一种在nvo3网络中nve转发报文的方法和设备的制造方法
一种在nvo3网络中nve转发报文的方法和设备的制造方法
【技术领域】
[000。 本发明涉及网络安全,特别是涉及一种在第Η层网络的虚拟覆盖网络NV03中NVE 转发报文的方法和设备。
【背景技术】
[0002] 而随着云计算技术的发展,虚拟化已从传统的计算资源虚拟化扩展到计算,存储, 网络等所有IT资源的虚拟化。用户可W方便地从云计算数据中必租用IT资源,而不用直接 购买物理服务器。通过送种租借的方式,租户可W按需部署计算资源,降低总体拥有成本, 同时将硬件资源抽象为逻辑的,统一的软件虚拟资源,也可W极大的减少口资源的部署时 间,加快应用的部署,快速响应用户需求。
[0003] 从网络角度来看,多租户技术对网络虚拟化有如下需求;每个租户拥有独立 的IP地址空间,租户可W自由地规划其租用的网络;租户之间的数据相互隔离;租户的 虚拟计算资源可W任意放置到他希望的位置,而不受物理网络资源的位置限制。互联 网工程任务组(IET巧的NV03工作组提出的基于第Η层网络的虚拟覆盖网络(Network Virtualization Overlays, Layer3),可W完全满足送些需求,已经成为多租户网络虚拟化 的主流技术。
[0004] 在网络中,安全始终都是一个很重要的问题。其中一种安全问题是分布式拒绝服 务值Do巧攻击,其基本原理是攻击者发送大量的服务请求到被攻击者,从而占用大量的服 务资源,导致合法用户无法得到服务。而DDoS攻击者通常会假冒其他合法用户发起DDoS 攻击,来逃脱安全检查和源追踪,也即攻击者发送的数据报文中的源IP为假冒IP (该源地 址不存在或者属于其他虚拟机或主机)。
[0005] 在NV03网络中,同样存在孤oS攻击。
【发明内容】
[0006] 因此,需要一种在NV03网络中能够克服孤oS攻击的NVE报文转发方法和设备。
[0007] 根据本发明的一个方面,提供了一种在第Η层网络的虚拟覆盖网络(NV03)中第 一网络虚拟边缘实体(NV巧转发报文的方法,包括:
[0008] 响应于从该第一 NVE的第一虚拟访问点(VA巧接收到IP报文,将该IP报文的源IP 地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID) 作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所连接的第二NVE的IP地址W 及所连接第二VAP ;
[0009] 响应于查找失败或者该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP 与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及
[0010] 响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP 两者都相同,使用该IP报文的目的IP地址转发该IP报文。
[0011] 根据本发明的另一个方面,提供了一种在第Η层网络的虚拟覆盖网络(NV03)中 转发报文的第一网络虚拟边缘实体(NVE),包括:
[0012] 第一查询装置,被配置为响应于从该第一 NVE的第一虚拟访问点(VAF0接收到IP 报文,将该IP报文的源IP地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的 第一虚拟网络标识符(VNID)作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所 连接的第二NVE的IP地址W及所连接第二VAP ;
[0013] 第一丢弃装置,被配置为响应于查找失败或者该第二NVE的IP地址与该第一 NVE 的IP地址、该第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及
[0014] 第一转发装置,被配置为响应于该第二NVE的IP地址与该第一 NVE的IP地址、该 第二VAP与该第一 VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。
【附图说明】
[0015] 通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述W及其 它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号 通常代表相同部件。
[0016] 图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框 图;
[0017] 图2示意性示出了一个NV03网络的架构示意图;
[001引 图3示出了现有的N0V3的一个示意性网络结构框图;
[0019] 图4示出了根据本发明一种实施方式的一种在NV03网络中NVE转发报文的方法 的流程;
[0020] 图5示意性示出了对通过支撑网络接收到NV03报文的转发方法;W及
[0021] 图6示意性示出了第一 NVE600的结构框图。
【具体实施方式】
[0022] 下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开 的优选实施方式,然而应该理解,可W W各种形式实现本公开而不应被送里阐述的实施方 式所限制。相反,提供送些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的 范围完整地传达给本领域的技术人员。
[0023] 图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框 图。图1显示的计算机系统/服务器12仅仅是一个示例,不应对本发明实施例的功能和使 用范围带来任何限制。
[0024] 如图1所示,计算机系统/服务器12 W通用计算设备的形式表现。计算机系统 /服务器12的组件可W包括但不限于;一个或者多个处理器或者处理单元16,系统存储器 28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
[00巧]总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器, 外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举 例来说,送些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC) 总线,增强型ISA总线、视频电子标准协会(VESA)局域总线W及外围组件互连(PCI)总线。 [0026] 计算机系统/服务器12典型地包括多种计算机系统可读介质。送些介质可W是 任何能够被计算机系统/服务器12访问的可用介质,包括易失性和非易失性介质,可移动 的和不可移动的介质。
[0027] 系统存储器28可W包括易失性存储器形式的计算机系统可读介质,例如随机存 取存储器(RAM) 30和/或高速缓存存储器32。计算机系统/服务器12可W进一步包括其 它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34 可W用于读写不可移动的、非易失性磁介质(图1未显示,通常称为"硬盘驱动器")。尽管 图1中未示出,可W提供用于对可移动非易失性磁盘(例如"软盘")读写的磁盘驱动器, W及对可移动非易失性光盘(例如CD-ROM, DVD-ROM或者其它光介质)读写的光盘驱动器。 在送些情况下,每个驱动器可W通过一个或者多个数据介质接口与总线18相连。存储器28 可W包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,送些程序模 块被配置W执行本发明各实施例的功能。
[002引具有一组(至少一个)程序模块42的程序/实用工具40,可W存储在例如存储器 28中,送样的程序模块42包括一但不限于一操作系统、一个或者多个应用程序、其它 程序模块W及程序数据,送些示例中的每一个或某种组合中可能包括网络环境的实现。程 序模块42通常执行本发明所描述的实施例中的功能和/或方法。
[0029] 计算机系统/服务器12也可W与一个或多个外部设备14 (例如键盘、指向设备、 显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的 设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信 的任何设备(例如网卡,调制解调器等等)通信。送种通信可W通过输入/输出(I/O)接 口 22进行。并且,计算机系统/服务器12还可W通过网络适配器20与一个或者多个网络 (例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适 配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示 出,可W结合计算机系统/服务器12使用其它硬件和/或软件模块,包括但不限于;微代 码、设备驱动器、兀余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器W及数据备份存 储系统等。
[0030] 图2示意性示出了本发明的方法和设备可W实施的一个NV03网络的架构示意图。 (参看 http://tools, ietf. org/id/draft-ietf-nvo3-framework-〇9. txt)。
[0031] 在图2所示的网络中,支撑网络OJnderlay network,也称底层网络,是覆盖网 络之下的支撑网络)是物理网络,用来连接各个具体的物理资源。覆盖网络(overlay network,又称为重叠网络、叠加网络)是虚拟网络,是在原有支撑网络的基础上构造的一 个新的逻辑网络,供各个租户使用。租户系统(Tenantsystem,简称T巧可W是扮演一个主 机化ost)角色的物理或虚拟系统,包括运行于主机上的虚拟机(VM)等;也可W是一个转 发元素,例如路由器,交换机,防火墙等。一个TS属于一个租户并连接到该租户的一个或多 个覆盖网络上。所有TS的覆盖网络都是通过实际的支撑网络来承载并转发数据流。对应 NV03覆盖网络而目,其支撑网络是IP网络。
[0032] 网络虚拟边缘实体NVE (Network Virtualization Edge)是连接覆盖网络和支撑 网络的逻辑实体,NVE通过虚拟访问点VAP(Virtual Access Points)连接一个具体的租 户系统,例如虚拟机VM,同时通过覆盖网络模块连接支撑网络,例如网络虚拟化授权实体 NVA (Network Virtualization Authority)或者其他 NVE。由于一个 NVE 可 W连接多个 TS, 可W使用用于区分该报文所属的虚拟网络的虚拟网络标识符VNID来区分当前VAP是属于 郝个TS。
[0033] 网络虚拟化授权实体NVA(Network Virtualization Authority)实现了整个NV03 网络管理和控制,其为用户提供管理接口和控制各个NVE的转发信息。
[0034] 支撑网络上转发的NV03网络支持的报文实际是在IP报文上进行了 VXLAN封装, 封装的报头中包含该NV03报文在NV03网络中的VNID,源IP地址,源MAC地址,W及目标 IP地址,目标MAC地址。由于NV03报文只在NVE之间传输,NV03报文中包含的IP报文内 也包含源NVE的IP地址W及目标NVE的IP地址。
[0035] 在传统网络中,最有效的假冒源IP报文过滤机制是入口过滤机制,该机制在路由 器或防火墙上进行过滤,并负责检查来自某个网络的报文是否确实源自该网络。RFC2827描 述了入口流量过滤的概念,RFC3704描述了 5种不同的实现方式,包括手工和自动配置。自 动配置方式主要使用单播逆向路径转发uRPF(Unicast Reverse Path F'orwarding)。uRPF 检查从特定端口进入路由器的报文。通过路由器的FIB表,判断该报文是否匹配报文源地 址的输出端口。如果匹配,就允许转发;如何不匹配,或者没有该源地址的路由,报文就被拒 绝。
[0036] 除了 uRPF,在主动防御领域的另一个重要方法是SAVE,由UCLA化ttp://lasr. CS. ucla. e化/save/)提出。SAVE通过建立源地址空间到入端口的映射,为路由器进行过滤 决策时提供踪迹记录。运行SAVE算法的路由器把已知的源地址空间发送到特定的目的地, 因此沿途的路由器可W获得正确的源地址空间到端口的映射表。
[0037] 可W看出,传统网络的源地址验证机制一般都需要网络设备根据支撑网络的路由 信息或者源地址前缀信息构造合法的入接口列表,由于覆盖网络是架构在支撑网络之上的 虚拟网络,其路由和源地址前缀信息对于支撑网络设备不可见,从而无法获知覆盖网络地 址的真实性,因此原有的源地址验证技术不能用于NV03网络的真实源地址验证。
[003引对于NV03网络的真实地址访问控制目前尚无有效手段。大多是通过手工配置的 访问控制列表(ACL)来过滤非法报文。但对于数据中必而言,虚拟机(VM)可W动态创建/ 删除/迁移,因此手工配置A化不是一个有效途径。同时如果NVE通过硬件专用集成电路 (ASIC)实现时,配置A(X需要额外的Η态内容寻址存储器(Ternary Content Associative Memcxry,TCAM)资源,该资源较为昂贵。
[0039] 现有技术中,当一个TS (例如一个VM)连接覆盖网络中时,NVE通过TS的注册机制 可W知道送个TS是连接在该NVE的郝个VAP端口上,W及TS所对应的IP地址(VI巧和MAC 地址(vMAC)。同时通过NVA所给的配置信息,NVE也知道VAP所对应的VNID,依据送些连接 关系信息NVE即可生成对于该TS的转发信息,例如可W使用转发表,即門T表(Forwarding In化rmationT油le)来表示转发信息。本领域技术人员可W知道,也可W使用其他数据结构 来表示转发信息。表1示出了一种包含和本发明相关的表项的FIT表结构,其中,vMAC为 TS的MAC地址;vIP为TS的IP地址;pIP为TS所连接的NVE的IP地址;VAP为TS所连接 的端口;VNID为VAP所对应的VNID,也可W理解为TS所属的VNID。
[0040] 表 1
[0041]
[004引 NVE存储的转发信息为本地转发信息桐时,NVE将送些转发信息发送给NVA,形成 全局转发信息。另外,NVA在接收到NVE转发信息时,NVA需要查找已经保存的全局转发信 息,来判定接收的NVE转发信息是否存在,如果存在并且不同于原有位置信息说明发生了 TS迁移,送时需要更新全局转发信息;如果是不存在,则是新的TS上线,NVA将接收到信息 存储在全局转发信息中,送样其他NVE就可W通过NVA查询到送些转发信息。之所W采用 局部转发信息和全局转发信息,主要是为了提高转发效率。转发信息可W通过学习(例如 Cisco VxLan)或控制协议(例如IBM DOVE)来构造和维护。本发明适用于通过控制协议来 构造的情况并假定构造该转发信息的方式是可信的。由于有许多方法可W保护控制协议免 受攻击,例如认证和授权,因此该假定是合理的。
[004引在NV03网络架构中,一个NVE所表现的功能包括;(1)从VAP接收TS发送的IP报 文,并且该IP报文的目的IP地址是该NVE直接相连的另一个VAP,直接将该IP报文转发 到该另一个VAP ; (2)从VAP接收TS发送的IP报文,并且该IP报文的目的IP地址是其他 NVE,通过其覆盖网络模块对IP报文进行VXLAN封装,并通过NV03网络将封装好的NV03报 文转发到其他NVE ;(3)从支撑网络接收到其它NVE发送的VXLAN封装后的NV03报文,通过 其覆盖网络模块将其解封装成IP报文并且该IP报文的目的IP地址是该NVE直接相连的 另一个VAP,直接将该IP报文转发到该另一个VAP ; (4)从支撑网络接收到其它NVE发送的 VXLAN封装后的NV03报文,通过其覆盖网络模块将其解封装成IP报文并且该IP报文的目 的IP地址是其他NVE,通过其覆盖网络模块对IP报文进行VXLAN封装,并通过NV03网络将 封装好的NV03报文转发到其他NVE。也就是说,NV03网络中的NVE可能收到来自覆盖网络 的IP报文,也可能收到来自支撑网络的NV03报文。W下W例子具体说明。
[0044] 图3示出了现有的N0V3的一个示意性网络结构框图,在图3中,化stl和化st2作 为支撑网络的主机,直接连接在支撑网络1和支撑网络2 ;NVE1和NVE2作为NVE节点,连接 支撑网络3和支撑网络4 ;VM1,VM2,VM3,VM4作为覆盖网络的虚拟机,其VNID为VNID1 ;VM1 和VM2分别连接在NVE1的VAP1和VAP2上;VM3和VM4分配连接在V肥2的VAP3和VAP4 上。
[004引在FIT表构建过程中,NVE1接收到VM1和VM2上线通知,生成表2所示的转发信 息,作为NVE1的本地转发信息。
[0046] 表 2
[0047]
[004引 NVE2接收到VM3和VM4上线通知,生成表3所示的转发信息,作为NVE2的本地转 发信息。
[0049] 表 3
[0050]
阳051 ] 同时NVE1和NVE2会将其本地转发信息都发送给NVA,所W NVA形成表4所示的全 局转发信息。
[0052] 表 4
[0053]
防)54] 在现有的基于转发信息的报文转发过程中,例如,VM1通过NVE1发送。报文到 VM2。则在步骤1 ;在NVE1接收到IP报文,使用IP报文目的IP地址和该目的IP地址对应 的VNID查找NVE1的转发信息,也即使用VM2-IP和VNID1作为表2中的vIP,VNID查找表 2,发现pIP为NVE1-IP,VAP为VAP2 ;在步骤2 ;NVE1发现pIP为自己,VAP为VAP2,故转发 IP报文到VAP2。
[00巧]又例如,VM1通过NVE1发送IP报文到VM3。则在步骤1 ;在NVE1,使用该IP报文 的目的IP和该目的IP地址对应的VNID,即VM3-IP和VNID1作为表2中的vIP,VNID查找 表2,此时不能查找成功;在步骤2 ;向NVA W相同的方式查询,NVA查找成功,NVA向NVE1返 回查询信息;在步骤3 ;NVE1获取到查询信息,发现查询信息中pIP为NVE2-IP,即目的NVE 为NVE2,通过覆盖网络模块封装IP报文为NV03报文,并将NV03报文转发NVE2 ;在步骤5 : 在NVE2,接收到NV03报文,先将NV03报文解封装,获得IP报文;在步骤6庙NVE2,使用IP 报文的目的IP地址和该目的IP地址对应的VNID,即VM3-IP和VNID1作为vIP和VNID查 找表3,获得查询信息pIP为NVE2-IP,VAP为VAP1 ;在步骤7 ;NVE2根据pIP为NVE2-IP确 定报文的目的NVE为自己,VAP为VAP1,故转发报文到VAP1,由此,VM3接收到IP报文。
[0056] 从NV03网络来看,一个假冒源IP攻击者可W直接在覆盖网络发起攻击,也可W直 接在支撑网络构造假冒的VXLAN封装报文,发起对覆盖网络的攻击。从上面过程看,NVEl和 NVE2都没有检查IP报文的源IP地址,所W如下非法的情况也可W将报文转发到目的地: (1)从VAP接收的IP报文从IP报文信息上看是从VM1发送到VM2或VM4的,但是IP报文 的源IP不是VM1,而是VM3,甚至是不存在的VM5 ; (2)发送到NVE2的NV03报文对应覆盖网 络的源IP地址是VM1,或者VM2,甚至是不存在的VM5,目的IP地址是VM3 ;对应的支撑网络 报文的源IP地址是hostl,目的IP地址是NVE2 ;送两种情况都是假冒源IP的攻击方式,但 是由于NVE转发仅仅检查目的IP地址,故所有报文都可W转发到对应的目的。因此,现有 NV03网络的报文转发过程不能对报文的真实地址进行确定,无法防止DDos攻击。
[0057] 本发明提出了一种在NV03网络中NVE转发报文的方法,图4示出了该方法的流 程,根据图4,在步骤S401,响应于从该第一 NVE的第一虚拟访问点(VA巧接收到IP报文, 将该IP报文的源IP地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的第一虚 拟网络标识符(VNID)作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所连接 的 第二NVE的IP地址W及所连接第二VAP ;在步骤S402,响应于查找失败或者该第二NVE的 IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP 报文;在步骤S403,响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该 第一 VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。送里使用该IP报文 的目的IP地址转发该IP报文使用的是W上描述的现有技术,具体如何实现不再赏述。
[0058] 在一种实施方式中,步骤S401中的转发信息为为该第一 NVE存储的本地转发信 息,送里无需使用NVA中的全局转发信息,送样可W提高查询效率,提高转发速度。在另外 一种实施方式中,转发信息为所述NV03网络中的网络虚拟化授权实体(NVA)中存储的全局 转发信息。
[005引将图4所示的方法应用到图3所示的例子中,例如,VM1通过NVE1发送数据报文到 VM2或VM3。则在V肥1的报文转发过程中,首先从VAP1接收到VM1发送的报文,获得该报文 的源IP地址(VM1-I巧和所对应的VNID(VNIDl);然后将VM1-IP和VNID1作为TS(VMl)的 IP地址和TS所对应的VNID,查找转发信息,获得VM1-IP所连接的NVE的IP地址(NVE1-IP) W及VM1所连接的端口(VAP1),与当前NVE (NVE1)的IP地址相同,并且VM1所连接的VAP1 与当前接收该IP报文的VAP(VAPl)相同,因此,该报文合法,可W进一步使用转发流程转 发,转发的过程和现有技术相同,W上示例中已经给出,送里不再赏述。但是如果NVE1从 VAP1接收的发送到VM2 IP报文的源IP地址不是VM1-IP,而是VM3-IP,甚至是不存在的 VM5-IP,此时使用IP报文的源IP地址查询NVE1上的转发信息,得到的NVE的IP地址就不 是NVE1-IP,就与当前NVE1的IP地址不同,就能够确认其为欺诈报文,属于DDos攻击,就可 W抛弃该报文。
[0060] 对于图3所示在VM1通过NVE1发送数据报文到VM3的示例中,NVE2通过支撑网 络(IP网路)接收到NV03报文,该NV03报文可能是hostl假冒VM1通过NVE1发送给VM3 的攻击报文。此时NV03报文的覆盖网络的源IP地址为VM1-IP,目的IP地址为VM3-IP, 其IP报文中的源IP地址为化St 1的IP地址。送也是一种孤0S攻击报文。可W在每一个 NVE中存储着合法的NVE目录,由于NV03报文只在NVE之间传输,并且NV03报文中包含的 IP报文内也包含源NVE的IP地址,该NV03报文的IP报文源IP地址也就是源NVE的IP地 址,如果其是合法的NVE,应该在合法的NVE目录中可W找到,如果找不到,就是非法的NVE, 就被判定为DDos攻击报文,报文就会被丢弃;相反,判断为合法的报文就会被正常转发。 [006。 因此,在一种实施方式中,公开了对送种NV03报文的处理方法,图5示意性示出了 对通过支撑网络接收到NV03报文的转发方法,根据图5,在步骤S501,响应于从该第一 NVE 的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是否存在该NV03报文的IP 报文的源IP地址;在步骤S502,响应于没有查找到结果,丢弃该NV03报文;在步骤S503中, 响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。使用该NV03报文 的目的IP地址转发该NV03报文就是采用的NV03网络中的现有技术,送里不再赏述其如何 实现。
[0062] 合法的NVE目录为全部合法的NVE的IP地址。合法的NVE目录可W在网络拓扑 建立时由系统管理员手工输入并存储;也可W响应于NV03网络拓扑建立,该NV03网络中的 每个NVE向NVA注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成 该合法的NVE目录,并且该NVA向所述每个NVE分发该合法的NVE目录。例如,在图3的表 2和表3的形成过程中,假设NVE1先上线,NVE2后上线。首先,NVE1上线并在NVA上注册 它的源IP地址NVE1-IP ;然后NVA通知NVE1仅仅只有NVE1-IP上线,最后NVE1保存合法 的NVE目录如表5所示。然后NVE2上线并在NVA上注册他的源IP地址NVE2-IP,再有NVA 通知NVE1有新NVE2-IP上线;最后NVA通知NVE1有新NVE2-IP上线,NVE1上形成合法的 NVE目录如表6所示。NVA通知NVE2有已有NVE1-IP,NVE2-IP上线,NVE2也保存如表6所 示合法的NVE目录。表5和标6的结构是示意性的,本领域技术人员可W知道,可W采用任 何数据结构表达合法的NVE目录。
[0063] 表 5
[0064]
[00巧] 表6
[0066]
[0067] NVE 一旦出现问题,会造成合法的NVE目录的改变,因此,在一种实施方式中,在线 的NVE和NVA之间需要建立保活机制,从而使合法的NVE目录的更新。也就是说,该NV03 网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。在一种实 施方式中,NVA定期探测其他NVE的在线情况,也即NVA周期性向所有的NVE发送一个在线 探测请求报文,如果NVE在线,其立即回应一个探测应答报文。当NVA能够接收到NVE的探 测应答报文时,即知道NVE在线。但一定周期内没有接收到NVE的应答报文时,即认为保活 超时,NVE不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。在另一种 实施方式中,NVA和NVE维护同步的定时器,也即NVA不向所有的NVE发送一个在线探测请 求报文,如果NVE在线,其定期向NVA发送保活报文。当NVA能够定且接收到NVE的保活报 文时,即知道NVE在线。但一定周期内没有接收到NVE的保活报文时,即认为保活超时,NVE 不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。
[006引为了进一步提高安全性,在NVE之间的通信使用加密的安全通道 (SecureChannel),例如可W使用IPsec,SSL/TLS等加密方式。由于IPsec,SSL/TLS等加密 方式已经成为业界标准,送里不详细讨论。
[0069] 在同一个发明构思下,本发明的实施例还公开了一种在第Η层网络的虚拟覆盖网 络(NV03)中转发报文的第一网络虚拟边缘实体(NVE),图6示意性示出了第一NVE600的结 构框图,根据图6,该第一 NVE包括;第一查询装置601,被配置为响应于从该第一 NVE的第 一虚拟访问点(VA巧接收到IP报文,将该IP报文的源IP地址作为第一租户系统灯巧的 IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一 TS所属的VNID,查 找转发信息来获得该第一 TS所连接的第二NVE的IP地址W及所连接第二VAP ;第一丢弃 装置602,被配置为响应于查找失败或者该第二NVE的IP地址与该第一 NVE的IP地址、该 第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及第一转发装置603,被配 置为响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP两者 都相同,使用该IP报文的目的IP地址转发该IP报文。
[0070] 在一种实施方式中,所述转发信息为该第一 NVE存储的本地转发信息。在另外一 种实施方式中,转发信息为所述NV03网络中的网络虚拟化授权实体(NVA)中存储的全局转 发信息。
[0071] 在一种实施方式中,图6所示的NVE还包括;第二查询装置604,被配置为响应于 从该第一 NVE的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是否存在该 NV03报文的IP报文的源IP地址;第二丢弃装置,被配置为响应于没有查找到结果,丢弃该 NV03报文605 ; W及第二转发装置606,被配置为响应于查找到结果,使用该NV03报文的目 的IP地址转发该NV03报文。
[0072] 在一种实施方式中,所述合法的NVE目录为全部合法的NVE的IP地址。合法的 NVE目录是采用如下方式建立的;响应于NV03网络拓扑建立,该NV03网络中的每个NVE向 NVA注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE 目录,并且该NVA向所述每个NVE分发该合法的NVE目录。
[0073] 在一种实施方式中,合法的NVE目录是采用如下方式维护的:该NV03网络中的每 个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。
[0074] 并且,该NV03网络中的每个NVE和该NVA之间的通信使用加密的安全通道。
[0075] 本发明可W是系统、方法和/或计算机程序产品。计算机程序产品可W包括计算 机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
[0076] 计算机可读存储介质可W是可W保持和存储由指令执行设备使用的指令的有形 设备。计算机可读存储介质例如可W是一-但不限于一一电存储设备、磁存储设备、光存储 设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质 的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只 读存储器(ROM)、可擦式可编程只读存储器巧PROM或闪存)、静态随机存取存储器(SRAM)、 便携式压缩盘只读存储器(CD-ROM)、数字多功能盘值VD)、记忆棒、软盘、机械编码设备、例 如其上存储有指令的打孔卡或凹槽内凸起结构、W及上述的任意合适的组合。送里所使用 的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁 波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电 线传输的电信号。
[0077] 送里所描述的计算机可读程序指令可W从计 算机可读存储介质下载到各个计算/ 处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或 外部存储设备。网络可W包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网 关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接 收计算机可读程序指令,并转发该计算机可读程序指令,W供存储在各个计算/处理设备 中的计算机可读存储介质中。
[007引用于执行本发明操作的计算机程序指令可W是汇编指令、指令集架构(ISA)指 令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者W-种或多种编程语 言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言一诸如 Java、Smalltalk、C++等,W及常规的过程式编程语目一诸如"C"语目或类似的编程语目。 计算机可读程序指令可W完全地在用户计算机上执行、部分地在用户计算机上执行、作为 一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程 计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可W通过任意种类的网 络一包括局域网(LAN)或广域网(WAN)-连接到用户计算机,或者,可W连接到外部计算机 (例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可 读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程口阵列 (FPGA)或可编程逻辑阵列(PLA),该电子电路可W执行计算机可读程序指令,从而实现本 发明的各个方面。
[0079] 送里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/ 或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框W及流程图和 /或框图中各方框的组合,都可W由计算机可读程序指令实现。
[0080] 送些计算机可读程序指令可W提供给通用计算机、专用计算机或其它可编程数据 处理装置的处理器,从而生产出一种机器,使得送些指令在通过计算机或其它可编程数据 处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功 能/动作的装置。也可W把送些计算机可读程序指令存储在计算机可读存储介质中,送些 指令使得计算机、可编程数据处理装置和/或其他设备W特定方式工作,从而,存储有指令 的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框 中规定的功能/动作的各个方面的指令。
[0081] 也可W把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它 设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,W产 生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的 指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
[0082] 附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程 序产品的可能实现的体系架构、功能和操作。在送点上,流程图或框图中的每个方框可W 代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个 用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能 也可不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可W基本并行地 执行,它们有时也可W按相反的顺序执行,送依所涉及的功能而定。也要注意的是,框图和 /或流程图中的每个方框、W及框图和/或流程图中的方框的组合,可W用执行规定的功 能或动作的专用的基于硬件的系统来实现,或者可W用专用硬件与计算机指令的组合来实 现。
[0083] W上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也 不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技 术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨 在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领 域的其它普通技术人员能理解本文披露的各实施例。
【主权项】
1. 一种在第三层网络的虚拟覆盖网络(NV03)中第一网络虚拟边缘实体(NVE)转发报 文的方法,包括: 响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文,将该IP报文的源IP地 址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID) 作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连接的第二NVE的IP地址以 及所连接第二VAP; 响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该 第一VAP两者至少之一不相同,丢弃该IP报文;以及 响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者 都相同,使用该IP报文的目的IP地址转发该IP报文。2. 根据权利要求1所述的方法,其中所述转发信息为该第一NVE存储的本地转发信息。3. 根据权利要求1所述的方法,其中所述转发信息为所述NV03网络中的网络虚拟化授 权实体(NVA)中存储的全局转发信息。4. 根据权利要求1所述的方法,其中还包括: 响应于从该第一NVE的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是 否存在该NV03报文的IP报文的源IP地址; 响应于没有查找到结果,丢弃该NV03报文; 响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。5. 根据权利要求4所述的方法,其中所述合法的NVE目录为全部合法的NVE的IP地 址。6. 根据权利要求5所述的方法,其中所述合法的NVE目录是采用如下方式建立的: 响应于NV03网络拓扑建立,该NV03网络中的每个NVE向网络虚拟化授权实体(NVA) 注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目 录,并且该NVA向所述每个NVE分发该合法的NVE目录。7. 根据权利要求6所述的方法,其中该合法的NVE目录是采用如下方式维护的: 该NV03网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。8. 根据权利要求1-7之一所述的方法,其中该NV03网络中的每个NVE和该NVA之间的 通信使用加密的安全通道。9. 一种在第三层网络的虚拟覆盖网络(NV03)中转发报文的第一网络虚拟边缘实体 (NVE),包括: 第一查询装置,被配置为响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报 文,将该IP报文的源IP地址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第 一虚拟网络标识符(VNID)作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连 接的第二NVE的IP地址以及所连接第二VAP; 第一丢弃装置,被配置为响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同,丢弃该IP报文;以及 第一转发装置,被配置为响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。10. 根据权利要求9所述的第一NVE,其中所述转发信息为该第一NVE存储的本地转发 信息。11. 根据权利要求10所述的第一NVE,其中所述转发信息为所述NV03网络中的网络虚 拟化授权实体(NVA)中存储的全局转发信息。12. 根据权利要求9所述的第一NVE,其中还包括: 第二查询装置,被配置为响应于从该第一NVE的支撑网络接收到NV03报文,在存储的 合法的NVE目录中查找是否存在该NV03报文的IP报文的源IP地址; 第二丢弃装置,被配置为响应于没有查找到结果,丢弃该NV03报文; 第二转发装置,被配置为响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。13. 根据权利要求12所述的第一NVE,其中所述合法的NVE目录为全部合法的NVE的 IP地址。14. 根据权利要求13所述的第一NVE,其中所述合法的NVE目录是采用如下方式建立 的: 响应于NV03网络拓扑建立,该NV03网络中的每个NVE向NVA注册,其中,该NVA从注 册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录,并且该NVA向所述每 个NVE分发该合法的NVE目录。15. 根据权利要求14所述的第一NVE,其中该合法的NVE目录是采用如下方式维护的: 该NV03网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。16. 根据权利要求9-15之一所述的第一NVE,其中该NV03网络中的每个NVE和该NVA 之间的通信使用加密的安全通道。
【专利摘要】本发明公开了一种在第三层网络的虚拟覆盖网络NVO3中第一网络虚拟边缘实体NVE转发报文的方法和NVE,方法包括:响应于从该第一NVE的第一虚拟访问点VAP接收到IP报文,将该IP报文的源IP地址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第一虚拟网络标识符VNID作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP;响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同,丢弃该IP报文;以及响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。该方法和设备能够检测DDos攻击,提高NVO3网络的安全性。
【IPC分类】H04L29/06
【公开号】CN105490995
【申请号】CN201410521094
【发明人】鲜明双, 陶孜谨, 唐刚, 黄登辉
【申请人】国际商业机器公司
【公开日】2016年4月13日
【申请日】2014年9月30日
【公告号】US20160094440
【技术领域】
[000。 本发明涉及网络安全,特别是涉及一种在第Η层网络的虚拟覆盖网络NV03中NVE 转发报文的方法和设备。
【背景技术】
[0002] 而随着云计算技术的发展,虚拟化已从传统的计算资源虚拟化扩展到计算,存储, 网络等所有IT资源的虚拟化。用户可W方便地从云计算数据中必租用IT资源,而不用直接 购买物理服务器。通过送种租借的方式,租户可W按需部署计算资源,降低总体拥有成本, 同时将硬件资源抽象为逻辑的,统一的软件虚拟资源,也可W极大的减少口资源的部署时 间,加快应用的部署,快速响应用户需求。
[0003] 从网络角度来看,多租户技术对网络虚拟化有如下需求;每个租户拥有独立 的IP地址空间,租户可W自由地规划其租用的网络;租户之间的数据相互隔离;租户的 虚拟计算资源可W任意放置到他希望的位置,而不受物理网络资源的位置限制。互联 网工程任务组(IET巧的NV03工作组提出的基于第Η层网络的虚拟覆盖网络(Network Virtualization Overlays, Layer3),可W完全满足送些需求,已经成为多租户网络虚拟化 的主流技术。
[0004] 在网络中,安全始终都是一个很重要的问题。其中一种安全问题是分布式拒绝服 务值Do巧攻击,其基本原理是攻击者发送大量的服务请求到被攻击者,从而占用大量的服 务资源,导致合法用户无法得到服务。而DDoS攻击者通常会假冒其他合法用户发起DDoS 攻击,来逃脱安全检查和源追踪,也即攻击者发送的数据报文中的源IP为假冒IP (该源地 址不存在或者属于其他虚拟机或主机)。
[0005] 在NV03网络中,同样存在孤oS攻击。
【发明内容】
[0006] 因此,需要一种在NV03网络中能够克服孤oS攻击的NVE报文转发方法和设备。
[0007] 根据本发明的一个方面,提供了一种在第Η层网络的虚拟覆盖网络(NV03)中第 一网络虚拟边缘实体(NV巧转发报文的方法,包括:
[0008] 响应于从该第一 NVE的第一虚拟访问点(VA巧接收到IP报文,将该IP报文的源IP 地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID) 作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所连接的第二NVE的IP地址W 及所连接第二VAP ;
[0009] 响应于查找失败或者该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP 与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及
[0010] 响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP 两者都相同,使用该IP报文的目的IP地址转发该IP报文。
[0011] 根据本发明的另一个方面,提供了一种在第Η层网络的虚拟覆盖网络(NV03)中 转发报文的第一网络虚拟边缘实体(NVE),包括:
[0012] 第一查询装置,被配置为响应于从该第一 NVE的第一虚拟访问点(VAF0接收到IP 报文,将该IP报文的源IP地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的 第一虚拟网络标识符(VNID)作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所 连接的第二NVE的IP地址W及所连接第二VAP ;
[0013] 第一丢弃装置,被配置为响应于查找失败或者该第二NVE的IP地址与该第一 NVE 的IP地址、该第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及
[0014] 第一转发装置,被配置为响应于该第二NVE的IP地址与该第一 NVE的IP地址、该 第二VAP与该第一 VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。
【附图说明】
[0015] 通过结合附图对本公开示例性实施方式进行更详细的描述,本公开的上述W及其 它目的、特征和优势将变得更加明显,其中,在本公开示例性实施方式中,相同的参考标号 通常代表相同部件。
[0016] 图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框 图;
[0017] 图2示意性示出了一个NV03网络的架构示意图;
[001引 图3示出了现有的N0V3的一个示意性网络结构框图;
[0019] 图4示出了根据本发明一种实施方式的一种在NV03网络中NVE转发报文的方法 的流程;
[0020] 图5示意性示出了对通过支撑网络接收到NV03报文的转发方法;W及
[0021] 图6示意性示出了第一 NVE600的结构框图。
【具体实施方式】
[0022] 下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开 的优选实施方式,然而应该理解,可W W各种形式实现本公开而不应被送里阐述的实施方 式所限制。相反,提供送些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的 范围完整地传达给本领域的技术人员。
[0023] 图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框 图。图1显示的计算机系统/服务器12仅仅是一个示例,不应对本发明实施例的功能和使 用范围带来任何限制。
[0024] 如图1所示,计算机系统/服务器12 W通用计算设备的形式表现。计算机系统 /服务器12的组件可W包括但不限于;一个或者多个处理器或者处理单元16,系统存储器 28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
[00巧]总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器, 外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举 例来说,送些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC) 总线,增强型ISA总线、视频电子标准协会(VESA)局域总线W及外围组件互连(PCI)总线。 [0026] 计算机系统/服务器12典型地包括多种计算机系统可读介质。送些介质可W是 任何能够被计算机系统/服务器12访问的可用介质,包括易失性和非易失性介质,可移动 的和不可移动的介质。
[0027] 系统存储器28可W包括易失性存储器形式的计算机系统可读介质,例如随机存 取存储器(RAM) 30和/或高速缓存存储器32。计算机系统/服务器12可W进一步包括其 它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34 可W用于读写不可移动的、非易失性磁介质(图1未显示,通常称为"硬盘驱动器")。尽管 图1中未示出,可W提供用于对可移动非易失性磁盘(例如"软盘")读写的磁盘驱动器, W及对可移动非易失性光盘(例如CD-ROM, DVD-ROM或者其它光介质)读写的光盘驱动器。 在送些情况下,每个驱动器可W通过一个或者多个数据介质接口与总线18相连。存储器28 可W包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,送些程序模 块被配置W执行本发明各实施例的功能。
[002引具有一组(至少一个)程序模块42的程序/实用工具40,可W存储在例如存储器 28中,送样的程序模块42包括一但不限于一操作系统、一个或者多个应用程序、其它 程序模块W及程序数据,送些示例中的每一个或某种组合中可能包括网络环境的实现。程 序模块42通常执行本发明所描述的实施例中的功能和/或方法。
[0029] 计算机系统/服务器12也可W与一个或多个外部设备14 (例如键盘、指向设备、 显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的 设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信 的任何设备(例如网卡,调制解调器等等)通信。送种通信可W通过输入/输出(I/O)接 口 22进行。并且,计算机系统/服务器12还可W通过网络适配器20与一个或者多个网络 (例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适 配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示 出,可W结合计算机系统/服务器12使用其它硬件和/或软件模块,包括但不限于;微代 码、设备驱动器、兀余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器W及数据备份存 储系统等。
[0030] 图2示意性示出了本发明的方法和设备可W实施的一个NV03网络的架构示意图。 (参看 http://tools, ietf. org/id/draft-ietf-nvo3-framework-〇9. txt)。
[0031] 在图2所示的网络中,支撑网络OJnderlay network,也称底层网络,是覆盖网 络之下的支撑网络)是物理网络,用来连接各个具体的物理资源。覆盖网络(overlay network,又称为重叠网络、叠加网络)是虚拟网络,是在原有支撑网络的基础上构造的一 个新的逻辑网络,供各个租户使用。租户系统(Tenantsystem,简称T巧可W是扮演一个主 机化ost)角色的物理或虚拟系统,包括运行于主机上的虚拟机(VM)等;也可W是一个转 发元素,例如路由器,交换机,防火墙等。一个TS属于一个租户并连接到该租户的一个或多 个覆盖网络上。所有TS的覆盖网络都是通过实际的支撑网络来承载并转发数据流。对应 NV03覆盖网络而目,其支撑网络是IP网络。
[0032] 网络虚拟边缘实体NVE (Network Virtualization Edge)是连接覆盖网络和支撑 网络的逻辑实体,NVE通过虚拟访问点VAP(Virtual Access Points)连接一个具体的租 户系统,例如虚拟机VM,同时通过覆盖网络模块连接支撑网络,例如网络虚拟化授权实体 NVA (Network Virtualization Authority)或者其他 NVE。由于一个 NVE 可 W连接多个 TS, 可W使用用于区分该报文所属的虚拟网络的虚拟网络标识符VNID来区分当前VAP是属于 郝个TS。
[0033] 网络虚拟化授权实体NVA(Network Virtualization Authority)实现了整个NV03 网络管理和控制,其为用户提供管理接口和控制各个NVE的转发信息。
[0034] 支撑网络上转发的NV03网络支持的报文实际是在IP报文上进行了 VXLAN封装, 封装的报头中包含该NV03报文在NV03网络中的VNID,源IP地址,源MAC地址,W及目标 IP地址,目标MAC地址。由于NV03报文只在NVE之间传输,NV03报文中包含的IP报文内 也包含源NVE的IP地址W及目标NVE的IP地址。
[0035] 在传统网络中,最有效的假冒源IP报文过滤机制是入口过滤机制,该机制在路由 器或防火墙上进行过滤,并负责检查来自某个网络的报文是否确实源自该网络。RFC2827描 述了入口流量过滤的概念,RFC3704描述了 5种不同的实现方式,包括手工和自动配置。自 动配置方式主要使用单播逆向路径转发uRPF(Unicast Reverse Path F'orwarding)。uRPF 检查从特定端口进入路由器的报文。通过路由器的FIB表,判断该报文是否匹配报文源地 址的输出端口。如果匹配,就允许转发;如何不匹配,或者没有该源地址的路由,报文就被拒 绝。
[0036] 除了 uRPF,在主动防御领域的另一个重要方法是SAVE,由UCLA化ttp://lasr. CS. ucla. e化/save/)提出。SAVE通过建立源地址空间到入端口的映射,为路由器进行过滤 决策时提供踪迹记录。运行SAVE算法的路由器把已知的源地址空间发送到特定的目的地, 因此沿途的路由器可W获得正确的源地址空间到端口的映射表。
[0037] 可W看出,传统网络的源地址验证机制一般都需要网络设备根据支撑网络的路由 信息或者源地址前缀信息构造合法的入接口列表,由于覆盖网络是架构在支撑网络之上的 虚拟网络,其路由和源地址前缀信息对于支撑网络设备不可见,从而无法获知覆盖网络地 址的真实性,因此原有的源地址验证技术不能用于NV03网络的真实源地址验证。
[003引对于NV03网络的真实地址访问控制目前尚无有效手段。大多是通过手工配置的 访问控制列表(ACL)来过滤非法报文。但对于数据中必而言,虚拟机(VM)可W动态创建/ 删除/迁移,因此手工配置A化不是一个有效途径。同时如果NVE通过硬件专用集成电路 (ASIC)实现时,配置A(X需要额外的Η态内容寻址存储器(Ternary Content Associative Memcxry,TCAM)资源,该资源较为昂贵。
[0039] 现有技术中,当一个TS (例如一个VM)连接覆盖网络中时,NVE通过TS的注册机制 可W知道送个TS是连接在该NVE的郝个VAP端口上,W及TS所对应的IP地址(VI巧和MAC 地址(vMAC)。同时通过NVA所给的配置信息,NVE也知道VAP所对应的VNID,依据送些连接 关系信息NVE即可生成对于该TS的转发信息,例如可W使用转发表,即門T表(Forwarding In化rmationT油le)来表示转发信息。本领域技术人员可W知道,也可W使用其他数据结构 来表示转发信息。表1示出了一种包含和本发明相关的表项的FIT表结构,其中,vMAC为 TS的MAC地址;vIP为TS的IP地址;pIP为TS所连接的NVE的IP地址;VAP为TS所连接 的端口;VNID为VAP所对应的VNID,也可W理解为TS所属的VNID。
[0040] 表 1
[0041]
[004引 NVE存储的转发信息为本地转发信息桐时,NVE将送些转发信息发送给NVA,形成 全局转发信息。另外,NVA在接收到NVE转发信息时,NVA需要查找已经保存的全局转发信 息,来判定接收的NVE转发信息是否存在,如果存在并且不同于原有位置信息说明发生了 TS迁移,送时需要更新全局转发信息;如果是不存在,则是新的TS上线,NVA将接收到信息 存储在全局转发信息中,送样其他NVE就可W通过NVA查询到送些转发信息。之所W采用 局部转发信息和全局转发信息,主要是为了提高转发效率。转发信息可W通过学习(例如 Cisco VxLan)或控制协议(例如IBM DOVE)来构造和维护。本发明适用于通过控制协议来 构造的情况并假定构造该转发信息的方式是可信的。由于有许多方法可W保护控制协议免 受攻击,例如认证和授权,因此该假定是合理的。
[004引在NV03网络架构中,一个NVE所表现的功能包括;(1)从VAP接收TS发送的IP报 文,并且该IP报文的目的IP地址是该NVE直接相连的另一个VAP,直接将该IP报文转发 到该另一个VAP ; (2)从VAP接收TS发送的IP报文,并且该IP报文的目的IP地址是其他 NVE,通过其覆盖网络模块对IP报文进行VXLAN封装,并通过NV03网络将封装好的NV03报 文转发到其他NVE ;(3)从支撑网络接收到其它NVE发送的VXLAN封装后的NV03报文,通过 其覆盖网络模块将其解封装成IP报文并且该IP报文的目的IP地址是该NVE直接相连的 另一个VAP,直接将该IP报文转发到该另一个VAP ; (4)从支撑网络接收到其它NVE发送的 VXLAN封装后的NV03报文,通过其覆盖网络模块将其解封装成IP报文并且该IP报文的目 的IP地址是其他NVE,通过其覆盖网络模块对IP报文进行VXLAN封装,并通过NV03网络将 封装好的NV03报文转发到其他NVE。也就是说,NV03网络中的NVE可能收到来自覆盖网络 的IP报文,也可能收到来自支撑网络的NV03报文。W下W例子具体说明。
[0044] 图3示出了现有的N0V3的一个示意性网络结构框图,在图3中,化stl和化st2作 为支撑网络的主机,直接连接在支撑网络1和支撑网络2 ;NVE1和NVE2作为NVE节点,连接 支撑网络3和支撑网络4 ;VM1,VM2,VM3,VM4作为覆盖网络的虚拟机,其VNID为VNID1 ;VM1 和VM2分别连接在NVE1的VAP1和VAP2上;VM3和VM4分配连接在V肥2的VAP3和VAP4 上。
[004引在FIT表构建过程中,NVE1接收到VM1和VM2上线通知,生成表2所示的转发信 息,作为NVE1的本地转发信息。
[0046] 表 2
[0047]
[004引 NVE2接收到VM3和VM4上线通知,生成表3所示的转发信息,作为NVE2的本地转 发信息。
[0049] 表 3
[0050]
阳051 ] 同时NVE1和NVE2会将其本地转发信息都发送给NVA,所W NVA形成表4所示的全 局转发信息。
[0052] 表 4
[0053]
防)54] 在现有的基于转发信息的报文转发过程中,例如,VM1通过NVE1发送。报文到 VM2。则在步骤1 ;在NVE1接收到IP报文,使用IP报文目的IP地址和该目的IP地址对应 的VNID查找NVE1的转发信息,也即使用VM2-IP和VNID1作为表2中的vIP,VNID查找表 2,发现pIP为NVE1-IP,VAP为VAP2 ;在步骤2 ;NVE1发现pIP为自己,VAP为VAP2,故转发 IP报文到VAP2。
[00巧]又例如,VM1通过NVE1发送IP报文到VM3。则在步骤1 ;在NVE1,使用该IP报文 的目的IP和该目的IP地址对应的VNID,即VM3-IP和VNID1作为表2中的vIP,VNID查找 表2,此时不能查找成功;在步骤2 ;向NVA W相同的方式查询,NVA查找成功,NVA向NVE1返 回查询信息;在步骤3 ;NVE1获取到查询信息,发现查询信息中pIP为NVE2-IP,即目的NVE 为NVE2,通过覆盖网络模块封装IP报文为NV03报文,并将NV03报文转发NVE2 ;在步骤5 : 在NVE2,接收到NV03报文,先将NV03报文解封装,获得IP报文;在步骤6庙NVE2,使用IP 报文的目的IP地址和该目的IP地址对应的VNID,即VM3-IP和VNID1作为vIP和VNID查 找表3,获得查询信息pIP为NVE2-IP,VAP为VAP1 ;在步骤7 ;NVE2根据pIP为NVE2-IP确 定报文的目的NVE为自己,VAP为VAP1,故转发报文到VAP1,由此,VM3接收到IP报文。
[0056] 从NV03网络来看,一个假冒源IP攻击者可W直接在覆盖网络发起攻击,也可W直 接在支撑网络构造假冒的VXLAN封装报文,发起对覆盖网络的攻击。从上面过程看,NVEl和 NVE2都没有检查IP报文的源IP地址,所W如下非法的情况也可W将报文转发到目的地: (1)从VAP接收的IP报文从IP报文信息上看是从VM1发送到VM2或VM4的,但是IP报文 的源IP不是VM1,而是VM3,甚至是不存在的VM5 ; (2)发送到NVE2的NV03报文对应覆盖网 络的源IP地址是VM1,或者VM2,甚至是不存在的VM5,目的IP地址是VM3 ;对应的支撑网络 报文的源IP地址是hostl,目的IP地址是NVE2 ;送两种情况都是假冒源IP的攻击方式,但 是由于NVE转发仅仅检查目的IP地址,故所有报文都可W转发到对应的目的。因此,现有 NV03网络的报文转发过程不能对报文的真实地址进行确定,无法防止DDos攻击。
[0057] 本发明提出了一种在NV03网络中NVE转发报文的方法,图4示出了该方法的流 程,根据图4,在步骤S401,响应于从该第一 NVE的第一虚拟访问点(VA巧接收到IP报文, 将该IP报文的源IP地址作为第一租户系统灯巧的IP地址,并将该IP报文所属的第一虚 拟网络标识符(VNID)作为该第一 TS所属的VNID,查找转发信息来获得该第一 TS所连接 的 第二NVE的IP地址W及所连接第二VAP ;在步骤S402,响应于查找失败或者该第二NVE的 IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP 报文;在步骤S403,响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该 第一 VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。送里使用该IP报文 的目的IP地址转发该IP报文使用的是W上描述的现有技术,具体如何实现不再赏述。
[0058] 在一种实施方式中,步骤S401中的转发信息为为该第一 NVE存储的本地转发信 息,送里无需使用NVA中的全局转发信息,送样可W提高查询效率,提高转发速度。在另外 一种实施方式中,转发信息为所述NV03网络中的网络虚拟化授权实体(NVA)中存储的全局 转发信息。
[005引将图4所示的方法应用到图3所示的例子中,例如,VM1通过NVE1发送数据报文到 VM2或VM3。则在V肥1的报文转发过程中,首先从VAP1接收到VM1发送的报文,获得该报文 的源IP地址(VM1-I巧和所对应的VNID(VNIDl);然后将VM1-IP和VNID1作为TS(VMl)的 IP地址和TS所对应的VNID,查找转发信息,获得VM1-IP所连接的NVE的IP地址(NVE1-IP) W及VM1所连接的端口(VAP1),与当前NVE (NVE1)的IP地址相同,并且VM1所连接的VAP1 与当前接收该IP报文的VAP(VAPl)相同,因此,该报文合法,可W进一步使用转发流程转 发,转发的过程和现有技术相同,W上示例中已经给出,送里不再赏述。但是如果NVE1从 VAP1接收的发送到VM2 IP报文的源IP地址不是VM1-IP,而是VM3-IP,甚至是不存在的 VM5-IP,此时使用IP报文的源IP地址查询NVE1上的转发信息,得到的NVE的IP地址就不 是NVE1-IP,就与当前NVE1的IP地址不同,就能够确认其为欺诈报文,属于DDos攻击,就可 W抛弃该报文。
[0060] 对于图3所示在VM1通过NVE1发送数据报文到VM3的示例中,NVE2通过支撑网 络(IP网路)接收到NV03报文,该NV03报文可能是hostl假冒VM1通过NVE1发送给VM3 的攻击报文。此时NV03报文的覆盖网络的源IP地址为VM1-IP,目的IP地址为VM3-IP, 其IP报文中的源IP地址为化St 1的IP地址。送也是一种孤0S攻击报文。可W在每一个 NVE中存储着合法的NVE目录,由于NV03报文只在NVE之间传输,并且NV03报文中包含的 IP报文内也包含源NVE的IP地址,该NV03报文的IP报文源IP地址也就是源NVE的IP地 址,如果其是合法的NVE,应该在合法的NVE目录中可W找到,如果找不到,就是非法的NVE, 就被判定为DDos攻击报文,报文就会被丢弃;相反,判断为合法的报文就会被正常转发。 [006。 因此,在一种实施方式中,公开了对送种NV03报文的处理方法,图5示意性示出了 对通过支撑网络接收到NV03报文的转发方法,根据图5,在步骤S501,响应于从该第一 NVE 的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是否存在该NV03报文的IP 报文的源IP地址;在步骤S502,响应于没有查找到结果,丢弃该NV03报文;在步骤S503中, 响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。使用该NV03报文 的目的IP地址转发该NV03报文就是采用的NV03网络中的现有技术,送里不再赏述其如何 实现。
[0062] 合法的NVE目录为全部合法的NVE的IP地址。合法的NVE目录可W在网络拓扑 建立时由系统管理员手工输入并存储;也可W响应于NV03网络拓扑建立,该NV03网络中的 每个NVE向NVA注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成 该合法的NVE目录,并且该NVA向所述每个NVE分发该合法的NVE目录。例如,在图3的表 2和表3的形成过程中,假设NVE1先上线,NVE2后上线。首先,NVE1上线并在NVA上注册 它的源IP地址NVE1-IP ;然后NVA通知NVE1仅仅只有NVE1-IP上线,最后NVE1保存合法 的NVE目录如表5所示。然后NVE2上线并在NVA上注册他的源IP地址NVE2-IP,再有NVA 通知NVE1有新NVE2-IP上线;最后NVA通知NVE1有新NVE2-IP上线,NVE1上形成合法的 NVE目录如表6所示。NVA通知NVE2有已有NVE1-IP,NVE2-IP上线,NVE2也保存如表6所 示合法的NVE目录。表5和标6的结构是示意性的,本领域技术人员可W知道,可W采用任 何数据结构表达合法的NVE目录。
[0063] 表 5
[0064]
[00巧] 表6
[0066]
[0067] NVE 一旦出现问题,会造成合法的NVE目录的改变,因此,在一种实施方式中,在线 的NVE和NVA之间需要建立保活机制,从而使合法的NVE目录的更新。也就是说,该NV03 网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。在一种实 施方式中,NVA定期探测其他NVE的在线情况,也即NVA周期性向所有的NVE发送一个在线 探测请求报文,如果NVE在线,其立即回应一个探测应答报文。当NVA能够接收到NVE的探 测应答报文时,即知道NVE在线。但一定周期内没有接收到NVE的应答报文时,即认为保活 超时,NVE不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。在另一种 实施方式中,NVA和NVE维护同步的定时器,也即NVA不向所有的NVE发送一个在线探测请 求报文,如果NVE在线,其定期向NVA发送保活报文。当NVA能够定且接收到NVE的保活报 文时,即知道NVE在线。但一定周期内没有接收到NVE的保活报文时,即认为保活超时,NVE 不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。
[006引为了进一步提高安全性,在NVE之间的通信使用加密的安全通道 (SecureChannel),例如可W使用IPsec,SSL/TLS等加密方式。由于IPsec,SSL/TLS等加密 方式已经成为业界标准,送里不详细讨论。
[0069] 在同一个发明构思下,本发明的实施例还公开了一种在第Η层网络的虚拟覆盖网 络(NV03)中转发报文的第一网络虚拟边缘实体(NVE),图6示意性示出了第一NVE600的结 构框图,根据图6,该第一 NVE包括;第一查询装置601,被配置为响应于从该第一 NVE的第 一虚拟访问点(VA巧接收到IP报文,将该IP报文的源IP地址作为第一租户系统灯巧的 IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一 TS所属的VNID,查 找转发信息来获得该第一 TS所连接的第二NVE的IP地址W及所连接第二VAP ;第一丢弃 装置602,被配置为响应于查找失败或者该第二NVE的IP地址与该第一 NVE的IP地址、该 第二VAP与该第一 VAP两者至少之一不相同,丢弃该IP报文;W及第一转发装置603,被配 置为响应于该第二NVE的IP地址与该第一 NVE的IP地址、该第二VAP与该第一 VAP两者 都相同,使用该IP报文的目的IP地址转发该IP报文。
[0070] 在一种实施方式中,所述转发信息为该第一 NVE存储的本地转发信息。在另外一 种实施方式中,转发信息为所述NV03网络中的网络虚拟化授权实体(NVA)中存储的全局转 发信息。
[0071] 在一种实施方式中,图6所示的NVE还包括;第二查询装置604,被配置为响应于 从该第一 NVE的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是否存在该 NV03报文的IP报文的源IP地址;第二丢弃装置,被配置为响应于没有查找到结果,丢弃该 NV03报文605 ; W及第二转发装置606,被配置为响应于查找到结果,使用该NV03报文的目 的IP地址转发该NV03报文。
[0072] 在一种实施方式中,所述合法的NVE目录为全部合法的NVE的IP地址。合法的 NVE目录是采用如下方式建立的;响应于NV03网络拓扑建立,该NV03网络中的每个NVE向 NVA注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE 目录,并且该NVA向所述每个NVE分发该合法的NVE目录。
[0073] 在一种实施方式中,合法的NVE目录是采用如下方式维护的:该NV03网络中的每 个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。
[0074] 并且,该NV03网络中的每个NVE和该NVA之间的通信使用加密的安全通道。
[0075] 本发明可W是系统、方法和/或计算机程序产品。计算机程序产品可W包括计算 机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
[0076] 计算机可读存储介质可W是可W保持和存储由指令执行设备使用的指令的有形 设备。计算机可读存储介质例如可W是一-但不限于一一电存储设备、磁存储设备、光存储 设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质 的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只 读存储器(ROM)、可擦式可编程只读存储器巧PROM或闪存)、静态随机存取存储器(SRAM)、 便携式压缩盘只读存储器(CD-ROM)、数字多功能盘值VD)、记忆棒、软盘、机械编码设备、例 如其上存储有指令的打孔卡或凹槽内凸起结构、W及上述的任意合适的组合。送里所使用 的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁 波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电 线传输的电信号。
[0077] 送里所描述的计算机可读程序指令可W从计 算机可读存储介质下载到各个计算/ 处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或 外部存储设备。网络可W包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网 关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接 收计算机可读程序指令,并转发该计算机可读程序指令,W供存储在各个计算/处理设备 中的计算机可读存储介质中。
[007引用于执行本发明操作的计算机程序指令可W是汇编指令、指令集架构(ISA)指 令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者W-种或多种编程语 言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言一诸如 Java、Smalltalk、C++等,W及常规的过程式编程语目一诸如"C"语目或类似的编程语目。 计算机可读程序指令可W完全地在用户计算机上执行、部分地在用户计算机上执行、作为 一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程 计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可W通过任意种类的网 络一包括局域网(LAN)或广域网(WAN)-连接到用户计算机,或者,可W连接到外部计算机 (例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可 读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程口阵列 (FPGA)或可编程逻辑阵列(PLA),该电子电路可W执行计算机可读程序指令,从而实现本 发明的各个方面。
[0079] 送里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/ 或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框W及流程图和 /或框图中各方框的组合,都可W由计算机可读程序指令实现。
[0080] 送些计算机可读程序指令可W提供给通用计算机、专用计算机或其它可编程数据 处理装置的处理器,从而生产出一种机器,使得送些指令在通过计算机或其它可编程数据 处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功 能/动作的装置。也可W把送些计算机可读程序指令存储在计算机可读存储介质中,送些 指令使得计算机、可编程数据处理装置和/或其他设备W特定方式工作,从而,存储有指令 的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框 中规定的功能/动作的各个方面的指令。
[0081] 也可W把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它 设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,W产 生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的 指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
[0082] 附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程 序产品的可能实现的体系架构、功能和操作。在送点上,流程图或框图中的每个方框可W 代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个 用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能 也可不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可W基本并行地 执行,它们有时也可W按相反的顺序执行,送依所涉及的功能而定。也要注意的是,框图和 /或流程图中的每个方框、W及框图和/或流程图中的方框的组合,可W用执行规定的功 能或动作的专用的基于硬件的系统来实现,或者可W用专用硬件与计算机指令的组合来实 现。
[0083] W上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也 不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技 术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨 在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领 域的其它普通技术人员能理解本文披露的各实施例。
【主权项】
1. 一种在第三层网络的虚拟覆盖网络(NV03)中第一网络虚拟边缘实体(NVE)转发报 文的方法,包括: 响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文,将该IP报文的源IP地 址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第一虚拟网络标识符(VNID) 作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连接的第二NVE的IP地址以 及所连接第二VAP; 响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该 第一VAP两者至少之一不相同,丢弃该IP报文;以及 响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者 都相同,使用该IP报文的目的IP地址转发该IP报文。2. 根据权利要求1所述的方法,其中所述转发信息为该第一NVE存储的本地转发信息。3. 根据权利要求1所述的方法,其中所述转发信息为所述NV03网络中的网络虚拟化授 权实体(NVA)中存储的全局转发信息。4. 根据权利要求1所述的方法,其中还包括: 响应于从该第一NVE的支撑网络接收到NV03报文,在存储的合法的NVE目录中查找是 否存在该NV03报文的IP报文的源IP地址; 响应于没有查找到结果,丢弃该NV03报文; 响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。5. 根据权利要求4所述的方法,其中所述合法的NVE目录为全部合法的NVE的IP地 址。6. 根据权利要求5所述的方法,其中所述合法的NVE目录是采用如下方式建立的: 响应于NV03网络拓扑建立,该NV03网络中的每个NVE向网络虚拟化授权实体(NVA) 注册,其中,该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目 录,并且该NVA向所述每个NVE分发该合法的NVE目录。7. 根据权利要求6所述的方法,其中该合法的NVE目录是采用如下方式维护的: 该NV03网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。8. 根据权利要求1-7之一所述的方法,其中该NV03网络中的每个NVE和该NVA之间的 通信使用加密的安全通道。9. 一种在第三层网络的虚拟覆盖网络(NV03)中转发报文的第一网络虚拟边缘实体 (NVE),包括: 第一查询装置,被配置为响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报 文,将该IP报文的源IP地址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第 一虚拟网络标识符(VNID)作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连 接的第二NVE的IP地址以及所连接第二VAP; 第一丢弃装置,被配置为响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同,丢弃该IP报文;以及 第一转发装置,被配置为响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。10. 根据权利要求9所述的第一NVE,其中所述转发信息为该第一NVE存储的本地转发 信息。11. 根据权利要求10所述的第一NVE,其中所述转发信息为所述NV03网络中的网络虚 拟化授权实体(NVA)中存储的全局转发信息。12. 根据权利要求9所述的第一NVE,其中还包括: 第二查询装置,被配置为响应于从该第一NVE的支撑网络接收到NV03报文,在存储的 合法的NVE目录中查找是否存在该NV03报文的IP报文的源IP地址; 第二丢弃装置,被配置为响应于没有查找到结果,丢弃该NV03报文; 第二转发装置,被配置为响应于查找到结果,使用该NV03报文的目的IP地址转发该NV03报文。13. 根据权利要求12所述的第一NVE,其中所述合法的NVE目录为全部合法的NVE的 IP地址。14. 根据权利要求13所述的第一NVE,其中所述合法的NVE目录是采用如下方式建立 的: 响应于NV03网络拓扑建立,该NV03网络中的每个NVE向NVA注册,其中,该NVA从注 册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录,并且该NVA向所述每 个NVE分发该合法的NVE目录。15. 根据权利要求14所述的第一NVE,其中该合法的NVE目录是采用如下方式维护的: 该NV03网络中的每个NVE和该NVA之间定期通信,从而保持该合法的NVE目录的更新。16. 根据权利要求9-15之一所述的第一NVE,其中该NV03网络中的每个NVE和该NVA 之间的通信使用加密的安全通道。
【专利摘要】本发明公开了一种在第三层网络的虚拟覆盖网络NVO3中第一网络虚拟边缘实体NVE转发报文的方法和NVE,方法包括:响应于从该第一NVE的第一虚拟访问点VAP接收到IP报文,将该IP报文的源IP地址作为第一租户系统(TS)的IP地址,并将该IP报文所属的第一虚拟网络标识符VNID作为该第一TS所属的VNID,查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP;响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同,丢弃该IP报文;以及响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同,使用该IP报文的目的IP地址转发该IP报文。该方法和设备能够检测DDos攻击,提高NVO3网络的安全性。
【IPC分类】H04L29/06
【公开号】CN105490995
【申请号】CN201410521094
【发明人】鲜明双, 陶孜谨, 唐刚, 黄登辉
【申请人】国际商业机器公司
【公开日】2016年4月13日
【申请日】2014年9月30日
【公告号】US20160094440
最新回复(0)