方式】
[0034] 针对现有技术中存在的问题,本发明实施例提供一种报文处理的方法。以图1为 本发明实施例的应用场景示意图,该方法具体可以应用在包括VM (虚拟机)、接入设备、SDN 控制器和网关设备的网络(如SDN网络)中。
[0035] 在上述应用场景下,如图2所示,该报文处理的方法具体包括以下步骤:
[0036] 步骤201,SDN控制器接收来自VM的注册报文,该注册报文中携带了 VM的身份标 识信息。其中,VM的身份标识信息具体包括但不限于以下之一或任意组合:VM的IP地址、 VM的MAC(Media Access Control,介质访问控制)地址、VM支持协议的端口标识。例如, 当 VM 支持 FTP (File Transfer Protocol,文件传输协议),TFTP (Trivial File Transfer Protocol,简单文件传输协议),Portal (门户)协议时,则VM支持协议的端口标识包括FTP 的端口标识、TFTP的端口标识、Portal协议的端口标识。
[0037] 具体的,在VM的上线过程中,当VM启动正常运行后,会向SDN控制器进行注册,即 VM向SDN控制器发送注册报文,由SDN控制器接收来自VM的注册报文,且该注册报文中携 带了该VM的身份标识信息。
[0038] 步骤202, SDN控制器生成VM对应的安全表项,该安全表项中记录了该VM的身份 标识信息。以VM的身份标识信息包括VM的IP地址、VM的MAC地址、VM支持协议的端口标 识为例,则VMl的安全表项如表1所示。
[0039] 表 1
[0040]
【主权项】
1. 一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN 控制器的网络中,其特征在于,所述方法包括W下步骤: 所述网关设备接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带了 所述VM的身份标识信息;所述网关设备生成所述VM对应的安全表项,所述安全表项中记录 了所述VM的身份标识信息; 所述网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,贝U 所述网关设备从所述报文中获得所述VM的身份标识信息; 所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表项中 有所述VM的身份标识信息对应的记录,则所述网关设备将所述报文发送给所述SDN控制 器;否则,所述网关设备丢弃所述报文。
2. 如权利要求1所述的方法,其特征在于,所述VM的身份标识信息具体包括W下之一 或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的 端口标识。
3. 如权利要求2所述的方法,其特征在于,所述网关设备通过所述VM的身份标识信息 查询所述安全表项的过程,具体包括: 在所述网关设备未使能深度检测功能时,所述网关设备获得所述报文的目的IP地址 和目的MAC地址,并通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录 的VM的IP地址和MAC地址; 在所述网关设备使能深度检测功能时,所述网关设备获得所述报文的目的IP地址、目 的MAC地址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所 述安全表项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
4. 一种报文处理的方法,该方法应用于包括虚拟机VM、网关设备和软件定义网络SDN 控制器的网络中,其特征在于,所述方法包括W下步骤: 所述SDN控制器接收来自所述VM的注册报文,所述注册报文中携带了所述VM的身份 标识信息;所述SDN控制器生成所述VM对应的安全表项,所述安全表项中记录了所述VM的 身份标识信息; 所述SDN控制器向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述 VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利 用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送 给SDN控制器的报文。
5. 如权利要求4所述的方法,其特征在于,所述VM的身份标识信息具体包括W下之一 或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协议的 端口标识。
6. -种网关设备,应用于包括虚拟机VM、所述网关设备和软件定义网络SDN控制器的 网络中,其特征在于,所述网关设备具体包括: 接收模块,用于接收来自所述SDN控制器的状态通知报文,所述状态通知报文中携带 了所述VM的身份标识信息; 生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表 项中记录了所述VM的身份标识信息; 获得模块,用于在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,贝U 从所述报文中获得所述VM的身份标识信息; 处理模块,用于通过所述VM的身份标识信息查询所述安全表项; 如果所述安全表项中有所述VM的身份标识信息对应的记录,则将所述报文发送给所 述SDN控制器;否则,丢弃所述报文。
7. 如权利要求6所述的网关设备,其特征在于,所述VM的身份标识信息具体包括W下 之一或者任意组合;所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持协 议的端口标识。
8. 如权利要求7所述的网关设备,其特征在于, 所述处理模块,具体用于在通过所述VM的身份标识信息查询所述安全表项的过程中, 在所述网关设备未使能深度检测功能时,获得所述报文的目的IP地址和目的MAC地址,并 通过所述报文的目的IP地址和目的MAC地址查询所述安全表项中记录的VM的IP地址和 MAC地址;在所述网关设备使能深度检测功能时,获得所述报文的目的IP地址、目的MAC地 址和目的端口,并通过所述报文的目的IP地址、目的MAC地址和目的端口查询所述安全表 项中记录的VM的IP地址、MAC地址和支持协议的端口标识。
9. 一种软件定义网络SDN控制器,应用于包括虚拟机VM、网关设备和所述SDN控制器 的网络中,其特征在于,所述SDN控制器具体包括: 接收模块,用于接收来自所述VM的注册报文;其中,所述注册报文中携带了所述VM的 身份标识信息; 生成模块,用于利用所述VM的身份标识信息生成所述VM对应的安全表项,所述安全表 项中记录了所述VM的身份标识信息; 发送模块,用于向所述网关设备发送状态通知报文,所述状态通知报文中携带了所述 VM的身份标识信息;由所述网关设备生成记录了所述VM的身份标识信息的安全表项,并利 用所述安全表项将需要上送给SDN控制器的报文发送给所述SDN控制器或者丢弃需要上送 给SDN控制器的报文。
10. 如权利要求9所述的SDN控制器,其特征在于,所述VM的身份标识信息具体包括W 下之一或者任意组合:所述VM的IP地址、所述VM的介质访问控制MAC地址、所述VM支持 协议的端口标识。
【专利摘要】本发明公开了一种报文处理的方法和设备,该方法包括:网关设备接收来自SDN控制器的状态通知报文;网关设备生成VM对应的安全表项,所述安全表项中记录了所述VM的身份标识信息;网关设备在收到需要发送给VM的报文时,如果所述报文需要上送SDN控制器,则所述网关设备从所述报文中获得所述VM的身份标识信息;所述网关设备通过所述VM的身份标识信息查询所述安全表项;如果所述安全表项中有所述VM的身份标识信息对应的记录,则网关设备将所述报文发送给所述SDN控制器;否则,所述网关设备丢弃所述报文。本发明实施例中,可以避免SDN控制器收到大量报文,减少发送给SDN控制器的报文数量,减轻SDN控制器的处理负担和CPU负担。
【IPC分类】H04L29-06, H04L12-823
【公开号】CN104618262
【申请号】CN201510020754
【发明人】徐燕成, 王伟
【申请人】杭州华三通信技术有限公司
【公开日】2015年5月13日
【申请日】2015年1月15日