CN104618262B - 一种报文处理的方法和设备 - Google Patents

一种报文处理的方法和设备 Download PDF

Info

Publication number
CN104618262B
CN104618262B CN201510020754.8A CN201510020754A CN104618262B CN 104618262 B CN104618262 B CN 104618262B CN 201510020754 A CN201510020754 A CN 201510020754A CN 104618262 B CN104618262 B CN 104618262B
Authority
CN
China
Prior art keywords
message
address
gateway device
identification information
list item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510020754.8A
Other languages
English (en)
Other versions
CN104618262A (zh
Inventor
徐燕成
王伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201510020754.8A priority Critical patent/CN104618262B/zh
Publication of CN104618262A publication Critical patent/CN104618262A/zh
Application granted granted Critical
Publication of CN104618262B publication Critical patent/CN104618262B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种报文处理的方法和设备,该方法包括:网关设备接收来自SDN控制器的状态通知报文;网关设备生成VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则所述网关设备从所述报文中获得所述VM的身份标识信息;所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表项中有所述VM的身份标识信息对应的记录,则网关设备将所述报文发送给所述SDN控制器;否则,所述网关设备丢弃所述报文。本发明实施例中,可以避免SDN控制器收到大量报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和CPU负担。

Description

一种报文处理的方法和设备
技术领域
本发明涉及通信技术领域,尤其是涉及一种报文处理的方法和设备。
背景技术
SDN(Software Defined Network,软件定义网络)网络是一种新型网络创新架构,其核心思想是将网络设备的控制层面与转发层面分离,以实现对流量的灵活控制,并为核心网络以及应用的创新提供良好的平台。在SDN网络中,包括网络设备(如交换机)和SDN控制器。SDN控制器用于根据用户的配置或者动态运行的协议生成流表(Flow Table),并将流表发送到网络设备。网络设备用于接收来自SDN控制器的流表,并根据流表来匹配和处理报文。
如图1所示,为SDN网络的组网示意图。网关设备在收到需要发送给VM(虚拟机)的报文时,如果网关设备上没有该报文匹配的流表,则网关设备将该报文发送给SDN控制器,由SDN控制器生成该报文匹配的流表,并将流表下发给网关设备。在后续过程中,网关设备可以利用该流表转发需要发送给VM的报文,并由接入设备将需要发送给VM的报文最终发送给VM。
在SDN网络中,目前在互联网上存在大量黑客会对VM进行攻击,其攻击的第一步是寻找到攻击源,即进行IP地址扫描和端口扫描,以探测VM是否存在。因此网关设备会收到大量的需要发送给VM的报文,且报文的目的IP地址和目的端口不断发生变化。由于报文的目的IP地址和目的端口不断发生变化,因此针对需要发送给VM的大量报文,网关设备上均没有报文匹配的流表,即网关设备需要将大量的报文都发送给SDN控制器,从而使得SDN控制器会收到大量的报文,并生成大量的流表,SDN控制器的负担很重。
发明内容
本发明实施例提供一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN控制器的网络中,所述方法包括以下步骤:
所述网关设备接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;所述网关设备生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
所述网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则所述网关设备从所述报文中获得所述VM的身份标识信息;
所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表项中有所述VM的身份标识信息对应的记录,则所述网关设备将所述报文发送给所述SDN控制器;否则,所述网关设备丢弃所述报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
所述网关设备通过所述VM的身份标识信息查询所述安全表项的过程,具体包括:在所述网关设备未使能深度检测功能时,所述网关设备获得所述报文的目的IP地址和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和MAC地址;
在所述网关设备使能深度检测功能时,所述网关设备获得所述报文的目的IP地址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
本发明实施例提供一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN控制器的网络中,所述方法包括以下步骤:
所述SDN控制器接收来自所述VM的注册报文,所述注册报文中携带了所述VM的身份标识信息;所述SDN控制器生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
所述SDN控制器向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送给SDN控制器的报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
本发明实施例提供一种网关设备,应用于包括虚拟机VM、所述网关设备和软件定义网络SDN控制器的网络中,所述网关设备具体包括:
接收模块,用于接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;
生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
获得模块,用于在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则从所述报文中获得所述VM的身份标识信息;
处理模块,用于通过所述VM的身份标识信息查询所述安全表项;
如果所述安全表项中有所述VM的身份标识信息对应的记录,则将所述报文发送给所述SDN控制器;否则,丢弃所述报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
所述处理模块,具体用于在通过所述VM的身份标识信息查询所述安全表项的过程中,在所述网关设备未使能深度检测功能时,获得所述报文的目的IP地址和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和MAC地址;在所述网关设备使能深度检测功能时,获得所述报文的目的IP地址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
本发明实施例提供一种软件定义网络SDN控制器,应用于包括虚拟机VM、网关设备和所述SDN控制器的网络中,所述SDN控制器具体包括:
接收模块,用于接收来自所述VM的注册报文;其中,所述注册报文中携带了所述VM的身份标识信息;
生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
发送模块,用于向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送给SDN控制器的报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
基于上述技术方案,本发明实施例中,通过在网关设备上维护安全表项,在大量黑客对VM进行攻击,并发送大量目的IP地址和目的端口不断发生变化的报文时,网关设备可以直接丢弃大量的报文,而不是将大量的报文都发送给SDN控制器,从而避免SDN控制器收到大量的报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和CPU(Central Processing Unit,中央处理器)负担。
附图说明
图1是SDN网络的组网示意图;
图2是本发明实施例提供的一种报文处理的方法流程示意图;
图3是本发明实施例提供的一种网关设备的结构示意图;
图4是本发明实施例提供的一种SDN控制器的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供一种报文处理的方法。以图1为本发明实施例的应用场景示意图,该方法具体可以应用在包括VM(虚拟机)、接入设备、SDN控制器和网关设备的网络(如SDN网络)中。
在上述应用场景下,如图2所示,该报文处理的方法具体包括以下步骤:
步骤201,SDN控制器接收来自VM的注册报文,该注册报文中携带了VM的身份标识信息。其中,VM的身份标识信息具体包括但不限于以下之一或任意组合:VM的IP地址、VM的MAC(Media Access Control,介质访问控制)地址、VM支持协议的端口标识。例如,当VM支持FTP(File Transfer Protocol,文件传输协议),TFTP(Trivial File Transfer Protocol,简单文件传输协议),Portal(门户)协议时,则VM支持协议的端口标识包括FTP的端口标识、TFTP的端口标识、Portal协议的端口标识。
具体的,在VM的上线过程中,当VM启动正常运行后,会向SDN控制器进行注册,即VM向SDN控制器发送注册报文,由SDN控制器接收来自VM的注册报文,且该注册报文中携带了该VM的身份标识信息。
步骤202,SDN控制器生成VM对应的安全表项,该安全表项中记录了该VM的身份标识信息。以VM的身份标识信息包括VM的IP地址、VM的MAC地址、VM支持协议的端口标识为例,则VM1的安全表项如表1所示。
表1
步骤203,SDN控制器向网关设备发送状态通知报文,由网关设备接收状态通知报文。其中,该状态通知报文中携带了VM的身份标识信息。
其中,该状态通知报文具体可以为基于Openflow协议的Modify-state(修改状态)报文,该Modify-state报文中携带了用于承载VM的身份标识信息的TLV(类型长度值)。进一步的,TYPE(类型)字段的取值可以为01,用于表示当前报文为Modify-state报文;Length(长度)字段的取值为整个TLV的长度;Value(值)字段用于携带VM的身份标识信息,如Value字段的取值分别为VM的IP地址、VM的MAC地址、VM支持协议的端口标识。
步骤204,网关设备在收到状态通知报文后,生成VM对应的安全表项,该安全表项中记录了VM的身份标识信息。如表2所示,为VM1的安全表项。
表2
步骤205,网关设备在收到需要发送给VM的报文时,如果报文需要上送SDN控制器,则网关设备从报文中获得该VM的身份标识信息。
针对需要发送给VM的报文,如果网关设备上有该报文匹配的流表,则网关设备可以直接通过该流表转发该报文,此时该报文不需要上送SDN控制器。如果网关设备上没有该报文匹配的流表,则该报文需要上送SDN控制器进行后续处理。
步骤206,网关设备通过VM的身份标识信息查询安全表项;如果安全表项中有该身份标识信息对应的记录,则网关设备将报文发送给SDN控制器;如果安全表项中没有该身份标识信息对应的记录,则网关设备丢弃报文。
本发明实施例中,在网关设备未使能深度检测功能时,网关设备获得报文的目的IP地址和目的MAC地址,并通过当前获得的该报文的目的IP地址和目的MAC地址查询安全表项中记录的VM的IP地址和MAC地址;如果安全表项中有匹配当前获得的目的IP地址和目的MAC地址的记录,则网关设备将报文发送给SDN控制器;如果安全表项中没有匹配当前获得的目的IP地址和目的MAC地址的记录,则网关设备丢弃报文。在网关设备使能深度检测功能时,网关设备获得该报文的目的IP地址、目的MAC地址和目的端口,并通过当前获得的该报文的目的IP地址、目的MAC地址和目的端口查询安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识;如果安全表项中有匹配当前获得的目的IP地址、目的MAC地址和目的端口的记录,则网关设备将报文发送给SDN控制器;如果安全表项中没有匹配当前获得的目的IP地址、目的MAC地址和目的端口的记录,则网关设备丢弃报文。
基于上述技术方案,本发明实施例中,通过在网关设备上维护安全表项,在大量黑客对VM进行攻击,并发送大量目的IP地址和目的端口不断发生变化的报文时,网关设备可以直接丢弃大量的报文,而不是将大量的报文都发送给SDN控制器,从而避免SDN控制器收到大量的报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和CPU负担。
由于VM存在中毒的风险,当VM中毒时,该VM会发送大量的报文,且报文的源IP地址和目的端口不断发生变化。由于报文的源IP地址和源MAC地址不断发生变化,因此针对VM发送的大量报文,接入设备上均没有报文匹配的流表,即接入设备需要将大量报文都发送给SDN控制器,从而使得SDN控制器会收到大量报文,并生成大量的流表,SDN控制器的负担很重。基于此,为了避免将VM发送的大量报文发送给SDN控制器,本发明实施例中,还可以在接入设备上进行基于安全表项的过滤功能。
在此情况下,SDN控制器生成VM对应的安全表项之后,SDN控制器向接入设备发送状态通知报文,该状态通知报文中携带了VM的身份标识信息,该VM的身份标识信息包括VM的IP地址和VM的MAC地址,而不包括VM支持协议的端口标识。接入设备在接收到状态通知报文后,生成VM对应的安全表项,该安全表项中记录了VM的身份标识信息,即该安全表项中记录了VM的IP地址和VM的MAC地址。接入设备在收到来自VM的报文时,如果该报文需要上送SDN控制器,则接入设备从报文中获得该VM的身份标识信息,并通过VM的身份标识信息查询安全表项;如果安全表项中有该身份标识信息对应的记录,则接入设备将报文发送给SDN控制器;如果安全表项中没有该身份标识信息对应的记录,则接入设备丢弃报文。其中,针对来自VM的报文,如果接入设备上有该报文匹配的流表,则接入设备可以直接通过该流表转发该报文,此时该报文不需要上送SDN控制器。如果接入上没有该报文匹配的流表,则该报文需要上送SDN控制器进行后续处理。
本发明实施例中,接入设备获得报文的源IP地址和源MAC地址,并通过当前获得的该报文的源IP地址和源MAC地址查询安全表项中记录的VM的IP地址和MAC地址;如果安全表项中有匹配当前获得的源IP地址和源MAC地址的记录,则接入设备将报文发送给SDN控制器;如果安全表项中没有匹配当前获得的源IP地址和源MAC地址的记录,则接入设备丢弃报文。
基于上述方案,本发明实施例中,在VM中毒并发送大量源IP地址和源MAC地址不断发生变化的报文时,接入设备可以丢弃VM的大量报文,而不将大量报文都发送给SDN控制器,从而避免SDN控制器收到大量报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和CPU负担。
本发明实施例中,可以由网络管理员手动在SDN控制器上配置VM对应的安全表项,该安全表项中记录网络管理员手动配置的VM的身份标识信息。
本发明实施例中,当接入设备从某端口上收到大量需要上送SDN控制器,且安全表项中没有身份标识信息对应的记录的报文时,接入设备获知该接口下的VM中毒,此时接入设备可以丢弃该接口下收到的报文,并向网管通知该接口下的VM对SDN控制器进行了攻击,由网管对VM进行杀毒隔离处理。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种网关设备,应用于包括虚拟机VM、所述网关设备和软件定义网络SDN控制器的网络中,如图3所示,述网关设备具体包括:
接收模块11,用于接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;
生成模块12,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
获得模块13,用于在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则从所述报文中获得所述VM的身份标识信息;
处理模块14,用于通过所述VM的身份标识信息查询所述安全表项;
如果所述安全表项中有所述VM的身份标识信息对应的记录,则将所述报文发送给所述SDN控制器;否则,丢弃所述报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
所述处理模块14,具体用于在通过所述VM的身份标识信息查询所述安全表项的过程中,在所述网关设备未使能深度检测功能时,获得所述报文的目的IP地址和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和MAC地址;在所述网关设备使能深度检测功能时,获得所述报文的目的IP地址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种软件定义网络SDN控制器,应应用于包括虚拟机VM、网关设备和所述SDN控制器的网络中,如图4所示,所述SDN控制器具体包括:
接收模块21,用于接收来自所述VM的注册报文;其中,所述注册报文中携带了所述VM的身份标识信息;
生成模块22,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
发送模块23,用于向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送给SDN控制器的报文。
所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (10)

1.一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN控制器的网络中,其特征在于,所述方法包括以下步骤:
所述网关设备接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;所述网关设备生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
所述网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则所述网关设备从所述报文中获得所述VM的身份标识信息;
所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表项中有所述VM的身份标识信息对应的记录,则所述网关设备将所述报文发送给所述SDN控制器;否则,所述网关设备丢弃所述报文。
2.如权利要求1所述的方法,其特征在于,所述VM的身份标识信息具体包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
3.如权利要求2所述的方法,其特征在于,所述网关设备通过所述VM的身份标识信息查询所述安全表项的过程,具体包括:
在所述网关设备未使能深度检测功能时,所述网关设备获得所述报文的目的IP地址和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和MAC地址;
在所述网关设备使能深度检测功能时,所述网关设备获得所述报文的目的IP地址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
4.一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN控制器的网络中,其特征在于,所述方法包括以下步骤:
所述SDN控制器接收来自所述VM的注册报文,所述注册报文中携带了所述VM的身份标识信息;所述SDN控制器生成所述VM对应的安全表项,所述SDN控制器生成的安全表项中记录了所述VM的身份标识信息;
所述SDN控制器向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利用所述网关设备生成的安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送给SDN控制器的报文。
5.如权利要求4所述的方法,其特征在于,所述VM的身份标识信息具体包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
6.一种网关设备,应用于包括虚拟机VM、所述网关设备和软件定义网络SDN控制器的网络中,其特征在于,所述网关设备具体包括:
接收模块,用于接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;
生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;
获得模块,用于在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则从所述报文中获得所述VM的身份标识信息;
处理模块,用于通过所述VM的身份标识信息查询所述安全表项;
如果所述安全表项中有所述VM的身份标识信息对应的记录,则将所述报文发送给所述SDN控制器;否则,丢弃所述报文。
7.如权利要求6所述的网关设备,其特征在于,所述VM的身份标识信息具体包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
8.如权利要求7所述的网关设备,其特征在于,
所述处理模块,具体用于在通过所述VM的身份标识信息查询所述安全表项的过程中,在所述网关设备未使能深度检测功能时,获得所述报文的目的IP地址和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和MAC地址;在所述网关设备使能深度检测功能时,获得所述报文的目的IP地址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
9.一种软件定义网络SDN控制器,应用于包括虚拟机VM、网关设备和所述SDN控制器的网络中,其特征在于,所述SDN控制器具体包括:
接收模块,用于接收来自所述VM的注册报文;其中,所述注册报文中携带了所述VM的身份标识信息;
生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述生成模块生成的安全表项中记录了所述VM的身份标识信息;
发送模块,用于向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利用所述网关设备生成的安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送给SDN控制器的报文。
10.如权利要求9所述的SDN控制器,其特征在于,所述VM的身份标识信息具体包括以下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的端口标识。
CN201510020754.8A 2015-01-15 2015-01-15 一种报文处理的方法和设备 Active CN104618262B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510020754.8A CN104618262B (zh) 2015-01-15 2015-01-15 一种报文处理的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510020754.8A CN104618262B (zh) 2015-01-15 2015-01-15 一种报文处理的方法和设备

Publications (2)

Publication Number Publication Date
CN104618262A CN104618262A (zh) 2015-05-13
CN104618262B true CN104618262B (zh) 2018-04-06

Family

ID=53152548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510020754.8A Active CN104618262B (zh) 2015-01-15 2015-01-15 一种报文处理的方法和设备

Country Status (1)

Country Link
CN (1) CN104618262B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105592047B (zh) * 2015-08-26 2019-01-25 新华三技术有限公司 一种业务报文的传输方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905317A (zh) * 2012-12-28 2014-07-02 中兴通讯股份有限公司 一种软件定义网络的报文处理方法和系统
CN104219337A (zh) * 2014-09-11 2014-12-17 杭州华三通信技术有限公司 应用于sdn中的ip地址分配方法和设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9647938B2 (en) * 2012-06-11 2017-05-09 Radware, Ltd. Techniques for providing value-added services in SDN-based networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905317A (zh) * 2012-12-28 2014-07-02 中兴通讯股份有限公司 一种软件定义网络的报文处理方法和系统
CN104219337A (zh) * 2014-09-11 2014-12-17 杭州华三通信技术有限公司 应用于sdn中的ip地址分配方法和设备

Also Published As

Publication number Publication date
CN104618262A (zh) 2015-05-13

Similar Documents

Publication Publication Date Title
US20160301603A1 (en) Integrated routing method based on software-defined network and system thereof
CN107409089B (zh) 一种在网络引擎中实施的方法及虚拟网络功能控制器
EP3494682B1 (en) Security-on-demand architecture
US9654395B2 (en) SDN-based service chaining system
JP5811253B2 (ja) ネットワークシステム、及びネットワーク管理方法
US10609181B2 (en) Method and apparatus for controlling service chain of service flow
CN105592047B (zh) 一种业务报文的传输方法和装置
EP3844911B1 (en) Systems and methods for generating network flow information
EP2656559B1 (en) Method and apparatus for applying client associated policies in a forwarding engine
EP2974355B1 (en) A device and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network
CN106899500B (zh) 一种跨虚拟可扩展局域网的报文处理方法及装置
CN108353022A (zh) 一种数据报文的处理方法、装置及系统
CN106506515B (zh) 一种认证方法和装置
CN104683500B (zh) 一种安全表项生成方法和装置
CN107547680B (zh) 一种数据处理方法及装置
CN104618262B (zh) 一种报文处理的方法和设备
CN113630301A (zh) 基于智能决策的数据传输方法、装置、设备及存储介质
US9497167B2 (en) System and method for automatic provisioning of multi-stage rule-based traffic filtering
CN107547618A (zh) 一种会话拆除方法和装置
JP5971405B2 (ja) ネットワーク統計情報の提供システム、ネットワーク統計情報の提供方法及びプログラム
JP2015154322A (ja) ファイアウォール装置の制御装置及びプログラム
CN107948082A (zh) 以太网上的点对点协议的处理方法和系统以及代理装置
CN106067864B (zh) 一种报文处理方法及装置
WO2014142094A1 (ja) 通信システム、物理マシン、仮想ネットワーク管理装置、および、ネットワーク制御方法
CN103684830B (zh) 控制用户识别的方法、装置和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant