亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種arp報(bào)文的處理方法和設(shè)備的制造方法

文檔序號(hào):8530458閱讀:520來源:國(guó)知局
一種arp報(bào)文的處理方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種地址解析協(xié)議ARP (Address Resolut1nProtocol)報(bào)文的處理方法和設(shè)備。
【背景技術(shù)】
[0002]如圖1所示,為現(xiàn)有SDN (Software Defined Network,軟件定義網(wǎng)絡(luò))的組網(wǎng)結(jié)構(gòu)示意圖。在現(xiàn)有的SDN網(wǎng)絡(luò)中,所有的ARP報(bào)文并沒有廣播轉(zhuǎn)發(fā),而是由控制器(Controller)進(jìn)行代答。即,SDN網(wǎng)絡(luò)中的各個(gè)轉(zhuǎn)發(fā)設(shè)備(例如虛擬交換機(jī)(VirtualSwitch))將各自接收的ARP報(bào)文統(tǒng)一上報(bào)給控制器,由控制器統(tǒng)一響應(yīng)各ARP報(bào)文。
[0003]具體地,SDN網(wǎng)絡(luò)中的虛擬機(jī)的端口要向控制器進(jìn)行注冊(cè),注冊(cè)信息包括該端口的IP地址(即,互聯(lián)網(wǎng)協(xié)議地址)和MAC地址(即,媒體訪問控制地址)等信息。這樣,該虛擬機(jī)需要與其他虛擬機(jī)進(jìn)行通信時(shí),向與該虛擬機(jī)連接的轉(zhuǎn)發(fā)設(shè)備發(fā)送ARP報(bào)文;該轉(zhuǎn)發(fā)設(shè)備收到該ARP報(bào)文后,默認(rèn)動(dòng)作是上報(bào)控制器,即,將該ARP報(bào)文上報(bào)給控制器;控制器查找本地表項(xiàng),根據(jù)該虛擬機(jī)的注冊(cè)信息進(jìn)行ARP代答,將ARP代答報(bào)文通過openf low協(xié)議下發(fā)到該端口 ;后續(xù)該虛擬機(jī)獲得該其它虛擬機(jī)的IP地址(Internet Protocol Address,互聯(lián)網(wǎng)協(xié)議地址)和MAC地址(Media Access Control Address,媒體訪問控制地址),開始與該其他虛擬機(jī)進(jìn)行通信。
[0004]從上述對(duì)SDN網(wǎng)絡(luò)中ARP報(bào)文的處理過程可以看出,轉(zhuǎn)發(fā)設(shè)備對(duì)接收到的ARP報(bào)文都默認(rèn)上報(bào)給控制器,如果轉(zhuǎn)發(fā)設(shè)備接收到大量的用于攻擊和用于欺騙的偽造IP地址和MAC地址的ARP報(bào)文,并將這些報(bào)文直接上報(bào)給控制器,這就導(dǎo)致網(wǎng)絡(luò)的安全性較差。

【發(fā)明內(nèi)容】

[0005]本申請(qǐng)?zhí)峁┝艘环NARP報(bào)文的處理方法和設(shè)備,用于解決現(xiàn)有SDN網(wǎng)絡(luò)中ARP報(bào)文的處理機(jī)制導(dǎo)致的網(wǎng)絡(luò)安全性差的問題。
[0006]為達(dá)到上述目的,本發(fā)明提供了一種ARP報(bào)文處理方法,至少包括以下步驟:
[0007]軟件定義網(wǎng)絡(luò)SDN網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備將通過自身的第一端口接收到的所述SDN網(wǎng)絡(luò)中的虛擬機(jī)發(fā)送的注冊(cè)信息上報(bào)給所述SDN網(wǎng)絡(luò)中的控制器;
[0008]所述轉(zhuǎn)發(fā)設(shè)備接收所述控制器下發(fā)的針對(duì)所述第一端口的第一過濾流表,所述第一過濾流表包含所述注冊(cè)信息中所述虛擬機(jī)的IP地址和MAC地址;
[0009]所述轉(zhuǎn)發(fā)設(shè)備在通過所述第一端口接收到ARP報(bào)文時(shí),判斷所述ARP報(bào)文中攜帶的源IP地址和源MAC地址是否均與所述第一過濾流表中的IP地址和MAC地址一致;
[0010]當(dāng)判斷結(jié)果為是時(shí),將所述ARP報(bào)文上報(bào)給所述控制器。
[0011]本發(fā)明還提供了一種轉(zhuǎn)發(fā)設(shè)備,該轉(zhuǎn)發(fā)設(shè)備包括:
[0012]上報(bào)模塊,用于將通過軟件定義網(wǎng)絡(luò)SDN中的所述轉(zhuǎn)發(fā)設(shè)備自身的第一端口接收到的所述SDN網(wǎng)絡(luò)中的虛擬機(jī)發(fā)送的注冊(cè)信息上報(bào)給所述SDN網(wǎng)絡(luò)中的控制器;以及在判斷模塊判斷出ARP報(bào)文中攜帶的源IP地址和源MAC地址均與第一過濾流表中的IP地址和MAC地址一致時(shí),將所述ARP報(bào)文上報(bào)給所述控制器;
[0013]接收模塊,用于接收所述控制器下發(fā)針對(duì)所述第一端口的第一過濾流表,所述第一過濾流表包含所述注冊(cè)信息中所述虛擬機(jī)的IP地址和MAC地址;
[0014]判斷模塊,用于在通過所述第一端口接收到ARP報(bào)文時(shí),判斷所述ARP報(bào)文中的攜帶的源IP地址和源MAC地址是否均與所述第一過濾流表中的IP地址和MAC地址一致。
[0015]本發(fā)明還提供了一種ARP報(bào)文處理方法,至少包括以下步驟:
[0016]軟件定義網(wǎng)絡(luò)SDN網(wǎng)絡(luò)中的控制器接收所述SDN網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備在通過所述轉(zhuǎn)發(fā)設(shè)備的第一端口接收到所述SDN網(wǎng)絡(luò)中的虛擬機(jī)發(fā)送的注冊(cè)信息后上報(bào)的所述注冊(cè)信息;
[0017]所述控制器向所述轉(zhuǎn)發(fā)設(shè)備下發(fā)針對(duì)所述第一端口的、且包含有所述注冊(cè)信息中所述虛擬機(jī)的IP地址和MAC地址的第一過濾流表,以使所述轉(zhuǎn)發(fā)設(shè)備在通過所述第一端口接收到ARP報(bào)文時(shí),判斷所述ARP報(bào)文中的源IP地址和源MAC地址是否均與所述第一過濾流表中的IP地址和MAC地址一致,并在判斷結(jié)果為是時(shí),將所述ARP報(bào)文上報(bào)給所述控制器。
[0018]本發(fā)明還提供了一種控制器,該控制器包括:
[0019]接收模塊,用于接收所述SDN網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備在通過所述轉(zhuǎn)發(fā)設(shè)備的第一端口接收到所述SDN網(wǎng)絡(luò)中的虛擬機(jī)發(fā)送的注冊(cè)信息后上報(bào)的所述注冊(cè)信息;
[0020]下發(fā)模塊,用于向所述轉(zhuǎn)發(fā)設(shè)備下發(fā)針對(duì)所述第一端口的、且包含有所述注冊(cè)信息中所述虛擬機(jī)的IP地址和MAC地址的第一過濾流表,以使所述轉(zhuǎn)發(fā)設(shè)備在通過所述第一端口接收到ARP報(bào)文時(shí),判斷所述ARP報(bào)文中的源IP地址和源MAC地址是否均與所述第一過濾流表中的IP地址和MAC地址一致,并在判斷結(jié)果為是時(shí),將所述ARP報(bào)文上報(bào)給所述控制器。
[0021]與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn):
[0022]通過應(yīng)用本發(fā)明的技術(shù)方案,SDN網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)設(shè)備將通過自身的第一端口接收到的SDN網(wǎng)絡(luò)中的虛擬機(jī)發(fā)送的注冊(cè)信息上報(bào)給SDN網(wǎng)絡(luò)中的控制器;并接收控制器下發(fā)的針對(duì)第一端口的第一過濾流表,第一過濾流表包含注冊(cè)信息中虛擬機(jī)的IP地址和MAC地址;將通過第一端口接收到的ARP報(bào)文中與第一過濾流表中的IP地址和MAC地址一致的ARP報(bào)文上報(bào)給控制器??梢?,本發(fā)明通過對(duì)ARP報(bào)文進(jìn)行過濾,將非法ARP報(bào)文(攻擊或欺騙的ARP報(bào)文)過濾掉,不僅提高了網(wǎng)絡(luò)的安全性,還避免了大量的非法ARP報(bào)文占用較多的帶寬資源及導(dǎo)致控制器的CPU占用率較高的問題,進(jìn)而提高了控制器對(duì)ARP報(bào)文的代答效率,減少了硬件資源消耗。
【附圖說明】
[0023]圖1為現(xiàn)有SDN的組網(wǎng)示意圖;
[0024]圖2為本發(fā)明所提出的一種ARP報(bào)文處理方法的流程示意圖之一;
[0025]圖3為適用于本發(fā)明提供的ARP報(bào)文處理方法的SDN網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
[0026]圖4為本發(fā)明所提出的一種ARP報(bào)文處理方法的流程示意圖之二 ;
[0027]圖5為本發(fā)明中提出的一種轉(zhuǎn)發(fā)設(shè)備的結(jié)構(gòu)示意圖;
[0028]圖6為本發(fā)明所提出的ARP報(bào)文處理方法的流程示意圖之三;
[0029]圖7為本發(fā)明所提出的ARP報(bào)文處理方法的流程示意圖之四;
[0030]圖8為本發(fā)明中提出的一種控制器的結(jié)構(gòu)示意圖;
【具體實(shí)施方式】
[0031]下面將結(jié)合本發(fā)明的實(shí)施例中的附圖,對(duì)本發(fā)明的實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,下面所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有付出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明的實(shí)施例保護(hù)的范圍。
[0032]如圖2所示,為實(shí)施例一所提出的一種ARP報(bào)文處理方法的流程示意圖,該方法應(yīng)用于包括有虛擬機(jī)、轉(zhuǎn)發(fā)設(shè)備和控制器的SDN網(wǎng)絡(luò)中,下面將在轉(zhuǎn)發(fā)設(shè)備側(cè)對(duì)該方法進(jìn)行詳細(xì)說明。
[0033]該方法,具體包括以下步驟:
[0034]步驟S201、轉(zhuǎn)發(fā)設(shè)備將通過自身的第一端口接收到的虛擬機(jī)發(fā)送的注冊(cè)信息上報(bào)給控制器。
[0035]例如圖3中,轉(zhuǎn)發(fā)設(shè)備通過自身的第一端口 Pl與虛擬機(jī)連接,虛擬機(jī)在進(jìn)行注冊(cè)時(shí),會(huì)將攜帶該虛擬機(jī)的IP地址和MAC地址的注冊(cè)信息通過轉(zhuǎn)發(fā)設(shè)備上報(bào)給控制器。
[0036]步驟S202、轉(zhuǎn)發(fā)設(shè)備接收控制器下發(fā)的針對(duì)第一端口的第一過濾流表,該第一過濾流表包含注冊(cè)信息中虛擬機(jī)的IP地址和MAC地址。
[0037]控制器獲得攜帶該虛擬機(jī)的IP地址和MAC地址的注冊(cè)信息后,針對(duì)轉(zhuǎn)發(fā)設(shè)備上與該虛擬機(jī)連接的第一端口 Pl,生成包含該虛擬機(jī)的IP地址和MAC地址的第一過濾流表,并將該第一過濾流表下發(fā)到第一端口 Pl。需要注意的是,控制器下發(fā)的包含該虛擬機(jī)的IP地址和MAC地址的第一過濾流表是不老化的流表。
[0038]步驟S203、轉(zhuǎn)發(fā)設(shè)備在通過第一端口接收到ARP報(bào)文時(shí),判斷ARP報(bào)文中攜帶的源IP地址和源MAC地址是否均與第一過濾流表中的IP地址和MAC地址一致;
[0039]虛擬機(jī)進(jìn)行注冊(cè)后,當(dāng)需要與其他虛擬機(jī)進(jìn)行通信時(shí),向與該虛擬機(jī)連接的轉(zhuǎn)發(fā)設(shè)備發(fā)送ARP報(bào)文,轉(zhuǎn)發(fā)設(shè)備在第一端口接收到ARP報(bào)文時(shí),判斷該ARP報(bào)文中攜帶的源IP地址和源MAC地址是否均與控制器下發(fā)到該第一端口的第一過濾流表中的IP地址和MAC地址一致。
[0040]若判斷結(jié)果為是,則執(zhí)行下述步驟S204。
[0041]步驟S204、將ARP報(bào)文發(fā)送給控制器。
[0042]也就是說,如果ARP報(bào)文中的源IP地址和源MAC地址與第一過濾流表中的IP地址和MAC地址一致,則認(rèn)為該ARP報(bào)文是虛擬機(jī)發(fā)送的合法ARP報(bào)文,轉(zhuǎn)發(fā)設(shè)備將該ARP報(bào)文上報(bào)給控制器。
[0043]優(yōu)選地,在這種情況下,轉(zhuǎn)發(fā)設(shè)備可以根據(jù)第一過濾流表中的執(zhí)行動(dòng)作實(shí)現(xiàn)該ARP報(bào)文的上報(bào),例如,第一過濾流表中的執(zhí)行動(dòng)作為執(zhí)行其他流表中的操作后上報(bào),此時(shí),轉(zhuǎn)發(fā)設(shè)備需要對(duì)該ARP報(bào)文按照其他流表中的操作處理之后,再上報(bào)給控制器。
[0044]如果該ARP報(bào)文中的源IP地址與第一過濾流表中的IP地址不一致,且該ARP報(bào)文中的源MAC地址與第一過濾流表中的MAC地址不一致;或者,
[0045]該ARP報(bào)文中的源IP地址與第一過濾流表中的IP地址一致,但該ARP報(bào)文中的源MAC地址與第一過濾流表中的MAC地址不一致;或者,
[0046]該ARP報(bào)文中的源IP地址與第一過濾流表中的IP地址不一致,但該ARP報(bào)文中的源MAC地址與第一過濾流表中的MAC地址一致,則執(zhí)行下述步驟S205。
[0047]步驟S205、將ARP報(bào)文丟棄。
[0048]也就是說,除判斷結(jié)果為是之外的其他幾種情況,均視為該ARP報(bào)文是非法ARP報(bào)文,轉(zhuǎn)發(fā)設(shè)備將該ARP報(bào)文丟棄,以避免過多占用控制器的帶寬資源。
[0049]優(yōu)選地,在這種情況下,轉(zhuǎn)發(fā)設(shè)備可以根據(jù)第一過濾流表中的執(zhí)行動(dòng)作實(shí)現(xiàn)該ARP報(bào)文的丟棄,例如,第一過濾流表中的執(zhí)行動(dòng)作為執(zhí)行默認(rèn)丟棄流表中的丟棄操作,此時(shí),轉(zhuǎn)發(fā)設(shè)備按照默認(rèn)丟棄流表的指
當(dāng)前第1頁1 2 3 4 5 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1