[发明专利]一种基于SDN虚拟交换机的防伪造IP的系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于SDN虚拟交换机的防伪造IP的系统及方法。

背景技术

软件定义网络(SoftwareDefinedNetwork,SDN)，是一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。

SDN将控制与转发分离，通过控制器对整网实现集中控制，实现转发硬件通用化，控制智能集中化，极大的提高了网络的创新和灵活。但现有的SDN及虚拟交换机没有用户的三元组IP、MAC、入端口绑定的能力，虚拟机虽可以通过工具软件修改报文IP、MAC，以绕过安全软件的监管，但安全信息容易泄露，引发数据丢失，导致经济损失。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种基于SDN虚拟交换机的防伪造IP的系统及方法，本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定，阻止假冒报文，在内网建立起访问控制，保护关键和敏感的数据，保障企业安全。

为实现上述目的，本发明提供了一种基于SDN虚拟交换机的防伪造IP的系统，其特征在于：包括多个虚拟机和设置在每个虚拟机上的虚拟网卡，所述虚拟网卡均与虚拟交换机相连接，所述虚拟交换机分别与物理网卡和SDN控制器连接，所述SDN控制器与DHCP服务器相连接。

一种基于SDN虚拟交换机的防伪造IP的方法，其特征在于，包括以下步骤：

S1、将虚拟机接入虚拟交换机；

S2、虚拟交换机与SDN控制器连接成功；

S3、SDN控制器与DHCP服务器连接成功；

S4、SDN控制器从DHCP服务器获取用户的三元组关键配置；

S5、SDN控制器将三元组绑定下发到虚拟交换机；

S6、虚拟交换机更新Openflow表项；

S7、虚拟交换机收到虚机报文；

S8、检查三元组绑定是否符合；

S9、如报文符合三元组绑定，转发报文，否则将报文丢弃。

上述的一种基于SDN虚拟交换机的防伪造IP的方法，其特征在于，所述步骤S4获取用户的三元组关键配置为IP、MAC、入端口。

本发明的有益效果是：

本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定，阻止假冒报文，在内网建立起访问控制，保护关键和敏感的数据，保障企业安全。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的结构示意图；

图2是本发明的工作流程图。

具体实施方式

如图1所示，一种基于SDN虚拟交换机的防伪造IP的系统，其特征在于：包括多个虚拟机1和设置在每个虚拟机1上的虚拟网卡2，所述虚拟网卡2均与虚拟交换机3相连接，所述虚拟交换机3分别与物理网卡4和SDN控制器6连接，所述SDN控制器6与DHCP服务器5相连接。

如图2所示，一种基于SDN虚拟交换机的防伪造IP的方法，其特征在于，包括以下步骤：

S1、将虚拟机接入虚拟交换机；

S2、虚拟交换机与SDN控制器连接成功；

S3、SDN控制器与DHCP服务器连接成功；

S4、SDN控制器从DHCP服务器获取用户的三元组关键配置；

S5、SDN控制器将三元组绑定下发到虚拟交换机；

S6、虚拟交换机更新Openflow表项；

S7、虚拟交换机收到虚机报文；

S8、检查三元组绑定是否符合；

S9、如报文符合三元组绑定，转发报文，否则将报文丢弃。

本实施例中，所述步骤S4获取用户的三元组关键配置为IP、MAC、入端口。

本发明基于SDN虚拟交换机提供基于用户IP、MAC、入端口三元组的绑定，阻止假冒报文，在内网建立起访问控制，保护关键和敏感的数据，保障企业安全。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。