CN107634953A - 一种防止容器网络arp欺骗的方法 - Google Patents

一种防止容器网络arp欺骗的方法 Download PDF

Info

Publication number
CN107634953A
CN107634953A CN201710869034.8A CN201710869034A CN107634953A CN 107634953 A CN107634953 A CN 107634953A CN 201710869034 A CN201710869034 A CN 201710869034A CN 107634953 A CN107634953 A CN 107634953A
Authority
CN
China
Prior art keywords
virtual network
network interface
mac
arp
subchain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201710869034.8A
Other languages
English (en)
Inventor
罗义兵
杨松
季统凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201710869034.8A priority Critical patent/CN107634953A/zh
Publication of CN107634953A publication Critical patent/CN107634953A/zh
Withdrawn legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及云计算技术领域,特别是一种防止容器网络ARP欺骗的方法。本发明的方法包括:创建容器的虚拟网络接口;在数据中心获取虚拟网络接口后端允许通过的所有IP和MAC信息;根据虚拟网络接口、IP和MAC信息,在虚拟网络接口后端上建立ebtables的子链以及子链下的过滤规则。通过本发明可以支持容器的虚拟网络接口上多个IP和MAC匹配数据包的通过,防止恶意的ARP欺骗,提高容器网络的安全性。

Description

一种防止容器网络ARP欺骗的方法
技术领域
本发明涉及云计算技术领域,特别是一种防止容器网络ARP欺骗的方法。
背景技术
随着云计算的发展,很多业务系统逐渐的迁移到云平台上,同时很多业务系统,在云计算网络发展的变化下,对网络的要求也比较多。例如,两台虚拟机、容器等环境上要搭建一个Keepalive的心跳环境,就需要一个虚拟网络接口上允许一个MAC多个IP的通过,而传统的方式只允许一个MAC和一个IP的通过,已经不能满足需求。如何满足虚拟网络的需求,而能够有效防止虚拟网络的ARP欺骗呢?
发明内容
本发明解决的问题提供一种防止容器网络ARP欺骗的方法;在不开启防火墙功能的前提下,支持一张虚拟网络接口上多个IP和MAC匹配数据包的通过,防止容器网络的ARP欺骗,提高容器网络的安全性。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
步骤1:创建容器的虚拟网络接口;
步骤2:在数据中心获取虚拟网络接口上允许通过的所有IP和MAC信息;
步骤3:根据虚拟网络接口、IP和MAC信息,在虚拟网络接口后端建立基于ebtables 的子链以及子链下的过滤规则;
步骤4:对满足过滤规则的IP和MAC地址,允许其ARP网络数据包通过,其他ARP数据包则禁止通行。
所述的方法允许一个MAC对应多个IP;一个MAC和一个IP组成一条记录。
所述的ebtables子链以及子链的过滤规则,
(1)建立ebtables上层链,使所有从该虚拟网络接口出来的ARP数据包都经过上层 链;
(2)针对容器的某个虚拟网络接口建立ebtables子链,使从该接口上的二层网络 数据包从上层链跳转到子链中;
(3)在子链中根据一个MAC和一个IP的记录,添加允许ARP协议通过的MAC和IP子链规则,支持添加多个规则;
(4)在子链最后抛弃没有匹配的数据包。
本发明方案的有益效果如下:
1、本发明的方法匹配一个容器的一个虚拟网络接口的二层数据包,支持多个MAC和IP规则,满足不同业务对网络数据包的复杂需求。
2、本发明的方法原理可靠、实现简单,可以很容易集成到第三方云平台中。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的流程图。
具体实施方式
如图所示,本发明的基本事实流程如下:
(1)创建容器的虚拟网络接口
虚拟网络接口的后端为dockerl_aftlink
将dockerl_aftlink添加到linux bridge的gcbr上
(2)获取允许虚拟接口上的MAC,IP列表信息。
从网络组件中心,获取到该虚拟接口后端dockerl_aftlink上允许的MAC、IP列表,如:12.16.10.1、fa:16:3e:a3:2b:16和10.10.0.13、fa:16:3e:a3:2b:06
(3)调用ebtables命令建立过滤MAC、IP队列的规则列表
在dockerl_aftlink虚拟网络接口后端上建立上层链dockerl-arp
ebtables -t nat -N dockerl-arp
ebtables -t nat -i dockerl_aftlink -j dockerl-arp
向虚拟接口规则链上依次添加IP和MAC规则
ebtables -t nat-A dockerl-arp -arp -p ARP --arp-mac-src fa:16:3e:a3: 2b:16 --arp-ip-src 12.16.10.1 -j RETURN
ebtables -t nat -A dockerl-arp -arp -p ARP --arp-mac-src fa:16:3e:a3: 2b:06 --arp-ip-src 10.10.0.13 -j RETURN
最后添加DROP规则到虚拟接口的子链中
ebtables -t nat -A dockerl-arp -j DROP。

Claims (3)

1.一种防止容器网络的ARP欺骗的方法,其特征在于,所述的方法包括如下步骤:
步骤1:创建容器的虚拟网络接口;
步骤2:在数据中心获取虚拟网络接口上允许通过的所有IP和MAC信息;
步骤3:根据虚拟网络接口、IP和MAC信息,在虚拟网络接口后端建立基于ebtables的子链以及子链下的过滤规则;
步骤4:对满足过滤规则的IP和MAC地址,允许其ARP网络数据包通过,其他ARP数据包则禁止通行。
2.根据权利要求1所述的方法,其特征在于,所述的方法允许一个MAC对应多个IP;一个MAC和一个IP组成一条记录。
3.根据权利要求2所述的方法,其特征在于,所述的ebtables子链以及子链的过滤规则,
(1)建立ebtables上层链,使所有从该虚拟网络接口出来的ARP数据包都经过上层链;
(2)针对容器的某个虚拟网络接口建立ebtables子链,使从该接口上的二层网络数据包从上层链跳转到子链中;
(3)在子链中根据一个MAC和一个IP的记录,添加允许ARP协议通过的MAC和IP子链规则,支持添加多个规则;
(4)在子链最后抛弃没有匹配的数据包。
CN201710869034.8A 2017-09-22 2017-09-22 一种防止容器网络arp欺骗的方法 Withdrawn CN107634953A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710869034.8A CN107634953A (zh) 2017-09-22 2017-09-22 一种防止容器网络arp欺骗的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710869034.8A CN107634953A (zh) 2017-09-22 2017-09-22 一种防止容器网络arp欺骗的方法

Publications (1)

Publication Number Publication Date
CN107634953A true CN107634953A (zh) 2018-01-26

Family

ID=61103657

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710869034.8A Withdrawn CN107634953A (zh) 2017-09-22 2017-09-22 一种防止容器网络arp欺骗的方法

Country Status (1)

Country Link
CN (1) CN107634953A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100107162A1 (en) * 2008-03-07 2010-04-29 Aled Edwards Routing across a virtual network
CN101951367A (zh) * 2010-09-09 2011-01-19 健雄职业技术学院 一种校园网防范arp病毒入侵的方法
CN103595826A (zh) * 2013-11-01 2014-02-19 国云科技股份有限公司 一种防止虚拟机ip和mac伪造的方法
CN104717212A (zh) * 2014-10-21 2015-06-17 中华电信股份有限公司 一种云端虚拟网络安全的防护方法与系统
CN106559428A (zh) * 2016-11-25 2017-04-05 国云科技股份有限公司 一种防虚拟机ip和mac伪造的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100107162A1 (en) * 2008-03-07 2010-04-29 Aled Edwards Routing across a virtual network
CN101951367A (zh) * 2010-09-09 2011-01-19 健雄职业技术学院 一种校园网防范arp病毒入侵的方法
CN103595826A (zh) * 2013-11-01 2014-02-19 国云科技股份有限公司 一种防止虚拟机ip和mac伪造的方法
CN104717212A (zh) * 2014-10-21 2015-06-17 中华电信股份有限公司 一种云端虚拟网络安全的防护方法与系统
CN106559428A (zh) * 2016-11-25 2017-04-05 国云科技股份有限公司 一种防虚拟机ip和mac伪造的方法

Similar Documents

Publication Publication Date Title
CN105706043B (zh) 推进式链接的列表吞吐量
CN106375176B (zh) 一种物理机接入云平台的方法
CN106464564B (zh) 用于网络分组封装和路由的方法、系统和计算机可读介质
CN105591925B (zh) 应用于sdn中的报文转发方法和设备
CN104718723B (zh) 用于虚拟网络中的联网和安全服务的框架
CN111193653B (zh) 数据传输方法、装置、设备及存储介质
CN104468368B (zh) 配置bgp邻居的方法及装置
CN103414535B (zh) 数据发送方法和数据接收方法及相关装置
CN101388800B (zh) 对服务器的网络性能进行压力测试的方法、设备及系统
CN109076028A (zh) 异构软件定义网络环境中的微分段
CN106844000A (zh) 一种多用户环境下利用浏览器访问Linux容器集群的方法和装置
CN104350467A (zh) 用于使用sdn的云安全性的弹性实行层
CN102255903A (zh) 一种云计算虚拟网络与物理网络隔离安全方法
CN107659485A (zh) 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置
CN105359470A (zh) 流表管理方法以及相关设备和通信系统
CN103795622B (zh) 一种报文转发方法及其装置
CN105635332A (zh) 一种多虚拟机共用单外网ip的方法
CN107193499A (zh) 一种容器数据卷的迁移方法及装置
CN106998297A (zh) 一种虚拟机迁移方法和装置
US10680851B2 (en) Method, apparatus, and device for PPTP VPN based access acceleration
CN107612843A (zh) 一种防止云平台ip和mac伪造的方法
CN105847108A (zh) 容器间的通信方法及装置
CN107360096A (zh) 一种vxlan报文的转发方法及系统
EP3329394A1 (en) Methodology of a coordinate mapping system
CN108833250A (zh) 一种VxLAN与VLAN之间的转发方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20180126

WW01 Invention patent application withdrawn after publication