本发明专利技术实施例提供了一种泛洪抑制方法及装置,应用于可扩展虚拟局域网络VXLAN中,所述VXLAN网络包括隧道节点设备VTEP和虚拟机VM,所述的方法包括:VTEP接收VM发送的地址解析协议ARP请求报文并解析;依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文;当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。从而保证了建立的ARP表项的正确性,防止了流量被错误的转发。
【技术实现步骤摘要】
一种泛洪抑制方法及装置
本专利技术涉及通信
,特别是涉及一种泛洪抑制方法和一种泛洪抑制装置。
技术介绍
由于可扩展虚拟局域网络(VirtualeXtensibleLAN,VXLAN)可以按照需要进行虚拟网络部署,而无需对物理网络进行重新配置;还可以支持多租户环境下的大规模网络部署,因此,VXLAN网络被广泛应用。VXLAN网络中的虚拟机(VirtualMachine,VM)向其他VM发送数据报文时,会向与其连接的隧道端点设备(VXLANTunnelEndPoint,VTEP)发送请求目的MAC的地址解析协议(AddressResolutionProtocol,ARP)报文,VTEP在接收到ARP请求报文后,会向VXLAN网络中的其他VTEP或本地站点广播该ARP请求报文;为了避免广播发送的ARP请求报文占用核心网络带宽,现有技术中,VTEP从本地站点或VXLAN隧道接收到ARP请求和ARP应答报文后,根据该报文在本地建立ARP泛洪抑制表项。后续当VTEP收到本站点内VM请求其它VM的MAC地址的ARP请求时,优先根据ARP泛洪抑制表项进行代答。如果没有对应的ARP泛洪抑制表项,则将ARP请求泛洪到核心网。ARP泛洪抑制功能可以大大减少ARP泛洪的次数。但当VM使用某个伪造IP地址作为源IP构造发送ARP报文时,由于VTEP无法区分该伪造的IP地址是不是VM自身的IP地址,因此,VTEP同样也会为该伪造的源IP地址建立相应的ARP泛洪抑制表项,从而造成目的IP为此地址的数据报文被错误地转发到该VM。
技术实现思路
本专利技术实施例所要解决的技术问题是提供一种泛洪抑制方法,以防止VM通过伪造源IP发送ARP使VTEP建立错误的ARP泛洪抑制表项,造成流量被错误的转发。相应的,本专利技术实施例还提供了一种泛洪抑制装置,用以保证上述方法的实现及应用。为了解决上述问题,本专利技术实施例公开了一种泛洪抑制方法,应用于可扩展虚拟局域网络VXLAN中,所述VXLAN网络包括隧道节点设备VTEP和虚拟机VM,所述的方法具体包括:VTEP接收VM发送的地址解析协议ARP请求报文并解析;依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文;当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。本专利技术实施例还公开了一种泛洪抑制装置,应用于可扩展虚拟局域网络VXLAN中的VTEP上,所述的装置具体包括:报文接收模块,用于调用VTEP接收VM发送的地址解析协议ARP请求报文并解析;报文单播模块,用于依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文;第一表项建立模块,用于当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;以及将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。与现有技术相比,本专利技术实施例包括以下优点:本专利技术实施例所述的泛洪抑制方法,应用于VXLAN网络中,所述VXLAN网络包括VTEP和VM,在VTEP接收到VM发送的ARP请求报文后,即向所述VM单播免费ARP报文,当接收到VM针对该单播的ARP报文的应答时,再建立一个与源IP地址对应的表项;从而,使得VTEP可以依据VM针对单播的ARP报文进行应答,建立源IP地址对应的表项;从而保证了VTEP建立ARP泛洪抑制表项的正确性,防止了由于建立错误的ARP泛洪抑制表项而造成的流量被错误的转发。附图说明图1是本专利技术的一种泛洪抑制方法实施例的步骤流程图;图2是是本专利技术的VXLAN网络中VTEP组网示意图;图3是本专利技术的另一种泛洪抑制方法实施例的步骤流程图;图4是本专利技术一种泛洪抑制装置实施例的结构框图;图5是本专利技术另一种泛洪抑制装置实施例的结构框图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术作进一步详细的说明。本专利技术实施例的核心构思之一在于,提出一种泛洪抑制方法和泛洪抑制装置,以防止VM通过伪造源IP发送ARP使VTEP建立错误的ARP泛洪抑制表项,造成流量被错误的转发。其中,所述的泛洪抑制方法应用于VXLAN网络中,所述VXLAN网络包括VTEP和VM,具体的,在VTEP接收到VM发送的ARP请求报文后,即向所述VM单播免费的ARP报文,当接收到VM针对该单播的ARP报文的应答时,再在其一类ARP泛洪抑制表中建立一个与源IP地址对应的表项;从而,使得VTEP可以依据VM针对单播的ARP报文进行应答,在一类ARP泛洪抑制表中建立源IP地址对应的表项;从而保证了VTEP建立ARP泛洪抑制表项的正确性,防止了由于建立错误的ARP泛洪抑制表项而造成的流量被错误的转发。参照图1,示出了本专利技术的一种泛洪抑制方法实施例的步骤流程图,具体可以包括如下步骤:步骤102、VTEP接收VM发送的地址解析协议ARP请求报文并解析。步骤104、依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文。步骤106、当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。步骤108、将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP。本专利技术实施例提出的泛洪抑制方法,是用于VXLAN网络中的VTEP在接收VM发送的ARP请求报文时,建立其一类ARP泛洪抑制表中的泛洪抑制表项的方法,其中,所述的一类ARP泛洪抑制表是以ARP请求报文的源IP地址建立的,其中的每个表项均包括ARP请求报文的源IP地址和源MAC地址。由于在VM向目的IP地址发送流量时,VM需要知道目的IP对应的MAC地址,即目的VM的MAC地址;因此,VM会向VXLAN网络中的各VTEP广播一个ARP请求报文,以获取该目的IP地址对应的目的MAC地址。具体的,所述VM在向目的IP地址发送流量之前,向与该VM连接的VTEP发送一个ARP请求报文,再由该VTEP将所述ARP请求报文泛洪至VXLAN网络中的其他的VTEP上,然后再由其他各VTEP将所述ARP请求报文下发至各自的下挂VM中,以找到所述ARP请求报文中目的IP地址对应的目的VM,从而可以根据VM的应答获取到目的MAC地址。VETP接收到VM发送的ARP请求报文后,对所述ARP请求报文进行解析,得到ARP请求报文数据;所述ARP请求报文数据中包括发送ARP请求报文设备的IP地址和MAC地址,即源IP地址和源MAC地址,以及目的IP地址;VTEP可以根据所述源IP地址和源MAC地址,在其一类ARP泛洪抑制表中建立与源IP地址对应的第一ARP泛洪抑制表项。由于VM可能使用伪造的IP地址发送所述ARP请求报文,使得VTEP上建立的第一ARP泛洪抑制表项是错误的,从而导致了流量的错误转发,因此,在VTEP在本文档来自技高网...
【技术保护点】
一种泛洪抑制方法,其特征在于,应用于可扩展虚拟局域网络VXLAN中,所述VXLAN网络包括隧道节点设备VTEP和虚拟机VM,所述的方法包括:VTEP接收VM发送的地址解析协议ARP请求报文并解析;依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文;当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。
【技术特征摘要】
1.一种泛洪抑制方法,其特征在于,应用于可扩展虚拟局域网络VXLAN中,所述VXLAN网络包括隧道节点设备VTEP和虚拟机VM,所述的方法包括:VTEP接收VM发送的地址解析协议ARP请求报文并解析;依据所述解析后的ARP请求报文,向所述VM单播免费ARP报文;当接收到所述VM针对所述免费ARP报文的应答时,建立第一ARP泛洪抑制表项;将所述ARP请求报文封装为VXLAN封装的ARP请求报文,发送到所述VXLAN网络内的其他VTEP;其中,所述第一ARP泛洪抑制表项包括所述ARP请求报文对应的源IP地址和源MAC地址。2.根据权利要求1所述的方法,其特征在于,在所述建立第一ARP泛洪抑制表项的步骤之后,还包括:建立第二ARP泛洪抑制表项,并将所述第二ARP泛洪抑制表项标记为未激活状态,其中,所述第二ARP泛洪抑制表项与所述ARP请求报文中目的IP地址对应。3.根据权利要求2所述的方法,其特征在于,还包括:当在第一预设时间内再次接收到所述ARP请求报文时,依据所有的ARP泛洪抑制表项,计算目标隧道口;将所述目标隧道口添加至所述第二ARP泛洪抑制表项中,并将所述第二ARP泛洪抑制表项标记为激活状态;通过所述第二ARP泛洪抑制表项中的目标隧道口转发所述ARP请求报文。4.根据权利要求3所述的方法,其特征在于,所述依据所有的泛洪抑制表,计算目标隧道口的步骤,包括:依据所有的ARP泛洪抑制表项,计算各远端VTEP下挂所有的VM的最小网段;将包含所述目的IP地址的最小网段对应的远端VTEP确定为目标VTEP;将本地VTEP中与目标VTEP对应的隧道口确定为目标隧道口;其中,所述本地VTEP为接收VM发送的所述ARP请求报文的VTEP,所述远端VTEP为所述VXLAN网络中除本地VTEP外的所有VTEP。5.根据权利要求3所述的方法,其特征在于,在泛洪所述ARP请求报文的步骤之后,还包括:当在第一预设时间内未再次接收到所述ARP请求报文时,删除未激活状态的第二ARP泛洪抑制表项。6.根据权利要求3所述的方法,其特征在于,在通过所述第二ARP泛洪抑制表项中的目标隧道口转发将所述ARP请求报文的步骤之后,还包括:当第二预设时间内未接收到所述ARP请求报文时,删除激活状态的第二ARP泛洪抑制表项。7.根据权利要求3所述的方法,其特征在于,还包括:当所述目的IP地址对应的VM上线时,建立第三ARP泛洪抑制表项,所述第三ARP泛洪抑制表项包括所述目的IP地址和所述目的IP地址对应的MAC地址;删除所述第二ARP泛洪抑制表项。8.一种泛洪抑制装置,其特征在于,应用于可扩展虚拟局...
【专利技术属性】
技术研发人员:吴云,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。