[发明专利]抑制交换机泛洪风暴的方法和装置

说明书

技术领域

本公开涉及一种抑制交换机泛洪风暴的方法和一种抑制交换机泛洪风暴的装置。

背景技术

交换机根据工作位置的不同，可以分为广域网交换机和局域网交换机，广域的交换机就是一种在通信系统中完成信息交换功能的设备，交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，对所有的端口泛洪转发，接收端口回应后，交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。另外，交换机往往采用trunk口集联，这样泛洪风暴很容易会扩大到全网。依此转发原理，对于交换机设备来说天然存在一种“不可规避的设计缺陷”，即对一个广播域根本不存在目的MAC地址的定向攻击，就会引发严重的泛洪风暴，致使正常业务报文无法正常通信，带宽资源利用率低，网络安全性降低。

发明内容

本公开的一个方面提供了一种云管理平台的操作方法，该云管理平台能够与网络控制器进行数据交互，该方法包括：

通过监测用户的操作，记录至少一个网络属性信息；

响应于网络控制器的请求将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

可选地，进行物理服务器的上线和/或下线操作，和/或进行虚机的创建和/或删除操作时，上述云管理平台需更新其记录的网络属性信息。

可选地，上述云管理平台通过redis管理服务完成网络属性信息的更新。

可选地，上述网络属性信息包括虚机和/或物理服务器的网络属性信息。

可选地，上述网络属性信息包括合法且真实的MAC地址信息。

可选地，上述云管理平台响应于网络控制器的定期请求、需求请求或变化请求，将网络属性信息发送给网络控制器，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致。

可选地，上述云管理平台响应于网络控制器的一次拉取请求，将网络属性信息发送给网络控制器。

本公开的另一个方面提供了一种网络控制器的操作方法，其中，网络控制器能够分别与云管理平台和交换机进行数据通信，云管理平台完整记录有网络属性信息，该方法包括：

从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致；

将所获取的网络属性信息下发到交换机。

可选地，将获取的网络属性信息下发到交换机，是通过根据交换机与网络属性信息的相关性，将网络属性信息分为若干子集，并将该若干子集的网络属性信息下发到相匹配的交换机。

可选地，上述网络属性信息包括虚机和/或物理服务器的网络属性信息。

可选地，上述交换机包括物理交换机和/或虚拟交换机。

可选地，将获取的所述网络属性信息下发到交换机是通过交换机提供的南向接口。

可选地，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致的步骤包括：在网络控制器初次启动时，从云管理平台一次性获取云管理平台记录的网络属性信息。

可选地，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致的步骤包括：以定期请求方式、需求请求方式或变化请求方式向云管理平台发送请求，获取云管理平台记录的网络属性信息。

本公开的另一个方面提供了一种抑制交换机泛洪风暴的方法，该交换机与网络控制器进行数据交互，网络控制器能够与云管理平台进行数据通信，该方法包括：

云管理平台监测用户的操作，记录至少一个网络属性信息；

网络控制器从云管理平台获取网络属性信息，使网络控制器中的网络属性信息与云管理平台中的网络属性信息在预设时间范围内保持一致；

网络控制器将获取的网络属性信息下发到交换机；

交换机根据接收的网络属性信息，对需转发的数据报文进行合法性检查，并根据检查结果对需转发的数据报文进行转发或直接丢弃。

本公开的另一个方面提供了一种云管理平台，该云管理平台能够与网络控制器进行数据交互，包括：