[发明专利]一种SDN网络中私有云的访问控制方法和装置

权利要求书

1.一种SDN网络中私有云的访问控制方法，其特征在于，所述方法包括：

关闭私有云中设备的相应地址功能，并将每个接入设备定义为一个接入域，获取所述接入域中的主机信息和地址信息；所述相应地址功能具体为地址解析协议和反向地址解析协议；

根据获取的所述接入域中主机信息和地址信息，在所述接入域中配置所述主机和地址的对应关系，设定所述接入域内对各地址的访问规则，所述访问规则包含在接入设备上设定的访问规则和在主机上设定的访问规则；

根据外部的访问需求结合所述接入域的主机信息，确定访问需求中位于相同接入域的可访问主机信息；

根据所述访问规则，对所述确定的可访问主机进行访问；

所述在所述接入域中配置所述主机和地址的对应关系具体为：

根据所述在所述接入域中的接入设备上，配置连接在接入设备的主机地址和MAC地址的对应关系；

在所述接入域中的主机上，配置该主机可访问主机地址与所述该主机的MAC地址的对应关系。

2.根据权利要求1所述的方法，其特征在于，所述在接入设备上设定的访问规则具体为：

在地址解析协议中将连接在接入设备的主机IP地址和MAC地址进行配对；

将目的地址为连接在所述接入设备主机上的MAC地址和接入网络端口MAC地址，转发至各自对应的端口。

3.根据权利要求1所述的方法，其特征在于，所述在主机上设定的访问规则具体为：

在地址解析协议中将同一个接入域的可访问主机IP地址与该主机的MAC地址进行配对；

在地址解析协议中将不在同一个接入域的可访问主机IP地址与该接入域接入设备的接入网络端口MAC地址进行配对。

4.根据权利要求1-3中任一所述的方法，其特征在于，所述方法还包括：

丢弃所述访问时找不到地址或端口的数据包。

5.一种SDN网络中私有云的访问控制装置，其特征在于，所述装置包括：

信息获取单元，用于关闭私有云中设备的相应地址功能，并将每个接入设备定义为一个接入域，获取所述接入域中的主机信息和地址信息；所述相应地址功能具体为地址解析协议和反向地址解析协议；

访问规则设定单元，用于根据所述信息获取单元获取的信息，在所述接入域中配置所述主机和地址的对应关系，设定所述接入域内对各地址的访问规则，所述访问规则包含在接入设备上设定的访问规则和在主机上设定的访问规则；

可访问主机确定单元，根据外部的访问需求结合所述信息获取单元获取的接入域主机信息，确定访问需求中位于相同接入域的可访问主机信息；

访问控制单元，根据所述访问规则设定单元设定的访问规则，对所述可访问主机确定单元中确定的可访问主机进行访问；

所述访问规则设定单元进一步包括：

地址关系配置模块，用于根据所述信息获取单元获取的接入域中的主机信息和地址信息，在所述接入域中的接入设备上，配置连接在接入设备的主机地址和MAC地址的对应关系；在所述接入域中的主机上，配置该主机可访问主机地址与所述该主机的MAC地址的对应关系；

访问规则设定模块，用于在接入设备上设定访问规则和在主机上设定访问规则。

6.根据权利要求5所述的装置，其特征在于，所述访问规则设定模块在接入设备上设定的访问规则具体为：

在地址解析协议中将连接在接入设备的主机IP地址和MAC地址进行配对；

将目的地址为连接在所述接入设备主机上的MAC地址和接入网络端口MAC地址，转发至各自对应的端口。

7.根据权利要求5所述的装置，其特征在于，所述访问规则设定模块在主机上设定的访问规则具体为：

在地址解析协议中将同一个接入域的可访问主机IP地址与该主机的MAC地址进行配对；

在地址解析协议中将不在同一个接入域的可访问主机IP地址与该接入域接入设备的接入网络端口MAC地址进行配对。

8.根据权利要求5-7中任一所述的装置，其特征在于：

所述访问控制单元，丢弃所述访问时找不到地址或端口的数据包。