一种报文处理的方法和设备的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其是涉及一种报文处理的方法和设备。
【背景技术】
[0002] SDN(Software Defined Network,软件定义网络)网络是一种新型网络创新架构, 其核心思想是将网络设备的控制层面与转发层面分离,以实现对流量的灵活控制,并为核 心网络以及应用的创新提供良好的平台。在SDN网络中,包括网络设备(如交换机)和SDN 控制器。SDN控制器用于根据用户的配置或者动态运行的协议生成流表(Flow Table),并 将流表发送到网络设备。网络设备用于接收来自SDN控制器的流表,并根据流表来匹配和 处理报文。
[0003] 如图1所示,为SDN网络的组网示意图。网关设备在收到需要发送给VM(虚拟机) 的报文时,如果网关设备上没有该报文匹配的流表,则网关设备将该报文发送给SDN控制 器,由SDN控制器生成该报文匹配的流表,并将流表下发给网关设备。在后续过程中,网关 设备可以利用该流表转发需要发送给VM的报文,并由接入设备将需要发送给VM的报文最 终发送给VM。
[0004] 在SDN网络中,目前在互联网上存在大量黑客会对VM进行攻击,其攻击的第一步 是寻找到攻击源,即进行IP地址扫描和端口扫描,以探测VM是否存在。因此网关设备会收 到大量的需要发送给VM的报文,且报文的目的IP地址和目的端口不断发生变化。由于报文 的目的IP地址和目的端口不断发生变化,因此针对需要发送给VM的大量报文,网关设备上 均没有报文匹配的流表,即网关设备需要将大量的报文都发送给SDN控制器,从而使得SDN 控制器会收到大量的报文,并生成大量的流表,SDN控制器的负担很重。
【发明内容】
[0005] 本发明实施例提供一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备 和软件定义网络SDN控制器的网络中,所述方法包括以下步骤:
[0006] 所述网关设备接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携 带了所述VM的身份标识信息;所述网关设备生成所述VM对应的安全表项,所述安全表项中 记录了所述VM的身份标识信息;
[0007] 所述网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制 器,则所述网关设备从所述报文中获得所述VM的身份标识信息;
[0008] 所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表 项中有所述VM的身份标识信息对应的记录,则所述网关设备将所述报文发送给所述SDN控 制器;否则,所述网关设备丢弃所述报文。
[0009] 所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM 的介质访问控制MAC地址、所述VM支持协议的端口标识。
[0010] 所述网关设备通过所述VM的身份标识信息查询所述安全表项的过程,具体包括: 在所述网关设备未使能深度检测功能时,所述网关设备获得所述报文的目的IP地址和目 的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM 的IP地址和MAC地址;
[0011] 在所述网关设备使能深度检测功能时,所述网关设备获得所述报文的目的IP地 址、目的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查 询所述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
[0012] 本发明实施例提供一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备 和软件定义网络SDN控制器的网络中,所述方法包括以下步骤:
[0013] 所述SDN控制器接收来自所述VM的注册报文,所述注册报文中携带了所述VM的 身份标识信息;所述SDN控制器生成所述VM对应的安全表项,所述安全表项中记录了所述 VM的身份标识信息;
[0014] 所述SDN控制器向所述网关设备发送状态通知报文,所述状态通知报文中携带了 所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项, 并利用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要 上送给SDN控制器的报文。
[0015] 所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM 的介质访问控制MAC地址、所述VM支持协议的端口标识。
[0016] 本发明实施例提供一种网关设备,应用于包括虚拟机VM、所述网关设备和软件定 义网络SDN控制器的网络中,所述网关设备具体包括:
[0017] 接收模块,用于接收来自所述SDN控制器的状态通知报文,所述状态通知报文中 携带了所述VM的身份标识信息;
[0018] 生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安 全表项中记录了所述VM的身份标识信息;
[0019] 获得模块,用于在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制 器,则从所述报文中获得所述VM的身份标识信息;
[0020] 处理模块,用于通过所述VM的身份标识信息查询所述安全表项;
[0021] 如果所述安全表项中有所述VM的身份标识信息对应的记录,则将所述报文发送 给所述SDN控制器;否则,丢弃所述报文。
[0022] 所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM 的介质访问控制MAC地址、所述VM支持协议的端口标识。
[0023] 所述处理模块,具体用于在通过所述VM的身份标识信息查询所述安全表项的过 程中,在所述网关设备未使能深度检测功能时,获得所述报文的目的IP地址和目的MAC地 址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地 址和MAC地址;在所述网关设备使能深度检测功能时,获得所述报文的目的IP地址、目的 MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安 全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
[0024] 本发明实施例提供一种软件定义网络SDN控制器,应用于包括虚拟机VM、网关设 备和所述SDN控制器的网络中,所述SDN控制器具体包括:
[0025] 接收模块,用于接收来自所述VM的注册报文;其中,所述注册报文中携带了所述 VM的身份标识信息;
[0026] 生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安 全表项中记录了所述VM的身份标识信息;
[0027] 发送模块,用于向所述网关设备发送状态通知报文,所述状态通知报文中携带了 所述VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项, 并利用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要 上送给SDN控制器的报文。
[0028] 所述VM的身份标识信息包括以下之一或者任意组合:所述VM的IP地址、所述VM 的介质访问控制MAC地址、所述VM支持协议的端口标识。
[0029] 基于上述技术方案,本发明实施例中,通过在网关设备上维护安全表项,在大量 黑客对VM进行攻击,并发送大量目的IP地址和目的端口不断发生变化的报文时,网关设 备可以直接丢弃大量的报文,而不是将大量的报文都发送给SDN控制器,从而避免SDN控 制器收到大量的报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和 CPU(Central Processing Unit,中央处理器)负担。
【附图说明】
[0030] 图1是SDN网络的组网示意图;
[0031] 图2是本发明实施例提供的一种报文处理的方法流程示意图;
[0032] 图3是本发明实施例提供的一种网关设备的结构示意图;
[0033] 图4是本发明实施例提供的一种SDN控制器的结构示意图。
【具体实施