CN108600158B - 一种基于软件定义网络的源地址验证系统 - Google Patents
一种基于软件定义网络的源地址验证系统 Download PDFInfo
- Publication number
- CN108600158B CN108600158B CN201810191268.6A CN201810191268A CN108600158B CN 108600158 B CN108600158 B CN 108600158B CN 201810191268 A CN201810191268 A CN 201810191268A CN 108600158 B CN108600158 B CN 108600158B
- Authority
- CN
- China
- Prior art keywords
- address
- binding
- switch
- module
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于软件定义网络的源地址验证系统,包括:监听模块,其配置为基于监听流表,从由普通主机向交换机待发送的数据报文中筛查地址分配协议报文,并将地址分配协议报文按照预定协议打包后发送出去;绑定验证模块,其配置为从打包的地址分配协议报文中提取地址关系信息,以生成地址信息绑定关系表并对绑定关系表进行验证更新;规则生成模块,其配置为根据绑定关系表生成规则流表;转发模块,其配置为根据规则流表对由普通主机向交换机待发送的数据报文进行转发。本发明可以针对实际网络中不同的设备及场景需求,实现主机源地址验证。
Description
技术领域
本发明属于互联网技术领域,具体地说,尤其涉及一种基于软件定义网络的源地址验证系统。
背景技术
现行的TCP/IP协议在设计之初并没有过多考虑安全问题,协议默认网络中数据包的源地址信息都是真实可靠的,不需要对数据包来源的合法性进行检验和筛查。然而,随着互联网从学术同行交流的工具变成了全社会的基础设施,通过伪造IP源地址字段进行的网络攻击越来越多,给整个互联网的运营和发展带来了很大的挑战。这类攻击往往容易发起却难以追溯,危害网络安全的同时也给网络管理、诊断、计费等功能带来了巨大困难。
为了保证网络中源地址信息的可靠性和防止源地址伪造攻击,学术界和工业界提出了一系列源地址验证的方法。
2008年清华大学从网络体系结构的层面上,总结和归纳了已有的方法,提出了“基于真实IPv6源地址的网络寻址体系结构”(Source Address Validation Architecture,SAVA),被IETF采纳并形成相关RFC。SAVA按照部署的位置和功能的不同,将源地址验证方法分成了三个层次,自底向上分别是接入网源地址验证、域内源地址验证和域间源地址验证。同年,清华大学在IETF推动成立了SAVI工作组(Source Address ValidationImprovement,SAVI),并在之后提出了一系列相关草案并被制定为RFC。这些RFC得到了众多厂商的支持,在一系列硬件设备上得到了实现,增强了网络地址源的可管理性,为地址回溯提供了可能,提高了网络安全的等级。
目前,SAVI工作组已经针对部分IP地址分配方法和网络环境制定了一些标准,包括针对动态地址分配协议(DHCP和DHCPv6)的源地址验证方案SAVI-DHCP、针对IPv6下无状态地址分配协议(SLAAC)的源地址验证方案SAVI-FCFS、针对安全邻居发现协议(SEND)的源地址验证方案SAVI-SEND,以及针对于多种地址分配方式共存的网络环境的源地址验证方案SAVI-MIX等。
当前的SAVI标准都是以现有网络模式和网络设备为基础制定的,其基本原理是由SAVI交换机监听地址分配协议的交互过程确定地址分配的状态,进而将已分配的IP地址绑定到所选择的信任锚点上(包括MAC地址、交换机接口等),形成绑定表。对于到达交换机的数据报文,匹配了绑定表的判定为源地址合法的报文,否则判定为源地址伪造的报文,伪造的报文将被丢弃掉。
然而,现行传统SAVI功能交换机在实际部署实施中存在三种技术复杂性问题场景复杂性、相关协议复杂性和管理配置复杂性。场景复杂性指SAVI需要工作在多种网络场景下,例如按照主机地址分配方式的不同可以分为手动配置、无状态、DHCP、SEND、混杂等场景,按照接入模式可以分为LAN、WLAN、DSL等场景,按照地址使用方式可以分为DNA、IPv4/IPv6过渡等。传统SAVI系统中的解决方案只针对特定场景,适用范围都很小,市场需求少,难以推广。而想要设计面向更多场景的SAVI解决方案,则在设计和实现上都较为复杂,效率也比较低。
相关协议复杂性表现在SAVI系统需要和多种协议进行交互,会受到多种网络协议的影响。其中,除和地址分配相关的协议外,还包含其他和地址使用相关的网络协议。因此,随着网络协议的不断更新,SAVI系统相应的功能也需要随之扩展。
配置管理复杂性指SAVI需要区分网络中的可信端口和不可信端口,在使用中,就需要对所有端口都进行配置,才能正常工作,在进行配置时难度较大。同时,因为SAVI是从独立交换机的层次对所有地址进行管理,在网络系统中的具体位置过于分散,不利于对系统进行集中整体的管理。
以上问题的存在,导致SAVI在实际场景中较难部署,从而导致源地址验证的实际部署工作推进较缓。
发明内容
为了解决上述技术问题,本发明提供了一种基于软件定义网络的源地址验证系统,可以针对实际网络中不同的设备及场景需求,实现主机源地址验证。
根据本发明的一个实施例,提供了一种基于软件定义网络的源地址验证系统,包括:
监听模块,其配置为基于监听流表,从由普通主机向交换机待发送的数据报文中筛查地址分配协议报文,并将所述地址分配协议报文按照预定协议打包后发送出去;
绑定验证模块,其配置为从打包的地址分配协议报文中提取地址关系信息,以生成地址信息绑定关系表并对所述绑定关系表进行验证更新;
规则生成模块,其配置为根据绑定关系表生成规则流表;
转发模块,其配置为根据所述规则流表对由普通主机向交换机待发送的数据报文进行转发。
根据本发明的一个实施例,所述监听模块进一步包括:
监听流表生成单元,其配置为根据地址分配协议类型,生成对应普通主机的监听流表,其中,所述监听流表包括普通主机IP地址、MAC地址和交换机上的对应普通主机接口;
数据筛查单元,其配置为根据所述监听流表,从由普通主机发送至交换机上的对应普通主机接口的数据报文中筛查出地址分配协议报文;
协议报文打包单元,其配置为将筛查出的地址分配协议报文打包并发送给所述绑定验证模块。
根据本发明的一个实施例,所述绑定验证模块进一步包括:
信息提取单元,其配置为从接收的地址分配协议报文中提取地址关系信息;
地址组信息生成单元,其配置为根据所述地址关系信息生成包括交换机、交换机上的对应普通主机接口、普通主机MAC地址和普通主机IP地址的四元组信息;
绑定关系表生成单元,其配置为根据所述四元组信息生成绑定关系表并确定可接受状态,其中,所述绑定关系表包括绑定表序号、交换机上的对应普通主机接口、普通主机MAC地址、普通主机IP地址和绑定关系状态;
绑定验证更新单元,其配置为将交换机接收的地址分配协议报文与所述绑定关系表中的可接受状态进行对比,如符合所述绑定关系表中存储的可接受状态并且所有地址分配协议报文满足完整的状态机,该绑定关系验证通过。
根据本发明的一个实施例,所述规则生成模块进一步包括:
绑定规则生成单元,其配置为根据所述绑定关系表中的绑定关系状态的完成情况,生成对应的绑定规则;
规则流表生成单元,其配置为根据所述绑定规则生成匹配规则流表,并下发给由普通主机发送数据报文的交换机。
根据本发明的一个实施例,所述转发模块还配置有转发规则流表,用于将匹配的报文进行数据报文转发。
根据本发明的一个实施例,所述转发模块进一步配置为:
如普通主机发送的数据报文与交换机中的匹配规则流表匹配,则允许普通主机发送的数据报文通过所述转发规则流表转发出去,否则,丢弃该普通主机发送的所有数据报文。
根据本发明的一个实施例,如从信任主机向交换机发送数据报文,
所述监听模块还配置为从由信任主机向交换机待发送的数据报文中筛查地址分配协议报文,并将所述地址分配协议报文按照预定协议打包后发送给绑定验证模块,不需所述绑定验证模块验证而直接生成绑定关系表;
所述转发模块还配置为通过所述转发规则流表对由信任主机发送的数据报文中的非地址分配协议报文直接进行转发。
根据本发明的一个实施例,如从交换机向另一交换机直接发送数据报文,
所述转发模块还配置为通过所述转发规则流表对接收的数据报文直接进行转发,不需所述绑定验证模块验证而直接生成绑定关系表。
根据本发明的一个实施例,还包括流速限制模块,其配置为在交换机上的普通主机接口和交换机上的信任主机接口接收地址分配协议报文时,对流向交换机上的普通主机接口和交换机上的信任主机接口的数据报文限制流速。
根据本发明的一个实施例,所述绑定验证模块和所述规则生成模块设置在软件定义网络的控制器中,所述监听模块、所述转发模块和所述流速限制模块设置在软件定义网络的交换机中。
本发明中的有益效果:
本发明基于SDN网络建立的源地址验证系统,可以针对实际网络中不同的设备及场景需求,实现主机源地址验证。
本发明的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明的一个实施例的一种基于软件定义网络的源地址验证系统结构图;
图2是图1所示系统的工作示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
随着互联网规模和复杂性的飞速增长,网络基础设施逐渐成为制约互联网发展的瓶颈。当前网络基础设施存在如下三项缺点:一是控制的粗粒度,难以适应当前精细的业务需求;二是管理的分布式,难以适应网络策略的统一制定和集中应用的需求;三是系统的封闭性,难以适应网络管理者进行二次开发和创新的需求。
为了应对上述问题,软件定义网络(Software Defined Networking,SDN)应运而生。SDN将网络控制平面和数据转发平面分离,采取细粒度的流量控制、集中式的网络管理和开放的标准管理接口,大大丰富了对网络业务的支持,简化了网络管理,促进了网络创新。目前比较广泛认同的SDN参考模型从下到上由三层组成,分别是基础设施层、控制层和应用层。
针对传统网络下源地址验证机制部署存在的问题,本发明基于SDN提出了一种新的SAVI架构方案,即SD-SAVI系统。SD-SAVI系统将SAVI作为控制器的模块添加到SDN控制器中,不需要对数据平面进行过多改动。并且,SDN的网络特性也使得SD-SAVI在之前所述问题上具有很大改进。
如图1所示为根据本发明的一个实施例的一种基于软件定义网络的源地址验证系统结构图,以下参考图1来对本发明进行详细说明。
该基于软件定义网络的源地址验证系统包括监听模块、绑定验证模块、规则生成模块和转发模块。其中,监听模块配置为基于监听流表,从由普通主机向交换机待发送的数据报文中筛查地址分配协议报文,并将地址分配协议报文按照预定协议打包后发送出去。控制器生成监听流表并下发至监听模块中。监听模块(属于数据平面)设置在交换机中,可以基于监听流表从数据报文中筛查地址分配协议报文,然后将筛查地址分配协议报文按照统一的预定协议(如OpenFlow协议)打包上传至绑定验证模块。
绑定验证模块配置为从打包的地址分配协议报文中提取地址关系信息,以生成地址信息绑定关系表并对绑定关系表进行验证更新。绑定验证模块(属于控制平面)设置在控制器中,用于识别接受到的消息报文内容,提取被关注的信息并输入到绑定关系表中进行比对和更新。
规则生成模块配置为根据验证更新后的绑定关系表生成规则流表。规则生成模块(属于控制平面)基于绑定关系表中存储的内容,产生相应的处理规则下发到数据平面(即转发模块)。
转发模块配置为根据规则流表对由普通主机向交换机待发送的数据报文进行转发。转发模块(属于数据平面)设置在交换机上,用于根据规则流表对待发送的数据报文进行转发。
由于数据平面和控制平面的分离,SDN数据平面网络设备只需要根据监听流表和规则流表完成相应转发和过滤工作,由控制器来完成更加具体和复杂的逻辑判断处理。由于控制器为软件实现,针对不同网络场景带来的控制逻辑改动可以很容易地被控制器所接受。因此,实现在控制器上的SAVI控制逻辑应用的自由度大大提高,可以实时的针对应用网络场景进行改造升级,提高了SAVI系统的普适性。相关协议复杂性同样只会影响到SDN控制器的逻辑处理,只需要更改SAVI应用的控制逻辑处理方式即可完成对各种网络协议的适应,不会增加额外的硬件升级负担。SD-SAVI方案将SAVI应用切分为SDN控制器上的多个单一应用来并行,不同的应用分别来处理不同的网络协议,以此来实现相应的SAVI功能。SDN网络中控制器可以获得全网的运营信息,统一下发网络配置到交换设备,这样传统环境中复杂的配置问题就可以得到避免。同时,相比传统网络下将SAVI部署在分散的交换机上,在控制器上实现SAVI功能也更便于对网络的集中管控。
在本发明的一个实施例中,该监听模块进一步包括监听流表生成单元、数据筛查单元和协议报文打包单元。其中,监听流表生成单元配置为根据地址分配协议类型,生成对应普通主机的监听流表。监听流表包括普通主机IP地址、MAC地址和交换机上的对应普通主机接口,用于标明对哪个普通主机以及该普通主机与交换机的连接接口进行监听。数据筛查单元配置为根据监听流表,从由普通主机发送至交换机上的对应普通主机接口的数据报文中筛查出地址分配协议报文。协议报文打包单元配置为将筛查出的地址分配协议报文打包并发送给绑定验证模块。
在本发明的一个实施例中,绑定验证模块进一步包括信息提取单元、地址组信息生成单元、绑定关系表生成单元和绑定验证更新单元。其中,信息提取单元配置为从接收的地址分配协议报文中提取地址关系信息。地址组信息生成单元配置为根据地址关系信息生成包括交换机、交换机上的对应普通主机接口、普通主机MAC地址和普通主机IP地址的四元组信息。绑定关系表生成单元配置为根据四元组信息生成绑定关系表并确定可接受状态。绑定关系表包括绑定表序号、交换机上的对应普通主机接口、普通主机MAC地址、普通主机IP地址和绑定关系状态,如表1所示。其中,Binding ID表示绑定表序号,Ingress Port表示交换机上的对应普通主机接口,Ether Address表示普通主机MAC地址,IP Address表示普通主机IP,Binding Status表示绑定关系状态。
表1
| Binding ID | Ingress Port | Ether Address | IP Address | Binding Status |
绑定验证更新单元配置为将交换机接收的地址分配协议报文与绑定关系表的可接受状态进行对比,如符合所述绑定关系表中存储的可接受状态并且所有地址分配协议报文满足完整的状态机,该绑定关系验证通过。
在本发明的一个实施例中,该规则生成模块进一步包括绑定规则生成单元和规则流表生成单元。其中,绑定规则生成单元配置为根据绑定关系表中的绑定关系状态,生成对应的绑定规则。规则流表生成单元配置为根据绑定规则生成匹配规则流表,并下发给由普通主机发送数据报文的交换机。
在本发明的一个实施例中,该转发模块还配置有转发规则流表,用于对匹配的报文中进行数据报文转发。
在本发明的一个实施例中,该转发模块进一步配置为如普通主机发送的数据报文与匹配规则流表匹配,则允许普通主机发送的数据报文通过所述转发规则流表转发出去,否则,丢弃该普通主机发送的所有数据报文。
在本发明的一个实施例中,如从信任主机向交换机发送的数据报文,监听模块还配置为从信任主机向交换机待发送的数据报文中筛查地址分配协议报文,并将地址分配协议报文按照预定协议打包后发送给绑定验证模块,不需绑定验证模块验证直接生成绑定关系表。转发模块还配置为通过转发规则流表对信任主机发送的数据报文中的非地址分配协议报文直接进行转发。
在本发明的一个实施例中,如从交换机向另一交换机直接发送数据报文,转发模块还配置为通过转发规则流表对接收的数据报文直接进行转发,不需绑定验证模块验证直接生成绑定关系表。
在本发明的一个实施例中,还包括流速限制模块,其配置为在交换机上的普通主机接口和信任主机接口接收地址分配协议报文时,对流向交换机上的普通主机接口和信任主机接口的数据报文限制流速。
以下基于图2来对本申请所述系统的工作过程进行详细说明,其工作过程主要包括以下地址分配协议监听、绑定关系验证和更新、匹配规则流表下发、数据报文转发四部分。
1、地址分配协议监听:系统根据预先设计的规则,下发相应监听流表来监听地址分配方法(Address Assignment Mechanism,缩写为AAM)的协议报文。交换机根据这些流表,将符合条件的数据报文按照统一的协议(如OpenFlow协议)打包上传,产生packet-in消息并发送到上层控制器。
为了监听AAM报文,控制器需要向交换机中提前下发一些规则。对于SAVI-FCFS来说,所需要监听的是重复地址检测(Duplicated Address Detection,缩写为DAD)相关的报文。对于IPv6来说,所需要监听的就是邻居发现协议中的邻居请求(Neighbor Solicit,缩写为NS)报文,以及邻居公告(Neighbor Advertise,所谓为NA)报文。对于DHCPv6来说,控制器需要监听DHCPv6客户端(DHCPv6Client,缩写为DC)消息,以及DHCPv6服务器端(DHCPv6Server,缩写为DS)消息,相应的规则要分别匹配UDP端口546和547。IPv4同理。与上面AAM报文匹配规则相关联的动作,是将此报文以packet-in的形式发送至控制器。
SD-SAVI将交换机的所有接口分为三个类别:交换机接口、主机接口和信任接口。它们分别连接交换机、普通主机和受信任的主机(比如DHCP服务器)。AAM的报文监听在主机接口和信任接口上实施,而数据报文的源地址检查则仅在主机接口上实施。
2.绑定关系验证和更新:控制器中的绑定验证模块接收到相应packet-in消息后,将提取其中相关的地址关系信息,并产生一个由交换机、交换机端口、源MAC地址、源IP地址组成的四元组信息,然后据此对绑定关系表的绑定状态进行更新。
控制器为每一个地址分配协议都维护了一个状态机(比如,RFC 7513就描述了DHCP的源地址验证状态机)。每一个地址都有其状态,而新的AAM报文的到来或者计时器超时等事件都可能引起状态的变迁。如果一个地址的状态变化为BIND,则该地址就被设定到了绑定表当中;当状态变成NO_BIND时,该IP地址就要从绑定表中移除。
3.匹配规则流表下发:根据绑定关系表中的绑定状态,控制器生成对应的绑定规则,进而更新相应交换机上的流表,包括安装规则和删除规则。
SD-SAVI的绑定表项是通过交换机上的流表来实施的。SD-SAVI通过OpenFlow的多级流表特性解决了流表爆炸的问题。SD-SAVI对于源地址的操作与转发应用对目的地址的操作是彼此独立的,因此可以拆分到不同的流表里实施。在本发明中,SD-SAVI仅使用第一级流表(匹配规则流表),所有匹配到绑定表项的都是合法报文,因此被导到第二级流表,未匹配的被丢弃掉。第二级流表(转发规则流表)是做转发的,匹配合法报文的目的地址进行转发。本发明不仅能避免流表爆炸的情况,更使得SD-SAVI的规则与其他应用的规则相分离、独立开来,使得系统实现更加简单。
下面以IPv6为例,展示了SD-SAVI交换机流表中的6个规则区块:
区块1:允许所有在交换机接口上到达的IPv6报文通过;
区块2:将主机接口和信任接口上接受到的与DAD过程相关的AAM报文送到控制器,并限制流速;
区块3:将主机接口和信任接口上接受到的与DHCPv6协议相关的AAM报文送到控制器,并限制流速;
区块4:允许通过信任接口上收到的所有非AAM的IPv6报文;
区块5:检查主机接口上收到的所有非AAM的IPv6报文;
区块6:丢掉所有其他的(也是伪造的)IPv6报文。
SD-SAVI控制器可以使用常用的SDN控制器,如OpenDaylight,ONOS,Floodlight,Ryu等。不同的控制器中消息传递处理的机制有所区分,SAVI应用模块可以使用控制器提供的基本服务,来完成解析消息、下发流表等任务。
在数据平面一端,可以基于现有的SAVI交换设备和SDN网络交换机设备,如OpenFlow交换机和新型可编程交换设备(如基于P4语言的Tofino交换机)。现有的SAVI交换设备需要添加专门的消息上传配置,并需要支持流表规则的配置和下发。OpenFlow交换机和新型可编程交换设备相对比较简单,直接利用其动态的流表下发能力即可。
本发明基于SDN网络建立的源地址验证系统,可以针对实际网络中不同的设备及场景需求,实现主机源地址验证。
虽然本发明所公开的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (9)
1.一种基于软件定义网络的源地址验证系统,包括:
监听模块,其配置为基于监听流表,从由普通主机向交换机待发送的数据报文中筛查地址分配协议报文,并将所述地址分配协议报文按照预定协议打包后发送出去;
绑定验证模块,其配置为从打包的地址分配协议报文中提取地址关系信息,以生成地址信息绑定关系表并对所述绑定关系表进行验证更新;
规则生成模块,其配置为根据绑定关系表生成规则流表;
转发模块,其配置为根据所述规则流表对由普通主机向交换机待发送的数据报文进行转发;
所述绑定验证模块进一步包括:
信息提取单元,其配置为从接收的地址分配协议报文中提取地址关系信息;
地址组信息生成单元,其配置为根据所述地址关系信息生成包括交换机、交换机上的对应普通主机接口、普通主机MAC地址和普通主机IP地址的四元组信息;
绑定关系表生成单元,其配置为根据所述四元组信息生成绑定关系表并确定可接受状态,其中,所述绑定关系表包括绑定表序号、交换机上的对应普通主机接口、普通主机MAC地址、普通主机IP地址和绑定关系状态;
绑定验证更新单元,其配置为将交换机接收的地址分配协议报文与所述绑定关系表中的可接受状态进行对比,如符合所述绑定关系表中存储的可接受状态并且所有地址分配协议报文满足完整的状态机,该绑定关系验证通过。
2.根据权利要求1所述的系统,其特征在于,所述监听模块进一步包括:
监听流表生成单元,其配置为根据地址分配协议类型,生成对应普通主机的监听流表,其中,所述监听流表包括普通主机IP地址、MAC地址和交换机上的对应普通主机接口;
数据筛查单元,其配置为根据所述监听流表,从由普通主机发送至交换机上的对应普通主机接口的数据报文中筛查出地址分配协议报文;
协议报文打包单元,其配置为将筛查出的地址分配协议报文打包并发送给所述绑定验证模块。
3.根据权利要求1所述的系统,其特征在于,所述规则生成模块进一步包括:
绑定规则生成单元,其配置为根据所述绑定关系表中的绑定关系状态的完成情况,生成对应的绑定规则;
规则流表生成单元,其配置为根据所述绑定规则生成匹配规则流表,并下发给由普通主机发送数据报文的交换机。
4.根据权利要求3所述的系统,其特征在于,所述转发模块还配置有转发规则流表,用于将匹配的报文进行数据报文转发。
5.根据权利要求4所述的系统,其特征在于,所述转发模块进一步配置为:
如普通主机发送的数据报文与交换机中的匹配规则流表匹配,则允许普通主机发送的数据报文通过所述转发规则流表转发出去,否则,丢弃该普通主机发送的所有数据报文。
6.根据权利要求4所述的系统,其特征在于,如从信任主机向交换机发送数据报文,
所述监听模块还配置为从由信任主机向交换机待发送的数据报文中筛查地址分配协议报文,并将所述地址分配协议报文按照预定协议打包后发送给绑定验证模块,不需所述绑定验证模块验证而直接生成绑定关系表;
所述转发模块还配置为通过所述转发规则流表对由信任主机发送的数据报文中的非地址分配协议报文直接进行转发。
7.根据权利要求4所述的系统,其特征在于,如从交换机向另一交换机直接发送数据报文,
所述转发模块还配置为通过所述转发规则流表对接收的数据报文直接进行转发,不需所述绑定验证模块验证而直接生成绑定关系表。
8.根据权利要求5或6所述的系统,其特征在于,还包括流速限制模块,其配置为在交换机上的普通主机接口和交换机上的信任主机接口接收地址分配协议报文时,对流向交换机上的普通主机接口和交换机上的信任主机接口的数据报文限制流速。
9.根据权利要求8所述的系统,其特征在于,所述绑定验证模块和所述规则生成模块设置在软件定义网络的控制器中,所述监听模块、所述转发模块和所述流速限制模块设置在软件定义网络的交换机中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810191268.6A CN108600158B (zh) | 2018-03-08 | 2018-03-08 | 一种基于软件定义网络的源地址验证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810191268.6A CN108600158B (zh) | 2018-03-08 | 2018-03-08 | 一种基于软件定义网络的源地址验证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600158A CN108600158A (zh) | 2018-09-28 |
| CN108600158B true CN108600158B (zh) | 2020-05-22 |
Family
ID=63625901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810191268.6A Active CN108600158B (zh) | 2018-03-08 | 2018-03-08 | 一种基于软件定义网络的源地址验证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600158B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917434A (zh) * | 2010-08-18 | 2010-12-15 | 清华大学 | 域内ip源地址验证的方法 |
| CN103250392A (zh) * | 2010-12-09 | 2013-08-14 | 日本电气株式会社 | 计算机系统、控制器和网络监视方法 |
| CN106060015A (zh) * | 2016-05-18 | 2016-10-26 | 深圳信息职业技术学院 | 一种基于sdn的ip源地址验证方法 |
| US9621453B1 (en) * | 2013-08-29 | 2017-04-11 | Google Inc. | Path discovery in multipath networks |
-
2018
- 2018-03-08 CN CN201810191268.6A patent/CN108600158B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917434A (zh) * | 2010-08-18 | 2010-12-15 | 清华大学 | 域内ip源地址验证的方法 |
| CN103250392A (zh) * | 2010-12-09 | 2013-08-14 | 日本电气株式会社 | 计算机系统、控制器和网络监视方法 |
| US9621453B1 (en) * | 2013-08-29 | 2017-04-11 | Google Inc. | Path discovery in multipath networks |
| CN106060015A (zh) * | 2016-05-18 | 2016-10-26 | 深圳信息职业技术学院 | 一种基于sdn的ip源地址验证方法 |
Non-Patent Citations (1)
| Title |
|---|
| "Source Adress Validation in Software Defined Networks";Bingyang Liu,Jun Bi,Yu Zhou;《Proceeding of the 2016 ACM SIGCOMM Conference》;20160822;595-596 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600158A (zh) | 2018-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
| US9813323B2 (en) | Systems and methods for controlling switches to capture and monitor network traffic | |
| US9819551B2 (en) | Systems and methods for testing networks with a controller | |
| US9130870B1 (en) | Methods for determining network topologies | |
| CN104104742B (zh) | 使用网络地址转换和请求重定向的用户平面业务操控 | |
| US10084706B2 (en) | Method and device for processing service function chaining | |
| Masoud et al. | On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm | |
| CN101645851B (zh) | 一种ip分片报文的重组方法和装置 | |
| JP2021530912A (ja) | ネットワークスライス制御方法及び装置、コンピュータ読み取り可能な記憶媒体 | |
| WO2019030552A1 (en) | ADVANCED NETWORK PATH TRACING | |
| CN110381025B (zh) | 一种软件定义防火墙系统的实现方法 | |
| WO2021082575A1 (zh) | 一种报文转发方法、设备、存储介质及系统 | |
| CN112437009B (zh) | SRv6端到端流策略的方法、路由器、路由系统和存储介质 | |
| CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
| CN103685032B (zh) | 报文转发方法及网络地址转换服务器 | |
| US20150113146A1 (en) | Network Management with Network Virtualization based on Modular Quality of Service Control (MQC) | |
| CN113347258A (zh) | 云流量下的数据采集监控分析的方法及系统 | |
| CN108600158B (zh) | 一种基于软件定义网络的源地址验证系统 | |
| CN104244217B (zh) | 实现用户数据实时同步的方法和系统 | |
| CN115001831B (zh) | 基于恶意行为知识库动态部署网络安全服务的方法及系统 | |
| CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
| CN102984167B (zh) | 一种基于Socks5协议的通用防火墙穿越方法 | |
| CN100574182C (zh) | 溯源到二层交换机端口的方法 | |
| CN110505176A (zh) | 报文优先级的确定、发送方法及装置、路由系统 | |
| KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |