[发明专利]一种防止IP地址欺骗的方法和装置

权利要求书

1.一种防止IP地址欺骗的方法，其特征在于，应用于虚拟交换机，所述方法包括：

拦截虚拟机请求者发送的第一地址解析协议ARP报文，所述第一ARP报文中携带有获得目标互联网协议地址IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；

判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

当判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。

2.根据权利要求1所述的方法，其特征在于，所述拦截虚拟机请求者发送的第一ARP报文后，还包括：

判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；

若判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，执行所述判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。

3.根据权利要求1所述的方法，其特征在于，当判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址后，还包括：

将所述第一ARP报文发送到控制模块；

接收所述控制模块发送的第三ARP报文；

将所述第三ARP报文发送到所述虚拟机请求者。

4.一种防止IP地址欺骗的方法，其特征在于，应用于控制模块，所述方法包括：

接收虚拟交换机发送的第一ARP报文；

判断第二对照表中是否保存有目标IP地址对应的目标MAC地址；其中，所述第二对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

当判断出所述第二对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第三ARP报文到所述虚拟交换机；

其中，所述第三ARP报文中携带有所述目标MAC地址。

5.根据权利要求4所述的方法，其特征在于，所述判断第二对照表中是否保存有目标IP地址对应的目标MAC地址，包括：

从预设位置读取所述第二对照表并判断所述第二对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。

6.一种防止IP地址欺骗的装置，其特征在于，应用于虚拟交换机，所述装置包括：

拦截模块，用于拦截虚拟机请求者发送的第一ARP报文，所述第一ARP报文中携带有获得目标IP地址对应的目标虚拟机的目标MAC地址的请求；所述目标IP地址为所述虚拟机请求者请求连接的IP地址；

判断模块，用于判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址；其中，所述第一对照表中保存有IP地址与网络设备的MAC地址的对应关系且所述网络设备包括虚拟机；

第一发送模块，用于当所述判断模块判断出所述第一对照表中保存有所述目标IP地址对应的所述目标MAC地址，发送第二ARP报文到所述虚拟机请求者，其中，所述第二ARP报文中携带有所述目标MAC地址。

7.根据权利要求6所述的装置，其特征在于，还包括：

地址判断单元，用于所述拦截模块拦截虚拟机请求者发送的第一ARP报文后，判断所述第一ARP报文中的源MAC地址是否是所述虚拟机请求者对应的预设源MAC地址；

所述判断模块，还用于若所述地址判断单元判断出所述第一ARP报文中的源MAC地址是所述虚拟机请求者对应的预设源MAC地址，判断第一对照表中是否保存有所述目标IP地址对应的所述目标MAC地址。

8.根据权利要求6所述的装置，其特征在于，还包括：

第二发送模块，用于当所述判断模块判断出所述第一对照表中没有保存所述目标IP地址对应的所述目标MAC地址，将所述第一ARP报文发送到控制模块；

接收模块，用于接收所述控制模块发送的第三ARP报文；

第三发送模块，用于将所述第三ARP报文发送到所述虚拟机请求者。