一种管理网IP冲突的防御方法、系统、装置及存储介质与流程

一种管理网ip冲突的防御方法、系统、装置及存储介质
技术领域
1.本发明涉及网络通信技术领域，更具体的说是涉及一种管理网ip冲突的防御方法、系统、装置及存储介质。


背景技术：

2.云计算(英语：cloud computing)，是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。典型的云计算提供商往往提供通用的网络业务应用，可以通过浏览器等软件或者其他web服务来访问，而软件和数据都存储在服务器上。云计算服务通常提供通用的通过浏览器访问的在线商业应用，软件和数据可存储在数据中心。狭义云计算指it基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是it和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。
3.云计算架构分为服务和管理两大部分。在服务方面，主要以提供用户基于云的各种服务为主，共包含3个层次：基础设施即服务iaas、平台即服务paas、软件即服务saas.在管理方面，主要以云的管理层为主，它的功能是确保整个云计算中心能够安全、稳定地运行，并且能够被有效管理。
4.在云计算数据中心场景下，虚拟化节点的管理网传输一些控制流信息，一旦节点发生管理网ip冲突，将会造成虚拟化节点之间的ip地址无法访问，控制流中断将会造成严重后果，大部分情况都是通过人工排查来解决ip冲突问题，这种方式费时又费力，运维成本较高。


技术实现要素：

5.针对以上问题，本发明的目的在于提供一种管理网ip冲突的防御方法、系统、装置及存储介质，可以对ip冲突进行防御，即使节点出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，保障了云平台纳管的所有虚拟节点的正常通信。
6.本发明为实现上述目的，通过以下技术方案实现：一种管理网ip冲突的防御方法，包括：
7.将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台；
8.云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址；
9.虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表；
10.当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文；
11.发送完成后，虚拟化节点通过代理模块截获所有的地址解析协议回应报文；获取地址解析协议回应报文的中的发送者mac地址；
12.判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化
节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
13.进一步，所述将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台，包括：
14.在物理机器上安装虚拟化系统，并生成一个虚拟交换机；
15.设置虚拟交换机的物理网卡和管理网接口；
16.将物理网卡作为上行链路，进出节点的流量均经过物理网卡；
17.将管理网接口作为虚拟交换机的虚拟接口，通过在虚拟接口上进行ip地址设置，与云平台及其它虚拟化节点通信。
18.进一步，所述云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址，包括：
19.云平台在虚拟化节点加入时，获取虚拟化节点的管理口的mac地址，收集相应的信息并记录在数据库；
20.根据记录的信息形成虚拟化节点mac可信列表。
21.进一步，所述虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表，包括：
22.当虚拟化节点mac可信列表有更新时，云平台将更新后的虚拟化节点mac可信列表下发给所有虚拟化节点；
23.虚拟化节点通过内置的代理模块接收虚拟化节点mac可信列表，并将虚拟化节点mac可信列表保存在内存缓存中。
24.进一步，获取地址解析协议回应报文的中的发送者mac地址，包括：在地址解析协议回应报文的中三层头内获取发送者mac地址。
25.相应的，本发明还公开了一种管理网ip冲突的防御系统，包括：
26.虚拟单元，用于将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台；管理单元，用于控制云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址；
27.交互单元，用于控制虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表；
28.访问发起单元，用于当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文；
29.报文截获单元，用于控制虚拟化节点通过代理模块截获所有的地址解析协议回应报文；
30.地址获取单元，用于获取地址解析协议回应报文的中的发送者mac地址；
31.防御单元，用于判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
32.进一步，所述虚拟单元包括：
33.安装模块，用于在物理机器上安装虚拟化系统，并生成一个虚拟交换机；
34.网口设置模块，用于设置虚拟交换机的物理网卡和管理网接口；将物理网卡作为上行链路，进出节点的流量均经过物理网卡；将管理网接口作为虚拟交换机的虚拟接口，通
过在虚拟接口上进行ip地址设置，与云平台及其它虚拟化节点通信。
35.进一步，所述管理单元包括：
36.记录模块，用于云平台在虚拟化节点加入时，获取虚拟化节点的管理口的mac地址，收集相应的信息并记录在数据库；
37.建表模块，用于根据记录的信息形成虚拟化节点mac可信列表。
38.进一步，所述交互单元包括：
39.下发模块，用于当虚拟化节点mac可信列表有更新时，云平台将更新后的虚拟化节点mac可信列表下发给所有虚拟化节点；
40.存储模块，用于虚拟化节点通过内置的代理模块接收虚拟化节点mac可信列表，并将虚拟化节点mac可信列表保存在内存缓存中。
41.相应的，本发明公开了一种管理网ip冲突的防御装置，包括：
42.存储器，用于存储管理网ip冲突的防御程序；
43.处理器，用于执行所述管理网ip冲突的防御程序时实现如上文任一项所述管理网ip冲突的防御方法的步骤。
44.相应的，本发明公开了一种可读存储介质，所述可读存储介质上存储有管理网ip冲突的防御程序，所述管理网ip冲突的防御程序被处理器执行时实现如上文任一项所述管理网ip冲突的防御方法的步骤。
45.对比现有技术，本发明有益效果在于：本发明公开了一种管理网ip冲突的防御方法、系统、装置及存储介质，首先，通过云平台记录所纳管的虚拟化节点的mac地址，形成虚拟化节点mac可信列表，此时云平台把mac可信列表下发给各节点的代理模块，代理模块把mac可信列表保存在内存缓存里，如果mac可信列表有更新，云平台会及时下发新的mac可信列表。在虚拟化节点发起访问后，代理模块会截获arp回应报文，如果arp回应报文的三层头里的发送者mac地址不在mac列表里，代理模块将回应节点视为冲突节点，并丢弃这些arp回应报文。
46.本发明可以对ip冲突进行防御，就算出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，可以保障云平台纳管的所有虚拟节点的正常通信。
47.本发明有效节省了排查ip冲突的运维成本，极大提升虚拟化的网络环境稳定性。
48.由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。
附图说明
49.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
50.附图1是本发明实施例一的方法流程图。
51.附图2是本发明实施例二的系统结构图。
52.附图3是本发明实施例三的运行示意图。
53.本发明的核心是提供一种管理网ip冲突的防御方法，现有技术中，在云计算数据
中心场景下，虚拟化节点的管理网传输一些控制流信息，一旦节点发生管理网ip冲突，将会造成虚拟化节点之间的ip地址无法访问，控制流中断将会造成严重后果，大部分情况都是通过人工排查来解决ip冲突问题，这种方式费时又费力，运维成本较高。
54.而本发明提供的管理网ip冲突的防御方法，首先，云平台在虚拟化节点加入时，获取虚拟化节点的管理口的mac信息，维护所纳管的虚拟化节点的mac列表。并在虚拟化节点部署代理模块，代理模块由云平台统一管控。此时，云平台把纳管的所虚拟化节点的mac可信列表下发给各个节点的代理模块，代理模块把mac可信列表保持在内存缓存里，如果mac可信列表有更新，云平台会及时下发新的mac可信列表。当有虚拟化节点发起访问时，代理模块介入地址解析协议的报文接收流程，代理模块会截获地址解析协议回应报文，如果地址解析协议回应报文的三层头里的发送者mac地址不在mac列表里，代理模块将丢弃这些arp回应报文。这样可以保障虚拟化节点的arp缓存表里的ip和mac映射关系不会被非法设备干扰，可以保障目的虚拟化节点的ip存在冲突的情况下，其ip地址仍然能够被本云平台纳管的其他虚拟化节点正确访问。由此可见，本发明可以对ip冲突进行防御，即使节点出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，保障了云平台纳管的所有虚拟节点的正常通信。
55.为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.实施例一：
57.如图1所示，本实施例提供了一种管理网ip冲突的防御方法，包括如下步骤：
58.s1：将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台。
59.本步骤具体包括：
60.为物理机器安装虚拟化系统，安装完成后，会生成一个虚拟交换机，虚拟交换机包括物理网卡及管理网接口，其中物理网卡作为上行链路，进出节点的流量均经过物理网卡；管理网接口为虚拟的接口，接口设置ip地址后可与云平台及其他虚拟节点通信。虚拟化节点加入云平台后就被纳管了，虚拟化节点通过管理网ip地址与云平台或其他虚拟化节点通信。
61.s2：云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址。
62.云平台在虚拟化节点加入时，获取虚拟化节点的管理口的mac地址，收集这些信息记录在数据库，形成虚拟化节点mac可信列表。当所有的虚拟化节点被云平台纳管后，mac可信列表就记录了云平台纳管的所有虚拟化节点的mac地址。
63.s3：虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表。
64.虚拟化节点的代理模块是虚拟交换机的一部分，其功能是与云平台交互mac列表。云平台将mac可信列表下发给各个节点的代理模块，代理模块把mac列表保持在内存缓存里，如果mac可信列表有更新，云平台会及时下发新的mac列表。
65.s4：当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文。
66.虚拟化节点访问其他节点时，本节点会发出arp(地址解析协议)请求报文，这个报
文是广播报文，发送流程走正常arp发送流程，这个广播报文会被同一个vlan内的设备接收到。
67.s5：发送完成后，虚拟化节点通过代理模块截获所有的地址解析协议回应报文。
68.s6：获取地址解析协议回应报文的中的发送者mac地址。
69.s7：判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
70.通过以上三步，利用代理模块介入接收流程，代理模块会截获arp回应报文，如果arp回应报文的三层头里的发送者mac地址不在mac列表里，代理模块将认定arp回应报文的发送节点，丢弃这些arp回应报文。这样可以保障虚拟化节点的arp缓存表里的ip和mac映射关系不会被非法设备干扰，保障目的虚拟化节点的ip存在冲突的情况下，其ip地址仍然能够被其他节点正确访问。
71.本实施例提供了一种管理网ip冲突的防御方法，可以对ip冲突进行防御，就算出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，可以保障云平台纳管的所有虚拟节点的正常通信。本实施例有效节省了排查ip冲突的运维成本，极大提升虚拟化的网络环境稳定性。
72.实施例二：
73.基于实施例一，如图2所示，本发明还公开了本发明还公开了一种管理网ip冲突的防御系统，包括：虚拟单元、管理单元、交互单元、访问发起单元、报文截获单元、地址获取单元和防御单元。
74.虚拟单元，用于将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台。虚拟单元具体包括：安装模块，用于在物理机器上安装虚拟化系统，并生成一个虚拟交换机；网口设置模块，用于设置虚拟交换机的物理网卡和管理网接口；将物理网卡作为上行链路，进出节点的流量均经过物理网卡；将管理网接口作为虚拟交换机的虚拟接口，通过在虚拟接口上进行ip地址设置，与云平台及其它虚拟化节点通信。
75.管理单元，用于控制云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址。管理单元具体包括：记录模块，用于云平台在虚拟化节点加入时，获取虚拟化节点的管理口的mac地址，收集相应的信息并记录在数据库；建表模块，用于根据记录的信息形成虚拟化节点mac可信列表。
76.交互单元，用于控制虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表。交互单元具体包括：下发模块，用于当虚拟化节点mac可信列表有更新时，云平台将更新后的虚拟化节点mac可信列表下发给所有虚拟化节点；存储模块，用于虚拟化节点通过内置的代理模块接收虚拟化节点mac可信列表，并将虚拟化节点mac可信列表保存在内存缓存中。
77.访问发起单元，用于当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文。
78.报文截获单元，用于控制虚拟化节点通过代理模块截获所有的地址解析协议回应报文。
79.地址获取单元，用于获取地址解析协议回应报文的中的发送者mac地址。具体用
于：在地址解析协议回应报文的中三层头内获取发送者mac地址。
80.防御单元，用于判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
81.本实施例提供了一种管理网ip冲突的防御系统，能够对ip冲突进行防御，就算节点出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，保障了云平台纳管的所有虚拟节点的正常通信。
82.实施例三：
83.基于上述实施例，本实施例提供了管理网ip冲突的防御方法的具体实现过程：
84.如图3所示，云平台纳管了2台虚拟化节点，这2台虚拟化节点的管理网ip地址分别是ip1和ip2，其mac地址分别是mac1和mac2。
85.冲突设备x的ip地址与虚拟化节点b相同，都是ip2，这时已经发生ip冲突，如果未引入管理网ip冲突的防御方法，虚拟化节点a将无法正常访问虚拟化节点b的管理网ip地址。
86.引入管理网ip冲突的防御方法后，图3中的a节点如果访问ip2这个地址，a节点会发送一个arp请求广播报文，这个广播报文节点b及冲突设备x都会收到，因为这两台设备的ip地址都是ip2，所以都会做arp回应，这样节点a就会收到2个arp回应报文，arp回应报文被节点a的代理模块截获，代理模块提取回应报文三层头里的发送者mac地址，即mac2和mac3，很显然，mac3不在mac可信列表里，代理模块将丢弃由冲突设备x的arp回应报文,最终节点a接受节点b的arp回应报文，这样节点a确定目的ip2的mac地址是mac2而不是mac3，基于此，节点a就能够正常访问到节点b。
87.可见，使用管理网ip冲突的防御方法后，即使在数据中心内存在与节点b相同的ip地址，虚拟化节点a始终会访问到正确的节点b，并不会产生网络通信异常。
88.实施例四：
89.本实施例公开了一种管理网ip冲突的防御装置，包括处理器和存储器；其中，所述处理器执行所述存储器中保存的管理网ip冲突的防御程序时实现以下步骤：
90.1、将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台。
91.2、云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址。
92.3、虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表。
93.4、当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文。
94.5、发送完成后，虚拟化节点通过代理模块截获所有的地址解析协议回应报文。
95.6、获取地址解析协议回应报文的中的发送者mac地址。
96.7、判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
97.进一步的，本实施例中的管理网ip冲突的防御装置，还可以包括：
98.输入接口，用于获取外界导入的管理网ip冲突的防御程序，并将获取到的管理网ip冲突的防御程序保存至所述存储器中，还可以用于获取外界终端设备传输的各种指令和
参数，并传输至处理器中，以便处理器利用上述各种指令和参数展开相应的处理。本实施例中，所述输入接口具体可以包括但不限于usb接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。
99.输出接口，用于将处理器产生的各种数据输出至与其相连的终端设备，以便于与输出接口相连的其他终端设备能够获取到处理器产生的各种数据。本实施例中，所述输出接口具体可以包括但不限于usb接口、串行接口等。
100.通讯单元，用于在管理网ip冲突的防御装置和外部服务器之间建立远程通讯连接，以便于管理网ip冲突的防御装置能够将镜像文件挂载到外部服务器中。本实施例中，通讯单元具体可以包括但不限于基于无线通讯技术或有线通讯技术的远程通讯单元。
101.键盘，用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。
102.显示器，用于运行服务器供电线路短路定位过程的相关信息进行实时显示。
103.鼠标，可以用于协助用户输入数据并简化用户的操作。
104.实施例四：
105.本实施例还公开了一种可读存储介质，这里所说的可读存储介质包括随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动硬盘、cd-rom或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有管理网ip冲突的防御程序，所述管理网ip冲突的防御程序被处理器执行时实现以下步骤：
106.1、将物理机器进行虚拟化处理，生成虚拟化节点，并加入云平台。
107.2、云平台通过建立虚拟化节点mac可信列表管理所有虚拟化节点的mac地址。
108.3、虚拟化节点通过内置的代理模块与云平台交互虚拟化节点mac可信列表。
109.4、当云平台管理下的任一虚拟化节点在管理网内发起访问时，向管理网发送一个地址解析协议请求报文。
110.5、发送完成后，虚拟化节点通过代理模块截获所有的地址解析协议回应报文。
111.6、获取地址解析协议回应报文的中的发送者mac地址。
112.7、判断发送者mac地址是否在虚拟化节点mac可信列表中，若是，则将相应的虚拟化节点作为被访问的虚拟化节点；若否，认定相应的虚拟化节点为冲突节点，并丢弃相应的地址解析协议回应报文。
113.本实施例提供了一种可读存储介质，可以对ip冲突进行防御，就算出现了ip冲突，被冲突的虚拟化节点也可以被其他虚拟化节点正常访问，可以保障云平台纳管的所有虚拟节点的正常通信。
114.综上所述，本发明有效节省了排查ip冲突的运维成本，极大提升虚拟化的网络环境稳定性。
115.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言，由于其与实施例公开的系统相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
116.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些
功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
117.在本发明所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
118.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
119.另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。
120.同理，在本发明各个实施例中的各处理单元可以集成在一个功能模块中，也可以是各个处理单元物理存在，也可以两个或两个以上处理单元集成在一个功能模块中。
121.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
122.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
123.以上对本发明所提供的管理网ip冲突的防御方法、系统、装置及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。