一种VXLAN动态接入方法、装置、设备及介质转让专利
申请号 : CN201710591196.X
文献号 : CN107547345B
文献日 : 2021-01-29
发明人 : 黄李伟 , 王伟 , 王丽芳
申请人 : 新华三技术有限公司
摘要 :
本申请实施例提供了一种虚似扩展局域网VXLAN动态接入方法、装置、设备及介质,应用于VXLAN隧道端点VTEP设备,方法包括:接收来自虚拟机VM的登录请求报文,根据登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;当接收到的第一认证请求对应的第一认证结果为认证未通过时,创建VM对应的访客动态接入点;根据访客动态接入点记录的信息以及针对访客接入点设置的访问规则,判断登录请求报文是否为可疑报文;若为是,则在本地保存访客动态接入点的关键信息,并删除访客动态接入点,关键信息包括VM的用户信息。应用本申请实施例能够在VTEP设备收到大量攻击报文的情况下,保证用户业务的正常使用。
权利要求 :
1.一种虚拟扩展局域网VXLAN动态接入方法,其特征在于,应用于VXLAN隧道端点VTEP设备,所述方法包括:接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
若为是,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
2.根据权利要求1所述的方法,其特征在于,在所述删除所述访客动态接入点的步骤之后,所述方法还包括:按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求;
当接收到的所述第二认证请求对应的第二认证结果为认证未通过时,从所述本地删除所述关键信息;
当接收到的所述第二认证结果为认证通过时,创建所述VM对应的VXLAN业务接入点。
3.根据权利要求2所述的方法,其特征在于,所述当接收到的所述第二认证请求对应的第二认证结果为认证未通过时,从所述本地删除所述关键信息的步骤,包括:从所述访客动态接入点的关键信息中获取所述VM的IP地址;
根据所述IP地址,生成针对所述VM的探测报文;
按照预设探测周期,向所述VM发送所述探测报文;
判断在预设探测时间段内,是否接收到来自所述VM的探测报文响应;
若在预设探测时间段内没有接收到来自所述VM的探测报文响应,则确定所述登录请求报文为恶意请求报文;
当所述登录请求报文为恶意请求报文,且接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息。
4.根据权利要求2所述的方法,其特征在于,在所述接收来自虚拟机VM的登录请求报文的步骤之后,所述方法还包括:判断所述本地是否保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址;
若为否,则执行所述根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求的步骤;
若为是,则执行所述按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求的步骤。
5.根据权利要求1所述的方法,其特征在于,所述根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文的步骤,包括:从所述访客动态接入点记录的信息中获取源MAC地址;
按照预设的第二认证周期,根据所述源MAC地址向所述认证服务器发起第三认证请求;
判断接收到的所述第三认证请求对应的第三认证结果是否均为认证未通过且所述第三认证结果为认证未通过的次数是否超过预设次数阈值,或,接收到的所述第三认证请求对应的第三认证结果是否为认证未通过且所述访客动态接入点的存在时长是否超过预设时长阈值;
若为是,则确定所述登录请求报文为可疑报文。
6.根据权利要求1所述的方法,其特征在于,在所述在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点的步骤之后,所述方法还包括:根据本地保存的所述访客动态接入点的关键信息,生成记录表;
针对所述记录表保存的所有访客动态接入点对应的VM,建立一个公共访客动态接入点。
7.一种虚拟扩展局域网VXLAN动态接入装置,其特征在于,所述装置包括:第一发起单元,用于接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
第一创建单元,用于当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
第一判断单元,用于根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
第一删除单元,用于若所述第一判断单元的判断结果为所述登录请求报文为可疑报文,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:第二发起单元,用于按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求;
第二删除单元,用于当接收到的所述第二认证请求对应的第二认证结果为认证未通过时,从所述本地删除所述关键信息;
第二创建单元,用于当接收到的所述第二认证结果为认证通过时,创建所述VM对应的VXLAN业务接入点。
9.根据权利要求8所述的装置,其特征在于,所述第二删除单元,包括:第一获取子单元、生成子单元、发送子单元、第一判断子单元、第一确定子单元和删除子单元;
所述第一获取子单元,用于从所述访客动态接入点的关键信息中获取所述VM的IP地址;
所述生成子单元,用于根据所述IP地址,生成针对所述VM的探测报文;
所述发送子单元,用于按照预设探测周期,向所述VM发送所述探测报文;
所述第一判断子单元,用于判断在预设探测时间段内,是否接收到来自所述VM的探测报文响应;
所述第一确定子单元,用于若所述判断子单元的判断结果为在预设探测时间段内没有接收到来自所述VM的探测报文响应,则确定所述登录请求报文为恶意请求报文;
所述删除子单元,用于当所述登录请求报文为恶意请求报文,且接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:第二判断单元,用于判断所述本地是否保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址;
第一执行单元,用于若所述第二判断单元的判断结果为所述本地未保存与所述登录请求报文中携带的源MAC地址匹配的MAC地址,则执行所述根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求的步骤;
第二执行单元,用于若所述第二判断单元的判断结果为所述本地保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址,则执行所述按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求的步骤。
11.根据权利要求7所述的装置,其特征在于,所述第一判断单元,包括:第二获取子单元、发起子单元、第二判断子单元和第二确定子单元;
所述第二获取子单元,用于从所述访客动态接入点记录的信息中获取所述源MAC地址;
所述发起子单元,用于按照预设的第二认证周期,根据所述源MAC地址向所述认证服务器发起第三认证请求;
所述第二判断子单元,用于判断接收到的所述第三认证请求对应的第三认证结果是否均为认证未通过且所述第三认证结果为认证未通过的次数是否超过预设次数阈值,或,接收到的所述第三认证请求对应的第三认证结果是否为认证未通过且所述访客动态接入点的存在时长是否超过预设时长阈值;
所述第二确定子单元,用于若所述第二判断子单元的判断结果为接收到的所述第三认证请求对应的第三认证结果均为认证未通过且所述第三认证结果为认证未通过的次数超过预设次数阈值,或,所述第二判断子单元的判断结果为接收到的所述第三认证请求对应的第三认证结果为认证未通过且所述访客动态接入点的存在时长超过预设时长阈值,则确定所述登录请求报文为可疑报文。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括;
生成单元,用于根据本地保存的所述访客动态接入点的关键信息,生成记录表;
建立单元,用于针对所述记录表保存的所有访客动态接入点对应的VM,建立一个公共访客动态接入点。
13.一种虚拟扩展局域网VTEP设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-6任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-6任一所述的方法步骤。
说明书 :
一种VXLAN动态接入方法、装置、设备及介质
技术领域
[0001] 本申请涉及网络通信技术领域,特别是涉及一种虚拟扩展局域网(Virtual Extensible LAN,VXLAN)动态接入方法、装置、设备及介质。
背景技术
[0002] 随着VXLAN技术的快速推广,VXLAN承载的业务量也越来越大。为了使用户能够快速接入VXLAN,VXLAN隧道端点(VXLAN Tunnel End Point,VTEP)设备为用户提供了自动接入功能。
[0003] 参考图1,图1为现有技术中的VXLAN网络架构示意图。如图1所示,VXLAN包括虚拟机(Virtual Machine,VM)、VTEP设备和认证服务器,其中,VM与VTEP设备互通,VTEP设备与认证服务器互通;具体的,VXLAN自动接入的过程为:
[0004] 用户使用VM向VTEP设备发送登录请求报文,VTEP设备根据登录请求报文中携带的源物理(Media Access Control,MAC)地址,向认证服务器发起认证请求;
[0005] VTEP设备接收到来自认证服务器针对该源MAC地址的认证结果;当认证结果为认证成功时,VTEP设备创建该VM对应的VXLAN业务接入点,以便使用该VM的用户成功接入VXLAN;当认证结果为认证失败时,VTEP设备创建该VM对应的访客动态接入点;
[0006] VTEP设备每隔一段时间,根据访客动态接入点对应的源MAC地址向认证服务器发起认证请求;当认证服务器针对源MAC地址的认证成功时,VTEP设备删除该VM对应的访客动态接入点,重新建立该VM对应的VXLAN业务接入点,以便使用该VM的用户成功接入VXLAN。
发明内容
[0007] 本申请实施例的目的在于提供一种VXLAN动态接入方法、装置、设备及介质,以实现在VTEP设备收到大量攻击报文的情况下,能够保证用户业务的正常使用。具体技术方案如下:
[0008] 本申请实施例提出了一种VXLAN动态接入方法,应用于VXLAN隧道端点VTEP设备,所述方法包括:接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的源MAC地址,向认证服务器发起第一认证请求;当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;若为是,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
[0009] 本申请实施例还提出了一种VXLAN动态接入装置,所述装置包括:第一发起单元,用于接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;第一创建单元,用于当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;第一判断单元,用于根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;第一删除单元,用于若所述第一判断单元的判断结果为所述登录请求报文为可疑报文,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
[0010] 本申请实施例又提出了一种VTEP设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现本申请实施例提供的VXLAN动态接入方法。
[0011] 本申请实施例另提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现本申请实施例提供的VXLAN动态接入方法。
[0012] 通过上述内容可以看出,当登录请求报文为可疑报文,比如攻击报文时,VTEP设备可以通过在本地保存这些登录请求报文对应的访客动态接入点的关键信息之后删除这些报文对应的访客动态接入点,来控制已创建的访客动态接入点的数量,避免出现由于访客接入点的数量达到规格时,VTEP设备无法再为正常的用户登录请求报文创建新的访客接入点,影响用户业务的正常使用的不良现象,从而保证用户业务的正常使用。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
[0013] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014] 图1为现有技术中的VXLAN网络架构示意图;
[0015] 图2为本申请实施例中的VXLAN网络架构示意图;
[0016] 图3为本申请实施例的VXLAN动态接入方法的一种流程图;
[0017] 图4为本申请实施例的VXLAN动态接入方法的另一种流程图;
[0018] 图5为本申请实施例中,步骤402的一种具体流程图;
[0019] 图6为本申请实施例中,步骤303的又一种具体流程图;
[0020] 图7为本申请实施例的VXLAN动态接入装置的结构示意图;
[0021] 图8为本申请实施例的VTEP设备的结构图。
具体实施方式
[0022] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0023] 目前,使用较为广泛的VXLAN网络架构为脊叶架构(Leaf And Spine)的二层网络,如图2所示,图2为本申请实施例中的VXLAN网络架构示意图。
[0024] 如图2所示,VXLAN网络架构包括VM、Leaf-VTEP设备、Spine-VTEP设备以及认证服务器;其中,Leaf-VTEP1设备连接VM1和VM2,Leaf-VTEP2设备连接VM3,Spine-VTEP设备连接Leaf-VTEP1设备和Leaf-VTEP2设备,认证服务器连接Spine-VTEP设备。
[0025] 需要说明的是,本申请实施例提出的VXLAN动态接入方法、装置、设备及介质,应用于具有用户自动接入VXLAN功能的VTEP设备;通常情况下,由VXLAN网络架构中的Leaf-VTEP设备来实现这个功能,因此,后文中提到的VTEP设备默认为VXLAN网络架构中的Leaf-VTEP设备。
[0026] 当然,也可以根据实际需求,使得Spine-VTEP设备能够实现用户自动接入VXLAN的功能,在这种情况下,后文中提到的VTP设备也可以是VXLAN网络架构中的Spine-VTEP设备。
[0027] 还需要说明的是,图2所示的VXLAN网络架构只是本申请实施例的一个应用场景,本申请实施例也可以应用于其他VXLAN网络架构中具有用户自动接入VXLAN功能的VTEP设备。
[0028] 在实际应用中,当VTEP设备接收到大量可疑报文时,由于认证服务器不会对这些攻击报文认证成功,因此,VTEP设备会针对每一个攻击报文创建单独的接入点,但是,建立访客动态接入点的资源有限,如果已创建的访客动态接入点的数量达到访客动态接入点的资源规格,则VTEP设备后续即使接收到未认证且非攻击的用户登录请求报文,也无法再创建新的访客动态接入点,会影响非攻击用户的正常使用。
[0029] 本申请实施例提供了一种VXLAN动态接入方法,应用于VTEP设备。参见图3,图3为本申请实施例的VXLAN动态接入方法的一种流程图,包括如下步骤:
[0030] 步骤301,接收来自VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
[0031] 在本步骤中,用户通过VM向VTEP设备发送请求登录报文;
[0032] VTEP设备在接收到来自VM的登录请求报文后,根据登录请求报文中携带的用户信息(例如源MAC地址),向认证服务器发起第一认证请求;
[0033] 认证服务器根据第一认证请求中的源MAC地址,确定是否已经对该源MAC地址授权登录,若该源MAC地址已经被授权登录,则认证服务器向VTEP设备返回的认证结果为认证通过,若该源MAC地址尚未被授权登录,则认证服务器向VTEP设备返回的认证结果为认证未通过。
[0034] 通常情况下,登录请求报文中携带VM的用户信息包括:源MAC地址、源IP地址、目的IP地址、VM所属的虚拟网络编号VLANID以及端口号。
[0035] 步骤302,当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
[0036] 在本步骤中,当VTEP设备接收到的第一认证结果为认证未通过时,创建VM对应的访客动态接入点,具体可以是GUEST VSI动态接入点。
[0037] 其中,访客接入点包括了登录请求报文中携带的用户信息。
[0038] 步骤303,根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
[0039] 在本步骤中,VTEP设备根据在步骤302中建立的访客动态接入点和针对访客接入点设置的访问规则,判断登录请求报文是否为可疑报文。
[0040] 在实际应用中,根据访客动态接入点记录的信息以及针对访客接入点设置的访问规则具体可以包括:根据登录请求报文发送的认证请求对应的认证结果的失败次数,或者根据登录请求报文对应的访客接入点的存在时长来判断登录请求报文是否为可疑报文;当然,也可以根据实际情况确定判断登录请求报文是否为可疑报文的具体方式。
[0041] 步骤304,若所述登录请求报文为可疑报文,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点。
[0042] 其中,所述关键信息包括:所述VM的用户信息。
[0043] 在本步骤中,当VTEP设备确定登录请求报文为可疑报文时,在本地保存访客动态接入点的关键信息,并删除该访客动态接入点。
[0044] 其中,关键信息包括从访客动态接入点获取的VM的用户信息,例如源MAC地址、VLANID以及端口号等。
[0045] 本申请实施例提出的VXLAN动态接入方法,能够在VETP设备确定登录申请报文为可疑报文时,在本地保存访客动态接入点的关键信息之后,删除可疑报文对应的访客动态接入点,避免已创建的访客动态接入点的数量过多,以致达到访客动态接入点的规格。
[0046] 在本申请提供的一种实施例中,在步骤304之后,方法还可以包括:
[0047] 根据本地保存的所述访客动态接入点的关键信息,生成记录表;
[0048] 针对所述记录表保存的所有访客动态接入点对应的VM,建立一个公共访客动态接入点。
[0049] 在实际应用中,可以将所有在本地保存的访客动态接入点的关键信息汇为记录表,记录表的具体形式可以参考表1:
[0050] 源MAC地址 VLANID 端口号0-0-1 100 port1
[0051] 表1
[0052] 在表1中,从访客接入点获取的VM关键信息包括:VM的源MAC地址为0-0-1,VM的VLANID为100,VM的端口号为port1。
[0053] 这样,在用户使用的VM对应的访客动态接入点被删除,并在本地的记录表中保存被删除的访客动态接入点的用户信息的场景下,用户仍然可以使用记录表对应的公共访客动态接入点访问公开的网络资源。
[0054] 可见,在本申请实施例中,即使VTEP设备接收到大量可疑报文,也不会出现已创建的访客动态接入点的数量过多,而导致用于建立访客动态接入点资源不足的情况,当VTEP设备后续接收到正常的用户登录请求报文,就能够创建新的访客动态接入点,不会影响用户业务的正常使用;而且,由于本地保存了访客动态接入点的关键信息,因此,后续VETP设备还能够根据关键信息中保存的源MAC地址,周期性地向认证服务器发起认证请求,以在最大程度上保护每个用户业务的正常使用,尽量避免出现由于将用户的登录请求报文“误判”为可疑报文,从而使用户无法正常登录的问题;并且,针对访客动态接入点被删除但在本地的记录表中保存访客动态接入点的用户信息对应的用户,仍然可以使用记录表对应的公共访客动态接入点访问公开的网络资源。
[0055] 在本申请的一种实施例中,在步骤304中的“删除所述访客动态接入点”之后,所述方法还包括:
[0056] 按照预设的第一认证周期,根据所述本地保存的关键信息中的所述源MAC地址,向所述认证服务器发起第二认证请求;
[0057] 当接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从本地删除所述关键信息;
[0058] 当接收到的所述第二认证结果为认证通过时,创建所述VM对应的VXLAN业务接入点,并从所述本地删除所述关键信息。
[0059] 也就是说,在实际应用中,参见图4,图4为本申请实施例的VXLAN动态接入方法的另一种流程图,在步骤304之后吧,方法还包括:
[0060] 步骤401,按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求;
[0061] 其中,第一认证周期可以为5分钟,具体可以根据实际需求确定。
[0062] 在本步骤中,VETP设备根据VM的用户信息中的源MAC地址,周期性地向认证服务器发起认证请求,以根据认证结果判断登录请求报文是否为恶意请求报文;这样,不仅能够在最大程度上保护每个用户业务的正常使用,避免出现由于将用户的登录请求报文误判为恶意请求报文,从而使用户无法正常登录的问题,而且能够针对恶意请求报文进行特定处理,以免这类报文占用系统资源。
[0063] 步骤402,当接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息;
[0064] 在本步骤中,当VETP设备接收到的认证结果为认证未通过时,能够确定该可疑报文不是正常的用户登录请求报文,可能是攻击报文等恶意请求报文;此时,可以将该可疑报文对应的关键信息从本地删除。
[0065] 步骤403,当接收到的所述第二认证结果为认证通过时,创建所述VM对应的VXLAN业务接入点。
[0066] 在本步骤中,当VETP设备接收到的认证结果为认证通过时,根据本地保存的所述访客动态接入点的关键信息,创建该VM对应的VXLAN业务接入点,使该VM的用户能够成功接入VXLAN。
[0067] 可见,在本申请实施例中,当确定可疑报文为恶意请求报文时,可疑从本地删除该可疑报文对应的关键信息,避免本地保存的关键信息的数量过多,影响设备性能。
[0068] 在本申请的又一种实施例中,参见图5,图5为本申请实施例中,步骤402的一种具体流程图,步骤402“当接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息”具体可以包括如下子步骤:
[0069] 子步骤11,从所述访客动态接入点中获取所述VM的IP地址;
[0070] 子步骤12,根据所述IP地址,生成针对所述VM的探测报文;
[0071] 在实际应用中,探测报文可以为地址解析协议(Address Resolution Protocol,ARP)报文,也可以是其他类型的报文,当然,也可以将自定义报文作为探测报文。
[0072] 子步骤13,按照预设探测周期,向所述VM发送所述探测报文;
[0073] 其中,探测周期可以预设为5分钟,具体可以根据实际需求确定。
[0074] 子步骤14,判断在预设探测时间段内,是否接收到来自所述VM的探测报文响应,若为否,则执行子步骤15;
[0075] 其中,探测时间段可以预设为5分钟,具体可以根据实际需求确定。
[0076] 在本步骤中,在发送探测报文之后的探测时间段内,VETP设备判断是否接收到来自VM的探测报文响应。
[0077] 子步骤15,确定所述登录请求报文为恶意请求报文;
[0078] 在本步骤中,如果VETP设备在预设探测时间段内,没有接收到来自VM的探测报文响应,则可以进一步确定该登录请求报文不止为可疑报文,而是恶意请求报文。
[0079] 需要说明的是,即使VETP设备在当前的预设探测时间段内接收到了探测报文响应,但是,在后续的预设探测周期中,VETP设备仍旧会向VM发送探测报文,持续监控该登录请求报文是否为恶意请求报文。
[0080] 子步骤16,当所述登录请求报文为恶意请求报文,且接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息。
[0081] 在本步骤中,如果登录请求报文为恶意请求报文,且第二认证请求对应的第二认证结果均为认证未通过,则从本地删除该登录请求报文的关键信息。
[0082] 可见,本申请实施例提出的VXLAN动态接入方法,能够通过向VM发送探测报文来判断进一步判断登录请求报文是否为恶意请求报文;进而对本地保存的恶意请求的关键信息进行删除处理,避免本地保存的关键信息的数量过多。
[0083] 在实际应用中,参见图6,图6为本申请实施例中,步骤303的又一种具体流程图;步骤303“根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文”具体可以包括如下子步骤:
[0084] 子步骤21,从所述访客动态接入点中获取所述VM的所述源MAC地址;
[0085] 其中,访客动态接入点记录的信息可以包括源MAC地址。
[0086] 子步骤22,按照预设的第二认证周期,根据所述源MAC地址向所述认证服务器发起第三认证请求;
[0087] 在本步骤中,VETP设备根据VM的源MAC地址,周期性地向认证服务器发起认证请求;这样,能够在最大程度上保护每个用户业务的正常使用,尽量避免出现由于将用户的登录请求报文“误判”为可疑报文,从而使用户无法正常登录的问题。
[0088] 子步骤23,判断接收到的所述第三认证请求对应的第三认证结果是否均为认证未通过且所述第三认证结果为认证未通过的次数是否超过预设次数阈值,或,接收到的所述第三认证请求对应的第三认证结果是否为认证未通过且所述访客动态接入点的存在时长是否超过预设时长阈值,若为是,则执行子步骤24;
[0089] 在本步骤中,具体可以有两种方式来判断登录请求报文是否为可疑报文,一种是判断接收到的第三认证请求对应的第三认证结果是否均为认证未通过且第三认证结果为认证未通过的次数是否超过预设次数阈值,另一种是判断接收到的第三认证请求对应的第三认证结果是否为认证未通过且访客动态接入点的存在时长是否超过预设时长阈值。
[0090] 当然,也可以根据实际情况,选择其他方式判断登录请求报文是否为可疑报文。
[0091] 子步骤24,确定所述登录请求报文为可疑报文。
[0092] 可见,本申请实施例提出的VXLAN动态接入方法,可以通过判断接收到的认证结果是否均为认证未通过,以及认证结果为认证未通过的次数是否超过预设次数阈值,或者访客接入点的存在时长是否超过预设时长阈值来判断登录请求报文是否为可疑报文;进而对可疑报文进行删除处理,避免出现已创建的访客动态接入点的数量过多以致达到访客动态接入点的规格,影响用户业务的正常使用的问题。
[0093] 需要说明的是,上文中出现了第一认证周期和第二认证周期,其中,第一认证周期对应步骤401中的第二认证请求,第二认证周期对应子步骤22中的第三认证请求;由于子步骤22属于现有技术,因此,第二认证周期可以根据现有技术的应用情况来确定;而第一认证周期是本申请实施例提出的VXLAN动态接入方法中的参数值,可以根据本申请实施例的应用需求和应用场景来确定。
[0094] 在本申请的另一种实施例中,在步骤301中“接收来自虚拟机VM的登录请求报文”之后,所述方法还包括:
[0095] 判断所述本地是否保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址;
[0096] 若为否,则执行所述根据所述登录请求报文中携带的源MAC地址,向认证服务器发起第一认证请求的步骤;
[0097] 若为是,则执行所述按照预设的第一认证周期,根据所述本地保存的关键信息中的所述VM的接入信息,向所述认证服务器发起第二认证请求。
[0098] 其中,与源MAC地址匹配的MAC地址是指与源MAC地址有对应关系的MAC地址。
[0099] 在实际应用中,在接收来自虚拟机VM的登录请求报文时,首先,判断本地是否保存有与登录请求报文中携带的源MAC地址匹配的MAC地址;
[0100] 若为是,则说明该用户之前已经使用该VM发送过登录请求报文,且尚未认证通过,此时,可以选择不再为该VM创建对应的访客动态接入点,而是执行“按照预设的第一认证周期,根据所述本地保存的关键信息中的所述VM的接入信息,向所述认证服务器发起第二认证请求”的步骤,即图4所示的本申请实施例的VXLAN动态接入方法中的步骤401;
[0101] 若为否,则说明该用户之前没有使用过该VM发送过登录请求报文,那么,则按照正常的流程,为该VM创建对应的访客动态接入点,执行“根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求”的步骤,即图3所示的本申请实施例的VXLAN动态接入方法中的步骤301。
[0102] 这样,当同一用户由于认证未通过而反复上报大量的认证请求报文时,能够根据本地保存的关键信息对此类用户进行识别,从而避免为同一用户建立重复的访客动态接入点,同时,避免认证服务器接收到大量重复的认证请求报文,减轻认证服务器的任务负荷。
[0103] 本申请实施例又提供了一种VXLAN动态接入装置。参见图7,图7为本申请实施例的VXLAN动态接入装置的结构示意图,所述装置包括:第一发起单元701、第一创建单元702、第一判断单元703和第一删除单元704;
[0104] 第一发起单元,用于接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
[0105] 第一创建单元,用于当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
[0106] 第一判断单元,用于根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
[0107] 第一删除单元,用于若所述第一判断单元的判断结果为所述登录请求报文为可疑报文,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
[0108] 在本申请的一种实施例中,所述装置还包括:
[0109] 第二发起单元,用于按照预设的第一认证周期,根据所述本地保存的所述VM的用户信息,向所述认证服务器发起第二认证请求;
[0110] 第二删除单元,用于当接收到的所述第二认证请求对应的第二认证结果为认证未通过时,从所述本地删除所述关键信息;
[0111] 第二创建单元,用于当接收到的所述第二认证结果为认证通过时,创建所述VM对应的VXLAN业务接入点。
[0112] 在本申请的又一种实施例中,所述第二删除单元,包括:第一获取子单元、生成子单元、发送子单元、第一判断子单元、第一确定子单元和删除子单元;
[0113] 所述第一获取子单元,用于从所述访客动态接入点中获取所述VM的IP地址;
[0114] 所述生成子单元,用于根据所述IP地址,生成针对所述VM的探测报文;
[0115] 所述发送子单元,用于按照预设探测周期,向所述VM发送所述探测报文;
[0116] 所述第一判断子单元,用于判断在预设探测时间段内,是否接收到来自所述VM的探测报文响应;
[0117] 所述第一确定子单元,用于若所述判断子单元的判断结果为在预设探测时间段内没有接收到来自所述VM的探测报文响应,则确定所述登录请求报文为恶意请求报文;
[0118] 所述删除子单元,用于当所述登录请求报文为恶意请求报文,且接收到的所述第二认证请求对应的第二认证结果均为认证未通过时,从所述本地删除所述关键信息。
[0119] 在本申请的另一种实施例中,所述装置还包括:
[0120] 第二判断单元,用于判断所述本地是否保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址;
[0121] 第一执行单元,用于若所述第二判断单元的判断结果为所述本地未保存与所述登录请求报文中携带的源MAC地址匹配的MAC地址,则执行所述根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求的步骤;
[0122] 第二执行单元,用于若所述第二判断单元的判断结果为所述本地保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址,则执行所述按照预设的第一认证周期,根据所述本地保存的关键信息中的所述VM的接入信息,向所述认证服务器发起第二认证请求。
[0123] 在本申请的再一种实施例中,所述第一判断单元703,包括:第二获取子单元、发起子单元、第二判断子单元和第二确定子单元;
[0124] 所述第二获取子单元,用于从所述访客动态接入点记录的信息中获取所述源MAC地址;
[0125] 所述发起子单元,用于按照预设的第二认证周期,根据所述源MAC地址向所述认证服务器发起第三认证请求;
[0126] 所述第二判断子单元,用于判断接收到的所述第三认证请求对应的第三认证结果是否均为认证未通过且所述第三认证结果为认证未通过的次数是否超过预设次数阈值,或,接收到的所述第三认证请求对应的第三认证结果是否为认证未通过且所述访客动态接入点的存在时长是否超过预设时长阈值;
[0127] 所述第二确定子单元,用于若所述第二判断子单元的判断结果为接收到的所述第三认证请求对应的第三认证结果均为认证未通过且所述第三认证结果为认证未通过的次数超过预设次数阈值,或,所述第二判断子单元的判断结果为接收到的所述第三认证请求对应的第三认证结果为认证未通过且所述访客动态接入点的存在时长超过预设时长阈值,则确定所述登录请求报文为可疑报文。
[0128] 在本申请的再一种实施例中,所述装置还包括;
[0129] 生成单元,用于根据本地保存的所述访客动态接入点的关键信息,生成记录表;
[0130] 建立单元,用于针对所述记录表保存的所有访客动态接入点对应的VM,建立一个公共访客动态接入点。
[0131] 可见,本申请实施例提供的VXLAN动态接入装置在确定登录申请报文为可疑报文时,能够在本地保存可疑报文对应的访客动态接入点的关键信息,并删除可疑报文对应的访客动态接入点,避免已创建的访客动态接入点的数量过多,以致达到访客动态接入点的规格。这样,即使VTEP设备接收到大量攻击报文,也不会出现已创建的访客动态接入点的数量过多的情况,当VTEP设备后续再接收到正常的用户登录请求报文,就能够创建新的访客动态接入点,不会影响用户业务的正常使用。
[0132] 本申请实施例还提供了一种VTEP设备,如图8所示,图8为本申请实施例的VTEP设备的结构图;在图8中,VTEP设备包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,[0133] 存储器803,用于存放计算机程序;
[0134] 处理器801,用于执行存储器803上所存放的程序时,实现如下步骤:
[0135] 接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
[0136] 当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
[0137] 根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
[0138] 若为是,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
[0139] 上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
[0140] 通信接口用于上述电子设备与其他设备之间的通信。
[0141] 存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。存储器还可以是至少一个位于远离前述处理器的存储装置。
[0142] 上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0143] 可见,本申请实施例提供的VETP设备在确定登录申请报文为可疑报文时,能够在本地保存可疑报文对应的访客动态接入点的关键信息,并删除可疑报文对应的访客动态接入点,避免已创建的访客动态接入点的数量过多,以致达到访客动态接入点的规格。这样,即使VTEP设备接收到大量攻击报文,也不会出现已创建的访客动态接入点的数量过多的情况,当VTEP设备后续再接收到正常的用户登录请求报文,就能够创建新的访客动态接入点,不会影响用户业务的正常使用。
[0144] 本申请实施例另提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现如下步骤:
[0145] 接收来自虚拟机VM的登录请求报文,根据所述登录请求报文中携带的用户信息,向认证服务器发起第一认证请求;
[0146] 当接收到的所述第一认证请求对应的第一认证结果为认证未通过时,创建所述VM对应的访客动态接入点;
[0147] 根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则,判断所述登录请求报文是否为可疑报文;
[0148] 若为是,则在本地保存所述访客动态接入点的关键信息,并删除所述访客动态接入点,所述关键信息包括:所述VM的用户信息。
[0149] 可见,本申请实施例提供的计算机可读存储介质在确定登录申请报文为可疑报文时,能够在本地保存可疑报文对应的访客动态接入点的关键信息,并删除可疑报文对应的访客动态接入点,避免已创建的访客动态接入点的数量过多,以致达到访客动态接入点的规格。这样,即使VTEP设备接收到大量攻击报文,也不会出现已创建的访客动态接入点的数量过多的情况,当VTEP设备后续再接收到正常的用户登录请求报文,就能够创建新的访客动态接入点,不会影响用户业务的正常使用。
[0150] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0151] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0152] 以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。