一種報文處理的方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其是涉及一種報文處理的方法和設(shè)備。
【背景技術(shù)】
[0002] SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu), 其核心思想是將網(wǎng)絡(luò)設(shè)備的控制層面與轉(zhuǎn)發(fā)層面分離,以實現(xiàn)對流量的靈活控制,并為核 心網(wǎng)絡(luò)以及應(yīng)用的創(chuàng)新提供良好的平臺。在SDN網(wǎng)絡(luò)中,包括網(wǎng)絡(luò)設(shè)備(如交換機)和SDN 控制器。SDN控制器用于根據(jù)用戶的配置或者動態(tài)運行的協(xié)議生成流表(Flow Table),并 將流表發(fā)送到網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備用于接收來自SDN控制器的流表,并根據(jù)流表來匹配和 處理報文。
[0003] 如圖1所示,為SDN網(wǎng)絡(luò)的組網(wǎng)示意圖。網(wǎng)關(guān)設(shè)備在收到需要發(fā)送給VM(虛擬機) 的報文時,如果網(wǎng)關(guān)設(shè)備上沒有該報文匹配的流表,則網(wǎng)關(guān)設(shè)備將該報文發(fā)送給SDN控制 器,由SDN控制器生成該報文匹配的流表,并將流表下發(fā)給網(wǎng)關(guān)設(shè)備。在后續(xù)過程中,網(wǎng)關(guān) 設(shè)備可以利用該流表轉(zhuǎn)發(fā)需要發(fā)送給VM的報文,并由接入設(shè)備將需要發(fā)送給VM的報文最 終發(fā)送給VM。
[0004] 在SDN網(wǎng)絡(luò)中,目前在互聯(lián)網(wǎng)上存在大量黑客會對VM進行攻擊,其攻擊的第一步 是尋找到攻擊源,即進行IP地址掃描和端口掃描,以探測VM是否存在。因此網(wǎng)關(guān)設(shè)備會收 到大量的需要發(fā)送給VM的報文,且報文的目的IP地址和目的端口不斷發(fā)生變化。由于報文 的目的IP地址和目的端口不斷發(fā)生變化,因此針對需要發(fā)送給VM的大量報文,網(wǎng)關(guān)設(shè)備上 均沒有報文匹配的流表,即網(wǎng)關(guān)設(shè)備需要將大量的報文都發(fā)送給SDN控制器,從而使得SDN 控制器會收到大量的報文,并生成大量的流表,SDN控制器的負擔(dān)很重。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實施例提供一種報文處理的方法,該方法應(yīng)用于包括虛擬機VM、網(wǎng)關(guān)設(shè)備 和軟件定義網(wǎng)絡(luò)SDN控制器的網(wǎng)絡(luò)中,所述方法包括以下步驟:
[0006] 所述網(wǎng)關(guān)設(shè)備接收來自所述SDN控制器的狀態(tài)通知報文,所述狀態(tài)通知報文中攜 帶了所述VM的身份標(biāo)識信息;所述網(wǎng)關(guān)設(shè)備生成所述VM對應(yīng)的安全表項,所述安全表項中 記錄了所述VM的身份標(biāo)識信息;
[0007] 所述網(wǎng)關(guān)設(shè)備在收到需要發(fā)送給VM的報文時,如果所述報文需要上送SDN控制 器,則所述網(wǎng)關(guān)設(shè)備從所述報文中獲得所述VM的身份標(biāo)識信息;
[0008] 所述網(wǎng)關(guān)設(shè)備通過所述VM的身份標(biāo)識信息查詢所述安全表項;如果所述安全表 項中有所述VM的身份標(biāo)識信息對應(yīng)的記錄,則所述網(wǎng)關(guān)設(shè)備將所述報文發(fā)送給所述SDN控 制器;否則,所述網(wǎng)關(guān)設(shè)備丟棄所述報文。
[0009] 所述VM的身份標(biāo)識信息包括以下之一或者任意組合:所述VM的IP地址、所述VM 的介質(zhì)訪問控制MAC地址、所述VM支持協(xié)議的端口標(biāo)識。
[0010] 所述網(wǎng)關(guān)設(shè)備通過所述VM的身份標(biāo)識信息查詢所述安全表項的過程,具體包括: 在所述網(wǎng)關(guān)設(shè)備未使能深度檢測功能時,所述網(wǎng)關(guān)設(shè)備獲得所述報文的目的IP地址和目 的MAC地址,并通過所述報文的目的IP地址和目的MAC地址查詢所述安全表項中記錄的VM 的IP地址和MAC地址;
[0011] 在所述網(wǎng)關(guān)設(shè)備使能深度檢測功能時,所述網(wǎng)關(guān)設(shè)備獲得所述報文的目的IP地 址、目的MAC地址和目的端口,并通過所述報文的目的IP地址、目的MAC地址和目的端口查 詢所述安全表項中記錄的VM的IP地址、MAC地址和支持協(xié)議的端口標(biāo)識。
[0012] 本發(fā)明實施例提供一種報文處理的方法,該方法應(yīng)用于包括虛擬機VM、網(wǎng)關(guān)設(shè)備 和軟件定義網(wǎng)絡(luò)SDN控制器的網(wǎng)絡(luò)中,所述方法包括以下步驟:
[0013] 所述SDN控制器接收來自所述VM的注冊報文,所述注冊報文中攜帶了所述VM的 身份標(biāo)識信息;所述SDN控制器生成所述VM對應(yīng)的安全表項,所述安全表項中記錄了所述 VM的身份標(biāo)識信息;
[0014] 所述SDN控制器向所述網(wǎng)關(guān)設(shè)備發(fā)送狀態(tài)通知報文,所述狀態(tài)通知報文中攜帶了 所述VM的身份標(biāo)識信息;由所述網(wǎng)關(guān)設(shè)備生成記錄了所述VM的身份標(biāo)識信息的安全表項, 并利用所述安全表項將需要上送給SDN控制器的報文發(fā)送給所述SDN控制器或者丟棄需要 上送給SDN控制器的報文。
[0015] 所述VM的身份標(biāo)識信息包括以下之一或者任意組合:所述VM的IP地址、所述VM 的介質(zhì)訪問控制MAC地址、所述VM支持協(xié)議的端口標(biāo)識。
[0016] 本發(fā)明實施例提供一種網(wǎng)關(guān)設(shè)備,應(yīng)用于包括虛擬機VM、所述網(wǎng)關(guān)設(shè)備和軟件定 義網(wǎng)絡(luò)SDN控制器的網(wǎng)絡(luò)中,所述網(wǎng)關(guān)設(shè)備具體包括:
[0017] 接收模塊,用于接收來自所述SDN控制器的狀態(tài)通知報文,所述狀態(tài)通知報文中 攜帶了所述VM的身份標(biāo)識信息;
[0018] 生成模塊,用于利用所述VM的身份標(biāo)識信息生成所述VM對應(yīng)的安全表項,所述安 全表項中記錄了所述VM的身份標(biāo)識信息;
[0019] 獲得模塊,用于在收到需要發(fā)送給VM的報文時,如果所述報文需要上送SDN控制 器,則從所述報文中獲得所述VM的身份標(biāo)識信息;
[0020] 處理模塊,用于通過所述VM的身份標(biāo)識信息查詢所述安全表項;
[0021] 如果所述安全表項中有所述VM的身份標(biāo)識信息對應(yīng)的記錄,則將所述報文發(fā)送 給所述SDN控制器;否則,丟棄所述報文。
[0022] 所述VM的身份標(biāo)識信息包括以下之一或者任意組合:所述VM的IP地址、所述VM 的介質(zhì)訪問控制MAC地址、所述VM支持協(xié)議的端口標(biāo)識。
[0023] 所述處理模塊,具體用于在通過所述VM的身份標(biāo)識信息查詢所述安全表項的過 程中,在所述網(wǎng)關(guān)設(shè)備未使能深度檢測功能時,獲得所述報文的目的IP地址和目的MAC地 址,并通過所述報文的目的IP地址和目的MAC地址查詢所述安全表項中記錄的VM的IP地 址和MAC地址;在所述網(wǎng)關(guān)設(shè)備使能深度檢測功能時,獲得所述報文的目的IP地址、目的 MAC地址和目的端口,并通過所述報文的目的IP地址、目的MAC地址和目的端口查詢所述安 全表項中記錄的VM的IP地址、MAC地址和支持協(xié)議的端口標(biāo)識。
[0024] 本發(fā)明實施例提供一種軟件定義網(wǎng)絡(luò)SDN控制器,應(yīng)用于包括虛擬機VM、網(wǎng)關(guān)設(shè) 備和所述SDN控制器的網(wǎng)絡(luò)中,所述SDN控制器具體包括:
[0025] 接收模塊,用于接收來自所述VM的注冊報文;其中,所述注冊報文中攜帶了所述 VM的身份標(biāo)識信息;
[0026] 生成模塊,用于利用所述VM的身份標(biāo)識信息生成所述VM對應(yīng)的安全表項,所述安 全表項中記錄了所述VM的身份標(biāo)識信息;
[0027] 發(fā)送模塊,用于向所述網(wǎng)關(guān)設(shè)備發(fā)送狀態(tài)通知報文,所述狀態(tài)通知報文中攜帶了 所述VM的身份標(biāo)識信息;由所述網(wǎng)關(guān)設(shè)備生成記錄了所述VM的身份標(biāo)識信息的安全表項, 并利用所述安全表項將需要上送給SDN控制器的報文發(fā)送給所述SDN控制器或者丟棄需要 上送給SDN控制器的報文。
[0028] 所述VM的身份標(biāo)識信息包括以下之一或者任意組合:所述VM的IP地址、所述VM 的介質(zhì)訪問控制MAC地址、所述VM支持協(xié)議的端口標(biāo)識。
[0029] 基于上述技術(shù)方案,本發(fā)明實施例中,通過在網(wǎng)關(guān)設(shè)備上維護安全表項,在大量 黑客對VM進行攻擊,并發(fā)送大量目的IP地址和目的端口不斷發(fā)生變化的報文時,網(wǎng)關(guān)設(shè) 備可以直接丟棄大量的報文,而不是將大量的報文都發(fā)送給SDN控制器,從而避免SDN控 制器收到大量的報文,減少發(fā)送給SDN控制器的報文數(shù)量,減輕SDN控制器的處理負擔(dān)和 CPU(Central Processing Unit,中央處理器)負擔(dān)。
【附圖說明】
[0030] 圖1是SDN網(wǎng)絡(luò)的組網(wǎng)示意圖;
[0031] 圖2是本發(fā)明實施例提供的一種報文處理的方法流程示意圖;
[0032] 圖3是本發(fā)明實施例提供的一種網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖;
[0033] 圖4是本發(fā)明實施例提供的一種SDN控制器的結(jié)構(gòu)示意圖。
【具體實施