CN109413221A - 地址分配方法及装置 - Google Patents
地址分配方法及装置 Download PDFInfo
- Publication number
- CN109413221A CN109413221A CN201811237436.7A CN201811237436A CN109413221A CN 109413221 A CN109413221 A CN 109413221A CN 201811237436 A CN201811237436 A CN 201811237436A CN 109413221 A CN109413221 A CN 109413221A
- Authority
- CN
- China
- Prior art keywords
- address
- target
- current
- sent
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种地址分配方法及装置,应用于VXLAN组网中的控制器,方法包括:若确定目标用户设备的当前IP地址被流量攻击,则下发针对当前IP地址的处理规则以使目的地址为该当前IP地址的流量被丢弃,以及为目标用户设备确定新的IP地址;根据接收到的目标用户设备发送的地址获取请求,将新的IP地址发送给目标用户设备。通过上述设计,目标用户设备的业务能够正常运行。
Description
技术领域
本公开涉及通信技术领域,具体而言,涉及一种地址分配方法及装置。
背景技术
VXLAN(VirtualeXtensible LAN,可扩展虚拟局域网络)是基于IP(InternetProtocol,因特网协议)网络、采用“MAC(Mediaor Medium Access Control,媒体访问控制)in UDP(UserDatagram Protocol,用户数据报协议)”封装形式的二层VPN(VirtualPrivateNetwork,虚拟专用网络)技术。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。
在VXLAN组网中,会为通过认证的用户设备分配IP地址,但该IP地址在使用过程中可能会受到流量攻击,从而导致用户设备的大量资源被占用。
目前,针对上述情况,通常会为受攻击的IP地址配置黑洞路由,并将黑洞路由下发到组网的网关或是虚拟机接入的VTEP(VXLANTunnelEndPoint,VXLAN隧道端点)设备,以使网关或VTEP设备丢弃目的地址为该受攻击的IP地址的流量。但是,这种方式会导致用户设备上的业务无法正常进行。
发明内容
有鉴于此,本公开的目的在于提供一种地址分配方法及装置,以至少部分地改善上述问题。
为了达到上述目的,本公开采用如下技术方案:
第一方面,本公开提供一种地址分配方法,应用于VXLAN组网中的控制器,所述VXLAN组网还包括目标用户设备,所述方法包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址;
根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
可选地,所述方法还包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
可选地,所述方法还包括:
将所述新的IP地址发送给所述目标用户设备之后,针对所述VXLAN组网中的每个VTEP设备,分别生成用于指导VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项分别下发到各VTEP设备。
可选地,所述方法还包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则将所述当前IP地址老化,使所述目标用户设备发送所述IP地址获取请求。
可选地,若接收到所述VXLAN组网中的网关或SPINE节点发送的、针对所述当前IP地址的流量攻击通知,则确定所述当前IP地址被流量攻击。
第二方面,本公开提供一种地址分配装置,应用于VXLAN组网中的控制器,所述VXLAN组网还包括目标用户设备,所述装置包括:
地址确定模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址;
地址分配模块,用于根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
可选地,所述装置还包括:
接入电路更新模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
可选地,所述装置还包括:
表项下发模块,用于将所述新的IP地址发送给所述目标用户设备之后,针对所述VXLAN组网中的每个VTEP设备,生成用于指导该VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项下发到该VTEP设备。
可选地,所述装置还包括:
地址老化模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,将所述当前IP地址老化,使所述目标用户设备发送所述IP地址获取请求。
可选地,所述装置还包括:
流量攻击检测模块,用于在接收到所述VXLAN组网中的网关或SPINE节点发送的、针对所述当前IP地址的流量攻击通知的情况下,确定所述当前IP地址被流量攻击。
相对于现有技术而言,本公开具有以下有益效果:
本公开提供的一种地址分配方法及装置,VXLAN组网中的控制器在确定目标用户设备的当前IP地址被流量攻击的情况下,下发针对该当前IP地址的处理规则以使目的地址为该当前IP地址的流量被丢弃,以及为目标用户设备确定新的IP地址。再根据接收到的目标用户设备发送的IP地址获取请求,将该新的IP地址发送给目标用户设备。通过上述设计,在受到流量攻击的情况下,目标用户设备的业务仍能够正常进行。
附图说明
为了更清楚地说明本公开的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本公开提供的一种VXLAN组网的连接示意图;
图2为本公开提供的一种地址分配方法的流程示意图;
图3为本公开提供的地址分配方法的又一流程示意图;
图4为本公开提供的一种控制器的方框示意图;
图5为本公开提供的一种地址分配装置的功能模块框图。
图标:100-VXLAN组网;110-控制器;111-地址分配装置;1111-地址确定模块;1112-地址分配模块;1113-接入电路更新模块;1114-表项下发模块;1115-地址老化模块;1116-流量攻击检测模块;112-机器可读存储介质;113-处理器;120、121、122-VTEP设备;130、131-虚拟机。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合本公开中的附图,对本公开中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图1所示,是本公开提供的一种VXLAN组网100的连接示意图。所述VXLAN组网100包括控制器110及多个VTEP设备,比如图1中示出的VTEP设备120、VTEP设备121以及VTEP设备122。
其中,VTEP设备121和VTEP设备122为LEAF节点,用于接入用户设备。所述用户设备可以是物理机或运行在物理机上的虚拟机,图1中示出的是用户设备为虚拟机的情形。
详细地,图1中的虚拟机130通过所述VTEP设备121接入到所述VXLAN组网100中,虚拟机131通过所述VTEP设备122接入到所述VXLAN组网100中。VTEP设备120为SPINE节点,用于实现VTEP设备121和VTEP设备122的互联,可以在所述VTEP设备120部署集中式网关,用于与其他网段通信。当然,也可以在各个LEAF节点上部署分布式网关,本实施例对此不做限制。
以虚拟机130为例,虚拟机130成功接入VXLAN组网前需要进行身份认证以及IP地址的分配。当虚拟机130接入到VTEP设备121时,向所述VTEP设备121发送接入请求,该接入请求中携带有虚拟机130的用户信息,例如源MAC地址。VTEP设备121在接收到该接入请求时,向VXLAN组网100中的控制器110发送包括所述用户信息的认证请求,控制器110根据认证请求中的用户信息进行认证,并向VTEP设备121下发认证结果。如果认证结果为通过,则VTEP设备121根据虚拟机130的用户信息(比如,源MAC、端口号、所属VLAN等)创建与虚拟机130关联的接入电路(AttachmentCircuit,AC),并为所创建的AC设置对应的VSI(VirtualSwitchInstance,虚拟交换实例)。其中,AC是指VTEP设备上与VSI关联的三层接口或以太网服务实例。
虚拟机130通常通过DHCP报文向DHCP服务器请求IP地址,其中,DHCP服务器可以是独立的服务器,也可以是集成在控制器110中的服务器,本实施例对此不做限制。下面将以DHCP服务器集成在控制器110中为例,对本公开的实施例进行详细阐述。
当创建AC后,虚拟机130发送的用于请求分配IP地址的DHCP报文即可被转发至控制器110,控制器110在接收到该DHCP报文时,即可为虚拟机130分配相应的IP地址,例如IPA。如此,虚拟机130即可通过IPA这一IP地址访问VXLAN组网100。
但在实际应用中,虚拟机130的IP地址IPA可能会受到流量攻击,导致虚拟机130所在服务器的大量资源被占用,严重时将会影响到虚拟机130所在服务器上的其他虚拟机的业务。
针对上述问题,相关技术中,通常会在VXLAN组网100中的网关(即,VTEP设备120)或是虚拟机130的接入设备(即,VTEP设备121)下发一条针对IPA的黑洞路由,如此,当VTEP设备120或VTEP设备121接收到以IPA为目的地址的外网流量时,将会丢弃该外网流量,从而可以确保虚拟机130所在服务器上其他虚拟机的业务正常运行。但这种方式会导致发往虚拟机130的外网流量全部被丢弃,导致虚拟机130的业务无法正常进行。
为了改善上述问题,本公开提供一种地址分配方法及装置,下面将对该内容进行详细阐述。
如图2所示,是本公开提供的一种地址分配方法的流程示意图,应用于图1所示VXLAN组网100中的控制器110,下面将对该地址分配方法包括的步骤进行详述。
步骤S201,若目标用户设备的当前IP地址被流量攻击,则下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址。
请再次参照图1,在本实施例中,可以由VLXAN组100中的网关或SPINE节点对发往各虚拟机的IP地址的流量进行监控。
详细地,如果VXLAN组网100的网关为集中式网关,则可以由该集中式网关(即,图1中的VTEP设备120)对发往各虚拟机的IP地址的流量进行统计和检测。如果VXLAN组网100的网关为分布式网关,则可以由VXLAN组网100中的SPINE节点(即,图1中的VTEP设备120)对发往各虚拟机的IP地址的流量进行统计和检测。当检测到发往任一虚拟机的当前IP地址的流量大小达到设定的预设阈值时,即可确定该虚拟机的当前IP地址受到流量攻击。在此情况下,该用户设备即为目标用户设备。
以虚拟机130作为目标用户设备为例,如果所述VXLAN组网中的集中式网关或SPINE节点检测到发往虚拟机130的当前IP地址IPA的流量大小达到预设阈值时,向所述控制器110发送包括IPA的流量攻击通知,以告知控制器110虚拟机130的当前IP地址IPA受到流量攻击。
对应地,本公开提供的地址分配方法还可以包括以下步骤:
若接收到所述VXLAN组网100中的网关或SPINE节点发往的、针对所述当前IP地址的流量攻击通知,则确定所述当前IP地址被流量攻击。
其中,所述流量攻击通知为所述网关或所述SPINE节点在检测到发往所述当前IP地址的流量达到预设阈值时发送给控制器110的通知,该通知包括所述当前IP地址。如此,当控制器110接收到所述流量攻击通知时,即可确定受到攻击的IP地址及该受到攻击的IP地址对应的用户设备(即目标用户设备)。
在确定虚拟机130的当前IP地址IPA受到流量攻击的情况下,控制器110可以生成针对IPA的处理规则并下发。其中,接收到所述处理规则的设备将会丢弃以IPA为目的地址的流量。可选地,所述处理规则可以是黑洞路由,也可以是访问控制列表(AccessControlList,ACL)规则,本公开对此不做限制。
可选地,在本实施例中,所述处理规则可以被下发在VTEP设备120或VTEP设备121其中至少一个上,如此,可以确保以IPA为目的地址的外网流量在VTEP设备120或VTEP设备121上被丢弃,而不会到达虚拟机130。
此外,在确定虚拟机130的当前IP地址IPA受到流量攻击的情况下,控制器110为虚拟机130确定新的IP地址,比如,IPB。
可选地,在一种实施方式中,如果DHCP服务器集成在控制器110中,控制器110可以直接为虚拟机130确定一未被使用的IP地址。在又一种实施方式中,如果DHCP服务器是与控制器110通信连接的独立的服务器,则控制器110可以模拟所述虚拟机130生成用于请求IP地址的DHCP报文,并发送给DHCP服务器,以使DHCP服务器为虚拟机130分配新的IP地址。
步骤S202,根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
仍旧以虚拟机130是目标用户设备为例,在一种具体实施方式中,虚拟机130可以在下一次接入VXLAN组网时发送IP地址获取请求,当控制器110接收到该IP地址获取请求时,即可将所确定的所述新的IP地址发送给所述虚拟机130。
在又一种具体实施方式中,为了快速地将所述新的IP地址分配给所述虚拟机130,控制器110可以在确定虚拟机130的当前IP地址被流量攻击的情况下直接将所述虚拟机130的当前IP地址老化掉,从而使所述虚拟机130立即向所述控制器110发送IP地址获取请求。
在实际应用中,在未将所述新的IP地址分配给所述虚拟机130之前,即便是下发有上述的处理规则,攻击流量仍旧可能被转发到虚拟机130上。例如,可以通过ACL规则将发送到其他IP地址的流量重定向到虚拟机130上。又如,部分本地数据仍旧可以被转发到虚拟机130上。
针对上述问题,在本公开中,控制器110可以删除虚拟机130的接入设备(VTEP设备121)上与虚拟机130的当前IP地址IPA相关的转发表项,从而使VTEP设备121无法将流量转发给虚拟机130。但是当待删除的转发表项数量较大时,删除转发表项的操作比较耗时。
基于此,如图3所示,本公开提供的地址分配方法还可以包括步骤S303。
步骤S303,若确定所述目标用户设备的当前IP地址被流量攻击,则使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
其中,所述第一接入电路(后称“第一AC”)是指接入所述目标用户设备的VTEP设备上当前与所述目标用户设备关联的AC,所述第二接入电路(后称“第二AC”)是指在接入所述目标用户设备的VTEP设备上新建的与所述目标用户设备关联的AC。
例如图1所示,VTEP设备121上当前与虚拟机130关联的AC即为第一AC。在本实施例中,当VTEP设备121接收到任意需要发往IPA的流量时,会先确定与该IPA对应的第一AC,进而在第一AC中查找相应的转发表项用于指导流量的转发。因而,当第一AC被删除时,VTEP设备121上与IPA相关的转发表项将无法用于指导流量的转发,也就可以确保不会有流量被转发到虚拟机130上。
但当第一AC被删除后,虚拟机130发送的IP地址获取请求也将无法被转发至控制器110,因而,在删除第一AC后,控制器110可以新建一个与虚拟机130关联的第二AC,如此,虚拟机130发送的IP地址获取请求即可被转发到控制器110,从而使控制器110将所述新的IP地址IPB发送给虚拟机130。
在将所述新的IP地址分配给虚拟机130之后,要让虚拟机130完全恢复业务,还需等到虚拟机130学习到与IPB相关的转发表项。
针对上述问题,可选地,在执行步骤S202之后,所述地址分配方法还可以包括如图3所示的步骤S304。
步骤S304,针对所述VXLAN组网中的每个VTEP设备,分别生成用于指导VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项分别下发到各VTEP设备。
在本实施例中,控制器110中记录有VXLAN组网100中的各用户设备以及各VTEP设备的信息,因此可以直接生成所述新的IP地址的所有转发表项并下发到相应的VTEP设备上。如此,可以快速地恢复目标用户设备的业务。
例如图1所示场景中,针对VTEP设备120,控制器110可以生成如下表项:
其中,1-1-1表示虚拟机130的mac地址。
针对VTEP设备121,控制器110可以生成如下转发表项:
针对VTEP设备122,控制器110可以生成如下转发表项:
如图4所示,是图1所示的控制器110的方框示意图。所述控制器110包括地址分配装置111、机器可读存储介质112以及处理器113。
所述机器可读存储介质112及处理器113各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述地址分配装置111包括至少一个可以以软件或固件(firmware)的形式存储于所述机器可读存储介质112中或固化在所述控制器110的操作***(OperatingSystem,OS)中的软件功能模块。所述处理器113用于执行所述机器可读存储介质112中存储的可执行模块,例如所述地址分配装置111所包括的软件功能模块及计算机程序等。
其中,所述机器可读存储介质112可以是,但不限于,随机存取存储器(RandomAccess Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable ProgrammableRead-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable ProgrammableRead-Only Memory,EEPROM)等。其中,机器可读存储介质112用于存储程序,所述处理器113在接收到执行指令后,执行所述程序。
请参照图5,是本公开提供的一种地址分配装置111的功能模块示意图,从功能上划分,地址分配装置111可以包括地址确定模块1111和地址分配模块1112。
地址确定模块1111用于在确定目标用户设备的当前IP地址被流量攻击的情况下,下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址。
在本实施例中,关于地址确定模块1111的描述具体可参考对图2所示步骤S201的详细描述,即步骤S201可以由地址确定模块1111执行。
地址分配模块1112用于根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
在本实施例中,关于地址分配模块1112的描述具体可参考对图2所示步骤S202的详细描述,即步骤S202可以由地址确定模块1112执行。
可选地,地址分配装置111还可以包括接入电路更新模块1113。
接入电路更新模块1113用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
在本实施例中,关于接入电路更新模块1113的描述具体可参考对图3所示步骤S303的详细描述,即步骤S303可以由接入电路更新模块1113执行。
可选地,所述地址分配装置111还可以包括表项下发模块1114。
表项下发模块1114用于针对所述VXLAN组网中的每个VTEP设备,分别生成用于指导VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项分别下发到各VTEP设备。
在本实施例中,关于表项下发模块1114的描述具体可参考对图3所示步骤S304的详细描述,即步骤S304可以由表项下发模块1114执行。
可选地,所述地址分配装置111还可以包括地址老化模块1115。
地址老化模块1115用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,将所述当前IP地址老化,使所述目标用户设备发送所述地址获取请求。
可选地,所述地址分配装置111还可以包括流量攻击检测模块1116。
流量攻击检测模块1116用于在接收到所述VXLAN组网中的网关发送的、针对所述当前IP地址的流量攻击通知的情况下,确定所述当前IP地址被流量攻击。
其中,所述流量攻击通知为所述网关在检测到发往所述当前IP地址的流量达到预设阈值时发送的、包括所述当前IP地址的通知。
关于上述模块的描述具体可参考上述内容中对相关步骤的详细描述。
综上所述,本公开提供一种地址分配方法及装置,VXLAN组网中的控制器在确定目标用户设备的当前IP地址被流量攻击的情况下,下发针对该当前IP地址的处理规则以使目的地址为该当前IP地址的流量被丢弃,以及为目标用户设备确定新的IP地址。再根据接收到的目标用户设备发送的IP地址获取请求,将该新的IP地址发送给目标用户设备。通过上述设计,在受到流量攻击的情况下,目标用户设备的业务仍能够正常进行。
在本公开所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种地址分配方法,其特征在于,应用于VXLAN组网中的控制器,所述VXLAN组网还包括目标用户设备,所述方法包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址;
根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将所述新的IP地址发送给所述目标用户设备之后,针对所述VXLAN组网中的每个VTEP设备,分别生成用于指导VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项分别下发到各VTEP设备。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
若确定所述目标用户设备的当前IP地址被流量攻击,则将所述当前IP地址老化,使所述目标用户设备发送所述IP地址获取请求。
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
若接收到所述VXLAN组网中的网关或SPINE节点发送的、针对所述当前IP地址的流量攻击通知,则确定所述当前IP地址被流量攻击。
6.一种地址分配装置,其特征在于,应用于VXLAN组网中的控制器,所述VXLAN组网还包括目标用户设备,所述装置包括:
地址确定模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,下发针对所述当前IP地址的处理规则以使目的地址为所述当前IP地址的流量被丢弃,以及为所述目标用户设备确定新的IP地址;
地址分配模块,用于根据接收到的所述目标用户设备发送的IP地址获取请求,将所述新的IP地址发送给所述目标用户设备。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
接入电路更新模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,使接入所述目标用户设备的VTEP设备将当前与所述目标用户设备关联的第一接入电路删除,并新建与所述目标用户设备关联的第二接入电路,以使所述目标用户设备发送的所述IP地址获取请求通过所述第二接入电路到达所述控制器。
8.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
表项下发模块,用于将所述新的IP地址发送给所述目标用户设备之后,针对所述VXLAN组网中的每个VTEP设备,分别生成用于指导VTEP设备向所述新的IP地址转发报文的转发表项,并将生成的转发表项分别下发到各VTEP设备。
9.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
地址老化模块,用于在确定所述目标用户设备的当前IP地址被流量攻击的情况下,将所述当前IP地址老化,使所述目标用户设备发送所述IP地址获取请求。
10.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
流量攻击检测模块,用于在接收到所述VXLAN组网中的网关或SPINE节点发送的、针对所述当前IP地址的流量攻击通知的情况下,确定所述当前IP地址被流量攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811237436.7A CN109413221A (zh) | 2018-10-23 | 2018-10-23 | 地址分配方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811237436.7A CN109413221A (zh) | 2018-10-23 | 2018-10-23 | 地址分配方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109413221A true CN109413221A (zh) | 2019-03-01 |
Family
ID=65468426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811237436.7A Pending CN109413221A (zh) | 2018-10-23 | 2018-10-23 | 地址分配方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413221A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866199A (zh) * | 2019-04-30 | 2020-10-30 | 广州汽车集团股份有限公司 | 车载通信***中ecu的ip地址分配方法及相关产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591834A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | Vxlan中的流量监控方法和装置 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN107306255A (zh) * | 2016-04-21 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 |
| CN107332810A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 攻击防御方法及装置、*** |
| US20180097634A1 (en) * | 2016-10-05 | 2018-04-05 | Amazon Technologies, Inc. | Encrypted network addresses |
-
2018
- 2018-10-23 CN CN201811237436.7A patent/CN109413221A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591834A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | Vxlan中的流量监控方法和装置 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN107306255A (zh) * | 2016-04-21 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 |
| CN107332810A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 攻击防御方法及装置、*** |
| US20180097634A1 (en) * | 2016-10-05 | 2018-04-05 | Amazon Technologies, Inc. | Encrypted network addresses |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866199A (zh) * | 2019-04-30 | 2020-10-30 | 广州汽车集团股份有限公司 | 车载通信***中ecu的ip地址分配方法及相关产品 |
| CN111866199B (zh) * | 2019-04-30 | 2023-02-28 | 广州汽车集团股份有限公司 | 车载通信***中ecu的ip地址分配方法及相关产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106844000B (zh) | 一种多用户环境下利用浏览器访问Linux容器集群的方法和装置 | |
| JP6648308B2 (ja) | パケット伝送 | |
| US9363207B2 (en) | Private virtual local area network isolation | |
| KR101650832B1 (ko) | 네트워크 자원 모니터링 | |
| US8750311B2 (en) | Fibre channel host virtualization | |
| US9294351B2 (en) | Dynamic policy based interface configuration for virtualized environments | |
| CN102549983B (zh) | 分布式数据中心接入交换机 | |
| US9294349B2 (en) | Host traffic driven network orchestration within data center fabric | |
| CN105284080B (zh) | 数据中心的虚拟网络管理方法及数据中心*** | |
| CN103718527B (zh) | 一种通信安全处理方法、装置及*** | |
| CN105577723B (zh) | 虚拟化网络中实现负载分担的方法和装置 | |
| EP3310025B1 (en) | User migration | |
| CN109802985A (zh) | 数据传输方法、装置、设备及可读取存储介质 | |
| CN108616431A (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| WO2013159518A1 (en) | Migration of a security policy of a virtual machine | |
| US8775629B1 (en) | System and method for managing internet protocol (IP) address space for enterprise network | |
| CN108777640B (zh) | 一种服务器探测方法、装置、***及存储介质 | |
| CN104168209B (zh) | 多接入sdn网络报文转发方法和控制器 | |
| CN104272702A (zh) | 用于多租户环境中支持访问控制列表的方法和装置 | |
| CN106533890A (zh) | 一种报文处理方法、装置及*** | |
| CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
| CN106549780B (zh) | 一种网络配置方法、装置及*** | |
| US9197598B2 (en) | MAC address distribution | |
| US9712455B1 (en) | Determining availability of networking resources prior to migration of a server or domain | |
| CN107517129B (zh) | 一种基于OpenStack配置设备上行接口的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |
|
| RJ01 | Rejection of invention patent application after publication |