CN105429870A - Sdn环境下的vxlan安全网关装置及其应用方法 - Google Patents
Sdn环境下的vxlan安全网关装置及其应用方法 Download PDFInfo
- Publication number
- CN105429870A CN105429870A CN201510857787.8A CN201510857787A CN105429870A CN 105429870 A CN105429870 A CN 105429870A CN 201510857787 A CN201510857787 A CN 201510857787A CN 105429870 A CN105429870 A CN 105429870A
- Authority
- CN
- China
- Prior art keywords
- packet
- vxlan
- network
- security
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种SDN环境下的VXLAN安全网关装置及其应用方法。该装置设置在二层物理交换机上,包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务***网络安全边界管理模块。网络数据包收发模块通过收包口接收VXLAN数据包,并传输给网络数据包逻辑处理引擎模块;网络数据包逻辑处理引擎模块拆除VXLAN数据包的包头,对去掉包头的VXLAN数据包打上VLAN标记,在OpenFlow流表下发模块向对应的交换机下发流表转发项后,将处理后的VXLAN数据包通过网络数据包收发模块发送出去。本发明实施例的装置无须分别在三层交换机、SDN控制器等多个平台上进行配置,能够充分利用SDN对网络流量的灵活管控能力,能够有效降低三层物理汇聚层的流量负载。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种SDN环境下的VXLAN安全网关装置及其应用方法。
背景技术
随着数据中心技术的成熟,计算资源趋向于高度的集中化,大量的传统的服务器被虚拟化后集中部署在大型数据中心中,这就使得网络管理变得非常复杂,而传统的VLAN(VirtualLocalAreaNetwork,虚拟局域网)数量也往往不能满足使用的需求。
SDN(SoftwareDefinedNetworks,软件定义网络)就是在这种背景下,为解决传统交换或基于路由的网络部署的瓶颈问题而发展起来的。SDN技术通过解耦传统的网络交换过程中的控制平面和数据平面,实现了对网络转发控制的统一集中管控,并能够利用如Openflow等协议对数据的转发进行非常灵活的控制,从而有效解决了网络管理和配置复杂的问题。
OpenFlow是一个开放的,基于一定标准的协议,它定义了如何由一个中心部件(控制器)对控制平面进行配置和控制。通过使用OpenFlow,控制器可以采用策略下发的方式将流表下发到相应支持Openflow协议的虚拟或物理交换机中,使得接收到该流表的交换机能够根据流表来管理数据包在网络中的传输。
OpenFlow控制器根据各种流和控制器的物理拓扑结构,将流表安装在OpenFlow交换机中,OpenFlow交换机根据流表处理进入交换机的流量。OpenFlow交换机将依照这个流表对所有进入其中的流量进行处理,如果流表中没有关于某特定流的条目与之对应,数据包信息则会被发往OpenFlow控制器,由OpenFlow控制器做出处理。OpenFlow控制器决定如何处理之后,就在OpenFlow交换机中通过相应的操作措施来对流进行处理。任何进入交换机的数据包都需要与数据头12个元组中的某一特定值进行匹配。根据对Openflow规范标准版本支持的不同,以及各个SDN交换机厂商实现的不同,流表所支持的配置项会有细节上的差别。
在实现VXLAN协议时,需要通过支持VXLAN的设备,如虚拟交换机或物理交换机通过VXLAN隧道终端(VXLANTunnelEndPoint,VTEP)模块使用特有的VXLAN包头对传统的二层以太帧进行封装,用VNI(VxLANNetworkIdentifier,虚拟网络标识符)作为VXLAN的网络标识ID,划分不同的逻辑网络,用源和目的所连接的VTEP的MAC和IP作为封装后新的数据包的源和目的的MAC和IP。
在应用了VXLAN技术后,交换机中传输的数据包就都成为了带有VXLAN封装格式的数据包,而真实的原始以太帧则成为了VXLAN数据包中的数据负载。这就使得传统的各种网络安全设备如入侵检测***、防火墙等无法识别其所捕获的带有VXLAN包头的网络数据包。
在基于虚拟化技术构建的大型数据中心环境中,VLAN不能提供足够逻辑解决网络隔离边界的问题。VXLAN通常在虚拟交换机中实现,也可以在物理交换机中实现,无论哪种实现方法,在物理交换机内部传输的网络流都已经是经过VXLAN封装的数据包的格式。为了更好的提供对复杂的数据中心网络的管控能力,基于OpenFlow协议的SDN(SoftwareDefinedNetwork,软件定义网络)技术是构建数据中心时首选的网络解决方案。现有技术中的一种基于VXLAN的基础网络架构示意图如图1所示,由支持VXLAN和OpenFlow的设备构成了数据中心网络的基础架构。而传统安全产品因为大多不能直接支持VXLAN格式的数据包分析,因此只能部署在普通的非VXLAN物理网络环境中,通过部署在三层网络环境中的VXLAN网关把VXLAN标记去掉后(VXLAN端口对应一个VTEP模块负责此工作),再利用策略路由转发到安全设备上。不能在二层网络环境中接入是因为VXLAN网关通常是被设计为在VXLAN进行三层交换时在三层交换机中执行的模块。因此,这种安全设备的接入方式需要网络流量先被汇聚到三层交换机中,然后以VXLAN为转发的粒度,选择是否需要把特定的VXLAN流量去掉VXLAN标记后送入非VXLAN的传统物理网络环境。
上述现有技术中的基于VXLAN的基础网络架构的缺点为:在以虚拟化技术为核心的数据中心或云计算中心中,当使用VXLAN作为业务网络逻辑边界的隔离方案时,由于传统物理安全设备大多数不能支持VXLAN协议格式的解析,因此将无法识别基于VXLAN封装的网络数据包,而如果通过部署在三层交换机上的VXLAN网关将VXLAN转换为普通以太帧,又将带来性能和配置灵活性等一系列的问题,并且不跨VXLAN的网络流量通常不能够被送到三层交换机,安全设备也就将无法对VXLAN间东西向流量进行监控。
发明内容
本发明实施例提供了一种SDN环境下的VXLAN安全网关装置及其应用方法,以实现利用SDN对网络流量进行有效的安全管控。
根据本发明的一个方面,提供了一种SDN环境下的VXLAN安全网关装置,设置在二层物理交换机上,所述VXLAN安全网关装置具体包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务***网络安全边界管理模块;
所述网络数据包收发模块,用于通过收包口接收需要安全监控的VXLAN数据包,将所述VXLAN数据包传输给所述网络数据包逻辑处理引擎模块;通过发包口将所述网络数据包逻辑处理引擎模块处理后的VXLAN数据包发送到网络中;
所述网络数据包逻辑处理引擎模块,用于对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包,在所述OpenFlow流表下发模块向对应的交换机下发流表转发项后,将所述处理后的数据包传输给所述网络数据包收发模块;
所述OpenFlow流表下发模块,用于对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机。
进一步地,所述装置还包括:
网络数据包分类模块,用于对所述网络数据包收发模块所接收到的数据包进行分类,将所述数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包,并把分类后的结果提交到网络数据包逻辑处理引擎进行处理。
进一步地,所述装置还包括:
所述网络数据包格式封装模块,用于对所述网络数据包逻辑处理引擎模块拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,根据目的安全设备对应的VLANID对所述处理后的数据包进行VLAN标记。
进一步地,所述装置还包括:
所述安全设备注册管理模块,用于向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号。
进一步地,所述装置还包括:
业务***网络安全边界管理模块,用于向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。
进一步地,所述网络数据包逻辑处理引擎模块,还用于对于不需要安全监控的VXLAN数据包,调用网络数据包收发模块的发包接口直接将所述VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,传输给网络数据包格式封装模块,调用所述网络数据包收发模块的发包接口将所述网络数据包格式封装模块返回的重新进行VXLAN封装后的VXLAN数据包转发出去;
所述网络数据包格式封装模块,还用于对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,将VXLAN封装后的VXLAN数据包传输给所述网络数据包逻辑处理引擎模块。
根据本发明的另一个方面,提供了一种SDN环境下的VXLAN安全网关装置的应用方法,将VXLAN安全网关装置设置在二层物理交换机上,所述方法具体包括:
所述VXLAN安全网关装置通过收包口接收需要安全监控的VXLAN数据包,对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包;
对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机;通过发包口将所述处理后的数据包传输给所述网络数据包收发模块。
进一步地,所述方法还包括:
所述VXLAN安全网关装置对所述网络数据包收发模块所接收到的VXLAN数据包进行分类,将VXLAN数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包。
进一步地,所述方法还包括:
所述VXLAN安全网关装置对拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,同时根据目的安全设备对应的VLANID对所述处理后的数据包进行VLAN标记;
向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号:
向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。
进一步地,所述VXLAN安全网关装置还用于对于不需要安全监控的VXLAN数据包,调用发包接口直接将VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,调用发包接口将重新进行VXLAN封装后的VXLAN数据包转发出去。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例的SDN环境下的VXLAN安全网关装置能够有效的利用了现有成熟稳定的网络安全产品,无须分别在三层交换机、SDN控制器等多个平台上进行配置,能够充分利用SDN对网络流量的灵活管控能力,能够有效降低三层物理汇聚层的流量负载,在VXLAN网络环境和非VXLAN网络环境具有一定的通用性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的一种基于VXLAN的基础网络架构示意图;
图2为本发明实施例提供的一种SDN环境下的VXLAN安全网关装置的网络部署拓扑示意图;
图3为本发明实施例提供的一种SDN环境下的VXLAN安全网关装置的模块结构示意图;
图4为本发明实施例提供的一种基于逻辑安全边界划分的VXLAN流量负载安全监控方法的处理流程图;
图5为本发明实施例提供的基于安全网关的安全设备的应用场景示意图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
针对现有安全设备的部署方案的性能问题和监控粒度问题,本发明实现了一种工作在二层网络环境中的专用于解决传统物理安全设备接入的SDN环境下的VXLAN安全网关装置。本发明实施例提供的一种SDN环境下的VXLAN安全网关装置的网络部署拓扑示意图如图2所示,本发明实施例的SDN环境下的VXLAN安全网关装置设置在二层物理交换机上,同时入侵检测***、网络防火墙等网络安全设备也直接部署并连接在二层物理交换机上。上述VXLAN安全网关装置对VXLAN数据包进行安全监控的处理流程包括:
步骤21、在安全网关的配置界面中配置需要监控的业务***的网络逻辑边界,即指定所需要监控的***中所包含的虚拟机的VXLANID、虚拟机的IP地址、虚拟机的MAC地址。
步骤22、在安全网关的配置界面中注册网络安全设备所连接的物理交换机的端口信息。
步骤23、VXLAN安全网关装置通过安全网关向其所连接的二层物理交换机下发OpenFlow流表,使得需要被监控的业务***所属VXLAN流量在进入该二层物理交换机后,被转发至安全网关的数据包接收端口。
步骤24、VXLAN安全网关装置在接收到VXLAN数据包后,基于用户配置的监控对象的网络逻辑边界,分析出所接收到的VXLAN数据包的类型。
步骤25、对于收包口收到的属于同一VXLAN但不需要监控的VXLAN数据包直接转发,并配合对应的流表策略,使得从VXLAN安全网关装置的发包口发出的VXLAN数据包直接被发往对应的目的设备。
对于收包口收到的需要被监控的VXLAN数据包,VXLAN安全网关装置先将其VXLAN头去掉,并保存下来,再根据是否需要进行旁路检测来决定是否需要对VXLAN数据包进行复制,为VXLAN数据包指定目的安全设备,下发流表到其所连接的物理交换机,并从发包口转发处理后的VXLAN数据包。
对于收包口收到的属于防火墙转发回来的VLAN数据包,安全网关将VLAN数据包的VLAN标记去掉,并找回该VXLAN数据包的VXLAN封装的包头,重新加上VXLAN封装后,再从发包口发送出去。
本发明实施例的SDN环境下的VXLAN安全网关装置的模块结构示意图如图3所示,包括了网络数据包收发模块、网络数据包分类模块、网络数据包逻辑处理引擎模块、网络数据包格式封装模块、OpenFlow流表下发模块、业务***网络安全边界管理模块、安全设备注册管理模块等主要模块。
所述网络数据包收发模块,用于通过收包口接收需要安全监控的VXLAN数据包和经过网络防火墙检测后需要被转发到目的主机的VXLAN数据包;并用于通过发包口将由经过上层业务逻辑处理后的VXLAN数据包发送到网络中。
所述网络数据包分类模块,用于对收包口所接收到的VXLAN数据包进行分类,将VXLAN数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VXLAN数据包,并把分类后的结果提交到网络数据包逻辑处理引擎进行处理。
所述网络数据包逻辑处理引擎模块,为安全网关的核心控制模块,该模块将根据数据包的分类选择需要调用的业务逻辑进行处理,对于不需要安全监控的VXLAN数据包,调用网络数据包收发模块的接口直接将其发送出去;对于需要被安全监控的VXLAN数据包,调用网络数据包格式封装模块记录其当前VXLAN封装包头,并将当前VXLAN包头去掉后,根据业务***网络安全边界管理模块所提供的该VXLAN数据包所属业务虚拟机对应的安全边界所配置的安全设备的端口,打上相应的VLAN标记得到处理后的数据包,通过OpenFlow流表下发模块向相关交换机下发流表成功后,再通过网络数据包收发模块的接口将处理后的数据包转发出去;对于已经通过防火墙检测的VXLAN数据包,传输给网络数据包格式封装模块,调用网络数据包收发模块的接口将网络数据包格式封装模块返回的重新进行VXLAN封装后的VXLAN数据包转发出去。
所述网络数据包格式封装模块,用于对VXLAN格式的数据包的包头进行拆解,并以流信息为索引将VXLAN包头进行存储,同时根据目的安全设备对应的VLANID对数据包进行VLAN标记;对于已经通过防火墙检测的VXLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,将VXLAN封装后的VXLAN数据包传输给网络数据包逻辑处理引擎模块。
所述OpenFlow流表下发模块,用于对从VXLAN中抽取出并封装到VLAN中的数据负载提供对应的流表转发项,并向相应的交换机下发流表。
所述业务***网络安全边界管理模块,用于向用户提供可视化的网络安全边界管理,可以在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,以提供细粒度的安全边界管理,同时降低对网络的负载以及对安全设备的负载。在完成安全边界创建后可以为安全边界选择已经注册的物理安全设备。
所述安全设备注册管理模块,用于向用户提供对物理安全设备的接入注册,主要注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号。
本发明实施例提供的一种基于逻辑安全边界划分的VXLAN流量负载安全监控方法的处理流程如图4所示,包括如下的处理步骤:
步骤41、从收包口接收数据包。
步骤42、首先判断数据包的封装格式是VXLAN还是VLAN,若封装格式是VXLAN,则基于VXLAN的数据帧格式从负载位开始取出VXLAN内部数据负载,再用标准以太帧的格式去解析该数据负载,通过五元组确定数据负载来源的虚拟机,要监控的虚拟机的VXLAN、IP和MAC由用户在业务***网络安全边界管理模块指定,若虚拟机属于监控边界内,则转到43,否则转到49;若外层数据包的封装格式是VLAN,则转到47。
步骤43、以识别出的数据包所属虚拟机的MAC和IP作为索引条件,对于源和目的都在同一个VXLAN内的主机,为了防止重复安全监控,只用源地址作为索引,对于源和目的不在同一个VXLAN内的主机以所属当前VXLAN的虚拟机的地址为索引,存储该数据包的VXLAN包头信息,构成负载映射表。
步骤44、基于VXLAN数据包封装格式的解析,去掉VXLAN包头,取出负载部分对应的原始以太帧。
步骤45、在用户注册安全设备时,需要为安全设备的每个连接在交换机上的端口指定一个VXLANID,则在业务***网络安全边界管理模块为每个VXLAN中需要被监控的虚拟机指定安全设备时,就同时指定了这个虚拟机对应的安全VLAN。在去掉VXLAN封装后,需要根据该数据包所属的虚拟机为该数据包打上对应的安全VLAN标签,得到处理后的数据包。
步骤46、基于安全VLAN的标签下发OpenFlow流表,通过端口和VLAN的组合指定流的转发方向,指定从发包口发出的带有该VLAN标签的数据包被转发到安全设备所连接的对应端口上,对于防火墙类设备在流表中指定防火墙出口对应端口的流量属于该安全VLAN的被转发到安全网关的收包口。
步骤47、若数据包来自于安全VLAN,则说明该数据包为经过串行安全设备,如防火墙监控后,通过防火墙的数据包,需要根据该数据包的MAC和IP为索引在负载映射表里找到VXLAN包头。
步骤48、为数据包去掉VLAN标签,以从负载映射表里取出的VXLAN进行封装。
步骤49、把数据包发送到网络上。
实施例二
在以虚拟化技术为核心的数据中心或云计算中心中,当使用VXLAN作为业务网络逻辑边界的隔离方案时,由于传统物理安全设备大多数不能支持VXLAN协议格式的解析,因此将无法识别基于VXLAN封装的网络数据包,而如果通过部署在三层交换机上的VXLAN网关将VXLAN转换为普通以太帧,又将带来性能和配置灵活性等一系列的问题,并且不跨VXLAN的网络流量通常不能够被送到三层交换机,安全设备也就将无法对VXLAN间东西向流量进行监控。将本发明所实现的装置部署在接入交换机上,通过对VXLAN负载的解析,利用OpenFlow协议实现了一种能够有选择的把需要被监控的网络流量转换为基于VLAN封装的以太帧并向物理安全设备转发的安全网关。
该装置至少包括了网络数据包收发模块、网络数据包分类模块、网络数据包逻辑处理引擎、网络数据包格式封装模块、OpenFlow流表下发模块、业务***网络安全边界管理模块、安全设备注册管理模块等主要模块。
如图5所示,虚拟化服务器1中的VM1,VM2都属于VXLAN5001,虚拟化服务器2中的VM2属于VXLAN5002,VM1要发送数据包给VM3,图5中各个VM和VTEP对应的MAC地址和IP地址均已标注出来。下面结合实际的实施例介绍各个模块的功能和整个***的工作过程。
步骤51,用户通过安全设备注册管理模块,注册了网络防火墙设备的基本信息,并指定了端口3和端口4分别是防火墙的收包口和发包口,注册完成后,***会为该设备自动分配一个用于进行OpenFlow转发时进行识别的安全VLAN的ID号。
步骤52,用户通过业务***网络安全边界管理模块,指定了VM1的流量需要被监控,即需要通过防火墙,而VM2的流量不需要被监控。并指定了在步骤51中注册的网络防火墙为监控VM1流量的安全设备。
步骤53,VM1和VM2都向VM3发送数据包,通过向二层物理交换机下发流表,将VXLAN5001的流量都转发到安全网关的收包口,即端口1。
步骤54,网络数据包收发模块接收到来自于VXLAN5001的数据包,由网络数据包分类模块对VXLAN数据包进行解析,匹配到分别来自于VM1和VM2的网络数据包。
步骤55,网络数据包逻辑处理引擎对分类结果进行处理,对于来自于VM2的网络数据包,因为不在监控边界范围内,因此直接通过网络数据包收发模块进行发送,二层物理交换机中对应的流表项为端口2发出的数据包将被转发到VTEP2对应的端口上。对于来自于VM1的VXLAN数据包,因为属于需要监控的范围,因此交给网络数据包格式封装模块进行处理。
步骤56,网络数据包格式封装模块对VM1的VXLAN数据包进行解析,把VXLAN包头保存,并以MAC1,IP1作为该VXLAN包头的索引。根据MAC1和IP1从业务***网络安全边界管理模块获取到对应的安全VLANID,并对去掉包头后的VXLAN数据包进行VLAN格式的封装,得到处理后的数据包。
步骤57,OpenFlow流表下发模块根据封装后的VLANID和该VLANID对应的安全设备的端口号,向二层物理交换机下发流表,即端口2发出的VXLAN数据包中,是该VLANID的数据包将被转发到端口3,而端口4发出的数据包中,是该VLANID的数据包将被转发到端口1,端口4发出的数据包中,是该VLANID的数据包将被转发到端口1。
步骤58,把上述处理后的数据包从端口2发送出来。
步骤59,数据包基于OpenFlow流表规则被转发到端口3,在经过防火墙的过滤后,由端口4被发送回物理交换机中,数据包将基于步骤57所下发的流表被转发到端口1,并被网络数据包收发模块接收。
步骤510,网络数据包分类模块识别出该数据包来自于安全VLAN,由网络数据包逻辑处理引擎将该数据包交给网络数据包格式封装模块进行处理。网络数据包格式封装模块根据数据包中的MAC地址和IP地址,查找到之前缓存的VXLAN包头,并去掉VLAN封装,用查找到的VXLAN包头对该数据包重新封装。
步骤511,经过VXLAN重新封装后的数据包被网络数据包收发模块发送到网络中,在物理交换机的流表流表项中,由端口2发出的数据包,带有VXLAN5001的将被转发到VTEP2所对应的端口上,从而完成了整个数据包的安全监控和转发的过程。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中,也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
综上所述,本发明实施例的SDN环境下的VXLAN安全网关装置通过设置:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务***网络安全边界管理模块,具有如下的有益效果:
1)能够有效的利用了现有成熟稳定的网络安全产品;
2)安全的集中管理,无须分别在三层交换机、SDN控制器等多个平台上进行配置;
3)能够充分利用了SDN对网络流量的灵活管控能力;
4)通过将物理安全设备接入在二层物理网络能够有效降低三层物理汇聚层的流量负载;
5)在VXLAN网络环境和非VXLAN网络环境具有一定的通用性;
6)能够在不强制把流量转发到三层交换机的情况下,监控东西向网络流量。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种SDN环境下的VXLAN安全网关装置,其特征在于,设置在二层物理交换机上,所述VXLAN安全网关装置具体包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务***网络安全边界管理模块;
所述网络数据包收发模块,用于通过收包口接收需要安全监控的VXLAN数据包,将所述VXLAN数据包传输给所述网络数据包逻辑处理引擎模块;通过发包口将所述网络数据包逻辑处理引擎模块处理后的VXLAN数据包发送到网络中;
所述网络数据包逻辑处理引擎模块,用于对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包,在所述OpenFlow流表下发模块向对应的交换机下发流表转发项后,将所述处理后的数据包传输给所述网络数据包收发模块;
所述OpenFlow流表下发模块,用于对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机。
2.根据权利要求1所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括:
网络数据包分类模块,用于对所述网络数据包收发模块所接收到的数据包进行分类,将所述数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包,并把分类后的结果提交到网络数据包逻辑处理引擎进行处理。
3.根据权利要求2所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括:
所述网络数据包格式封装模块,用于对所述网络数据包逻辑处理引擎模块拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,根据目的安全设备对应的VLANID对所述处理后的数据包进行VLAN标记。
4.根据权利要求3所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括:
所述安全设备注册管理模块,用于向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号。
5.根据权利要求4所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括:
业务***网络安全边界管理模块,用于向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。
6.根据权利要求2至5所述的SDN环境下的VXLAN安全网关装置,其特征在于:
所述网络数据包逻辑处理引擎模块,还用于对于不需要安全监控的VXLAN数据包,调用网络数据包收发模块的发包接口直接将所述VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,传输给网络数据包格式封装模块,调用所述网络数据包收发模块的发包接口将所述网络数据包格式封装模块返回的重新进行VXLAN封装后的VXLAN数据包转发出去;
所述网络数据包格式封装模块,还用于对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,将VXLAN封装后的VXLAN数据包传输给所述网络数据包逻辑处理引擎模块。
7.一种SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,将VXLAN安全网关装置设置在二层物理交换机上,所述方法具体包括:
所述VXLAN安全网关装置通过收包口接收需要安全监控的VXLAN数据包,对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包;
对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机;通过发包口将所述处理后的数据包传输给所述网络数据包收发模块。
8.根据权利要求7所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,所述方法还包括:
所述VXLAN安全网关装置对所述网络数据包收发模块所接收到的VXLAN数据包进行分类,将VXLAN数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包。
9.根据权利要求8所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,所述方法还包括:
所述VXLAN安全网关装置对拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,同时根据目的安全设备对应的VLANID对所述处理后的数据包进行VLAN标记;
向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号:
向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。
10.根据权利要求8或9所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于:
所述VXLAN安全网关装置还用于对于不需要安全监控的VXLAN数据包,调用发包接口直接将VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,调用发包接口将重新进行VXLAN封装后的VXLAN数据包转发出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857787.8A CN105429870B (zh) | 2015-11-30 | 2015-11-30 | Sdn环境下的vxlan安全网关装置及其应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857787.8A CN105429870B (zh) | 2015-11-30 | 2015-11-30 | Sdn环境下的vxlan安全网关装置及其应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105429870A true CN105429870A (zh) | 2016-03-23 |
| CN105429870B CN105429870B (zh) | 2018-10-02 |
Family
ID=55507815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510857787.8A Active CN105429870B (zh) | 2015-11-30 | 2015-11-30 | Sdn环境下的vxlan安全网关装置及其应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105429870B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939296A (zh) * | 2016-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 报文的处理方法及装置 |
| CN106209557A (zh) * | 2016-06-30 | 2016-12-07 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106534201A (zh) * | 2016-12-26 | 2017-03-22 | 杭州盈高科技有限公司 | 一种sdn环境下的虚拟机风险快速隔离方法 |
| CN107566237A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 一种数据报文处理方法及装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
| CN108259294A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN108833284A (zh) * | 2018-08-01 | 2018-11-16 | 郑州市景安网络科技股份有限公司 | 一种云平台和idc网络的通信方法及装置 |
| CN110011927A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于sdn网络的流量捕获方法与*** |
| CN110581792A (zh) * | 2019-09-20 | 2019-12-17 | 杭州迪普信息技术有限公司 | 一种报文传输方法及装置 |
| CN110838966A (zh) * | 2019-11-20 | 2020-02-25 | 紫光华山科技有限公司 | 一种设备连接控制方法及装置 |
| CN110839007A (zh) * | 2018-08-17 | 2020-02-25 | ***通信有限公司研究院 | 一种云网络安全处理方法、设备和计算机存储介质 |
| CN111404797A (zh) * | 2019-01-02 | 2020-07-10 | ***通信有限公司研究院 | 控制方法、sdn控制器、sdn接入点、sdn网关及ce |
| CN112737860A (zh) * | 2021-01-06 | 2021-04-30 | 浪潮云信息技术股份公司 | 裸金属服务器vxlan接入的方法及计算机可读介质 |
| CN114726808A (zh) * | 2022-03-24 | 2022-07-08 | 融智通科技(北京)股份有限公司 | 一种在软件定义网络中减少封包转发流量的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468384A (zh) * | 2014-12-22 | 2015-03-25 | 武汉绿色网络信息服务有限责任公司 | 一种实现多业务优先级的***及方法 |
| CN104601472A (zh) * | 2015-02-04 | 2015-05-06 | 盛科网络(苏州)有限公司 | 在芯片中实现vxlan网关分布式路由的方法及报文处理*** |
| US9036639B2 (en) * | 2012-11-29 | 2015-05-19 | Futurewei Technologies, Inc. | System and method for VXLAN inter-domain communications |
| US20150195178A1 (en) * | 2014-01-09 | 2015-07-09 | Ciena Corporation | Method for resource optimized network virtualization overlay transport in virtualized data center environments |
-
2015
- 2015-11-30 CN CN201510857787.8A patent/CN105429870B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9036639B2 (en) * | 2012-11-29 | 2015-05-19 | Futurewei Technologies, Inc. | System and method for VXLAN inter-domain communications |
| US20150195178A1 (en) * | 2014-01-09 | 2015-07-09 | Ciena Corporation | Method for resource optimized network virtualization overlay transport in virtualized data center environments |
| CN104468384A (zh) * | 2014-12-22 | 2015-03-25 | 武汉绿色网络信息服务有限责任公司 | 一种实现多业务优先级的***及方法 |
| CN104601472A (zh) * | 2015-02-04 | 2015-05-06 | 盛科网络(苏州)有限公司 | 在芯片中实现vxlan网关分布式路由的方法及报文处理*** |
Non-Patent Citations (2)
| Title |
|---|
| SUNAY TRIPATHI;ROGER CHICKERING;JONATHAN GAINSLEY: "Distributed control plane for high performance switch-based VXLAN overlays", 《ARCHITECTURES FOR NETWORKING AND COMMUNICATIONS SYSTEMS (ANCS), 2015 ACM/IEEE SYMPOSIUM ON》 * |
| 缪仕福: "VXLAN网络技术研究", 《科技资讯》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939296B (zh) * | 2016-06-24 | 2019-11-12 | 杭州迪普科技股份有限公司 | 报文的处理方法及装置 |
| CN105939296A (zh) * | 2016-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 报文的处理方法及装置 |
| CN107566237A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 一种数据报文处理方法及装置 |
| CN106209557B (zh) * | 2016-06-30 | 2019-09-06 | 杭州迪普科技股份有限公司 | 报文转发方法及装置 |
| CN106209557A (zh) * | 2016-06-30 | 2016-12-07 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN106534201A (zh) * | 2016-12-26 | 2017-03-22 | 杭州盈高科技有限公司 | 一种sdn环境下的虚拟机风险快速隔离方法 |
| CN108259294A (zh) * | 2017-02-28 | 2018-07-06 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
| CN108833284A (zh) * | 2018-08-01 | 2018-11-16 | 郑州市景安网络科技股份有限公司 | 一种云平台和idc网络的通信方法及装置 |
| CN108833284B (zh) * | 2018-08-01 | 2021-04-06 | 郑州市景安网络科技股份有限公司 | 一种云平台和idc网络的通信方法及装置 |
| CN110839007B (zh) * | 2018-08-17 | 2022-09-13 | ***通信有限公司研究院 | 一种云网络安全处理方法、设备和计算机存储介质 |
| CN110839007A (zh) * | 2018-08-17 | 2020-02-25 | ***通信有限公司研究院 | 一种云网络安全处理方法、设备和计算机存储介质 |
| CN111404797B (zh) * | 2019-01-02 | 2022-02-11 | ***通信有限公司研究院 | 控制方法、sdn控制器、sdn接入点、sdn网关及ce |
| CN111404797A (zh) * | 2019-01-02 | 2020-07-10 | ***通信有限公司研究院 | 控制方法、sdn控制器、sdn接入点、sdn网关及ce |
| CN110011927A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于sdn网络的流量捕获方法与*** |
| CN110581792A (zh) * | 2019-09-20 | 2019-12-17 | 杭州迪普信息技术有限公司 | 一种报文传输方法及装置 |
| CN110581792B (zh) * | 2019-09-20 | 2022-03-22 | 杭州迪普信息技术有限公司 | 一种报文传输方法及装置 |
| CN110838966A (zh) * | 2019-11-20 | 2020-02-25 | 紫光华山科技有限公司 | 一种设备连接控制方法及装置 |
| CN112737860A (zh) * | 2021-01-06 | 2021-04-30 | 浪潮云信息技术股份公司 | 裸金属服务器vxlan接入的方法及计算机可读介质 |
| CN112737860B (zh) * | 2021-01-06 | 2023-06-20 | 浪潮云信息技术股份公司 | 裸金属服务器vxlan接入的方法及计算机可读介质 |
| CN114726808A (zh) * | 2022-03-24 | 2022-07-08 | 融智通科技(北京)股份有限公司 | 一种在软件定义网络中减少封包转发流量的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105429870B (zh) | 2018-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105429870A (zh) | Sdn环境下的vxlan安全网关装置及其应用方法 | |
| US10063470B2 (en) | Data center network system based on software-defined network and packet forwarding method, address resolution method, routing controller thereof | |
| CN104253770B (zh) | 实现分布式虚拟交换机***的方法及设备 | |
| CN104780088B (zh) | 一种业务报文的传输方法和设备 | |
| US10542577B2 (en) | Connectivity checks in virtualized computing environments | |
| US8903942B2 (en) | Methods and apparatus for forwarding-state transport in a distributed control plane | |
| US10033585B2 (en) | Methods and apparatus related to a switch fabric system having a multi-hop distributed control plane and a single-hop data plane | |
| CN102845035B (zh) | 在虚拟环境中识别目的地的方法 | |
| CN1875585B (zh) | 利用mac限制来控制动态未知l2泛滥的方法和*** | |
| US20200186465A1 (en) | Multi-site telemetry tracking for fabric traffic using in-band telemetry | |
| CN104410541B (zh) | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 | |
| CN107819742B (zh) | 一种动态部署网络安全服务的***架构及其方法 | |
| CN109218053A (zh) | 虚拟数据中心的实现方法、***和存储介质 | |
| US10103980B1 (en) | Methods and apparatus for maintaining an integrated routing and bridging interface | |
| US20180109429A1 (en) | Intuitive approach to visualize health of microservice policies | |
| US9282060B2 (en) | Methods and apparatus for dynamic resource management within a distributed control plane of a switch | |
| CN105051688A (zh) | 经扩展的标记联网 | |
| EP2680536B1 (en) | Methods and apparatus for providing services in a distributed switch | |
| CN106899478B (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 | |
| CN107306215B (zh) | 一种数据处理方法、***及节点 | |
| US11799972B2 (en) | Session management in a forwarding plane | |
| US9596137B1 (en) | Methods and apparatus for configuration binding in a distributed switch | |
| US20180088972A1 (en) | Controller, control method and program | |
| CN106850459A (zh) | 一种实现虚拟网络负载均衡的方法及装置 | |
| CN104811382A (zh) | 数据包的处理方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Fuqiong Inventor before: Li De Inventor before: Zhou Dong Inventor before: Li Fuqiong |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |