CN109462609A - 一种arp抑制表项生成方法和装置 - Google Patents
一种arp抑制表项生成方法和装置 Download PDFInfo
- Publication number
- CN109462609A CN109462609A CN201811582170.XA CN201811582170A CN109462609A CN 109462609 A CN109462609 A CN 109462609A CN 201811582170 A CN201811582170 A CN 201811582170A CN 109462609 A CN109462609 A CN 109462609A
- Authority
- CN
- China
- Prior art keywords
- arp
- list item
- message
- address
- inhibits
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Abstract
本申请实施例提供了一种地址解析协议ARP抑制表项生成方法和装置,应用于VTEP,VTEP可以获取第一VM发送的DHCP请求报文中携带的第一VM的媒体访问控制MAC地址,确定第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取对应的DHCP应答报文中携带的第一VM的网际协议IP地址,生成第一VM的ARP抑制表项。由于DHCP报文相对于ARP报文,更难构造,恶意攻击者利用DHCP报文发起网络攻击的可能性较小,根据DHCP报文生成ARP抑制表项,能够降低ARP抑制表项包含有恶意网络地址的概率,在一定程度上避免VM获取到恶意网络地址,进而避免网络业务出错。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种ARP抑制表项生成方法和装置。
背景技术
VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)组网可以包括多个VTEP(VXLAN Tunnel End Point,可扩展虚拟局域网络隧道的端点),VTEP可以连接有VM(Virtual Machine,虚拟机)。参见图1,该组网包括V TEP1、VTEP2、VM1、VM2、VM3和VM4。VTEP1与VM1和VM2相连,VTEP2与VM3和VM4相连,VM1、VM2和VM3属于同一VXLAN。当V M1需要获取VM3的MAC(Media Access Control,媒体访问控制)地址时,VM1可以发送携带有VM1的MAC地址和IP(Internet Protocol,网际协议)地址的ARP(Address Resolution Protocol,地址解析协议)请求报文(可以称为第一ARP请求报文)。VTEP1接收到第一ARP请求报文后,可以向VM2和VTEP2发送第一ARP请求报文。VTEP2接收到第一ARP请求报文后,可以向VM3发送第一ARP请求报文。接收到第一ARP请求报文后,VM3可以向VM1发送携带有VM3的MAC地址的ARP响应报文。
组网中较多的ARP请求报文会占用较大的网络带宽,进而影响网络的性能。现有技术中,VTEP可以根据ARP报文(包括ARP请求报文和ARP响应报文)生成ARP抑制表项,以减少组网中的ARP请求报文。例如,当VTEP1和VTEP2接收到第一ARP请求报文时,均可以生成ARP抑制表项,该AR P抑制表项可以包括VM1的MAC地址、VM1的IP地址和VM1所属的VXL AN的标识等信息。当VM4需要获取VM1的MAC地址时,VM4可以发送ARP请求报文(可以称为第二ARP请求报文)。当VTEP2接收到第二ARP请求报文时,VTEP2可以根据ARP抑制表项,向VM4发送携带有VM1的MAC地址的ARP响应报文,而不需要再向其他设备发送第二ARP请求报文,进而减少组网中的ARP请求报文。
然而,当恶意攻击者通过VM1发送携带有恶意网络地址的ARP请求报文时,VTEP2则会生成包含恶意网络地址的ARP抑制表项,并根据该ARP抑制表项向VM4发送ARP响应报文。VM4则会获得恶意网络地址,并根据恶意网络地址发送数据报文,导致网络业务出错。
发明内容
本申请实施例的目的在于提供一种ARP抑制表项生成方法和装置,可以在一定程度上避免VM获取到恶意网络地址,进而避免网络业务出错。具体技术方案如下:
第一方面,为了达到上述目的,本申请实施例公开了一种ARP抑制表项生成方法,所述方法应用于VTEP,所述方法包括:
获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
可选的,所述方法还包括:
当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
可选的,在所述生成所述第一VM的ARP抑制表项之前,所述方法还包括:
确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则执行所述生成所述第一VM的ARP抑制表项的步骤;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
可选的,所述方法还包括:
当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
可选的,所述方法还包括:
当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
可选的,所述方法还包括:
获取自身连接的VM的待同步路由信息;
确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;
向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
可选的,所述方法还包括:
接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;
确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;
如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;
如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,不低于所述待处理路由信息中携带的优先级,则使能所述待匹配ARP抑制表项;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
第二方面,为了达到上述目的,本申请实施例公开了一种ARP抑制表项生成装置,所述装置应用于VTEP,所述装置包括:
第一获取模块,用于获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
第二获取模块,用于获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成模块,用于生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
可选的,所述装置还包括:
删除模块,用于当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
可选的,所述装置还包括:
第一处理模块,用于确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则触发所述生成模块;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
可选的,所述装置还包括:
第二处理模块,用于当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
可选的,所述装置还包括:
第三处理模块,用于当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
可选的,所述装置还包括:
第四处理模块,用于获取自身连接的VM的待同步路由信息;
确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;
向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
可选的,所述装置还包括:
第五处理模块,用于接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;
确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;
如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;
如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,不低于所述待处理路由信息中携带的优先级,则使能所述待匹配ARP抑制表项;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
另一方面,为达到上述目的,本申请实施例还公开了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的任一方法步骤。
另一方面,为达到上述目的,本申请实施例还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的任一方法步骤。
另一方面,为达到上述目的,本申请实施例还公开了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的任一方法步骤。
本申请实施例提供了一种ARP抑制表项生成方法和装置,可以应用于VTEP,VTEP可以接收第一VM发送的DHCP请求报文,以及该DHCP请求报文对应的DHCP应答报文,并生成第一VM的ARP抑制表项,该ARP抑制表项可以包括第一VM所属的VXLAN的标识、DHCP请求报文中携带的第一VM的MAC地址和DHCP应答报文中携带的第一VM的IP地址。由于DHCP报文相对于ARP报文,更难构造,恶意攻击者利用DHCP报文发起网络攻击的可能性较小,因此,VTEP根据DHCP报文生成ARP抑制表项,能够降低ARP抑制表项中包含有恶意网络地址的概率,在一定程度上避免VM获取到恶意网络地址,进而避免网络业务出错。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种组网架构的框架图;
图2为本申请实施例提供的一种ARP抑制表项生成方法的流程图;
图3为本申请实施例提供的一种ARP抑制表项生成方法示例的流程图;
图4为本申请实施例提供的一种ARP抑制表项生成装置的结构图;
图5为本申请实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种ARP抑制表项生成方法,该方法可以应用于网络中的VTEP。
参见图1,图1为本申请实施例提供的一种组网架构的框架图,该组网可以包括:VTEP1、VTEP2、VM1、VM2、VM3和VM4,其中,VTEP1与VM1和VM2相连,VTEP2与VM3和VM4相连。
现有技术中,当VTEP1和VTEP2接收到VM1发送的ARP报文时,均可以获取ARP报文中携带的VM1的MAC地址和IP地址,并确定VM1所属的VXLAN的标识,然后,生成VM1的ARP抑制表项。当VM4需要获取VM1的MAC地址时,VM4可以发送ARP请求报文。当VTEP2接收到VM4发送的ARP请求报文时,VTEP2可以根据ARP抑制表项,向VM4发送携带有VM1的MAC地址的ARP响应报文,而不需要再向其他设备发送ARP请求报文,进而减少组网中的ARP请求报文。
然而,当遭到ARP攻击时,VTEP2会生成包含恶意网络地址的ARP抑制表项,并根据该ARP抑制表项向VM4发送ARP响应报文。VM4则会获得恶意网络地址,并根据恶意网络地址发送数据报文,导致网络业务出错。
为了解决上述问题,本申请基于DHCP(Dynamic Host Configuration Protocol,动态主机设置协议)报文生成ARP抑制表项。图1组网中的VTEP1和VTEP2还可以与DHCP服务器相连。当DHCP服务器接收到组网中的VM发送的DHCP请求报文时,DHCP服务器可以向该VM发送地址配置信息(例如,IP地址),以实现VM地址信息的动态配置。
一种实现方式中,VM1可以向组网中的DHCP服务器发送DHCP请求报文,以请求获取IP地址。VTEP1则可以获取到VM1发送的DHCP请求报文,并将该DHCP请求报文转发至DHCP服务器。DHCP服务器接收到该DHCP请求报文后,DHCP服务器可以为VM1分配IP地址,并向VM1发送DHCP应答报文,该DHCP应答报文中可以携带有DHCP服务器为VM1分配的IP地址。相应的,VTEP1则可以获取到DHCP服务器发送的DHCP应答报文,并将该DHCP应答报文转发至VM1。VM1则可以从该DHCP应答报文中获取DHCP服务器为VM1分配的IP地址。
在上述处理过程中,VTEP1可以获取DHCP请求报文中携带的VM1的MAC地址,确定VM1所属的VXLAN的标识,并获取DHCP应答报文中携带的DHCP服务器为VM1分配的IP地址。然后,VTEP1可以生成VM1的ARP抑制表项,该ARP抑制表项中可以包含有VM1的MAC地址、VM1所属的VXLAN的标识和VM1的IP地址。VTEP2生成ARP抑制表项的方法,与VTEP1生成ARP抑制表项的方法相同,此处不再赘述。
由于DHCP报文(包括DHCP请求报文和DHCP应答报文)相对于ARP报文,更难构造,恶意攻击者利用DHCP报文发起网络攻击的可能性较小,因此,VTEP1和VTEP2根据DHCP报文生成ARP抑制表项,能够降低ARP抑制表项中包含有恶意网络地址的概率,在一定程度上避免VM获取到恶意网络地址,进而避免网络业务出错。
参见图2,图2为本申请实施例提供的一种ARP抑制表项生成方法的流程图,该方法可以应用于VTEP,该方法可以包括以下步骤:
S201:获取第一VM发送的DHCP请求报文,以及DHCP请求报文对应的DHCP应答报文。
其中,针对自身连接的每一VM,VTEP可以根据本申请的ARP抑制表项生成方法,生成该VM的ARP抑制表项。第一VM可以是VTEP当前连接的任一VM。
在申请实施例中,第一VM可以向所属组网中的DHCP服务器发送DHCP请求报文,以请求获取IP地址,该DHCP请求报文中可以携带有第一VM的MAC地址。
VTEP则可以获取到第一VM发送的DHCP请求报文,并将该DHCP请求报文转发至DHCP服务器。DHCP服务器接收到该DHCP请求报文后,DHCP服务器可以为第一VM分配IP地址,并向第一VM发送DHCP应答报文,该DHCP应答报文中可以携带有DHCP服务器为第一VM分配的IP地址。其中,DHCP请求报文可以是DHCP Request(请求)报文,DHCP应答报文可以是DHCP ACK(Acknowledgement,应答)报文,
VTEP则可以获取到DHCP服务器发送的DHCP应答报文,并将该DHCP应答报文转发至第一VM。第一VM则可以从该DHCP应答报文中获取DHCP服务器为第一VM分配的IP地址。
另外,DHCP报文中可以携带有Transaction ID(事务标识)字段。当VTEP接收到DHCP应答报文时,VTEP可以判断该DHCP应答报文中携带的Transaction ID,与接收到的DHCP请求报文中的Transaction ID是否相同。如果相同,VTEP可以判定接收到该DHCP请求报文对应的DHCP应答报文。
S202:获取DHCP请求报文中携带的第一VM的MAC地址,根据DHCP请求报文,确定第一VM所属的VXLAN的标识,并获取DHCP应答报文中携带的第一VM的IP地址。
在申请实施例中,在VTEP获取到第一VM发送的DHCP请求报文,以及DHCP服务器向第一VM发送的该DHCP请求报文对应的DHCP应答报文后,VTEP可以获取该DHCP请求报文中携带的MAC地址(即第一VM的M AC地址),并根据接收该DHCP请求报文的端口,确定第一VM所属的VXL AN的标识。VTEP还可以获取该DHCP应答报文中携带的DHCP服务器为第一VM分配的IP地址。
本步骤中,在接收到第一VM发送的DHCP请求报文时,VTEP可以生成临时表项。当VTEP接收到对应的DHCP应答报文时,VTEP可以根据该临时表项,生成对应的ARP抑制表项,临时表项可以参见表(1)。
表(1)
IP | MAC | VNI/VSI |
- | 3-3-3 | 1001 |
其中,IP表示第一VM的IP地址,由于当前VTEP并未接收到对应的DHCP应答报文,即VTEP并未获取到第一VM的IP地址,此时,IP为空。MAC表示第一VM的MAC地址,VNI(VXLANNetwork Identifier,VXLAN网络标识符)/VSI(Virtual Switch Instance,虚拟交换实例)表示第一VM所属的VXLAN的标识。VTEP可以根据接收第一VM发送的DHCP请求报文的端口,确定第一VM所属的VXLAN的标识。
另外,该临时表项还可以包含其他信息,参见表(2)。
表(2)
IP | MAC | VNI/VSI | VLAN | Port | Aging time |
- | 3-3-3 | 1001 | 33 | Tel/0/1 | no |
其中,VLAN(Virtual Local Area Network,虚拟局域网)表示VTEP上连接第一VM的AC(Attachment Circuit,接入电路)上配置的VLAN的标识,Port表示该AC连接的物理端口,Aging time(老化时间)表示该临时表项对应的ARP抑制表项的老化时长,老化时长可以由技术人员根据业务需求进行设置。Aging time为no,则表示不会发生老化,老化时长的单位可以为分钟。
相应的,在接收到DHCP请求报文后的预设时长内,如果VTEP未接收到对应的DHCP应答报文,则VTEP可以删除该DHCP请求报文对应的临时表项。或者,如果VTEP接收到该DHCP请求报文对应的DHCP否定应答报文,VTEP也可以删除该DHCP请求报文对应的临时表项,其中,DHCP否定应答报文可以是DHCP NAK(Negative Acknowledgment,否定应答)报文。
S203:生成第一VM的ARP抑制表项。
其中,ARP抑制表项中可以包含有第一VM的MAC地址、第一VM所属的VXLAN的标识和第一VM的IP地址。
在申请实施例中,VTEP可以生成包含有第一VM的MAC地址、第一VM所属的VXLAN的标识和第一VM的IP地址的ARP抑制表项。
本步骤中,在接收到DHCP请求报文后的预设时长内,如果VTEP接收到DHCP应答报文,且该DHCP应答报文中的Transaction ID,与该DHCP请求报文中的Transaction ID相同,则VTEP可以生成第一VM的ARP抑制表项。针对表(2),VTEP可以得到表(3)所示的ARP抑制表项。
表(3)
IP | MAC | VNI/VSI | VLAN | Port | Aging time |
3.1.1.1 | 3-3-3 | 1001 | 33 | Tel/0/1 | no |
其中,IP(3.1.1.1)为DHCP应答报文中携带的DHCP服务器为第一VM分配的IP地址。
由于表(3)所示的ARP抑制表项是根据DHCP报文生成的,而DHCP报文相对于ARP报文,更难构造,恶意攻击者利用DHCP报文发起网络攻击的可能性较小,因此,VTEP根据该ARP抑制表项,向VM发送ARP应答报文,在一定程度上可以避免VM获取到恶意网络地址,进而避免网络业务出错。
可以理解的是,如果VTEP根据本申请的方法生成ARP抑制表项,则VTEP可以关闭根据ARP报文生成ARP抑制表项的功能,使得VTEP不仅具有生成ARP抑制表项的功能,还具有防御ARP攻击的功能。
可选的,VTEP还可以对根据DHCP报文生成的ARP抑制表项进行更新,该方法还可以包括以下步骤:当接收到第一VM发送的地址撤销报文时,删除第一VM的ARP抑制表项。
其中,地址撤销报文可以为DHCP拒绝报文,也可以为DHCP释放报文。DHCP拒绝报文可以为DHCP Decline(拒绝)报文,DHCP释放报文可以为DHCP Release(释放)报文。
在申请实施例中,当第一VM接收到DHCP服务器发送的DHCP应答报文时,如果第一VM通过地址冲突检测,确定DHCP服务器分配的IP地址冲突或者其他原因导致IP地址不可用,第一VM则可以向DHCP服务器发送DHCP Decline报文,以通知DHCP服务器IP地址不可用。当第一VM不再需要使用分配的IP地址时,第一VM可以向DHCP服务器发送DHCP Release报文,以通知DHCP服务器释放该IP地址。
相应的,当VTEP接收到第一VM发送的DHCP Decline报文时,VTEP可以删除根据DHCP报文生成的第一VM的ARP抑制表项。当VTEP接收到第一VM发送的DHCP Release报文时,VTEP也可以删除根据DHCP报文生成的第一VM的ARP抑制表项。
可以理解的是,如果VTEP并未关闭根据ARP报文生成ARP抑制表项的功能,则VTEP可能会遭到ARP攻击,根据恶意ARP报文生成包含有恶意网络地址的ARP抑制表项。因此,VTEP还可以删除根据ARP报文生成的,且包含有恶意网络地址的ARP抑制表项。
在根据第一VM发送的DHCP请求报文,以及该请求报文对应的DHCP应答报文,生成第一VM的ARP抑制表项后,VTEP还可以判断是否存储有根据ARP报文生成的,且包含有第一VM的IP地址和第一VM所属的VXL AN的标识的ARP抑制表项(可以称为第一ARP抑制表项)。
当VTEP判定存储有第一ARP抑制表项时,由于第一ARP抑制表项可能包含有恶意网络地址,因此,VTEP可以将第一ARP抑制表项从本地删除,进而使得根据DHCP报文生成的,且包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项生效,能够实现对ARP攻击的防御,避免网络业务出错。
另外,当VTEP接收到ARP报文时,VTEP还可以进一步判断是否需要生成对应ARP抑制表项,以实现对ARP攻击的防御,则该方法还可以包括以下步骤:
步骤一,当接收到第二VM发送的ARP报文时,获取ARP报文中携带的源IP地址,作为第一IP地址,并确定第二VM所属的VXLAN的标识,作为第一VXLAN标识。
其中,ARP报文可以为ARP请求报文,也可以为ARP响应报文。
在申请实施例中,第二VM可以是VTEP所属组网中的任一VM。当VTEP接收到第二VM发送的ARP报文时,VTEP可以获取该ARP报文中携带的源IP地址(即第一IP地址),并确定第二VM所属的VXLAN的标识(即第一VXLAN标识),以便进行后续处理。
本步骤中,如果第二VM为VTEP本地连接的VM,则VTEP可以根据接收该ARP报文的端口,确定第一VXLAN标识;如果VTEP通过VXLAN隧道接收到该ARP报文,则VTEP可以根据该ARP报文中的VXLAN ID字段,确定第一VXLAN标识。
步骤二,确定是否存储有通过除ARP报文外的其他方式获得的,且包含有第一IP地址和第一VXLAN标识的ARP抑制表项。
在申请实施例中,在获取第一IP地址和第一VXLAN标识后,VTEP可以判断是否存储有通过除ARP报文外的其他方式获得的,且包含有第一IP地址和第一VXLAN标识的ARP抑制表项(可以称为第二ARP抑制表项)。第二ARP抑制表项的安全度不低于根据ARP报文生成的ARP抑制表项的安全度,例如,第二ARP抑制表项可以是根据DHCP报文生成的ARP抑制表项,也可以是技术人员预先配置的ARP抑制表项。
步骤三,如果未存储有,则生成ARP报文对应的ARP抑制表项。
在申请实施例中,当VTEP判定未存储有第二ARP抑制表项时,VTEP可以根据ARP报文,生成对应的ARP抑制表项。VTEP根据ARP报文,生成对应的ARP抑制表项的方法为现有技术,此处不再赘述。
步骤四,如果存储有,则使能通过其他方式获得的,且包含有第一IP地址和第一VXLAN标识的ARP抑制表项。
在申请实施例中,由于根据ARP报文生成的ARP抑制表项的安全度较低,因此,当VTEP判定本地已经存储有安全度较高的第二ARP抑制表项时,VTEP可以使能第二ARP抑制表项,即,VTEP可以不根据第二VM发送的ARP报文生成ARP抑制表项。
另外,VTEP在根据DHCP报文生成ARP抑制表项时,还可以进一步判断,以提高生成的ARP抑制表项的可靠性。
相应的,在S203之前,该方法还可以包括以下步骤:
步骤一,确定是否存储有通过预设方式接收到的,且包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项。
其中,预设方式可以包括:静态配置方式、NETCONF(网络配置协议)方式或OpenFlow(开放流)方式。
技术人员可以基于命令行的静态配置方式向VTEP下发配置的ARP抑制表项,或者,技术人员也可以通过NETCONF方式向VTEP下发配置的ARP抑制表项,或者,技术人员还可以通过OpenFlow方式向VTEP下发配置的ARP抑制表项。通常,VTEP通过上述三种方式接收到的ARP抑制表项为技术人员预先配置的表项,因此,其安全度高于根据DHCP报文生成的ARP抑制表项的安全度。
在申请实施例中,VTEP在生成第一VM的ARP抑制表项之前,VTEP可以在通过预设方式接收到的ARP抑制表项中进行查询,判断是否存在包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项(可以称为第三ARP抑制表项)。
步骤二,如果未存储有,则执行S203。
在申请实施例中,当VTEP判定不存在第三ARP抑制表项时,VTEP可以根据DHCP报文,生成携带有第一VM的MAC地址、第一VM所属的VXL AN的标识和第一VM的IP地址的ARP抑制表项。
步骤三,如果存储有,则使能通过预设方式接收到的,且包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项。
在申请实施例中,当VTEP判定存在第三ARP抑制表项时,VTEP可以使能第三ARP抑制表项。即,VTEP可以不根据第一VM的DHCP报文生成ARP抑制表项。
另外,在通过预设方式接收到ARP抑制表项后,VTEP还可以对存储的ARP抑制表项进行更新,则该方法还可以包括以下步骤:
当通过预设方式接收到ARP抑制表项时,使能通过预设方式接收到ARP抑制表项。
其中,预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
在申请实施例中,当VTEP通过上述预设方式中的任一方式接收到ARP抑制表项时,VTEP可以使能通过预设方式接收到ARP抑制表项。
本步骤中,VTEP还可以获取接收到的ARP抑制表项中的IP地址(可以称为第二IP地址),以及接收到的ARP抑制表项中的VXLAN标识(可以称为第二VXLAN标识),以便进行后续处理。
然后,VTEP可以在根据DHCP报文和ARP报文生成的ARP抑制表项中进行查询,判断是否存在包含有第二IP地址和第二VXLAN标识的ARP抑制表项(可以称为待处理ARP抑制表项)。
当VTEP判定存在待处理ARP抑制表项时,VTEP可以将待处理ARP抑制表项从本地删除。即,针对包含有相同的IP地址和VXLAN标识的ARP抑制表项,VTEP本地只存储有通过预设方式获得的安全度较高的ARP抑制表项。
可选的,VTEP还可以向其他VTEP同步本地VM的路由信息,使得其他VTEP可以生成对应的ARP抑制表项,则该方法还可以包括以下步骤:
步骤一,获取自身连接的VM的待同步路由信息。
其中,VTEP通常可以连接有多个VM,待同步路由信息可以包含VM的IP地址和MAC地址。
在申请实施例中,VTEP可以获取当前需要同步的路由信息(即待同步路由信息)。
步骤二,确定存储的包含有待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级。
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级。预设方式可以包括:静态配置方式、NETCONF方式或OpenFlow方式。
在申请实施例中,在获取待同步路由信息后,VTEP可以获取待同步路由信息中的IP地址和VXLAN标识,然后,VTEP可以在存储的ARP抑制表项中进行查询,确定包含有待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项(可以称为待同步ARP抑制表项),VTEP还可以确定待同步ARP抑制表项的优先级。
可以理解的是,在生成每一ARP抑制表项时,VTEP都可以在该ARP抑制表项中记录该ARP抑制表项的优先级。
例如,在表(3)的基础上,VTEP可以生成表(4)所示的ARP抑制表项。
表(4)
IP | MAC | VNI/VSI | VLAN | Port | Aging time | Priority |
3.1.1.1 | 3-3-3 | 1001 | 33 | Tel/0/1 | no | 3 |
其中,Priority(优先权)表示该ARP抑制表项的优先级。通常,Priority的数值越小,则表示优先级越高,也即,该ARP抑制表项的安全度越高;Priority的数值越大,则表示优先级越低,也即,该ARP抑制表项的安全度越低。例如,通过预设方式获得的ARP抑制表项的Priority可以为1,通过DHCP报文获得的ARP抑制表项的Priority可以为3,通过ARP报文获得的ARP抑制表项的Priority可以为5。
步骤三,向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
在申请实施例中,在确定出待同步ARP抑制表项的优先级后,VTEP可以向与自身相连的其他VTEP,发送携带有待同步ARP抑制表项的优先级的待同步路由信息,相应的,其他VTEP接收到待同步路由信息后,可以根据待同步路由信息中携带的优先级生成ARP抑制表项。
本步骤中,VTEP可以得到表(5)所示的待同步路由信息。
表(5)
MAC Address Length |
MAC Address |
IP Address Length |
IP Address |
VNI |
IP Priority |
其中,MAC Address Length(媒体访问控制地址长度),表示待同步的MAC地址的长度,MAC Address表示待同步的MAC地址,IP Address Length(网际协议地址长度),表示待同步的IP地址的长度,IP Address表示待同步的IP地址,VNI表示待同步的VXLAN标识,IPPriority表示待同步路由信息对应的ARP抑制表项的优先级,与该ARP抑制表项的获得方式相对应。
相应的,VTEP还可以接收其他VTEP发送的路由信息,以根据该路由信息生成对应的ARP抑制表项,该方法还可以包括以下步骤:
步骤一,接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息。
在申请实施例中,VTEP可以接收与自身相连的其他VTEP发送的路由信息(即待处理路由信息),待处理路由信息的格式同样可以参见表(5)。
步骤二,确定是否存储有包含有待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项。
在申请实施例中,VTEP可以获取待处理路由信息中携带的IP地址(可以称为第三IP地址)、待处理路由信息中携带的VXLAN标识(可以称为第三VXLAN标识)。
然后,VTEP可以判断当前是否存储有包含有第三IP地址和第三VXLAN标识的ARP抑制表项(即待匹配ARP抑制表项)。
步骤三,如果未存储有,生成待处理路由信息对应的ARP抑制表项。
在申请实施例中,当VTEP判定当前未存储有待匹配ARP抑制表项时,VTEP则可以根据待处理路由信息,生成对应的ARP抑制表项。生成的ARP抑制表项中包含有第三IP地址、第三VXLAN标识和待处理路由信息中携带的与第三IP地址和第三VXLAN标识对应的MAC地址。
另外,待处理路由信息中携带有用于表示包含有第三IP地址和第三VXLAN标识的ARP抑制表项的优先级(可以称为目标优先级),因此,VTEP生成的ARP抑制表项中也可以记录有该目标优先级。
步骤四,如果存储有,且待匹配ARP抑制表项的优先级,低于待处理路由信息中携带的优先级,则生成并使能待处理路由信息对应的ARP抑制表项;如果存储有,且待匹配ARP抑制表项的优先级,不低于待处理路由信息中携带的优先级,则使能待匹配ARP抑制表项。
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级。预设方式可以包括:静态配置方式、NETCONF方式或OpenFlow方式。
在申请实施例中,当VTEP判定当前存储有待匹配ARP抑制表项时,VTEP可以进一步判断待匹配ARP抑制表项的优先级是否低于目标优先级。当VTEP判定待匹配ARP抑制表项的优先级低于目标优先级时,VTEP可以生成待处理路由信息对应的ARP抑制表项,并使能生成的ARP抑制表项。生成的ARP抑制表项中包含有第三IP地址、第三VXLAN标识和待处理路由信息中携带的与第三IP地址和第三VXLAN标识对应的MAC地址,另外,生成的ARP抑制表项中还可以记录有目标优先级。
另外,在生成并使能待处理路由信息对应的ARP抑制表项时,VTEP还可以将待匹配ARP抑制表项从本地删除。
当VTEP判定待匹配ARP抑制表项的优先级不低于目标优先级时,VTEP可以使能待匹配ARP抑制表项,即,VTEP可以不生成待处理路由信息对应的ARP抑制表项。
可见,基于本申请实施例的方法,VTEP可以根据ARP抑制表项的获得方式,确定ARP抑制表项的优先级。不同的获得方式得到的ARP抑制表项的安全度不同,且安全度较高的ARP抑制表项的优先级,高于安全度较低的ARP抑制表项的优先级。
另外,当VTEP需要生成包含有目标IP地址和目标VXLAN标识的目标ARP抑制表项时,如果本地存储有包含有目标IP地址和目标VXLAN标识,且优先级较高的ARP抑制表项,则VTEP则不会生成目标ARP抑制表项。
如果本地存储有包含有目标IP地址和目标VXLAN标识,且优先级较低的ARP抑制表项,则VTEP可以生成优先级较高的目标ARP抑制表项,并删除本地的优先级较低的ARP抑制表项。
基于上述处理,针对包含有相同的IP地址和VXLAN标识的ARP抑制表项,使优先级较高的ARP抑制表项生效,优先级较低的ARP抑制表项不生效。同时,还可以使其他设备获取ARP抑制表项的优先级,保证整个网络中ARP抑制表项的一致性,可以减少VTEP本地存储的包含有恶意网络地址的ARP抑制表项的数目,在一定程度上避免网络业务出错。
参见图3,图3为本申请实施例提供的一种ARP抑制表项生成方法示例的流程图,该方法可以应用于VTEP,该方法可以包括以下步骤:
S301:获取第一VM发送的DHCP请求报文,以及该DHCP请求报文对应的DHCP应答报文。
S302:获取该DHCP请求报文中携带的第一VM的MAC地址,确定第一VM所属的VXLAN的标识,并获取该DHCP应答报文中携带的第一VM的IP地址。
S303:判断是否存储有通过预设方式接收到的,且包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项。如果未存储有,执行S304。
其中,预设方式可以包括:静态配置方式、NETCONF方式或OpenFlow方式。
S304:生成第一VM的ARP抑制表项,并删除根据ARP报文生成的,且包含有第一VM的IP地址和第一VM所属的VXLAN的标识的ARP抑制表项。
其中,生成的ARP抑制表项中包含第一VM的MAC地址、第一VM所属的VXLAN的标识和第一VM的IP地址。
S305:当接收到第二VM发送的ARP报文时,获取该ARP报文中携带的源IP地址,作为第一IP地址,并确定第二VM所属的VXLAN的标识,作为第一VXLAN标识。
S306:判断是否存储有通过除ARP报文外的其他方式获得的,且包含有第一IP地址和第一VXLAN标识的ARP抑制表项,如果未存储有,执行S307。
S307:生成该ARP报文对应的ARP抑制表项。
S308:接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息。
S309:判断是否存储有包含有待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项,如果未存储有,执行S3010,如果存储有,执行S3011。
S3010:生成待处理路由信息对应的ARP抑制表项。
S3011:判断待匹配ARP抑制表项的优先级,是否低于待处理路由信息中携带的优先级,如果是,执行S3012。
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
S3012:生成待处理路由信息对应的ARP抑制表项,并删除待匹配ARP抑制表项。
与图2的方法实施例相对应,参见图4,图4为本申请实施例提供的一种ARP抑制表项生成装置的结构图,该装置可以应用于VTEP,该装置可以包括:
第一获取模块401,用于获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
第二获取模块402,用于获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成模块403,用于生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
可选的,所述装置还包括:
删除模块,用于当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
可选的,所述装置还包括:
第一处理模块,用于确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则触发所述生成模块403;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
可选的,所述装置还包括:
第二处理模块,用于当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
可选的,所述装置还包括:
第三处理模块,用于当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
可选的,所述装置还包括:
第四处理模块,用于获取自身连接的VM的待同步路由信息;
确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;
向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
可选的,所述装置还包括:
第五处理模块,用于接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;
确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;
如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;
如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,不低于所述待处理路由信息中携带的优先级,则使能所述待匹配ARP抑制表项;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
可见,基于本申请实施例提供的ARP抑制表项生成装置,VTEP可以接收第一VM发送的DHCP请求报文,以及该DHCP请求报文对应的DHCP应答报文,生成第一VM的ARP抑制表项,该ARP抑制表项包括第一VM所属的VXLAN的标识、DHCP请求报文中携带的第一VM的MAC地址和DHCP应答报文中携带的第一VM的IP地址。由于DHCP报文相对于ARP报文,更难构造,恶意攻击者利用DHCP报文发起网络攻击的可能性较小,因此,VTEP根据DHCP报文生成ARP抑制表项,能够降低ARP抑制表项中包含有恶意网络地址的概率,在一定程度上避免VM获取到恶意网络地址,进而避免网络业务出错。
本申请实施例还提供了一种电子设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,以使该电子设备执行ARP抑制表项生成方法的步骤,该方法包括:
获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
可选的,所述方法还包括:
当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
可选的,在所述生成所述第一VM的ARP抑制表项之前,所述方法还包括:
确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则执行所述生成所述第一VM的ARP抑制表项的步骤;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
可选的,所述方法还包括:
当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
可选的,所述方法还包括:
当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
可选的,所述方法还包括:
获取自身连接的VM的待同步路由信息;
确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;
向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
可选的,所述方法还包括:
接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;
确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;
如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;
如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,不低于所述待处理路由信息中携带的优先级,则使能所述待匹配ARP抑制表项;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一ARP抑制表项生成方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一ARP抑制表项生成方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种地址解析协议ARP抑制表项生成方法,其特征在于,所述方法应用于可扩展虚拟局域网络隧道的端点VTEP,所述方法包括:
获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
3.根据权利要求1所述的方法,其特征在于,在所述生成所述第一VM的ARP抑制表项之前,所述方法还包括:
确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则执行所述生成所述第一VM的ARP抑制表项的步骤;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取自身连接的VM的待同步路由信息;
确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;
向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;
确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;
如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;
如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,不低于所述待处理路由信息中携带的优先级,则使能所述待匹配ARP抑制表项;
其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
8.一种地址解析协议ARP抑制表项生成装置,其特征在于,所述装置应用于可扩展虚拟局域网络隧道的端点VTEP,所述装置包括:
第一获取模块,用于获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;
第二获取模块,用于获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;
生成模块,用于生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
删除模块,用于当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一处理模块,用于确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;
如果未存储有,则触发所述生成模块;
如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二处理模块,用于当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;
确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;
如果未存储有,则生成所述ARP报文对应的ARP抑制表项;
如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三处理模块,用于当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。
13.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-7任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811582170.XA CN109462609B (zh) | 2018-12-24 | 2018-12-24 | 一种arp抑制表项生成方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811582170.XA CN109462609B (zh) | 2018-12-24 | 2018-12-24 | 一种arp抑制表项生成方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109462609A true CN109462609A (zh) | 2019-03-12 |
CN109462609B CN109462609B (zh) | 2021-08-06 |
Family
ID=65614446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811582170.XA Active CN109462609B (zh) | 2018-12-24 | 2018-12-24 | 一种arp抑制表项生成方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109462609B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
CN104104747A (zh) * | 2014-07-28 | 2014-10-15 | 杭州华三通信技术有限公司 | 报文传输方法及装置 |
CN104283980A (zh) * | 2014-10-09 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种地址解析协议代答方法和装置 |
CN104767841A (zh) * | 2015-04-30 | 2015-07-08 | 杭州华三通信技术有限公司 | 软件定义网络中更新地址解析协议表项的方法和网关设备 |
CN106559506A (zh) * | 2015-09-28 | 2017-04-05 | 中兴通讯股份有限公司 | Arp条目生成方法和装置 |
CN107800625A (zh) * | 2016-08-30 | 2018-03-13 | 新华三技术有限公司 | 一种报文转发方法及装置 |
-
2018
- 2018-12-24 CN CN201811582170.XA patent/CN109462609B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
CN104104747A (zh) * | 2014-07-28 | 2014-10-15 | 杭州华三通信技术有限公司 | 报文传输方法及装置 |
CN104283980A (zh) * | 2014-10-09 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种地址解析协议代答方法和装置 |
CN104767841A (zh) * | 2015-04-30 | 2015-07-08 | 杭州华三通信技术有限公司 | 软件定义网络中更新地址解析协议表项的方法和网关设备 |
CN106559506A (zh) * | 2015-09-28 | 2017-04-05 | 中兴通讯股份有限公司 | Arp条目生成方法和装置 |
CN107800625A (zh) * | 2016-08-30 | 2018-03-13 | 新华三技术有限公司 | 一种报文转发方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113132364A (zh) * | 2021-04-07 | 2021-07-16 | 中国联合网络通信集团有限公司 | Arp拟制表项的生成方法、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109462609B (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11601349B2 (en) | System and method of detecting hidden processes by analyzing packet flows | |
CN106533890B (zh) | 一种报文处理方法、装置及系统 | |
EP3082295A1 (en) | Fault management apparatus, device and method for network function virtualization (nfv) | |
US8625448B2 (en) | Method and system for validating network traffic classification in a blade server | |
EP3531635A1 (en) | Message processing method and network device | |
CN109067784B (zh) | 一种vxlan中防欺骗的方法和设备 | |
US20180176181A1 (en) | Endpoint admission control | |
TWI458292B (zh) | 有效地實施強化路由器裝置之系統及方法 | |
CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
CN107809386B (zh) | Ip地址转换方法、路由设备和通信系统 | |
US11799753B2 (en) | Dynamic discovery of service nodes in a network | |
WO2018033153A1 (zh) | Evpn中ip地址冲突的处理方法及装置 | |
JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
CN109240796A (zh) | 虚拟机信息获取方法及装置 | |
CN109495369A (zh) | 一种报文转发方法及装置 | |
EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
CN109347748A (zh) | 一种同步路由信息的方法和装置 | |
CN110381053A (zh) | 一种报文过滤方法及装置 | |
CN112769829B (zh) | 云物理机的部署方法、相关设备及可读存储介质 | |
CN109462609A (zh) | 一种arp抑制表项生成方法和装置 | |
CN109450767B (zh) | 一种报文处理方法和装置 | |
US8661102B1 (en) | System, method and computer program product for detecting patterns among information from a distributed honey pot system | |
CN109617817B (zh) | 一种mlag组网的转发表项的生成方法及装置 | |
CN111988446B (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
JP6000501B1 (ja) | 制御装置、制御プログラムおよび機器制御システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |