一种防止容器网络ARP欺骗的方法与流程
本发明涉及云计算
技术领域:
:,特别是一种防止容器网络arp欺骗的方法。
背景技术:
::随着云计算的发展,很多业务系统逐渐的迁移到云平台上,同时很多业务系统,在云计算网络发展的变化下,对网络的要求也比较多。例如,两台虚拟机、容器等环境上要搭建一个keepalive的心跳环境,就需要一个虚拟网络接口上允许一个mac多个ip的通过,而传统的方式只允许一个mac和一个ip的通过,已经不能满足需求。如何满足虚拟网络的需求,而能够有效防止虚拟网络的arp欺骗呢?技术实现要素:本发明解决的问题提供一种防止容器网络arp欺骗的方法;在不开启防火墙功能的前提下,支持一张虚拟网络接口上多个ip和mac匹配数据包的通过,防止容器网络的arp欺骗,提高容器网络的安全性。本发明解决上述技术问题的技术方案是:所述的方法包括如下步骤:步骤1:创建容器的虚拟网络接口;步骤2:在数据中心获取虚拟网络接口上允许通过的所有ip和mac信息;步骤3:根据虚拟网络接口、ip和mac信息,在虚拟网络接口后端建立基于ebtables的子链以及子链下的过滤规则;步骤4:对满足过滤规则的ip和mac地址,允许其arp网络数据包通过,其他arp数据包则禁止通行。所述的方法允许一个mac对应多个ip;一个mac和一个ip组成一条记录。所述的ebtables子链以及子链的过滤规则,(1)建立ebtables上层链,使所有从该虚拟网络接口出来的arp数据包都经过上层链;(2)针对容器的某个虚拟网络接口建立ebtables子链,使从该接口上的二层网络数据包从上层链跳转到子链中;(3)在子链中根据一个mac和一个ip的记录,添加允许arp协议通过的mac和ip子链规则,支持添加多个规则;(4)在子链最后抛弃没有匹配的数据包。本发明方案的有益效果如下:1、本发明的方法匹配一个容器的一个虚拟网络接口的二层数据包,支持多个mac和ip规则,满足不同业务对网络数据包的复杂需求。2、本发明的方法原理可靠、实现简单,可以很容易集成到第三方云平台中。附图说明下面结合附图对本发明进一步说明:图1为本发明的流程图。具体实施方式如图所示,本发明的基本事实流程如下:(1)创建容器的虚拟网络接口虚拟网络接口的后端为dockerl_aftlink将dockerl_aftlink添加到linuxbridge的gcbr上(2)获取允许虚拟接口上的mac,ip列表信息。从网络组件中心,获取到该虚拟接口后端dockerl_aftlink上允许的mac、ip列表,如:12.16.10.1、fa:16:3e:a3:2b:16和10.10.0.13、fa:16:3e:a3:2b:06(3)调用ebtables命令建立过滤mac、ip队列的规则列表在dockerl_aftlink虚拟网络接口后端上建立上层链dockerl-arpebtables-tnat-ndockerl-arpebtables-tnat-idockerl_aftlink-jdockerl-arp向虚拟接口规则链上依次添加ip和mac规则ebtables-tnat-adockerl-arp-arp-parp--arp-mac-srcfa:16:3e:a3:2b:16--arp-ip-src12.16.10.1-jreturnebtables-tnat-adockerl-arp-arp-parp--arp-mac-srcfa:16:3e:a3:2b:06--arp-ip-src10.10.0.13-jreturn最后添加drop规则到虚拟接口的子链中ebtables-tnat-adockerl-arp-jdrop。技术特征:技术总结本发明涉及云计算
技术领域:
:,特别是一种防止容器网络ARP欺骗的方法。本发明的方法包括:创建容器的虚拟网络接口;在数据中心获取虚拟网络接口后端允许通过的所有IP和MAC信息;根据虚拟网络接口、IP和MAC信息,在虚拟网络接口后端上建立ebtables的子链以及子链下的过滤规则。通过本发明可以支持容器的虚拟网络接口上多个IP和MAC匹配数据包的通过,防止恶意的ARP欺骗,提高容器网络的安全性。技术研发人员:罗义兵;杨松;季统凯受保护的技术使用者:国云科技股份有限公司技术研发日:2017.09.22技术公布日:2018.01.26
技术领域:
:,特别是一种防止容器网络arp欺骗的方法。
背景技术:
::随着云计算的发展,很多业务系统逐渐的迁移到云平台上,同时很多业务系统,在云计算网络发展的变化下,对网络的要求也比较多。例如,两台虚拟机、容器等环境上要搭建一个keepalive的心跳环境,就需要一个虚拟网络接口上允许一个mac多个ip的通过,而传统的方式只允许一个mac和一个ip的通过,已经不能满足需求。如何满足虚拟网络的需求,而能够有效防止虚拟网络的arp欺骗呢?技术实现要素:本发明解决的问题提供一种防止容器网络arp欺骗的方法;在不开启防火墙功能的前提下,支持一张虚拟网络接口上多个ip和mac匹配数据包的通过,防止容器网络的arp欺骗,提高容器网络的安全性。本发明解决上述技术问题的技术方案是:所述的方法包括如下步骤:步骤1:创建容器的虚拟网络接口;步骤2:在数据中心获取虚拟网络接口上允许通过的所有ip和mac信息;步骤3:根据虚拟网络接口、ip和mac信息,在虚拟网络接口后端建立基于ebtables的子链以及子链下的过滤规则;步骤4:对满足过滤规则的ip和mac地址,允许其arp网络数据包通过,其他arp数据包则禁止通行。所述的方法允许一个mac对应多个ip;一个mac和一个ip组成一条记录。所述的ebtables子链以及子链的过滤规则,(1)建立ebtables上层链,使所有从该虚拟网络接口出来的arp数据包都经过上层链;(2)针对容器的某个虚拟网络接口建立ebtables子链,使从该接口上的二层网络数据包从上层链跳转到子链中;(3)在子链中根据一个mac和一个ip的记录,添加允许arp协议通过的mac和ip子链规则,支持添加多个规则;(4)在子链最后抛弃没有匹配的数据包。本发明方案的有益效果如下:1、本发明的方法匹配一个容器的一个虚拟网络接口的二层数据包,支持多个mac和ip规则,满足不同业务对网络数据包的复杂需求。2、本发明的方法原理可靠、实现简单,可以很容易集成到第三方云平台中。附图说明下面结合附图对本发明进一步说明:图1为本发明的流程图。具体实施方式如图所示,本发明的基本事实流程如下:(1)创建容器的虚拟网络接口虚拟网络接口的后端为dockerl_aftlink将dockerl_aftlink添加到linuxbridge的gcbr上(2)获取允许虚拟接口上的mac,ip列表信息。从网络组件中心,获取到该虚拟接口后端dockerl_aftlink上允许的mac、ip列表,如:12.16.10.1、fa:16:3e:a3:2b:16和10.10.0.13、fa:16:3e:a3:2b:06(3)调用ebtables命令建立过滤mac、ip队列的规则列表在dockerl_aftlink虚拟网络接口后端上建立上层链dockerl-arpebtables-tnat-ndockerl-arpebtables-tnat-idockerl_aftlink-jdockerl-arp向虚拟接口规则链上依次添加ip和mac规则ebtables-tnat-adockerl-arp-arp-parp--arp-mac-srcfa:16:3e:a3:2b:16--arp-ip-src12.16.10.1-jreturnebtables-tnat-adockerl-arp-arp-parp--arp-mac-srcfa:16:3e:a3:2b:06--arp-ip-src10.10.0.13-jreturn最后添加drop规则到虚拟接口的子链中ebtables-tnat-adockerl-arp-jdrop。技术特征:技术总结本发明涉及云计算
技术领域:
:,特别是一种防止容器网络ARP欺骗的方法。本发明的方法包括:创建容器的虚拟网络接口;在数据中心获取虚拟网络接口后端允许通过的所有IP和MAC信息;根据虚拟网络接口、IP和MAC信息,在虚拟网络接口后端上建立ebtables的子链以及子链下的过滤规则。通过本发明可以支持容器的虚拟网络接口上多个IP和MAC匹配数据包的通过,防止恶意的ARP欺骗,提高容器网络的安全性。技术研发人员:罗义兵;杨松;季统凯受保护的技术使用者:国云科技股份有限公司技术研发日:2017.09.22技术公布日:2018.01.26
相关技术
网友询问留言
已有1条留言
-
0访客 来自[中国] 2023年02月24日 15:48ll
1