其中:[0048]接收單元401，用于接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；[0049]匹配單元402，用于將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；[0050]下發(fā)單元403，用于根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。[0051]請參考圖4-2，為本申請另一個(gè)實(shí)施例中的實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖。該實(shí)現(xiàn)安全組功能裝置在圖4-1所示基礎(chǔ)上，還可以包括:確定單元404和查詢單元405，其中:[0052]確定單元404，用于在所述匹配單元402將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)的安全組策略進(jìn)行匹配之前，根據(jù)所述流表項(xiàng)請求報(bào)文中攜帶的虛擬機(jī)的網(wǎng)際協(xié)議IP地址，確定與所述虛擬機(jī)連接的所述虛擬交換機(jī)的端口；[0053]查詢單元405,用于查詢所述端口的預(yù)設(shè)安全組策略；[0054]所述匹配單元402，具體用于將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與所述端口的預(yù)設(shè)安全組策略進(jìn)行匹配；[0055]所述下發(fā)單元403，具體用于根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)與所述端口對應(yīng)的用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。[0056]所述下發(fā)單元403，還具體用于當(dāng)允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文的轉(zhuǎn)發(fā)流表項(xiàng)；當(dāng)不允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于丟棄所述業(yè)務(wù)報(bào)文的丟棄流表項(xiàng)。[0057]請參考圖4-3，為本申請另一個(gè)實(shí)施例中的實(shí)現(xiàn)安全組功能裝置的結(jié)構(gòu)示意圖。該實(shí)現(xiàn)安全組功能裝置在圖4-2所示基礎(chǔ)上，還可以包括:[0058]通知單元406，用于當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，通知所述虛擬交換機(jī)刪除與所述端口對應(yīng)的流表項(xiàng)。[0059]所述下發(fā)單元403，還用于當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，向所述虛擬交換機(jī)下發(fā)第一流表項(xiàng)，所述第一流表項(xiàng)的優(yōu)先級高于已下發(fā)的與所述變化的安全組策略相關(guān)的流表項(xiàng)，以使所述虛擬交換機(jī)根據(jù)所述第一流表項(xiàng)進(jìn)行業(yè)務(wù)報(bào)文處理。[0060]上述圖4-1至4-3示出的實(shí)現(xiàn)安全組功能裝置的實(shí)施例，其具體實(shí)現(xiàn)過程可參見前述方法實(shí)施例的說明，在此不再贅述。[0061]從以上方法和裝置的實(shí)施例中可以看出，當(dāng)接收到虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文時(shí)，根據(jù)該流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征進(jìn)行安全組檢查，對于通過安全組檢查的業(yè)務(wù)報(bào)文，向虛擬交換機(jī)下發(fā)該業(yè)務(wù)報(bào)文的流表項(xiàng)。通過上述處理過程，避免了系統(tǒng)資源的浪費(fèi)，同時(shí)，提高了系統(tǒng)的工作效率。[0062]以上所述僅為本申請的較佳實(shí)施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)?！緳?quán)利要求】1.一種實(shí)現(xiàn)安全組功能的方法，應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，其特征在于，該方法包括:接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。2.如權(quán)利要求1所述的方法，其特征在于，所述將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)的安全組策略進(jìn)行匹配之前，還包括:根據(jù)所述流表項(xiàng)請求報(bào)文中攜帶的虛擬機(jī)的網(wǎng)際協(xié)議IP地址，確定與所述虛擬機(jī)連接的所述虛擬交換機(jī)的端口；查詢所述端口的預(yù)設(shè)安全組策略；所述將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配，具體包括:將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與所述端口的預(yù)設(shè)安全組策略進(jìn)行匹配；所述根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)，具體包括:根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)與所述端口對應(yīng)的用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。3.如權(quán)利要求1或2所述的方法，其特征在于，所述根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)，包括:當(dāng)允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文的轉(zhuǎn)發(fā)流表項(xiàng)；當(dāng)不允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于丟棄所述業(yè)務(wù)報(bào)文的丟棄流表項(xiàng)。4.如權(quán)利要求2所述的方法，其特征在于，還包括:當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，通知所述虛擬交換機(jī)刪除與所述端口對應(yīng)的流表項(xiàng)。5.如權(quán)利要求2所述的方法，其特征在于，還包括:當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，向所述虛擬交換機(jī)下發(fā)第一流表項(xiàng)，所述第一流表項(xiàng)的優(yōu)先級高于已下發(fā)的與所述變化的安全組策略相關(guān)的流表項(xiàng)，以使所述虛擬交換機(jī)根據(jù)所述第一流表項(xiàng)進(jìn)行業(yè)務(wù)報(bào)文處理。6.一種實(shí)現(xiàn)安全組功能的裝置，應(yīng)用于軟件定義網(wǎng)絡(luò)SDN控制器，其特征在于，該裝置包括:接收單元，用于接收虛擬交換機(jī)上送的流表項(xiàng)請求報(bào)文；匹配單元，用于將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)安全組策略進(jìn)行匹配；下發(fā)單元，用于根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。7.如權(quán)利要求6所述的裝置，其特征在于，所述裝置還包括:確定單元，用于在所述匹配單元將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與預(yù)設(shè)的安全組策略進(jìn)行匹配之前，根據(jù)所述流表項(xiàng)請求報(bào)文中攜帶的虛擬機(jī)的網(wǎng)際協(xié)議IP地址，確定與所述虛擬機(jī)連接的所述虛擬交換機(jī)的端口；查詢單元，用于查詢所述端口的預(yù)設(shè)安全組策略；所述匹配單元，具體用于將所述流表項(xiàng)請求報(bào)文中攜帶的業(yè)務(wù)報(bào)文的報(bào)文特征與所述端口的預(yù)設(shè)安全組策略進(jìn)行匹配；所述下發(fā)單元，具體用于根據(jù)匹配結(jié)果，向所述虛擬交換機(jī)下發(fā)與所述端口對應(yīng)的用于處理所述業(yè)務(wù)報(bào)文的流表項(xiàng)。8.如權(quán)利要求6或7所述的裝置，其特征在于:所述下發(fā)單元，具體用于當(dāng)允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文的轉(zhuǎn)發(fā)流表項(xiàng)；當(dāng)不允許轉(zhuǎn)發(fā)所述業(yè)務(wù)報(bào)文時(shí)，向所述虛擬交換機(jī)下發(fā)用于丟棄所述業(yè)務(wù)報(bào)文的丟棄流表項(xiàng)。9.如權(quán)利要求7所述的裝置，其特征在于，所述裝置還包括:通知單元，用于當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，通知所述虛擬交換機(jī)刪除與所述端口對應(yīng)的流表項(xiàng)。10.如權(quán)利要求7所述的裝置，其特征在于:所述下發(fā)單元，還用于當(dāng)所述端口的預(yù)設(shè)安全組策略發(fā)生變化時(shí)，向所述虛擬交換機(jī)下發(fā)第一流表項(xiàng)，所述第一流表項(xiàng)的優(yōu)先級高于已下發(fā)的與所述變化的安全組策略相關(guān)的流表項(xiàng)，以使所述虛擬交換機(jī)根據(jù)所述第一流表項(xiàng)進(jìn)行業(yè)務(wù)報(bào)文處理?！疚臋n編號】H04L12/741GK104394080SQ201410710650【公開日】2015年3月4日申請日期:2014年11月28日優(yōu)先權(quán)日:2014年11月28日【發(fā)明者】溫濤,林濤,丁波,葉鏢翔申請人:杭州華三通信技術(shù)有限公司