[发明专利]DDoS流量回注方法、SDN控制器及网络系统

说明书

本发明的实施例提供了一种DDoS流量回注方法、SDN控制器及网络系统，涉及通信技术领域，解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高的问题。该方法包括，当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至中心SDN转发设备；下发第二Openflow流表至所述边缘SDN转发设备。本发明实施例用于DDoS流量的回注。

技术领域

本发明涉及通信技术领域，尤其涉及一种分布式拒绝服务攻击(英文全称：Distributed Denial of Service，简称：DDoS)流量回注方法、软件定义网络(英文全称：Software Defined Network，简称：SDN)控制器及网络系统。

背景技术

传统的近目的DDoS的防护系统通常部署在城域网出口，通过深度包检测技术(英文全称：Deep Packet Inspection，简称：DPI)或者深度动态流检测(英文全称：Deep FlowInspection，简称:DFI)的方式对DDoS进行主动监测，通过与清洗设备之间的实时联动，实现对DDoS流量的牵引，再通过回注技术的部署，实现正常业务流量完整的回送到访问对象；这种应用于单一自治系统(英文全称：Autonomous System，简称：AS)域内DDoS流量清洗回注的场景已非常成熟。但是对于已扁平化的运营商网络架构来说，对于DDoS流量的牵引清洗的技术以及非常成熟，如何解决跨城域网域(不同的AS域)的DDoS流量回注成为亟待解决的一个难题。

目前解决方法主要有：

方法一，在重要城域网分别部署清洗设备，但这种方法需要大量重复投资，且防护能力分散，不利于大流量攻击的防护和后续能力的扩展。

方法二，建设一张覆盖全网的专用回注网络，但此方法也需要大量的网络基础资源的投入，包含长途传输资源和路由器，同时大大增加了维护人员的工作量。

由上述可知，现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高。

发明内容

本发明的实施例提供一种DDoS流量回注方法、SDN控制器及网络系统，解决了现有技术中在解决跨城域网域的DDoS流量回注的问题时，需要大量的资源投入导致运营成本较高的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面、本发明的实施例提供一种DDoS流量回注方法，包括：当接收到中心SDN转发设备转发的清洗设备上报的ARP报文时，下发第一Openflow流表至中心SDN转发设备；其中，第一Openflow流表用于指示中心SDN转发设备向清洗设备发送携带虚拟MAC地址的报文；其中，携带虚拟MAC地址的报文用于指示清洗设备将清洗后的DDoS流量发送至中心SDN转发设备；中心SDN转发设备对清洗后的DDoS流量进行目的IP匹配；中心SDN转发设备根据第一Openflow流表对目的IP匹配后的DDoS流量进行Vxlan封装，生成第一流量并将第一流量回注至边缘SDN转发设备；其中，第一流量中源物理地址MAC地址为清洗设备的端口MAC地址，目的MAC地址为中心SDN转发设备的虚拟MAC；下发第二Openflow流表至边缘SDN转发设备；其中，第二Openflow流表用于指示边缘SDN转发设备判别接收到的报文是否为Vxlan报文；若是，则边缘SDN转发设备接收到的报文中包含第一流量；边缘SDN转发设备对第一流量解除Vxlan封装，生成第二流量；边缘SDN转发设备对第二流量进行MAC地址替换，生成第三流量；边缘SDN转发设备将第三流量发送至城域网路由器；其中，MAC地址替换包括：将源MAC地址中的清洗设备的端口MAC地址替换为边缘SDN转发设备的MAC地址；将目的MAC地址中的中心SDN转发设备的虚拟MAC替换为城域网路由器端口的MAC地址；城域网路由器的端口与边缘SDN转发设备直连。