[发明专利]一种更新网络安全表的方法及网络设备、DHCP服务器

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种更新网络安全表的方法及网络设备、DHCP（Dynamic Host Configuration Protocol，动态主机设置协议）服务器。

背景技术

虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。目前，人们常常通过虚拟机向用户提供服务。由于虚拟机必须运行在物理服务器上，随着物理服务器上加载的虚拟机越来越多，负载越来越大，有必要对物理服务器进行负载分担，或者，对物理服务器上的数据进行备份。在对物理服务器进行负载分担或者数据备份时，需要把运行于一个物理服务器上的虚拟机迁移到另一个物理服务器上，以保持服务不中断。

请参阅图1，图1是现有网络系统中虚拟机的迁移过程示意图。数据中心10包括路由器101、第一交换机102、第二交换机103、第一服务器104、第二服务器105和虚拟机106。第一交换机102分别连接第一服务器104和路由器101，第二交换机103分别连接第二服务器105和路由器101。虚拟机106原先运行在第一服务器104上。通常情况下，为了保障数据中心10的安全，会使能第一交换机102和第二交换机103的DHCP Snooping Defend(动态主机设置协议防欺骗攻击)及相关的IP/ARP(Internet Protocol/Address Resolution Protocol，因特网协议/地址解析协议)安全功能，DHCP Snooping Defend和IP/ARP安全功能均依赖于DHCP防欺骗绑定表。DHCP防欺骗绑定表是交换机通过监听虚拟机与DHCP服务器间交互的DHCP报文建立的。为了减轻第一交换机104的负载或者备份数据，需要把虚拟机106从第一服务器104迁移到第二服务器105。由于第一服务器104与第二服务器105不在同一网段，第二交换机中的DHCP防欺骗绑定表中没有虚拟机104的安全表项相应的表项，从而造成第二交换机103在收到来自虚拟机106的报文，认为该报文为非法报文，而将该报文丢弃，导致虚拟机106没法提供服务。

现有技术中，为了使虚拟机106迁移到第二服务器105后，虚拟机106依然能够提供服务，通常情况，不使能第二交换机103的DHCPSnooping Defend和IP/ARP安全功能。第二交换机103接收来自虚拟机106的ARP请求报文，从ARP请求报文中获取虚拟机106的IP地址和MAC地址后，根据IP地址和MAC地址生成ARP安全表项，以ARP安全表替代DHCP防欺骗绑定表。

然而，本申请发明人在长期研发中发现，ARP请求报文很容易冒仿，若大量冒仿的ARP请求报文发向第二交换机103时，无效IP地址和MAC地址会填满ARP安全表，使得合法报文无法通过第二交换机103，进而使得虚拟机106没法正常访问网络。

发明内容

本发明主要解决的技术问题是提供一种更新网络安全表的方法及DHCP服务器、网络设备，既保障了在虚拟机迁入网络设备的管理域下时，虚拟机能够正常访问网络，又保障了网络设备中的网络安全表的可靠性，进而保障网络安全。

本发明第一方面，提供一种更新网络安全表的方法，包括当虚拟机迁入网络设备的管理域下时，网络设备解析接收到的来自虚拟机的第一请报文，获得虚拟机的因特网协议IP地址和媒体访问控制MAC地址；网络设备查询网络安全表中是否存在该IP地址和该MAC地址的安全表项；若网络安全表不存在该IP地址和该MAC地址，则网络设备根据该IP地址和该MAC地址生成第二请求报文；网络设备向动态主机设置协议DHCP服务器发送第二请求报文，以使DHCP服务器发起与虚拟机间的强制通信；网络设备监听DHCP服务器与虚拟机间的强制通信过程中交互的DHCP请求报文或者DHCP确认报文，并根据DHCP请求报文或者DHCP确认报文获取虚拟机的安全表项，安全表项包括虚拟机的IP地址和MAC地址；网络设备根据安全表项更新网络安全表。

结全第一方面实现方式，在第一方面的第一种可能实现方式中，网络设备根据安全表项更新网络安全表的步骤包括：网络设备将安全表项写入网络安全表中。

结合第一方面实现方式或者第一方面的第一种可能实现方式，在第一方面的第二种可能实现方式中，第一请求报文为地址解析协议ARP请求报文。