Sdn网络arp报文处理方法、系统、控制器及交换机的制作方法
【技术领域】
[0001] 本发明设及网络技术领域,特别是设及SDN网络ARP报文处理方法、系统、控制器 及交换机。
【背景技术】
[0002] 按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一台主机,即使收到 的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,运样,就造成了 "ARP绑定"的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机 相连),他会分别给运两台主机发送一个ARP应答包,让两台主机都"误"认为对方的MC地 址是第=方即黑客所在的主机,运样,双方看似"直接"的通信连接,实际上都是通过黑客所 在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中 的一些信息,成功地做好转发工作即可。在运种嗅探方式中,黑客所在主机是不需要设置网 卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
[0003] 传统的ARP绑定技术,通过关闭交换机的自动更新功能来实现。关闭交换机的自 动更新功能W后,当交换机收到ARP报文时,如果是新的ARP报文(交换机的ARP表中不存 在该IP的表项),则正常学习,运样新的用户可W正常登录网络;如果该ARP报文对应的IP 地址在交换机的ARP表中已经存在,则判断ARP报文中的MC地址、收到ARP报文的端口和 交换机ARP表中记录的是否相同,不相同则认为是欺骗报文予W丢弃,相同则正常接收,相 应的ARP表项老化定时器被重置。通过该机制可W防止合法的ARP表项被欺骗报文篡改, 从而可W避免交换机遭受ARP绑定和攻击。
[0004] 但是,传统的基于SDN的上述ARP绑定策略由于是本地的,需要在每台交换机上关 闭交换机的自动更新功能。如果欺骗ARP报文被交换机先学习到,反而正常的ARP表项无 法正常学习到,存在很大的弊端。如果整个网络非常庞大和复杂,整个配置工作将会非常繁 琐和容易出错。
【发明内容】
[0005] 鉴于W上所述现有技术的缺点,本发明的目的在于提供SDN网络ARP报文处理方 法、系统、控制器及交换机,用于解决现有技术中需在每台交换机本地配置ARP绑定策略导 致工作繁琐、效率低下的问题。
[0006] 为实现上述目的及其他相关目的,本发明提供一种SDN网络的ARP报文处理方法, 包括:SDN控制器获取网络中交换机的MC信息和端口信息与预定IP信息加W绑定后放入 ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报 文的两种工作模式;SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP 报文至少提取源MC地址、源IP地址和源端口信息;判断所述ARP绑定关系表的工作模式; 若为无需认证报文模式,则学习所述ARP报文的源MC地址、源IP地址和源端口W更新所 述ARP绑定关系表;若为需认证报文模式,将所述ARP报文的源MC地址、源IP地址和源端 口与ARP绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MAC地 址、源IP地址和源端口W更新所述ARP绑定关系表;反么则丢弃该ARP报文。
[0007] 于本发明的一实施例中,所述的SDN网络的ARP报文处理方法,还包括:在所述 ARP报文的源MC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下, 结合从所述ARP报文提取的目的MC地址,生成对应处理所述ARP报文的流表下发至ARP 报文转发路径上的各交换机。
[0008] 于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报 文中获取MC信息和端口信息的,所述Experimenter报文扩展有MC信息和端口信息的存 储空间。
[0009] 为实现上述目的及其他相关目的,本发明提供一种SDN网络的ARP报文处理系统, 应用于SDN控制器,所述系统包括:绑定表管理模块,用于获取网络中交换机的MC信息和 端口信息与预定IP信息加W绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑 定关系表配置有需认证报文和无需认证报文的两种工作模式;信息提取模块,用于接收来 自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提取源MC地址、源IP地址 和源端口信息;所述绑定表管理模块,用于判断所述ARP绑定关系表的工作模式;若为无需 认证报文模式,则学习所述ARP报文的源MC地址、源IP地址和源端口W更新所述ARP绑 定关系表;若为需认证报文模式,将所述ARP报文的源MC地址、源IP地址和源端口与ARP 绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MC地址、源IP 地址和源端口W更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
[0010] 于本发明的一实施例中,所述的SDN网络的ARP报文处理系统,还包括:流表生成 模块,用于在所述ARP报文的源MC地址、源IP地址和源端口与ARP绑定关系表中的匹配 项相匹配的情况下,结合从所述ARP报文提取的目的MC地址,生成对应处理所述ARP报文 的流表下发至ARP报文转发路径上的各交换机。
[0011] 于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报 文中获取MC信息和端口信息的,所述Experimenter报文扩展有MC信息和端口信息的存 储空间。
[0012] 为实现上述目的及其他相关目的,本发明提供一种SDN控制器,包括:通信单元, 用于获取网络中交换机的MC信息和端口信息与预定IP信息;并用于接收来自交换机的未 成功匹配流表的ARP报文;处理单元,用于将所述获取的交换机的MAC信息和端口信息与预 定IP信息加W绑定后放入ARP绑定关系表中作为匹配项,其中,所述ARP绑定关系表配置 有需认证报文和无需认证报文的两种工作模式;还用于从所述ARP报文提取至少源MC地 址、源IP地址和源端口信息;还用于判断所述ARP绑定关系表的工作模式;若为无需认证 报文模式,则学习所述ARP报文的源MC地址、源IP地址和源端口W更新所述ARP绑定关 系表;若为需认证报文模式,将所述ARP报文的源MC地址、源IP地址和源端口与ARP绑定 关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MC地址、源IP地址 和源端口W更新所述ARP绑定关系表;反之,则通知SDN控制器丢弃该ARP报文。
[001引于本发明的一实施例中,所述处理单元,还用于在所述ARP报文的源MC地址、源IP地址和源端口与ARP绑定关系表中的匹配项相匹配的情况下,结合从所述ARP报文提取 的目的MC地址,生成对应处理所述ARP报文的流表并通过所述通信单元下发至ARP报文 转发路径上的各交换机。
[0014] 于本发明的一实施例中,所述SDN控制器是从来自交换机的私有Experimenter报 文中获取MC信息和端口信息的,所述Experimenter报文扩展有MC信息和端口信息的存 储空间。
[0015] 为实现上述目的及其他相关目的,本发明提供一种SDN交换机,包括:通信单元, 用于外发包含其MC信息和端口信息的报文发送给SDN控制器,W供与预定IP信息绑定后 放入ARP绑定关系表中作为匹配项;还用于将所接收的未成功匹配流表的ARP报文发送给 SDN控制器;并用于接收经过所述ARP绑定关系表匹配认证的对应所述ARP报文的流表;处 理单元,用于根据所述通信单元接收的流表处理所述ARP报文。
[0016] 如上所述,本发明的SDN网络ARP报文处理方法、系统、控制器及交换机,SDN控制 器获取网络中交换机的MC信息和端口信息与预定IP信息加W绑定后放入ARP绑定关系 表中作为匹配项,其中,所述ARP绑定关系表配置有需认证报文和无需认证报文的两种工 作模式;SDN控制器接收来自交换机的未成功匹配流表的ARP报文,从所述ARP报文至少提 取源MC地址、源IP地址和源端口信息;判断所述ARP绑定关系表的工作模式;若为无需 认证报文模式,则学习所述ARP报文的源MC地址、源IP地址和源端口W更新所述ARP绑 定关系表;若为需认证报文模式,将所述ARP报文的源MC地址、源IP地址和源端口与ARP 绑定关系表中的匹配项进行匹配,在匹配的情况下,学习所述ARP报文的源MC地址、源IP 地址和源端口W更新所述ARP绑定关系表;反之,则丢弃该ARP报文。
[0017] 本发明的技术方案是基于SDN架构的,整个ARP绑定策略集中在控制器上。只有 正确的ARP报文才会生成流表,被SDN交换机转发,整个配置简单和有效。
【附图说明】
[001引图1显示为本发明于一实施例中的SDN网络的ARP报文处理方法的流程示意图。
[0019] 图2显示为本发明于一实施例中的SDN交换机发送给SDN控制器的Experimenter 报文的结构示意图
[0020] 图3显示为本发明于一实施例中的SDN网络的ARP报文处理系统的结构示意图。
[0021] 图4显示为本发明于一实施例中的SDN网络中SDN交换