抑制交换机泛洪风暴的方法和装置与流程

本公开涉及一种抑制交换机泛洪风暴的方法和一种抑制交换机泛洪风暴的装置。

背景技术：

交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机，广域的交换机就是一种在通信系统中完成信息交换功能的设备，交换机工作于osi参考模型的第二层，即数据链路层。交换机内部的cpu会在每个端口成功连接时，通过将mac地址和端口对应，形成一张mac表。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的mac(网卡的硬件地址)的nic(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的mac若不存在，对所有的端口泛洪转发，接收端口回应后，交换机会“学习”新的mac地址，并把它添加入内部mac地址表中。另外，交换机往往采用trunk口集联，这样泛洪风暴很容易会扩大到全网。依此转发原理，对于交换机设备来说天然存在一种“不可规避的设计缺陷”，即对一个广播域根本不存在目的mac地址的定向攻击，就会引发严重的泛洪风暴，致使正常业务报文无法正常通信，带宽资源利用率低，网络安全性降低。

技术实现要素：

本公开的一个方面提供了一种云管理平台的操作方法，该云管理平台能够与网络控制器进行数据交互，该方法包括：

通过监测用户的操作，记录至少一个网络属性信息；

响应于网络控制器的请求将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

可选地，进行物理服务器的上线和/或下线操作，和/或进行虚机的创建和/或删除操作时，上述云管理平台需更新其记录的网络属性信息。

可选地，上述云管理平台通过redis管理服务完成网络属性信息的更新。

可选地，上述网络属性信息包括虚机和/或物理服务器的网络属性信息。

可选地，上述网络属性信息包括合法且真实的mac地址信息。

可选地，上述云管理平台响应于网络控制器的定期请求、需求请求或变化请求，将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

可选地，上述云管理平台响应于网络控制器的一次拉取请求，将网络属性信息发送给网络控制器。

本公开的另一个方面提供了一种网络控制器的操作方法，其中，网络控制器能够分别与云管理平台和交换机进行数据通信，云管理平台完整记录有网络属性信息，该方法包括：

从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致；

将所获取的网络属性信息下发到交换机。

可选地，将获取的网络属性信息下发到交换机，是通过根据交换机与网络属性信息的相关性，将网络属性信息分为若干子集，并将该若干子集的网络属性信息下发到相匹配的交换机。

可选地，上述网络属性信息包括虚机和/或物理服务器的网络属性信息。

可选地，上述交换机包括物理交换机和/或虚拟交换机。

可选地，将获取的所述网络属性信息下发到交换机是通过交换机提供的南向接口。

可选地，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致的步骤包括：在网络控制器初次启动时，从云管理平台一次性获取云管理平台记录的网络属性信息。

可选地，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致的步骤包括：以定期请求方式、需求请求方式或变化请求方式向云管理平台发送请求，获取云管理平台记录的网络属性信息。

本公开的另一个方面提供了一种抑制交换机泛洪风暴的方法，该交换机与网络控制器进行数据交互，网络控制器能够与云管理平台进行数据通信，该方法包括：

云管理平台监测用户的操作，记录至少一个网络属性信息；

网络控制器从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致；

网络控制器将获取的网络属性信息下发到交换机；

交换机根据接收的网络属性信息，对需转发的数据报文进行合法性检查，并根据检查结果对需转发的数据报文进行转发或直接丢弃。

本公开的另一个方面提供了一种云管理平台，该云管理平台能够与网络控制器进行数据交互，包括：

第一存储器，完整记录至少一个虚机的网络属性信息；

收发器，与网络控制器进行通信；

处理器；以及

第二存储器，存储有机器可执行指令，该指令在被处理器执行时，使得处理器执行操作，包括：

响应于网络控制器的请求，将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

本公开的另一个方面提供了一种网络控制器，该网络控制器能够分别与云管理平台和交换机进行数据通信，其中云管理平台完整记录有网络属性信息，该网络控制器包括：

第一收发器，与云管理平台进行通信；

第二收发器，与交换机进行通信；

处理器；以及

存储器，存储有机器可执行指令，该指令在被处理器执行时，使得处理器执行操作，包括：

使用第一收发器从云管理平台获取网络属性信息；以及

使用第二收发器将获取的网络属性信息下发到交换机。

本公开的另一个方面提供了一种云管理平台，该云管理平台能够与网络控制器进行数据交互，包括：

记录模块，用于完整记录至少一个虚机的网络属性信息；

通信模块，用于根据网络控制器的请求将网络属性信息发送给网络控制器，该网络属性信息用于下发到交换机。

本公开的另一个方面提供了一种网络控制器，该网络控制器能够分别与云管理平台和交换机进行数据通信，云管理平台完整记录有网络属性信息，该网络控制器包括：

收发模块，用于从云管理平台获取网络属性信息；

下发模块，用于将获取的网络属性信息下发到交换机。

本公开的另一个方面提供了一种抑制交换机泛洪风暴的装置，包括：

云管理平台，用于监测用户的操作，记录至少一个网络属性信息；

网络控制器，用于从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致，以及将获取的网络属性信息下发到交换机，以使交换机对需转发的数据报文进行合法性检查，并根据检查结果对需转发的数据报文进行转发或直接丢弃。

附图说明

为了更完整地理解本发明及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本发明的实施例的云管理平台的操作流程图；

图2示意性示出了根据本发明的实施例的网络控制器的操作流程图；

图3示意性示出了根据本发明的实施例的抑制交换机泛洪风暴的方法流程图；

图4示意性示出了根据本发明的实施例的抑制交换机泛洪风暴的装置框图；

图5示意性示出了根据本发明的实施例的云管理平台的框图；

图6示意性示出了根据本发明的实施例的网络控制器的框图；

图7示意性示出了根据本发明的实施例的抑制交换机泛洪风暴装置的应用场景。

具体实施方式

根据结合附图对本发明示例性实施例的以下详细描述，本发明的其它方面、优势和突出特征对于本领域技术人员将变得显而易见。

在本发明中，术语“包括”和“含有”及其派生词意为包括而非限制；术语“或”是包含性的，意为和/或。

在本说明书中，下述用于描述本发明原理的各种实施例只是说明，不应该以任何方式解释为限制发明的范围。参照附图的下述描述用于帮助全面理解由权利要求及其等同物限定的本发明的示例性实施例。下述描述包括多种具体细节来帮助理解，但这些细节应认为仅仅是示例性的。因此，本领域普通技术人员应认识到，在不背离本发明的范围和精神的情况下，可以对本文中描述的实施例进行多种改变和修改。此外，为了清楚和简洁起见，省略了公知功能和结构的描述。此外，贯穿附图，相同参考数字用于相似功能和操作。

本发明的实施例提供了一种抑制交换机泛洪风暴的方法以及实施该方法的装置。该方法包括云管理平台监测用户的操作，记录至少一个网络属性信息。在云管理平台记录了网络属性信息后，网络控制器从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。在网络控制器获取到网络属性信息后，将获取的网络属性信息下发到交换机。交换机根据接收的网络属性信息，对需转发的数据报文进行合法性检查，并根据检查结果对需转发的数据报文进行转发或直接丢弃。

图1示意性示出了云管理平台的操作方法的流程图。

如图1所示，在步骤s101，云管理平台监控用户的操作，记录至少一个网络属性信息。该网络属性信息为物理服务器和/或虚拟机的网络属性信息，例如可为组成物理服务器的所有网卡的合法且真实的mac地址信息，还可以为组成虚拟机的所有虚拟网卡的合法且真实的mac地址信息。

根据本发明的实施例，云管理平台记录的mac地址信息，根据用户的操作，应进行实时更新，其更新通过redis管理服务来完成。具体地，当用户在一物理服务器上进行虚机的创建操作时，会给虚机主动分配mac地址，云管理平台通过管理接口可直接获取合法且真实存在的虚机mac地址信息。当用户在一物理服务器上进行虚机的删除操作时，被分配给该虚机的mac地址自动消除，从而云管理平台上根据管理接口反馈的信息将存储的该虚机的mac地址删除。当有物理服务器上线时，用户读取该上线的物理服务器的mac地址信息，并通过通信接口将该mac地址信息填写至云管理平台。当有物理服务器下线时，用户读取该下线的物理服务器的mac地址信息，并通过通信接口将该mac地址信息从云管理平台删除。通过上述方法，可保证云管理平台记录的网络属性信息得到实时更新。因此，本发明巧妙利用了云环境管理平台的虚机和物理服务器的网络属性都是已知的，从而可以很有效的获取合法且真实有效的虚机和/或物理服务器的mac地址信息。

在步骤s102，云管理平台响应于与其连接的网络控制器的请求，将记录的网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。从而可以保证在预设时间范围内，网络控制器中的网络属性信息为现有虚机和/或物理服务器中所有网卡的网络属性信息，以保证有效数据报文的正常转发。

根据本发明的实施例，通过“一次拉取，多次推送”的方式，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。其中，一次拉取的具体方法为，在网络控制器初次启动时，向云管理平台发送一次拉取请求，响应于该请求，云管理平台将记录的所述网络属性信息一次性发送给网络控制器。多次推送可以为：云管理平台响应于网络控制器的定期请求，将更新的网络属性信息推送至网络控制器。具体的，网络控制器可根据一设定周期，周期性的向云管理平台发送请求，以期获得该周期内发生变化的网络属性信息，或该周期内云管理平台记录的所有网络属性信息。从而使得网络控制器中的网络属性信息为现有虚机和/或物理服务器中所有网卡的网络属性信息。

根据本发明的实施例，多次推送还可以为：云管理平台响应于网络控制器的需求请求，将更新的网络属性信息推送至网络控制器。具体的，当与网络控制器连接的交换机中，需转发的数据报文增加新种类时，云管理平台记录的网络属性信息可能发生变化，则网络控制器向云管理平台发送需求请求，以期获得当前情形下，云管理平台记录的所有网络属性信息。从而使得网络控制器中的网络属性信息为现有虚机和/或物理服务器中所有网卡的网络属性信息。

根据本发明的实施例，多次推送还可以为：云管理平台响应于网络控制器的变化请求，将更新的网络属性信息推送至网络控制器。其中，具体的，当有物理服务器上线或下线操作，或用户建立新的虚机或删除现有虚机时，网络控制器向云管理平台发送变化请求，以期获得当前情形下，云管理平台记录的所有网络属性信息。从而使得网络控制器中的网络属性信息为现有虚机和/或物理服务器中所有网卡的网络属性信息。

图2示意性示出了网络控制器的操作方法的流程图。

如图2所示，在步骤s201，网络控制器从记录有网络属性信息的云管理平台，获取当前记录的所有的网络属性信息。此获取方式可以为“一次拉取，多次推送”。即在网络控制器初次启动时，从云管理平台一次性获取当前情形下记录的所有的网络属性信息，后续工作过程中，定期发送请求，或根据需要发送请求，或在有变化时发送请求，以获取当前情形下云管理平台中记录的所有的网络属性信息。从而使得网络控制器中的网络属性信息为现有虚机和/或物理服务器中所有网卡的网络属性信息。

在步骤s202，网络控制器将步骤s201获取的网络属性信息下发到交换机。其中，可通过交换机的南向接口实现网络属性信息的下发。其中，南向接口即为南向编程接口，可以为标准协议的南向接口，也可以为厂商私有的接口。

根据本发明的实施例，所述交换机可以包括物理交换机和/或虚拟交换机。所述交换机用于根据接收的网络属性信息，在收到需要转发的数据报文后，进行严格的合法性检查，若数据报文合法，则直接转发，若不合法，则直接丢弃。例如，将需转发的数据报文的mac地址信息与接收的来自于网络控制器的mac地址信息表进行对比，若需转发的数据报文的mac地址信息属于mac地址信息表，则直接进行转发，若需转发的数据报文的mac地址信息不在信息表中，则说明该需转发的数据报文为违法伪造的攻击性报文，则将该攻击性报文直接丢弃。

根据本发明的实施例，所述网络控制器根据与其通信的交换机的相关性，将从云管理平台获取的网络属性信息，分成多个尽可能小的网络属性信息子集，并将该多个网络属性信息子集下发到相对应的交换机。其中，网络属性信息子集的数量与当前情况下，与网络控制器进行通信的交换机的个数相等。从而保证交换机有效的存储相应的网络属性信息子集。

图3示意性示出了抑制交换机泛洪风暴方法的流程图。

如图3所示，在步骤s301，云管理平台通过监控用户的操作，记录至少一个网络属性信息。例如，云管理平台根据用户创建虚拟机、删除虚拟机、开启一台和/或多台物理服务器、关闭一台和/或多台物理服务器的操作，记录当前情形下，所有可能的网卡和虚拟网卡的合法且真实的mac地址信息，从而保证合法的数据报文进行正常转发。

在步骤s302，网络控制器从云管理平台获取网络属性信息。例如，初次开启网络控制器，网络控制器通过一次拉取的方式，从云管理平台中获取当前情形下记录的所有的网络属性信息。

在步骤s303，网络控制器将获取的网络属性信息下发到交换机。例如，该交换机包括物理交换机和虚拟交换机，其数量总共为m个，网络控制器根据现有的交换机的相关性，将获取的mac地址信息分成m个子集，并将分成的m个子集根据相关性，通过m个交换机提供的南向接口分给相匹配的该m个交换机。

根据本发明的实施例，为了保证mac地址信息子集，对于某个虚拟交换机和/或物理交换机来说，根据其相关性，做到最小子集，当交换机接收到mac地址信息子集时，向网络控制器反馈信息接收信号。若网络控制器收到所有的当前m个交换机的反馈信号，则进行后续操作，若网络控制器收到的反馈信号少于m个，则根据收到的反馈信号，判断出当前情形下处于工作状态的交换机，并根据处于工作状态的交换机的相关性，重新对所有的mac地址信息进行分组。通过上述操作，可避免在mac地址下发至交换机的过程中，某个或某些交换机掉线，从而使得部分mac地址信息丢失的情形。

在步骤s304，交换机接收网络属性信息，对需转发的数据报文进行合法性检查，并根据检查结果，对需转发的数据报文进行转发或直接丢弃。例如，m个交换机根据其接收的相匹配的mac地址信息的子集，将收到的需要转发的数据报文携带的mac地址信息，与相匹配的mac地址信息的子集表中的mac地址信息一一比对，若需转发的数据报文携带的mac地址信息存在于mac地址信息的子集表，则该交换机对该收到的需要转发的数据报文进行转发，若mac地址信息的子集表中不存在需转发的数据报文携带的mac地址信息，则该交换机直接将收到的需要转发的数据报文丢弃。其中，交换机为物理交换机和/或虚拟交换机。因此，本发明对虚拟交换机和物理交换机完全透明，只需要网络控制器通过南向接口将合法且真实的mac地址表下发到虚拟交换机和物理交换机，即可有效抑制交换机的泛洪风暴。

由于采用了云管理平台和网络控制器，来完整记录所有合法且真实的网络属性信息，因此本发明的抑制交换机泛洪风暴方法，特备适用于大规模部署的云计算环境，且虚机网络二层规模越大，越需要本发明的方法去抑制泛洪风暴，包装等正常业务报文。

图4示意性示出了抑制交换机泛洪风暴的装置的结构框图。

如图4所示，抑制交换机泛洪风暴的装置100包括云管理平台400、以及网络控制器500。该抑制交换机泛洪风暴的装置100可以执行上面参考图3描述的方法，用于抑制交换机的泛洪风暴。

具体地，云管理平台400检测用户的操作，记录至少一个网络属性信息。网络控制器500从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。网络控制器500还将获取的网络属性信息下发到交换机，以使交换机对需转发的数据报文进行合法性检查，根据检查结果对需转发的数据报文进行转发或直接丢弃。

根据本发明的实施例，云管理平台根据用户创建虚拟机、删除虚拟机、开启一台和/或多台物理服务器、关闭一台和/或多台物理服务器的操作，记录当前情形下，所有可能的网卡和虚拟网卡的合法且真实的mac地址信息，从而保证合法的数据报文进行正常转发。

根据本发明的实施例，所述网络属性信息为mac地址信息。为了保证mac地址信息子集，对于某个虚拟交换机和/或物理交换机来说，根据其相关性，做到最小子集，当交换机接收到mac地址信息子集时，向网络控制器反馈信息接收信号。若网络控制器收到所有的当前m个交换机的反馈信号，则进行后续操作，若网络控制器收到的反馈信号少于m个，则根据收到的反馈信号，判断出当前情形下处于工作状态的交换机，并根据处于工作状态的交换机的相关性，重新对所有的mac地址信息进行分组。通过上述操作，可避免在mac地址下发至交换机的过程中，某个或某些交换机掉线，从而使得部分mac地址信息丢失的情形。

图5示意性示出了云管理平台的结构框图。

如图5所示，云管理平台400包括第一存储器401、收发器402、处理器403和第二存储器404。该云管理平台400可以执行上面参考图1描述的方法，以实现网络属性信息的记录及与网络控制器之间的通信。

具体地，第一存储器401完整记录有至少一个虚机的网络属性信息。收发器402与网络控制器进行通信，接收来自网络控制器的请求。第二存储器404存储有机器可执行指令，该指令在被处理器403执行时，使得处理器403执行操作，该操作包括：响应于网络控制器的请求，将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

根据本发明的实施例，其中的某个或多个虚机可为基于一个物理服务器建立的虚机，则该某个或多个虚机的网络属性信息即为相对应的物理服务器的网络属性信息。其中的某个或多个虚机可为基于一个物理服务器建立的n个虚机中的一个或多个，此时，该某个或多个虚机的网络属性信息即为其自身的网络属性信息。

图6示意性示出了网络控制器的结构框图。

如图6所示，网络控制器500包括第一收发器501、第二收发器502、处理器503、以及存储器504。该网络控制器500可以执行上面参考图2描述的方法，以实现与云管理平台和交换机的交互。

具体地，第一收发器501与云管理平台进行通信，发送请求至云管理平台，并接收云管理平台发送的网络属性信息。第二收发器502与交换机进行通信，下发网络属性信息至交换机，并接收交换机反馈的接收信号。存储器504存储有机器可执行指令，该指令在被处理器503执行时，使得处理器503执行操作，该操作包括：使用第一收发器501从云管理平台获取网络属性信息，及使用第二收发器502将获取的网络属性信息下发到交换机。

图7示意性示出了抑制交换机泛洪风暴装置的应用场景。

如图7所示，该抑制交换机泛洪风暴装置用于针对云环境虚拟网络和传统环境网络，进行泛洪风暴的抑制。其中的交换机包括两个虚拟交换机和两个物理交换机。

具体地，云管理平台检测用户的操作，记录当前情形下，所有虚拟机和/或物理机的mac地址信息。网络控制器采用“一次拉取，多次推送”方式，从云管理平台获取所有的mac地址信息，并根据两个物理交换机和两个虚拟交换机的相关性，将获取的所有的mac地址信息分成4个mac地址信息子集表，该4个mac地址信息子集表通过4个交换机提供的南向接口，下发到该4个交换机，该4个交换机接收到mac地址信息子集表后，向网络控制器反馈接收信号，以说明收到mac地址子集表。当4个交换机收到需转发的数据报文时，将数据报文中携带的mac地址信息与收到的mac地址信息子集表一一比对以进行严格的合法性检查，若数据报文中携带的mac地址信息是合法且真实的目的mac地址报文，即存在于mac地址子集表中，则进行正常的转发。若mac地址子集表中部存在数据报文中携带的mac地址信息，则说明该需转发的数据报文为非法伪造的攻击性报文，直接进行丢弃。

由于本发明采用云管理平台和网络控制器，来完整记录所有合法且真实的网络属性信息，交换机只需将数据报文携带的mac地址信息与其接收到的mac地址信息子集表中的mac地址一一对比，若合法进行转发，若不合法则说明为攻击性报文，进行直接丢弃操作即可，无需继续下发，因此可有效的抑制交换机的泛洪风暴。

尽管已经参照本发明的特定示例性实施例示出并描述了本发明，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本发明的精神和范围的情况下，可以对本发明进行形式和细节上的多种改变。因此，本发明的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。