CN110445703B - 环路报文拦截方法、转发设备及控制器 - Google Patents
环路报文拦截方法、转发设备及控制器 Download PDFInfo
- Publication number
- CN110445703B CN110445703B CN201910683372.1A CN201910683372A CN110445703B CN 110445703 B CN110445703 B CN 110445703B CN 201910683372 A CN201910683372 A CN 201910683372A CN 110445703 B CN110445703 B CN 110445703B
- Authority
- CN
- China
- Prior art keywords
- message
- loop
- processed
- controller
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/18—Loop-free operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种环路报文拦截方法、转发设备及控制器,所述方法包括:由转发设备接收第一待处理报文,提取第一待处理报文的报文头特征信息以及荷载特征信息;根据报文头特征信息以及荷载特征信息,获取用于表征第一待处理报文的报文标识;统计接收到的具有报文标识的第一待处理报文的个数;当个数达到预设阈值时,将该第一待处理报文作为环路报文,向控制器发送通知消息;获取控制器发送的拦截特征,拦截特征由控制器根据接收到的具有不同报文标识的多个环路报文的共有特性生成;对收到的具有该拦截特征的第二待处理报文进行拦截。如此,通过转发设备和控制器的配合可以精准地对用户侧产生的环路报文进行拦截而不影响用户侧其他正常报文的转发。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种环路报文拦截方法、转发设备及控制器。
背景技术
在软件定义网络(Software Defined Network,SDN)架构中,控制器可以向转发设备下发各种转发策略来控制转发设备的组网方式和报文转发动作。例如,控制器可以控制SDN网络中各转发设备的组网方式或转发动作来避免SDN网络产生报文环路。
对于不属于SDN网络的用户侧设备,控制器无法对其进行管理,因此不能避免用户侧的网络产生的报文环路。例如,请参照图1,在图1所示的场景中,控制器(controller)可以对属于SDN网络的转发设备1、转发设备2、转发设备3和转发设备4进行控制,避免这些设备之间形成报文环路。
可以理解的是,在SDN网络中,转发设备1、转发设备2也可称之为叶节点(leaf),转发设备3、转发设备4也可称之为脊节点(spine)。
但是,controller无法控制连接到leaf1的用户侧网络,当与leaf1连接的用户网络边缘设备(Customer Edge,简称:CE)1位于用户侧网络形成的报文环路上时,CE1可能会不停接收到某条环路报文并将该环路报文广播或泛洪到所有出接口,导致leaf1的下行端口不停接收到该环路报文,影响到上层SDN网络的正常工作。
发明内容
有鉴于此,本申请提供了一种环路报文拦截方法、转发设备及控制器,可以较为精准地对用户侧产生的环路报文进行拦截而不影响用户侧其他正常报文的转发。
第一方面,本申请提供一种环路报文拦截方法,应用于软件定义网络SDN架构中与控制器通信的转发设备,所述方法包括:
接收第一待处理报文,提取所述第一待处理报文的报文头特征信息以及荷载特征信息;
根据所述报文头特征信息以及荷载特征信息,获取用于表征所述第一待处理报文的报文标识;
统计接收到的具有所述报文标识的第一待处理报文的个数;
当所述个数达到预设阈值时,将所述待处理报文作为环路报文,向所述控制器发送通知消息,所述通知消息包括所述环路报文的报文头特征信息以及所述报文标识;
获取所述控制器发送的拦截特征,所述拦截特征由所述控制器根据接收到的具有不同报文标识的多个环路报文的共有特性生成;
对收到的具有该拦截特征的第二待处理报文进行拦截。
可选地,所述提取所述第一待处理报文的报文头特征信息以及荷载特征信息的步骤,包括:
将所述第一待处理报文包括的数据链路层标识、网络层标识以及传输层标识的报文头作为所述报文头特征信息;
将所述第一待处理报文包括的预设字节长度的应用荷载数据作为所述荷载特征信息。
可选地,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识;
所述对收到的具有该拦截特征的第二待处理报文进行拦截,包括:
根据所述拦截特征以及所述入端口标识,丢弃从所述入端口接收到的具有所述拦截特征的第二待处理报文。
可选地,所述向所述控制器发送通知消息,包括:
复制所述环路报文,并将复制的环路报文作为所述通知消息向所述控制器发送,使所述控制器从复制的所述环路报文中获取该环路报文的报文头特征信息。
可选地,所述方法还包括:
针对每个所述报文标识的统计记录启动老化计时,若老化计时达到预设时长未再次接收到的具有该报文标识的待处理报文,则删除该统计记录。
第二方面,本申请提供一种环路报文拦截方法,应用于软件定义网络SDN架构中与转发设备通信的控制器,所述方法包括:
接收所述转发设备发送的携带有报文头特征信息及报文标识的通知消息,所述报文标识由所述转发设备根据接收到的环路报文的报文头特征信息及荷载特征信息计算获得;
获取拦截特征,所述拦截特征包括具有不同报文标识的多个环路报文的共有特性;
向所述转发设备发送所述拦截特征,使所述转发设备对接收到的具有所述拦截特征的待处理报文进行拦截。
可选地,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识;
所述获取拦截特征,包括:
根据多个所述环路报文的入端口标识、报文头特征信息或荷载特征信息的共有特性,确定拦截特征。
可选地,所述报文头特征信息包括VLAN标识及源地址;
所述获取拦截特征,包括:
对具有不同报文标识的多个环路报文的所述VLAN标识及所述源地址进行统计;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值,且具有相同源地址的环路报文的数量达到第二预设阈值,则将该源地址对应的地址信息作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同VLAN标识的环路报文的数量达到第三预设阈值,且不同源地址对应的环路报文的数量均等,则将该VLAN标识对应的标识信息作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同源地址的环路报文的数量未达到所述第二预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则将该入端口对应的入端口标识作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量未达到第一预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则将各环路报文的报文标识作为拦截特征。
第三方面,本申请提供一种转发设备,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令再被所述处理器执行时,所述转发设备实现本申请提供的环路报文拦截方法。
第四方面,本申请提供一种控制器,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令再被所述处理器执行时,所述控制器实现本申请提供的环路报文拦截方法。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供的环路报文拦截方法、转发设备及控制器,由转发设备提取接收到的待处理报文的报文标识进行统计,识别出环路报文,并将环路报文的报文头特征信息及报文标识通知控制器,再由控制器根据具有不同报文标识的环路报文的共有特征生成拦截特征,以控制转发设备根据拦截特征对接收到的报文进行拦截。如此,可以精准地对用户侧产生的环路报文进行拦截而不影响用户侧其他正常报文的转发。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为SDN网络的应用场景示意图;
图2为本申请第一实施例提供的环路报文拦截方法的示意图;
图3为本申请第二实施例提供的环路报文拦截方法的示意图;
图4为本申请第三实施例提供的转发设备的示意图;
图5为本申请第三实施例提供的环路报文拦截装置的示意图;
图6为本申请第四实施例提供的控制器的示意图;
图7为本申请第四实施例提供的环路报文拦截装置的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
第一实施例
请参照图2,本申请提供一种应用于SDN网络中转发设备的环路报文拦截方法,下面对该方法的各个步骤进行详细阐述。
步骤S110,接收第一待处理报文,提取所述第一待处理报文的报文头特征信息以及荷载特征信息。
在本申请实施例中,所述转发设备可以为SDN网络中的叶子转发设备,即与用户侧设备连接的转发设备(如图1所示leaf1和leaf2)。该转发设备中可以设置有智能引擎板或其他可以对进入转发设备的待处理报文进行特征提取和分析的组件,转发设备接收到的第一待处理报文会先通过的智能引擎板或相关的其它组件进行分析处理,以提取第一待处理报文的报文头特征信息及荷载特征信息。
步骤S120,根据所述报文头特征信息以及荷载特征信息,获取用于表征所述第一待处理报文的报文标识。
数据报文的报文头特征信息可以用于表征该报文的发送方主机或接收方主机的特性,荷载特征信息可以用于表征该报文的类型或所携带的有效数据的具体内容,使用报文头特征信息加荷载特征信息基本可以表征一个报文的唯一身份。
因此,在本申请实施例中,可以对第一待处理报文的报文头特征信息和荷载特征信息采用例如哈希(Hash)算法计算方式得到预设长度的Hash值(如8字节的16进制数字)作为该第一待处理报文的报文标识。
步骤S130,统计接收到的具有所述报文标识的第一待处理报文的个数。
在本申请实施例中,转发设备通过步骤S120计算出第一待处理报文的报文标识后,可以在步骤S130中对接收到的具有该报文标识的第一待处理报文的个数进行统计。例如,转发设备可以针对每个报文标识启动计数,在每次接收到第一待处理报文后,获得该第一待处理报文的报文标识,并将该报文标识对相应的计数值加1。
步骤S140,当所述个数达到预设阈值时,将所述第一待处理报文作为环路报文,向所述控制器发送通知消息,所述通知消息包括所述环路报文的报文头特征信息以及所述报文标识。
通常情况下,具有同一报文标识的第一待处理报文仅会被转发设备接收到一次,即使考虑某类可能少量重复发送的报文或考虑出现Hash冲突的情况,转发设备接收到多个具有同样报文标识的第一待处理报文的概率也很低。
但是,在用户侧网络出现环路的情况下,SDN网络的转发设备可能会多次收到来自用户侧网络广播的同一条环路报文。因此,在本申请实施例中,当转发设备接收到的具有相同报文标识的第一待处理报文的个数达到第一预设阈值时,则判定该第一待处理报文为环路报文。
在确定出环路报文后,转发设备可以将携带有该环路报文的报文头特征信息及报文标识的通知消息发送给控制器。
步骤S150,获取所述控制器发送的拦截特征,所述拦截特征由所述控制器根据接收到的具有不同报文标识的多个环路报文的共有特性生成。
在本申请实施例中,控制器可能会接收到转发设备针对具有不同的报文标识的环路报文发送的多个通知消息,控制器可以根据这些通知消息分析出与这些通知消息所对应的环路报文的共有特性,然后将共有特性作为所述拦截特征发送给转发设备。
步骤S160,对收到的具有该拦截特征的第二待处理报文进行拦截。
在本申请实施例中,转发设备在接收到拦截特征后,丢弃从接收到的具有拦截特征的第二待处理报文。
相较于一些方案中,为了阻止用户侧产生的环路报文上送到上层SDN网络,而直接关闭与用户侧网络连接的叶子转发设备的下行接口,从而阻绝与用户侧网路进行报文交互的方式,本申请实施例提供的环路报文拦截方法可以较为精准地仅针对用户侧产生的环路报文进行拦截,从而在不影响用户侧其他正常报文的转发的情况下避免用户侧的环路报文对上层SDN网络的影响。可选地,在步骤S110中,转发设备可以将第一待处理报文包括的数据链路层标识、网络层标识以及传输层标识的报文头作为报文头特征信息(即L2到L4的报文头),其中,数据链路层标识包含了源媒体访问控制(Media Access Control Address,简称:MAC)地址、目的MAC地址及虚拟局域网(Virtual Local Area Network,简称:VLAN)标识等信息,网络层标识包含的源网际协议(Internet Protocol,简称:IP)地址、目的IP地址等信息,传输层标识包含了传输控制协议(Transmission Control Protocol,简称:TCP)/用户数据报协议(User Datagram Protocol,简称:UDP)端口号等信息。
并且,转发设备可以将第一待处理报文包括的预设字节长度的应用荷载(Application Load)数据作为荷载特征信息。由于不同第一待处理报文的应用荷载数据通常是不同的,本申请实施例中,可以将报文头之后连续的预设字节长度(如64字节)的应用荷载数据作为第一待处理报文的荷载特征信息。
可选地,在一个例子中,在步骤S140中转发设备可以仅根据环路报文的报文头特征信息及报文标识生成专门的通知消息发送给控制器。
在另一个例子中,在步骤S140中转发设备也可以复制一份该环路报文,并将复制的环路报文作为通知消息向控制器发送,从而使控制器可以从接收到的环路报文中提取报文头特征信息或报文标识。
可选地,在步骤S140中,转发设备发送的通知消息还可以包括转发设备接收所述环路报文的入端口标识。
在步骤S150中,转发设备会接收到的控制器发送的拦截特征以及相应的入端口标识。
然后,步骤S160中,转发设备根据所述拦截特征以及所述入端口标识,丢弃从所述入端口接收到的具有所述拦截特征的第二待处理报文。可选地,由于在不出现环路报文的情况下,通常具有同一报文标识的第一待处理报文仅会被转发设备接收到一次,为了避免报文标识的统计记录过多地占用转发设备的存储空间,在本申请实施例中,转发设备可以针对每个报文标识的统计记录启动老化计时,若老化计时达到预设时长未再次接收到的具有该报文标识的第一待处理报文,则删除该统计记录。
第二实施例
请参照图3,本申请提供一种应用于SDN网络中控制器的环路报文拦截方法,下面对该方法的各个步骤进行详细阐述。
步骤S210,接收所述转发设备发送的携带有报文头特征信息及报文标识的通知消息,所述报文标识由所述转发设备根据接收到的环路报文的报文头特征信息及荷载特征信息计算获得。
转发设备确定环路报文及获取环路报文的报文头特征信息及荷载特征信息的方式请参见第一实施例步骤S110到步骤S140,再次不再赘述。
步骤S220,获取拦截特征,所述拦截特征包括具有不同报文标识的多个环路报文的共有特性。
在本申请实施例中,控制器可能会接收到转发设备针对具有不同的报文标识的环路报文发送的多个通知消息,控制器可以根据这些通知消息分析出与这些通知消息所对应的环路报文的共有特性。
步骤S230,向所述转发设备发送所述拦截特征,使所述转发设备对接收到的具有所述拦截特征的待处理报文进行拦截。
在本申请实施例中,控制器将拦截特征发送给转发设备后,转发设备可以丢弃接收到的具有拦截特征的待处理报文,从而达到拦截环路报文的目的。
可选地,在步骤S210中,控制器接收到的通知消息还可以包括所述转发设备接收所述环路报文的入端口标识。
在步骤S220中,控制器可以根据多个所述环路报文的入端口标识、报文头特征信息或荷载特征信息的共有特性,确定拦截特征。
在步骤S230中,控制器可以将拦截特征及入端口标识一起发送给转发设备,使转发设备根据所述拦截特征以及所述入端口标识,丢弃从所述入端口接收到的具有所述拦截特征的第二待处理报文。
可选地,在本申请实施例中,报文头特征信息可以VLAN标识及源地址,在步骤S220中,控制器可以对具有不同报文标识的多个环路报文的VLAN标识及源地址进行统计。
若统计结果为来自同一入端口的具有不同报文标识的环路报文的数量达到第二预设阈值,且具有相同源地址的环路报文的数量达到第三预设阈值,则可以认为地址为该源地址的主机发出的报文都产生了环路,控制器将该源地址对应的地址信息作为拦截特征。
若统计结果为来自同一入端口的具有不同报文标识的环路报文的数量达到第二预设阈值、具有相同VLAN标识的环路报文的数量达到第四预设阈值,且不同源地址对应的环路报文的数量均等(即,多个环路报文的源地址没有集中在同一个地址上),则可以认为该VLAN的待处理报文产生了环路,控制器将该VLAN对应的标识信息作为拦截特征。
例如,具有相同VLAN标识的环路报文的数量为16个,假设这16个环路报文具有4个不同的源地址,若每个源地址上大致分布有4个报文,则可以认为不同源地址对应的环路报文的数量均等;假设这16个环路报文具有2个不同的源地址,若每个源地址上大致分布有8个环路报文,则可以认为不同源地址对应的环路报文的数量均等。需要说明的是,本申请实施例中所述的“均等”应当理解为大致均等而非绝对均等。
若统计结果为来自同一入端口的具有不同报文标识的环路报文的数量达到第二预设阈值、具有相同源地址的环路报文的数量未达到第三预设阈值,且具有相同VLAN标识的环路报文的数量未达到第四预设阈值,则可以认为该入端口的所有报文产生了环路,控制器将该入端口对应的入端口标识作为拦截特征。
若来自同一入端口的具有不同报文标识的环路报文的数量未达到第二预设阈值,且具有相同VLAN标识的环路报文的数量未达到第四预设阈值,则可以认为仅是某些特定主机的特定业务报文产生了环路,控制器将各环路报文的报文标识作为拦截特征。
需要说明的是,在本申请实施例中,也可以根据环路报文的其他的报文头特征信息的共性来生成拦截特征,例如根据多个环路报文所属的VPN、网络、子网等。
第三实施例
请参照图4,图4为本申请实施例提供的一种转发设备100的硬件结构示意图。该转发设备100可包括处理器130及机器可读存储介质120。处理器130与机器可读存储介质120可经由系统总线通信。并且,机器可读存储介质120存储有机器可执行指令,通过读取并执行机器可读存储介质120中与环路报文拦截逻辑对应的机器可执行指令,处理器130可执行上文描述的环路报文拦截方法中由转发设备执行的步骤。
请参照图5,本申请实施例还提供一种应用于上述转发设备100的环路报文拦截装置110,环路报文拦截装置110包括至少一个可以软件形式存储于机器可读存储介质中的功能模块。从功能上划分,环路报文拦截装置110可以包括特征提取模块111、标识获取模块112、报文统计模块113、通知模块114以及拦截模块115。
特征提取模块111用于接收第一待处理报文,提取所述第一待处理报文的报文头特征信息以及荷载特征信息。
标识获取模块112用于根据所述报文头特征信息以及荷载特征信息,获取用于表征所述第一待处理报文的报文标识。
报文统计模块113用于统计接收到的具有所述报文标识的第一待处理报文的个数。
通知模块114用于当所述个数达到预设阈值时,将所述第一待处理报文作为环路报文,向所述控制器发送通知消息,所述通知消息包括所述环路报文的报文头特征信息以及所述报文标识。
拦截模块115用于获取所述控制器发送的拦截特征,所述拦截特征由所述控制器根据接收到的具有不同报文标识的多个环路报文的共有特性生成;对收到的具有该拦截特征的第二待处理报文进行拦截。
可选地,在本申请实施例中,特征提取模块111具体用于将所述第一待处理报文包括的数据链路层标识、网络层标识以及传输层标识的报文头作为所述报文头特征信息;将所述第一待处理报文包括的预设字节长度的应用荷载数据作为所述荷载特征信息。
可选地,在本申请实施例中,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识。
拦截模块115具体用于根据所述拦截特征以及所述入端口标识,丢弃从所述入端口接收到的具有所述拦截特征的第二待处理报文。
可选地,在本申请实施例中,通知模块114具体用于复制所述环路报文,并将复制的环路报文作为所述通知消息向所述控制器发送,使所述控制器从复制的所述环路报文中获取该环路报文的报文头特征信息。
可选地,在本申请实施例中,环路报文拦截装置110还可以包括老化计时模块116。
老化计时模块116用于针对每个所述报文标识的统计记录启动老化计时,若老化计时达到预设时长未再次接收到的具有该报文标识的待处理报文,则删除该统计记录。
第四实施例
请参照图6,图6为本申请实施例提供的一种控制器200的硬件结构示意图。该控制器200可包括处理器230及机器可读存储介质220。处理器230与机器可读存储介质220可经由系统总线通信。并且,机器可读存储介质220存储有机器可执行指令,通过读取并执行机器可读存储介质220中与环路报文拦截逻辑对应的机器可执行指令,处理器230可执行上文描述的环路报文拦截方法中由控制器执行的步骤。
请参照图7,本申请实施例还提供一种应用于上述控制器200的环路报文拦截装置210,环路报文拦截装置210包括至少一个可以软件形式存储于机器可读存储介质中的功能模块。从功能上划分,环路报文拦截装置210可以包括通知接收模块211、特征获取模块212及特征发送模块213。
通知接收模块211用于接收所述转发设备发送的携带有报文头特征信息及报文标识的通知消息,所述报文标识由所述转发设备根据接收到的环路报文的报文头特征信息及荷载特征信息计算获得。
特征获取模块212用于获取拦截特征,所述拦截特征包括具有不同报文标识的多个环路报文的共有特性。
特征发送模块213用于向所述转发设备发送所述拦截特征,使所述转发设备对接收到的具有所述拦截特征的待处理报文进行拦截。
可选地,在本申请实施例中,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识。
特征获取模块212具体用于根据多个所述环路报文的入端口标识、报文头特征信息或荷载特征信息的共有特性,确定拦截特征。
可选地,在本申请实施例中,所述报文头特征信息包括VLAN标识及源地址。特征获取模块212具体用于对具有不同报文标识的多个环路报文的所述VLAN标识及所述源地址进行统计。
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值,且具有相同源地址的环路报文的数量达到第二预设阈值,则特征获取模块212将该源地址对应的地址信息作为拦截特征。
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同VLAN标识的环路报文的数量达到第三预设阈值,且不同源地址对应的环路报文的数量均等,则特征获取模块212将该VLAN标识对应的标识信息作为拦截特征。
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同源地址的环路报文的数量未达到所述第二预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则特征获取模块212将该入端口对应的入端口标识作为拦截特征。
若来自同一入端口的具有不同报文标识的环路报文的数量未达到第一预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则特征获取模块212将各环路报文的报文标识作为拦截特征。
本文中提到的机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
综上所述,本申请提供的环路报文拦截方法、转发设备及控制器,由转发设备提取接收到的待处理报文的报文标识进行统计,识别出环路报文,并将环路报文的报文头特征信息及报文标识通知控制器,再由控制器根据具有不同报文标识的环路报文的共有特征生成拦截特征,以控制转发设备根据拦截特征对接收到的报文进行拦截。如此,可以精准地对用户侧产生的环路报文进行拦截而不影响用户侧其他正常报文的转发。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种环路报文拦截方法,其特征在于,应用于软件定义网络SDN架构中与控制器通信的转发设备,所述方法包括:
接收第一待处理报文,提取所述第一待处理报文的报文头特征信息以及荷载特征信息;
根据所述报文头特征信息以及荷载特征信息,获取用于表征所述第一待处理报文的报文标识;
统计接收到的具有所述报文标识的第一待处理报文的个数;
当所述个数达到预设阈值时,将所述第一待处理报文作为环路报文,向所述控制器发送通知消息,所述通知消息包括所述环路报文的报文头特征信息以及所述报文标识;
获取所述控制器发送的拦截特征,所述拦截特征由所述控制器根据接收到的具有不同报文标识的多个环路报文的共有特性生成;
对收到的具有该拦截特征的第二待处理报文进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述提取所述第一待处理报文的报文头特征信息以及荷载特征信息的步骤,包括:
将所述第一待处理报文包括的数据链路层标识、网络层标识以及传输层标识的报文头作为所述报文头特征信息;
将所述第一待处理报文包括的预设字节长度的应用荷载数据作为所述荷载特征信息。
3.根据权利要求1所述的方法,其特征在于,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识;
所述获取所述控制器发送的拦截特征,包括:
获取所述控制器发送的拦截特征及入端口标识;
所述对收到的具有该拦截特征的第二待处理报文进行拦截,包括:
根据所述拦截特征以及所述入端口标识,丢弃从所述入端口接收到的具有所述拦截特征的第二待处理报文。
4.根据权利要求1所述的方法,其特征在于,所述向所述控制器发送通知消息,包括:
复制所述环路报文,并将复制的环路报文作为所述通知消息向所述控制器发送,使所述控制器从复制的所述环路报文中获取该环路报文的报文头特征信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对每个所述报文标识的统计记录启动老化计时,若老化计时达到预设时长未再次接收到的具有该报文标识的待处理报文,则删除该统计记录。
6.一种环路报文拦截方法,其特征在于,应用于软件定义网络SDN架构中与转发设备通信的控制器,所述方法包括:
接收所述转发设备发送的携带有报文头特征信息及报文标识的通知消息,所述报文标识由所述转发设备根据接收到的环路报文的报文头特征信息及荷载特征信息计算获得;
获取拦截特征,所述拦截特征包括具有不同报文标识的多个环路报文的共有特性;
向所述转发设备发送所述拦截特征,使所述转发设备对接收到的具有所述拦截特征的待处理报文进行拦截。
7.根据权利要求6所述的方法,其特征在于,所述通知消息还包括所述转发设备接收所述环路报文的入端口标识;
所述获取拦截特征,包括:
根据多个所述环路报文的入端口标识、报文头特征信息或荷载特征信息的共有特性,确定拦截特征。
8.根据权利要求7所述的方法,其特征在于,所述报文头特征信息包括VLAN标识及源地址;
所述获取拦截特征,包括:
对具有不同报文标识的多个环路报文的所述VLAN标识及所述源地址进行统计;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值,且具有相同源地址的环路报文的数量达到第二预设阈值,则将该源地址对应的地址信息作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同VLAN标识的环路报文的数量达到第三预设阈值,且不同源地址对应的环路报文的数量均等,则将该VLAN标识对应的标识信息作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量达到第一预设阈值、具有相同源地址的环路报文的数量未达到所述第二预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则将该入端口对应的入端口标识作为拦截特征;
若来自同一入端口的具有不同报文标识的环路报文的数量未达到第一预设阈值,且具有相同VLAN标识的环路报文的数量未达到所述第三预设阈值,则将各环路报文的报文标识作为拦截特征。
9.一种转发设备,其特征在于,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令再被所述处理器执行时,所述转发设备实现权利要求1-5任意一项所述的方法。
10.一种控制器,其特征在于,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令再被所述处理器执行时,所述控制器实现权利要求6-8任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910683372.1A CN110445703B (zh) | 2019-07-26 | 2019-07-26 | 环路报文拦截方法、转发设备及控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910683372.1A CN110445703B (zh) | 2019-07-26 | 2019-07-26 | 环路报文拦截方法、转发设备及控制器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110445703A CN110445703A (zh) | 2019-11-12 |
CN110445703B true CN110445703B (zh) | 2021-05-07 |
Family
ID=68431727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910683372.1A Active CN110445703B (zh) | 2019-07-26 | 2019-07-26 | 环路报文拦截方法、转发设备及控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110445703B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113014442B (zh) * | 2019-12-19 | 2023-04-18 | 西安诺瓦星云科技股份有限公司 | 网口环路检测方法和网口环路检测系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878129A (zh) * | 2005-06-08 | 2006-12-13 | 中兴通讯股份有限公司 | 一种弹性分组环中各站点间2层业务的隔离方法 |
CN102984027A (zh) * | 2012-11-27 | 2013-03-20 | 华为技术有限公司 | 一种检测报文成环的方法和设备 |
CN104852826A (zh) * | 2015-04-13 | 2015-08-19 | 北京华为数字技术有限公司 | 一种环路检测方法及装置 |
WO2015181651A1 (en) * | 2014-05-27 | 2015-12-03 | Telefonaktiebolaget L M Ericsson (Publ) | Alternate method to give operators flexibility to choose lfas |
CN105634923A (zh) * | 2015-12-29 | 2016-06-01 | 北京邮电大学 | 基于sdn控制器的以太网广播优化处理方法 |
CN105721297A (zh) * | 2016-01-28 | 2016-06-29 | 北京国电通网络技术有限公司 | 基于sdn网络中路由环路的检测方法及系统 |
CN106453676A (zh) * | 2016-09-22 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种arp报文处理方法及装置 |
CN109347705A (zh) * | 2018-12-07 | 2019-02-15 | 北京东土科技股份有限公司 | 一种环路检测方法及装置 |
-
2019
- 2019-07-26 CN CN201910683372.1A patent/CN110445703B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1878129A (zh) * | 2005-06-08 | 2006-12-13 | 中兴通讯股份有限公司 | 一种弹性分组环中各站点间2层业务的隔离方法 |
CN102984027A (zh) * | 2012-11-27 | 2013-03-20 | 华为技术有限公司 | 一种检测报文成环的方法和设备 |
WO2015181651A1 (en) * | 2014-05-27 | 2015-12-03 | Telefonaktiebolaget L M Ericsson (Publ) | Alternate method to give operators flexibility to choose lfas |
CN104852826A (zh) * | 2015-04-13 | 2015-08-19 | 北京华为数字技术有限公司 | 一种环路检测方法及装置 |
CN105634923A (zh) * | 2015-12-29 | 2016-06-01 | 北京邮电大学 | 基于sdn控制器的以太网广播优化处理方法 |
CN105721297A (zh) * | 2016-01-28 | 2016-06-29 | 北京国电通网络技术有限公司 | 基于sdn网络中路由环路的检测方法及系统 |
CN106453676A (zh) * | 2016-09-22 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种arp报文处理方法及装置 |
CN109347705A (zh) * | 2018-12-07 | 2019-02-15 | 北京东土科技股份有限公司 | 一种环路检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110445703A (zh) | 2019-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735379B2 (en) | Hybrid hardware-software distributed threat analysis | |
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
Strayer et al. | Botnet detection based on network behavior | |
US20100226383A1 (en) | Inline Intrusion Detection | |
CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
US20060098585A1 (en) | Detecting malicious attacks using network behavior and header analysis | |
US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
JP2019502315A (ja) | 分散型サービス拒否攻撃を防御する方法、装置、クライアントおよびデバイス | |
CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
US20220174072A1 (en) | Data Processing Method and Device | |
CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
CN110213204B (zh) | 攻击防护方法及装置、设备及可读存储介质 | |
CN114830113A (zh) | 保护有状态连接管理器中资源分配的系统和方法 | |
CN110445703B (zh) | 环路报文拦截方法、转发设备及控制器 | |
CN110661763B (zh) | 一种DDoS反射攻击防御方法、装置及其设备 | |
CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
Alzahrani et al. | Mitigating brute-force attacks on Bloom-filter based forwarding | |
US8948188B1 (en) | Method and apparatus for managing traffic through a network switch | |
US10742602B2 (en) | Intrusion prevention | |
CN106911590B (zh) | 报文处理方法、装置及分布式设备 | |
EP3073701B1 (en) | Network protection entity and method for protecting a communication network against fraud messages | |
CN110365667B (zh) | 攻击报文防护方法、装置、电子设备 | |
CN113992421A (zh) | 一种报文处理方法、装置及电子设备 | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |