一種在nvo3網(wǎng)絡(luò)中nve轉(zhuǎn)發(fā)報文的方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[000。 本發(fā)明涉及網(wǎng)絡(luò)安全，特別是涉及一種在第Η層網(wǎng)絡(luò)的虛擬覆蓋網(wǎng)絡(luò)NV03中NVE 轉(zhuǎn)發(fā)報文的方法和設(shè)備。
【背景技術(shù)】
[0002] 而隨著云計算技術(shù)的發(fā)展，虛擬化已從傳統(tǒng)的計算資源虛擬化擴(kuò)展到計算，存儲， 網(wǎng)絡(luò)等所有IT資源的虛擬化。用戶可W方便地從云計算數(shù)據(jù)中必租用IT資源，而不用直接 購買物理服務(wù)器。通過送種租借的方式，租戶可W按需部署計算資源，降低總體擁有成本， 同時將硬件資源抽象為邏輯的，統(tǒng)一的軟件虛擬資源，也可W極大的減少口資源的部署時 間，加快應(yīng)用的部署，快速響應(yīng)用戶需求。
[0003] 從網(wǎng)絡(luò)角度來看，多租戶技術(shù)對網(wǎng)絡(luò)虛擬化有如下需求；每個租戶擁有獨立 的IP地址空間，租戶可W自由地規(guī)劃其租用的網(wǎng)絡(luò)；租戶之間的數(shù)據(jù)相互隔離；租戶的 虛擬計算資源可W任意放置到他希望的位置，而不受物理網(wǎng)絡(luò)資源的位置限制?；ヂ?lián) 網(wǎng)工程任務(wù)組（IET巧的NV03工作組提出的基于第Η層網(wǎng)絡(luò)的虛擬覆蓋網(wǎng)絡(luò)（Network Virtualization Overlays, Layer3)，可W完全滿足送些需求，已經(jīng)成為多租戶網(wǎng)絡(luò)虛擬化 的主流技術(shù)。
[0004] 在網(wǎng)絡(luò)中，安全始終都是一個很重要的問題。其中一種安全問題是分布式拒絕服 務(wù)值Do巧攻擊，其基本原理是攻擊者發(fā)送大量的服務(wù)請求到被攻擊者，從而占用大量的服 務(wù)資源，導(dǎo)致合法用戶無法得到服務(wù)。而DDoS攻擊者通常會假冒其他合法用戶發(fā)起DDoS 攻擊，來逃脫安全檢查和源追蹤，也即攻擊者發(fā)送的數(shù)據(jù)報文中的源IP為假冒IP (該源地 址不存在或者屬于其他虛擬機或主機）。
[0005] 在NV03網(wǎng)絡(luò)中，同樣存在孤oS攻擊。

【發(fā)明內(nèi)容】

[0006] 因此，需要一種在NV03網(wǎng)絡(luò)中能夠克服孤oS攻擊的NVE報文轉(zhuǎn)發(fā)方法和設(shè)備。
[0007] 根據(jù)本發(fā)明的一個方面，提供了一種在第Η層網(wǎng)絡(luò)的虛擬覆蓋網(wǎng)絡(luò)（NV03)中第 一網(wǎng)絡(luò)虛擬邊緣實體（NV巧轉(zhuǎn)發(fā)報文的方法，包括：
[0008] 響應(yīng)于從該第一 NVE的第一虛擬訪問點（VA巧接收到IP報文，將該IP報文的源IP 地址作為第一租戶系統(tǒng)燈巧的IP地址，并將該IP報文所屬的第一虛擬網(wǎng)絡(luò)標(biāo)識符（VNID) 作為該第一 TS所屬的VNID，查找轉(zhuǎn)發(fā)信息來獲得該第一 TS所連接的第二NVE的IP地址W 及所連接第二VAP ;
[0009] 響應(yīng)于查找失敗或者該第二NVE的IP地址與該第一 NVE的IP地址、該第二VAP 與該第一 VAP兩者至少之一不相同，丟棄該IP報文；W及
[0010] 響應(yīng)于該第二NVE的IP地址與該第一 NVE的IP地址、該第二VAP與該第一 VAP 兩者都相同，使用該IP報文的目的IP地址轉(zhuǎn)發(fā)該IP報文。
[0011] 根據(jù)本發(fā)明的另一個方面，提供了一種在第Η層網(wǎng)絡(luò)的虛擬覆蓋網(wǎng)絡(luò)（NV03)中 轉(zhuǎn)發(fā)報文的第一網(wǎng)絡(luò)虛擬邊緣實體（NVE)，包括：
[0012] 第一查詢裝置，被配置為響應(yīng)于從該第一 NVE的第一虛擬訪問點（VAF0接收到IP 報文，將該IP報文的源IP地址作為第一租戶系統(tǒng)燈巧的IP地址，并將該IP報文所屬的 第一虛擬網(wǎng)絡(luò)標(biāo)識符（VNID)作為該第一 TS所屬的VNID，查找轉(zhuǎn)發(fā)信息來獲得該第一 TS所 連接的第二NVE的IP地址W及所連接第二VAP ;
[0013] 第一丟棄裝置，被配置為響應(yīng)于查找失敗或者該第二NVE的IP地址與該第一 NVE 的IP地址、該第二VAP與該第一 VAP兩者至少之一不相同，丟棄該IP報文；W及
[0014] 第一轉(zhuǎn)發(fā)裝置，被配置為響應(yīng)于該第二NVE的IP地址與該第一 NVE的IP地址、該 第二VAP與該第一 VAP兩者都相同，使用該IP報文的目的IP地址轉(zhuǎn)發(fā)該IP報文。
【附圖說明】
[0015] 通過結(jié)合附圖對本公開示例性實施方式進(jìn)行更詳細(xì)的描述，本公開的上述W及其 它目的、特征和優(yōu)勢將變得更加明顯，其中，在本公開示例性實施方式中，相同的參考標(biāo)號 通常代表相同部件。
[0016] 圖1示出了適于用來實現(xiàn)本發(fā)明實施方式的示例性計算機系統(tǒng)/服務(wù)器12的框 圖；
[0017] 圖2示意性示出了一個NV03網(wǎng)絡(luò)的架構(gòu)示意圖；
[001引 圖3示出了現(xiàn)有的N0V3的一個示意性網(wǎng)絡(luò)結(jié)構(gòu)框圖；
[0019] 圖4示出了根據(jù)本發(fā)明一種實施方式的一種在NV03網(wǎng)絡(luò)中NVE轉(zhuǎn)發(fā)報文的方法 的流程；
[0020] 圖5示意性示出了對通過支撐網(wǎng)絡(luò)接收到NV03報文的轉(zhuǎn)發(fā)方法；W及
[0021] 圖6示意性示出了第一 NVE600的結(jié)構(gòu)框圖。
【具體實施方式】
[0022] 下面將參照附圖更詳細(xì)地描述本公開的優(yōu)選實施方式。雖然附圖中顯示了本公開 的優(yōu)選實施方式，然而應(yīng)該理解，可W W各種形式實現(xiàn)本公開而不應(yīng)被送里闡述的實施方 式所限制。相反，提供送些實施方式是為了使本公開更加透徹和完整，并且能夠?qū)⒈竟_的 范圍完整地傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0023] 圖1示出了適于用來實現(xiàn)本發(fā)明實施方式的示例性計算機系統(tǒng)/服務(wù)器12的框 圖。圖1顯示的計算機系統(tǒng)/服務(wù)器12僅僅是一個示例，不應(yīng)對本發(fā)明實施例的功能和使 用范圍帶來任何限制。
[0024] 如圖1所示，計算機系統(tǒng)/服務(wù)器12 W通用計算設(shè)備的形式表現(xiàn)。計算機系統(tǒng) /服務(wù)器12的組件可W包括但不限于；一個或者多個處理器或者處理單元16,系統(tǒng)存儲器 28,連接不同系統(tǒng)組件（包括系統(tǒng)存儲器28和處理單元16)的總線18。
[00巧]總線18表示幾類總線結(jié)構(gòu)中的一種或多種，包括存儲器總線或者存儲器控制器， 外圍總線，圖形加速端口，處理器或者使用多種總線結(jié)構(gòu)中的任意總線結(jié)構(gòu)的局域總線。舉 例來說，送些體系結(jié)構(gòu)包括但不限于工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)（ISA)總線，微通道體系結(jié)構(gòu)（MAC) 總線，增強型ISA總線、視頻電子標(biāo)準(zhǔn)協(xié)會（VESA)局域總線W及外圍組件互連（PCI)總線。 [0026] 計算機系統(tǒng)/服務(wù)器12典型地包括多種計算機系統(tǒng)可讀介質(zhì)。送些介質(zhì)可W是 任何能夠被計算機系統(tǒng)/服務(wù)器12訪問的可用介質(zhì)，包括易失性和非易失性介質(zhì)，可移動 的和不可移動的介質(zhì)。
[0027] 系統(tǒng)存儲器28可W包括易失性存儲器形式的計算機系統(tǒng)可讀介質(zhì)，例如隨機存 取存儲器（RAM) 30和/或高速緩存存儲器32。計算機系統(tǒng)/服務(wù)器12可W進(jìn)一步包括其 它可移動/不可移動的、易失性/非易失性計算機系統(tǒng)存儲介質(zhì)。僅作為舉例，存儲系統(tǒng)34 可W用于讀寫不可移動的、非易失性磁介質(zhì)（圖1未顯示，通常稱為"硬盤驅(qū)動器"）。盡管 圖1中未示出，可W提供用于對可移動非易失性磁盤（例如"軟盤"）讀寫的磁盤驅(qū)動器， W及對可移動非易失性光盤（例如CD-ROM, DVD-ROM或者其它光介質(zhì)）讀寫的光盤驅(qū)動器。 在送些情況下，每個驅(qū)動器可W通過一個或者多個數(shù)據(jù)介質(zhì)接口與總線18相連。存儲器28 可W包括至少一個程序產(chǎn)品，該程序產(chǎn)品具有一組（例如至少一個）程序模塊，送些程序模 塊被配置W執(zhí)行本發(fā)明各實施例的功能。
[002引具有一組（至少一個）程序模塊42的程序/實用工具40,可W存儲在例如存儲器 28中，送樣的程序模塊42包括一但不限于一操作系統(tǒng)、一個或者多個應(yīng)用程序、其它 程序模塊W及程序數(shù)據(jù)，送些示例中的每一個或某種組合中可能包括網(wǎng)絡(luò)環(huán)境的實現(xiàn)。程 序模塊42通常執(zhí)行本發(fā)明所描述的實施例中的功能和/或方法。
[0029] 計算機系統(tǒng)/服務(wù)器12也可W與一個或多個外部設(shè)備14 (例如鍵盤、指向設(shè)備、 顯示器24等）通信，還可與一個或者多個使得用戶能與該計算機系統(tǒng)/服務(wù)器12交互的 設(shè)備通信，和/或與使得該計算機系統(tǒng)/服務(wù)器12能與一個或多個其它計算設(shè)備進(jìn)行通信 的任何設(shè)備（例如網(wǎng)卡，調(diào)制解調(diào)器等等）通信。送種通信可W通過輸入/輸出（I/O)接 口 22進(jìn)行。并且，計算機系統(tǒng)/服務(wù)器12還可W通過網(wǎng)絡(luò)適配器20與一個或者多個網(wǎng)絡(luò) (例如局域網(wǎng)（LAN),廣域網(wǎng)（WAN)和/或公共網(wǎng)絡(luò)，例如因特網(wǎng)）通信。如圖所示，網(wǎng)絡(luò)適 配器20通過總線18與計算機系統(tǒng)/服務(wù)器12的其它模塊通信。應(yīng)當(dāng)明白，盡管圖中未示 出，可W結(jié)合計算機系統(tǒng)/服務(wù)器12使用其它硬件和/或軟件模塊，包括但不限于；微代 碼、設(shè)備驅(qū)動器、兀余處理單元、外部磁盤驅(qū)動陣列、RAID系統(tǒng)、磁帶驅(qū)動器W及數(shù)據(jù)備份存 儲系統(tǒng)等。
[0030] 圖2示意性示出了本發(fā)明的方法和設(shè)備可W實施的一個NV03網(wǎng)絡(luò)的架構(gòu)示意圖。 (參看 http://tools, ietf. org/id/draft-ietf-nvo3-framework-〇9. txt)。
[0031] 在圖2所示的網(wǎng)絡(luò)中，支撐網(wǎng)絡(luò)OJnderlay network,也稱底層網(wǎng)絡(luò)，是覆蓋網(wǎng) 絡(luò)之下的支撐網(wǎng)絡(luò)）是物理網(wǎng)絡(luò)，用來連接各個具體的物理資源。覆蓋網(wǎng)絡(luò)（overlay network,又稱為重疊網(wǎng)絡(luò)、疊加網(wǎng)絡(luò)）是虛擬網(wǎng)絡(luò)，是在原有支撐網(wǎng)絡(luò)的基礎(chǔ)上構(gòu)造的一 個新的邏輯網(wǎng)絡(luò)，供各個租戶使用。租戶系統(tǒng)（Tenantsystem，簡稱T巧可W是扮演一個主 機化ost)角色的物理或虛擬系統(tǒng)，包括運行于主機上的虛擬機（VM)等；也可W是一個轉(zhuǎn) 發(fā)元素，例如路由器，交換機，防火墻等。一個TS屬于一個租戶并連接到該租戶的一個或多 個覆蓋網(wǎng)絡(luò)上。所有TS的覆蓋網(wǎng)絡(luò)都是通過實際的支撐網(wǎng)絡(luò)來承載并轉(zhuǎn)發(fā)數(shù)據(jù)流。對應(yīng) NV03覆蓋網(wǎng)絡(luò)而目，其支撐網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。
[0032] 網(wǎng)絡(luò)虛擬邊緣實體NVE (Network Virtualization Edge)是連接覆蓋網(wǎng)絡(luò)和支撐 網(wǎng)絡(luò)的邏輯實體，NVE通過虛擬訪問點VAP(Virtual Access Points)連接一個具體的租 戶系統(tǒng)，例如虛擬機VM，同時通過覆蓋網(wǎng)絡(luò)模塊連接支撐網(wǎng)絡(luò)，例如網(wǎng)絡(luò)虛擬化授權(quán)實體 NVA (Network Virtualization