应用于SDN中的IP地址分配方法和设备组成比例

本申请提供了应用于SDN中的IP地址分配方法和设备。本发明专利技术中，通过在SDN控制器本地维护一张IP地址申请防攻击表，该IP地址申请防攻击表记录了VM绑定的Inport和OVS，当收到VM发送的携带了该IP地址申请防攻击表中Inport和OVS的IP地址请求报文时，不管该IP地址请求报文的源MAC地址如何，都认为该发送IP地址请求报文的VM已经申请过IP地址了，不再重复为其申请IP地址，会将该收到的IP地址请求报文作为恶意报文丢弃，以防止攻击SDN控制器的VM恶意申请IP地址。

【技术实现步骤摘要】
应用于SDN中的IP地址分配方法和设备
本申请涉及网络通信技术，特别涉及应用于软件定义网络(SDN：SoftwareDefinedNetwork)中的IP地址分配方法和设备。
技术介绍
SDN是一种新型网络架构，其核心思想是分离网络设备的控制层面与转发层面，通过SDN控制器对网络流量进行集中和灵活控制，从而为核心网络及应用的创新提供良好的平台。其中，SDN控制器可以部署在数据中心、公共云平台、私有云平台、校园网等网络环境中，为开发基于用户个性化需求的SDN应用提供了完善的基础控制平台、高可靠的分布式平台和良好的可扩张平台。在SDN中，SDN控制器通过以下两种方式为SDN中的虚拟机(VM：VirtualMachine)分配IP地址：方式1：静态配置；该方式1工作量巨大，不经常使用。方式2：通过SDN中的IP地址分配工具(CAStool)动态为VM申请分配一个IP地址。在SDN中，方式2经常被使用，但是，采用方式2，会存在以下缺陷：如果一个VM上线后通过不断构造虚拟MAC地址的方式持续不断地发送IP地址请求来恶意攻击SDN控制器，这会导致SDN控制器不停地给其分配IP地址，进而导致CAStool中的可用IP地址被分配殆尽，以至于当有新的VM上线时，无法给该新上线的VM分配IP地址，导致该新上线的VM对应的业务中断不可用。
技术实现思路
本申请提供了应用于SDN中的IP地址分配方法和设备，以防止攻击SDN控制器的VM恶意申请IP地址。本申请提供的方案包括：一种应用于软件定义网络SDN中的IP地址分配方法，该方法应用于SDN中的SDN控制器，包括以下步骤：接收虚拟机VM发送的IP地址请求报文；所述IP地址请求报文是由VM连接的虚拟交换机OVS中转至SDN控制器的，当所述OVS收到VM发送的IP地址请求报文时其在该IP地址请求报文中携带本OVS的标识、以及携带本OVS上连接所述VM的端口Inport的标识；检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：所述IP地址请求报文携带的OVS标识和Inport标识；如果不存在，为所述VM申请分配一个IP地址并下发给所述VM，并将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表；如果存在，直接丢弃所述IP地址请求报文。一种应用于软件定义网络SDN中的IP地址分配设备，该设备应用于SDN中的SDN控制器，包括：接收单元，用于接收虚拟机VM发送的IP地址请求报文；所述IP地址请求报文是由VM连接的虚拟交换机OVS中转至本接收单元的，当所述OVS收到VM发送的IP地址请求报文时其在该IP地址请求报文中携带本OVS的标识、以及携带本OVS上连接所述VM的端口Inport的标识；检测单元，用于检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：所述IP地址请求报文携带的OVS标识和Inport标识；处理单元，用于在所述检测单元检测出本地IP地址申请防攻击表中不存在包含以下内容的表项时：所述IP地址请求报文携带的OVS标识和Inport标识，为所述VM申请分配一个IP地址并下发给所述VM，并将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表；以及，用于在所述检测单元检测出本地IP地址申请防攻击表中存在包含以下内容的表项时：所述IP地址请求报文携带的OVS标识和Inport标识，直接丢弃所述IP地址请求报文。由以上技术方案可以看出，本专利技术中，通过在SDN控制器本地动态维护一张IP地址申请防攻击表，该IP地址申请防攻击表记录了与VM绑定的Inport和OVS，当SDN控制器收到IP地址请求报文时，不管该IP地址请求报文的源MAC地址如何，只要本地维护的IP地址申请防攻击表中存在该IP地址请求报文携带的Inport和OVS，就认为发送该IP地址请求报文的VM已经申请过IP地址了，不再重复为其申请IP地址，会将该收到的IP地址请求报文作为恶意报文丢弃，以防止攻击SDN控制器的VM恶意申请IP地址。附图说明图1为本专利技术实施例提供的网络场景结构图；图2为本专利技术实施例提供的方法流程图；图3为本专利技术实施例提供的设备结构图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。在描述本专利技术提供的方案之前，先对本专利技术涉及的SDN应用场景进行描述：在本专利技术涉及的SDN应用场景中，VM是通过其连接的虚拟交换机(OVS：OpenVSwitch)与SDN控制器进行交互的。图1简单示出了该网络应用场景。在图1中，VM通过其配置的虚拟网卡(Inport)连接OVS，当前，一个VM具有唯一一个区分于其他VM的Inport，如此，通过各个VM的Inport能够区分各个VM。在图1中，一个OVS可以通过连接多个VM上的Inport，图1只是实例性地描述了一个OVS即OVS1连接两个VM即VM1、VM2的Inport，这并非限定本专利技术。基于上面描述的SDN应用场景，下面对本专利技术提供的方法进行描述：参见图2，图2为本专利技术实施例提供的方法流程图。该方法应用于SDN中的SDN控制器，例如虚拟应用融合(VCF：VirtualConvergedFramework)控制器等，本专利技术并不限定。如图2所示，该方法可包括以下步骤：步骤201，接收VM发送的IP地址请求报文。在SDN中，VM上线后，如果该VM目前还未有IP地址，其会先向SDN控制器发送一个IP地址请求报文用于请求IP地址，以便与其他VM进行业务交互。在SDN应用中，VM并非直接与SDN控制器进行报文交互，两者之间的报文通过OVS中转。如此，当与该上线的VM连接的OVS接收到该上线的VM发送的IP地址请求报文时，其会在该接收IP地址请求报文中携带本OVS的标识、以及携带本OVS连接该上线的VM的端口(Inport，其实质为一个虚拟端口)的标识。之后，OVS会将该IP地址请求报文中转发送至SDN控制器。如此，最终到达SDN控制器的IP地址请求报文携带了OVS的标识、以及携带了OVS上连接VM的Inport的标识。应用于图1所示的应用场景，假如VM1上线，则如果该VM1目前还未有IP地址，VM1就会先发送一个IP地址请求报文用于请求IP地址，如图1所示，VM1连接OVS1，如此，当OVS1接收到VM1发送的IP地址请求报文，其会在该IP地址请求报文中携带本OVS的标识比如OVS1，以及携带本OVS上连接VM1的Inport的标识比如Inport1，之后，发送该IP地址请求报文至SDN控制器。步骤202，检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：IP地址请求报文携带的OVS标识和Inport标识；如果不存在，则执行步骤203，如果存在，执行步骤204。本专利技术中，IP地址申请防攻击表中的表项并非是预先建立的，其是动态建立的，具体见步骤203。步骤203，为所述VM申请分配一个IP地址并下发给所述VM，并将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表。结束当前流程。本专利技术中，可采用现有SDN中的IP地址分配工具比如CAStool为所述本文档来自技高网...

【技术保护点】
一种应用于软件定义网络SDN中的IP地址分配方法，其特征在于，该方法应用于SDN中的SDN控制器，包括以下步骤：接收虚拟机VM发送的IP地址请求报文；所述IP地址请求报文是由VM连接的虚拟交换机OVS中转至SDN控制器的，当所述OVS收到VM发送的IP地址请求报文时其在该IP地址请求报文中携带本OVS的标识、以及携带本OVS上连接所述VM的端口Inport的标识；检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：所述IP地址请求报文携带的OVS标识和Inport标识；如果不存在，则为所述VM申请分配一个IP地址并下发给所述VM，并将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表；如果存在，丢弃所述IP地址请求报文。

【技术特征摘要】
1.一种应用于软件定义网络SDN中的IP地址分配方法，其特征在于，该方法应用于SDN中的SDN控制器，包括以下步骤：接收虚拟机VM发送的IP地址请求报文；所述IP地址请求报文是由VM连接的虚拟交换机OVS中转至SDN控制器的，当所述OVS收到VM发送的IP地址请求报文时其在该IP地址请求报文中携带本OVS的标识、以及携带本OVS上连接所述VM的Inport的标识，所述VM与所述VM的Inport的标识一一对应；检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：所述IP地址请求报文携带的OVS标识和Inport标识；如果不存在，则为所述VM申请分配一个IP地址并下发给所述VM，并将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表；如果存在，丢弃所述IP地址请求报文。2.根据权利要求1所述的方法，其特征在于，在将所述IP地址请求报文携带的OVS标识和Inport标识作为一条新增的表项记录至本地IP地址申请防攻击表时，进一步包括：启动预先针对该新增的表项设置的对应的老化定时器；实时检测该新增的表项对应的老化定时器，并在该新增的表项对应的老化定时器超时时，从本地IP地址申请防攻击表中删除该新增的表项。3.根据权利要求1所述的方法，其特征在于，该方法进一步包括：接收OVS在感知到其连接的VM下线时发送的下线通知报文，OVS发送的下线通知报文携带了本OVS的标识、以及本OVS上连接下线VM的Inport的标识；检测本地IP地址申请防攻击表中是否存在包含以下内容的表项：所述下线通知报文携带的OVS标识和Inport标识；如果存在，则从本地的IP地址申请防攻击表中删除该存在的表项；如果不存在，则忽略该下线通知报文。4.一种应用于软件定义网络SDN中的IP地址分配设备，其特征在于，该设备应用于SDN中的SDN控制器，包括：接收单元，用于接收虚拟机VM发送的IP地址请求报文；所述IP地址请求报文是由VM连接的虚拟交换机OVS中转至本接收单元的，当所述OVS收到VM发送的IP地址请求报文时其在该IP地址请求报文中携带本OVS的标识、以及携带本OVS上连...

【专利技术属性】
技术研发人员：李建萍，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33