The embodiment of this application provides a method and device for generating ARP suppression table entries, which is applied to VTEP. VTEP can obtain the media access control MAC address of the first VM carried in the DHCP request message sent by the first VM, determine the identity of the VXLAN belonging to the first VM, and obtain the IP address of the Internet protocol of the first VM carried in the corresponding DHCP reply message. Address to generate ARP suppression table entries for the first VM. Because DHCP message is more difficult to construct than ARP message, malicious attackers are less likely to initiate network attacks using DHCP message. Generating ARP suppression table based on DHCP message can reduce the probability that ARP suppression table contains malicious network address, and to some extent avoid VM getting malicious network address, thus avoiding network business errors.
【技术实现步骤摘要】
一种ARP抑制表项生成方法和装置
本申请涉及互联网
,特别是涉及一种ARP抑制表项生成方法和装置。
技术介绍
VXLAN(VirtualeXtensibleLAN,可扩展虚拟局域网络)组网可以包括多个VTEP(VXLANTunnelEndPoint,可扩展虚拟局域网络隧道的端点),VTEP可以连接有VM(VirtualMachine,虚拟机)。参见图1,该组网包括VTEP1、VTEP2、VM1、VM2、VM3和VM4。VTEP1与VM1和VM2相连,VTEP2与VM3和VM4相连,VM1、VM2和VM3属于同一VXLAN。当VM1需要获取VM3的MAC(MediaAccessControl,媒体访问控制)地址时,VM1可以发送携带有VM1的MAC地址和IP(InternetProtocol,网际协议)地址的ARP(AddressResolutionProtocol,地址解析协议)请求报文(可以称为第一ARP请求报文)。VTEP1接收到第一ARP请求报文后,可以向VM2和VTEP2发送第一ARP请求报文。VTEP2接收到第一ARP请求报文后,可以向VM3发送第一ARP请求报文。接收到第一ARP请求报文后,VM3可以向VM1发送携带有VM3的MAC地址的ARP响应报文。组网中较多的ARP请求报文会占用较大的网络带宽,进而影响网络的性能。现有技术中,VTEP可以根据ARP报文(包括ARP请求报文和ARP响应报文)生成ARP抑制表项,以减少组网中的ARP请求报文。例如,当VTEP1和VTEP2接收到第一ARP请求报文时,均可以生成ARP抑制表项,该ARP抑制 ...
【技术保护点】
1.一种地址解析协议ARP抑制表项生成方法,其特征在于,所述方法应用于可扩展虚拟局域网络隧道的端点VTEP,所述方法包括:获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。
【技术特征摘要】
1.一种地址解析协议ARP抑制表项生成方法,其特征在于,所述方法应用于可扩展虚拟局域网络隧道的端点VTEP,所述方法包括:获取第一虚拟机VM发送的动态主机配置协议DHCP请求报文,以及所述DHCP请求报文对应的DHCP应答报文;获取所述DHCP请求报文中携带的所述第一VM的媒体访问控制MAC地址,根据所述DHCP请求报文,确定所述第一VM所属的可扩展虚拟局域网络VXLAN的标识,并获取所述DHCP应答报文中携带的所述第一VM的网际协议IP地址;生成所述第一VM的ARP抑制表项,其中,所述ARP抑制表项中包含所述第一VM的MAC地址、所述第一VM所属的VXLAN的标识和所述第一VM的IP地址。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当接收到所述第一VM发送的地址撤销报文时,删除所述第一VM的ARP抑制表项,其中,所述地址撤销报文为DHCP拒绝报文或DHCP释放报文。3.根据权利要求1所述的方法,其特征在于,在所述生成所述第一VM的ARP抑制表项之前,所述方法还包括:确定是否存储有通过预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项,其中,所述预设方式包括:静态配置方式、网络配置协议NETCONF方式或开放流OpenFlow方式;如果未存储有,则执行所述生成所述第一VM的ARP抑制表项的步骤;如果存储有,则使能通过所述预设方式接收到的,且包含有所述第一VM的IP地址和所述第一VM所属的VXLAN的标识的ARP抑制表项。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:当接收到第二VM发送的ARP报文时,获取所述ARP报文中携带的源IP地址,作为第一IP地址,并确定所述第二VM所属的VXLAN的标识,作为第一VXLAN标识;确定是否存储有通过除ARP报文外的其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项;如果未存储有,则生成所述ARP报文对应的ARP抑制表项;如果存储有,则使能通过其他方式获得的,且包含有所述第一IP地址和所述第一VXLAN标识的ARP抑制表项。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:当通过预设方式接收到ARP抑制表项时,使能通过所述预设方式接收到ARP抑制表项,其中,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取自身连接的VM的待同步路由信息;确定存储的包含有所述待同步路由信息中的IP地址和VXLAN标识的ARP抑制表项的优先级;其中,根据预设方式获得的ARP抑制表项的优先级,高于根据DHCP报文获得的ARP抑制表项的优先级,根据DHCP报文获得的ARP抑制表项的优先级,高于根据ARP报文获得的ARP抑制表项的优先级,所述预设方式包括:静态配置方式、NETCONF方式或OpenFlow方式;向与自身相连的其他VTEP,发送携带有确定出的优先级的待同步路由信息。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收与自身相连的其他VTEP发送的路由信息,作为待处理路由信息;确定是否存储有包含有所述待处理路由信息中的IP地址和VXLAN标识的待匹配ARP抑制表项;如果未存储有,生成所述待处理路由信息对应的ARP抑制表项;如果存储有,且所述待匹配ARP抑制表项的优先级,低于所述待处理路由信息中携带的优先级,则生成并使能所述待...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。