CN104853001B - 一种arp报文的处理方法和设备 - Google Patents

一种arp报文的处理方法和设备 Download PDF

Info

Publication number
CN104853001B
CN104853001B CN201510191414.1A CN201510191414A CN104853001B CN 104853001 B CN104853001 B CN 104853001B CN 201510191414 A CN201510191414 A CN 201510191414A CN 104853001 B CN104853001 B CN 104853001B
Authority
CN
China
Prior art keywords
controller
port
arp message
flow table
forwarding device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510191414.1A
Other languages
English (en)
Other versions
CN104853001A (zh
Inventor
高庆光
张圣彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201510191414.1A priority Critical patent/CN104853001B/zh
Publication of CN104853001A publication Critical patent/CN104853001A/zh
Application granted granted Critical
Publication of CN104853001B publication Critical patent/CN104853001B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通过应用本发明的技术方案,SDN网络中的转发设备将通过自身的第一端口接收到的SDN网络中的虚拟机发送的注册信息上报给SDN网络中的控制器;并接收控制器下发的针对第一端口的第一过滤流表,第一过滤流表包含注册信息中虚拟机的IP地址和MAC地址;将通过第一端口接收到的ARP报文中与第一过滤流表中的IP地址和MAC地址一致的ARP报文上报给控制器。可见,本发明通过对ARP报文进行过滤,将非法ARP报文(攻击或欺骗的ARP报文)过滤掉,不仅提高了网络的安全性,还避免了大量的非法ARP报文占用较多的带宽资源及导致控制器的CPU占用率较高的问题,进而提高了控制器对ARP报文的代答效率,减少了硬件资源消耗。

Description

一种ARP报文的处理方法和设备
技术领域
本发明涉及通信技术领域,特别涉及一种地址解析协议ARP(Address ResolutionProtocol)报文的处理方法和设备。
背景技术
如图1所示,为现有SDN(Software Defined Network,软件定义网络)的组网结构示意图。在现有的SDN网络中,所有的ARP报文并没有广播转发,而是由控制器(Controller)进行代答。即,SDN网络中的各个转发设备(例如虚拟交换机(Virtual Switch))将各自接收的ARP报文统一上报给控制器,由控制器统一响应各ARP报文。
具体地,SDN网络中的虚拟机的端口要向控制器进行注册,注册信息包括该端口的IP地址(即,互联网协议地址)和MAC地址(即,媒体访问控制地址)等信息。这样,该虚拟机需要与其他虚拟机进行通信时,向与该虚拟机连接的转发设备发送ARP报文;该转发设备收到该ARP报文后,默认动作是上报控制器,即,将该ARP报文上报给控制器;控制器查找本地表项,根据该虚拟机的注册信息进行ARP代答,将ARP代答报文通过openflow协议下发到该端口;后续该虚拟机获得该其它虚拟机的IP地址(Internet Protocol Address,互联网协议地址)和MAC地址(Media Access Control Address,媒体访问控制地址),开始与该其他虚拟机进行通信。
从上述对SDN网络中ARP报文的处理过程可以看出,转发设备对接收到的ARP报文都默认上报给控制器,如果转发设备接收到大量的用于攻击和用于欺骗的伪造IP地址和MAC地址的ARP报文,并将这些报文直接上报给控制器,这就导致网络的安全性较差。
发明内容
本申请提供了一种ARP报文的处理方法和设备,用于解决现有SDN网络中ARP报文的处理机制导致的网络安全性差的问题。
为达到上述目的,本发明提供了一种ARP报文处理方法,至少包括以下步骤:
软件定义网络SDN网络中的转发设备将通过自身的第一端口接收到的所述SDN网络中的虚拟机发送的注册信息上报给所述SDN网络中的控制器;
所述转发设备接收所述控制器下发的针对所述第一端口的第一过滤流表,所述第一过滤流表包含所述注册信息中所述虚拟机的IP地址和MAC地址;
所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中携带的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致;
当判断结果为是时,将所述ARP报文上报给所述控制器。
本发明还提供了一种转发设备,该转发设备包括:
上报模块,用于将通过软件定义网络SDN中的所述转发设备自身的第一端口接收到的所述SDN网络中的虚拟机发送的注册信息上报给所述SDN网络中的控制器;以及在判断模块判断出ARP报文中携带的源IP地址和源MAC地址均与第一过滤流表中的IP地址和MAC地址一致时,将所述ARP报文上报给所述控制器;
接收模块,用于接收所述控制器下发针对所述第一端口的第一过滤流表,所述第一过滤流表包含所述注册信息中所述虚拟机的IP地址和MAC地址;
判断模块,用于在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的携带的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致。
本发明还提供了一种ARP报文处理方法,至少包括以下步骤:
软件定义网络SDN网络中的控制器接收所述SDN网络中的转发设备在通过所述转发设备的第一端口接收到所述SDN网络中的虚拟机发送的注册信息后上报的所述注册信息;
所述控制器向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
本发明还提供了一种控制器,该控制器包括:
接收模块,用于接收所述SDN网络中的转发设备在通过所述转发设备的第一端口接收到所述SDN网络中的虚拟机发送的注册信息后上报的所述注册信息;
下发模块,用于向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
与现有技术相比,本发明具有以下优点:
通过应用本发明的技术方案,SDN网络中的转发设备将通过自身的第一端口接收到的SDN网络中的虚拟机发送的注册信息上报给SDN网络中的控制器;并接收控制器下发的针对第一端口的第一过滤流表,第一过滤流表包含注册信息中虚拟机的IP地址和MAC地址;将通过第一端口接收到的ARP报文中与第一过滤流表中的IP地址和MAC地址一致的ARP报文上报给控制器。可见,本发明通过对ARP报文进行过滤,将非法ARP报文(攻击或欺骗的ARP报文)过滤掉,不仅提高了网络的安全性,还避免了大量的非法ARP报文占用较多的带宽资源及导致控制器的CPU占用率较高的问题,进而提高了控制器对ARP报文的代答效率,减少了硬件资源消耗。
附图说明
图1为现有SDN的组网示意图;
图2为本发明所提出的一种ARP报文处理方法的流程示意图之一;
图3为适用于本发明提供的ARP报文处理方法的SDN网络结构示意图;
图4为本发明所提出的一种ARP报文处理方法的流程示意图之二;
图5为本发明中提出的一种转发设备的结构示意图;
图6为本发明所提出的ARP报文处理方法的流程示意图之三;
图7为本发明所提出的ARP报文处理方法的流程示意图之四;
图8为本发明中提出的一种控制器的结构示意图;
具体实施方式
下面将结合本发明的实施例中的附图,对本发明的实施例中的技术方案进行清楚、完整的描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明的实施例保护的范围。
如图2所示,为实施例一所提出的一种ARP报文处理方法的流程示意图,该方法应用于包括有虚拟机、转发设备和控制器的SDN网络中,下面将在转发设备侧对该方法进行详细说明。
该方法,具体包括以下步骤:
步骤S201、转发设备将通过自身的第一端口接收到的虚拟机发送的注册信息上报给控制器。
例如图3中,转发设备通过自身的第一端口P1与虚拟机连接,虚拟机在进行注册时,会将携带该虚拟机的IP地址和MAC地址的注册信息通过转发设备上报给控制器。
步骤S202、转发设备接收控制器下发的针对第一端口的第一过滤流表,该第一过滤流表包含注册信息中虚拟机的IP地址和MAC地址。
控制器获得携带该虚拟机的IP地址和MAC地址的注册信息后,针对转发设备上与该虚拟机连接的第一端口P1,生成包含该虚拟机的IP地址和MAC地址的第一过滤流表,并将该第一过滤流表下发到第一端口P1。需要注意的是,控制器下发的包含该虚拟机的IP地址和MAC地址的第一过滤流表是不老化的流表。
步骤S203、转发设备在通过第一端口接收到ARP报文时,判断ARP报文中携带的源IP地址和源MAC地址是否均与第一过滤流表中的IP地址和MAC地址一致;
虚拟机进行注册后,当需要与其他虚拟机进行通信时,向与该虚拟机连接的转发设备发送ARP报文,转发设备在第一端口接收到ARP报文时,判断该ARP报文中携带的源IP地址和源MAC地址是否均与控制器下发到该第一端口的第一过滤流表中的IP地址和MAC地址一致。
若判断结果为是,则执行下述步骤S204。
步骤S204、将ARP报文发送给控制器。
也就是说,如果ARP报文中的源IP地址和源MAC地址与第一过滤流表中的IP地址和MAC地址一致,则认为该ARP报文是虚拟机发送的合法ARP报文,转发设备将该ARP报文上报给控制器。
优选地,在这种情况下,转发设备可以根据第一过滤流表中的执行动作实现该ARP报文的上报,例如,第一过滤流表中的执行动作为执行其他流表中的操作后上报,此时,转发设备需要对该ARP报文按照其他流表中的操作处理之后,再上报给控制器。
如果该ARP报文中的源IP地址与第一过滤流表中的IP地址不一致,且该ARP报文中的源MAC地址与第一过滤流表中的MAC地址不一致;或者,
该ARP报文中的源IP地址与第一过滤流表中的IP地址一致,但该ARP报文中的源MAC地址与第一过滤流表中的MAC地址不一致;或者,
该ARP报文中的源IP地址与第一过滤流表中的IP地址不一致,但该ARP报文中的源MAC地址与第一过滤流表中的MAC地址一致,则执行下述步骤S205。
步骤S205、将ARP报文丢弃。
也就是说,除判断结果为是之外的其他几种情况,均视为该ARP报文是非法ARP报文,转发设备将该ARP报文丢弃,以避免过多占用控制器的带宽资源。
优选地,在这种情况下,转发设备可以根据第一过滤流表中的执行动作实现该ARP报文的丢弃,例如,第一过滤流表中的执行动作为执行默认丢弃流表中的丢弃操作,此时,转发设备按照默认丢弃流表的指示进行丢弃操作。
进一步的,为了进一步提高SDN网络的安全性,该方法还包括:
转发设备接收控制器下发的针对第一端口的、用于对通过第一端口接收的且上报给控制器的ARP报文进行限速的测量meter流表,该meter流表为控制器在确定出自身接收的来自第一端口、且上报给控制器的ARP报文的接收速率不小于预设的限定速率后下发的;
转发设备根据该meter流表中限定速率对应的限速策略,对通过第一端口接收的、且上报给控制器的ARP报文进行限速。
在此流程中,对于控制器来说,它对自身接收的来自第一端口、且上报给控制器的ARP报文(即来自第一端口的合法ARP报文)的接收速率进行了预先的设置,当来自第一端口的合法ARP报文的接收速率不小于预设的限定速率时,虽接收的是合法ARP报文,但也认为第一端口可能在进行ARP攻击,此时,控制器就向转发设备下发上述meter流表,同时还可以触发该第一端口的ARP报警。
相应地,对于转发设备来说,当它的第一端口接收的、且上报给控制器的ARP报文的接收速率大于等于meter流表中的限定速率时,根据meter表中限定速率对应的限速策略,将大于等于限定速率的第一端口接收的、且需要上报给控制器的ARP报文丢弃。例如,控制器预设自身接收的来自第一端口、且上报给控制器的ARP报文的接收速率为每秒接收100个ARP报文,当该秒内控制器接收的来自端口、且上报给控制器的ARP报文已经超过100个,则向转发设备下发上述meter流表,转发设备根据meter流表,将在该秒内通过第一端口接收的、且需要上报给控制器的100个及以后的ARP报文丢弃。
更进一步的,该方法还包括:
转发设备接收控制器下发的针对第一端口的、用于对通过第一端口接收的且上报给控制器的ARP报文进行丢弃的丢弃流表,该丢弃流表为控制器在确定出自身接收的来自第一端口、且上报给控制器的ARP报文的接收速率在若干指定周期内均不小于限定速率后下发的;
转发设备根据该丢弃流表将通过第一端口接收的、且需要上报给控制器的ARP报文进行丢弃;
具体地,在此流程中,对于控制器来说,它可周期性地查询meter流表的统计信息,此统计信息包括指定周期内转发设备上报的ARP报文数量及根据限速策略丢弃的ARP报文数量,如果在若干指定周期内,来自第一端口接收的、且上报给控制器的ARP报文接收速率一直保持在限定速率以上(这里的ARP报文接收速率是控制器根据指定周期内转发设备上报的ARP报文数量及根据限速策略丢弃的ARP报文数量计算出来的),则触发该第一端口ARP告警,并向转发设备下发上述丢弃流表,根据上述丢弃流表将通过该第一端口接收的、且需要上报给控制器的ARP报文丢弃,后续只能由管理员手动进行恢复。
或者,
转发设备接收控制器下发的删除meter流表的删除消息,该删除消息为控制器在确定出自身接收的来自第一端口、且上报给控制器的ARP报文的接收速率小于限定速率后下发的;
转发设备根据该删除消息将meter流表删除。
具体地,在此流程中,对于控制器来说,它仍周期性地查询meter流表的统计信息,一旦发现来自第一端口接收的、且上报给控制器的ARP报文接收速率低于限定速率,则向转发设备下发上述删除消息,指示转发设备删除meter流表,即,不再对第一端口进行ARP报文限速。
需要说明的是,上述预设的限定速率可根据SDN网络的实际情况进行取值。
如图4所示,为实施例二所提出另的一种ARP报文处理方法的流程示意图,该方法应用于包括有转发设备、转发设备的网关和控制器的SDN网络中,下面将在转发设备侧对该方法进行详细说明。
该方法,具体包括以下步骤:
步骤S401、转发设备将通过自身的第二端口第一次接收到的网关发送的ARP报文上报给控制器;网关发送的ARP报文为网关在通过转发设备接收到控制器在确定出转发设备配置有网关时发送的ARP报文后响应的。
例如图3中,转发设备通过自身的第二端口eth1与网关连接,这种组网架构主要是为了实现该转发设备与SDN网络中与该转发设备处于非同一个VLAN的转发设备之间的交互。在这种情形下
步骤S402、转发设备接收控制器下发的针对第二端口的第二过滤流表,该第二过滤流表包含网关发送的ARP报文中携带的网关的IP地址和MAC地址。
具体地,对于控制器来说,它对于该配置有网关的转发设备,在进行ARP代答之前,需要知道该转发设备所处网段的网关的IP地址和MAC地址,这种情况下,控制器会根据该网关的IP地址生成一个请求网关的MAC地址的ARP请求报文,并下发到该转发设备上,指定从eth1发出,后续,网关接收到该ARP请求报文后进行响应,将ARP响应报文通过该转发设备上报给控制器,控制器根据该ARP响应报文中携带的网关的IP地址和MAC地址生成上述第二过滤流表,并下发给该转发设备。
另外,控制器还将该ARP响应报文再次下发给该转发设备,以由该转发设备学习ARP表项,并将学习的ARP表项设置为静态表项,使得ARP表项和第二过滤流表只能在控制器主动发起ARP请求流程的时候才能进行刷新,进一步提高了网络安全性。
步骤S403、转发设备在通过第二端口再次接收到ARP报文时,判断再次接收的ARP报文中的源IP地址和源MAC地址是否均与第二过滤流表中的IP地址和MAC地址一致。
若判断结果为是,则执行下述步骤S404。
步骤S404、将再次接收的ARP报文上报给控制器。
也就是说,如果再次接收的ARP报文中的源IP地址和源MAC地址与第二过滤流表中的IP地址和MAC地址一致,则认为该ARP报文是网关发送的合法ARP报文,转发设备将该ARP报文上报给控制器。
优选地,在这种情况下,转发设备可以根据第二过滤流表实现再次接收的ARP报文的上报,具体实现方式与上述上报虚拟机侧的ARP报文类似,在此不再赘述。
如果再次接收的ARP报文中的源IP地址与第二过滤流表中的IP地址不一致,且再次接收的ARP报文中的源MAC地址与第二过滤流表中的MAC地址不一致;或者,
再次接收的ARP报文中的源IP地址与第二过滤流表中的IP地址一致,但再次接收的ARP报文中的源MAC地址与第二过滤流表中的MAC地址不一致;或者,
再次接收的ARP报文中的源IP地址与第二过滤流表中的IP地址不一致,但再次接收的ARP报文中的源MAC地址与第二过滤流表中的MAC地址一致,则执行下述步骤S405。
步骤S405、将再次接收的ARP报文丢弃。
也就是说,除判断结果为是之外的其他几种情况,均视为再次接收的ARP报文是非法ARP报文,转发设备将其丢弃,以避免占用控制器的带宽资源。
优选地,在这种情况下,转发设备可以根据第二过滤流表中的执行动作实现再次接收的ARP报文的丢弃,具体实现方式与上述丢弃虚拟机侧的ARP报文类似,在此不再赘述。
进一步的,在该实施例二中,与上述实施例一类似,转发设备也执行对第二端口的合法ARP报文进行限速、丢弃及取消限速的操作,具体实现过程如下:
转发设备接收控制器下发的针对第二端口的、用于对通过第二端口接收的且上报给控制器的ARP报文进行限速的测量meter流表,该meter流表为控制器在确定出自身接收的来自第二端口、且上报给控制器的ARP报文的接收速率不小于预设的限定速率后下发的。
转发设备根据该meter流表中限定速率对应的限速策略,对通过第二端口接收的、且上报给控制器的ARP报文进行限速。
后续,转发设备接收控制器下发的针对第二端口的、用于对通过第二端口接收的且上报给控制器的ARP报文进行丢弃的丢弃流表,该丢弃流表为控制器在确定出自身接收的来自第二端口、且上报给控制器的ARP报文的接收速率在若干指定周期内均不小于限定速率后下发的;
转发设备根据该丢弃流表将通过第二端口接收的、且需要上报给控制器的ARP报文进行丢弃;
或者,转发设备接收控制器下发的删除meter流表的删除消息,该删除消息为控制器在确定出自身接收的来自第二端口、且上报给控制器的ARP报文的接收速率小于限定速率后下发的;
转发设备根据该删除消息将meter流表删除。
基于上述实施例同样的发明构思,本发明实施例三中还提供了一种转发设备,如图5所示,包括:
上报模块51,用于将通过软件定义网络SDN中的所述转发设备自身的第一端口接收到的所述SDN网络中的虚拟机发送的注册信息上报给所述SDN网络中的控制器;以及在判断模块判断出ARP报文中携带的源IP地址和源MAC地址均与第一过滤流表中的IP地址和MAC地址一致时,将所述ARP报文上报给所述控制器;
接收模块52,用于接收所述控制器下发针对所述第一端口的第一过滤流表,所述第一过滤流表包含所述注册信息中所述虚拟机的IP地址和MAC地址。
判断模块53,用于在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的携带的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致。
所述接收模块52,还用于接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的。
所述上报模块51,还用于根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且上报给所述控制器的ARP报文进行限速。
所述接收模块52,还用于接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的。
所述上报模块51,还用于根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述接收模块52,还用于接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;所述上报模块51,还用于根据所述删除消息将所述meter流表删除。
所述上报模块51,还用于将通过所述转发设备自身的第二端口第一次接收到的所述SDN网络中所述转发设备的网关发送的ARP报文上报给所述控制器;以及在判断模块判断出再次接收到的ARP报文中的源IP地址和源MAC地址均与第二过滤流表中的IP地址和MAC地址一致时,将所述再次接收到的ARP报文上报给所述控制器;所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的。
所述接收模块52,还用于接收所述控制器下发的针对所述第二端口的第二过滤流表,所述第二过滤流表包含所述网关发送的ARP报文中携带的所述网关的IP地址和MAC地址。
所述判断模块53,还用于在通过所述第二端口再次接收到ARP报文时,判断再次接收的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致。
所述接收52模块,还用于接收所述控制器下发针对所述第二端口的、用于对通过所述第二端口接收的且上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的。
所述上报模块51,还用于根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且上报给所述控制器的ARP进行限速。
所述接收模块52,还用于接收所述控制器下发的针对所述第二端口的、且用于对通过所述第二端口接收的、且上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的;
所述上报模块51,还用于根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制的ARP报文进行丢弃;或者,
所述接收模块52,还用于接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;
所述上报模块51,还用于根据所述删除消息将所述meter流表删除。
如图6所示,为实施例四所提出的一种ARP报文处理方法的流程示意图,该方法应用于包括有虚拟机、转发设备和控制器的SDN网络中,下面将在控制器侧对该方法进行详细说明。
该方法,具体包括以下步骤:
步骤S601、所述控制器接收所述转发设备在通过所述转发设备的第一端口接收到所述虚拟机发送的注册信息后上报的所述注册信息。
步骤S602、所述控制器向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
优选地,所述方法还包括:
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第一端口的、用于对通过所述第一端口接收的且上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且上报给所述控制器的ARP报文进行限速。
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第一端口的、用于对通过所述第一端口接收的且上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
如图7所示,为实施例五所提出的一种ARP报文处理方法的流程示意图,该方法应用于包括有转发设备、转发设备的网关和控制器的SDN网络中,下面将在控制器侧对该方法进行详细说明。
该方法,具体包括以下步骤:
步骤S701、所述控制器接收所述转发设备在通过所述转发设备的第二端口接收到所述网关发送的ARP报文后上报的所述ARP报文,所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
步骤S702、所述控制器向所述转发设备下发针对所述第二端口的、且包含有网关发送的ARP报文中携带的所述网关的IP地址和MAC地址的第二过滤流表,以使所述转发设备在通过所述第二端口再次接收到ARP报文时,判断再次接收到的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述再次接收到的ARP报文上报给所述控制器。
优选地,所述方法还包括:
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第二端口的、用于对通过所述第二端口接收的且上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且上报给所述控制器的ARP报文进行限速。
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第二端口的、用于对通过所述第二端口接收的且上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
基于实施例五和六,本发明还提供了一种控制器,如图8所示,包括:
接收模块81,用于接收所述SDN网络中的转发设备在通过所述转发设备的第一端口接收到所述SDN网络中的虚拟机发送的注册信息后上报的所述注册信息;
下发模块82,用于向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
所述下发模块82,还用于在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第一端口的、且用于对通过所述第一端口接收的、且上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且上报给所述控制器的ARP报文进行限速。
所述下发模块82,还用于在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第一端口的、且用于对通过所述第一端口接收的、且上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
所述接收模块81,还用于接收所述转发设备在通过所述转发设备的第二端口接收到所述SDN网络中所述转发设备的网关发送的ARP报文后上报的所述ARP报文,所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
下发模块82,还用于向所述转发设备下发针对所述第二端口的、且包含有网关发送的ARP报文中携带的所述网关的IP地址和MAC地址的第二过滤流表,以使所述转发设备在通过所述第二端口再次接收到ARP报文时,判断再次接收到的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述再次接收到的ARP报文上报给所述控制器。
所述下发模块82,还用于在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第二端口的、且用于对通过所述第二端口接收的、且上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且上报给所述控制器的ARP报文进行限速。
所述下发模块82,还用于在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第二端口的、且用于对通过所述第二端口接收的、且上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
综上可见,本发明通过对ARP报文进行过滤,将非法ARP报文(攻击或欺骗的ARP报文)过滤掉,不仅提高了网络的安全性,还避免了大量的非法ARP报文占用较多的带宽资源及导致控制器的CPU占用率较高的问题,进而提高了控制器对ARP报文的代答效率,减少了硬件资源消耗。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本发明的几个具体实施场景,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (24)

1.一种地址解析协议ARP报文处理方法,其特征在于,该方法包括:
软件定义网络SDN中的转发设备将通过自身的第一端口接收到的所述SDN中的虚拟机发送的注册信息上报给所述SDN中的控制器;
所述转发设备接收所述控制器下发的针对所述第一端口的第一过滤流表,所述第一过滤流表包含所述注册信息中所述虚拟机的IP地址和MAC地址;
所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中携带的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致;
当判断结果为是时,将所述ARP报文上报给所述控制器。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述转发设备接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的;
所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行限速。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
所述转发设备接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的;
所述转发设备根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述转发设备接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;
所述转发设备根据所述删除消息将所述meter流表删除。
4.如权利要求1所述的方法,其特征在于,该方法还包括:
所述转发设备将通过自身的第二端口第一次接收到的所述SDN中所述转发设备的网关发送的ARP报文上报给所述控制器;所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
所述转发设备接收所述控制器下发的针对所述第二端口的第二过滤流表,所述第二过滤流表包含所述网关发送的ARP报文中携带的所述网关的IP地址和MAC地址;
所述转发设备在通过所述第二端口再次接收到ARP报文时,判断再次接收的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致;
当判断结果为是时,将所述再次接收的ARP报文上报给所述控制器。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
所述转发设备接收所述控制器下发的针对所述第二端口的、用于对通过所述第二端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的;所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行限速。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述转发设备接收所述控制器下发的针对所述第二端口的、用于对通过所述第二端口接收的且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的;所述转发设备根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述转发设备接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;所述转发设备根据所述删除消息将所述meter流表删除。
7.一种转发设备,其特征在于,该转发设备包括:
上报模块,用于将通过软件定义网络SDN中的所述转发设备自身的第一端口接收到的所述SDN中的虚拟机发送的注册信息上报给所述SDN中的控制器;以及在判断模块判断出ARP报文中携带的源IP地址和源MAC地址均与第一过滤流表中的IP地址和MAC地址一致时,将所述ARP报文上报给所述控制器;
接收模块,用于接收所述控制器下发针对所述第一端口的第一过滤流表,所述第一过滤流表包含所述注册信息中所述虚拟机的IP地址和MAC地址;
判断模块,用于在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的携带的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致。
8.如权利要求7所述的转发设备,其特征在于,
所述接收模块,还用于接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的;
所述上报模块,还用于根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行限速。
9.如权利要求8所述的转发设备,其特征在于,
所述接收模块,还用于接收所述控制器下发的针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的;
所述上报模块,还用于根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述接收模块,还用于接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;
所述上报模块,还用于根据所述删除消息将所述meter流表删除。
10.如权利要求7所述的转发设备,其特征在于,
所述上报模块,还用于将通过所述转发设备自身的第二端口第一次接收到的所述SDN中所述转发设备的网关发送的ARP报文上报给所述控制器;以及在判断模块判断出再次接收到的ARP报文中的源IP地址和源MAC地址均与第二过滤流表中的IP地址和MAC地址一致时,将所述再次接收到的ARP报文上报给所述控制器;所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
所述接收模块,还用于接收所述控制器下发的针对所述第二端口的第二过滤流表,所述第二过滤流表包含所述网关发送的ARP报文中携带的所述网关的IP地址和MAC地址;
所述判断模块,还用于在通过所述第二端口再次接收到ARP报文时,判断再次接收的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致。
11.如权利要求10所述的转发设备,其特征在于,
所述接收模块,还用于接收所述控制器下发针对所述第二端口的、用于对通过所述第二端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,所述meter流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率后下发的;
所述上报模块,还用于根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且需要上报给所述控制器的ARP进行限速。
12.如权利要求11所述的转发设备,其特征在于,
所述接收模块,还用于接收所述控制器下发的针对所述第二端口的、且用于对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,所述丢弃流表为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率后下发的;
所述上报模块,还用于根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制的ARP报文进行丢弃;或者,
所述接收模块,还用于接收所述控制器下发的删除所述meter流表的删除消息,所述删除消息为所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率后下发的;
所述上报模块,还用于根据所述删除消息将所述meter流表删除。
13.一种地址解析协议ARP报文处理方法,其特征在于,该方法包括:
软件定义网络SDN中的控制器接收所述SDN中的转发设备在通过所述转发设备的第一端口接收到所述SDN中的虚拟机发送的注册信息后上报的所述注册信息;
所述控制器向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
14.如权利要求13所述的方法,其特征在于,所述方法还包括:
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行限速。
15.如权利要求14所述的方法,其特征在于,所述方法还包括:
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第一端口的、用于对通过所述第一端口接收的且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述控制器在确定出自身接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
16.如权利要求13所述的方法,其特征在于,所述方法还包括:
所述控制器接收所述转发设备在通过所述转发设备的第二端口接收到所述SDN中所述转发设备的网关发送的ARP报文后上报的所述ARP报文,所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
所述控制器向所述转发设备下发针对所述第二端口的、且包含有网关发送的ARP报文中携带的所述网关的IP地址和MAC地址的第二过滤流表,以使所述转发设备在通过所述第二端口再次接收到ARP报文时,判断再次接收到的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述再次接收到的ARP报文上报给所述控制器。
17.如权利要求16所述的方法,其特征在于,所述方法还包括:
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第二端口的、用于对通过所述第二端口接收的且需要上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行限速。
18.如权利要求17所述的方法,其特征在于,所述方法还包括:
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第二端口的、用于对通过所述第二端口接收的且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
所述控制器在确定出自身接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
19.一种控制器,其特征在于,该控制器包括:
接收模块,用于接收SDN中的转发设备在通过所述转发设备的第一端口接收到所述SDN中的虚拟机发送的注册信息后上报的所述注册信息;
下发模块,用于向所述转发设备下发针对所述第一端口的、且包含有所述注册信息中所述虚拟机的IP地址和MAC地址的第一过滤流表,以使所述转发设备在通过所述第一端口接收到ARP报文时,判断所述ARP报文中的源IP地址和源MAC地址是否均与所述第一过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述ARP报文上报给所述控制器。
20.如权利要求19所述的控制器,其特征在于,
所述下发模块,还用于在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第一端口的、且用于对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行限速。
21.如权利要求20所述的控制器,其特征在于,
所述下发模块,还用于在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第一端口的、且用于对通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第一端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
在确定出所述控制器接收的来自所述第一端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
22.如权利要求19所述的控制器,其特征在于,
所述接收模块,还用于接收所述转发设备在通过所述转发设备的第二端口接收到所述SDN中所述转发设备的网关发送的ARP报文后上报的所述ARP报文,所述网关发送的ARP报文为所述网关在通过所述转发设备接收到所述控制器在确定出所述转发设备配置有所述网关时发送的ARP报文后响应的;
下发模块,还用于向所述转发设备下发针对所述第二端口的、且包含有网关发送的ARP报文中携带的所述网关的IP地址和MAC地址的第二过滤流表,以使所述转发设备在通过所述第二端口再次接收到ARP报文时,判断再次接收到的ARP报文中的源IP地址和源MAC地址是否均与所述第二过滤流表中的IP地址和MAC地址一致,并在判断结果为是时,将所述再次接收到的ARP报文上报给所述控制器。
23.如权利要求22所述的控制器,其特征在于,
所述下发模块,还用于在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率不小于预设的限定速率时,向所述转发设备下发针对所述第二端口的、且用于对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行限速的测量meter流表,以使所述转发设备根据所述meter流表中所述限定速率对应的限速策略,对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行限速。
24.如权利要求23所述的控制器,其特征在于,
所述下发模块,还用于在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率在若干指定周期内均不小于所述限定速率时,向所述转发设备下发针对所述第二端口的、且用于对通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃的丢弃流表,以使所述转发设备根据所述丢弃流表将通过所述第二端口接收的、且需要上报给所述控制器的ARP报文进行丢弃;或者,
在确定出所述控制器接收的来自所述第二端口、且上报给所述控制器的ARP报文的接收速率小于所述限定速率时,向所述转发设备下发删除所述meter流表的删除消息,以使所述转发设备根据所述删除消息将所述meter流表删除。
CN201510191414.1A 2015-04-21 2015-04-21 一种arp报文的处理方法和设备 Active CN104853001B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510191414.1A CN104853001B (zh) 2015-04-21 2015-04-21 一种arp报文的处理方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510191414.1A CN104853001B (zh) 2015-04-21 2015-04-21 一种arp报文的处理方法和设备

Publications (2)

Publication Number Publication Date
CN104853001A CN104853001A (zh) 2015-08-19
CN104853001B true CN104853001B (zh) 2019-06-07

Family

ID=53852349

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510191414.1A Active CN104853001B (zh) 2015-04-21 2015-04-21 一种arp报文的处理方法和设备

Country Status (1)

Country Link
CN (1) CN104853001B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227466B (zh) * 2015-08-20 2019-01-11 北京百度网讯科技有限公司 通信处理方法和装置
CN105357180B (zh) * 2015-09-30 2019-06-07 华为技术有限公司 网络***、攻击报文的拦截方法、装置和设备
EP3229405B1 (en) 2015-12-31 2020-07-15 Huawei Technologies Co., Ltd. Software defined data center and scheduling and traffic-monitoring method for service cluster therein
CN108293001B (zh) * 2015-12-31 2020-10-23 华为技术有限公司 一种软件定义数据中心及其中的服务集群的部署方法
CN106789864B (zh) * 2016-04-29 2020-08-21 新华三技术有限公司 一种报文防攻击方法及装置
CN106060085B (zh) * 2016-07-15 2019-09-17 新华三技术有限公司 防止arp报文攻击方法以及装置
CN107690004B (zh) * 2016-08-04 2021-10-08 中兴通讯股份有限公司 地址解析协议报文的处理方法及装置
CN106911724B (zh) * 2017-04-27 2020-03-06 杭州迪普科技股份有限公司 一种报文处理方法及装置
CN107295020A (zh) * 2017-08-16 2017-10-24 北京新网数码信息技术有限公司 一种地址解析协议攻击的处理方法及装置
CN107689963A (zh) * 2017-09-26 2018-02-13 杭州迪普科技股份有限公司 一种针对arp应答报文攻击的检测方法及装置
CN114221928A (zh) * 2021-11-05 2022-03-22 济南浪潮数据技术有限公司 一种管理网ip冲突的防御方法、***、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466341A (zh) * 2002-06-22 2004-01-07 ��Ϊ�������޹�˾ 一种动态地址分配中防止ip地址欺骗的方法
CN101340293A (zh) * 2008-08-12 2009-01-07 杭州华三通信技术有限公司 一种报文安全检查方法和装置
CN102014109A (zh) * 2009-09-08 2011-04-13 华为技术有限公司 一种泛洪攻击的防范方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466341A (zh) * 2002-06-22 2004-01-07 ��Ϊ�������޹�˾ 一种动态地址分配中防止ip地址欺骗的方法
CN101340293A (zh) * 2008-08-12 2009-01-07 杭州华三通信技术有限公司 一种报文安全检查方法和装置
CN102014109A (zh) * 2009-09-08 2011-04-13 华为技术有限公司 一种泛洪攻击的防范方法及装置

Also Published As

Publication number Publication date
CN104853001A (zh) 2015-08-19

Similar Documents

Publication Publication Date Title
CN104853001B (zh) 一种arp报文的处理方法和设备
KR101886291B1 (ko) 흐름 엔트리 구성 방법, 장치, 및 시스템
US9665530B2 (en) Method and system for implementing elastic network interface and interconnection
CN104104570B (zh) Irf***中的聚合处理方法及装置
CN105634956B (zh) 一种报文转发方法、装置和***
US20170012880A1 (en) Multicast message forwarding method and device
US9219698B2 (en) Providing a layer-3 interface
CN104184749B (zh) 一种sdn网络访问方法及***
CN103491076B (zh) 一种网络攻击的防范方法和***
CN106487558B (zh) 一种实现接入设备扩缩容的方法和装置
CN105099921B (zh) 一种基于用户的快速业务处理方法以及装置
CN104301321A (zh) 一种实现分布式网络安全防护的方法及***
CN108471629A (zh) 传输网络中业务服务质量的控制方法、设备及***
CN104579894B (zh) 分布式虚拟交换机***的IGMP Snooping实现方法及装置
PH12014502594B1 (en) Service node switching method and system
CN104243237A (zh) P2p流检测方法和设备
CN105812318A (zh) 用于在网络中防止攻击的方法、控制器和***
CN105099721B (zh) 维护组播成员的方法及设备
CN108028828A (zh) 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN107612937B (zh) 一种sdn网络下对dhcp泛洪攻击的检测与防御方法
WO2015123853A1 (zh) 一种数据流处理方法及装置
CN107222403A (zh) 一种数据传输方法、***和电子设备
CN106060085B (zh) 防止arp报文攻击方法以及装置
CN106341336A (zh) 一种通过聚合口转发报文的方法和装置
CN103648126B (zh) 一种故障处理方法和设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant