一种防止云平台IP和MAC伪造的方法技术

本发明专利技术涉及云计算技术领域，特别一种防止云平台IP和MAC伪造的方法。本发明专利技术的方法包括：基于虚拟交换机添加网络接口；获取网络接口上允许通过的所有IP和MAC信息；根据网络接口端口号、IP和MAC信息，在虚拟交换机上建立流表以及ARP协议的流规则；只有满足条件的IP和MAC地址，其ARP网络数据包才能通过，其他ARP数据包将被禁止通行。本发明专利技术无需安装额外的数据包过滤工具，可以支持虚拟机、容器、物理机等网络接口上多个IP和MAC数据包的合规性通过，防止恶意的IP和MAC伪造，提高云平台的网络的安全性。

A method to prevent cloud platform IP and MAC forgery

The present invention relates to the field of cloud computing, in particular a method to prevent the forgery of cloud platforms IP and MAC. The method of the invention comprises: adding virtual switch network interface based on IP and MAC; to get all the information on the network interface allows the network interface; according to the port number, the IP and MAC information, establish flow rules of flow table and the ARP protocol in the virtual switch; only to meet the conditions of IP and MAC address, the ARP network the packet can pass, other ARP packets will be banned. The invention does not need to install additional data packet filtering tools, and can support the compliance of multiple IP and MAC data packets on the network interfaces such as virtual machines, containers, physical machines, etc., so as to prevent malicious IP and MAC forgery, and improve the security of the cloud platform network.

【技术实现步骤摘要】
一种防止云平台IP和MAC伪造的方法
本专利技术涉及云计算
，特别一种防止云平台IP和MAC伪造的方法。
技术介绍
随着云计算的发展，很多业务系统逐渐的迁移到云平台上。同时很多业务系统，在云计算网络发展的变化下，对网络的要求也比较多。例如，两台虚拟机环境上要搭建一个Keepalive的心跳环境，就需要一个虚拟机的网卡上允许一个MAC多个IP的通过，而传统的方式只允许一个MAC和一个IP的通过，已经不能满足需求。如何满足虚拟机网络的需求，而能够有效防止虚拟机的ARP欺骗呢，同时还不用开启系统的防火墙、安装额外的数据包过滤工具等相关功能？
技术实现思路
本专利技术解决的问题是提供一种防止云平台IP和MAC伪造的方法；无需安装额外的数据包过滤工具，可以支持虚拟机、容器的虚拟网卡上多个IP和MAC数据包的合规性通过，防止云平台IP和MAC伪造，提高云平台的网络的安全性。本专利技术解决上述技术问题的技术方案是：包括如下步骤：步骤1：在虚拟交换机添加网络接口；步骤2：获取虚拟网卡上允许通过的所有IP和MAC信息；步骤3：根据网络接口端口号、IP和MAC信息，在虚拟交换机上建立流表以及ARP协议的流规则；只有满足条件的IP和MAC地址，其ARP网络数据包才能通过，其他ARP数据包将被禁止通行；所述的IP和MAC信息，允许一个MAC对应多个IP；一个MAC和一个IP组成一条记录。所述交换机、流表、流规则：(1)虚拟交换机上有端口、网桥和流表，根据网络接口和网桥获取网络接口在网桥上的端口号；(2)新建一个流表以及流表默认流规则，默认的流规则的优先级最低且执行操作为丢弃数据包操作；(3)根据网络接口端口号，将从端口出来的arp数据转到新建的流表中；(4)在新建的流表中，添加基于端口号、MAC、IP、Arp协议的ARP流规则，且流规则的状态为接受操作，且优先级比默认的流规则高。所述的网络接口支持物理机网卡、虚拟机和容器等虚拟网络接口；可以以OpenvSwitch作为虚拟交换机。本专利技术方案的有益效果如下：1、本专利技术的方法无需安装额外的过滤工具，在网络接口上的进行二层数据包处理，支持多个MAC和IP规则，满足不同业务对网络数据包的复杂需求。2、本专利技术的方法原理可靠、实现简单，可以很容易集成到第三方云平台中。附图说明下面结合附图对本专利技术进一步说明：图1为本专利技术的流程图。具体实施方式根据流程图1所示，本专利技术的基本实施步骤如下：(1)在openvswitch添加网络接口虚拟机libvirt的网络配置：其中虚拟交换机的网桥的名称′br0′，虚拟接口名称为tap2f345c42-19，和控制器上有唯一标识(2)获取允许虚拟接口上的MAC，IP列表信息。从网络组件中心，获取到该虚拟接口tap2f345c42-19上允许的MAC、IP列表，如：12.16.10.1、fa：16：3e：a3：2b：06和10.10.0.12、fa：16：3e：a3：2b：06(3)添加流表以及流规则a)获取虚拟端口的端口号ovs-ofctlshowbr0查看tap2f345c42-19在br0上的端口号为1b)新建一个流表以及默认的流规则ovs-ofctladd-flowbr0″table＝1，priority＝0actions＝Drop″c)虚拟机的端口号，将从端口出来的arp数据转到新建的流表中ovs-ofctladd-flowbr0″in_port＝1，dl_type＝0x0806，priority＝2，actions＝resubmit(，1)″d)在新建的流表中，添加基于端口、MAC、IP、Arp协议的ARP流规则，流规则的状态为接受操作，且优先级比默认的流规则高ovs-ofctladd-flowbr0″table＝1，in_port＝1，dl_type＝0x0806，dl_src＝fa：16：3e：a3：2b：06，arp_spa＝12.16.10.1，priority＝1actions＝Normal″ovs-ofctladd-flowbr0″table＝1，in_port＝1，dl_type＝0x0806，dl_src＝fa：16：3e：a3：2b：06，arp_spa＝10.10.0.12，priority＝1actions＝Normal″。本文档来自技高网...

【技术保护点】
一种防止云平台IP和MAC伪造的方法，其特征在于，包括如下步骤：步骤1：在虚拟交换机添加网络接口；步骤2：获取虚拟网卡上允许通过的所有IP和MAC信息；步骤3：根据网络接口端口号、IP和MAC信息，在虚拟交换机上建立流表以及ARP协议的流规则；只有满足条件的IP和MAC地址，其ARP网络数据包才能通过，其他ARP数据包将被禁止通行；所述的IP和MAC信息，允许一个MAC对应多个IP；一个MAC和一个IP组成一条记录。

【技术特征摘要】
1.一种防止云平台IP和MAC伪造的方法，其特征在于，包括如下步骤：步骤1：在虚拟交换机添加网络接口；步骤2：获取虚拟网卡上允许通过的所有IP和MAC信息；步骤3：根据网络接口端口号、IP和MAC信息，在虚拟交换机上建立流表以及ARP协议的流规则；只有满足条件的IP和MAC地址，其ARP网络数据包才能通过，其他ARP数据包将被禁止通行；所述的IP和MAC信息，允许一个MAC对应多个IP；一个MAC和一个IP组成一条记录。2.根据权利要求1所述的方法，其特征在于，所述交换机、流表、流规则：(1)虚拟交换...

【专利技术属性】
技术研发人员：罗义兵，季统凯，
申请(专利权)人：国云科技股份有限公司，
类型：发明
国别省市：广东,44