本技術(shù)實(shí)施例涉及通信，尤其涉及一種接入方法、策略隨行方法、傳輸方法、sdn控制器及介質(zhì)。

背景技術(shù)：

1、隨著園區(qū)網(wǎng)絡(luò)的不斷擴(kuò)大化、復(fù)雜化，園區(qū)網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)種類(lèi)和終端規(guī)模與日倍增，這就對(duì)園區(qū)網(wǎng)絡(luò)中終端入網(wǎng)的服務(wù)體驗(yàn)與運(yùn)維管理提出了更高的要求。為了保證園區(qū)網(wǎng)絡(luò)安全性的可控，通?？梢栽趫@區(qū)部署應(yīng)用級(jí)準(zhǔn)入策略，該應(yīng)用級(jí)準(zhǔn)入策略用于準(zhǔn)許終端以非認(rèn)證的方式接入園區(qū)中特定位置的網(wǎng)絡(luò)。

2、在相關(guān)技術(shù)中，終端可以基于認(rèn)證方式接入園區(qū)網(wǎng)絡(luò)。以終端接入園區(qū)網(wǎng)絡(luò)中的虛擬局域網(wǎng)(英文：virtual?local?area?network，縮寫(xiě)為vlan)為例，當(dāng)用戶(hù)通過(guò)網(wǎng)絡(luò)接入控制(英文：network?admission?control，縮寫(xiě)為nac)認(rèn)證成功后，會(huì)通過(guò)認(rèn)證服務(wù)器將指定vlan授權(quán)給用戶(hù)使用的終端，交換機(jī)會(huì)將該用戶(hù)所屬的vlan修改為授權(quán)vlan，以使該用戶(hù)使用的終端接入該授權(quán)vlan。這樣，可以通過(guò)vlan自動(dòng)跟隨用戶(hù)的方式，使得用戶(hù)在這個(gè)多業(yè)務(wù)園區(qū)網(wǎng)絡(luò)中使用的終端無(wú)論接入哪個(gè)交換機(jī)，都可以快速接入該授權(quán)vlan。

3、然而，上述過(guò)程只能適用于使用認(rèn)證方式接入網(wǎng)絡(luò)的認(rèn)證終端。此外，園區(qū)網(wǎng)絡(luò)為終端提供的其他服務(wù)，如訪(fǎng)問(wèn)權(quán)限控制、數(shù)據(jù)傳輸質(zhì)量保障等服務(wù)，通常也需要在用戶(hù)通過(guò)nac認(rèn)證之后，才能為用戶(hù)的終端提供相應(yīng)的服務(wù)。如此，使得整個(gè)接入方式的適用范圍以及提供服務(wù)的策略適用范圍受限。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例提供一種接入方法、策略隨行方法、傳輸方法、sdn控制器及介質(zhì)，以解決了非認(rèn)證終端在多業(yè)務(wù)園區(qū)網(wǎng)絡(luò)中接入網(wǎng)絡(luò)時(shí)，vlan自動(dòng)跟隨的接入方式適用范圍受限，以及提供的服務(wù)策略跟隨的適用范圍受限的問(wèn)題。

2、為達(dá)到上述目的，本技術(shù)實(shí)施例采用如下技術(shù)方案：

3、本技術(shù)實(shí)施例的第一方面，提供一種接入方法，所述方法包括：

4、軟件定義網(wǎng)絡(luò)(英文：software?defined?network，縮寫(xiě)為sdn)控制器接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一物理地址(英文：media?access?control?address，縮寫(xiě)為mac地址)；

5、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與vlan的綁定關(guān)系中，確定所述第一mac地址與第一vlan間的第一綁定關(guān)系；

6、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系，以使所述終端接入所述第一vlan。

7、本技術(shù)實(shí)施例提供的接入方法，sdn控制器在終端接入第一交換機(jī)之后，僅根據(jù)終端的mac地址，就可以從預(yù)存的至少一個(gè)mac地址與vlan的綁定關(guān)系中，確定終端的mac地址與第一vlan間的第一綁定關(guān)系。如此，使得終端即使以非認(rèn)證的方式接入網(wǎng)絡(luò)，也可以快速的接入對(duì)應(yīng)的第一vlan，實(shí)現(xiàn)vlan的自動(dòng)跟隨，拓寬了vlan自動(dòng)跟隨的接入方式適用范圍。

8、結(jié)合第一方面，在一種可能的實(shí)現(xiàn)方式中，所述第一信息還包括第一交換機(jī)接口的接口信息；

9、所述第一交換機(jī)接口為所述終端接入所述第一交換機(jī)的接口；所述方法還包括：

10、所述sdn控制器確定所述第一mac地址存在對(duì)應(yīng)的第二交換機(jī)接口；

11、所述sdn控制器在滿(mǎn)足第一條件的情況下，向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系；其中，所述第一條件至少包括以下其中之一：

12、所述第一交換機(jī)接口為隨行接口；

13、所述第一交換機(jī)接口與所述第二交換機(jī)接口屬于同一業(yè)務(wù)網(wǎng)絡(luò)；

14、所述sdn控制器接收第一交換機(jī)發(fā)送第一信息的時(shí)間在允許遷移的預(yù)設(shè)時(shí)間段內(nèi)。

15、結(jié)合第一方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系之后，所述方法還包括：

16、所述sdn控制器向所述第二交換機(jī)發(fā)送刪除指令，以指示所述第二交換機(jī)刪除所述第一綁定關(guān)系。

17、結(jié)合第一方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系，包括：

18、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系，并開(kāi)放所有隨行接口所接入的vlan。

19、結(jié)合第一方面，在另一種可能的實(shí)現(xiàn)方式中，每個(gè)所述綁定關(guān)系包括一個(gè)mac地址組與一個(gè)vlan之間的綁定關(guān)系，所述mac地址組包括至少一個(gè)mac地址；

20、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與vlan的綁定關(guān)系中，確定所述第一mac地址與第一vlan間的第一綁定關(guān)系，包括：

21、所述sdn控制器確定所述第一mac地址所屬的第一mac地址組；

22、所述sdn控制器基于所述第一mac地址組，從所述至少一個(gè)綁定關(guān)系中，確定所述第一mac地址組與第一vlan間的第一綁定關(guān)系。

23、結(jié)合第一方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述sdn控制器接收第一交換機(jī)發(fā)送的第一信息之后，所述方法還包括：

24、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與終端安全組的映射關(guān)系中，確定所述第一mac地址與第一終端安全組的第一映射關(guān)系，不同終端安全組對(duì)應(yīng)的安全策略不同；

25、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系，以執(zhí)行所述第一終端安全組對(duì)應(yīng)的安全策略。

26、結(jié)合第一方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述sdn控制器接收第一交換機(jī)發(fā)送的第一信息之后，所述方法還包括：

27、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與數(shù)據(jù)傳輸優(yōu)先級(jí)的映射關(guān)系中，確定所述第一mac地址與第一數(shù)據(jù)傳輸優(yōu)先級(jí)的第二映射關(guān)系；

28、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第二映射關(guān)系，以按照所述第一數(shù)據(jù)傳輸優(yōu)先級(jí)傳輸所述終端的數(shù)據(jù)。

29、本技術(shù)實(shí)施例的第二方面，提供一種策略隨行方法，所述方法包括：

30、sdn控制器接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一mac地址；

31、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與終端安全組的映射關(guān)系中，確定所述第一mac地址與第一終端安全組的第一映射關(guān)系，不同終端安全組對(duì)應(yīng)的安全策略不同；

32、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系，以執(zhí)行所述第一終端安全組對(duì)應(yīng)的安全策略。

33、結(jié)合第二方面，在另一種可能的實(shí)現(xiàn)方式中，所述第一信息還包括所述終端的第一網(wǎng)際協(xié)議地址(英文：internet?protocol?address，縮寫(xiě)為ip)以及第一虛擬路由轉(zhuǎn)發(fā)(英文：virtual?routing?and?rorwarding，縮寫(xiě)為vrf)；

34、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系，包括：

35、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系、所述第一ip、所述第一vrf以及所述第一終端安全組對(duì)應(yīng)的安全策略。

36、結(jié)合第二方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述第一信息還包括第一事件類(lèi)型信息，第一事件包括以下任一項(xiàng)：添加事件、刪除事件或更新事件，所述第一事件類(lèi)型信息指示所述終端接入交換機(jī)接口的狀態(tài)；

37、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系，包括：

38、在所述第一事件包括添加事件的情況下，所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系、所述第一ip、所述第一vrf以及所述第一終端安全組對(duì)應(yīng)的安全策略；

39、在所述第一事件包括刪除事件的情況下，所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系和刪除指令，所述刪除指令指示所述第一交換機(jī)刪除所述第一ip、所述第一vrf以及所述第一終端安全組對(duì)應(yīng)的安全策略；

40、在所述第一事件包括更新事件的情況下，所述sdn控制器向所述第一交換機(jī)發(fā)送所述第一映射關(guān)系、第二ip、所述第一vrf以及所述第一終端安全組對(duì)應(yīng)的安全策略，所述第二ip為所述終端改變接入交換機(jī)接口之后的ip。

41、本技術(shù)實(shí)施例提供的策略隨行方法，可以根據(jù)終端的mac地址，確定終端所屬的終端安全組對(duì)應(yīng)的安全策略。如此，即使終端以非認(rèn)證的方式接入網(wǎng)絡(luò)，或者更換接口接入網(wǎng)絡(luò)，該終端都會(huì)始終遵循終端安全組對(duì)應(yīng)的安全策略。從而實(shí)現(xiàn)了安全管理的策略隨行，提高了安全管理的便捷性。

42、本技術(shù)實(shí)施例的第三方面，提供一種傳輸方法，所述方法包括：

43、sdn控制器接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一mac地址；

44、所述sdn控制器基于所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與數(shù)據(jù)傳輸優(yōu)先級(jí)的映射關(guān)系中，確定所述第一mac地址與第一數(shù)據(jù)傳輸優(yōu)先級(jí)的第二映射關(guān)系；

45、所述sdn控制器向所述第一交換機(jī)發(fā)送所述第二映射關(guān)系，以按照所述第一數(shù)據(jù)傳輸優(yōu)先級(jí)傳輸所述終端的數(shù)據(jù)

46、結(jié)合第三方面，在一種可能的實(shí)現(xiàn)方式中，所述第一數(shù)據(jù)傳輸優(yōu)先級(jí)包括所述第一mac地址對(duì)應(yīng)的差分服務(wù)代碼點(diǎn)(英文：differentiated?services?code?point，縮寫(xiě)為dscp)著色標(biāo)識(shí)。

47、本技術(shù)實(shí)施例提供的傳輸方法，可以根據(jù)終端的mac地址，確定終端對(duì)應(yīng)的數(shù)據(jù)傳輸優(yōu)先級(jí)。如此，即使終端以非認(rèn)證的方式接入網(wǎng)絡(luò)，也可以按照預(yù)存好的數(shù)據(jù)傳輸優(yōu)先級(jí)進(jìn)行數(shù)據(jù)傳輸，保障了數(shù)據(jù)傳輸優(yōu)先級(jí)高的用戶(hù)的終端網(wǎng)絡(luò)通訊質(zhì)量。

48、本技術(shù)實(shí)施例的第四方面，提供一種sdn控制器，所述sdn控制器包括：接收單元、確定單元和發(fā)送單元。

49、所述接收單元，用于接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一mac地址；

50、所述確定單元，用于基于所述接收單元接收的所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與vlan的綁定關(guān)系中，確定所述第一mac地址與第一vlan間的第一綁定關(guān)系；

51、所述發(fā)送單元，用于向所述第一交換機(jī)發(fā)送所述確定單元確定的所述第一綁定關(guān)系，以使所述終端接入所述第一vlan。

52、結(jié)合第四方面，在一種可能的實(shí)現(xiàn)方式中，所述第一信息還包括第一交換機(jī)接口的接口信息；所述第一交換機(jī)接口為所述終端接入所述第一交換機(jī)的接口；

53、所述確定單元，還用于確定所述第一mac地址存在對(duì)應(yīng)的第二交換機(jī)接口；

54、所述發(fā)送單元，還用于在滿(mǎn)足第一條件的情況下，向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系；其中，所述第一條件至少包括以下其中之一：

55、所述第一交換機(jī)接口為隨行接口；

56、所述第一交換機(jī)接口與所述第二交換機(jī)接口屬于同一業(yè)務(wù)網(wǎng)絡(luò)；

57、所述sdn控制器接收第一交換機(jī)發(fā)送第一信息的時(shí)間在允許遷移的預(yù)設(shè)時(shí)間段內(nèi)。

58、結(jié)合第四方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述發(fā)送單元，還用于在向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系之后，向所述第二交換機(jī)發(fā)送刪除指令，以指示所述第二交換機(jī)刪除所述第一綁定關(guān)系。

59、結(jié)合第四方面和上述可能的實(shí)現(xiàn)方式，在另一種可能的實(shí)現(xiàn)方式中，所述發(fā)送單元，具體用于向所述第一交換機(jī)發(fā)送所述第一綁定關(guān)系，并開(kāi)放所有隨行接口所接入的vlan。

60、結(jié)合第四方面，在另一種可能的實(shí)現(xiàn)方式中，每個(gè)所述綁定關(guān)系包括一個(gè)mac地址組與一個(gè)vlan之間的綁定關(guān)系，所述mac地址組包括至少一個(gè)mac地址；

61、所述確定單元，具體用于：

62、確定所述第一mac地址所屬的第一mac地址組；

63、基于所述第一mac地址組，從所述至少一個(gè)綁定關(guān)系中，確定所述第一mac地址組與第一vlan間的第一綁定關(guān)系。

64、結(jié)合第四方面，在另一種可能的實(shí)現(xiàn)方式中，所述sdn控制器還包括：傳輸單元；

65、所述確定單元，還用于在所述接收模塊接收第一交換機(jī)發(fā)送的第一信息之后，確定所述第一mac地址對(duì)應(yīng)的數(shù)據(jù)傳輸優(yōu)先級(jí)；

66、所述傳輸單元，用于基于所述確定單元確定的所述數(shù)據(jù)傳輸優(yōu)先級(jí)，傳輸所述終端在所述第一vlan上的傳輸數(shù)據(jù)。

67、具體的實(shí)現(xiàn)方式可以參考第一方面或第一方面的可能的實(shí)現(xiàn)方式提供的接入方法中sdn控制器的行為功能。

68、本技術(shù)實(shí)施例的第五方面，提供一種sdn控制器，所述sdn控制器包括：接收單元、確定單元和發(fā)送單元。

69、所述接收單元，用于接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一mac地址；

70、所述確定單元，用于基于所述接收單元接收的所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與終端安全組的映射關(guān)系中，確定所述第一mac地址與第一終端安全組的第一映射關(guān)系，不同終端安全組對(duì)應(yīng)的安全策略不同；

71、所述發(fā)送單元，用于向所述第一交換機(jī)發(fā)送所述確定單元確定的所述第一映射關(guān)系，以執(zhí)行所述第一終端安全組對(duì)應(yīng)的安全策略。

72、具體的實(shí)現(xiàn)方式可以參考第二方面或第二方面的可能的實(shí)現(xiàn)方式提供的策略隨行方法中sdn控制器的行為功能。

73、本技術(shù)實(shí)施例的第六方面，提供一種sdn控制器，所述sdn控制器包括：接收單元、確定單元和發(fā)送單元。

74、所述接收單元，用于接收第一交換機(jī)發(fā)送的第一信息，所述第一信息包括接入所述第一交換機(jī)的終端的第一mac地址；

75、所述確定單元，用于基于所述接收單元接收的所述第一mac地址，從預(yù)存的至少一個(gè)mac地址與數(shù)據(jù)傳輸優(yōu)先級(jí)的映射關(guān)系中，確定所述第一mac地址與第一數(shù)據(jù)傳輸優(yōu)先級(jí)的第二映射關(guān)系；

76、所述發(fā)送單元，用于向所述第一交換機(jī)發(fā)送所述確定模塊確定的所述第二映射關(guān)系，以按照所述第一數(shù)據(jù)傳輸優(yōu)先級(jí)傳輸所述終端的數(shù)據(jù)。

77、具體的實(shí)現(xiàn)方式可以參考第三方面或第三方面的可能的實(shí)現(xiàn)方式提供的傳輸方法中sdn控制器的行為功能。

78、本技術(shù)實(shí)施例的第七方面，提供一種sdn控制器，包括處理器和存儲(chǔ)器，所述存儲(chǔ)器存儲(chǔ)可在所述處理器上運(yùn)行的程序或指令，所述程序或指令被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面及其第一方面的可能的實(shí)現(xiàn)方式所述的接入方法的步驟，或?qū)崿F(xiàn)如第二方面及其第二方面的可能的實(shí)現(xiàn)方式所述的策略隨行方法的步驟，或?qū)崿F(xiàn)如第三方面及其第三方面的可能的實(shí)現(xiàn)方式所述的傳輸方法的步驟。

79、本技術(shù)實(shí)施例的第八方面，提供一種可讀存儲(chǔ)介質(zhì)，所述可讀存儲(chǔ)介質(zhì)上存儲(chǔ)程序或指令，所述程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)如第一方面及其第一方面的可能的實(shí)現(xiàn)方式所述的接入方法的步驟，或?qū)崿F(xiàn)如第二方面及其第二方面的可能的實(shí)現(xiàn)方式所述的策略隨行方法的步驟，或?qū)崿F(xiàn)如第三方面及其第三方面的可能的實(shí)現(xiàn)方式所述的傳輸方法的步驟。