CN105337952B - 用于抑制主机频繁迁移的方法和装置 - Google Patents
用于抑制主机频繁迁移的方法和装置 Download PDFInfo
- Publication number
- CN105337952B CN105337952B CN201410401101.XA CN201410401101A CN105337952B CN 105337952 B CN105337952 B CN 105337952B CN 201410401101 A CN201410401101 A CN 201410401101A CN 105337952 B CN105337952 B CN 105337952B
- Authority
- CN
- China
- Prior art keywords
- host
- port
- migration
- module
- collected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1034—Reaction to server failures by a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/101—Server selection for load balancing based on network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于抑制主机频繁迁移的方法和装置。基于本发明,OpenFlow控制器在监控到有主机频繁迁移时能够主动探测主机当前所在的端口,并且,只要探测到主机当前所在的端口,OpenFlow控制器就可以将主机绑定在该端口以限制该主机的迁移,而即便探测不到主机当前所在的端口,OpenFlow控制器也可以屏蔽来自该主机的报文。从而,无论是限制主机的迁移还是屏蔽主机的报文,都能够抑制主机迁移对OpenFlow控制器的干扰,并能够由此避免OpenFlow控制器随着主机的不断迁移而反复向OpenFlow交换设备下刷流表、以及避免正常的流量由于OpenFlow控制器的繁忙而无法得到响应,进而,能够提高OpenFlow控制器的可靠性。
Description
技术领域
本发明涉及SDN(Software Defined Network,软件定义网络)架构中的OpenFlow(开放流)技术,特别涉及适用于SDN架构中的OpenFlow控制器的一种用于抑制主机频繁迁移的方法和装置。
背景技术
SDN架构利用OpenFlow技术将网络设备的控制面与数据面分离,从而实现网络流量的灵活控制。相应地,SDN架构中包括OpenFlow控制器和OpenFlow交换设备,其中:OpenFlow控制器和OpenFlow交换设备之间通过OpenFlow通道进行通信,OpenFlow控制器根据用户的配置或者动态运行的协议生成流表下发到OpenFlow交换设备,OpenFlow交换设备依据OpenFlow控制器下发的流表进行报文处理。
在实际组网时,除了OpenFlow控制器和OpenFlow交换设备之外,SDN架构的底层也会存在不使用OpenFlow技术的一些普通交换设备,这些普通交换设备主机、例如VM(Virtual Machin,虚拟机)接入,并且只承担常规的二层转发。
对于底层具有普通交换设备的情况,当普通交换设备发生广播风暴、或受到报文攻击时,通过普通交换机接入的主机就会在OpenFlow交换设备的各端口(同一台OpenFlow交换设备的不同端口、或不同OpenFlow交换设备的端口)之间发生频繁迁移,从而会使得OpenFlow控制器随着主机的不断迁移而反复向OpenFlow交换设备下刷流表、并导致正常的流量由于OpenFlow控制器的繁忙而无法得到响应,进而导致OpenFlow控制器的可靠性不高。
发明内容
有鉴于此,本发明提供了一种用于抑制主机频繁迁移的方法和装置。
本发明提供的一种用于抑制主机频繁迁移的方法,该方法包括在SDN架构中的OpenFlow控制器执行的如下步骤:
步骤a1、监控各主机的迁移事件;
步骤a2、当监控到任意主机在单位时间长内发生迁移的次数达到迁移次数阈值时,收集该主机的地址信息以及该主机曾迁移过的至少一个端口;
步骤a3、探测该主机当前是否位于所收集的至少一个端口中的其中一个;
步骤a4、若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口;
步骤a5、若未探测到该主机当前所在的端口,则屏蔽来自该主机的报文。
优选地,该方法进一步包括在OpenFlow控制器执行的如下步骤:
步骤a6、在将主机绑定在其当前所在端口的时间达到绑定时长后,释放该主机;
步骤a7、在屏蔽来自主机的报文达到屏蔽时长后,撤销对该主机的屏蔽。
优选地,步骤a2收集的主机的地址信息包括该主机的MAC地址和IP地址。
优选地,步骤a3向端口所在的OpenFlow交换设备下发Packet-out消息、以触发该端口发出ARP请求报文,该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址、源MAC和源IP均为0;
若在响应等待时长内收到端口通过Packet-in消息上报的ARP应答报文,则表示主机当前处在该端口;
否则,表示主机当前未处在该端口。
优选地,步骤a2收集的主机最近曾迁移过的端口的数量多于一个,并且,步骤a3按照与迁移顺序相反的顺序从最近一次迁移的端口开始执行探测;
若通过步骤a3探测到主机位于当前探测的端口,则触发步骤a4;
若通过步骤a3未探测到主机位于当前探测的端口、且所收集的端口未全部完成探测,则继续由步骤a3探测下一个端口;
若通过步骤a3未探测到主机位于当前探测的端口、且所收集的端口已全部完成探测,则触发步骤a5。
优选地,该方法进一步包括在OpenFlow控制器执行的如下步骤:
b1、监控各端口发生迁移的主机的数量;
b2、当有端口发生迁移的主机的数量达到迁移主机阈值时,隔离该端口收到的报文。
本发明提供的一种用于抑制主机频繁迁移的装置,该装置包括在SDN架构中的OpenFlow控制器运行的如下模块:
主机监控模块,监控各主机的迁移事件;
信息收集模块,当监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时,收集该主机的地址信息以及该主机最近曾迁移过的至少一个端口;
主机探测模块,探测该主机当前是否位于所收集的至少一个端口中的其中一个;
主机绑定模块,若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口;
主机屏蔽模块,若未探测到该主机当前所在的端口,则屏蔽来自该主机的报文。
优选地,该装置进一步包括在OpenFlow控制器运行的如下模块:
绑定释放模块,在将主机绑定在其当前所在端口的时间达到绑定时长后,释放该主机;
屏蔽撤销模块,在屏蔽来自主机的报文达到屏蔽时长后,撤销对该主机的屏蔽。
优选地,信息收集模块收集的主机的地址信息包括该主机的MAC地址和IP地址。
优选地,主机探测模块向端口所在的OpenFlow交换设备下发Packet-out消息、以触发该端口发出ARP请求报文,该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址、源MAC和源IP均为0;
若在响应等待时长内收到端口通过Packet-in消息上报的ARP应答报文,则表示主机当前处在该端口;
否则,表示主机当前未处在该端口。
优选地,信息收集模块收集的主机曾迁移过的端口的数量多于一个,并且,主机探测模块按照与迁移顺序相反的顺序从最近一次迁移的端口开始执行探测;
若通过主机探测模块探测到主机位于当前探测的端口,则触发主机绑定模块;
若通过主机探测模块未探测到主机位于当前探测的端口、且所收集的端口未全部完成探测,则继续由主机探测模块探测下一个端口;
若通过主机探测模块未探测到主机位于当前探测的端口、且所收集的端口已全部完成探测,则触发主机屏蔽模块。
优选地,该装置进一步包括在OpenFlow控制器运行的如下模块:
端口监控模块,监控各端口发生迁移的主机的数量;
端口隔离模块,当有端口发生迁移的主机的数量达到迁移主机阈值时,隔离该端口收到的报文。
由此可见,基于本发明,OpenFlow控制器在监控到有主机频繁迁移时能够主动探测主机当前所在的端口,并且,只要探测到主机当前所在的端口,OpenFlow控制器就可以将主机绑定在该端口以限制该主机的迁移,而即便探测不到主机当前所在的端口,OpenFlow控制器也可以屏蔽来自该主机的报文。从而,无论是限制主机的迁移还是屏蔽主机的报文,都能够抑制主机迁移对OpenFlow控制器的干扰、例如广播风暴或报文攻击,并能够由此避免OpenFlow控制器随着主机的不断迁移而反复向OpenFlow交换设备下刷流表、以及避免正常的流量由于OpenFlow控制器的繁忙而无法得到响应,进而,能够提高OpenFlow控制器的可靠性。
另外,基于本发明,OpenFlow控制器还可以在监控到端口发生迁移的主机数量过多时隔离该端口收到的报文。从而,能够以端口为单位实现对主机频繁迁移的批量抑制。
附图说明
图1为本发明实施例中用于抑制主机频繁迁移的方法的示例性流程示意图;
图2为如图1所示方法中实现多端口探测的优选实现方式的示意图;
图3为本发明实施例中用于抑制主机频繁迁移的装置的示例性结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本实施例为了抑制主机频繁迁移对OpenFlow控制器的干扰,提出了一种由OpenFlow控制器在监控到有主机频繁迁移时触发的主动探测机制,即,对于发生频繁迁移的主机,OpenFlow控制器会主动探测该主机当前所在的端口,其中:
若探测到主机当前所在的端口,OpenFlow控制器会将该主机绑定在其当前所在的该端口,以限制该主机的迁移;
但若探测不到该主机当前所在的端口,OpenFlow控制器也可以屏蔽来自该主机的报文。
从而,无论OpenFlow控制器是限制主机的迁移还是屏蔽主机的报文,都能够抑制主机迁移对OpenFlow控制器的干扰,并能够由此避免OpenFlow控制器随着主机的不断迁移而反复向OpenFlow交换设备下刷流表、以及避免正常的流量由于OpenFlow控制器的繁忙而无法得到响应,进而,能够提高OpenFlow控制器的可靠性。
基于OpenFlow控制器的上述主动探测机制,本实施例提供了一种用于抑制主机频繁迁移的方法,请参见图1,该方法包括:
步骤101,OpenFlow控制器监控各主机的迁移事件,以监控每个主机在预设的单位时长(例如1分钟)内发生迁移的次数是否达到迁移次数阈值(例如3次或3次以上)。
步骤102,当监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时,OpenFlow控制器收集该主机的地址信息以及该主机曾迁移过的至少一个端口。
实际应用中,本步骤由OpenFlow控制器收集的主机的地址信息可以包括该主机的MAC(Media Access Control,媒体接入控制)地址和IP(Internet Protocol,互联网协议)地址。
另外,当监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时,OpenFlow控制器还可以进一步发出告警提示。
步骤103,OpenFlow控制器探测该主机当前是否位于所收集的至少一个端口中的其中一个。
实际应用中,在端口实现对主机的探测可以借助ARP(Address ResolutionProtocol)报文来实现。
具体说,对于每个端口来说,可以先由OpenFlow控制器向待探测的该端口所在的OpenFlow交换设备下发Packet-out(出方向包)消息、以触发该OpenFlow交换设备从待探测的端口发出ARP请求报文,该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址、源MAC和源IP均为0;
若OpenFlow控制器在预设的响应等待时长(例如10秒)内收到端口通过Packet-in(入方向包)消息上报的ARP应答报文,则表示主机当前处在该端口;
否则,表示主机当前未处在该端口。
步骤104,若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口。
步骤105,若未探测到该主机当前所在的端口,即,未在所收集的至少一个端口中的任一个探测到该主机,则屏蔽来自该主机的报文。
至此,上述流程结束。
实际应用中,无论是步骤104所执行的绑定、还是步骤105所执行的屏蔽,都可以是暂时的、而非永久。
相应地,请再参见图1,本实施例中用于抑制主机频繁迁移的方法还可以进一步包括如下步骤:
在步骤104之后执行的步骤106,OpenFlow控制器在将主机绑定在其当前所在端口的时间到达预设的绑定时长(例如10分钟)后,释放该主机。
在步骤105之后执行的步骤107,OpenFlow控制器在屏蔽来自主机的报文达到预设的屏蔽时长(例如10分钟)后,撤销对该主机的屏蔽。
在执行完上述的步骤106或107后,实际就相当于返回步骤101继续监控该主机在预设的单位时长内发生迁移的次数是否仍然会达到迁移次数阈值,显然,若达到,则会继续从步骤102开始重新执行流程。
另外,实际应用中,对于OpenFlow控制器收集的主机最近曾迁移过的端口的数量多于一个(例如收集主机最近曾迁移过的3个端口)的情况,可以由OpenFlow控制器在这些端口同时发起探测,但这样会导致OpenFlow控制器以及端口资源的负担突发增长,因此,本实施例优选地由OpenFlow控制器逐一探测这些端口。
具体说,在上述的步骤103中,OpenFlow控制器可以按照与主机迁移顺序相反的顺序从最近一次迁移的端口开始执行探测,请参见图2:
S21,OpenFlow控制器在当前探测的端口发起对主机的探测,判断主机是否位于当前探测的端口;
若OpenFlow控制器探测到主机位于当前探测的端口,则触发步骤104;
若OpenFlow控制器未探测到主机位于当前探测的端口,则跳转至S22。
S22,判断当前探测的端口是否为最后一个需探测的端口,即,收集的端口是否全部完成探测;
若不是,则返回S21,继续由OpenFlow控制器探测下一个端口;
若是,则触发步骤105。
以上是OpenFlow控制器在步骤103实现对多端口逐一探测的优选实现过程。
除了上述的主动探测机制之外,本实施例还提供了一种端口隔离机制,即:
OpenFlow控制器监控是否有数量过多的主机在同一个端口发生了迁移,或者说,监控是否有端口发生迁移的主机的数量达到迁移主机阈值;若是,则可以隔离该端口接收到的报文,所述的隔离可以通过关闭端口、阻塞端口、或设置端口为Abnormal(异常)等方式来实现。对于被实施报文隔离的端口,可以由用户自行设定解除隔离的时间、或手动回复。相应地,当监控到有端口发生迁移的主机的数量达到迁移主机阈值时,OpenFlow控制器还可以进一步发出告警提示。
另外,端口隔离机制可以独立于上述的主动探测机制而单独使用,也可以与上述的主动探测机制结合使用,对于结合使用的情况,在每个端口所监控到的发生迁移的主机可以经主动探测机制在该端口予以探测,若探测成功,则按照上述的步骤103予以绑定,若探测失败,再用于统计端口发生迁移的主机的数量。
以上是对用于抑制主机频繁迁移的方法的详细说明。实际应用中,该方法可以由计算机程序来实现,因此,本实施例还对应地提供了一种用于抑制主机频繁迁移的装置。
请参见图3,本实施例中用于抑制主机频繁迁移的装置包括在SDN架构中的OpenFlow控制器运行的如下模块:
主机监控模块301,监控各主机的迁移事件,以监控每个主机在预设的单位时长(例如1分钟)内发生迁移的次数是否达到迁移次数阈值(例如3次或3次以上)。
信息收集模块302,当监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时,收集该主机的地址信息以及该主机曾迁移过的至少一个端口。
实际应用中,信息收集模块302收集的主机的地址信息可以包括该主机的MAC地址和IP地址。另外,上述装置还可以包括一告警模块(图3中未示出),用于在监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时发出告警提示。
主机探测模块303,探测该主机当前是否位于所收集的至少一个端口中的其中一个。
实际应用中,主机探测模块303可以借助ARP报文来实现。具体说,对于每个端口来说,可以先由主机探测模块303向待探测的该端口所在的OpenFlow交换设备下发Packet-out消息、以触发该OpenFlow交换设备从待探测的端口发出ARP请求报文,该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址、源MAC和源IP均为以0;若主机探测模块303在预设的响应等待时长(例如10秒)内收到端口通过Packet-in消息上报的ARP应答报文,则表示主机当前处在该端口;否则,表示主机当前未处在该端口。
主机绑定模块304,若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口。
主机屏蔽模块305,若未探测到该主机当前所在的端口,则屏蔽来自该主机的报文。
另外,如方法部分所述,对主机的绑定和屏蔽都可以是暂时的,而非永久的。因此,如图3所示,本实施例中用于抑制主机频繁迁移的装置还可以进一步包括在OpenFlow控制器运行的如下模块:
绑定释放模块306,在将主机绑定在其当前所在端口的时间达到绑定时长后,释放该主机;
屏蔽撤销模块307,在屏蔽来自主机的报文达到屏蔽时长后,撤销对该主机的屏蔽。
实际应用中,对于信息收集模块302收集的主机曾迁移过的端口的数量多于一个的情况,可以由主机探测模块303在这些端口同时发起探测,但优选地,本实施例令主机探测模块303按照与主机迁移顺序相反的顺序从最近一次迁移的端口开始执行探测,对于每一个当前探测的端口:
若主机探测模块303探测到主机位于当前探测的端口,则触发主机绑定模块304;
若主机探测模块303未探测到主机位于当前探测的端口、且所收集的端口未全部完成探测,则由主机探测模块303探测下一个端口;
若主机探测模块303未探测到主机位于当前探测的端口、且所收集的端口已全部完成探测,则触发主机屏蔽模块305。
除了图3中示出的用于实现主动探测机制的上述模块之外,本实施例中用于抑制主机频繁迁移的装置还可以进一步包括在OpenFlow控制器运行的如下模块(未在图3中示出)、以支持端口隔离机制的实现:
端口监控模块,监控各端口发生迁移的主机的数量;
端口隔离模块,当有端口发生迁移的主机的数量达到迁移主机阈值时,隔离该端口收到的报文。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种用于抑制主机频繁迁移的方法,其特征在于,该方法包括在SDN架构中的OpenFlow控制器执行的如下步骤:
步骤a1、监控各主机的迁移事件;
步骤a2、当监控到任意主机在单位时间长内发生迁移的次数达到迁移次数阈值时,收集该主机的地址信息以及该主机曾迁移过的至少一个端口;
步骤a3、探测该主机当前是否位于所收集的至少一个端口中的其中一个;
步骤a4、若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口;
步骤a5、若未探测到该主机当前所在的端口,则屏蔽来自该主机的报文。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括在OpenFlow控制器执行的如下步骤:
步骤a6、在将主机绑定在其当前所在端口的时间达到绑定时长后,释放该主机;
步骤a7、在屏蔽来自主机的报文达到屏蔽时长后,撤销对该主机的屏蔽。
3.根据权利要求1所述的方法,其特征在于,步骤a2收集的主机的地址信息包括该主机的MAC地址和IP地址。
4.根据权利要求3所述的方法,其特征在于,步骤a3向端口所在的OpenFlow交换设备下发Packet-out消息,以触发该端口发出ARP请求报文;该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址,并且该ARP请求报文的源MAC和源IP均为0;
若在响应等待时长内收到端口通过Packet-in消息上报的ARP应答报文,则表示主机当前处在该端口;
否则,表示主机当前未处在该端口。
5.根据权利要求1至4中任一项所述的方法,其特征在于,步骤a2收集的主机最近曾迁移过的端口的数量多于一个,并且,步骤a3按照与迁移顺序相反的顺序从最近一次迁移的端口开始执行探测;
若通过步骤a3探测到主机位于当前探测的端口,则触发步骤a4;
若通过步骤a3未探测到主机位于当前探测的端口、且所收集的端口未全部完成探测,则继续由步骤a3探测下一个端口;
若通过步骤a3未探测到主机位于当前探测的端口、且所收集的端口已全部完成探测,则触发步骤a5。
6.根据权利要求1至4中任一项所述的方法,其特征在于,该方法进一步包括在OpenFlow控制器执行的如下步骤:
b1、监控各端口发生迁移的主机的数量;
b2、当有端口发生迁移的主机的数量达到迁移主机阈值时,隔离该端口收到的报文。
7.一种用于抑制主机频繁迁移的装置,其特征在于,该装置包括在SDN架构中的OpenFlow控制器运行的如下模块:
主机监控模块,监控各主机的迁移事件;
信息收集模块,当监控到任意主机在单位时长内发生迁移的次数达到迁移次数阈值时,收集该主机的地址信息以及该主机最近曾迁移过的至少一个端口;
主机探测模块,探测该主机当前是否位于所收集的至少一个端口中的其中一个;
主机绑定模块,若探测到该主机当前处在所收集的至少一个端口中的其中一个,则将该主机绑定在其当前所在的端口;
主机屏蔽模块,若未探测到该主机当前所在的端口,则屏蔽来自该主机的报文。
8.根据权利要求7所述的装置,其特征在于,该装置进一步包括在OpenFlow控制器运行的如下模块:
绑定释放模块,在将主机绑定在其当前所在端口的时间达到绑定时长后,释放该主机;
屏蔽撤销模块,在屏蔽来自主机的报文达到屏蔽时长后,撤销对该主机的屏蔽。
9.根据权利要求7所述的装置,其特征在于,信息收集模块收集的主机的地址信息包括该主机的MAC地址和IP地址。
10.根据权利要求9所述的装置,其特征在于,主机探测模块向端口所在的OpenFlow交换设备下发Packet-out消息,以触发该端口发出ARP请求报文;该ARP请求报文的目的MAC和目的IP分别为收集到的该主机的MAC地址和IP地址,并且该ARP请求报文的源MAC和源IP均为0;
若在响应等待时长内收到端口通过Packet-in消息上报的ARP应答报文,则表示主机当前处在该端口;
否则,表示主机当前未处在该端口。
11.根据权利要求7至9中任一项所述的装置,其特征在于,信息收集模块收集的主机曾迁移过的端口的数量多于一个,并且,主机探测模块按照与迁移顺序相反的顺序从最近一次迁移的端口开始执行探测;
若通过主机探测模块探测到主机位于当前探测的端口,则触发主机绑定模块;
若通过主机探测模块未探测到主机位于当前探测的端口、且所收集的端口未全部完成探测,则继续由主机探测模块探测下一个端口;
若通过主机探测模块未探测到主机位于当前探测的端口、且所收集的端口已全部完成探测,则触发主机屏蔽模块。
12.根据权利要求7至9中任一项所述的装置,其特征在于,该装置进一步包括在OpenFlow控制器运行的如下模块:
端口监控模块,监控各端口发生迁移的主机的数量;
端口隔离模块,当有端口发生迁移的主机的数量达到迁移主机阈值时,隔离该端口收到的报文。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410401101.XA CN105337952B (zh) | 2014-08-14 | 2014-08-14 | 用于抑制主机频繁迁移的方法和装置 |
US15/503,974 US10158705B2 (en) | 2014-08-14 | 2015-08-14 | Migration of hosts |
PCT/CN2015/086989 WO2016023518A1 (en) | 2014-08-14 | 2015-08-14 | Migration of hosts |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410401101.XA CN105337952B (zh) | 2014-08-14 | 2014-08-14 | 用于抑制主机频繁迁移的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105337952A CN105337952A (zh) | 2016-02-17 |
CN105337952B true CN105337952B (zh) | 2018-07-20 |
Family
ID=55288236
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410401101.XA Active CN105337952B (zh) | 2014-08-14 | 2014-08-14 | 用于抑制主机频繁迁移的方法和装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10158705B2 (zh) |
CN (1) | CN105337952B (zh) |
WO (1) | WO2016023518A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
CN105337952B (zh) * | 2014-08-14 | 2018-07-20 | 新华三技术有限公司 | 用于抑制主机频繁迁移的方法和装置 |
US10725833B2 (en) * | 2016-10-28 | 2020-07-28 | Nicira, Inc. | Monitoring and optimizing interhost network traffic |
US10686665B2 (en) * | 2017-08-11 | 2020-06-16 | Avaya Inc. | Discovery and configuration of an open networking adapter in a fabric network |
US10404747B1 (en) * | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
CN110247899B (zh) * | 2019-05-27 | 2022-02-25 | 南京大学 | 基于sdn云环境检测和缓解arp攻击的系统及方法 |
CN111698154B (zh) * | 2020-04-30 | 2023-04-07 | 新华三技术有限公司 | 一种主机路由频繁迁移的抑制方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103686883A (zh) * | 2012-09-20 | 2014-03-26 | 上海贝尔股份有限公司 | 用于在多无线接入网络中进行数据流迁移的方法与装置 |
CN103763121A (zh) * | 2013-12-24 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种网络配置信息快速下发的方法及装置 |
CN103827823A (zh) * | 2011-07-29 | 2014-05-28 | 惠普发展公司,有限责任合伙企业 | 迁移虚拟机 |
WO2014082493A1 (zh) * | 2012-11-30 | 2014-06-05 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010127365A1 (en) | 2009-05-01 | 2010-11-04 | Citrix Systems, Inc. | Systems and methods for establishing a cloud bridge between virtual storage resources |
WO2012171216A1 (zh) | 2011-06-17 | 2012-12-20 | 华为技术有限公司 | 以太网中环路位置检测的方法及以太网交换设备 |
US9473353B2 (en) * | 2014-06-23 | 2016-10-18 | International Business Machines Corporation | Cluster reconfiguration management |
CN105337952B (zh) * | 2014-08-14 | 2018-07-20 | 新华三技术有限公司 | 用于抑制主机频繁迁移的方法和装置 |
US10326838B2 (en) * | 2016-09-23 | 2019-06-18 | Microsoft Technology Licensing, Llc | Live migration of probe enabled load balanced endpoints in a software defined network |
US20180109471A1 (en) * | 2016-10-13 | 2018-04-19 | Alcatel-Lucent Usa Inc. | Generalized packet processing offload in a datacenter |
US10320895B2 (en) * | 2016-11-15 | 2019-06-11 | Microsoft Technology Licensing, Llc | Live migration of load balanced virtual machines via traffic bypass |
US10581744B2 (en) * | 2016-12-02 | 2020-03-03 | Cisco Technology, Inc. | Group-based pruning in a software defined networking environment |
-
2014
- 2014-08-14 CN CN201410401101.XA patent/CN105337952B/zh active Active
-
2015
- 2015-08-14 WO PCT/CN2015/086989 patent/WO2016023518A1/en active Application Filing
- 2015-08-14 US US15/503,974 patent/US10158705B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103827823A (zh) * | 2011-07-29 | 2014-05-28 | 惠普发展公司,有限责任合伙企业 | 迁移虚拟机 |
CN103686883A (zh) * | 2012-09-20 | 2014-03-26 | 上海贝尔股份有限公司 | 用于在多无线接入网络中进行数据流迁移的方法与装置 |
WO2014082493A1 (zh) * | 2012-11-30 | 2014-06-05 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
CN103763121A (zh) * | 2013-12-24 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种网络配置信息快速下发的方法及装置 |
CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
US20170279884A1 (en) | 2017-09-28 |
WO2016023518A1 (en) | 2016-02-18 |
US10158705B2 (en) | 2018-12-18 |
CN105337952A (zh) | 2016-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105337952B (zh) | 用于抑制主机频繁迁移的方法和装置 | |
US11902123B2 (en) | Technologies for managing compromised sensors in virtualized environments | |
EP3541014B1 (en) | Method, device and system for detecting fault in nfv system | |
US10567422B2 (en) | Method, apparatus and system for processing attack behavior of cloud application in cloud computing system | |
US10915374B2 (en) | Method of facilitating live migration of virtual machines | |
US7774637B1 (en) | Meta-instrumentation for security analysis | |
CN112866004B (zh) | 控制面设备的切换方法、装置及转控分离系统 | |
EP2717515A1 (en) | Virtual port monitoring method and device | |
WO2015188579A1 (zh) | 分布式虚拟防火墙装置、方法及防火墙控制器 | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
CN102902599A (zh) | 虚拟机内部故障处理方法、装置及系统 | |
US10623439B2 (en) | Computer system and control method thereof | |
US20110209148A1 (en) | Information processing device, virtual machine connection method, program, and recording medium | |
EP3044906A1 (en) | Apparatus and method for monitoring network performance | |
JP2019066995A (ja) | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム | |
US20170302536A1 (en) | Method and system for detecting abnormalities in network element operation | |
CN104348808B (zh) | 会话处理的方法和装置 | |
US10649847B2 (en) | Communication apparatus, system, method, and non-transitory medium | |
JP2013222313A (ja) | 障害連絡効率化システム | |
CN102469098B (zh) | 信息安全防护主机 | |
EP4044510A1 (en) | Method and apparatus for detecting link states | |
JP5898024B2 (ja) | マルウェア検出装置および方法 | |
CN106506265A (zh) | 检测fpga芯片挂死的方法及装置 | |
US20210152514A1 (en) | Information processing device, address duplication managing method, and non-transitory computer readable storage medium | |
JP2009169781A (ja) | ネットワーク検疫システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |