本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，特別涉及一種虛擬機(jī)接入網(wǎng)絡(luò)的方法及裝置。
背景技術(shù)：
：如圖1所示，局域網(wǎng)內(nèi)可以包括：SDN(SoftwareDefinedNetwork，軟件定義網(wǎng)絡(luò))控制器100、認(rèn)證服務(wù)器200、接入設(shè)備300和虛擬機(jī)400。當(dāng)虛擬機(jī)400需要接入網(wǎng)絡(luò)時(shí)，該虛擬機(jī)400需要通過接入設(shè)備300將認(rèn)證請(qǐng)求報(bào)文發(fā)送給認(rèn)證服務(wù)器200；在認(rèn)證通過后，該虛擬機(jī)400通過接入設(shè)備300將地址請(qǐng)求報(bào)文發(fā)送給SDN控制器100；SDN控制器100根據(jù)地址請(qǐng)求報(bào)文為該虛擬機(jī)400分配IP(InternetProtocol，網(wǎng)絡(luò)協(xié)議)地址；這樣，該虛擬機(jī)400就可以根據(jù)分配的IP地址接入網(wǎng)絡(luò)了。由上可知，現(xiàn)有技術(shù)中，虛擬機(jī)接入網(wǎng)絡(luò)，是由SDN控制器和認(rèn)證服務(wù)器這兩個(gè)設(shè)備來(lái)控制的，無(wú)法實(shí)現(xiàn)SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，增加了網(wǎng)絡(luò)建設(shè)成本。技術(shù)實(shí)現(xiàn)要素：本發(fā)明實(shí)施例公開了一種虛擬機(jī)接入網(wǎng)絡(luò)的方法及裝置，以實(shí)現(xiàn)SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，降低網(wǎng)絡(luò)建設(shè)成本。為達(dá)到上述目的，本發(fā)明實(shí)施例公開了一種虛擬機(jī)接入網(wǎng)絡(luò)的方法，應(yīng)用于SDN控制器，所述方法包括：接收接入設(shè)備上送的虛擬機(jī)發(fā)送的認(rèn)證請(qǐng)求報(bào)文，并根據(jù)所述認(rèn)證請(qǐng)求報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文；接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第一身份請(qǐng)求響應(yīng)報(bào)文；所述第一身份請(qǐng)求響應(yīng)報(bào)文包括：所述虛擬機(jī)的第一身份信息；接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第二身份請(qǐng)求響應(yīng)報(bào)文；所述第二身份請(qǐng)求響應(yīng)報(bào)文包括：所述第一身份信息對(duì)應(yīng)的第一密碼信息；當(dāng)所述第一密碼信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的所述第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過；所述預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系；為所述虛擬機(jī)分配IP地址，并通過所述接入設(shè)備將所述IP地址發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述IP地址接入網(wǎng)絡(luò)。為達(dá)到上述目的，本發(fā)明實(shí)施例還公開了一種虛擬機(jī)接入網(wǎng)絡(luò)的裝置，應(yīng)用于SDN控制器，所述裝置包括：第一接收單元，用于接收接入設(shè)備上送的虛擬機(jī)發(fā)送的認(rèn)證請(qǐng)求報(bào)文，并根據(jù)所述認(rèn)證請(qǐng)求報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文；第二接收單元，用于接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第一身份請(qǐng)求響應(yīng)報(bào)文；所述第一身份請(qǐng)求響應(yīng)報(bào)文包括：所述虛擬機(jī)的第一身份信息；第三接收單元，用于接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第二身份請(qǐng)求響應(yīng)報(bào)文；所述第二身份請(qǐng)求響應(yīng)報(bào)文包括：所述第一身份信息對(duì)應(yīng)的第一密碼信息；確定單元，用于當(dāng)所述第一密碼信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的所述第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過；所述預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系；分配單元，用于為所述虛擬機(jī)分配IP地址，并通過所述接入設(shè)備將所述IP地址發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述IP地址接入網(wǎng)絡(luò)。本發(fā)明實(shí)例提供了一種虛擬機(jī)接入網(wǎng)絡(luò)的方法及裝置，SDN控制器中預(yù)先設(shè)置有一個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系，當(dāng)虛擬機(jī)需要認(rèn)證上線時(shí)，該虛擬機(jī)將認(rèn)證請(qǐng)求報(bào)文發(fā)送給SDN控制器；SDN控制器再向該虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文，從該虛擬機(jī)中獲取到第一身份信息和第一身份信息對(duì)應(yīng)的第一密碼信息，當(dāng)?shù)谝幻艽a信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確認(rèn)該虛擬機(jī)為合法用戶，該虛擬機(jī)認(rèn)證通過，繼而SDN控制器可以為該虛擬機(jī)分配IP地址，該虛擬機(jī)接入網(wǎng)絡(luò)，上線成功?？梢?，本發(fā)明實(shí)施例中，SDN控制器既可以對(duì)虛擬機(jī)進(jìn)行認(rèn)證，也可以為虛擬機(jī)分配IP地址，實(shí)現(xiàn)了SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，降低了網(wǎng)絡(luò)建設(shè)成本。附圖說(shuō)明為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為一種局域網(wǎng)的結(jié)構(gòu)示意圖；圖2為本發(fā)明實(shí)施例提供的一種虛擬機(jī)接入網(wǎng)絡(luò)的方法的一種流程示意圖；圖3為本發(fā)明實(shí)施例使用的局域網(wǎng)的結(jié)構(gòu)示意圖；圖4為本發(fā)明實(shí)施例提供的一種虛擬機(jī)接入網(wǎng)絡(luò)的方法的另一種流程示意圖；圖5為為基于圖2所示實(shí)施例的另一種實(shí)施例的部分流程圖；圖6為本發(fā)明實(shí)施例提供的一種虛擬機(jī)接入網(wǎng)絡(luò)的裝置的結(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。目前，無(wú)法實(shí)現(xiàn)SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，當(dāng)虛擬機(jī)需要通過認(rèn)證接入網(wǎng)絡(luò)時(shí)，需要在網(wǎng)絡(luò)中加設(shè)一臺(tái)認(rèn)證服務(wù)器，由該認(rèn)證服務(wù)器對(duì)虛擬機(jī)進(jìn)行認(rèn)證，再由SDN控制器為虛擬機(jī)分配IP地址，增加了網(wǎng)絡(luò)建設(shè)成本。本發(fā)明實(shí)施例提供了一種虛擬機(jī)接入網(wǎng)絡(luò)的方法及裝置，以實(shí)現(xiàn)SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，降低網(wǎng)絡(luò)建設(shè)成本。下面通過具體實(shí)施例，對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。參考圖2，圖2為本發(fā)明實(shí)施例提供的一種虛擬機(jī)接入網(wǎng)絡(luò)的方法的一種流程示意圖，應(yīng)用于SDN控制器，該方法包括：S201：接收接入設(shè)備上送的虛擬機(jī)發(fā)送的認(rèn)證請(qǐng)求報(bào)文，并根據(jù)所述認(rèn)證請(qǐng)求報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文；當(dāng)虛擬機(jī)啟動(dòng)時(shí)，若該虛擬機(jī)需要進(jìn)行認(rèn)證，該虛擬機(jī)可以向SDN控制器發(fā)送一個(gè)目的MAC(MediaAccessControl，媒體訪問控制)地址為SDN控制器的全局虛擬MAC地址的認(rèn)證請(qǐng)求報(bào)文(例如EAPOL-Start報(bào)文)；SDN控制器接收到認(rèn)證請(qǐng)求報(bào)文，確定該虛擬機(jī)需要進(jìn)行認(rèn)證，向該虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文，以獲取該虛擬機(jī)的第一身份信息。這里，身份請(qǐng)求報(bào)文可以為：Identity類型的請(qǐng)求報(bào)文。本發(fā)明實(shí)施例中，局域網(wǎng)的結(jié)構(gòu)可參考圖3，虛擬機(jī)500需要通過接入設(shè)備600與SDN控制器700連接。這種情況下，SDN控制器700接收到的虛擬機(jī)500發(fā)送的認(rèn)證請(qǐng)求報(bào)文可以為：虛擬機(jī)500通過接入設(shè)備600發(fā)送的認(rèn)證請(qǐng)求報(bào)文，也就是，虛擬機(jī)500將認(rèn)證請(qǐng)求報(bào)文發(fā)送給接入設(shè)備600，接入設(shè)備600封裝該認(rèn)證請(qǐng)求報(bào)文后，再將封裝后的認(rèn)證請(qǐng)求報(bào)文發(fā)送給SDN控制器接700；另外，向虛擬機(jī)500發(fā)送的身份請(qǐng)求報(bào)文為：通過接入設(shè)備600，向虛擬機(jī)500發(fā)送的身份請(qǐng)求報(bào)文，也就是，SDN控制器700將身份請(qǐng)求報(bào)文發(fā)送給接入設(shè)備600，接入設(shè)備600再將身份請(qǐng)求報(bào)文發(fā)送給虛擬機(jī)500。這里，接入設(shè)備600可以包括：硬件交換設(shè)備和OVS(OpenvSwitch，開放式交換設(shè)備)等。對(duì)于OVS，在OVS中存儲(chǔ)有一條所有報(bào)文都上送SDN控制器的流表；但對(duì)于硬件交換設(shè)備，在硬件交換設(shè)備中不存在所有報(bào)文都上送SDN控制器的流表。這種情況下，為了保證硬件交換設(shè)備能夠?qū)⒔邮盏降奶摂M機(jī)發(fā)送的所有報(bào)文都上送給SDN控制器，SDN控制器在接收到虛擬機(jī)通過硬件交換設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文之前，可以向硬件交換設(shè)備下發(fā)第二流表，該第二流表用于將目的MAC地址為SDN控制器的全局虛擬MAC地址的所有報(bào)文都上送SDN控制器。S202：接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第一身份請(qǐng)求響應(yīng)報(bào)文；所述第一身份請(qǐng)求響應(yīng)報(bào)文包括：所述虛擬機(jī)的第一身份信息；參考圖3，虛擬機(jī)500接收到SDN控制器700通過接入設(shè)備600發(fā)送的身份請(qǐng)求報(bào)文后，可以將用戶輸入的第一身份信息攜帶在第一身份請(qǐng)求響應(yīng)報(bào)文中發(fā)送給接入設(shè)備600，接入設(shè)備600封裝該第一身份請(qǐng)求響應(yīng)報(bào)文后，再將封裝后的第一身份請(qǐng)求響應(yīng)報(bào)文發(fā)送給SDN控制器接700。這里，身份信息可以為：用戶名信息，第一身份請(qǐng)求響應(yīng)報(bào)文可以為：Identity類型的響應(yīng)報(bào)文，第一身份請(qǐng)求響應(yīng)報(bào)文的目的MAC地址為SDN控制器的全局虛擬MAC地址。S203：接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第二身份請(qǐng)求響應(yīng)報(bào)文；所述第二身份請(qǐng)求響應(yīng)報(bào)文包括：所述第一身份信息對(duì)應(yīng)的第一密碼信息；參考圖3，虛擬機(jī)500接收到SDN控制器700通過接入設(shè)備600發(fā)送的身份請(qǐng)求報(bào)文后，可以將用戶輸入的第一身份信息對(duì)應(yīng)的第一密碼信息攜帶在第二身份請(qǐng)求響應(yīng)報(bào)文中發(fā)送給接入設(shè)備600，該第二身份請(qǐng)求響應(yīng)報(bào)文的目的MAC地址為SDN控制器的全局虛擬MAC地址，接入設(shè)備600封裝該第二身份請(qǐng)求響應(yīng)報(bào)文后，再將封裝后的第二身份請(qǐng)求響應(yīng)報(bào)文發(fā)送給SDN控制器接700。另外，該第二身份請(qǐng)求響應(yīng)報(bào)文也可以為：Identity類型的響應(yīng)報(bào)文。S204：當(dāng)所述第一密碼信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的所述第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過；這里，預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系。預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的信息為用戶預(yù)先配置的，可以理解為，預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的信息為合法用戶的信息。這種情況下，若第一密碼信息與第二密碼信息不同，可以說(shuō)明該虛擬機(jī)為非法用戶，該虛擬機(jī)認(rèn)證失??；若第一密碼信息與第二密碼信息相同，可以說(shuō)明該虛擬機(jī)為合法用戶，該虛擬機(jī)認(rèn)證通過，上線成功，此時(shí)SDN控制器可以為該虛擬機(jī)分配IP地址，使得該虛擬機(jī)接入網(wǎng)絡(luò)。另外，在虛擬機(jī)訪問網(wǎng)絡(luò)時(shí)，該SDN控制器可以根據(jù)認(rèn)證信息下發(fā)流表，進(jìn)而控制流量轉(zhuǎn)發(fā)，實(shí)現(xiàn)了SDN控制器集中控制流量的轉(zhuǎn)發(fā)。需要說(shuō)明的是，虛擬機(jī)接入網(wǎng)絡(luò)的認(rèn)證可以為802.1X認(rèn)證。這種情況下，需要在虛擬機(jī)上安裝802.1X客戶端，虛擬機(jī)與SDN控制器間的交互，實(shí)際上為虛擬機(jī)上802.1X客戶端與SDN控制器間的交互。S205：為所述虛擬機(jī)分配IP地址，并通過所述接入設(shè)備將所述IP地址發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述IP地址接入網(wǎng)絡(luò)。SDN控制器為虛擬機(jī)分配IP地址，并將IP地址發(fā)送給虛擬機(jī)的過程與現(xiàn)有技術(shù)相同，一般為，參考圖3，SDN控制器700通過DHCP(DynamicHostConfigurationProtoco，動(dòng)態(tài)主機(jī)設(shè)置協(xié)議)服務(wù)器為虛擬機(jī)500分配IP地址，再通過接入設(shè)備600將IP地址發(fā)送給虛擬機(jī)500，也就是，將該IP地址發(fā)送給接入設(shè)備600，接入設(shè)備600再將該IP地址發(fā)送給虛擬機(jī)500，虛擬機(jī)500根據(jù)該IP地址接入網(wǎng)絡(luò)。本發(fā)明其他實(shí)施例中，為了保證虛擬機(jī)的安全，可以分開獲得身份信息和密碼信息，并對(duì)密碼信息進(jìn)行加密。具體地，參考圖4，在圖2的基礎(chǔ)上，S202之后，上述虛擬機(jī)接入網(wǎng)絡(luò)的方法還可以包括：S401：從預(yù)設(shè)數(shù)據(jù)庫(kù)中查找所述第一身份信息對(duì)應(yīng)的第二密碼信息，并根據(jù)預(yù)設(shè)加密算法對(duì)所述第二密碼信息進(jìn)行加密；獲得第一身份信息后，可以在預(yù)設(shè)數(shù)據(jù)庫(kù)中查找第一身份信息，當(dāng)查找到時(shí)，獲得該第一身份信息對(duì)應(yīng)的第二密碼信息；若查找不到，可以認(rèn)為該虛擬機(jī)認(rèn)證失敗。這里，預(yù)設(shè)加密算法可以為MD5算法等，保證了加密后的密碼信息是唯一的一個(gè)值。例如，SDN控制器在預(yù)設(shè)數(shù)據(jù)庫(kù)中查找到第一身份信息，并獲得了第二密碼信息后，可以隨機(jī)生成一個(gè)MD5質(zhì)詢選項(xiàng)(例如MD5Challenge選項(xiàng))，按照MD5算法對(duì)第二密碼信息進(jìn)行加密。S402：通過所述接入設(shè)備將所述預(yù)設(shè)加密算法發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述預(yù)設(shè)加密算法對(duì)本地所述第一身份信息對(duì)應(yīng)的第一密碼信息進(jìn)行加密；SDN控制器700可以將預(yù)設(shè)加密算法攜帶在質(zhì)詢接入報(bào)文(例如RADIUSAccess-Challenge報(bào)文)中發(fā)送給接入設(shè)備600，接入設(shè)備600再將質(zhì)詢接入報(bào)文發(fā)送給虛擬機(jī)500。虛擬機(jī)500接收到質(zhì)詢接入報(bào)文后，按照該質(zhì)詢接入報(bào)文中攜帶的預(yù)設(shè)加密算法對(duì)第一密碼信息進(jìn)行加密。例如，質(zhì)詢接入報(bào)文中攜帶有MD5質(zhì)詢選項(xiàng)，則預(yù)設(shè)加密算法為MD5算法，虛擬機(jī)需要按照MD5算法對(duì)第一密碼信息進(jìn)行加密。虛擬機(jī)500對(duì)第一密碼信息進(jìn)行加密后，可以將加密后的第一密碼信息攜帶在第二身份請(qǐng)求響應(yīng)報(bào)文(例如EAP-Response/MD5Challenge報(bào)文)中發(fā)送給接入設(shè)備600，接入設(shè)備600再將該第二身份請(qǐng)求響應(yīng)報(bào)文發(fā)送給SDN控制器700。這種情況下，S204可以為：當(dāng)加密后的所述第一密碼信息與加密后的所述第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過。這里，虛擬機(jī)和SDN控制器間傳遞的密碼信息都是經(jīng)過加密后的，使得密碼信息不易被竊取到，提高了虛擬機(jī)的安全性；另外，加密后的密碼信息是唯一的，能夠準(zhǔn)確的確定出第一密碼信息與第二密碼信息是否相同，進(jìn)一步提高了虛擬機(jī)的安全性。為了保證虛擬機(jī)的安全，節(jié)約SDN控制器的路徑計(jì)算資源和防止SDN控制器受到攻擊，在本發(fā)明其他實(shí)施例中，SDN控制器通過接入設(shè)備，將IP地址發(fā)送給虛擬機(jī)之后，參考圖5，在圖2的基礎(chǔ)上，上述虛擬機(jī)接入網(wǎng)絡(luò)的方法還可以包括：S501：在所述預(yù)設(shè)數(shù)據(jù)庫(kù)中，存儲(chǔ)所述第一身份信息、所述IP地址和所述虛擬機(jī)的MAC地址的對(duì)應(yīng)關(guān)系，并通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第一端口配置信息；這樣，虛擬機(jī)根據(jù)第一端口配置信息將發(fā)送認(rèn)證請(qǐng)求報(bào)文的第一端口設(shè)置為授權(quán)狀態(tài)。需要說(shuō)明的是，授權(quán)狀態(tài)可以理解為up狀態(tài)，虛擬機(jī)將第一端口設(shè)置為up狀態(tài)后，其可以通過該第一端口發(fā)送流量。另外，預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息IP地址和MAC地址的對(duì)應(yīng)關(guān)系。例如，虛擬機(jī)的MAC地址為MAC1，分配給該虛擬機(jī)的IP地址為IP1，第一身份信息為qqq，密碼信息為111111，在預(yù)設(shè)數(shù)據(jù)庫(kù)中可以存儲(chǔ)的信息如表1所示。表1身份信息密碼信息IP+MACqqq111111IP1+MAC1在本發(fā)明的一個(gè)實(shí)施例中，為了避免因虛擬機(jī)異常下線而SDN控制器無(wú)法感知到的情況，在虛擬機(jī)上線期間，SDN控制器可以通過接入設(shè)備，定時(shí)向虛擬機(jī)發(fā)送針對(duì)第一端口的握手報(bào)文；若SDN控制器發(fā)送預(yù)設(shè)數(shù)量個(gè)握手報(bào)文，均未接收到接入設(shè)備上送的該虛擬機(jī)通過第一端口發(fā)送的握手響應(yīng)報(bào)文，則通過接入設(shè)備向該虛擬機(jī)發(fā)送第二端口配置信息，該虛擬機(jī)根據(jù)第二端口配置信息，將第一端口的狀態(tài)設(shè)置為未授權(quán)狀態(tài)；同時(shí)，刪除預(yù)設(shè)數(shù)據(jù)庫(kù)中第一身份信息對(duì)應(yīng)的IP地址和該虛擬機(jī)的MAC地址，該虛擬機(jī)下線成功。這里，未授權(quán)狀態(tài)可以理解為down狀態(tài)，虛擬機(jī)將本地上線端口的狀態(tài)設(shè)置為down狀態(tài)后，該虛擬機(jī)將不可以通過該上線端口發(fā)送流量。在本發(fā)明的另一個(gè)實(shí)施例中，虛擬機(jī)還可以通過第一端口發(fā)送下線報(bào)文(例如EAPOL-Logoff報(bào)文)主動(dòng)請(qǐng)求下線。一般的，虛擬機(jī)通過接入設(shè)備將下線報(bào)文發(fā)送給SDN控制器；SDN控制器接收到接入設(shè)備上送的虛擬機(jī)通過第一端口發(fā)送的下線報(bào)文后，根據(jù)該下線報(bào)文，通過接入設(shè)備向虛擬機(jī)發(fā)送第二端口配置信息和下線成功報(bào)文(例如EPAOL-Failure報(bào)文)；同時(shí)，刪除預(yù)設(shè)數(shù)據(jù)庫(kù)中第一身份信息對(duì)應(yīng)的IP地址和虛擬機(jī)的MAC地址，該虛擬機(jī)下線成功。在本發(fā)明的一個(gè)實(shí)施例中，為了便于計(jì)費(fèi)，還可以在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)上線時(shí)間和下線時(shí)間。具體的，SDN控制器在通過接入設(shè)備，將IP地址發(fā)送給虛擬機(jī)之后，虛擬機(jī)上線成功，將當(dāng)前時(shí)刻作為上線時(shí)間，在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)第一身份信息與上線時(shí)間的對(duì)應(yīng)關(guān)系；在刪除預(yù)設(shè)數(shù)據(jù)庫(kù)中第一身份信息對(duì)應(yīng)的IP地址和該虛擬機(jī)的MAC地址之后，該虛擬機(jī)下線成功，將當(dāng)前時(shí)刻作為下線時(shí)間，在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)第一身份信息與下線時(shí)間的對(duì)應(yīng)關(guān)系。仍以上面的例子進(jìn)行說(shuō)明，當(dāng)虛擬機(jī)上線成功后，當(dāng)前時(shí)刻為10:00，將10:00作為上線時(shí)間，在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)第一身份信息與上線時(shí)間的對(duì)應(yīng)關(guān)系；當(dāng)虛擬機(jī)下線成功后，當(dāng)前時(shí)刻為11:00，將11:00作為下線時(shí)間，在預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)第一身份信息與下線時(shí)間的對(duì)應(yīng)關(guān)系，如表2所示。表2身份信息密碼信息上線成功下線時(shí)間IP+MACqqq11111110:0011:00IP1+MAC1S502：接收所述接入設(shè)備上送的所述虛擬機(jī)通過所述第一端口發(fā)送的流量；S503：判斷所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址是否為所述預(yù)設(shè)數(shù)據(jù)庫(kù)中記錄的信息或所述SDN控制器的虛擬MAC地址；如果是，S504；否則，S505；SDN控制器接收到的流量可能是來(lái)自局域網(wǎng)外的流量，也可能是來(lái)自本局域網(wǎng)的流量，為了避免SDN控制器受到攻擊，導(dǎo)致局域網(wǎng)內(nèi)的虛擬機(jī)的不安全，可以對(duì)比流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址是否為預(yù)設(shè)數(shù)據(jù)庫(kù)中記錄的信息或SDN控制器的虛擬MAC地址，如果是，也就是，流量的源IP地址和源MAC地址的對(duì)應(yīng)關(guān)系包含在預(yù)設(shè)數(shù)據(jù)庫(kù)中，并且該流量的目的IP地址和目的MAC地址的對(duì)應(yīng)關(guān)系包含在預(yù)設(shè)數(shù)據(jù)庫(kù)中或該流量的目的MAC地址為SDN控制器的全局虛擬MAC地址，則確定該流量對(duì)應(yīng)的源虛擬機(jī)和目的虛擬機(jī)為合法用戶，該次訪問為安全的訪問，執(zhí)行S504；否則，確定該次訪問為不安全的訪問，執(zhí)行S505。S504：根據(jù)所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址，計(jì)算針對(duì)所述流量的第一流表，并將所述第一流表下發(fā)給所述接入設(shè)備；這樣，接入設(shè)備就可以根據(jù)該第一流表轉(zhuǎn)發(fā)該流量。值得一提的是，預(yù)設(shè)數(shù)據(jù)庫(kù)中還可以存儲(chǔ)用戶設(shè)置的訪問權(quán)限信息。仍以S501中的例子進(jìn)行說(shuō)明，訪問權(quán)限信息為*****，如表3所示。表3身份信息密碼信息上線成功下線時(shí)間訪問權(quán)限信息IP+MACqqq11111110:0011:00*****IP1+MAC1這樣情況下，可以根據(jù)第一身份信息對(duì)應(yīng)的訪問權(quán)限信息，控制第一流表下發(fā)給接入設(shè)備，當(dāng)?shù)谝簧矸菪畔?duì)應(yīng)的訪問權(quán)限信息為：允許下發(fā)流表時(shí)，將第一流表下發(fā)給接入設(shè)備；當(dāng)?shù)谝簧矸菪畔?duì)應(yīng)的訪問權(quán)限信息為：禁止下發(fā)流表，則拒絕將第一流表下發(fā)給接入設(shè)備。S505：丟棄所述流量。應(yīng)用上述實(shí)施例，SDN控制器中預(yù)先設(shè)置有一個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系，當(dāng)虛擬機(jī)需要認(rèn)證上線時(shí)，該虛擬機(jī)將認(rèn)證請(qǐng)求報(bào)文發(fā)送給SDN控制器；SDN控制器再向該虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文，從該虛擬機(jī)中獲取到第一身份信息和第一身份信息對(duì)應(yīng)的第一密碼信息，當(dāng)?shù)谝幻艽a信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確認(rèn)該虛擬機(jī)為合法用戶，該虛擬機(jī)認(rèn)證通過，繼而SDN控制器可以為該虛擬機(jī)分配IP地址，該虛擬機(jī)接入網(wǎng)絡(luò)，上線成功?？梢?，本發(fā)明實(shí)施例中，SDN控制器既可以對(duì)虛擬機(jī)進(jìn)行認(rèn)證，也可以為虛擬機(jī)分配IP地址，實(shí)現(xiàn)了SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，降低了網(wǎng)絡(luò)建設(shè)成本。參考圖6，圖6為本發(fā)明實(shí)施例提供的一種虛擬機(jī)接入網(wǎng)絡(luò)的裝置的結(jié)構(gòu)示意圖，應(yīng)用于SDN控制器，所述裝置包括：第一接收單元601，用于接收接入設(shè)備上送的虛擬機(jī)發(fā)送的認(rèn)證請(qǐng)求報(bào)文，并根據(jù)所述認(rèn)證請(qǐng)求報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文；第二接收單元602，用于接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第一身份請(qǐng)求響應(yīng)報(bào)文；所述第一身份請(qǐng)求響應(yīng)報(bào)文包括：所述虛擬機(jī)的第一身份信息；第三接收單元603，用于接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第二身份請(qǐng)求響應(yīng)報(bào)文；所述第二身份請(qǐng)求響應(yīng)報(bào)文包括：所述第一身份信息對(duì)應(yīng)的第一密碼信息；確定單元604，用于當(dāng)所述第一密碼信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的所述第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過；所述預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系；分配單元605，用于為所述虛擬機(jī)分配IP地址，并通過所述接入設(shè)備將所述IP地址發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述IP地址接入網(wǎng)絡(luò)。在本發(fā)明其他實(shí)施例中，所述裝置還可以包括：加密單元(圖6中未示出)，用于在接收所述接入設(shè)備上送的所述虛擬機(jī)發(fā)送的第一身份請(qǐng)求響應(yīng)報(bào)文之后，從預(yù)設(shè)數(shù)據(jù)庫(kù)中查找所述第一身份信息對(duì)應(yīng)的第二密碼信息，并根據(jù)預(yù)設(shè)加密算法對(duì)所述第二密碼信息進(jìn)行加密；第一發(fā)送單元(圖6中未示出)，用于通過所述接入設(shè)備將所述預(yù)設(shè)加密算法發(fā)送給所述虛擬機(jī)，以使所述虛擬機(jī)根據(jù)所述預(yù)設(shè)加密算法對(duì)本地所述第一身份信息對(duì)應(yīng)的第一密碼信息進(jìn)行加密；這種情況下，所述第二身份請(qǐng)求響應(yīng)報(bào)文包括的所述第一身份信息對(duì)應(yīng)的第一密碼信息具體為：加密后的所述第一密碼信息；所述確定單元604，具體可以用于：當(dāng)加密后的所述第一密碼信息與加密后的所述第二密碼信息相同時(shí)，確定所述虛擬機(jī)認(rèn)證通過。在本發(fā)明其他實(shí)施例中，所述裝置還可以包括：存儲(chǔ)單元(圖6中未示出)，用于在通過所述接入設(shè)備將所述IP地址發(fā)送給所述虛擬機(jī)之后，在所述預(yù)設(shè)數(shù)據(jù)庫(kù)中，存儲(chǔ)所述第一身份信息、所述IP地址和所述虛擬機(jī)的MAC地址的對(duì)應(yīng)關(guān)系，并通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第一端口配置信息，以使所述虛擬機(jī)根據(jù)所述第一端口配置信息將發(fā)送所述認(rèn)證請(qǐng)求報(bào)文的第一端口設(shè)置為授權(quán)狀態(tài)；第四接收單元(圖6中未示出)，用于接收所述接入設(shè)備上送的所述虛擬機(jī)通過所述第一端口發(fā)送的流量；計(jì)算單元(圖6中未示出)，用于若所述流量的源IP地址和源MAC地址的對(duì)應(yīng)關(guān)系包含在所述預(yù)設(shè)數(shù)據(jù)庫(kù)中，并且所述流量的目的IP地址和目的MAC地址的對(duì)應(yīng)關(guān)系包含在所述預(yù)設(shè)數(shù)據(jù)庫(kù)中或所述流量的目的MAC地址為所述SDN控制器的全局虛擬MAC地址，則根據(jù)所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址，計(jì)算針對(duì)所述流量的第一流表，并將所述第一流表下發(fā)給所述接入設(shè)備，以使所述接入設(shè)備根據(jù)所述第一流表轉(zhuǎn)發(fā)所述流量；否則，丟棄所述流量。在本發(fā)明其他實(shí)施例中，所述預(yù)設(shè)數(shù)據(jù)庫(kù)中還可以存儲(chǔ)有用戶設(shè)置的訪問權(quán)限信息；這種情況下，所述計(jì)算單元，具體可以用于：當(dāng)所述第一身份信息對(duì)應(yīng)的訪問權(quán)限信息為允許下發(fā)時(shí)，將所述第一流表下發(fā)給所述接入設(shè)備。在本發(fā)明其他實(shí)施例中，所述裝置還可以包括：第二發(fā)送單元(圖6中未示出)，用于在通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第一端口配置信息之后，通過所述接入設(shè)備，定時(shí)向所述虛擬機(jī)發(fā)送針對(duì)所述第一端口的握手報(bào)文；第三發(fā)送單元(圖6中未示出)，用于若所述SDN控制器發(fā)送預(yù)設(shè)數(shù)量個(gè)握手報(bào)文，均未接收到所述接入設(shè)備上送的所述虛擬機(jī)通過所述第一端口發(fā)送的握手響應(yīng)報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第二端口配置信息，以使所述虛擬機(jī)根據(jù)所述第二端口配置信息將所述第一端口設(shè)置為未授權(quán)狀態(tài)；刪除單元(圖6中未示出)，用于刪除所述預(yù)設(shè)數(shù)據(jù)庫(kù)中所述第一身份信息對(duì)應(yīng)的所述IP地址和所述虛擬機(jī)的MAC地址。在本發(fā)明其他實(shí)施例中，所述裝置還可以包括：第五接收單元(圖6中未示出)，用于在通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第一端口配置信息之后，接收所述接入設(shè)備上送的所述虛擬機(jī)通過所述第一端口發(fā)送的下線報(bào)文；第四發(fā)送單元(圖6中未示出)，用于根據(jù)所述下線報(bào)文，通過所述接入設(shè)備向所述虛擬機(jī)發(fā)送第二端口配置信息和下線成功報(bào)文，以使所述虛擬機(jī)根據(jù)所述第二端口配置信息將所述第一端口設(shè)置為未授權(quán)狀態(tài)；刪除單元(圖6中未示出)，用于刪除所述預(yù)設(shè)數(shù)據(jù)庫(kù)中所述第一身份信息對(duì)應(yīng)的所述IP地址和所述虛擬機(jī)的MAC地址。在本發(fā)明其他實(shí)施例中，所述認(rèn)證請(qǐng)求報(bào)文、所述第一身份請(qǐng)求響應(yīng)報(bào)文和所述第二身份請(qǐng)求響應(yīng)報(bào)文的目的MAC地址為所述SDN控制器的全局虛擬MAC地址；這種情況下，所述裝置還可以包括：下發(fā)單元(圖6中未示出)，用于在接收接入設(shè)備上送的虛擬機(jī)通過接入設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文之前，向所述接入設(shè)備下發(fā)第二流表，其中，所述第二流表用于將目的MAC地址為所述SDN控制器的全局虛擬MAC地址的所有報(bào)文上送至所述SDN控制器。應(yīng)用上述實(shí)施例，SDN控制器中預(yù)先設(shè)置有一個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存儲(chǔ)有身份信息與密碼信息的對(duì)應(yīng)關(guān)系，當(dāng)虛擬機(jī)需要認(rèn)證上線時(shí)，該虛擬機(jī)將認(rèn)證請(qǐng)求報(bào)文發(fā)送給SDN控制器；SDN控制器再向該虛擬機(jī)發(fā)送身份請(qǐng)求報(bào)文，從該虛擬機(jī)中獲取到第一身份信息和第一身份信息對(duì)應(yīng)的第一密碼信息，當(dāng)?shù)谝幻艽a信息與預(yù)設(shè)數(shù)據(jù)庫(kù)中存儲(chǔ)的第一身份信息對(duì)應(yīng)的第二密碼信息相同時(shí)，確認(rèn)該虛擬機(jī)為合法用戶，該虛擬機(jī)認(rèn)證通過，繼而SDN控制器可以為該虛擬機(jī)分配IP地址，該虛擬機(jī)接入網(wǎng)絡(luò)，上線成功?？梢姡景l(fā)明實(shí)施例中，SDN控制器既可以對(duì)虛擬機(jī)進(jìn)行認(rèn)證，也可以為虛擬機(jī)分配IP地址，實(shí)現(xiàn)了SDN控制器集中控制虛擬機(jī)接入網(wǎng)絡(luò)，降低了網(wǎng)絡(luò)建設(shè)成本。對(duì)于裝置實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可。需要說(shuō)明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部分步驟是可以通過程序來(lái)指令相關(guān)的硬件來(lái)完成，所述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，這里所稱得的存儲(chǔ)介質(zhì)，如：ROM/RAM、磁碟、光盤等。以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等，均包含在本發(fā)明的保護(hù)范圍內(nèi)。當(dāng)前第1頁(yè)1 2 3