(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107547345A(43)申请公布日2018.01.05(21)申请号201710591196.X(22)申请日2017.07.19(71)申请人新华三技术有限公司地址310052浙江省杭州市滨江区长河路466号(72)发明人黄李伟王伟王丽芳(74)专利代理机构北京柏杉松知识产权代理事务所(普通合伙)11413代理人马敬项京(51)Int.Cl.H04L12/46(2006.01)H04W48/02(2009.01)H04L29/06(2006.01)G06F9/455(2006.01)权利要求书3页说明书10页附图6页(54)发明名称一种VXLAN动态接入方法、装置、设备及介质(57)摘要本申请实施例提供了一种虚似扩展局域网VXLAN动态接入方法、装置、设备及介质，应用于VXLAN隧道端点VTEP设备，方法包括：接收来自虚拟机VM的登录请求报文，根据登录请求报文中携带的用户信息，向认证服务器发起第一认证请求；当接收到的第一认证请求对应的第一认证结果为认证未通过时，创建VM对应的访客动态接入点；根据访客动态接入点记录的信息以及针对访客接入点设置的访问规则，判断登录请求报文是否为可疑报文；若为是，则在本地保存访客动态接入点的关键信息，并删除访客动态接入点，关键信息包括VM的用户信息。应用本申请实施例能够在VTEP设备收到大量攻击报文的情况下，保证用户业务的正常使用。CN107547345ACN107547345A权利要求书1/3页1.一种虚似扩展局域网VXLAN动态接入方法，其特征在于，应用于VXLAN隧道端点VTEP设备，所述方法包括：接收来自虚拟机VM的登录请求报文，根据所述登录请求报文中携带的用户信息，向认证服务器发起第一认证请求；当接收到的所述第一认证请求对应的第一认证结果为认证未通过时，创建所述VM对应的访客动态接入点；根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则，判断所述登录请求报文是否为可疑报文；若为是，则在本地保存所述访客动态接入点的关键信息，并删除所述访客动态接入点，所述关键信息包括：所述VM的用户信息。2.根据权利要求1所述的方法，其特征在于，在所述删除所述访客动态接入点的步骤之后，所述方法还包括：按照预设的第一认证周期，根据所述本地保存的所述VM的用户信息，向所述认证服务器发起第二认证请求；当接收到的所述第二认证请求对应的第二认证结果为认证未通过时，从所述本地删除所述关键信息；当接收到的所述第二认证结果为认证通过时，创建所述VM对应的VXLAN业务接入点。3.根据权利要求2所述的方法，其特征在于，所述当接收到的所述第二认证请求对应的第二认证结果为认证未通过时，从所述本地删除所述关键信息的步骤，包括：从所述访客动态接入点中获取所述VM的IP地址；根据所述IP地址，生成针对所述VM的探测报文；按照预设探测周期，向所述VM发送所述探测报文；判断在预设探测时间段内，是否接收到来自所述VM的探测报文响应；若在预设探测时间段内没有接收到来自所述VM的探测报文响应，则确定所述登录请求报文为恶意请求报文；当所述登录请求报文为恶意请求报文，且接收到的所述第二认证请求对应的第二认证结果均为认证未通过时，从所述本地删除所述关键信息。4.根据权利要求2所述的方法，其特征在于，在所述接收来自虚拟机VM的登录请求报文的步骤之后，所述方法还包括：判断所述本地是否保存有与所述登录请求报文中携带的源MAC地址匹配的MAC地址；若为否，则执行所述根据所述登录请求报文中携带的用户信息，向认证服务器发起第一认证请求的步骤；若为是，则执行所述按照预设的第一认证周期，根据所述本地保存的关键信息中的所述VM的接入信息，向所述认证服务器发起第二认证请求。5.根据权利要求1所述的方法，其特征在于，所述根据所述访客动态接入点记录的信息以及针对所述访客接入点设置的访问规则，判断所述登录请求报文是否为可疑报文的步骤，包括：从所述访客动态接入点记录的信息中获取所述源MAC地址；按照预设的第二认证周期，根据所述源MAC地址向所述认证服务器发起第三认证请求；2CN107547345A权利要求书2/3页判断接收到的所述第三认证请求对应的第三认证结果是否均为认证未通过且所述第三认证结果为认证未通过的次数是否超过预设次数阈值，或，接收到的所述第三认证请求对应的第三认证结果是否为认证未通过且所述访客动态接入点的存在时长是否超过预设时长阈值；若为是，则确定所述登录请求报文为可疑报文。6.根据权利要求1所述的方法，其特征在于，在所述在本地保存所述访客动态接入点的关键信息，并删除所述访客动态接入点的步骤之后，所述方法还包括：根据本地保存的所述访客动态接入点的关键信息，生成记录表；