DDoS流量回注方法、SDN控制器及网络系统技术方案

本发明专利技术的实施例提供了一种DDoS流量回注方法、SDN控制器及网络系统，涉及通信技术领域，解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高的问题。该方法包括，当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至中心SDN转发设备；下发第二Openflow流表至所述边缘SDN转发设备。本发明专利技术实施例用于DDoS流量的回注。

DDoS traffic reinjection method, SDN controller and network system

The embodiment of the invention provides a DDoS flow reinjection method, a SDN controller and a network system, which involves the field of communication technology, and solves the problem that a large amount of resource input leads to higher operating costs when the problem of DDoS traffic reinjection in the cross metropolitan area network is solved in the existing technology. The method includes, when receiving the ARP message reported on the cleaning device forwarded by the central SDN forwarding device, the first Openflow stream table to the center SDN forwarding device; the second Openflow flow table is sent to the edge SDN forwarding device. An embodiment of the invention is used for reinjection of DDoS flow.

【技术实现步骤摘要】
DDoS流量回注方法、SDN控制器及网络系统
本专利技术涉及通信
，尤其涉及一种分布式拒绝服务攻击(英文全称：DistributedDenialofService，简称：DDoS)流量回注方法、软件定义网络(英文全称：SoftwareDefinedNetwork，简称：SDN)控制器及网络系统。
技术介绍
传统的近目的DDoS的防护系统通常部署在城域网出口，通过深度包检测技术(英文全称：DeepPacketInspection，简称：DPI)或者深度动态流检测(英文全称：DeepFlowInspection，简称:DFI)的方式对DDoS进行主动监测，通过与清洗设备之间的实时联动，实现对DDoS流量的牵引，再通过回注技术的部署，实现正常业务流量完整的回送到访问对象；这种应用于单一自治系统(英文全称：AutonomousSystem，简称：AS)域内DDoS流量清洗回注的场景已非常成熟。但是对于已扁平化的运营商网络架构来说，对于DDoS流量的牵引清洗的技术以及非常成熟，如何解决跨城域网域(不同的AS域)的DDoS流量回注成为亟待解决的一个难题。目前解决方法主要有：方法一，在重要城域网分别部署清洗设备，但这种方法需要大量重复投资，且防护能力分散，不利于大流量攻击的防护和后续能力的扩展。方法二，建设一张覆盖全网的专用回注网络，但此方法也需要大量的网络基础资源的投入，包含长途传输资源和路由器，同时大大增加了维护人员的工作量。由上述可知，现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高。
技术实现思路
本专利技术的实施例提供一种DDoS流量回注方法、SDN控制器及网络系统，解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高的问题。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面、本专利技术的实施例提供一种DDoS流量回注方法，包括：当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至中心SDN转发设备；其中，第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文；其中，携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备；中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配；中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装，生成第一流量并将第一流量回注至边缘SDN转发设备；其中，第一流量中源物理地址MAC地址为清洗设备的端口MAC地址，目的MAC地址为中心SDN转发设备的虚拟MAC；下发第二Openflow流表至边缘SDN转发设备；其中，第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文；若是，则边缘SDN转发设备接收到的报文中包含第一流量；边缘SDN转发设备对第一流量解除Vxlan封装，生成第二流量；边缘SDN转发设备对第二流量进行MAC地址替换，生成第三流量；边缘SDN转发设备将第三流量发送至城域网路由器；其中，MAC地址替换包括：将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址；将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址；城域网路由器的端口与边缘SDN转发设备直连。可选的，该方法还包括：获取边界网关协议BGP路由信息；其中BGP路由信息包括：IP段和起源AS编号；根据IP段和起源AS编号生成第一数据表；建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道，并对Vxlan隧道分配网络虚拟实例NVI编码；根据第一数据表和NVI编码生成第一Openflow流表；其中，第一Openflow流表包括：IP段、起源AS编号与NVI编码的对应关系。可选的，获取边界网关协议BGP路由信息，包括：通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。可选的，该方法还包括：当BGP路由信息和/或NVI编码发生改变时，对第一Openflow流表进行增量更新。第二方面、本专利技术的实施例提供一种SDN控制器，包括：数据处理模块，用于当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至中心SDN转发设备；其中，第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文；其中，携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备；中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配；中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装，生成第一流量并将第一流量回注至边缘SDN转发设备；其中，第一流量中源物理地址MAC地址为清洗设备的端口MAC地址，目的MAC地址为中心SDN转发设备的虚拟MAC；数据处理模块，还用于下发第二Openflow流表至边缘SDN转发设备；其中，第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文；若是，则边缘SDN转发设备接收到的报文中包含第一流量；边缘SDN转发设备对第一流量解除Vxlan封装，生成第二流量；边缘SDN转发设备对第二流量进行MAC地址替换，生成第三流量；边缘SDN转发设备将第三流量发送至城域网路由器；其中，MAC地址替换包括：将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址；将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址；城域网路由器的端口与边缘SDN转发设备直连。可选的，SDN控制器还包括：BGP路由模块和转发控制模块；BGP路由模块，用于获取边界网关协议BGP路由信息；其中BGP路由信息包括：网络之间互连的协议IP段和起源AS编号；BGP路由模块，还用于根据IP段和起源AS编号生成第一数据表；转发控制模块，用于建立中心SDN转发设备与边缘SDN转发设备的Vxlan隧道，并对Vxlan隧道分配网络虚拟实例NVI编码；数据处理模块，还用于根据BGP路由模块生成的第一数据表和转发控制模块分配的NVI编码生成第一Openflow流表；其中，第一Openflow流表包括：IP段、起源AS编号与NVI编码的对应关系。可选的，BGP路由模块，具体用于通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。可选的，数据处理模块，还用于当BGP路由模块获取的路由信息和/或转发控制模块分配的NVI编码发生改变时，对第一Openflow流表进行增量更新。第三方面、本专利技术的实施例提供一种存储一个或多个程序的计算机可读存储介质，一个或多个程序包括指令，指令当被计算机执行时使计算机执行如第一方面提供的任一项DDoS流量回注方法。第四方面、本专利技术的实施例提供一种网络系统，包括：清洗设备、SDN控制器、中心SDN转发设备、边缘SDN转发设备以及城域网路由器；其中，SDN控制器为第二方面提供的任一项SDN控制器。本专利技术实施例提供的DDoS流量回注方法、SDN控制器及网络系统，通过SDN技术的运用，在Ope本文档来自技高网...

【技术保护点】
1.一种DDoS流量回注方法，其特征在于，包括：当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至所述中心SDN转发设备；其中，所述第一Openflow流表用于指示所述中心SDN转发设备向所述清洗设备发送携带虚拟MAC地址的报文；其中，所述携带虚拟MAC地址的报文用于指示所述清洗设备将清洗后的DDoS流量发送至所述中心SDN转发设备；所述中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配；所述中心SDN转发设备根据所述第一Openflow流表对目的IP匹配后的所述DDoS流量进行Vxlan封装，生成第一流量并将所述第一流量回注至边缘SDN转发设备；其中，所述第一流量中源物理地址MAC地址为所述清洗设备的端口MAC地址，目的MAC地址为所述中心SDN转发设备的虚拟MAC；下发第二Openflow流表至所述边缘SDN转发设备；其中，所述第二Openflow流表用于指示所述边缘SDN转发设备判别接收到的报文是否为Vxlan报文；若是，则所述边缘SDN转发设备接收到的报文中包含所述第一流量；所述边缘SDN转发设备对所述第一流量解除Vxlan封装，生成第二流量；所述边缘SDN转发设备对所述第二流量进行MAC地址替换，生成第三流量；所述边缘SDN转发设备将所述第三流量发送至城域网路由器；其中，所述MAC地址替换包括：将所述源MAC地址中的所述清洗设备的端口MAC地址替换为所述边缘SDN转发设备的MAC地址；将目的MAC地址中的所述中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址；所述城域网路由器的端口与所述边缘SDN转发设备直连。...

【技术特征摘要】
1.一种DDoS流量回注方法，其特征在于，包括：当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至所述中心SDN转发设备；其中，所述第一Openflow流表用于指示所述中心SDN转发设备向所述清洗设备发送携带虚拟MAC地址的报文；其中，所述携带虚拟MAC地址的报文用于指示所述清洗设备将清洗后的DDoS流量发送至所述中心SDN转发设备；所述中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配；所述中心SDN转发设备根据所述第一Openflow流表对目的IP匹配后的所述DDoS流量进行Vxlan封装，生成第一流量并将所述第一流量回注至边缘SDN转发设备；其中，所述第一流量中源物理地址MAC地址为所述清洗设备的端口MAC地址，目的MAC地址为所述中心SDN转发设备的虚拟MAC；下发第二Openflow流表至所述边缘SDN转发设备；其中，所述第二Openflow流表用于指示所述边缘SDN转发设备判别接收到的报文是否为Vxlan报文；若是，则所述边缘SDN转发设备接收到的报文中包含所述第一流量；所述边缘SDN转发设备对所述第一流量解除Vxlan封装，生成第二流量；所述边缘SDN转发设备对所述第二流量进行MAC地址替换，生成第三流量；所述边缘SDN转发设备将所述第三流量发送至城域网路由器；其中，所述MAC地址替换包括：将所述源MAC地址中的所述清洗设备的端口MAC地址替换为所述边缘SDN转发设备的MAC地址；将目的MAC地址中的所述中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址；所述城域网路由器的端口与所述边缘SDN转发设备直连。2.根据权利要求1所述的DDoS流量回注方法，其特征在于，所述方法还包括：获取边界网关协议BGP路由信息；其中所述BGP路由信息包括：IP段和起源AS编号；根据所述IP段和所述起源AS编号生成第一数据表；建立所述中心SDN转发设备与边缘SDN转发设备的Vxlan隧道，并对所述Vxlan隧道分配网络虚拟实例NVI编码；根据所述第一数据表和所述NVI编码生成第一Openflow流表；其中，所述第一Openflow流表包括：所述IP段、所述起源AS编号与所述NVI编码的对应关系。3.根据权利要求2所述的DDoS流量回注方法，其特征在于，所述获取边界网关协议BGP路由信息，包括：通过网络管理协议SNMP的方式读取路由反射器的BGP路由信息。4.根据权利要求2所述的DDoS流量回注方法，其特征在于，所述方法还包括：当所述BGP路由信息和/或所述NVI编码发生改变时，对所述第一Openflow流表进行增量更新。5.一种SDN控制器，其特征在于，包括：数据处理模块，用于当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至所述中心SDN转发设备；其中，所述第一Openflow流表用于指示所述中心SDN转发设备向所述清洗设备发送携带虚拟MAC地址的报文；其中，所述...

【专利技术属性】
技术研发人员：彭锐，刘子建，范永斌，何飚，莫俊彬，徐文顺，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11