CN105429946A - 一种基于sdn虚拟交换机的防伪造ip的系统及方法 - Google Patents
一种基于sdn虚拟交换机的防伪造ip的系统及方法 Download PDFInfo
- Publication number
- CN105429946A CN105429946A CN201510715808.2A CN201510715808A CN105429946A CN 105429946 A CN105429946 A CN 105429946A CN 201510715808 A CN201510715808 A CN 201510715808A CN 105429946 A CN105429946 A CN 105429946A
- Authority
- CN
- China
- Prior art keywords
- virtual switch
- virtual
- sdn controller
- message
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
本发明公开了一种基于SDN虚拟交换机的防伪造IP的系统及方法,包括多个虚拟机和设置在每个虚拟机上的虚拟网卡,虚拟网卡均与虚拟交换机相连接,虚拟交换机分别与物理网卡和SDN控制器连接,SDN控制器与DHCP服务器相连接。其实现方法为:SDN控制器与DHCP服务器连接成功;SDN控制器从DHCP服务器获取用户的三元组关键配置;SDN控制器将三元组绑定下发到虚拟交换机;S虚拟交换机更新Openflow表项;虚拟交换机收到虚机报文;检查三元组绑定是否符合;如报文符合三元组绑定,转发报文,否则将报文丢弃。本发明可阻止假冒报文,在内网建立起访问控制,保护关键和敏感的数据,保障企业安全。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SDN虚拟交换机的防伪造IP的系统及方法。
背景技术
软件定义网络(SoftwareDefinedNetwork,SDN),是一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
SDN将控制与转发分离,通过控制器对整网实现集中控制,实现转发硬件通用化,控制智能集中化,极大的提高了网络的创新和灵活。但现有的SDN及虚拟交换机没有用户的三元组IP、MAC、入端口绑定的能力,虚拟机虽可以通过工具软件修改报文IP、MAC,以绕过安全软件的监管,但安全信息容易泄露,引发数据丢失,导致经济损失。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于SDN虚拟交换机的防伪造IP的系统及方法,本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定,阻止假冒报文,在内网建立起访问控制,保护关键和敏感的数据,保障企业安全。
为实现上述目的,本发明提供了一种基于SDN虚拟交换机的防伪造IP的系统,其特征在于:包括多个虚拟机和设置在每个虚拟机上的虚拟网卡,所述虚拟网卡均与虚拟交换机相连接,所述虚拟交换机分别与物理网卡和SDN控制器连接,所述SDN控制器与DHCP服务器相连接。
一种基于SDN虚拟交换机的防伪造IP的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、虚拟交换机与SDN控制器连接成功;
S3、SDN控制器与DHCP服务器连接成功;
S4、SDN控制器从DHCP服务器获取用户的三元组关键配置;
S5、SDN控制器将三元组绑定下发到虚拟交换机;
S6、虚拟交换机更新Openflow表项;
S7、虚拟交换机收到虚机报文;
S8、检查三元组绑定是否符合;
S9、如报文符合三元组绑定,转发报文,否则将报文丢弃。
上述的一种基于SDN虚拟交换机的防伪造IP的方法,其特征在于,所述步骤S4获取用户的三元组关键配置为IP、MAC、入端口。
本发明的有益效果是:
本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定,阻止假冒报文,在内网建立起访问控制,保护关键和敏感的数据,保障企业安全。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的结构示意图;
图2是本发明的工作流程图。
具体实施方式
如图1所示,一种基于SDN虚拟交换机的防伪造IP的系统,其特征在于:包括多个虚拟机1和设置在每个虚拟机1上的虚拟网卡2,所述虚拟网卡2均与虚拟交换机3相连接,所述虚拟交换机3分别与物理网卡4和SDN控制器6连接,所述SDN控制器6与DHCP服务器5相连接。
如图2所示,一种基于SDN虚拟交换机的防伪造IP的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、虚拟交换机与SDN控制器连接成功;
S3、SDN控制器与DHCP服务器连接成功;
S4、SDN控制器从DHCP服务器获取用户的三元组关键配置;
S5、SDN控制器将三元组绑定下发到虚拟交换机;
S6、虚拟交换机更新Openflow表项;
S7、虚拟交换机收到虚机报文;
S8、检查三元组绑定是否符合;
S9、如报文符合三元组绑定,转发报文,否则将报文丢弃。
本实施例中,所述步骤S4获取用户的三元组关键配置为IP、MAC、入端口。
本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定,阻止假冒报文,在内网建立起访问控制,保护关键和敏感的数据,保障企业安全。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (3)
1.一种基于SDN虚拟交换机的防伪造IP的系统,其特征在于:包括多个虚拟机(1)和设置在每个虚拟机(1)上的虚拟网卡(2),所述虚拟网卡(2)均与虚拟交换机(3)相连接,所述虚拟交换机(3)分别与物理网卡(4)和SDN控制器(6)连接,所述SDN控制器(6)与DHCP服务器(5)相连接。
2.一种基于SDN虚拟交换机的防伪造IP的方法,其特征在于,包括以下步骤:
S1、将虚拟机接入虚拟交换机;
S2、虚拟交换机与SDN控制器连接成功;
S3、SDN控制器与DHCP服务器连接成功;
S4、SDN控制器从DHCP服务器获取用户的三元组关键配置;
S5、SDN控制器将三元组绑定下发到虚拟交换机;
S6、虚拟交换机更新Openflow表项;
S7、虚拟交换机收到虚机报文;
S8、检查三元组绑定是否符合;
S9、如报文符合三元组绑定,转发报文,否则将报文丢弃。
3.如权利要求2所述的一种基于SDN虚拟交换机的防伪造IP的方法,其特征在于,所述步骤S4获取用户的三元组关键配置为IP、MAC、入端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510715808.2A CN105429946A (zh) | 2015-10-28 | 2015-10-28 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510715808.2A CN105429946A (zh) | 2015-10-28 | 2015-10-28 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105429946A true CN105429946A (zh) | 2016-03-23 |
Family
ID=55507888
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510715808.2A Pending CN105429946A (zh) | 2015-10-28 | 2015-10-28 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105429946A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059881A (zh) * | 2016-03-28 | 2016-10-26 | 北京智梵网络科技有限公司 | 一种 sdn 网络及其流量导入导出方法 |
CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
CN107800696A (zh) * | 2017-10-23 | 2018-03-13 | 国云科技股份有限公司 | 一种云平台虚拟交换机上通信伪造源识别方法 |
CN109587286A (zh) * | 2018-12-27 | 2019-04-05 | 新华三技术有限公司 | 一种设备接入控制方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101272292A (zh) * | 2008-05-14 | 2008-09-24 | 杭州华三通信技术有限公司 | 一种在流量监控中识别用户身份的方法及设备 |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN104010049A (zh) * | 2014-04-30 | 2014-08-27 | 易云捷讯科技(北京)有限公司 | 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法 |
CN104243205A (zh) * | 2014-09-03 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种虚拟交换机故障时的报文处理方法和设备 |
CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
-
2015
- 2015-10-28 CN CN201510715808.2A patent/CN105429946A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101272292A (zh) * | 2008-05-14 | 2008-09-24 | 杭州华三通信技术有限公司 | 一种在流量监控中识别用户身份的方法及设备 |
CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
CN104010049A (zh) * | 2014-04-30 | 2014-08-27 | 易云捷讯科技(北京)有限公司 | 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法 |
CN104243205A (zh) * | 2014-09-03 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种虚拟交换机故障时的报文处理方法和设备 |
CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
Non-Patent Citations (1)
Title |
---|
肖佩瑶,毕军: "基于OpenFlow架构的域内源地址验证方法", 《小型微型计算机系统》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059881A (zh) * | 2016-03-28 | 2016-10-26 | 北京智梵网络科技有限公司 | 一种 sdn 网络及其流量导入导出方法 |
CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107222433B (zh) * | 2017-04-18 | 2019-12-10 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
CN107800696A (zh) * | 2017-10-23 | 2018-03-13 | 国云科技股份有限公司 | 一种云平台虚拟交换机上通信伪造源识别方法 |
CN107800696B (zh) * | 2017-10-23 | 2020-07-03 | 国云科技股份有限公司 | 一种云平台虚拟交换机上通信伪造源识别方法 |
CN109587286A (zh) * | 2018-12-27 | 2019-04-05 | 新华三技术有限公司 | 一种设备接入控制方法及装置 |
CN109587286B (zh) * | 2018-12-27 | 2022-05-31 | 新华三技术有限公司 | 一种设备接入控制方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429946A (zh) | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 | |
CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
WO2019184164A1 (zh) | 自动部署Kubernetes从节点的方法、装置、终端设备及可读存储介质 | |
CN103685608B (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
CN105100026A (zh) | 一种报文安全转发方法及装置 | |
CN102739645A (zh) | 虚拟机安全策略的迁移方法及装置 | |
CN105430113A (zh) | Sdn网络arp报文处理方法、系统、控制器及交换机 | |
CN104272668A (zh) | 层3覆盖网关 | |
CN105262753A (zh) | 一种基于sdn虚拟交换机的安全策略的系统及方法 | |
EP2866393A1 (en) | Method and apparatus for determining virtual machine drifting | |
CN102316043B (zh) | 端口虚拟化方法、交换机及通信系统 | |
CN103269284A (zh) | 实时网络数据的捕获方法 | |
CN106936683B (zh) | 一种实现隧道配置的方法及装置 | |
CN103595801A (zh) | 一种云计算系统及其虚拟机实时监控方法 | |
CN102821023A (zh) | 一种vlan配置动态迁移的方法及装置 | |
WO2015154525A1 (zh) | 一种使用多板卡保护HQoS的方法和装置 | |
CN104683428A (zh) | 网络业务处理方法与装置 | |
CN104394016B (zh) | Issu升级方法和装置 | |
CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
CN106899478A (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 | |
CN105207856A (zh) | 一种基于sdn虚拟交换机的负载均衡的系统及方法 | |
CN113630301B (zh) | 基于智能决策的数据传输方法、装置、设备及存储介质 | |
CN107465621A (zh) | 一种路由器发现方法、sdn控制器、路由器和网络系统 | |
CN114650223A (zh) | 一种Kubernetes集群的网络配置方法、装置及电子设备 | |
CN109379239A (zh) | 一种OpenStack环境中配置接入交换机的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160323 |