CN108259466B - DDoS流量回注方法、SDN控制器及网络系统 - Google Patents
DDoS流量回注方法、SDN控制器及网络系统 Download PDFInfo
- Publication number
- CN108259466B CN108259466B CN201711291700.0A CN201711291700A CN108259466B CN 108259466 B CN108259466 B CN 108259466B CN 201711291700 A CN201711291700 A CN 201711291700A CN 108259466 B CN108259466 B CN 108259466B
- Authority
- CN
- China
- Prior art keywords
- flow
- sdn forwarding
- mac address
- edge
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004140 cleaning Methods 0.000 claims abstract description 54
- 238000005538 encapsulation Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 14
- 238000004806 packaging method and process Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 8
- 238000007689 inspection Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了一种DDoS流量回注方法、SDN控制器及网络系统,涉及通信技术领域,解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高的问题。该方法包括,当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至中心SDN转发设备;下发第二Openflow流表至所述边缘SDN转发设备。本发明实施例用于DDoS流量的回注。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种分布式拒绝服务攻击(英文全称:Distributed Denial of Service,简称:DDoS)流量回注方法、软件定义网络(英文全称:Software Defined Network,简称:SDN)控制器及网络系统。
背景技术
传统的近目的DDoS的防护系统通常部署在城域网出口,通过深度包检测技术(英文全称:Deep Packet Inspection,简称:DPI)或者深度动态流检测(英文全称:Deep FlowInspection,简称:DFI)的方式对DDoS进行主动监测,通过与清洗设备之间的实时联动,实现对DDoS流量的牵引,再通过回注技术的部署,实现正常业务流量完整的回送到访问对象;这种应用于单一自治系统(英文全称:Autonomous System,简称:AS)域内DDoS流量清洗回注的场景已非常成熟。但是对于已扁平化的运营商网络架构来说,对于DDoS流量的牵引清洗的技术以及非常成熟,如何解决跨城域网域(不同的AS域)的DDoS流量回注成为亟待解决的一个难题。
目前解决方法主要有:
方法一,在重要城域网分别部署清洗设备,但这种方法需要大量重复投资,且防护能力分散,不利于大流量攻击的防护和后续能力的扩展。
方法二,建设一张覆盖全网的专用回注网络,但此方法也需要大量的网络基础资源的投入,包含长途传输资源和路由器,同时大大增加了维护人员的工作量。
由上述可知,现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高。
发明内容
本发明的实施例提供一种DDoS流量回注方法、SDN控制器及网络系统,解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面、本发明的实施例提供一种DDoS流量回注方法,包括:当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至中心SDN转发设备;其中,第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文;其中,携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备;中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配;中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装,生成第一流量并将第一流量回注至边缘SDN转发设备;其中,第一流量中源物理地址MAC地址为清洗设备的端口MAC地址,目的MAC地址为中心SDN转发设备的虚拟MAC;下发第二Openflow流表至边缘SDN转发设备;其中,第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文;若是,则边缘SDN转发设备接收到的报文中包含第一流量;边缘SDN转发设备对第一流量解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器;其中,MAC地址替换包括:将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址;将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;城域网路由器的端口与边缘SDN转发设备直连。
可选的,该方法还包括:获取边界网关协议BGP路由信息;其中BGP路由信息包括:IP段和起源AS编号;根据IP段和起源AS编号生成第一数据表;建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对Vxlan隧道分配网络虚拟实例NVI编码;根据第一数据表和NVI编码生成第一Openflow流表;其中,第一Openflow流表包括:IP段、起源AS编号与NVI编码的对应关系。
可选的,获取边界网关协议BGP路由信息,包括:通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
可选的,该方法还包括:当BGP路由信息和/或NVI编码发生改变时,对第一Openflow流表进行增量更新。
第二方面、本发明的实施例提供一种SDN控制器,包括:数据处理模块,用于当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至中心SDN转发设备;其中,第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文;其中,携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备;中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配;中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装,生成第一流量并将第一流量回注至边缘SDN转发设备;其中,第一流量中源物理地址MAC地址为清洗设备的端口MAC地址,目的MAC地址为中心SDN转发设备的虚拟MAC;数据处理模块,还用于下发第二Openflow流表至边缘SDN转发设备;其中,第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文;若是,则边缘SDN转发设备接收到的报文中包含第一流量;边缘SDN转发设备对第一流量解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器;其中,MAC地址替换包括:将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址;将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;城域网路由器的端口与边缘SDN转发设备直连。
可选的,SDN控制器还包括:BGP路由模块和转发控制模块;BGP路由模块,用于获取边界网关协议BGP路由信息;其中BGP路由信息包括:网络之间互连的协议IP段和起源AS编号;BGP路由模块,还用于根据IP段和起源AS编号生成第一数据表;转发控制模块,用于建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对Vxlan隧道分配网络虚拟实例NVI编码;数据处理模块,还用于根据BGP路由模块生成的第一数据表和转发控制模块分配的NVI编码生成第一Openflow流表;其中,第一Openflow流表包括:IP段、起源AS编号与NVI编码的对应关系。
可选的,BGP路由模块,具体用于通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
可选的,数据处理模块,还用于当BGP路由模块获取的路由信息和/或转发控制模块分配的NVI编码发生改变时,对第一Openflow流表进行增量更新。
第三方面、本发明的实施例提供一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,指令当被计算机执行时使计算机执行如第一方面提供的任一项DDoS流量回注方法。
第四方面、本发明的实施例提供一种网络系统,包括:清洗设备、SDN控制器、中心SDN转发设备、边缘SDN转发设备以及城域网路由器;其中,SDN控制器为第二方面提供的任一项SDN控制器。
本发明实施例提供的DDoS流量回注方法、SDN控制器及网络系统,通过SDN技术的运用,在Openflow协议与VXLAN技术的支持下,在不改变现有IP网络基础数据配置的条件下,中心SDN转发设备对清洗后的DDoS流量进行IP匹配并根据第一Openflow流表对清洗后的DDoS流量进行Vxlan封装,生成第一流量;然后将第一流量回注至边缘SDN转发设备,当接收边缘SDN转发设备发送的解Vxlan封装请求时,根据解Vxlan封装请求获取第二Openflow流表,并将第二Openflow流表下发至边缘SDN转发设备;使得边缘SDN转发设备对接收到的包含第一流量的报文解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器,实现了跨城域网跨(不同AS域)的DDOS流量牵引清洗后的流量回注,无需在每个重要城域网分别部署清洗设备或者部署专用的回注网络从而降低了运营的成本;解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例提供的一种DDoS流量回注方法的流程示意图;
图2为本发明的实施例提供的一种DDoS流量回注方法的另一种流程示意图;
图3为本发明的实施例提供的一种SDN控制器的结构示意图;
图4为本发明的实施例提供的一种SDN控制器在实际应用中的DDOS流量牵引/回注系统架构图;
图5为本发明的实施例提供的一种SDN控制器实际应用中OpenFlow流表生成流程图;
图6为本发明的实施例提供的一种SDN控制器在在实际应用中DDoS流量回注实施方法流程图。
附图标记:
SDN控制器-10;
数据处理模块-101;BGP路由模块-102;转发控制模块-103。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本文中符号“/”表示关联对象是或者的关系,例如A/B表示A或者B。
本发明的说明书和权利要求书中的术语“第一”、“第二”和“第三”等是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一运动状态、第二运动状态和第三运动状态等是用于区别不同的运动状态,而不是用于描述运动状态的特定顺序。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
首先对本发明实施例中可能涉及到的一些概念进行介绍。
1、软件定义网络(英文全称:Software Defined Network,简称:SDN)转发设备:采用X86架构设备,支持OpenFlow协议;用于接收SDN控制器发出的OpenFlow流表,并进行对应的报文处理与流量转发。
2、清洗设备:部署在省一级部署集中式的安全牵引中心中,其可与运营商集团骨干节点直接进行边界网关协议(英文全称:Border Gateway Protocol,简称:BGP)路由交互,发布32位路由进行流量引导,从而牵引并集中清洗全网被防护流量。部署一套高性能SDN转发设备,用于将清洗后的流量送至对应的目的城域网(后续称为中心SDN转发设备)。
3、扁平化的各地市城域网,分别部署SDN转发设备,用于接收清洗后的正常回注流量(后续成为边缘SDN转发设备)。
4、Vxlan跨域过程:传统Vxlan转发过程,是为了解决跨三层网络的二层互通。本端Vxlan设备需要与对端Vxlan设备建立隧道,并可从对端设备学习到端MAC地址加入MAC表中,隧道相当于和对端设备的一个虚拟直连接口。当报文到达本端Vxlan交换机后,通过对目标MAC地址的查询来进行转发,若查MAC发现下一跳为Vxlan虚拟接口,则进行Vxlan封装转发。
实施例一、本发明的实施例提供一种DDoS流量回注方法,如图1所示包括:
S101、当接收到中心SDN转发设备转发的清洗设备上报的地址解析协议(英文全称:Address Resolution Protocol,简称:ARP)报文时,下发第一Openflow流表至中心SDN转发设备。
其中,第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟物理地址(英文全称:Medium Access Control,简称:MAC)地址的报文;其中,携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备;中心SDN转发设备对清洗后的DDoS流量进行目的网络之间互连的协议(英文全称:Internet Protocol,简称:IP)匹配;中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装,生成第一流量并将第一流量回注至边缘SDN转发设备;其中,第一流量中源物理地址MAC地址为清洗设备的端口MAC地址,目的MAC地址为中心SDN转发设备的虚拟MAC。
S102、下发第二Openflow流表至边缘SDN转发设备。
其中,第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文;若是,则边缘SDN转发设备接收到的报文中包含第一流量;边缘SDN转发设备对第一流量解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器;其中,MAC地址替换包括:将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址;将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;城域网路由器的端口与边缘SDN转发设备直连。
需要说明的是,在实际的应用中当边缘SDN转发设备首次接收到Vxlan报文时,边缘SDN转发设备无法对该Vxlan报文进行处理,需要上报SDN控制如何处理该Vxlan报文的请求信息;SDN控制器根据边缘转发设备上报的如何处理该Vxlan报文的请求信息,下发第二Openflow流表至边缘SDN转发设备。
可选的,如图2所示本发明的实施例提供的一种DDoS流量回注方法还包括:获取边界网关协议BGP路由信息;其中BGP路由信息包括:IP段和起源AS编号;根据IP段和起源AS编号生成第一数据表;建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对Vxlan隧道分配网络虚拟实例NVI编码;根据第一数据表和NVI编码生成第一Openflow流表;其中,第一Openflow流表包括:IP段、起源AS编号与网络虚拟实例(英文全称:Network VirtualInstance,简称:NVI)编码的对应关系。
可选的,如图2所示本发明的实施例提供的一种DDoS流量回注方法中获取边界网关协议BGP路由信息,包括:通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
可选的,如图2所示本发明的实施例提供的一种DDoS流量回注方法还包括:当BGP路由信息和/或NVI编码发生改变时,对第一Openflow流表进行增量更新。
本发明实施例提供的DDoS流量回注方法,通过SDN技术的运用,在Openflow协议与VXLAN技术的支持下,在不改变现有IP网络基础数据配置的条件下,中心SDN转发设备对清洗后的DDoS流量进行IP匹配并根据第一Openflow流表对清洗后的DDoS流量进行Vxlan封装,生成第一流量;然后将第一流量回注至边缘SDN转发设备,当接收边缘SDN转发设备发送的解Vxlan封装请求时,根据解Vxlan封装请求获取第二Openflow流表,并将第二Openflow流表下发至边缘SDN转发设备;使得边缘SDN转发设备对接收到的包含第一流量的报文解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器,实现了跨城域网跨(不同AS域)的DDOS流量牵引清洗后的流量回注,无需在每个重要城域网分别部署清洗设备或者部署专用的回注网络从而降低了运营的成本;解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高的问题。
实施例二、本发明的实施例提供一种SDN控制器10,如图3所示包括:
数据处理模块101,用于当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至中心SDN转发设备。
其中,第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文;其中,携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备;中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配;中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装,生成第一流量并将第一流量回注至边缘SDN转发设备;其中,第一流量中源物理地址MAC地址为清洗设备的端口MAC地址,目的MAC地址为中心SDN转发设备的虚拟MAC。
需要说明的是,在实际的应用中SDN控制器向中心SDN转发设备下发第一Openflow流表,使得中心SDN转发设备响应清洗设备送达的ARP报文,回复一个携带虚拟MAC地址的报文。
之后,部署在安全牵引中心中的清洗设备向骨干网路由器发布32位引流路由,将受攻击IP地址引流至安全牵引中心清洗,清洗完毕后送入中心SDN转发设备。
之后,中心SDN转发设备对接收到的清洗设备清洗完毕后的DDoS流量匹配报文目的地址,并根据第一Openflow流表对匹配报文目的地址的DDos流量进行Vxlan封装,并将Vxlan封装后的DDoS报文回注至送至目标边缘SDN转发设备。
数据处理模块101,还用于下发第二Openflow流表至边缘SDN转发设备;其中,第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文;若是,则边缘SDN转发设备接收到的报文中包含第一流量;边缘SDN转发设备对第一流量解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器;其中,MAC地址替换包括:将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址;将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;城域网路由器的端口与边缘SDN转发设备直连。
可选的,SDN控制器100还包括:BGP路由模块102和转发控制模块103;BGP路由模块102,用于获取边界网关协议BGP路由信息;其中BGP路由信息包括:网络之间互连的协议IP段和起源AS编号;BGP路由模块102,还用于根据IP段和起源AS编号生成第一数据表;转发控制模块103,用于建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对Vxlan隧道分配网络虚拟实例NVI编码;数据处理模块101,还用于根据BGP路由模块102生成的第一数据表和转发控制模块103分配的NVI编码生成第一Openflow流表;其中,第一Openflow流表包括:IP段、起源AS编号与NVI编码的对应关系。
需要说明的是,在实际的应用中第一Openflow流表的生成流程图参照图5所示;SDN控制器向边缘SDN转发设备下达第二Openflow流表内容如下:边缘SDN转发设备匹配所有入向Vxlan报文,判别接收到的报文是否为Vxlan报文;若是,则边缘SDN转发设备接收到的报文中包含第一流量;边缘SDN转发设备对第一流量解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器,进行正常IP转发。
可选的,BGP路由模块102,具体用于通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
需要说明的是,在实际的应用中SDN控制器的BGP路由模块,通过SNMP或其他方法读取运营商的路由反射器(RR)的BGP路由信息,并生成IP段-AS号关系表。
之后,SDN控制器转发控制模块,为中心SDN转发设备与各个边缘SDN转发设备之间,建立VXLAN隧道,并分配不同的NVI。
之后,SDN控制器根据IP-AS号对应关系,形成IP-AS-NVI对应表项(第一OpenFlow流表),并将该流表下发至中心SDN转发设备;使得对于清洗后的报文匹配目的IP,依据不同的目的IP进行相对应的Vxlan封装。
可选的,数据处理模块101,还用于当BGP路由模块102获取的路由信息和/或转发控制模块103分配的NVI编码发生改变时,对第一Openflow流表进行增量更新。
示例性的,参考图4所示,本发明工作的目的是建立一个叠加在现有扁平化IP网络上的牵引/回注架构,为实现这一目标,以广东省为例,清洗后回注深圳城域网的IP地址5.5.5.5/32,可按图6方式部署该清洗牵引回注系统,并进行清洗后的回注操作。
步骤S1、安全牵引中心的选择。现有IDC骨干一般入方向流量较小,通常具有1:3甚至更小的入/出流量比,因此本例选择将IDC骨干作为安全牵引中心的核心路由器。
步骤S2、SDN控制器为安全牵引中心节点至各个城域网节点的SDN转发设备分别建立VXLAN通道,形成NVI-AS对应关系表项。
步骤S3、SDN控制器BGP路由模块,采用SNMP或其他方式读取IDC核心BGP表,形成IP-AS号对应关系表。结合步骤S2中NVI-AS对应关系表项,形成VXLAN的IP-NVI表项,并通过转发控制模块北向接口发送至转发控制模块。此表项将定时做增量更新,如表1所示;
步骤S4、转发控制模块将该VXLAN封装流表下发至中心SDN转发设备,从而完成回注转发路径的设置。
步骤S5、清洗设备向骨干网下发32位牵引路由,使流量进行清洗。清洗完毕后,所有流量送至中心SDN转发设备。
步骤S6、中心SDN转发设备匹配对应端口所有入流量,依据IP-NVI表项进行对应的VXLAN封装,并发送至安全牵引中心核心路由器,由其进行IP三层转发。
步骤S7、边缘SDN转发设备收到VXLAN报文,进行解封装。其后,将报文目的MAC地址替换为对端城域网路由器MAC地址,源MAC地址替换为自身接口MAC地址,并发送给对端。
步骤S8、城域网路由器收到边缘SDN转发设备发来的报文后,进行城域网内的正常IP转发,至此,流量回注完成。
本发明实施例提供的SDN控制器,通过SDN技术的运用,在Openflow协议与VXLAN技术的支持下,在不改变现有IP网络基础数据配置的条件下,中心SDN转发设备对清洗后的DDoS流量进行IP匹配并根据第一Openflow流表对清洗后的DDoS流量进行Vxlan封装,生成第一流量;然后将第一流量回注至边缘SDN转发设备,当接收边缘SDN转发设备发送的解Vxlan封装请求时,根据解Vxlan封装请求获取第二Openflow流表,并将第二Openflow流表下发至边缘SDN转发设备;使得边缘SDN转发设备对接收到的包含第一流量的报文解除Vxlan封装,生成第二流量;边缘SDN转发设备对第二流量进行MAC地址替换,生成第三流量;边缘SDN转发设备将第三流量发送至城域网路由器,实现了跨城域网跨(不同AS域)的DDOS流量牵引清洗后的流量回注,无需在每个重要城域网分别部署清洗设备或者部署专用的回注网络从而降低了运营的成本;解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时,需要大量的资源投入导致运营成本较高的问题。
实施例三、本发明的实施例提供一种存储一个或多个程序的计算机可读存储介质,一个或多个程序包括指令,指令当被计算机执行时使计算机执行如实施例一提供的任一项DDoS流量回注方法。具体的DDoS流量回注方法可以参见上述方法实施例一中的相关描述,此处不再赘述。
结合本发明公开内容所描述的方法的步骤可以由硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于RAM、闪存、ROM、可擦除可编程只读存储器(easable programmable ROM,EPROM)、电可擦可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
实施例四、本发明的实施例提供一种网络系统,包括:清洗设备、SDN控制器、中心SDN转发设备、边缘SDN转发设备以及城域网路由器;其中,SDN控制器为实施例二提供的任一项SDN控制器。具体的SDN控制器可以参见上述装置实施例二中的相关描述,此处不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种DDoS流量回注方法,其特征在于,包括:
当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至所述中心SDN转发设备;其中,所述第一Openflow流表用于指示所述中心SDN转发设备向所述清洗设备发送携带虚拟MAC地址的报文;其中,所述携带虚拟MAC地址的报文用于指示所述清洗设备将清洗后的DDoS流量发送至所述中心SDN转发设备;所述中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配;所述中心SDN转发设备根据所述第一Openflow流表对目的IP匹配后的所述DDoS流量进行Vxlan封装,生成第一流量并将所述第一流量回注至边缘SDN转发设备;其中,所述第一流量中源物理地址MAC地址为所述清洗设备的端口MAC地址,目的MAC地址为所述中心SDN转发设备的虚拟MAC;
下发第二Openflow流表至所述边缘SDN转发设备;其中,所述第二Openflow流表用于指示所述边缘SDN转发设备判别接收到的报文是否为Vxlan报文;
若是,则所述边缘SDN转发设备接收到的报文中包含所述第一流量;所述边缘SDN转发设备对所述第一流量解除Vxlan封装,生成第二流量;所述边缘SDN转发设备对所述第二流量进行MAC地址替换,生成第三流量;所述边缘SDN转发设备将所述第三流量发送至城域网路由器;其中,所述MAC地址替换包括:将所述源MAC地址中的所述清洗设备的端口MAC地址替换为所述边缘SDN转发设备的MAC地址;将目的MAC地址中的所述中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;所述城域网路由器的端口与所述边缘SDN转发设备直连。
2.根据权利要求1所述的DDoS流量回注方法,其特征在于,所述方法还包括:
获取边界网关协议BGP路由信息;其中所述BGP路由信息包括:IP段和起源AS编号;
根据所述IP段和所述起源AS编号生成第一数据表;
建立所述中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对所述Vxlan隧道分配网络虚拟实例NVI编码;
根据所述第一数据表和所述NVI编码生成第一Openflow流表;其中,所述第一Openflow流表包括:所述IP段、所述起源AS编号与所述NVI编码的对应关系。
3.根据权利要求2所述的DDoS流量回注方法,其特征在于,所述获取边界网关协议BGP路由信息,包括:
通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
4.根据权利要求2所述的DDoS流量回注方法,其特征在于,所述方法还包括:
当所述BGP路由信息和/或所述NVI编码发生改变时,对所述第一Openflow流表进行增量更新。
5.一种SDN控制器,其特征在于,包括:
数据处理模块,用于当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时,下发第一Openflow流表至所述中心SDN转发设备;其中,所述第一Openflow流表用于指示所述中心SDN转发设备向所述清洗设备发送携带虚拟MAC地址的报文;其中,所述携带虚拟MAC地址的报文用于指示所述清洗设备将清洗后的DDoS流量发送至所述中心SDN转发设备;所述中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配;所述中心SDN转发设备根据所述第一Openflow流表对目的IP匹配后的所述DDoS流量进行Vxlan封装,生成第一流量并将所述第一流量回注至边缘SDN转发设备;其中,所述第一流量中源物理地址MAC地址为所述清洗设备的端口MAC地址,目的MAC地址为所述中心SDN转发设备的虚拟MAC;
所述数据处理模块,还用于下发第二Openflow流表至所述边缘SDN转发设备;其中,所述第二Openflow流表用于指示所述边缘SDN转发设备判别接收到的报文是否为Vxlan报文;
若是,则所述边缘SDN转发设备接收到的报文中包含所述第一流量;所述边缘SDN转发设备对所述第一流量解除Vxlan封装,生成第二流量;所述边缘SDN转发设备对所述第二流量进行MAC地址替换,生成第三流量;所述边缘SDN转发设备将所述第三流量发送至城域网路由器;其中,所述MAC地址替换包括:将所述源MAC地址中的所述清洗设备的端口MAC地址替换为所述边缘SDN转发设备的MAC地址;将目的MAC地址中的所述中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址;所述城域网路由器的端口与所述边缘SDN转发设备直连。
6.根据权利要求5所述的SDN控制器,其特征在于,SDN控制器还包括:BGP路由模块和转发控制模块;
所述BGP路由模块,用于获取边界网关协议BGP路由信息;其中所述BGP路由信息包括:网络之间互连的协议IP段和起源AS编号;
所述BGP路由模块,还用于根据所述IP段和所述起源AS编号生成第一数据表;
所述转发控制模块,用于建立所述中心SDN转发设备与边缘SDN转发设备的Vxlan隧道,并对所述Vxlan隧道分配网络虚拟实例NVI编码;
所述数据处理模块,还用于根据所述BGP路由模块生成的所述第一数据表和所述转发控制模块分配的所述NVI编码生成第一Openflow流表;其中,所述第一Openflow流表包括:所述IP段、所述起源AS编号与所述NVI编码的对应关系。
7.根据权利要求6所述的SDN控制器,其特征在于,所述BGP路由模块,具体用于通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。
8.根据权利要求6所述的SDN控制器,其特征在于,所述数据处理模块,还用于当所述BGP路由模块获取的所述路由信息和/或所述转发控制模块分配的所述NVI编码发生改变时,对所述第一Openflow流表进行增量更新。
9.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当被计算机执行时使所述计算机执行如权利要求1至4任一项所述的方法。
10.一种网络系统,其特征在于,包括:清洗设备、SDN控制器、中心SDN转发设备、边缘SDN转发设备以及城域网路由器;其中,所述SDN控制器为权利要求5-8任一项所述的SDN控制器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711291700.0A CN108259466B (zh) | 2017-12-08 | 2017-12-08 | DDoS流量回注方法、SDN控制器及网络系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711291700.0A CN108259466B (zh) | 2017-12-08 | 2017-12-08 | DDoS流量回注方法、SDN控制器及网络系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108259466A CN108259466A (zh) | 2018-07-06 |
CN108259466B true CN108259466B (zh) | 2020-06-05 |
Family
ID=62721584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711291700.0A Active CN108259466B (zh) | 2017-12-08 | 2017-12-08 | DDoS流量回注方法、SDN控制器及网络系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108259466B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111064825B (zh) * | 2019-12-30 | 2022-02-18 | 武汉绿色网络信息服务有限责任公司 | 一种基于arp实现dpi数据采集和控制方法和装置 |
CN112073512B (zh) * | 2020-09-08 | 2022-02-01 | 中国联合网络通信集团有限公司 | 数据处理方法及设备 |
CN116055077B (zh) * | 2021-10-28 | 2024-05-03 | 中国联合网络通信集团有限公司 | 一种跨域流量回注方法及装置 |
CN113904867B (zh) * | 2021-10-30 | 2023-07-07 | 杭州迪普科技股份有限公司 | 用于vxlan二层组网的流量处理方法及系统 |
CN116015700A (zh) * | 2021-11-04 | 2023-04-25 | 贵州电网有限责任公司 | 一种基于软件定义网络的内网ddos流量检测及防护方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN105359470A (zh) * | 2014-05-27 | 2016-02-24 | 华为技术有限公司 | 流表管理方法以及相关设备和通信系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8205252B2 (en) * | 2006-07-28 | 2012-06-19 | Microsoft Corporation | Network accountability among autonomous systems |
-
2017
- 2017-12-08 CN CN201711291700.0A patent/CN108259466B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917425A (zh) * | 2010-08-09 | 2010-12-15 | 中国电信股份有限公司 | 双向在线方式的网吧流量集中式清洗系统及方法 |
CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
CN105359470A (zh) * | 2014-05-27 | 2016-02-24 | 华为技术有限公司 | 流表管理方法以及相关设备和通信系统 |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108259466A (zh) | 2018-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108259466B (zh) | DDoS流量回注方法、SDN控制器及网络系统 | |
CN101505227B (zh) | 一种实现点到多点伪线的方法、设备和系统 | |
US9515845B2 (en) | Utility communication method and system | |
RU2651149C2 (ru) | Sdn-контроллер, система центра обработки данных и способ маршрутизируемого соединения | |
US10263808B2 (en) | Deployment of virtual extensible local area network | |
US8687519B2 (en) | Forced medium access control (MAC) learning in bridged ethernet networks | |
CN101286922B (zh) | 一种信令控制的方法、系统及设备 | |
CN104270309B (zh) | 一种ip ran设备下实现多跳bfd的方法 | |
CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
CN105024844A (zh) | 一种计算跨域路由的方法、服务器以及系统 | |
CN104396197A (zh) | 在802.1aq网络中使用分离的平局打破器在等成本最短路径之间选择 | |
US11296997B2 (en) | SDN-based VPN traffic scheduling method and SDN-based VPN traffic scheduling system | |
CN114095305A (zh) | Bier报文转发的方法、设备以及系统 | |
US8559431B2 (en) | Multiple label based processing of frames | |
US8612626B2 (en) | Group member detection among nodes of a network | |
CN105490937B (zh) | 以太虚拟网络网关切换方法和服务商边缘节点设备 | |
CN105637806A (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 | |
JP5161298B2 (ja) | 非マルチプルスパニングツリープロトコル制御プレーン群を識別するためのシステム及び方法 | |
CN101471879A (zh) | 一种层次化有序地址分组网络的路径控制系统和方法 | |
US11178050B2 (en) | Neural network for secure data transport, system and method | |
CN105282041A (zh) | 基于isis的洪泛方法及装置 | |
Feng et al. | OpenRouteFlow: Enable legacy router as a software-defined routing service for hybrid SDN | |
EP1185041A2 (en) | OSPF autonomous system with a backbone divided into two sub-areas | |
CN108111423B (zh) | 流量传输管理方法、装置及网络分路设备 | |
CN115865769A (zh) | 报文处理方法、网络设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |