基于OpenFlow的地址解析协议代理技术的实现方法技术

基于OpenFlow的地址解析协议代理技术的实现方法属于网络通信领域。OpenFlow技术通过分离网络的数据平面和控制平面，为网络创新提供了平台和工具。基于OpenFlow管控分离的架构，在控制器POX上进行软件编程，设计实现了功能强大的ARP代理服务。在OpenFlow网络环境下，通过对上传到控制器的DHCP数据包进行解析，将主机IP，主机MAC，主机端口号等数据自动提取出来建立一张主机信息绑定表。主机信息表建立后，使OpenFlow控制器代理回复ARP请求，方便高效的解决两主机之间的通信的问题。另一方面绑定表也可以用来判断发往控制器的数据包是否合法，从而实现对合法报文正常转发，非法报文丢弃的功能，大大提升了系统的安全性。

【技术实现步骤摘要】

本专利技术属于计算机网络

技术介绍
传统IT架构中的网络，根据业务需求部署上线以后，如果业务需求发生变动，重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情。在互联网/移动互联网瞬息万变的业务环境下，网络的高稳定与高性能还不足以满足业务需求，灵活性和敏捷性反而更为关键。SDN所做的事是将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备(路由器、交换机、防火墙)，屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。进行SDN改造后，无需对网络中每个节点的路由器反复进行配置，网络中的设备本身就是自动化连通的。只需要在使用时定义好简单的网络规则即可。如果你不喜欢路由器自身内置的协议，可以通过编程的方式对其进行修改，以实现更好的数据交换性能。在香港、美国已经非常流行的云主机概念在我国也慢慢开始崭露头角，云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而云主机是在一组集群主机上虚拟出多个类似独立主机的部分，集群中每个主机上都有云主机的一个镜像，从而大大提高了虚拟主机的安全稳定性，除非所有的集群内主机全部出现问题，云主机才会无法访问。值得一提的是企业在租用云主机的时候，其租用的所有主机可能并不在一个数据中心，甚至不在一个城市。那么企业租用的云主机的物理网络可能并不在相同网段，虽然在企业内部所有租用的云主机都是在相同网段之下。那么在物理网络中不同网段的云主机在企业网络中如何进行通信，就成了一件十分复杂的事情。我们已经知道要进行主机间通信，则必须先发出ARP请求获取到目的主机的MAC地址。那么企业租用的各个云主机之间可能跨越多个不同的网络，要想将ARP请求转发到目的主机，在传统网络中就必须利用网络隧道技术在两台主机之间所连接的网络中传输消息。因为我们并不清楚云服务提供商所分配给企业的云主机都存放在什么位置，跨越了多少网络。简单来说就是将源主机发出的ARP请求封装在一个特定的数据包中，利用网络隧道协议将此数据包转发到连接目的主机的网络当中去，然后再对数据包进行解封装，最后达到目的主机。这样做的成本比较高，效率比较低，实现起来工作量也是巨大的。因此，随着云服务的发展，传统网络在这方面的劣势就显现出来，而我们通过SDN的方式进行ARP代理则能够很好的解决这个问题。众所周知，在SDN架构中，控制器是整个网络中的大脑，网络中所有主机必须与控制器相连接，而控制器则掌握了所有主机的信息。因此，如果在不同网络下的主机间要进行通信，则可以把ARP请求先发送到控制器，因为控制器知道网络内所有主机的信息，则控制器可以直接将目的主机的MAC地址回复给源主机。这样就方便高效的解决两主机之间的通信的问题。DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户IP地址、MAC地址、租用期、VLAN-ID接口等信息。当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer获取IP地址。DHCPSnooping的作用(1).DHCPSnooping的主要作用就是隔绝非法的DHCPServer，通过配置非信任端口。(2).与交换机DAI的配合，防止ARP病毒的传播。(3).建立和维护一张DHCPSnooping的绑定表，这张表一是通过DHCPAck包中的IP和MAC地址生成的，二是可以手工指定。这张表是后续DAI(dynamicarpinspect)和IPSourceGuard基础。这两种类似的技术，是通过这张表来判定IP或者MAC地址是否合法，来限制用户连接到网络的。在本方案中，通过对上传到控制器的DHCP数据包进行操作与分析，将需要得到的数据自动提取出来建立一张绑定表，不需要手工添加，IP、MAC、PORT等信息一一对应，绑定关系建立后，从相应的端口收到的数据报文，根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法，从而对合法报文正常转发，非法报文则丢弃，这大大提升了系统的安全性。在大型数据中心，有着成千上万的主机，通过利用SDN的优势，将接入到网络中的所有主机信息进行整合，建立和维护一张绑定表，这样不仅获得了所有主机的详细信息，为ARP代理及主机通信提供必要的数据，而且对于日常主机的集中管理有着非常大的帮助。这是传统网络所无法比拟的优势，也是我研究此项工作的意义。
技术实现思路
在SDN环境下的ARP代理在研究意义中已经详细列出，SDN网络本身就是一项十分具有创新意义的技术。我们以SDN为大背景，利用其自身特点开发出一种比传统网络更高效更安全的ARP代理方案。与传统网络相比，我们的ARP代理方案有许多创新之处，详细介绍如下：控制器在SDN网络环境当中至关重要，我们的方案是在控制器当中创建一张存有主机相关信息的dhcp_lease表，其中包括主机IP地址，主机MAC地址，主机端口号，IP地址获得时间，IP租约时间。然而这些数据我们都能够自动获得，不需要人工干预，并且保证所获得数据的安全性。因此我们的ARP代理方案采用DHCP代理的方法同时获得主机IP地址，主机MAC地址，主机端口号，IP地址获得时间，IP租约时间。我们通过模拟DHCP协议的工作流程自动获取我们想要的数据，并且写入dhcp_lease表中。这也是我们这个方案的另一个创新点。其中主机IP地址与主机MAC为对应关系，如果主机IP地址租约到期，则表中此条表项会被删除，主机MAC地址不再与此IP本文档来自技高网...

【技术保护点】
基于OpenFlow的地址解析协议代理技术的实现方法，其特征在于：在控制器当中创建一张存有主机相关信息的dhcp_lease表，采用DHCP代理的方法获得主机IP地址，主机MAC地址，主机端口号，IP地址获得时间和IP租约时间，并且写入dhcp_lease表中；其中主机IP地址与主机MAC为对应关系，如果主机IP地址租约到期，则表中此条表项会被删除，主机MAC地址不再与此IP地址对应；当主机发出ARP REQUEST时，由控制器提取ARP REQUEST数据包中的目的IP地址，将其与dhcp_lease表中的第一列即主机IP信息进行比较，如果发现匹配项，则按照ARP REPLY的格式构造包含目的MAC地址的ARP REPLY应答包，将其代理回复给发出ARP REQUEST的主机；当发出ARP REQUEST的主机得到目的主机的MAC地址后，继续发送ICMP REQUEST报文；当控制器收到此ICMP REQUEST报文后，则会提取出该数据包中包含的目的IP地址，继续与dhcp_lease表中的第一列进行比较，发现匹配项，则把相应主机的端口号提取出来封装在Packet_out消息中，将ICMP REQUES T报文通过Packet_out消息转发到目的主机中，目的主机收到此报文后则会回复ICMP REPLY报文；在整个程序运行当中，定时器每隔一段时间扫描一次dhcp_lease表，用当前系统时间减去表中此IP地址的写入时间，差值如果大于表中所定义的生存周期，即表明此IP地址租约到期，被DHCP服务器收回待分配，则将此条IP信息从dhcp_lease表中删除。...

【技术特征摘要】
1.基于OpenFlow的地址解析协议代理技术的实现方法，其特征在于：
在控制器当中创建一张存有主机相关信息的dhcp_lease表，采用DHCP代理的方法
获得主机IP地址，主机MAC地址，主机端口号，IP地址获得时间和IP租约时间，并且
写入dhcp_lease表中；其中主机IP地址与主机MAC为对应关系，如果主机IP地址租约
到期，则表中此条表项会被删除，主机MAC地址不再与此IP地址对应；
当主机发出ARPREQUEST时，由控制器提取ARPREQUEST数据包中的目的IP
地址，将其与dhcp_lease表中的第一列即主机IP信息进行比较，如果发现匹配项，则按
照ARPREPLY的格式构造包含目的MAC地址的ARPREPLY应答包，将其代理回复给
发出ARPREQUEST的主机；当...

【专利技术属性】
技术研发人员：李昊，刘静，赖英旭，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京;11