CN109067784B - 一种vxlan中防欺骗的方法和设备 - Google Patents

一种vxlan中防欺骗的方法和设备 Download PDF

Info

Publication number
CN109067784B
CN109067784B CN201811095366.6A CN201811095366A CN109067784B CN 109067784 B CN109067784 B CN 109067784B CN 201811095366 A CN201811095366 A CN 201811095366A CN 109067784 B CN109067784 B CN 109067784B
Authority
CN
China
Prior art keywords
message
arp
address
vtep
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811095366.6A
Other languages
English (en)
Other versions
CN109067784A (zh
Inventor
涂安龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201811095366.6A priority Critical patent/CN109067784B/zh
Publication of CN109067784A publication Critical patent/CN109067784A/zh
Application granted granted Critical
Publication of CN109067784B publication Critical patent/CN109067784B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种VXLAN中防欺骗的方法和设备,涉及通信技术领域,用于解决现有技术中部分VTEP无法识别欺骗,进而会将数据转发给攻击者的问题。该方法包括:接收虚拟机VM发送的ARP消息;ARP消息携带有第一IP地址和第一MAC地址;获取目的MAC地址为第一MAC地址的转发表项中的出端口;向第二VTEP设备发送探测请求消息;第二VTEP设备为转发表项中出端口连接的VTEP设备;探测请求消息用于指示第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求;在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新。本申请用于在VXLAN中防止欺骗。

Description

一种VXLAN中防欺骗的方法和设备
技术领域
本发明涉及通信技术领域,尤其涉及一种虚拟可扩展局域网(VirtualeXtensible Local Area Network,VXLAN)中防欺骗的方法和设备。
背景技术
随着云计算技术的发展,以及数据中心规模的扩大,虚拟可扩展局域网(VirtualeXtensible Local Area Network,VXLAN)被广泛用于数据中心之间的大二层互联。在使用边界网关协议-以太网虚拟专用网络(Border Gateway Protocol Ethernet VirtualPrivate Network,BGP-EVPN)动态建立隧道的VXLAN网络中,VXLAN隧道端点(VXLAN TunnelEnd Point,VTEP)设备学习到虚拟机的媒体访问控制(Media Access Control,MAC)地址后会使用MAC/IP路由(2类路由)向其所有邻居VTEP设备进行主机MAC地址通告,这样所有VTEP设备都能相互学习到网络中所有虚拟机的MAC地址,从而实现二层通信。
基于不同的业务需求,虚拟机(Virtual Machine,VM)在运行的过程中经常会发生迁移的情况。VM迁移是指在保证VM正常运行的同时,将VM从一个物理服务器迁移到另一个物理服务器的过程,该过程对于用户来说是无感知的。VM迁移的关键是要保证在迁移时VM上的业务不会中断,即IP地址、MAC地址等参数保持不变。当其中一个VM从连接的一个VTEP设备迁移到另一个VTEP设备后,VM向迁移后的VTEP设备发送ARP请求或免费ARP消息,迁移后的VTEP设备学习到VM的MAC地址后更新本地MAC转发表,并向其所有邻居VTEP设备发送2类路由通告消息,邻居VTEP设备根据接收到的MAC地址查询本地MAC转发表,得到与该MAC地址匹配的表项,并通过MAC的出端口发送ARP请求消息;若接收到针对ARP请求消息的ARP应答消息,则拒绝根据路由通告消息更新本地MAC转发表。然而,如果非法VM冒充合法VM接入到VTEP设备,上述方法仅能使部分邻居VTEP设备识别出欺骗,一些邻居VTEP设备由于不与VM直连,因此无论是否存在欺骗都不会接收到针对ARP请求消息的ARP应答消息,因此这类邻居VTEP设备会根据2类路由通告消息更新MAC转发表,进而导致途经这类邻居VTEP设备去往目的VM的数据被错误地转发给了攻击者。
发明内容
本发明的实施例提供一种VXLAN中防欺骗的方法和设备,用于解决现有技术中不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP会将数据转发给攻击者的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供了一种VXLAN中防欺骗的方法,应用于第一VTEP设备,所述方法包括:
接收虚拟机VM发送的ARP消息;所述ARP消息携带有第一IP地址和第一MAC地址,用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新;
获取目的MAC地址为所述第一MAC地址的转发表项中的出端口;
向第二VTEP设备发送探测请求消息;所述第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;所述探测请求消息携带有所述第一IP地址以及所述第一MAC地址,用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息;
在接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,拒绝根据所述ARP消息对本地MAC转发表进行更新。
可选的,所述方法还包括:
若在第一预设时间内未接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息,则根据所述ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
可选的,所述向第二VTEP设备发送探测请求消息,包括:
向所述第二VTEP设备发送探测请求消息;所述探测请求消息携带有所述第一IP地址、所述第一MAC地址以及第一指示信息,所述第一指示信息用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
可选的,接收所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息的方法包括:
接收所述第二VTEP设备发送的探测应答消息;所述探测应答消息携带有第二IP地址和第二MAC地址;
确定所述第一IP地址与所述第二IP地址是否相同,所述第一MAC地址与所述第二MAC地址是否相同;
若所述第一IP地址与所述第二IP地址相同,且所述第一MAC地址与所述第二MAC地址相同,则确定接收到的所述第二VTEP设备发送的探测应答消息为针对所述探测请求消息的探测应答消息。
可选的,所述方法还包括:
在接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,进行告警。
第二方面,本申请实施例提供了一种VXLAN中防欺骗的方法,应用于第二VTEP设备,所述方法包括:
接收第一VTEP设备发送的探测请求消息;所述探测请求消息携带有第一网络协议IP地址以及第一媒体访问控制MAC地址;
通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求;
在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,所述针对所述探测请求消息的探测应答消息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
可选的,所述方法还包括:
若在第二预设时间内未接收到针对所述ARP请求的ARP应答,则拒绝向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
可选的,所述向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,包括:
向所述第一VTEP设备发送探测应答消息;所述探测应答消息携带有所述第一IP地址、所述第一MAC地址以及第二指示信息,所述第二指示信息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
第三方面,本申请实施例提供一种网络设备,包括:
接收单元,用于接收虚拟机VM发送的ARP消息;所述ARP消息携带有第一IP和第一MAC地址,用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新;
处理单元,用于获取目的MAC地址为所述第一MAC地址的转发表项中的出端口;
发送单元,用于向第二VTEP设备发送探测请求消息;所述第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;所述探测请求消息携带有所述第一IP地址以及所述第一MAC地址,用于指示所述第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息;
所述处理单元,还用于在所述接收单元接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,拒绝根据所述ARP消息对本地MAC转发表进行更新。
可选的,若在第一预设时间内未接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息,所述处理单元还用于根据所述ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
可选的,所述发送单元具体用于向所述第二VTEP设备发送探测请求消息;所述探测请求消息携带有所述第一IP地址、所述第一MAC地址以及第一指示信息,所述第一指示信息用于指示所述第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
可选的,所述接收单元具体用于接收所述第二VTEP设备发送的探测应答消息;所述探测应答消息携带有第二IP地址和第二MAC地址;确定所述第一IP地址与所述第二IP地址是否相同,所述第一MAC地址与所述第二MAC地址是否相同;若所述第一IP地址与所述第二IP地址相同,且所述第一MAC地址与所述第二MAC地址相同,则确定接收到的所述第二VTEP设备发送的探测应答消息为针对所述探测请求消息的探测应答消息。
可选的,所述网络设备还包括告警单元;
所述告警单元,用于在接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,进行告警。
第四方面,本申请实施例提供了一种网络设备,包括:
接收单元,用于接收第一VTEP设备发送的探测请求消息;所述探测请求消息携带有第一网络协议IP地址以及第一媒体访问控制MAC地址;
发送单元,用于通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求;
所述发送单元,还用于在所述接收单元接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,所述针对所述探测请求消息的探测应答消息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
可选的,若在第二预设时间内未接收到针对所述ARP请求的ARP应答,所述发送单元还用于拒绝向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
可选的,所述发送单元具体用于向所述第一VTEP设备发送探测应答消息;所述探测应答消息携带有所述第一IP地址、所述第一MAC地址以及第二指示信息,所述第二指示信息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
本发明实施提供的VXLAN中防欺骗的方法中,第一VTEP设备接收到VM发送的,用于指示第一VTEP设备根据对本地MAC转发表进行更新的ARP消息时,首先获取目的MAC地址为ARP消息携带的第一MAC地址的转发表项中的出端口,然后向第二VTEP设备发送探测请求消息;其中,探测请求消息用于指示第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP消息携带的IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息;若VM没有发生迁移,第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP请求时,可以收到VM发送的ARP应答,因此若接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,则说明接收到的ARP消息存在欺骗行为,为攻击者发送的,因此在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,由于第一VTEP设备在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,因此不会向邻居VTEP发送路由通告消息,因此本发明实施例可以避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP根据路由通告消息更新MAC转发表,进而避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP会将数据转发给攻击者。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的VXLAN中防欺骗的方法应用的网络架构的示意性结构图;
图2为本发明实施例提供的VXLAN中防欺骗的方法的步骤流程图之一;
图3为本发明实施例提供的VXLAN中防欺骗的方法的步骤流程图之二;
图4为本发明实施例提供的网络设备的示意性结构图;
图5为本发明实施例提供的另一种网络设备的示意性结构图;
图6为本发明实施例提供的网络设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。在本发明的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
以下首先对本发明实施例中可能涉及到的一些英文缩写进行介绍。
VXLAN:虚拟可扩展局域网(Virtual eXtensible Local Area Network);
VTEP:VXLAN隧道端点(VXLAN Tunnel End Point);
VM:虚拟机(Virtual Machine);
ARP:地址解析协议(Address Resolution Protocol);
MAC:媒体访问控制(Media Access Control);
IP:互联网协议(Internet Protocol);
BGP:边界网关协议(Border Gateway Protocol);
EVPN:以太网虚拟专用网络(Ethernet Virtual Private Network);
IP:网络协议(Internet Protocol)。
以下对本发明实施例提供的VXLAN中防欺骗的方法应用的网络架构进行说明。示例性的,参照图1所示,本发明实施例提供的VXLAN中防欺骗的方法应用的一种可能的网络架构包括:VTEP1、VTEP2、VTEP3、部署在服务器1的VM1以及部署在服务器2的VM2。其中,VTEP1通过端口1与服务器1连接,VTEP2通过端口2与服务器2连接,VTEP1通过VXLAN隧道1与VTEP3连接,VTEP1通过VXLAN隧道2与VTEP2连接,VTEP2通过VXLAN隧道3与VTEP3连接,VM1部署在服务器1,VM2部署在服务器2。
在上述图1所示网络架构中,若VM2作为攻击者仿冒VM1的IP地址和MAC地址向VTEP2发送ARP消息,则VTEP2收到VM2发送的ARP消息后会向VTEP1和VTEP3发送携带VM2的IP地址和MAC地址的路由通告消息;VTEP1和VTEP3接收到通告消息后,根据接收到的MAC地址查询本地MAC转发表,其中,VTEP1可以得到与该MAC地址匹配的表项,因此通过表项记录的出端口发送ARP请求消息,并接收针对ARP请求消息的ARP应答消息,因此VTEP1拒绝根据路由通告消息更新本地MAC转发表;而VTEP3不能得到与该MAC地址匹配的表项,因此不会通过表项记录的出端口发送ARP请求消息,也不会接收到针对ARP请求消息的ARP应答消息,因此根据路由通告消息更新本地MAC转发表,进而会造成途经VTEP3去往VM1的数据被错误地转发给了攻击者VM2。
针对上述问题,本发明实施例提供一种VXLAN中防欺骗的方法,具体的,参照图2所示,该方法包括:
S21、第一VTEP设备接收VM发送的ARP消息。
其中,ARP消息携带有第一IP地址和第一MAC地址,用于指示第一VTEP设备根据ARP消息对本地MAC转发表进行更新。
具体的,上述ARP消息可以为ARP请求或免费ARP,用于请求第一VTEP设备根据ARP消息对本地MAC转发表项进行更新,以及在对本地MAC转发表项进行更新后向第一VTEP设备的所有邻居VTEP进行主机MAC地址通告,以便所有VTEP都能相互学习到该VM的MAC地址,从而实现二层通信。
S22、第一VTEP设备获取目的MAC地址为第一MAC地址的转发表项中的出端口。
具体的,第一VTEP设备接收到ARP消息后,解析出第一MAC,然后查询本地转发表项获取目的MAC地址为第一MAC地址的转发表项中的出端口。
S23、第一VTEP设备向第二VTEP设备发送探测请求消息。
对应的,第二VTEP设备接收第一VTEP设备发送的探测请求消息。
其中,第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;探测请求消息携带有第一IP地址以及第一MAC地址,用于指示第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息。
可选的,上述步骤S22中向第二VTEP设备发送探测请求消息,包括:
向第二VTEP设备发送探测请求消息;探测请求消息携带有第一IP地址、第一MAC地址以及第一指示信息,第一指示信息用于指示第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息。
即,可以通过第一指示信息告知接收探测请求消息的网络设备,接收到的探测请求消息为探测请求消息。
示例性的,上述探测请求消息可以为BGP-EVPN路由消息,且探测请求消息的报文格式可以如下表1所示,其中第一指示信息可以通过Detect Type字段取值为0表示。
表1
字段 字节数
Route Distinguisher(路由区分符) 8
Ethernet Segment Identifier(网段标识符) 10
Ethernet Tag ID(以太网标签ID) 4
MAC Address Length(MAC地址长度) 1
MAC Address(MAC地址) 6
IP Address Length(IP地址长度) 1
IP Address(IP地址) 0或4或16
MPLS Label1(多协议标签交换标签1) 3
MPLS Label2(多协议标签交换标签2) 0或3
Detect Type(检测类型) 1
即,当第二VTEP设备接收第一VTEP设备发送的报文后首先查看报文格式是否与上表1报文格式相同;若是,则确定接收到的报文为探测请求消息或探测应答消息,且进一步解析接收到的报文获取Detect Type字段取值,若Detect Type字段取值为0,则确定接收到的报文为探测请求消息。
S24、第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求。
在第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求后,若IP地址为第一IP、MAC地址第一MAC地址的VM未发生迁移,则IP地址为第一IP、MAC地址第一MAC地址的VM可以接收到第二VTEP设备发送的ARP请求,因此会向第二VTEP设备发送ARP应答,且ARP应答中携带有第一MAC地址。
S25、第二VTEP设备接收针对ARP请求的ARP应答。
S26、第二VTEP设备向第一VTEP设备发送针对探测请求消息的探测应答消息。
对应的,第一VTEP设备接收第二VTEP设备发送的针对探测请求消息的探测应答消息。
其中,该针对探测请求消息的探测应答消息用于指示第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新。
可选的,上述步骤S26中向第一VTEP设备发送针对探测请求消息的探测应答消息,包括:
向第一VTEP设备发送探测应答消息;探测应答消息携带有第一IP地址、第一MAC地址以及第二指示信息,第二指示信息用于指示第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新。
示例性的,上述探测应答消息可以为BGP-EVPN路由消息,且探测应答消息的报文格式可以如上表1所示,其中第二指示信息可以通过Detect Type字段取值为1表示。
即,当第一VTEP设备接收第二VTEP设备发送的报文后首先查看报文格式是否与上表1报文格式相同;若是,则确定接收到的报文为探测请求消息或探测应答消息,且进一步解析接收到的报文获取Detect Type字段取值,若Detect Type字段取值为1,则确定接收到的报文为探测应答消息。
可选的,第一VTEP设备可以通过如下方式确定接收到的探测应答消息是否为针对探测请求消息的探测应答消息:
接收第二VTEP设备发送的探测应答消息;探测应答消息携带有第二IP地址和第二MAC地址;
确定第一IP地址与第二IP地址是否相同,第一MAC地址与第二MAC地址是否相同;
若第一IP地址与第二IP地址相同,且第一MAC地址与第二MAC地址相同,则确定接收到的第二VTEP设备发送的探测应答消息为针对探测请求消息的探测应答消息。
S27、第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新。
需要说明的,由于第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新,因此第一VTEP设备也不会根据ARP消息向VTEP邻居发送路由通告消息。
本发明实施提供的VXLAN中防欺骗的方法中,第一VTEP设备接收到VM发送的ARP消息时,首先获取目的MAC地址为ARP消息携带的第一MAC地址的转发表项中的出端口,然后向第二VTEP设备发送探测请求消息;其中,探测请求消息用于指示第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP消息携带的IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息;若VM没有发生迁移,第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP请求时,可以收到VM发送的ARP应答,因此若接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,则说明接收到的ARP消息存在欺骗行为,为攻击者发送的,因此在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,由于第一VTEP设备在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,因此不会向邻居VTEP发送路由通告消息,因此本发明实施例可以避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP根据路由通告消息更新MAC转发表,进而避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP会将数据转发给攻击者。
进一步的,以下结合图1所示网络结构,以VM1的IP地址为10.0.0.1,MAC地址为1.1.1,VM2的IP地址为10.0.0.2,MAC地址为2.2.2,VM2试图仿冒VM1制造欺骗攻击为例对上述实施例提供的VXLAN中防欺骗方法进行举例说明。参照图3所示,该方法包括如下步骤:
S31、VM2向VTEP2发送ARP消息。
对应的,VTEP2接收VM2发送的ARP消息。
其中,ARP消息中携带的IP地址为VM1的IP地址10.0.0.1,ARP消息中携带的MAC地址为VM1的MAC地址1.1.1。
S32、VTEP2获取目的MAC地址为1.1.1的转发表项中的出端口。
具体的,目的MAC地址为1.1.1的转发表项的出接口为VXLAN隧道2,目的MAC地址为1.1.1的转发表项指示的VXLAN隧道的端点为VTEP1。
S33、VTEP2向VTEP1发送探测请求消息。
对应的,VTEP1接收VTEP2发送的探测请求消息。
探测请求消息携带的IP地址为10.0.0.1,MAC地址为1.1.1,Detect Type字段取值为0。
S34、VTEP1根据MAC地址1.1.1指示的物理端口发送针对IP地址10.0.0.1的ARP请求。
由于VM1未发生迁移,因此上述步骤S34为VTEP1向VM1发送ARP请求,VM1接收VTEP1发送的ARP请求。
具体的,MAC地址1.1.1指示的物理端口为端口1,因此VTEP1通过端口1发送针对IP地址10.0.0.1的ARP请求。
S35、VM1向VTEP1发送ARP应答。
对应的,VTEP1接收VM1发送的ARP应答。
其中,ARP应答中携带的MAC地址为1.1.1。
S36、VTEP1向VTEP2发送探测应答消息。
对应的,VTEP2接收VTEP1发送的探测应答消息。
其中,探测应答消息携带的IP地址为10.0.0.1,MAC地址为1.1.1,Detect Type字段取值为1。
S37、VTEP2确定是否为针对探测请求消息的探测应答消息。
具体的,VTEP2确定探测应答消息携带的IP地址是否与ARP消息携带的IP地址相同,探测应答消息携带的MAC地址是否与ARP消息携带的MAC地址相同。
在上述步骤S37中,若VTEP2确定探测应答消息携带的IP地址与ARP消息携带的IP地址相同,且探测应答消息携带的MAC地址与ARP消息携带的MAC地址相同,则确定接收到的探测应答消息为针对探测请求消息的探测应答消息,则执行如下步骤S38。
S38、VTEP2拒绝根据ARP消息对本地MAC转发表进行更新。
可选的,本发明实施例提供的VXLAN中防欺骗方法还包括:
若第二VTEP设备在第二预设时间内未接收到针对ARP请求的ARP应答,则拒绝向第一VTEP设备发送针对探测请求消息的探测应答消息;
若第一VTEP设备在第一预设时间内未接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,则根据ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
上述第一预设时间和第二预设时间可以由本领域技术人员根据经验值设定,本发明实施例对此不做限定。
由于第二VTEP设备在第二预设时间内未接收到针对ARP请求的ARP应答,则拒绝向第一VTEP设备发送针对探测请求消息的探测应答消息,且第一VTEP设备在第一预设时间内未接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,则根据ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息,因此上述实施例可以保证VM迁移时正常进行MAC转发表项的更新。
进一步可选的,本发明实施例提供的VXLAN中防欺骗方法还包括:
第一VTEP设备在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,进行告警。
具体的,告警可以为声音告警、灯光告警、显示告警信息等中的一种或多种,本发明实施例对此不做限定。
在上述实施例中,由于第一VTEP设备在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息还进行告警,因此上述实施例可以及时通知网络管理人员对网络攻击进行处理。
本发明再一实施例提供一种网络设备,具体的,参照图4所示,该网络设备400,包括:
接收单元41,用于接收虚拟机VM发送的ARP消息;ARP消息携带有第一IP和第一MAC地址,用于指示第一VTEP设备根据ARP消息对本地MAC转发表进行更新;
处理单元42,用于获取目的MAC地址为第一MAC地址的转发表项中的出端口;
发送单元43,用于向第二VTEP设备发送探测请求消息;所述第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;探测请求消息携带有第一IP地址以及第一MAC地址,用于指示第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息;
处理单元42,还用于在接收单元41接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新。
可选的,若在第一预设时间内未接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,处理单元42还用于根据ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
可选的,发送单元43具体用于向第二VTEP设备发送探测请求消息;探测请求消息携带有第一IP地址、第一MAC地址以及第一指示信息,第一指示信息用于指示第二VTEP设备通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息。
可选的,接收单元41具体用于接收第二VTEP设备发送的探测应答消息;探测应答消息携带有第二IP地址和第二MAC地址;确定第一IP地址与第二IP地址是否相同,第一MAC地址与第二MAC地址是否相同;若第一IP地址与第二IP地址相同,且第一MAC地址与第二MAC地址相同,则确定接收到的第二VTEP设备发送的探测应答消息为针对探测请求消息的探测应答消息。
可选的,参照图4所示,该网络设备400还包括:告警单元44;
告警单元44,用于在接收单元41接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,进行告警。
本发明实施提供的网络设备,在接收到VM发送的ARP消息时,首先获取目的MAC地址为ARP消息携带的第一MAC地址的转发表项中的出端口,然后向第二VTEP设备发送探测请求消息;其中,探测请求消息用于指示第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP消息携带的IP地址的ARP请求,以及在接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息;若VM没有发生迁移,第二VTEP设备通过第一MAC地址指示的物理端口发送针对ARP请求时,可以收到VM发送的ARP应答,因此若接收到第二VTEP设备发送的针对探测请求消息的探测应答消息,则说明接收到的ARP消息存在欺骗行为,为攻击者发送的,因此在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,由于本发明实施例提供的网络设备在接收到第二VTEP设备发送的针对探测请求消息的探测应答消息时,拒绝根据ARP消息对本地MAC转发表进行更新,因此不会向邻居VTEP发送路由通告消息,因此本发明实施例可以避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP根据路由通告消息更新MAC转发表,进而避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP会将数据转发给攻击者。
本发明再一实施例提供一种网络设备,具体的,参照图5所示,该网络设备500包括:
接收单元51,用于接收第一VTEP设备发送的探测请求消息;探测请求消息携带有第一网络协议IP地址以及第一媒体访问控制MAC地址;
发送单元52,用于通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对第一IP地址的ARP请求;
发送单元52,还用于在接收单元51接收到针对ARP请求的ARP应答时,向第一VTEP设备发送针对探测请求消息的探测应答消息,针对探测请求消息的探测应答消息用于指示第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新。
可选的,若在第二预设时间内未接收到针对ARP请求的ARP应答,发送单元还用于拒绝向第一VTEP设备发送针对探测请求消息的探测应答消息。
可选的,发送单元52具体用于向第一VTEP设备发送探测应答消息;探测应答消息携带有第一IP地址、第一MAC地址以及第二指示信息,第二指示信息用于指示第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新。
本发明实施例提供的网络设备在接收到接收第一VTEP设备发送的探测请求消息时,通过与第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对探测请求消息携带的第一IP地址的ARP请求,若可以收到VM发送的ARP应答,则说明第一VTEP设备接收到的ARP消息存在欺骗行为,为攻击者发送的,因此在接收到VM发送的针对ARP请求的ARP应答时,向第一VTEP设备发送用于指示第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新的探测应答消息,由于第一VTEP设备会基于探测应答消息拒绝根据ARP消息对本地MAC转发表进行更新,因此不会向邻居VTEP发送路由通告消息,因此本发明实施例可以避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP根据路由通告消息更新MAC转发表,进而避免不能得到与路由通告消息携带的MAC地址匹配的MAC转发表项的VTEP会将数据转发给攻击者。
进一步的,本发明实施例提供的防欺骗装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的网络设备的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,参照图6所示,该网络设备包括:处理器61,存储器62,存储在存储器62上并可在处理器61上运行的计算机程序,该计算机程序被处理器61执行时实现上述实施例中的VXLAN中防欺骗的方法的过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
此外,网络设备还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来将,网络设备还可能是分布式设备,可能包括多个板卡,以便在硬件层面进行报文处理的扩展。
需要说明的是,在具体实现过程中,上述如图所示的方法流程中第一VTEP设备和第二VTEP设备所执行的各步骤均可以通过硬件形式的处理器执行存储器中存储的软件形式的计算机执行指令实现,为避免重复,此处不再赘述。此外,上述认证服务器所执行的动作所对应的程序均可以以软件形式存储于该认证服务器的存储器中,以便于处理器调用执行以上各模块对应的操作。
上文中的存储器可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);也可以包括非易失性存储器(non-volatile memory),例如只读存储器(read-only memory,ROM),快闪存储器(flash memory),硬盘(hard diskdrive,HDD)或固态硬盘(solid-state drive,SSD);还可以包括上述种类的存储器的组合。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以集成在一个处理单元中,也可以是各单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明保护范围。

Claims (17)

1.一种虚拟可扩展局域网VXLAN中防欺骗的方法,其特征在于,应用于第一VXLAN中的隧道终结端点VTEP设备,所述方法包括:
接收虚拟机VM发送的ARP消息;所述ARP消息携带有第一IP地址和第一MAC地址,用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新;
获取目的MAC地址为所述第一MAC地址的转发表项中的出端口;
向第二VTEP设备发送探测请求消息;所述第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;所述探测请求消息携带有所述第一IP地址以及所述第一MAC地址,用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息;
在接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,拒绝根据所述ARP消息对本地MAC转发表进行更新。
2.根据权利要求1所述的VXLAN中防欺骗的方法,其特征在于,所述方法还包括:
若在第一预设时间内未接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息,则根据所述ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
3.根据权利要求1所述的VXLAN中防欺骗的方法,其特征在于,所述向第二VTEP设备发送探测请求消息,包括:
向所述第二VTEP设备发送探测请求消息;所述探测请求消息携带有所述第一IP地址、所述第一MAC地址以及第一指示信息,所述第一指示信息用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
4.根据权利要求1所述的VXLAN中防欺骗的方法,其特征在于,接收所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息的方法包括:
接收所述第二VTEP设备发送的探测应答消息;所述探测应答消息携带有第二IP地址和第二MAC地址;
确定所述第一IP地址与所述第二IP地址是否相同,所述第一MAC地址与所述第二MAC地址是否相同;
若所述第一IP地址与所述第二IP地址相同,且所述第一MAC地址与所述第二MAC地址相同,则确定接收到的所述第二VTEP设备发送的探测应答消息为针对所述探测请求消息的探测应答消息。
5.根据权利要求1-4任一项所述的VXLAN中防欺骗的方法,其特征在于,所述方法还包括:
在接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,进行告警。
6.一种虚拟可扩展局域网VXLAN中防欺骗的方法,其特征在于,应用于VXLAN中的第二隧道终结端点VTEP设备,所述方法包括:
接收第一VTEP设备发送的探测请求消息;所述探测请求消息携带有第一IP地址以及第一MAC地址;
通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求;
在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,所述针对所述探测请求消息的探测应答消息用于指示所述第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新,所述ARP消息为虚拟机VM发送的、携带有所述第一IP地址以及所述第一MAC地址,所述ARP消息用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新。
7.根据权利要求6所述的VXLAN中防欺骗的方法,其特征在于,所述方法还包括:
若在第二预设时间内未接收到针对所述ARP请求的ARP应答,则拒绝向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
8.根据权利要求6所述的VXLAN中防欺骗的方法,其特征在于,所述向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,包括:
向所述第一VTEP设备发送探测应答消息;所述探测应答消息携带有所述第一IP地址、所述第一MAC地址以及第二指示信息,所述第二指示信息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
9.一种网络设备,其特征在于,应用于第一VTEP设备,包括:
接收单元,用于接收虚拟机VM发送的ARP消息;所述ARP消息携带有第一IP地址和第一MAC地址,用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新;
处理单元,用于获取目的MAC地址为所述第一MAC地址的转发表项中的出端口;
发送单元,用于向第二VTEP设备发送探测请求消息;所述第二VTEP设备为所述转发表项中所述出端口连接的VTEP设备;所述探测请求消息携带有所述第一IP地址以及所述第一MAC地址,用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息;
所述处理单元,还用于在所述接收单元接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,拒绝根据所述ARP消息对本地MAC转发表进行更新。
10.根据权利要求9所述的网络设备,其特征在于,若在第一预设时间内未接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息,所述处理单元还用于根据所述ARP消息对本地MAC转发表进行更新,并向所有邻居VTEP设备发送2类路由通告消息。
11.根据权利要求9所述的网络设备,其特征在于,所述发送单元具体用于向所述第二VTEP设备发送探测请求消息;所述探测请求消息携带有所述第一IP地址、所述第一MAC地址以及第一指示信息,所述第一指示信息用于指示所述第二VTEP设备通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求,以及在接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
12.根据权利要求9所述的网络设备,其特征在于,所述接收单元具体用于接收所述第二VTEP设备发送的探测应答消息;所述探测应答消息携带有第二IP地址和第二MAC地址;确定所述第一IP地址与所述第二IP地址是否相同,所述第一MAC地址与所述第二MAC地址是否相同;若所述第一IP地址与所述第二IP地址相同,且所述第一MAC地址与所述第二MAC地址相同,则确定接收到的所述第二VTEP设备发送的探测应答消息为针对所述探测请求消息的探测应答消息。
13.根据权利要求9-12任一项所述的网络设备,其特征在于,所述网络设备还包括:告警单元;
所述告警单元,用于在所述接收单元接收到所述第二VTEP设备发送的针对所述探测请求消息的探测应答消息时,进行告警。
14.一种网络设备,其特征在于,应用于第二VTEP设备,包括:
接收单元,用于接收第一VTEP设备发送的探测请求消息;所述探测请求消息携带有第一网络协议IP地址以及第一媒体访问控制MAC地址;
发送单元,用于通过与所述第一MAC地址匹配的本地MAC转发表项中的物理端口发送针对所述第一IP地址的ARP请求;
所述发送单元,还用于在所述接收单元接收到针对所述ARP请求的ARP应答时,向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息,所述针对所述探测请求消息的探测应答消息用于指示所述第一VTEP设备拒绝根据ARP消息对本地MAC转发表进行更新,所述ARP消息为虚拟机VM发送的、携带有所述第一IP地址以及所述第一MAC地址,所述ARP消息用于指示所述第一VTEP设备根据所述ARP消息对本地MAC转发表进行更新。
15.根据权利要求14所述的网络设备,其特征在于,若在第二预设时间内未接收到针对所述ARP请求的ARP应答,所述发送单元还用于拒绝向所述第一VTEP设备发送针对所述探测请求消息的探测应答消息。
16.根据权利要求14所述的网络设备,其特征在于,所述发送单元具体用于向所述第一VTEP设备发送探测应答消息;所述探测应答消息携带有所述第一IP地址、所述第一MAC地址以及第二指示信息,所述第二指示信息用于指示所述第一VTEP设备拒绝根据所述ARP消息对本地MAC转发表进行更新。
17.一种网络设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的VXLAN中防欺骗的方法的步骤。
CN201811095366.6A 2018-09-19 2018-09-19 一种vxlan中防欺骗的方法和设备 Active CN109067784B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811095366.6A CN109067784B (zh) 2018-09-19 2018-09-19 一种vxlan中防欺骗的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811095366.6A CN109067784B (zh) 2018-09-19 2018-09-19 一种vxlan中防欺骗的方法和设备

Publications (2)

Publication Number Publication Date
CN109067784A CN109067784A (zh) 2018-12-21
CN109067784B true CN109067784B (zh) 2021-06-08

Family

ID=64763158

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811095366.6A Active CN109067784B (zh) 2018-09-19 2018-09-19 一种vxlan中防欺骗的方法和设备

Country Status (1)

Country Link
CN (1) CN109067784B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111246566B (zh) * 2020-01-07 2021-04-02 北京邮电大学 基于邻居发现的定位方法、装置、电子设备及存储介质
CN112153027B (zh) * 2020-09-14 2022-11-25 杭州迪普科技股份有限公司 仿冒行为识别方法、装置、设备及计算机可读存储介质
CN112165483B (zh) * 2020-09-24 2022-09-09 Oppo(重庆)智能科技有限公司 一种arp攻击防御方法、装置、设备及存储介质
CN113286011B (zh) * 2021-04-27 2023-08-22 锐捷网络股份有限公司 基于vxlan的ip地址分配方法及装置
CN113612782B (zh) * 2021-08-06 2023-02-17 中国联合网络通信集团有限公司 虚拟机迁移验证方法及装置
CN113938354A (zh) * 2021-10-12 2022-01-14 中国联合网络通信集团有限公司 路由信息更新方法、装置、电子设备和计算机可读介质
CN114244745B (zh) * 2021-12-23 2023-05-02 安徽皖通邮电股份有限公司 实现以太型设备的网元管理的方法、存储介质及设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763440B (zh) * 2016-01-29 2019-04-09 新华三技术有限公司 一种报文转发的方法和装置
US10243916B2 (en) * 2016-04-07 2019-03-26 Cisco Technology, Inc. Control plane based technique for handling multi-destination traffic in overlay networks
CN106998297B (zh) * 2017-03-22 2019-11-08 新华三技术有限公司 一种虚拟机迁移方法和装置
CN107342941B (zh) * 2017-06-01 2019-11-12 杭州迪普科技股份有限公司 一种vxlan控制平面的优化方法及装置

Also Published As

Publication number Publication date
CN109067784A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
CN109067784B (zh) 一种vxlan中防欺骗的方法和设备
US11893409B2 (en) Securing a managed forwarding element that operates within a data compute node
US11115465B2 (en) Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table
US10491516B2 (en) Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table
CN105684363B (zh) 逻辑路由器
US11343229B2 (en) Managed forwarding element detecting invalid packet addresses
US9471356B2 (en) Systems and methods for providing VLAN-independent gateways in a network virtualization overlay implementation
US20200076684A1 (en) Service insertion at logical network gateway
US10587637B2 (en) Processing network traffic to defend against attacks
CN111095209B (zh) 在云中通过覆盖网络和底层网络访问服务端点
US9692689B2 (en) Reporting static flows to a switch controller in a software-defined network (SDN)
US11032183B2 (en) Routing information validation in SDN environments
US20170264587A1 (en) Method for Synchronizing Virtual Machine Location Information Between Data Center Gateways, Gateway, and System
US20130329725A1 (en) Facilitating operation of one or more virtual networks
US20200186468A1 (en) Route server for distributed routers using hierarchical routing protocol
KR20210038686A (ko) 패킷 처리 방법 및 장치, 및 관련 디바이스들
CN107682275B (zh) 报文监控方法及装置
CN108600075B (zh) 一种故障处理方法及装置
CN115174470B (zh) 逻辑路由器
JP2017195438A (ja) 通信管理方法、通信管理プログラムおよび情報処理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant