CN105430113A - Sdn网络arp报文处理方法、系统、控制器及交换机 - Google Patents

Sdn网络arp报文处理方法、系统、控制器及交换机 Download PDF

Info

Publication number
CN105430113A
CN105430113A CN201510736862.5A CN201510736862A CN105430113A CN 105430113 A CN105430113 A CN 105430113A CN 201510736862 A CN201510736862 A CN 201510736862A CN 105430113 A CN105430113 A CN 105430113A
Authority
CN
China
Prior art keywords
message
arp
source
information
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510736862.5A
Other languages
English (en)
Other versions
CN105430113B (zh
Inventor
翟跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou Yinglie Intellectual Property Operation Co ltd
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201510736862.5A priority Critical patent/CN105430113B/zh
Publication of CN105430113A publication Critical patent/CN105430113A/zh
Application granted granted Critical
Publication of CN105430113B publication Critical patent/CN105430113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/356Switches specially adapted for specific applications for storage area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的SDN网络ARP报文处理方法、系统、控制器及交换机,SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;若该表为无需认证报文模式,则学习该些信息并更新所述表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则丢弃该ARP报文,整个配置简单和有效。

Description

SDN网络ARP报文处理方法、系统、控制器及交换机
技术领域
本发明涉及网络技术领域,特别是涉及SDN网络ARP报文处理方法、系统、控制器及交换机。
背景技术
按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一台主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP绑定”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方即黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
传统的ARP绑定技术,通过关闭交换机的自动更新功能来实现。关闭交换机的自动更新功能以后,当交换机收到ARP报文时,如果是新的ARP报文(交换机的ARP表中不存在该IP的表项),则正常学习,这样新的用户可以正常登录网络;如果该ARP报文对应的IP地址在交换机的ARP表中已经存在,则判断ARP报文中的MAC地址、收到ARP报文的端口和交换机ARP表中记录的是否相同,不相同则认为是欺骗报文予以丢弃,相同则正常接收,相应的ARP表项老化定时器被重置。通过该机制可以防止合法的ARP表项被欺骗报文篡改,从而可以避免交换机遭受ARP绑定和攻击。
但是,传统的基于SDN的上述ARP绑定策略由于是本地的,需要在每台交换机上关闭交换机的自动更新功能。如果欺骗ARP报文被交换机先学习到,反而正常的ARP表项无法正常学习到,存在很大的弊端。如果整个网络非常庞大和复杂,整个配置工作将会非常繁琐和容易出错。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供SDN网络ARP报文处理方法、系统、控制器及交换机,用于解决现有技术中需在每台交换机本地配置ARP绑定策略导致工作繁琐、效率低下的问题。
为实现上述目的及其他相关目的,本发明提供一种SDN网络的ARP报文处理方法,包括:SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则丢弃该ARP报文。
于本发明的一实施例中,所述的SDN网络的ARP报文处理方法,还包括:在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
为实现上述目的及其他相关目的,本发明提供一种SDN网络的ARP报文处理系统,应用于SDN控制器,所述系统包括:绑定表管理模块,用于获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;信息提取模块,用于接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;所述绑定表管理模块,用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
于本发明的一实施例中,所述的SDN网络的ARP报文处理系统,还包括:流表生成模块,用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
为实现上述目的及其他相关目的,本发明提供一种SDN控制器,包括:通信单元,用于获取网络中交换机的MAC信息和端口信息与预定IP信息;并用于接收来自交换机的未成功匹配流表的ARP报文;处理单元,用于将所述获取的交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;还用于从所述ARP报文提取至少源MAC地址、源IP地址和源端口信息;还用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
于本发明的一实施例中,所述处理单元,还用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表并通过所述通信单元下发至ARP报文转发路径上的各交换机。
于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
为实现上述目的及其他相关目的,本发明提供一种SDN交换机,包括:通信单元,用于外发包含其MAC信息和端口信息的报文发送给SDN控制器,以供与预定IP信息绑定后放入ARP绑定关系表中作为匹配项;还用于将所接收的未成功匹配流表的ARP报文发送给SDN控制器;并用于接收经过所述ARP绑定关系表匹配认证的对应所述ARP报文的流表;处理单元,用于根据所述通信单元接收的流表处理所述ARP报文。
如上所述,本发明的SDN网络ARP报文处理方法、系统、控制器及交换机,SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则丢弃该ARP报文。
本发明的技术方案是基于SDN架构的,整个ARP绑定策略集中在控制器上。只有正确的ARP报文才会生成流表,被SDN交换机转发,整个配置简单和有效。
附图说明
图1显示为本发明于一实施例中的SDN网络的ARP报文处理方法的流程示意图。
图2显示为本发明于一实施例中的SDN交换机发送给SDN控制器的Experimenter报文的结构示意图
图3显示为本发明于一实施例中的SDN网络的ARP报文处理系统的结构示意图。
图4显示为本发明于一实施例中的SDN网络中SDN交换机和控制器的结构示意图。
图5显示为本发明于具体应用一实施例中的网络通信交互示意图。
元件标号说明
1ARP报文处理系统
11绑定表管理模块
12信息提取模块
13流表生成模块
2SDN控制器
21第一通信单元
22第一处理单元
3SDN交换机
31第二通信单元
32第二处理单元
S101~S108步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明应用于SDN网络,指的是软件定义网络(SoftwareDefinedNetwork,SDN),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
本发明的设计思想之一即是利用SDN网络的控制面来实现ARP报文的安全防护。
请参阅图1,本发明提供一种SDN网络的ARP报文处理方法,包括:
步骤S101:SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式。
一方面来说,SDN交换机首先建立和控制器的通道,需要初始化OpenFlow通道,进而SDN交换机通过私有的Experimenter报文,上报自己的MAC地址和端口信息(端口id),所述Experimenter报文扩展有MAC信息和端口信息的存储空间,交换机的MAC地址可以作为其标识,从SDN交换机到控制器的私有扩展Experimenter报文的格式如图2所示,其中“OWNMACAddress”项存储所述MAC地址,“PORTid”项存储所述端口信息,Experimenter值为255需要向ONF组织申请;Experimentertype值为1表明是从SDN交换机方向到控制器;上报的端口号最大支持128个,其他Experimenter报文项可参考现有技术,不作赘述。
并且,SDN控制器还可根据LLDP协议和交换机上报的MAC地址和端口信息,计算网络拓扑,了解整个SDN网络的分布情况。
再一方面来说,所述ARP绑定关系表的相关配置例如下表所示:
根据该配置项目的要求即可实现控制利用ARP绑定关系表完成后续工作的方案。
所述需认证报文模式指的是需要对转发来的ARP报文进行认证,无需认证模式表示无需对ARP报文进行认证,直接学习即可。
步骤S102:SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息。
一方面来说,当ARP报文进入到SDN网络到达交换机,首先匹配交换机中的流表,如果不匹配,报文被送给SDN控制器,否则根据流表转发报文。
所述SDN控制器在接收到该ARP报文后,开始进行处理。
步骤S103:判断所述ARP绑定关系表的工作模式;即判断是需认证报文模式还是无需认证报文模式。
步骤S104:若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;
步骤S105:若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配看是否相匹配;
步骤S106:若匹配,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;
步骤S107:若不匹配,则丢弃该ARP报文。
于本发明的一实施例中,所述的SDN网络的ARP报文处理方法,所述步骤S106之后还包括:
步骤S108:在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
所述流表例如以下所示,包含了用于处理该ARP报文的流表项:
从而,各所述交换机根据该流表即可将ARP报文转发至其目的MAC地址对应的目的设备。
与上述方法实施例对应原理相同的是,本发明还可在以下提供SDN网络的ARP报文处理系统,方法实施例中的技术特征可应用于所述系统实施例,因此相同的技术特征不再重复赘述。
如图3所示,本发明提供一种SDN网络的ARP报文处理系统1,应用于SDN控制器,所述系统包括:绑定表管理模块11,用于获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;信息提取模块12,用于接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;所述绑定表管理模块11,用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
于本发明的一实施例中,所述的SDN网络的ARP报文处理系统1,还包括:流表生成模块13,用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
如图4所示,与上述实施例原理相同的是,本发明还可提供SDN控制器2及相配合的SDN交换机3的实施例。
所述SDN控制器2,包括:第一通信单元21,用于获取网络中交换机的MAC信息和端口信息与预定IP信息;并用于接收来自交换机的未成功匹配流表的ARP报文;第一处理单元22,用于将所述获取的交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;还用于从所述ARP报文提取至少源MAC地址、源IP地址和源端口信息;还用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器2丢弃该ARP报文。
于本发明的一实施例中,所述第一处理单元22,还用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表并通过所述第一通信单元21下发至ARP报文转发路径上的各交换机。
于本发明的一实施例中,所述SDN控制器2是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
所述SDN交换机3,包括:第二通信单元31,用于外发包含其MAC信息和端口信息的报文发送给SDN控制器2,以供与预定IP信息绑定后放入ARP绑定关系表中作为匹配项;还用于将所接收的未成功匹配流表的ARP报文发送给SDN控制器2;并用于接收经过所述ARP绑定关系表匹配认证的对应所述ARP报文的流表;第二处理单元32,用于根据所述通信单元接收的流表处理所述ARP报文,例如通过所述第二通信单元31转发。
所述第一通信单元21及第二通信单元31例如为有线网卡或无线RF通信电路,可运行驱动软件实现功能;所述第一处理单元22及第二处理单元32例如为CPU、MCU、SoC等芯片,通过运行相应软件实现功能。
再如图5所示,提供一个实际的实施例来说明本发明技术方案的作用:
其中,SDN控制器配置的有效的ARP绑定关系表为(HOSTA的MAC,HOSTA的IP,S1PORT1);
2)只有HOSTA发出的ARPREPLY才会被SDN网络转发至HostB,即图中4和5两步;
3)黑客发出的相同ARPREPLY会被SDN网络丢弃(入端口不匹配);
综上所述,本发明的SDN网络ARP报文处理方法、系统、控制器及交换机,SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则丢弃该ARP报文。
本发明的技术方案是基于SDN架构的,整个ARP绑定策略集中在控制器上。只有正确的ARP报文才会生成流表,被SDN交换机转发,整个配置简单和有效,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (10)

1.一种SDN网络的ARP报文处理方法,其特征在于,包括:
SDN控制器获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;
SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;
判断所述ARP绑定关系表的工作模式;
若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;
若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则丢弃该ARP报文。
2.根据权利要求1所述的SDN网络的ARP报文处理方法,其特征在于,还包括:在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
3.根据权利要求1所述的SDN网络的ARP报文处理方法,其特征在于,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
4.一种SDN网络的ARP报文处理系统,其特征在于,应用于SDN控制器,所述系统包括:
绑定表管理模块,用于获取网络中交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;
信息提取模块,用于接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MAC地址、源IP地址和源端口信息;
所述绑定表管理模块,用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
5.根据权利要求4所述的SDN网络的ARP报文处理系统,其特征在于,还包括:流表生成模块,用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表下发至ARP报文转发路径上的各交换机。
6.根据权利要求4所述的SDN网络的ARP报文处理系统,其特征在于,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
7.一种SDN控制器,其特征在于,包括:
通信单元,用于获取网络中交换机的MAC信息和端口信息与预定IP信息;并用于接收来自交换机的未成功匹配流表的ARP报文;
处理单元,用于将所述获取的交换机的MAC信息和端口信息与预定IP信息加以绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工作模式;还用于从所述ARP报文提取至少源MAC地址、源IP地址和源端口信息;还用于判断所述ARP绑定关系表的工作模式;若为无需认证报文模式,则学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地址、源IP地址和源端口以更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
8.根据权利要求7所述的SDN控制器,其特征在于,所述处理单元,还用于在所述ARP报文的源MAC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取的目的MAC地址,生成对应处理所述ARP报文的流表并通过所述通信单元下发至ARP报文转发路径上的各交换机。
9.根据权利要求7所述的SDN控制器,其特征在于,所述SDN控制器是从来自交换机的私有Experimenter报文中获取MAC信息和端口信息的,所述Experimenter报文扩展有MAC信息和端口信息的存储空间。
10.一种SDN交换机,其特征在于,包括:
通信单元,用于外发包含其MAC信息和端口信息的报文发送给SDN控制器,以供与预定IP信息绑定后放入ARP绑定关系表中作为匹配项;还用于将所接收的未成功匹配流表的ARP报文发送给SDN控制器;并用于接收经过所述ARP绑定关系表匹配认证的对应所述ARP报文的流表;
处理单元,用于根据所述通信单元接收的流表处理所述ARP报文。
CN201510736862.5A 2015-11-03 2015-11-03 Sdn网络arp报文处理方法、系统、控制器及交换机 Active CN105430113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510736862.5A CN105430113B (zh) 2015-11-03 2015-11-03 Sdn网络arp报文处理方法、系统、控制器及交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510736862.5A CN105430113B (zh) 2015-11-03 2015-11-03 Sdn网络arp报文处理方法、系统、控制器及交换机

Publications (2)

Publication Number Publication Date
CN105430113A true CN105430113A (zh) 2016-03-23
CN105430113B CN105430113B (zh) 2018-07-03

Family

ID=55508049

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510736862.5A Active CN105430113B (zh) 2015-11-03 2015-11-03 Sdn网络arp报文处理方法、系统、控制器及交换机

Country Status (1)

Country Link
CN (1) CN105430113B (zh)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827628A (zh) * 2016-04-29 2016-08-03 上海斐讯数据通信技术有限公司 一种基于软件定义网络的防源地址欺骗的方法
CN105933225A (zh) * 2016-04-20 2016-09-07 上海斐讯数据通信技术有限公司 一种基于sdn的策略路由方法和系统
CN106027527A (zh) * 2016-05-23 2016-10-12 华中科技大学 一种基于sdn环境的匿名通信方法
CN106254569A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的ip分配方法
CN106302860A (zh) * 2016-09-14 2017-01-04 上海斐讯数据通信技术有限公司 一种基于sdn的免费地址解析协议发送的方法、装置和系统
CN106506534A (zh) * 2016-12-09 2017-03-15 河南工业大学 一种sdn网络的arp攻击检测方法
CN107105072A (zh) * 2017-05-18 2017-08-29 杭州迪普科技股份有限公司 一种创建arp表项的方法和装置
WO2018018567A1 (zh) * 2016-07-29 2018-02-01 华为技术有限公司 一种管理交换机的方法及装置
CN107948076A (zh) * 2017-12-29 2018-04-20 杭州迪普科技股份有限公司 一种转发报文的方法及装置
CN108418794A (zh) * 2018-01-29 2018-08-17 全球能源互联网研究院有限公司 一种智能变电站通信网络抵御arp攻击的方法及系统
CN109428949A (zh) * 2017-08-30 2019-03-05 杭州达乎科技有限公司 一种基于sdn实现arp代理的方法和装置
CN109587286A (zh) * 2018-12-27 2019-04-05 新华三技术有限公司 一种设备接入控制方法及装置
WO2019113728A1 (zh) * 2017-12-11 2019-06-20 华为技术有限公司 一种网络及网络管理方法
CN110581803A (zh) * 2019-10-09 2019-12-17 中国联合网络通信集团有限公司 基于sdn的报文转发方法和装置
CN111010362A (zh) * 2019-03-20 2020-04-14 新华三技术有限公司 一种异常主机的监控方法及装置
CN112383646A (zh) * 2020-11-13 2021-02-19 新华三大数据技术有限公司 一种安全表项的配置方法、装置、sdn控制器及介质
CN113595909A (zh) * 2021-07-05 2021-11-02 杭州迪普科技股份有限公司 报文处理方法、网络认证设备及网卡芯片
CN114640646A (zh) * 2020-12-01 2022-06-17 天翼云科技有限公司 基于arp代理的容器公网ip绑定的系统、装置和方法
CN115037541A (zh) * 2022-06-09 2022-09-09 克拉玛依油城数据有限公司 内网环境中基于ip地址自动定位攻击源物理位置的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130272305A1 (en) * 2012-04-16 2013-10-17 Telefonaktiebolaget L M Ericsson (Publ) Chaining of inline services using software defined networking
CN103944886A (zh) * 2014-03-24 2014-07-23 迈普通信技术股份有限公司 一种端口安全的实现方法及系统
CN104219240A (zh) * 2014-09-03 2014-12-17 杭州华三通信技术有限公司 一种主机学习方法以及装置
CN104468636A (zh) * 2015-01-09 2015-03-25 李忠 DDoS威胁过滤与链路重配的SDN架构及工作方法
US20150089032A1 (en) * 2013-09-25 2015-03-26 International Business Machines Corporation Scalable Network Configuration with Consistent Updates in Software Defined Networks
CN104869125A (zh) * 2015-06-09 2015-08-26 上海斐讯数据通信技术有限公司 基于sdn的动态防mac地址欺骗方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130272305A1 (en) * 2012-04-16 2013-10-17 Telefonaktiebolaget L M Ericsson (Publ) Chaining of inline services using software defined networking
US20150089032A1 (en) * 2013-09-25 2015-03-26 International Business Machines Corporation Scalable Network Configuration with Consistent Updates in Software Defined Networks
CN103944886A (zh) * 2014-03-24 2014-07-23 迈普通信技术股份有限公司 一种端口安全的实现方法及系统
CN104219240A (zh) * 2014-09-03 2014-12-17 杭州华三通信技术有限公司 一种主机学习方法以及装置
CN104468636A (zh) * 2015-01-09 2015-03-25 李忠 DDoS威胁过滤与链路重配的SDN架构及工作方法
CN104869125A (zh) * 2015-06-09 2015-08-26 上海斐讯数据通信技术有限公司 基于sdn的动态防mac地址欺骗方法

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105933225A (zh) * 2016-04-20 2016-09-07 上海斐讯数据通信技术有限公司 一种基于sdn的策略路由方法和系统
CN105827628A (zh) * 2016-04-29 2016-08-03 上海斐讯数据通信技术有限公司 一种基于软件定义网络的防源地址欺骗的方法
CN106027527B (zh) * 2016-05-23 2019-04-12 华中科技大学 一种基于sdn环境的匿名通信方法
CN106027527A (zh) * 2016-05-23 2016-10-12 华中科技大学 一种基于sdn环境的匿名通信方法
CN106254569A (zh) * 2016-07-28 2016-12-21 上海斐讯数据通信技术有限公司 一种基于sdn网络的ip分配方法
WO2018018567A1 (zh) * 2016-07-29 2018-02-01 华为技术有限公司 一种管理交换机的方法及装置
CN106302860A (zh) * 2016-09-14 2017-01-04 上海斐讯数据通信技术有限公司 一种基于sdn的免费地址解析协议发送的方法、装置和系统
CN106302860B (zh) * 2016-09-14 2020-04-10 上海斐讯数据通信技术有限公司 一种基于sdn的免费地址解析协议发送的方法、装置和系统
CN106506534B (zh) * 2016-12-09 2019-09-27 河南工业大学 一种sdn网络的arp攻击检测方法
CN106506534A (zh) * 2016-12-09 2017-03-15 河南工业大学 一种sdn网络的arp攻击检测方法
CN107105072A (zh) * 2017-05-18 2017-08-29 杭州迪普科技股份有限公司 一种创建arp表项的方法和装置
CN107105072B (zh) * 2017-05-18 2020-02-11 杭州迪普科技股份有限公司 一种创建arp表项的方法和装置
CN109428949A (zh) * 2017-08-30 2019-03-05 杭州达乎科技有限公司 一种基于sdn实现arp代理的方法和装置
US11223597B2 (en) 2017-12-11 2022-01-11 Huawei Technologies Co., Ltd. Network and network management method
WO2019113728A1 (zh) * 2017-12-11 2019-06-20 华为技术有限公司 一种网络及网络管理方法
CN107948076A (zh) * 2017-12-29 2018-04-20 杭州迪普科技股份有限公司 一种转发报文的方法及装置
CN108418794A (zh) * 2018-01-29 2018-08-17 全球能源互联网研究院有限公司 一种智能变电站通信网络抵御arp攻击的方法及系统
CN109587286A (zh) * 2018-12-27 2019-04-05 新华三技术有限公司 一种设备接入控制方法及装置
CN111010362A (zh) * 2019-03-20 2020-04-14 新华三技术有限公司 一种异常主机的监控方法及装置
CN111010362B (zh) * 2019-03-20 2021-09-21 新华三技术有限公司 一种异常主机的监控方法及装置
CN110581803A (zh) * 2019-10-09 2019-12-17 中国联合网络通信集团有限公司 基于sdn的报文转发方法和装置
CN110581803B (zh) * 2019-10-09 2022-01-28 中国联合网络通信集团有限公司 基于sdn的报文转发方法和装置
CN112383646A (zh) * 2020-11-13 2021-02-19 新华三大数据技术有限公司 一种安全表项的配置方法、装置、sdn控制器及介质
CN112383646B (zh) * 2020-11-13 2022-04-22 新华三大数据技术有限公司 一种安全表项的配置方法、装置、sdn控制器及介质
CN114640646A (zh) * 2020-12-01 2022-06-17 天翼云科技有限公司 基于arp代理的容器公网ip绑定的系统、装置和方法
CN114640646B (zh) * 2020-12-01 2024-01-02 天翼云科技有限公司 基于arp代理的容器公网ip绑定的系统、装置和方法
CN113595909A (zh) * 2021-07-05 2021-11-02 杭州迪普科技股份有限公司 报文处理方法、网络认证设备及网卡芯片
CN115037541A (zh) * 2022-06-09 2022-09-09 克拉玛依油城数据有限公司 内网环境中基于ip地址自动定位攻击源物理位置的方法
CN115037541B (zh) * 2022-06-09 2024-06-07 克拉玛依油城数据有限公司 内网环境中基于ip地址自动定位攻击源物理位置的方法

Also Published As

Publication number Publication date
CN105430113B (zh) 2018-07-03

Similar Documents

Publication Publication Date Title
CN105430113A (zh) Sdn网络arp报文处理方法、系统、控制器及交换机
CN101809943B (zh) 用于虚拟端口通信的方法和系统
CN105450553B (zh) 用于在数据中心环境中学习控制平面层次的方法、装置和系统以及机器可读介质
CN103477593B (zh) 网络系统、交换机和连接终端检测方法
CN105260337B (zh) 一种单片机的自动编址方法及系统
CN103338161B (zh) 一种实现跨设备聚合的方法和设备
CN104104570A (zh) Irf系统中的聚合处理方法及装置
CN104272684A (zh) Fabric交换机中的动态服务插入
CN103825954A (zh) 一种OpenFlow控制方法及相应插件、平台和网络
CN105262667A (zh) Overlay网络中控制组播传输的方法、装置
EP3020167A1 (en) Member device of stacked switches system
CN103428094A (zh) 开放流OpenFlow系统中的报文转发方法及装置
CN105491017A (zh) Rs485总线多设备多协议解析方法及系统
CN101924699B (zh) 报文转发处理方法、系统和运营商边缘设备
CN105162674A (zh) 一种物理机访问虚拟网络的方法及网卡
CN103404084A (zh) Mac地址强制转发装置及方法
CN105306390A (zh) 一种数据报文转发控制方法及系统
CN105429946A (zh) 一种基于sdn虚拟交换机的防伪造ip的系统及方法
CN105187311A (zh) 一种报文转发方法及装置
CN104734953A (zh) 基于vlan实现报文二层隔离的方法、装置及交换机
CN105262753A (zh) 一种基于sdn虚拟交换机的安全策略的系统及方法
CN104660597A (zh) 三层认证方法、装置及三层认证交换机
EP3253030B1 (en) Method and device for reporting openflow switch capability
CN107465621A (zh) 一种路由器发现方法、sdn控制器、路由器和网络系统
CN107046509A (zh) 一种基于镜像口解析的智能工控网络数据整合方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201203

Address after: 313028 Industrial Park, balidian Town, Huzhou City, Zhejiang Province

Patentee after: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230104

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: 313028 Industrial Park, balidian Town, Huzhou City, Zhejiang Province

Patentee before: HUZHOU FENGYUAN AGRICULTURAL EQUIPMENT MANUFACTURE Co.,Ltd.