[发明专利]计算机系统、控制器和网络监视方法

说明书

技术领域

本发明涉及一种计算机系统、控制器、监视方法和网络监视程序并且更具体地涉及一种使用开放流(openflow)技术的计算机系统和用于阻止地址欺诈的分组。

背景技术

在2层网络中，使用MAC(介质访问控制)地址以便唯一地标识配置网络的网络设备(包括计算机和虚拟机)。然而，存在MAC地址可能容易被欺诈的问题。另一方面，在与计算机的物理传送或者虚拟机的传送关联地改变在2层网络中流动的分组的路由时，广泛已知无偿ARP(地址解析协议)有利(参见非专利文献1)。无偿ARP是如下ARP请求分组，在该ARP请求分组中，它自己的IP(网际协议)地址被设置成目标IP地址并且提供两个效果。一个效果是发现是否除了自身之外的某物使用相同IP地址。如果使用ARP请求分组中设置的目标IP地址的不同网络设备发送回ARP答复，则可以判断IP地址重复。另一效果在于如下事实：配置2层网络的交换机参考无偿ARP分组的传输源MAC地址更新它自己的ARP表和MAC表，因而可以跟随计算机和/或虚拟计算机的传送以改变分组的传送路由。然而通过使用这一性质，可能在网络中引起麻烦。例如在非法第三方传输其中欺诈传输源MAC地址或者目标IP地址的无偿ARP请求分组时，重写配置2层网络的交换机的ARP表或者MAC表。因而，合法用户的TCP/IP通信容易中断。另外，将向合法用户发送的分组可能被截获，因为分组被改变成向非法人员发送。

例如在JP 2005-210451A中描述一种用于使用前述ARP分组来监视和防止非法访问和中断的技术(参见专利文献1)。在专利文献1中描述的一种系统包括用于监视ARP请求分组的监视主机和如下数据库，在该数据库中预先注册网络以内的合法主机的IP地址和物理地址。监视主机在检测到用于在数据库中未注册的IP地址或者物理地址的ARP请求分组时，向ARP分组的请求目的地节点传输其请求源是上述监视主机自身的ARP请求分组并且更新节点的ARP表。因而，对非法访问的答复分组被传输到监视器服务器而不被发送到非法第三方。

以这一方式，在专利文献1中描述的系统可以防止对网络的非法访问，因为检测到非法ARP分组的监视器服务器控制节点中的分组的传送目的地。

另一方面，开放流协会(OpenFlow Consortium)提出一种其中相应交换机中的传送操作等由计算机网络(开放流)中的外部控制器统一控制的技术(参见非专利文献2)。与上述技术对应的网络交换机(下文称为开放流交换机(OFS))在流表中保持具体信息，比如协议类型、端口编号等，并且可以控制流并且获取统计信息。网络以内的OFS的流表由开放流控制器(OFC)统一设置和管理。

参照图1，描述使用开放流协议的计算机系统的配置和操作。参照图1，基于与本发明有关的技术的计算机系统包括：开放流控制器100(下文称为OFC 100)；包括多个开放交换机102-1至102-n(下文称为OFS 102-1至102-n)的交换机组200；以及包括多个主机计算机103-1至103-i(下文称为主机103-1至103-i)的主机300。然而n和i中的每个数为2或者更大的自然数。在下文说明中，在OFS 102-1至102-n未相互区分时，它们统称为OFS 102。此外，在主机103-1至103-i未相互区分时，它们统称为主机103。

OFC 100设置主机103之间的通信路由并且向该路由上的OFS 102设置传送操作(中继操作)等。这时，OFC 100在由OFS 102保持的流表中设置如下流条目，在该流条目中，用于指定一个流(分组数据)的规则与用于定义针对该流的操作的动作相关。通信路由上的OFS 102根据OFC 100设置的流条目确定接收的分组数据的传送目的地并且执行传送过程。因而主机103可以通过使用OFC 100设置的通信路由来向不同主机103传输和从不同主机103接收分组数据。也就是说，在使用开放流的计算机系统中，用于设置通信路由的OFC 100和用于执行传送过程的OFS 102被分离，这使整个系统中的通信能够被统一控制和管理。

参照图1，在从主机103-1至主机103-i传输分组时，OFS 102-1参考从主机103-1接收的分组中的传输目的地信息(头部信息：例如目的地MAC地址和目的地IP地址)并且从保持在OFS 102-1以内的流表搜索与头部信息一致的条目。流表中设置的条目的内容例如在非专利文献2中定义。