虚拟机迁移验证方法及装置制造方法及图纸

本发明专利技术公开了一种虚拟机迁移验证方法及装置，涉及通信技术领域。方法包括：接收第一隧道端点设备发送的路由更新消息，其中，路由更新消息是第一隧道端点设备在确定待转发报文为目标报文的情况下，依据待转发报文对应的虚拟机地址生成的消息，目标报文为目标虚拟机发送的报文，目标虚拟机为下设于第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；向虚拟机地址对应的虚拟机发送验证请求；在接收到虚拟机返回的验证响应消息的情况下，拒绝依据路由更新消息更新当前隧道端点设备的路由信息，生成并发送路由更新拒绝消息至第一隧道端点设备，以供第一隧道端点设备根据路由更新拒绝消息拒绝转发待转发报文，从而防止虚拟机迁移欺骗。虚拟机迁移欺骗。虚拟机迁移欺骗。

【技术实现步骤摘要】
虚拟机迁移验证方法及装置


[0001]本专利技术涉及通信
，具体涉及一种虚拟机迁移验证方法及装置。

技术介绍

[0002]虚拟机(Virtual Machine，VM)迁移，是指将虚拟机从一台服务器迁移到另一台服务器。在虚拟可扩展局域网络(Virtual eXtensible
[0003]Local Area Network，VXLAN)中，隧道端点(VXLAN Tunnel Endpoints，
[0004]VTEP)设备内可配置一台或多台虚拟机。当前技术方案中，当隧道端点设备VTEP2下的攻击者冒用隧道端点设备VTEP1下的虚拟机VM1向VTEP2发送数据包之后，VTEP2在本地地址表中查找到该数据包的源地址的下一跳地址对应VTEP1，从而误判VM1从VTEP1迁移到VTEP2，并向其他隧道端点设备发送关于VM1的路由更新信息，从而将VM1的下一跳地址对应设备由VTEP1更新为VTEP2，使得其他设备在访问VM1时，依据更新的路由信息将数据包发送至VTEP2，再由VTEP2将数据转发至VM1。但是，由于VM1并未迁移到VTEP2，因此，VTEP2无法将相应的数据包转发至VM1，从而造成数据无法正常传输的问题。

技术实现思路

[0005]为此，本专利技术提供一种虚拟机迁移验证方法及装置，以解决攻击者进行虚拟机迁移欺骗，使得数据无法正常传输的问题。
[0006]为了实现上述目的，本专利技术第一方面提供一种虚拟机迁移验证方法，应用于第二隧道端点设备，该方法包括：
[0007]接收第一隧道端点设备发送的路由更新消息，其中，所述路由更新消息是所述第一隧道端点设备在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成的消息，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于所述第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；
[0008]向所述虚拟机地址对应的虚拟机发送验证请求；
[0009]在接收到所述虚拟机返回的验证响应消息的情况下，拒绝依据所述路由更新消息更新当前隧道端点设备的路由信息，其中，所述验证响应消息是所述虚拟机在接收到所述验证请求的情况下生成的反馈消息；
[0010]生成并发送路由更新拒绝消息至所述第一隧道端点设备，以供所述第一隧道端点设备根据所述路由更新拒绝消息拒绝转发所述待转发报文。
[0011]进一步地，所述验证请求为扩展地址解析协议请求报文，且所述扩展地址解析协议请求报文的操作类型指示取值为0x0003；
[0012]所述验证响应消息为扩展地址解析协议响应报文，且所述扩展地址解析协议响应报文的操作类型指示取值为0x0004。
[0013]进一步地，所述向所述虚拟机地址对应的虚拟机发送验证请求之后，所述虚拟机迁移验证方法还包括：
[0014]在未接收到所述虚拟机返回的验证响应消息的情况下，依据所述虚拟机地址更新当前隧道端点设备的路由信息；
[0015]生成并发送路由更新响应消息至所述第一隧道端点设备。
[0016]为了实现上述目的，本专利技术第二方面提供一种虚拟机迁移验证方法，应用于第一隧道端点设备，该方法包括：
[0017]在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成路由更新消息；其中，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于当前隧道端点设备，但下一跳地址为第二隧道端点设备的虚拟机；
[0018]将所述路由更新消息发送至所述第二隧道端点设备；
[0019]在接收所述第二隧道端点设备返回的路由更新拒绝消息的情况下，拒绝转发所述待转发报文，其中，所述路由更新拒绝消息为所述第二隧道端点设备在接收到所述虚拟机地址对应的虚拟机返回的验证响应消息的情况下生成并发送的消息，所述验证响应消息为所述虚拟机在接收到所述第二隧道端点设备发送的验证请求的情况下生成的消息。
[0020]进一步地，所述在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成路由更新消息之前，所述虚拟机迁移验证方法还包括：
[0021]接收所述待转发报文；
[0022]根据所述待转发报文对应的虚拟机地址和当前隧道端点设备的路由信息，确定所述待转发报文是否为所述目标报文。
[0023]进一步地，所述在接收所述第二隧道端点设备返回的路由更新拒绝消息的情况下，拒绝转发所述待转发报文之后，所述虚拟机迁移验证方法还包括：
[0024]对当前隧道端点设备的路由信息中所述虚拟机地址对应的地址表项设置提醒标识，并设置提醒标识定时器；
[0025]在预设时间内接收到与所述提醒标识匹配的报文的情况下，丢弃所述报文，其中，与所述提醒标识匹配的报文是指报文的源地址与所述虚拟机地址相同的报文，所述预设时间为所述提醒标识定时器的有效期；
[0026]在所述提醒标识定时器的启动时长大于或等于所述有效期的情况下，清除所述提醒标识定时器。
[0027]进一步地，所述将所述路由更新消息发送至所述第二隧道端点设备之后，所述虚拟机迁移验证方法还包括：
[0028]在接收所述第二隧道端点设备返回的路由更新响应消息的情况下，转发所述待转发报文，其中，所述路由更新响应消息是所述第二隧道端点设备未接收到虚拟机返回的验证响应消息的情况下，依据所述虚拟机地址更新所述第二隧道端点设备的路由信息之后，生成并发送至当前隧道端点设备的消息。
[0029]进一步地，所述在接收所述第二隧道端点设备返回的路由更新响应消息的情况下，转发所述待转发报文之后，所述虚拟机迁移验证方法还包括：
[0030]依据所述虚拟机地址，更新当前隧道端点设备的路由信息；
[0031]向预设范围内的隧道端点设备发送路由更新请求，以供所述预设范围内的隧道端点设备更新各自的路由信息，其中，所述路由更新请求包括所述虚拟机地址。
[0032]为了实现上述目的，本专利技术第三方面提供一种虚拟机迁移验证装置，可设置于第
二隧道端点设备，该装置包括：
[0033]接收模块，被配置为接收第一隧道端点设备发送的路由更新消息，其中，所述路由更新消息是所述第一隧道端点设备在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成的消息，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于所述第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；
[0034]第一发送模块，被配置为向所述虚拟机地址对应的虚拟机发送验证请求，以及向所述第一隧道端点设备发送路由更新拒绝消息，以供所述第一隧道端点设备根据所述路由更新拒绝消息拒绝转发所述待转发报文；
[0035]拒绝更新模块，被配置为在接收到所述虚拟机返回的验证响应消息的情况下，拒绝依据所述路由更新消息更新当前隧道端点设备的路由信息，其中，所述验证响应消息是所述虚拟机在接收到所述验证请求的情况下生成的反馈消息；
[0036]第一生成模块，被配置为生成所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟机迁移验证方法，其特征在于，包括：接收第一隧道端点设备发送的路由更新消息，其中，所述路由更新消息是所述第一隧道端点设备在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成的消息，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于所述第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；向所述虚拟机地址对应的虚拟机发送验证请求；在接收到所述虚拟机返回的验证响应消息的情况下，拒绝依据所述路由更新消息更新当前隧道端点设备的路由信息，其中，所述验证响应消息是所述虚拟机在接收到所述验证请求的情况下生成的反馈消息；生成并发送路由更新拒绝消息至所述第一隧道端点设备，以供所述第一隧道端点设备根据所述路由更新拒绝消息拒绝转发所述待转发报文。2.根据权利要求1所述的虚拟机迁移验证方法，其特征在于，所述验证请求为扩展地址解析协议请求报文，且所述扩展地址解析协议请求报文的操作类型指示取值为0x0003；所述验证响应消息为扩展地址解析协议响应报文，且所述扩展地址解析协议响应报文的操作类型指示取值为0x0004。3.根据权利要求1所述的虚拟机迁移验证方法，其特征在于，所述向所述虚拟机地址对应的虚拟机发送验证请求之后，还包括：在未接收到所述虚拟机返回的验证响应消息的情况下，依据所述虚拟机地址更新当前隧道端点设备的路由信息；生成并发送路由更新响应消息至所述第一隧道端点设备。4.一种虚拟机迁移验证方法，其特征在于，包括：在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成路由更新消息；其中，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于当前隧道端点设备，但下一跳地址为第二隧道端点设备的虚拟机；将所述路由更新消息发送至所述第二隧道端点设备；在接收所述第二隧道端点设备返回的路由更新拒绝消息的情况下，拒绝转发所述待转发报文，其中，所述路由更新拒绝消息为所述第二隧道端点设备在接收到所述虚拟机地址对应的虚拟机返回的验证响应消息的情况下生成并发送的消息，所述验证响应消息为所述虚拟机在接收到所述第二隧道端点设备发送的验证请求的情况下生成的消息。5.根据权利要求4所述的虚拟机迁移验证方法，其特征在于，所述在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成路由更新消息之前，还包括：接收所述待转发报文；根据所述待转发报文对应的虚拟机地址和当前隧道端点设备的路由信息，确定所述待转发报文是否为所述目标报文。6.根据权利要求4所述的虚拟机迁移验证方法，其特征在于，所述在接收所述第二隧道端点设备返回的路由更新拒绝消息的情况下，拒绝转发所述待转发报文之后，还包括：对当前隧道端点设备的路由信息中所述虚拟机地址对应的地址表项设置提醒标识，并设置提醒标识定时器；
在预设时间内接收到与所述提醒标识匹配的报文的情况下...

【专利技术属性】
技术研发人员：张余，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：