[发明专利]虚拟机迁移验证方法及装置

说明书

本发明公开了一种虚拟机迁移验证方法及装置，涉及通信技术领域。方法包括：接收第一隧道端点设备发送的路由更新消息，其中，路由更新消息是第一隧道端点设备在确定待转发报文为目标报文的情况下，依据待转发报文对应的虚拟机地址生成的消息，目标报文为目标虚拟机发送的报文，目标虚拟机为下设于第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；向虚拟机地址对应的虚拟机发送验证请求；在接收到虚拟机返回的验证响应消息的情况下，拒绝依据路由更新消息更新当前隧道端点设备的路由信息，生成并发送路由更新拒绝消息至第一隧道端点设备，以供第一隧道端点设备根据路由更新拒绝消息拒绝转发待转发报文，从而防止虚拟机迁移欺骗。

技术领域

本发明涉及通信技术领域，具体涉及一种虚拟机迁移验证方法及装置。

背景技术

虚拟机(Virtual Machine，VM)迁移，是指将虚拟机从一台服务器迁移到另一台服务器。在虚拟可扩展局域网络(Virtual eXtensible

Local Area Network，VXLAN)中，隧道端点(VXLAN Tunnel Endpoints，

VTEP)设备内可配置一台或多台虚拟机。当前技术方案中，当隧道端点设备VTEP2下的攻击者冒用隧道端点设备VTEP1下的虚拟机VM1向VTEP2发送数据包之后，VTEP2在本地地址表中查找到该数据包的源地址的下一跳地址对应VTEP1，从而误判VM1从VTEP1迁移到VTEP2，并向其他隧道端点设备发送关于VM1的路由更新信息，从而将VM1的下一跳地址对应设备由VTEP1更新为VTEP2，使得其他设备在访问VM1时，依据更新的路由信息将数据包发送至VTEP2，再由VTEP2将数据转发至VM1。但是，由于VM1并未迁移到VTEP2，因此，VTEP2无法将相应的数据包转发至VM1，从而造成数据无法正常传输的问题。

发明内容

为此，本发明提供一种虚拟机迁移验证方法及装置，以解决攻击者进行虚拟机迁移欺骗，使得数据无法正常传输的问题。

为了实现上述目的，本发明第一方面提供一种虚拟机迁移验证方法，应用于第二隧道端点设备，该方法包括：

接收第一隧道端点设备发送的路由更新消息，其中，所述路由更新消息是所述第一隧道端点设备在确定待转发报文为目标报文的情况下，依据所述待转发报文对应的虚拟机地址生成的消息，所述目标报文为目标虚拟机发送的报文，所述目标虚拟机为下设于所述第一隧道端点设备，但下一跳地址为当前隧道端点设备的虚拟机；

向所述虚拟机地址对应的虚拟机发送验证请求；

在接收到所述虚拟机返回的验证响应消息的情况下，拒绝依据所述路由更新消息更新当前隧道端点设备的路由信息，其中，所述验证响应消息是所述虚拟机在接收到所述验证请求的情况下生成的反馈消息；

生成并发送路由更新拒绝消息至所述第一隧道端点设备，以供所述第一隧道端点设备根据所述路由更新拒绝消息拒绝转发所述待转发报文。

进一步地，所述验证请求为扩展地址解析协议请求报文，且所述扩展地址解析协议请求报文的操作类型指示取值为0x0003；

所述验证响应消息为扩展地址解析协议响应报文，且所述扩展地址解析协议响应报文的操作类型指示取值为0x0004。

进一步地，所述向所述虚拟机地址对应的虚拟机发送验证请求之后，所述虚拟机迁移验证方法还包括：

在未接收到所述虚拟机返回的验证响应消息的情况下，依据所述虚拟机地址更新当前隧道端点设备的路由信息；

生成并发送路由更新响应消息至所述第一隧道端点设备。

为了实现上述目的，本发明第二方面提供一种虚拟机迁移验证方法，应用于第一隧道端点设备，该方法包括：