CN107612843A - 一种防止云平台ip和mac伪造的方法 - Google Patents
一种防止云平台ip和mac伪造的方法 Download PDFInfo
- Publication number
- CN107612843A CN107612843A CN201710892068.9A CN201710892068A CN107612843A CN 107612843 A CN107612843 A CN 107612843A CN 201710892068 A CN201710892068 A CN 201710892068A CN 107612843 A CN107612843 A CN 107612843A
- Authority
- CN
- China
- Prior art keywords
- mac
- network interface
- arp
- flow table
- virtual switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及云计算技术领域,特别一种防止云平台IP和MAC伪造的方法。本发明的方法包括:基于虚拟交换机添加网络接口;获取网络接口上允许通过的所有IP和MAC信息;根据网络接口端口号、IP和MAC信息,在虚拟交换机上建立流表以及ARP协议的流规则;只有满足条件的IP和MAC地址,其ARP网络数据包才能通过,其他ARP数据包将被禁止通行。本发明无需安装额外的数据包过滤工具,可以支持虚拟机、容器、物理机等网络接口上多个IP和MAC数据包的合规性通过,防止恶意的IP和MAC伪造,提高云平台的网络的安全性。
Description
技术领域
本发明涉及云计算技术领域,特别一种防止云平台IP和MAC伪造的方法。
背景技术
随着云计算的发展,很多业务系统逐渐的迁移到云平台上。同时很多业务系统,在云计算网络发展的变化下,对网络的要求也比较多。例如,两台虚拟机环境上要搭建一个Keepalive的心跳环境,就需要一个虚拟机的网卡上允许一个MAC多个IP的通过,而传统的方式只允许一个MAC和一个IP的通过,已经不能满足需求。如何满足虚拟机网络的需求,而能够有效防止虚拟机的ARP欺骗呢,同时还不用开启系统的防火墙、安装额外的数据包过滤工具等相关功能?
发明内容
本发明解决的问题是提供一种防止云平台IP和MAC伪造的方法;无需安装额外的数据包过滤工具,可以支持虚拟机、容器的虚拟网卡上多个IP和MAC数据包的合规性通过,防止云平台IP和MAC伪造,提高云平台的网络的安全性。
本发明解决上述技术问题的技术方案是:
包括如下步骤:
步骤1:在虚拟交换机添加网络接口;
步骤2:获取虚拟网卡上允许通过的所有IP和MAC信息;
步骤3:根据网络接口端口号、IP和MAC信息,在虚拟交换机上建立流表以及ARP协议的流规则;只有满足条件的IP和MAC地址,其ARP网络数据包才能通过,其他ARP数据包将被禁止通行;
所述的IP和MAC信息,允许一个MAC对应多个IP;一个MAC和一个IP组成一条记录。
所述交换机、流表、流规则:
(1)虚拟交换机上有端口、网桥和流表,根据网络接口和网桥获取网络接口在网桥上的端口号;
(2)新建一个流表以及流表默认流规则,默认的流规则的优先级最低且执行操作为丢弃数据包操作;
(3)根据网络接口端口号,将从端口出来的arp数据转到新建的流表中;
(4)在新建的流表中,添加基于端口号、MAC、IP、Arp协议的ARP流规则,且流规则的状态为接受操作,且优先级比默认的流规则高。
所述的网络接口支持物理机网卡、虚拟机和容器等虚拟网络接口;可以以OpenvSwitch作为虚拟交换机。
本发明方案的有益效果如下:
1、本发明的方法无需安装额外的过滤工具,在网络接口上的进行二层数据包处理,支持多个MAC和IP规则,满足不同业务对网络数据包的复杂需求。
2、本发明的方法原理可靠、实现简单,可以很容易集成到第三方云平台中。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图。
具体实施方式
根据流程图1所示,本发明的基本实施步骤如下:
(1)在openvswitch添加网络接口
虚拟机libvirt的网络配置:
其中虚拟交换机的网桥的名称′br0′,
虚拟接口名称为tap2f345c42-19,和控制器上有唯一标识
(2)获取允许虚拟接口上的MAC,IP列表信息。
从网络组件中心,获取到该虚拟接口tap2f345c42-19上允许的MAC、IP列表,如:12.16.10.1、fa:16:3e:a3:2b:06和10.10.0.12、fa:16:3e:a3:2b:06
(3)添加流表以及流规则
a)获取虚拟端口的端口号
ovs-ofctl show br0
查看tap2f345c42-19在br0上的端口号为1
b)新建一个流表以及默认的流规则
ovs-ofctl add-flow br0″table=1,priority=0actions=Drop″
c)虚拟机的端口号,将从端口出来的arp数据转到新建的流表中
ovs-ofctl add-flow br0″in_port=1,dl_type=0x0806,priority=2,actions=resubmit(,1)″
d)在新建的流表中,添加基于端口、MAC、IP、Arp协议的ARP流规则,流规则的状态为接受操作,且优先级比默认的流规则高
ovs-ofctl add-flow br0″table=1,in_port=1,dl_type=0x0806,dl_src=fa:16:3e:a3:2b:06,arp_spa=12.16.10.1,priority=1actions=Normal″
ovs-ofctl add-flow br0″table=1,in_port=1,dl_type=0x0806,dl_src=fa:16:3e:a3:2b:06,arp_spa=10.10.0.12,priority=1actions=Normal″。
Claims (3)
1.一种防止云平台IP和MAC伪造的方法,其特征在于,包括如下步骤:
步骤1:在虚拟交换机添加网络接口;
步骤2:获取虚拟网卡上允许通过的所有IP和MAC信息;
步骤3:根据网络接口端口号、IP和MAC信息,在虚拟交换机上建立流表以及ARP协议的流规则;只有满足条件的IP和MAC地址,其ARP网络数据包才能通过,其他ARP数据包将被禁止通行;
所述的IP和MAC信息,允许一个MAC对应多个IP;一个MAC和一个IP组成一条记录。
2.根据权利要求1所述的方法,其特征在于,所述交换机、流表、流规则:
(1)虚拟交换机上有端口、网桥和流表,根据网络接口和网桥获取网络接口在网桥上的端口号;
(2)新建一个流表以及流表默认流规则,默认的流规则的优先级最低且执行操作为丢弃数据包操作;
(3)根据网络接口端口号,将从端口出来的arp数据转到新建的流表中;
(4)在新建的流表中,添加基于端口号、MAC、IP、Atp协议的ARP流规则,且流规则的状态为接受操作,且优先级比默认的流规则高。
3.根据权利要求1或2所述的方法,其特征在于,所述的网络接口支持物理机网卡、虚拟机和容器等虚拟网络接口;可以以Open vSwitch作为虚拟交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710892068.9A CN107612843A (zh) | 2017-09-27 | 2017-09-27 | 一种防止云平台ip和mac伪造的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710892068.9A CN107612843A (zh) | 2017-09-27 | 2017-09-27 | 一种防止云平台ip和mac伪造的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107612843A true CN107612843A (zh) | 2018-01-19 |
Family
ID=61058973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710892068.9A Withdrawn CN107612843A (zh) | 2017-09-27 | 2017-09-27 | 一种防止云平台ip和mac伪造的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612843A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768883A (zh) * | 2018-05-18 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| CN110061921A (zh) * | 2019-04-17 | 2019-07-26 | 北京云杉世纪网络科技有限公司 | 一种云平台数据包分发方法及系统 |
| CN113132385A (zh) * | 2021-04-20 | 2021-07-16 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113839933A (zh) * | 2021-09-13 | 2021-12-24 | 紫光云(南京)数字技术有限公司 | 一种利用安全组解决多网卡流量的方法 |
| CN114143076A (zh) * | 2021-11-29 | 2022-03-04 | 全球能源互联网研究院有限公司 | 一种电力物联网安全防护系统 |
| CN114221928A (zh) * | 2021-11-05 | 2022-03-22 | 济南浪潮数据技术有限公司 | 一种管理网ip冲突的防御方法、系统、装置及存储介质 |
| CN114884922A (zh) * | 2022-04-28 | 2022-08-09 | 济南浪潮数据技术有限公司 | 一种数据中心中ip冲突检测方法、设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| US20110274110A1 (en) * | 2010-05-07 | 2011-11-10 | Vishnu Mmmadi | Method for preventing mac spoofs in a distributed virtual switch |
| CN103701822A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 访问控制方法 |
| CN104168200A (zh) * | 2014-07-10 | 2014-11-26 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
| CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
| CN106559428A (zh) * | 2016-11-25 | 2017-04-05 | 国云科技股份有限公司 | 一种防虚拟机ip和mac伪造的方法 |
| CN106878320A (zh) * | 2017-03-09 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种防止ip地址欺骗的方法和装置 |
-
2017
- 2017-09-27 CN CN201710892068.9A patent/CN107612843A/zh not_active Withdrawn
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| US20110274110A1 (en) * | 2010-05-07 | 2011-11-10 | Vishnu Mmmadi | Method for preventing mac spoofs in a distributed virtual switch |
| CN103701822A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 访问控制方法 |
| CN104168200A (zh) * | 2014-07-10 | 2014-11-26 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
| CN104735071A (zh) * | 2015-03-27 | 2015-06-24 | 浪潮集团有限公司 | 一种虚拟机之间的网络访问控制实现方法 |
| CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
| CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
| CN106559428A (zh) * | 2016-11-25 | 2017-04-05 | 国云科技股份有限公司 | 一种防虚拟机ip和mac伪造的方法 |
| CN106878320A (zh) * | 2017-03-09 | 2017-06-20 | 郑州云海信息技术有限公司 | 一种防止ip地址欺骗的方法和装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768883A (zh) * | 2018-05-18 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| CN108768883B (zh) * | 2018-05-18 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| CN110061921A (zh) * | 2019-04-17 | 2019-07-26 | 北京云杉世纪网络科技有限公司 | 一种云平台数据包分发方法及系统 |
| CN110061921B (zh) * | 2019-04-17 | 2021-07-06 | 北京云杉世纪网络科技有限公司 | 一种云平台数据包分发方法及系统 |
| CN113132385A (zh) * | 2021-04-20 | 2021-07-16 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113132385B (zh) * | 2021-04-20 | 2022-06-21 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113839933A (zh) * | 2021-09-13 | 2021-12-24 | 紫光云(南京)数字技术有限公司 | 一种利用安全组解决多网卡流量的方法 |
| CN113839933B (zh) * | 2021-09-13 | 2023-09-26 | 紫光云(南京)数字技术有限公司 | 一种利用安全组解决多网卡流量的方法 |
| CN114221928A (zh) * | 2021-11-05 | 2022-03-22 | 济南浪潮数据技术有限公司 | 一种管理网ip冲突的防御方法、系统、装置及存储介质 |
| CN114143076A (zh) * | 2021-11-29 | 2022-03-04 | 全球能源互联网研究院有限公司 | 一种电力物联网安全防护系统 |
| CN114143076B (zh) * | 2021-11-29 | 2024-01-19 | 全球能源互联网研究院有限公司 | 一种基于虚拟交换框架的电力物联网安全防护系统 |
| CN114884922A (zh) * | 2022-04-28 | 2022-08-09 | 济南浪潮数据技术有限公司 | 一种数据中心中ip冲突检测方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612843A (zh) | 一种防止云平台ip和mac伪造的方法 | |
| US11451476B2 (en) | Multi-path transport design | |
| CN106664261B (zh) | 一种配置流表项的方法、装置和系统 | |
| EP1565826B1 (en) | Network interface and protocol supporting mappings of virtual memory locations at different processing devices | |
| US8880771B2 (en) | Method and apparatus for securing and segregating host to host messaging on PCIe fabric | |
| US9137175B2 (en) | High performance ethernet networking utilizing existing fibre channel fabric HBA technology | |
| US7515596B2 (en) | Full data link bypass | |
| US9727386B2 (en) | Method and apparatus for network resource virtual partitioning | |
| US20090210601A1 (en) | Systems and methods for providing a virtual network interface connection ("nic") with the baseboard management controller ("bmc") | |
| CN102761534B (zh) | 实现媒体接入控制层透明代理的方法和装置 | |
| CN106921590A (zh) | 应用级网络排队 | |
| CN102255903A (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN102790777A (zh) | 网络接口适配器注册方法及驱动设备、服务器 | |
| CN104168200B (zh) | 一种基于Open vSwitch实现ACL功能的方法及系统 | |
| US11995017B2 (en) | Multi-plane, multi-protocol memory switch fabric with configurable transport | |
| CN108683607A (zh) | 虚拟机流量控制方法、装置和服务器 | |
| CN108768667A (zh) | 一种用于多核处理器片内核间网络通信的方法 | |
| JP2014011674A (ja) | ストレージシステム管理プログラム及びストレージシステム管理装置 | |
| WO2021103657A1 (zh) | 网络操作方法、装置、设备和存储介质 | |
| US8194670B2 (en) | Upper layer based dynamic hardware transmit descriptor reclaiming | |
| US10728171B2 (en) | Governing bare metal guests | |
| CN104363185B (zh) | 一种微型复合网络数据交换系统 | |
| CN102404151A (zh) | 支持复杂流量统计的网卡设备和相关复杂流量统计方法 | |
| CN103997422B (zh) | 一种ip接口板的故障处理方法和装置 | |
| CN113839933B (zh) | 一种利用安全组解决多网卡流量的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180119 |
|
| WW01 | Invention patent application withdrawn after publication |