CN113132364A - Arp拟制表项的生成方法、电子设备 - Google Patents

Arp拟制表项的生成方法、电子设备 Download PDF

Info

Publication number
CN113132364A
CN113132364A CN202110370833.7A CN202110370833A CN113132364A CN 113132364 A CN113132364 A CN 113132364A CN 202110370833 A CN202110370833 A CN 202110370833A CN 113132364 A CN113132364 A CN 113132364A
Authority
CN
China
Prior art keywords
address
arp
mac address
message
vtep
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110370833.7A
Other languages
English (en)
Inventor
张余
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202110370833.7A priority Critical patent/CN113132364A/zh
Publication of CN113132364A publication Critical patent/CN113132364A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种地址解析协议ARP拟制表项的生成方法,应用于虚拟可扩展局域网隧道端点VTEP,所述生成方法包括:获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;根据所述第一IP地址和所述第一MAC地址发送诊断信令;在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。本公开还提供一种电子设备。

Description

ARP拟制表项的生成方法、电子设备
技术领域
本公开实施例涉及互联网技术领域,特别涉及一种地址解析协议拟制表项的生成方法、一种电子设备。
背景技术
虚拟可扩展局域网(VXLAN,Virtual eXtensible LAN)是基于IP网络的二层虚拟专用网络(VPN,Virtual Private Network)技术。VXLAN可以基于已有的服务提供商或企业网际互联协议(IP,Internet Protocol)网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。主要应用于数据中心网络。
不同VXLAN通过VXLAN标识(VNI,VXLAN Network Identifier)进行区分。具有相同VNI的VXLAN中,不同虚拟机(VM,Virtual Machine)之间通信时,需要先获取对方的媒体访问控制(MAC,Media Access Control)地址。如果源VM的地址解析协议(ARP,AddressResolution Protocol)缓存中没有对方VM的MAC地址,源VM发出ARP请求;上联的虚拟可扩展局域网隧道端点(VTEP,VXLAN Tunnel EndPoint)接收到ARP请求后,把该ARP请求发送给所有其他归属于具有该VNI的VXLAN的VTEP;其他VTEP接收到ARP请求后,在下联的具有该VNI的VXLAN范围内进行广播;被请求的源VM接收到ARP请求后,发出ARP响应;源VM获取到对方VM的MAC地址,然后源VM才能够与源VM进行通信。
但是,组网中较多的ARP请求报文会占用较大的网络带宽,影响网络的性能。在一些旨在减少组网中的ARP请求报文的相关技术中,安全性有待提高。
发明内容
本公开实施例提供一种地址解析协议拟制表项的生成方法、一种电子设备。
第一方面,本公开实施例提供一种地址解析协议ARP拟制表项的生成方法,应用于虚拟可扩展局域网隧道端点VTEP,所述生成方法包括:
获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
根据所述第一IP地址和所述第一MAC地址发送诊断信令;
在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
在一些实施例中,根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤之前,所述生成方法还包括:
判断是否存在所述第一MAC地址对应的ARP拟制表项;
当不存在所述第一MAC地址对应的ARP拟制表项时,执行根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤。
在一些实施例中,判断是否存在所述第一MAC地址对应的ARP拟制表项的步骤之前,所述生成方法还包括:
判断本地的MAC地址表中是否包含所述第一MAC地址;
当所述MAC地址表中不包含所述第一MAC地址时,执行判断是否存在所述第一MAC地址对应的ARP拟制表项的步骤。
在一些实施例中,在接收到所述诊断响应信号的情况下,所述生成方法还包括:
将所述第一IP地址、所述第一MAC地址、所述源虚拟机所属的虚拟可扩展局域网VXLAN的标识VNI和所述ARP报文的入接口的对应关系记录在所述MAC地址表中。
在一些实施例中,根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤之后,所述生成方法还包括:
在未接收到所述诊断响应信号的情况下,舍弃所述ARP报文。
在一些实施例中,所述ARP报文为ARP请求报文或ARP响应报文。
在一些实施例中,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
第二方面,本公开实施例提供一种电子设备,用作虚拟可扩展局域网隧道端点VTEP,所述电子设备包括:
接收模块,用于获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
诊断模块,用于根据所述第一IP地址和所述第一MAC地址发送诊断信令;
表项生成模块,用于在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
在一些实施例中,所述ARP报文为ARP请求报文或ARP响应报文。
在一些实施例中,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
在本公开实施例中,VTEP在接收到ARP请求报文或ARP响应报文时,通过发送诊断信令对ARP请求报文或ARP响应报文的发送方身份进行验证,从而能够防范恶意攻击者通过ARP请求报文或ARP响应报文实施ARP欺骗。
附图说明
附图用来提供对本公开实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,并不构成对本公开的限制。通过参考附图对详细示例实施例进行描述,以上和其它特征和优点对本领域技术人员将变得更加显而易见,在附图中:
图1是本公开实施例中一种生成方法的流程图;
图2是本公开实施例中另一种生成方法中部分步骤的流程图;
图3是本公开实施例中又一种生成方法中部分步骤的流程图;
图4是本公开实施例中一种电子设备的组成框图;
图5是本公开实施例中一种组网架构的示意图。
具体实施方式
为使本领域的技术人员更好地理解本公开的技术方案,下面结合附图对本公开提供的地址解析协议拟制表项的生成方法、电子设备进行详细描述。
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
在不冲突的情况下,本公开各实施例及实施例中的各特征可相互组合。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
经本公开的发明人研究发现,为了减少组网中的ARP请求报文,在VTEP中根据ARP报文生成ARP抑制表项。例如,当VTEP接收到VM1的ARP请求报文时,可以生成ARP抑制表项,该ARP抑制表项可以包括VM1的MAC地址、VM1的IP地址和VM1所属的VXLAN的VNI等信息。当VM2需要获取VM1的MAC地址时,VM2可以发送ARP请求报文。当VTEP接收到VM2的ARP请求报文时,VTEP可以根据ARP抑制表项,向VM2发送携带有VM1的MAC地址的ARP响应报文,而不需要再向其他设备发送ARP请求报文,进而减少组网中的ARP请求报文。但是,当恶意攻击者通过VM1发送携带有恶意网络地址的ARP请求报文时,VTEP会生成包含恶意网络地址的ARP抑制表项,当VTEP接收到VM2的ARP请求报文时,会根据该ARP抑制表项向VM2发送ARP响应报文。VM2则会获得恶意网络地址,并根据恶意网络地址发送数据报文,导致网络业务出错。也就是说,上述通过生成ARP抑制表项来减少组网中的ARP请求报文的方案无法防止ARP欺骗。
有鉴于此,第一方面,本公开实施例提供一种地址解析协议ARP拟制表项的生成方法,应用于虚拟可扩展局域网隧道端点VTEP,参照图1,所述生成方法包括:
在步骤S110中,获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
在步骤S120中,根据所述第一IP地址和所述第一MAC地址发送诊断信令;
在步骤S130中,在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
在本公开实施例中,在步骤S110中,第一IP地址作为ARP报文中的源IP地址,第一MAC地址作为ARP报文中的源MAC地址。其中,ARP报文中的源IP地址表示发送ARP报文的发送方的IP地址,ARP报文中的源MAC地址表示发送ARP报文的发送方的MAC地址。
在本公开实施例中,诊断信令用于检测ARP报文的发送方的身份,以确定ARP报文时上联到VTEP的VM发送的,还是恶意攻击者伪造发送的。其中,VTEP能够根据VM的IP地址和MAC地址向VM发送诊断信令;上联到VTEP的VM能够响应于诊断信号,向VTEP发送诊断响应信号。
在本公开实施例中,若VTEP通过步骤S110获取ARP报文是上联到VTEP的源VM发送的,即第一IP地址是源VM的IP地址且第一MAC地址是源VM的MAC地址,则VTEP通过步骤S120发送的诊断信令能够到达源VM,源VM也能够响应于诊断信令向VTEP发送诊断响应信号,从而使得VTEP能够接收到该诊断响应信号。若VTEP通过步骤S110获取的ARP报文是恶意攻击者发送的,即第一IP地址和/或第一MAC地址是恶意攻击者伪造的恶意地址,则VTEP通过步骤S120发送的诊断信令并不能到达上联到VTEP的VM,也就不会接受到诊断响应信号。也就是说,在本公开实施例中,VTEP在接收到诊断响应信号的情况下,即可确定第一IP地址是上联到VTEP的VM的IP地址,第一MAC地址是上联到VTEP的VM的IP地址,而不是恶意攻击者;而在未接受到诊断响应信号的情况下,则判定ARP报文是恶意攻击者伪造发送的。
在本公开实施例中,VTEP接收到的ARP报文可以是ARP请求报文,也可以是ARP响应报文。本公开实施例对此不做特殊限定。
需要说明的是,在本公开实施例中,ARP拟制表项包括VM的MAC地址、IP地址、VM所属VXLAN的VNI等信息。本公开实施例对此不做特殊限定。
还需要说明的是,在本公开实施例中,只有确定是上联到本端VTEP的VM发送的ARP报文才会被传输到对端VTEP。对端VTEP接收到本端VTEP传输的ARP报文后,直接根据ARP报文携带的第一IP地址和第一MAC地址生成第一MAC地址对应的ARP拟制表项,从而能够防止ARP欺骗。
在本公开实施例提供的ARP拟制表项的生成方法中,VTEP在接收到ARP请求报文或ARP响应报文时,通过发送诊断信令对ARP请求报文或ARP响应报文的发送方身份进行验证,从而能够防范恶意攻击者通过ARP请求报文或ARP响应报文实施ARP欺骗。
在本公开实施例中,VTEP接收ARP报文并获取第一IP地址和第一MAC地址,若本地存在第一MAC地址对应的ARP拟制表项,则表示ARP报文是上联到VTEP的VM发送的,VTEP根据头端复制列表对ARP报文进行复制并封装,并将封装后的报文在IP网络中进行传输,直至传输到对端VTEP。其中,对端VTEP是指IP网络中本端VTEP以外的VTEP。更加具体地,在ARP报文携带VNI信息的情况下,对端VTEP是指归属于具有相同VNI的VXLAN的本端VTEP以外的VTEP。若本地不存在第一MAC地址对应的ARP拟制表项,VTEP通过步骤S120对ARP报文发送方的身份进行验证,VTEP学习第一IP地址、第一MAC地址和VNI等信息,生成第一MAC地址对应的ARP拟制表项。
相应地,在一些实施例中,参照图2,步骤S120之前,所述生成方法还包括:
在步骤S140中,判断是否存在所述第一MAC地址对应的ARP拟制表项;
当不存在所述第一MAC地址对应的ARP拟制表项时,执行步骤S120。
作为一种可选的实施方式,当本地MAC地址表中不包含第一MAC地址且本地不存在第一MAC地址对应的ARP拟制表项时,执行步骤S120对ARP报文的发送方的身份进行验证。在接收到诊断响应信号的情况下,VTEP学习第一IP地址、第一MAC地址、VNI、ARP报文的入接口(二层子接口对应的物理接口)的对应关系,记录在本地MAC地址表中。
相应地,在一些实施例中,参照图3,步骤S140之前,所述生成方法还包括:
在步骤S150中,判断本地的MAC地址表中是否包含所述第一MAC地址;
当所述MAC地址表中不包含所述第一MAC地址时,执行步骤S140。
相应地,在一些实施例中,参照图3,在接收到所述诊断响应信号的情况下,所述生成方法还包括:
在步骤S160中,将所述第一IP地址、所述第一MAC地址、所述源虚拟机所属的虚拟可扩展局域网VXLAN的标识VNI和ARP报文的入接口的对应关系记录在所述MAC地址表中。
在本公开实施例中,VTEP根据二层子接口上的配置配置判断ARP报文需要进入VXLAN隧道,确定了ARP报文所属广播域(BD,Bridge Domain)也就确定了ARP报文所属VXLAN的VNI。
需要说明的是,在本公开实施例中,当所述MAC地址表中包含所述第一MAC地址且本地不存在第一MAC地址对应的ARP拟制表项时,可以直接生成第一MAC地址对应的ARP拟制表项;也可以发送诊断信令,并在接收到诊断响应信号的情况下,生成第一MAC地址对应的ARP拟制表项。本公开实施例对此不做特殊限定。
在一些实施例中,参照图3,在步骤S120之后,所述生成方法还包括:
在步骤S170中,在未接收到所述诊断响应信号的情况下,舍弃所述ARP报文。
在一些实施例中,在接收到所述诊断响应信号的情况下,所述生成方法还包括:
将所述ARP报文传输到对端VTEP。
在一些实施例中,所述ARP报文为ARP请求报文或ARP响应报文。
在一些实施例中,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
PING是工作在TCP/IP网络体系结构中应用层的一个服务命令,主要是向特定的目的主机发送因特网报文控制协议(CMP,Internet Control Message Protocol)Echo请求报文,测试目的主机是否可达及了解其有关状态。能够用于确定本地主机是否能与目的主机成功交换数据包,再根据返回的信息,推断TCP/IP参数是否设置正确、运行是否正常、网络是否通畅等。
在本公开实施例中,若VTEP获取的ARP报文是上联到VTEP的源VM发送的,即第一IP地址是源VM的IP地址且第一MAC地址是源VM的MAC地址,VTEP发送PING请求报文,源VM能够响应于PING请求报文向VTEP返回PING响应报文。若VTEP获取的ARP报文是恶意攻击者发送的,即第一IP地址和/或第一MAC地址是恶意攻击者伪造的恶意地址,则VTEP发送PING请求报文后,不会接受到PING响应报文。
在一些实施例中,在步骤S130之后,所述生成方法还包括:
将所述ARP报文传输到对端VTEP
在本公开实施例中,只有确定是上联到本端VTEP的VM发送的ARP报文才会被传输到对端VTEP。对端VTEP接收到本端VTEP传输的ARP报文后,直接根据ARP报文携带的第一IP地址和第一MAC地址生成第一MAC地址对应的ARP拟制表项。当上联到对端VTEP
第二方面,本公开实施例提供一种电子设备,用作虚拟可扩展局域网隧道端点VTEP,参照图4,所述电子设备包括:
接收模块101,用于获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
诊断模块102,用于根据所述第一IP地址和所述第一MAC地址发送诊断信令;
表项生成模块103,用于在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
需要说明的是,在本公开实施例中,电子设备可以是独立作为VTEP的物理设备;电子设备也可以是服务器,例如部署VM的服务器,服务器同时用作VTEP设备。本公开实施例对此不做特殊限定。
在一些实施例中,所述ARP报文为ARP请求报文或ARP响应报文。
在一些实施例中,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
本公开实施例提供的电子设备用于执行本公开实施例第一方面所述的ARP拟制表项的生成方法。上文已经对所述ARP拟制表项的生成方法进行了详细的描述,此处不再赘述。
为了使本领域技术人员能够更清楚地理解本公开实施例提供的技术方案,下面通过具体的实施例,对本公开实施例提供的技术方案进行详细说明:
实施例一
VTEP接收到ARP请求报文,ARP请求报文携带第一IP地址和第一MAC地址;
VTEP本地MAC地址表中不包含第一MAC地址,且本地不存在第一MAC地址对应的ARP拟制表项,VTEP以第一IP地址为目的IP地址、以第一MAC地址为目的MAC地址发送诊断信令;
VTEP接收到诊断响应信号的情况下,生成第一MAC地址对应的ARP拟制表项,ARP拟制表项包括第一MAC地址、第一IP地址、源VM所属VXLAN的VNI,其中,源VM为发送ARP请求报文的虚拟机;
VTEP学习第一MAC地址、第一IP地址、源VM所属VXLAN的VNI、ARP报文的入接口(即二层子接口对应的物理接口)的对应关系,记录到本地MAC地址表中。
实施例二
VTEP接收到ARP请求报文,ARP请求报文携带第一IP地址和第一MAC地址;
VTEP本地MAC地址表中不包含第一MAC地址,且本地不存在第一MAC地址对应的ARP拟制表项,VTEP以第一IP地址为目的IP地址、以第一MAC地址为目的MAC地址发送诊断信令;
VTEP未接收到诊断响应信号的情况下,丢弃ARP请求报文。
实施例三
VTEP接收到ARP响应报文,ARP响应报文携带第一IP地址和第一MAC地址;
VTEP本地MAC地址表中不包含第一MAC地址,且本地不存在第一MAC地址对应的ARP拟制表项,VTEP以第一IP地址为目的IP地址、以第一MAC地址为目的MAC地址发送诊断信令;
VTEP接收到诊断响应信号的情况下,生成第一MAC地址对应的ARP拟制表项,ARP拟制表项包括第一MAC地址、第一IP地址、源VM所属VXLAN的VNI,其中,源VM为发送ARP响应报文的虚拟机;
VTEP学习第一MAC地址、第一IP地址、源VM所属VXLAN的VNI、ARP报文的入接口(即二层子接口对应的物理接口)的对应关系,记录到本地MAC地址表中。
实施例四
VTEP接收到ARP响应报文,ARP响应报文携带第一IP地址和第一MAC地址;
VTEP本地MAC地址表中不包含第一MAC地址,且本地不存在第一MAC地址对应的ARP拟制表项,VTEP以第一IP地址为目的IP地址、以第一MAC地址为目的MAC地址发送诊断信令;
VTEP未接收到诊断响应信号的情况下,丢弃ARP响应报文。
实施例五
图5是本公开实施例中一种组网架构的示意图。
如图5所示,组网中包括VTEP1、VTEP2、VM1、VM2、VM3,VM1上联到VTEP1,VM2和VM3上联到VTEP2。
VM1要与VM2通信,VM1在ARP缓存中没有获取到VM2的MAC地址(第二MAC地址);
VM1发送第一ARP请求报文,第一ARP请求报文中携带VM1的IP地址(第一IP地址)和VM1的MAC地址(第一MAC地址);
VTEP1接收第一ARP请求报文;
VTEP1本地MAC地址表中不包含第一MAC地址,且本地不存在第一MAC地址对应的ARP拟制表项,也不存在第二MAC地址对应的ARP拟制表项,VTEP1以第一IP地址为目的IP地址、以第一MAC地址为目的MAC地址发送第一PING请求报文;
VM1接收到第一PING请求报文,返回第一PING响应报文;
VTEP1接收到第一PING响应报文的情况下,生成第一MAC地址对应的ARP拟制表项;
VTEP1学习第一MAC地址、第一IP地址、VM1所属VXLAN的VNI、第一ARP请求报文的入接口(即二层子接口对应的物理接口)的对应关系,记录到本地MAC地址表中;
VTEP1将第一ARP请求报文传输到VTEP2;
VTEP2获取第一ARP请求报文,生成第一MAC地址对应的ARP拟制表项;
VTEP2学习第一MAC地址、第一IP地址、VM1所属VXLAN的VNI、第一ARP请求报文的入接口(即二层子接口对应的物理接口)的对应关系,记录到本地MAC地址表中;
VTEP2本地不存在第二MAC地址对应的ARP拟制表项,在二层域内广播第一ARP请求报文;
VM2接收到第一ARP请求报文,返回第一ARP响应报文,第一ARP响应报文携带VM2的IP地址(第二IP地址)和第二MAC地址;
VTEP2接收第一ARP响应报文;
VTEP2本地不存在第二MAC地址对应的ARP拟制表项,
VTEP2以第二IP地址为目的IP地址、以第二MAC地址为目的MAC地址发送第二PING请求报文;
VM2接收到第二PING请求报文,返回第二PING响应报文;
VTEP2接收到第二PING响应报文的情况下,生成第二MAC地址对应的ARP拟制表项;
VTEP2学习第二MAC地址、第二IP地址、VM2所属VXLAN的VNI、第二ARP请求报文的入接口(即二层子接口对应的物理接口)的对应关系,记录到本地MAC地址表中;
VTEP2将第一ARP响应报文传输到VTEP1;
VM3要与VM1通信,VM3在ARP缓存中没有获取到VM1的MAC地址(第一MAC地址);
VM3发送第三ARP请求报文;
VTEP2接收第三ARP请求报文;
VTEP2根据第一MAC地址对应的ARP拟制表项向VM3返回携带第一MAC地址的第三ARP响应报文。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本公开的范围的情况下,可进行各种形式和细节上的改变。

Claims (10)

1.一种地址解析协议ARP拟制表项的生成方法,应用于虚拟可扩展局域网隧道端点VTEP,其特征在于,所述生成方法包括:
获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
根据所述第一IP地址和所述第一MAC地址发送诊断信令;
在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
2.根据权利要求1所述的生成方法,其特征在于,根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤之前,所述生成方法还包括:
判断是否存在所述第一MAC地址对应的ARP拟制表项;
当不存在所述第一MAC地址对应的ARP拟制表项时,执行根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤。
3.根据权利要求2所述的生成方法,其特征在于,判断是否存在所述第一MAC地址对应的ARP拟制表项的步骤之前,所述生成方法还包括:
判断本地的MAC地址表中是否包含所述第一MAC地址;
当所述MAC地址表中不包含所述第一MAC地址时,执行判断是否存在所述第一MAC地址对应的ARP拟制表项的步骤。
4.根据权利要求3所述的生成方法,其特征在于,在接收到所述诊断响应信号的情况下,所述生成方法还包括:
将所述第一IP地址、所述第一MAC地址、所述源虚拟机所属的虚拟可扩展局域网VXLAN的标识VNI和所述ARP报文的入接口的对应关系记录在所述MAC地址表中。
5.根据权利要求1至4中任意一项所述的生成方法,其特征在于,根据所述第一IP地址和所述第一MAC地址发送诊断信令的步骤之后,所述生成方法还包括:
在未接收到所述诊断响应信号的情况下,舍弃所述ARP报文。
6.根据权利要求1至4中任意一项所述的生成方法,其特征在于,所述ARP报文为ARP请求报文或ARP响应报文。
7.根据权利要求1至4中任意一项所述的生成方法,其特征在于,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
8.一种电子设备,用作虚拟可扩展局域网隧道端点VTEP,其特征在于,所述电子设备包括:
接收模块,用于获取ARP报文,所述ARP报文携带第一网际协议IP地址和第一媒体访问控制MAC地址;
诊断模块,用于根据所述第一IP地址和所述第一MAC地址发送诊断信令;
表项生成模块,用于在接收到携带所述第一IP地址和所述第一MAC地址的诊断响应信号的情况下,生成源虚拟机的ARP拟制表项;所述源虚拟机的IP地址为所述第一IP地址,所述源虚拟机的MAC地址为所述第一MAC地址。
9.根据权利要求8所述的电子设备,其特征在于,所述ARP报文为ARP请求报文或ARP响应报文。
10.根据权利要求9所述的电子设备,其特征在于,所述诊断信令为PING请求报文,所述诊断响应信号为PING响应报文。
CN202110370833.7A 2021-04-07 2021-04-07 Arp拟制表项的生成方法、电子设备 Pending CN113132364A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110370833.7A CN113132364A (zh) 2021-04-07 2021-04-07 Arp拟制表项的生成方法、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110370833.7A CN113132364A (zh) 2021-04-07 2021-04-07 Arp拟制表项的生成方法、电子设备

Publications (1)

Publication Number Publication Date
CN113132364A true CN113132364A (zh) 2021-07-16

Family

ID=76775096

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110370833.7A Pending CN113132364A (zh) 2021-04-07 2021-04-07 Arp拟制表项的生成方法、电子设备

Country Status (1)

Country Link
CN (1) CN113132364A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113590268A (zh) * 2021-08-06 2021-11-02 中国联合网络通信集团有限公司 虚拟机迁移方法、arp代理网关及vtep
CN113590369A (zh) * 2021-07-23 2021-11-02 上海淇玥信息技术有限公司 一种用于虚拟机诊断的方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094235A (zh) * 2007-07-04 2007-12-26 中兴通讯股份有限公司 一种防止地址解析协议攻击的方法
CN103905283A (zh) * 2012-12-25 2014-07-02 华为技术有限公司 基于可扩展虚拟局域网的通信方法及装置
US20170063680A1 (en) * 2015-08-24 2017-03-02 Alibaba Group Holding Limited Verifying source addresses associated with a terminal
CN109462609A (zh) * 2018-12-24 2019-03-12 新华三技术有限公司 一种arp抑制表项生成方法和装置
CN111835764A (zh) * 2020-07-13 2020-10-27 中国联合网络通信集团有限公司 一种arp防欺骗方法、隧道端点以及电子设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094235A (zh) * 2007-07-04 2007-12-26 中兴通讯股份有限公司 一种防止地址解析协议攻击的方法
CN103905283A (zh) * 2012-12-25 2014-07-02 华为技术有限公司 基于可扩展虚拟局域网的通信方法及装置
US20170063680A1 (en) * 2015-08-24 2017-03-02 Alibaba Group Holding Limited Verifying source addresses associated with a terminal
CN109462609A (zh) * 2018-12-24 2019-03-12 新华三技术有限公司 一种arp抑制表项生成方法和装置
CN111835764A (zh) * 2020-07-13 2020-10-27 中国联合网络通信集团有限公司 一种arp防欺骗方法、隧道端点以及电子设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113590369A (zh) * 2021-07-23 2021-11-02 上海淇玥信息技术有限公司 一种用于虚拟机诊断的方法、装置及电子设备
CN113590369B (zh) * 2021-07-23 2024-05-28 上海淇玥信息技术有限公司 一种用于虚拟机诊断的方法、装置及电子设备
CN113590268A (zh) * 2021-08-06 2021-11-02 中国联合网络通信集团有限公司 虚拟机迁移方法、arp代理网关及vtep
CN113590268B (zh) * 2021-08-06 2023-11-24 中国联合网络通信集团有限公司 虚拟机迁移方法、arp代理网关及vtep

Similar Documents

Publication Publication Date Title
US9419995B2 (en) Malware detection system and method
US9083716B1 (en) System and method for detecting address resolution protocol (ARP) spoofing
US20040003292A1 (en) User identifying technique on networks having different address systems
US6754716B1 (en) Restricting communication between network devices on a common network
US8438270B2 (en) System and method for correlating network identities and addresses
EP2214383B1 (en) Automatically releasing resources reserved for subscriber devices within a broadband access network
WO2019214560A1 (zh) 一种dhcp报文处理方法及装置
US20040177136A1 (en) Method and system for managing a device within a private network using a management device external to the private network
CN109391635B (zh) 基于双向网闸的数据传输方法、装置、设备及介质
US20120144483A1 (en) Method and apparatus for preventing network attack
US20090132696A1 (en) Facilitating DHCP diagnostics in telecommunication networks
CN113132364A (zh) Arp拟制表项的生成方法、电子设备
CA2774281C (en) User access method, system, access server, and access device
CN111327668B (zh) 网络管理方法、装置、设备和存储介质
CN113328972B (zh) 设备监测方法、装置、设备及存储介质
GB2409602A (en) Communicating between a management station and networks having duplicate IP addresses
KR20080071208A (ko) 소프트웨어 실행 관리 장치, 그 방법 및 프로그램
CN111835764B (zh) 一种arp防欺骗方法、隧道端点以及电子设备
US11936614B2 (en) Method and apparatus for sending reply packet, computing device, and storage medium
US7995566B2 (en) Method for ensuring VLAN integrity for voice over internet protocol telephones
CN115208606A (zh) 一种网络安全防范的实现方法、系统及存储介质
CN104038494A (zh) 一种记录攻击来源的方法及交换机
US7536479B2 (en) Local and remote network based management of an operating system-independent processor
CN116208600A (zh) 文件传输协议请求处理方法、装置、设备及存储介质
US20220337546A1 (en) Method and system for realizing network dynamics, terminal device and storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210716