CN105827623A - 数据中心*** - Google Patents

数据中心*** Download PDF

Info

Publication number
CN105827623A
CN105827623A CN201610265084.0A CN201610265084A CN105827623A CN 105827623 A CN105827623 A CN 105827623A CN 201610265084 A CN201610265084 A CN 201610265084A CN 105827623 A CN105827623 A CN 105827623A
Authority
CN
China
Prior art keywords
data center
fire wall
session
address
center subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610265084.0A
Other languages
English (en)
Other versions
CN105827623B (zh
Inventor
蒋东毅
杨启军
尚进
束林扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hillstone Networks Co Ltd
Original Assignee
Hillstone Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hillstone Networks Co Ltd filed Critical Hillstone Networks Co Ltd
Priority to CN201610265084.0A priority Critical patent/CN105827623B/zh
Publication of CN105827623A publication Critical patent/CN105827623A/zh
Priority to US15/479,192 priority patent/US10567340B2/en
Application granted granted Critical
Publication of CN105827623B publication Critical patent/CN105827623B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种数据中心***。该***包括:通过二层网络互联的至少两个数据中心子***,每个数据中心子***包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。本发明解决了相关技术中双活数据中心不能协同工作的技术问题。

Description

数据中心***
技术领域
本发明涉及互联网领域,具体而言,涉及一种数据中心***。
背景技术
在一些行业中,例如金融行业,数据中心承载了重要的数据信息及生产办公业务。数据中心的可靠性直接关系到业务是否能够持续可靠运行,考虑到停电,地震等因素,一般要建设两地三中心,即在两个相隔比较远的城市建设三个数据中心,一般在一个城市建设两个数据中心,异地再建设一个数据中心,构成两地三中心。同城市的两个数据中心构成双活数据中心,即两个数据中心同时运行,对外提供服务,并互为备份。
如图1所示,在现有的数据中心内,防火墙102’可以实现南北向(互联网与主机103’之间,需要经过路由101’、防火墙102’、交换机103’和主机104’)流量的安全防护和东西向流量(主机之间的跨局域网的三层流量,如局域网105’中的IP为192.168.10.2的主机访问局域网106’中的IP为192.168.20.2的主机的流量,需要经过防火墙处理)的安全防护。
为了便于业务在两个数据中心之间的迁移,两个数据中心互联一般采用二层扩展方式(也叫数据中心的大二层)将两个数据中心进行二层互联,即两个数据中心在二层上是互通的,一个虚拟机从一个数据中心迁移到另一个数据中心后不用更改IP地址和路由即可继续不中断地运行和提供相应的业务。
如图2所示,为每个数据中心中增加一个二层扩展设备205’,还包括路由器201’、防火墙202’、交换机203’、主机204’、局域网206’和局域网207’,目前数据中心二层扩展有多种方案,例如,OTV(OverlayTransportVirtualization)方案,EVN(EthernetVirtualNetwork)方案。其原理是让两个数据中心的二层互通,以使同一个局域网的两个主机相互访问时不用感知主机的具***置,主机在跨数据中心的迁移时不用更改IP地址。
同一个局域网在每个数据中心有相同的网关地址,(如,左边数据中心局域网206’的网关是192.168.10.1,右边数据中心的局域网206’的网关也是192.168.10.1),这相当于在同一个局域网中有两个相同的IP地址,如果不做处理的话,会发生IP地址冲突,而二层扩展设备支持对包括指定的IP地址的ARP包进行过滤,实际部署时,可以在二层扩展设备上配置以过滤掉包括网关IP地址的ARP包,这样,网关的ARP包就不会跨数据中心转发。
每个数据中心的防火墙部署与单数据中心是一致的,但两个数据中心进行二层扩展互联后,如果两个数据中心的防火墙之间独立而不协同工作的话,是不能正常工作的。这是因为在两个数据中心二层互联情况下,主机之间跨局域网且跨数据中心的访问存在非对称路由,即对于同一个会话,一个防火墙只能接收到一个方向的流量。由于防火墙需要做基于状态的检测,如果不能接收到同一个会话的两个方向流量则不能对数据包进行正确的处理。
如,以左边数据中心中局域网206’的IP为192.168.10.2的主机(简称主机A)访问右边数据中心中局域网207’的IP为192.168.20.4的主机(简称主机B)为例,主机A向主机B发送一个TCPSYN包,需要依次经过左边数据中心的交换机、防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达右侧数据中心,再经过右侧数据中心的路由器、二层扩展设备和交换机后到达主机B,主机B收到TCPSYN包后会回送一个TCPSYNACK包,需要依次经过右侧数据中心的交换机和防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达左侧数据中心,再经过左侧数据中心的路由器、二层扩展设备和交换机后到达主机A,左侧数据中心的防火墙只处理了TCPSYN包的发送,右侧数据中心的防火墙也只处理了TCPSYNACK包的发送,其相当于两侧的防火墙只接收到了单方向的数据包,这种情况下,防火墙的安全处理功能是不能正常工作的,主机A和主机B再次发送的数据包则会被防火墙丢弃。
针对相关技术中双活数据中心不能协同工作的技术问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据中心***,以至少解决相关技术中双活数据中心不能协同工作的技术问题。
根据本发明的实施例,提供了一种数据中心***,该***包括:通过二层网络互联的至少两个数据中心子***,每个数据中心子***包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,第一虚拟局域网和第二虚拟局域网设置在二层网络上。
进一步地,在至少两个数据中心子***的任一数据中心子***中,防火墙组包括一个或多个防火墙,每个防火墙的业务接口配置有第一MAC地址、第二MAC地址以及第三MAC地址,其中,第一MAC地址用于与任一数据中心子***内的设备通讯时使用,第二MAC地址用于与其他数据中心子***内的设备通讯时使用,第三MAC地址用于转发非对称路由的数据包时使用,防火墙的业务接口与业务通道连接。
进一步地,每个防火墙的业务接口配置有第一IP地址和第二IP地址,第一IP地址用于与任一数据中心子***内的设备通讯时使用,第二IP地址用于与其他数据中心子***内的设备通讯时使用。
进一步地,在二层扩展设备的配置文件中,配置有用于过滤以第一MAC地址为源MAC地址和/或以第一IP地址为源IP地址的数据包的信息。
进一步地,防火墙每隔预设时长,以第一MAC地址为源地址发送免费ARP包。
进一步地,同步信息包括心跳包,至少两个数据中心子***的防火墙组通过同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。
进一步地,同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。
进一步地,同步信息还包括会话信息和会话状态,在至少两个数据中心子***中的任意两个数据中心子***的防火墙建立会话连接后,通过同步通道传输会话信息和会话状态,其中,任意两个数据中心子***中建立会话连接的数据中心子***的防火墙的会话状态为第一状态,另一个数据中心子***的防火墙的会话状态为第二状态。
进一步地,在至少两个数据中心子***中的任一数据中心子***的防火墙接收到会话数据包且会话状态为第二状态时,根据会话数据包确定发起会话的防火墙,并将会话数据包的源MAC地址替换为接收到会话数据包的防火墙的业务接口的第三MAC地址,将会话数据包的目的MAC地址替换为发起会话的防火墙的业务接口的第三MAC地址,并通过二层扩展设备转发会话数据包。
进一步地,发起会话的防火墙在接收到会话数据包之后,按照会话数据包中的IP地址信息发送会话数据包。
在本发明实施例中,本申请的数据中心***包括通过二层网络互联的至少两个数据中心子***,每个数据中心子***包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上,数据中心子***之间通过同步通道进行同步通讯,并通过业务通道传输业务信息,以使跨数据中心的数据能够被正确传送,从而解决了相关技术中双活数据中心不能协同工作的技术问题,实现了数据中心之间协同工作的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中一种可选的数据中心的示意图;
图2是相关技术中另一种可选的数据中心的示意图;
图3是根据本发明实施例的数据中心***的示意图;以及
图4是根据本发明实施例的一种可选的数据中心***的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本发明实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
MAC:MediaAccessControl或者MediumAccessControl,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址,因此,一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。
ARP:AddressResolutionProtocol,地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。
单播包:主机之间“一对一”的通讯模式,网络中的交换机和路由器对数据只进行转发不进行复制,如果10个客户机需要相同的数据,则服务器需要逐一传送,重复10次相同的工作。
TCP:TransmissionControlProtocol,传输控制协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC793定义。在建立TCP连接时,需要发送一个TCPSYN包,该包是TCP/IP建立连接时使用的握手信号,并接受对方服务器发送的TCPSYNACK数据包,即应答消息,以表示数据可以进行传递。
根据本发明实施例,提供了一种数据中心***的实施例,图3是根据本发明实施例的数据中心***的示意图,如图3所示,该***包括:通过二层网络互联的至少两个数据中心子***。
每个数据中心子***包括多个主机31、与多个主机连接的二层交换机32、与二层交换机连接的防火墙组33、与二层交换机连接的二层扩展设备34、分别与防火墙组和二层扩展设备连接的路由设备35,至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道36传输同步信息,至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道37传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。
需要说明的是,数据中心的路由设备之间通过互联网互联。
通过上述实施例,本申请的数据中心***包括通过二层网络互联的至少两个数据中心子***,每个数据中心子***包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上,数据中心子***之间通过同步通道进行同步通讯,并通过业务通道传输业务信息,以使跨数据中心的数据能够被正确传送,从而解决了相关技术中双活数据中心不能协同工作的技术问题,实现了数据中心之间协同工作的技术效果。
上述的二层扩展设备可以为具有二层互联功能的路由器。
在上述实施例中,本申请的数据中心***可以包括两个数据中心子***,也可以包括多个数据中心子***,下面以两个为例进行说明,在双活数据中心(即包括两个数据中心子***)场景下,虚拟主机可以在两个数据中心之间迁移,采用本申请的上述方式配置双活数据中心,数据中心之间可以通过同步通道进行同步,并通过业务通道传输信息,而不用更改数据中心的配置,即保证了两个数据中心的安全策略配置的一致性,而不用在两套***上分别进行配置,从而减少了维护的工作量。
在上述实施例中,为了提高防火墙的可用性,在本申请中,每个数据中心子***中配置有一套防火墙,每套防火墙组包括一个或多个防火墙,一般部署两个防火墙,以构成一个高可用***,这两个防火墙之间进行配置和会话同步,实现业务数据的实时同步和备份。
需要说明的是,两个防火墙的备份模式可以为主备模式,即一个防火墙处理业务数据包,另一个防火墙处于备份状态,也可以为主主模式,即两个防火墙处理业务数据包,不论工作在哪个模式下,当其中一个发生故障后,另一个接手处理所有业务,以实现防火墙的高可用性。
另外,每个防火墙的业务接口配置有第一MAC地址、第二MAC地址以及第三MAC地址,其中,第一MAC地址用于与任一数据中心子***内的设备通讯时使用,第二MAC地址用于与其他数据中心子***内的设备通讯时使用,第三MAC地址用于转发非对称路由的数据包时使用,防火墙的业务接口与业务通道连接。
上述的业务接口也即服务器的网关接口,网关设置在防火墙上。为每一个业务接口配置多个MAC地址,每个MAC地址在不同的场景下使用,即可以解决由于数据包的路由不对称造成的丢数据包的问题。
如,对于第一MAC地址而言,在同一数据中心中,其他设备看到的业务接口的MAC地址即第一MAC地址。主机向防火墙发送数据包时,目的MAC地址即第一MAC地址,防火墙发送ARP响应包和免费ARP包时也用第一MAC地址作为源地址,为了满足数据中心主机在两个数据中心迁移而业务不中断的需求,满足全局配置相同的要求,不同数据中心中对应的业务接口的第一MAC地址相同。
由于两套防火墙的对应的业务接口第一MAC地址相同,其相当于在同一个网络中出现了相同的MAC地址,在通讯时就会引起通讯混乱,为了解决该问题,在二层扩展设备的配置文件中,配置有用于过滤以第一MAC地址为源MAC地址和/或以第一IP地址为源IP地址的数据包的信息。即二层扩展设备需要过滤掉网关IP地址(即使用业务接口的第一MAC地址)发送的ARP包,从而使得网关发送的ARP包不会跨数据中心传输,为了解决跨数据中心的数据传输问题,就为业务接口配置了第二MAC地址,即在防火墙进行跨数据中心的数据传输时使用第二MAC地址,如给其他数据中心的主机发送IP数据包、ARP请求包等,任意两个数据中心的第二MAC地址是不相同的。另外,还需要代理为业务接口配置转发MAC地址(即第三MAC地址),任意两套防火墙的对应接口的代理转发MAC地址是不同的,代理转发MAC地址用于转发非对称路由的数据包。
可选地,在配置完业务接口的MAC地址之后,还需要对其IP地址做调整,具体如下:每个防火墙的业务接口配置有第一IP地址和第二IP地址,第一IP地址用于与任一数据中心子***内的设备通讯时使用,服务器上设置的网关IP地址是这个地址,其配置属性为全局,配置时会同步到对端,也即不同数据中心的业务接口的第一IP地址相同,第二IP地址用于与其他数据中心子***内的设备通讯时使用,在二层扩展设备上设置了针对网关IP地址(即第一IP地址)和网关MAC地址(第一MAC地址)进行过滤的配置,包含网关IP地址和网关MAC地址的ARP包会被过滤,但是一个数据中心的防火墙需要与另一个数据中心的服务器进行通信时,需要让防火墙知道对端数据中心的服务器的ARP信息,因此,防火墙发送ARP请求包时不用业务第一MAC地址和第一IP地址,而用第二IP地址和第二MAC地址。
需要说明的是,由于两个数据中心的防火墙通讯时,使用的是二层网络上的通道,即直接通过MAC地址进行通讯,所以防火墙在转发数据包时不需要知道对端防火墙的IP地址,而直接使用MAC地址即可,故而无需为业务接口配置转发用的IP地址。
在一个可选的实施例中,防火墙每隔预设时长,以第一MAC地址为源地址发送免费ARP包。
具体的,由于业务接口发送ARP响应包和免费ARP包时,源MAC地址用业务第一MAC地址,发送ARP请求包和IP包时源MAC地址使用业务第二MAC地址,如果长时间没有发送ARP响应包和免费ARP包,可能导致数据中心交换机学到的业务MAC1(即上述的第一MAC地址)表项超时,从而会引起未知单播包增多的问题,因此,在每个业务接口启用一个定时器(定时时间应小于交换机的MAC表项的老化时间,如60秒),以使业务接口定时向外发送第一MAC地址的免费ARP包,以便交换机的MAC表项能够得到刷新。
上述的同步信息包括心跳包,至少两个数据中心子***的防火墙组通过同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。
如图3所示,左边数据中心的一套防火墙和右边数据中心的一套防火墙相互发送心跳包,以便实现业务处理和管理的同步,在业务处理上,两套防火墙是平等的,没有主备角色,在管理平面上,设置一个主备角色(为了描述简单,将主角色称为管理主,将备角色称为管理备)。处于管理主的防火墙组可以接收配置管理命令,并将全局配置同步到处于管理备的防火墙组上,从而实现配置的统一管理,管理主和管理备是通过协商出来的,如在防火墙上可配置协商优先级,在协商时,优先级高的为管理主,优先级低的为管理备,如果优先级相同,则可以看运行时间,运行时间长的为管理主,低的为管理备。
两套防火墙互发心跳包,通过心跳消息,两套防火墙相互监测状态,以确定防火墙的状态为正常运行态还是故障态,由于一套防火墙一般由两个防火墙组成,主防火墙负责处理业务,当其发生故障后,另一个防火墙会接手处理,因此,只有当一套防火墙的所有防火墙都丢失心跳后,才能确定这套防火墙的状态为故障态,从而将从处于管理备的防火墙组切换为管理主的防火墙组,具体由管理主的防火墙组中的主防火墙负责管理主的功能。
可选地,同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。
防火墙组在协商出管理主和管理备之后,就需要对配置信息进行检测,以便于两套防火墙之间的配合运行,配置信息分为全局配置信息和本地配置信息,全局配置信息是两套防火墙可以一致的配置,如,在两套防火墙刚建立握手时,会判断两套防火墙的全局配置是否一致,不一致时,管理主防火墙将配置差异部分同步到管理备防火墙,再如,处于管理主的防火墙可以接收管理员的配置命令,如果这个配置属于全局配置,则将这个配置发送给管理备防火墙,以保证全局配置的一致;本地配置是两套防火墙不一致的配置,例如,同步接口的IP地址就属于本地配置。
通过上述实施例,能够实现两个数据中心的防火墙的配置同步,大大提高了可管理和可维护性。
可选地,同步信息还包括会话信息和会话状态,在至少两个数据中心子***中的任意两个数据中心子***的防火墙建立会话连接后,通过同步通道传输会话信息和会话状态,其中,任意两个数据中心子***中建立会话连接的数据中心子***的防火墙的会话状态为第一状态,另一个数据中心子***的防火墙的会话状态为第二状态。
当一个数据中心的一套防火墙由两台防火墙构成高可靠性主备***时,主防火墙(即主防火墙)负责处理业务,会话是防火墙的一个基本数据结构,业务数据包的一个TCP连接对应防火墙的一个会话,两套防火墙组之间进行会话同步时,非对称路由数据包转发是在两套防火墙的主防火墙之间进行的。会话的状态分为两个,一个是活跃态(即第一状态),另一个是非活跃态(即第二状态),在两套防火墙中,同一个会话同时只在一套防火墙中处于活跃态,而在另一套防火墙就处于非活跃态。
当一套防火墙建立一个会话后,本地会话状态设置为活跃态,并同时通过同步接口将会话同步到另一套防火墙中,在另一套防火墙中,将此会话状态设置为非活跃态,在会话删除时,同时通知对端服务器删除会话。
在至少两个数据中心子***中的任一数据中心子***的防火墙接收到会话数据包且会话状态为第二状态时,根据会话数据包确定发起会话的防火墙(如根据数据包中的IP地址或者MAC地址确定,或者根据会话信息中记录的防火墙信息确定),并将会话数据包的源MAC地址替换为接收到会话数据包的防火墙的业务接口的第三MAC地址,将会话数据包的目的MAC地址替换为发起会话的防火墙的业务接口的第三MAC地址,并通过二层扩展设备转发会话数据包。
具体的,防火墙收到一个数据包后,首先会在会话列表中查找到该会话,当该会话处于活跃态时,则正常转发,如果该会话处于非活跃态时,则说明这是一个非对称路由的数据包,这个时候,就需要进一步判断对端数据中心的防火墙的状态,如果对端防火墙处于故障态,则将该会话改为活跃态,并按照会话进一步处理,其相当于对端的数据中心故障,其所有业务由本端数据中心处理,所以可以直接更改会话状态,以进一步处理;如果对端防火墙处于正常运行态,则将该数据包的源MAC地址替换为本地入接口的代理转发MAC地址(即本地防火墙的业务接口的第三MAC地址),目的MAC地址替换为对端防火墙的对应接口的代理转发MAC地址(即对端防火墙的业务接口的第三MAC地址),修改数据包后,将该数据包发送出去,也即该数据包从哪个接口进来,就把修改后的数据包从哪个接口发送出去,以克服防火墙在不能接收到同一个会话的两个方向流量时,不能对数据包进行正确的处理的问题,这样,在会话的过程中就不会存在防火墙丢包的问题。
可选地,发起会话的防火墙在接收到会话数据包之后,按照会话数据包中的IP地址信息发送会话数据包。
由于这个数据包的目的MAC是另一个数据中心防火墙的业务接口的代理转发MAC地址,因此,该数据包将到达另一个数据中心的防火墙,该防火墙就能根据数据包中的信息(如IP地址信息)对数据包进行处理。通过这个代理转发的机制,对端防火墙就可以处理两个方向的数据包了,从而能使得两套防火墙可以协同运行。
如图4所示,为了简单和直观,图中每个数据中心只示出了一台防火墙331,实线箭头是从VLAN10中IP地址为192.168.10.2的主机31(简称主机C)向VLAN20中IP为192.168.20.4的主机(简称主机D)发送TCPSYN包时数据包的转发路径。虚线箭头是主机D回应的TCPSYNACK数据包的转发路径。左边数据中心的防火墙331在从VLAN10接口收到TCPSYN包后建立会话,同时置为活跃态,之后,将该会话同步到右边的防火墙,右边的防火墙收到会话同步消息后,设置本地会话的状态为非活跃态,TCPSYN包通过两个数据中心的二层扩展设备34进行转发,到达右边数据中心的主机D,当右边数据中心的防火墙在VLAN20接口收到从主机D发送的相应包(即TCPSYNACK数据包)后会查找到这个会话,若该会话为非活跃态,则将该数据包的源MAC地址修改为本端防火墙的VLAN20接口的代理转发MAC地址,目的MAC改为对端防火墙的VLAN20接口的代理转发MAC地址,然后将该数据包从VLAN20接口发送出去,左侧数据中心的二层扩展设备接收到之后将其通过二层交换机32发送至防火墙,这样,左边数据中心的防火墙就会收到从主机D返回的TCPSYNACK包。从这个过程可以看到左边数据中心的防火墙能够处理双向的流量,从而可以完成正确的安全处理。
由于灾备的需要,一些金融单位正在规划建设双活数据中心,但当把两个数据中心用二层扩展的形式互联后,出现了非对称路由问题,使基于状态的防火墙设备不能正常工作,应用本发明的方案后,通过二层扩展互联的两个数据中心的防火墙可以继续原来的部署方式,并且能够正常工作,从而解决了非对称路由造成的问题。另外,本申请提供了统一的配置管理,使管理员管理两个数据中心的多台防火墙更加容易和便捷;在会话的过程中,通过查询到会话状态获知该数据包需要进行代理转发;对于需要进行代理转发的数据包,修改该数据包的源目的MAC地址后将数据包从入接口发出,不修改数据包的IP层内容,也不对该数据包增加新的头部或者尾部。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种数据中心***,其特征在于,包括:通过二层网络互联的至少两个数据中心子***,每个所述数据中心子***包括多个主机、与所述多个主机连接的二层交换机、与所述二层交换机连接的防火墙组、与所述二层交换机连接的二层扩展设备、分别与所述防火墙组和所述二层扩展设备连接的路由设备,所述至少两个数据中心子***的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,所述至少两个数据中心子***的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,所述第一虚拟局域网和所述第二虚拟局域网设置在所述二层网络上。
2.根据权利要求1所述的***,其特征在于,在所述至少两个数据中心子***的任一数据中心子***中,所述防火墙组包括一个或多个防火墙,每个所述防火墙的业务接口配置有第一MAC地址、第二MAC地址以及第三MAC地址,其中,所述第一MAC地址用于与所述任一数据中心子***内的设备通讯时使用,所述第二MAC地址用于与其他数据中心子***内的设备通讯时使用,所述第三MAC地址用于转发非对称路由的数据包时使用。
3.根据权利要求2所述的***,其特征在于,每个所述防火墙的业务接口配置有第一IP地址和第二IP地址,所述第一IP地址用于与所述任一数据中心子***内的设备通讯时使用,所述第二IP地址用于与其他数据中心子***内的设备通讯时使用。
4.根据权利要求3所述的***,其特征在于,在所述二层扩展设备的配置文件中,配置有用于过滤以所述第一MAC地址为源MAC地址和/或以所述第一IP地址为源IP地址的数据包的信息。
5.根据权利要求4所述的***,其特征在于,所述防火墙每隔预设时长,以所述第一MAC地址为源地址发送免费ARP包。
6.根据权利要求1所述的***,其特征在于,所述同步信息包括心跳包,所述至少两个数据中心子***的防火墙组通过所述同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。
7.根据权利要求6所述的***,其特征在于,所述同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的所述全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。
8.根据权利要求7所述的***,其特征在于,所述同步信息还包括会话信息和会话状态,在所述至少两个数据中心子***中的任意两个数据中心子***的防火墙建立会话连接后,通过所述同步通道传输所述会话信息和所述会话状态,其中,所述任意两个数据中心子***中建立会话连接的所述数据中心子***的防火墙的会话状态为第一状态,另一个所述数据中心子***的防火墙的会话状态为第二状态。
9.根据权利要求8所述的***,其特征在于,在所述至少两个数据中心子***中的任一数据中心子***的防火墙接收到会话数据包且会话状态为第二状态时,根据所述会话数据包确定发起会话的防火墙,并将所述会话数据包的源MAC地址替换为接收到所述会话数据包的防火墙的业务接口的第三MAC地址,将所述会话数据包的目的MAC地址替换为所述发起会话的防火墙的业务接口的第三MAC地址,并通过所述二层扩展设备转发所述会话数据包。
10.根据权利要求9所述的***,其特征在于,所述发起会话的防火墙在接收到所述会话数据包之后,按照所述会话数据包中的IP地址信息发送所述会话数据包。
CN201610265084.0A 2016-04-26 2016-04-26 数据中心*** Active CN105827623B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201610265084.0A CN105827623B (zh) 2016-04-26 2016-04-26 数据中心***
US15/479,192 US10567340B2 (en) 2016-04-26 2017-04-04 Data center system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610265084.0A CN105827623B (zh) 2016-04-26 2016-04-26 数据中心***

Publications (2)

Publication Number Publication Date
CN105827623A true CN105827623A (zh) 2016-08-03
CN105827623B CN105827623B (zh) 2019-06-07

Family

ID=56527563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610265084.0A Active CN105827623B (zh) 2016-04-26 2016-04-26 数据中心***

Country Status (2)

Country Link
US (1) US10567340B2 (zh)
CN (1) CN105827623B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528737A (zh) * 2017-09-14 2017-12-29 广州西麦科技股份有限公司 一种基于OpenDaylight配置Firewall的方法及装置
CN109743384A (zh) * 2018-12-29 2019-05-10 杭州迪普科技股份有限公司 一种测试会话同步速率的方法和装置
CN110519410A (zh) * 2019-08-29 2019-11-29 深信服科技股份有限公司 一种通信方法、交换机、存储介质、通信设备及通信***
CN110932889A (zh) * 2019-11-18 2020-03-27 中盈优创资讯科技有限公司 构建维护网络逻辑拓扑的方法及装置
CN111083177A (zh) * 2018-10-19 2020-04-28 中国电子科技集团公司第十五研究所 基于协同网关的跨域协同交互方法
CN111404827A (zh) * 2020-03-09 2020-07-10 深信服科技股份有限公司 一种数据包处理方法、装置及电子设备和存储介质
CN111526018A (zh) * 2020-05-06 2020-08-11 广东纬德信息科技股份有限公司 一种基于电力配电的通信加密***及通信加密方法
CN113079183A (zh) * 2021-04-25 2021-07-06 安徽科大擎天科技有限公司 一种分布式防火墙的板间通信***及其通信方法
CN113612778A (zh) * 2021-08-05 2021-11-05 中国工商银行股份有限公司 一种资源池化的防火墙集群***及通信方法
CN113783872A (zh) * 2021-09-09 2021-12-10 山石网科通信技术股份有限公司 防火墙的数据处理方法及装置
CN114301842A (zh) * 2021-12-30 2022-04-08 山石网科通信技术股份有限公司 路由查找方法及装置、存储介质和处理器、网络***
CN115152182A (zh) * 2020-02-26 2022-10-04 思科技术公司 在sdwan架构中的服务平面上的动态防火墙发现
CN115733721A (zh) * 2021-08-31 2023-03-03 台湾联想环球科技股份有限公司 网络管理设备、网络管理***及网络管理方法
CN116614318A (zh) * 2023-07-20 2023-08-18 深圳市中科云科技开发有限公司 一种基于防火墙的网络安全防护方法和***

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US10749711B2 (en) 2013-07-10 2020-08-18 Nicira, Inc. Network-link method useful for a last-mile connectivity in an edge-gateway multipath system
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
US10425382B2 (en) 2015-04-13 2019-09-24 Nicira, Inc. Method and system of a cloud-based multipath routing protocol
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US10243848B2 (en) 2015-06-27 2019-03-26 Nicira, Inc. Provisioning logical entities in a multi-datacenter environment
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US11121962B2 (en) 2017-01-31 2021-09-14 Vmware, Inc. High performance software-defined core network
US11252079B2 (en) 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US10992558B1 (en) 2017-11-06 2021-04-27 Vmware, Inc. Method and apparatus for distributed data network traffic optimization
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
US11089111B2 (en) 2017-10-02 2021-08-10 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US10594516B2 (en) 2017-10-02 2020-03-17 Vmware, Inc. Virtual network provider
US10999165B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud
US10959098B2 (en) 2017-10-02 2021-03-23 Vmware, Inc. Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
US11483287B2 (en) * 2018-06-13 2022-10-25 Nokia Solutions And Networks Oy Reliable firewall
WO2020214139A1 (en) * 2019-04-15 2020-10-22 Hewlett Packard Enterprise Development Lp Dynamic client balancing between branch gateways
US11252105B2 (en) 2019-08-27 2022-02-15 Vmware, Inc. Identifying different SaaS optimal egress nodes for virtual networks of different entities
US11044190B2 (en) 2019-10-28 2021-06-22 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11689959B2 (en) 2020-01-24 2023-06-27 Vmware, Inc. Generating path usability state for different sub-paths offered by a network link
CN111130914A (zh) * 2020-02-27 2020-05-08 紫光云技术有限公司 一种防火墙***双机热备的方法
US11088902B1 (en) 2020-04-06 2021-08-10 Vmware, Inc. Synchronization of logical network state between global and local managers
US11777793B2 (en) 2020-04-06 2023-10-03 Vmware, Inc. Location criteria for security groups
US11088919B1 (en) 2020-04-06 2021-08-10 Vmware, Inc. Data structure for defining multi-site logical network
US11153170B1 (en) 2020-04-06 2021-10-19 Vmware, Inc. Migration of data compute node across sites
US11303557B2 (en) 2020-04-06 2022-04-12 Vmware, Inc. Tunnel endpoint group records for inter-datacenter traffic
US11509631B2 (en) * 2020-05-08 2022-11-22 Gigamon Inc. One-armed inline decryption/encryption proxy operating in transparent bridge mode
US11245641B2 (en) 2020-07-02 2022-02-08 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
US11709710B2 (en) 2020-07-30 2023-07-25 Vmware, Inc. Memory allocator for I/O operations
US11343227B2 (en) 2020-09-28 2022-05-24 Vmware, Inc. Application deployment in multi-site virtualization infrastructure
US11575591B2 (en) 2020-11-17 2023-02-07 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
CN112527480A (zh) * 2020-12-03 2021-03-19 平安科技(深圳)有限公司 端到端双活方法、装置、设备及存储介质
US11929903B2 (en) 2020-12-29 2024-03-12 VMware LLC Emulating packet flows to assess network links for SD-WAN
CN116783874A (zh) 2021-01-18 2023-09-19 Vm维尔股份有限公司 网络感知的负载平衡
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
US11388086B1 (en) 2021-05-03 2022-07-12 Vmware, Inc. On demand routing mesh for dynamically adjusting SD-WAN edge forwarding node roles to facilitate routing through an SD-WAN
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
US20130114607A1 (en) * 2011-11-09 2013-05-09 Jeffrey S. McGovern Reference Architecture For Improved Scalability Of Virtual Data Center Resources

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070150574A1 (en) * 2005-12-06 2007-06-28 Rizwan Mallal Method for detecting, monitoring, and controlling web services
JP5617137B2 (ja) * 2010-05-28 2014-11-05 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 仮想レイヤ2およびそれをスケーラブルにするための機構
US9680706B2 (en) * 2015-06-30 2017-06-13 Nicira, Inc. Federated firewall management for moving workload across data centers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
US20130114607A1 (en) * 2011-11-09 2013-05-09 Jeffrey S. McGovern Reference Architecture For Improved Scalability Of Virtual Data Center Resources

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨文锋、等: "典型跨数据中心大二层网络技术研究", 《 第二届中国互联网学术年会论文集 (2013 / 07)》 *

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528737A (zh) * 2017-09-14 2017-12-29 广州西麦科技股份有限公司 一种基于OpenDaylight配置Firewall的方法及装置
CN107528737B (zh) * 2017-09-14 2019-04-02 广州西麦科技股份有限公司 一种基于OpenDaylight配置Firewall的方法及装置
CN111083177B (zh) * 2018-10-19 2022-10-11 中国电子科技集团公司第十五研究所 基于协同网关的跨域协同交互方法
CN111083177A (zh) * 2018-10-19 2020-04-28 中国电子科技集团公司第十五研究所 基于协同网关的跨域协同交互方法
CN109743384A (zh) * 2018-12-29 2019-05-10 杭州迪普科技股份有限公司 一种测试会话同步速率的方法和装置
CN109743384B (zh) * 2018-12-29 2021-06-29 杭州迪普科技股份有限公司 一种测试会话同步速率的方法和装置
CN110519410A (zh) * 2019-08-29 2019-11-29 深信服科技股份有限公司 一种通信方法、交换机、存储介质、通信设备及通信***
CN110932889B (zh) * 2019-11-18 2022-03-15 中盈优创资讯科技有限公司 构建维护网络逻辑拓扑的方法及装置
CN110932889A (zh) * 2019-11-18 2020-03-27 中盈优创资讯科技有限公司 构建维护网络逻辑拓扑的方法及装置
CN115152182A (zh) * 2020-02-26 2022-10-04 思科技术公司 在sdwan架构中的服务平面上的动态防火墙发现
CN111404827A (zh) * 2020-03-09 2020-07-10 深信服科技股份有限公司 一种数据包处理方法、装置及电子设备和存储介质
CN111404827B (zh) * 2020-03-09 2023-09-08 深信服科技股份有限公司 一种数据包处理方法、装置及电子设备和存储介质
CN111526018A (zh) * 2020-05-06 2020-08-11 广东纬德信息科技股份有限公司 一种基于电力配电的通信加密***及通信加密方法
CN111526018B (zh) * 2020-05-06 2023-08-01 广东纬德信息科技股份有限公司 一种基于电力配电的通信加密***及通信加密方法
CN113079183A (zh) * 2021-04-25 2021-07-06 安徽科大擎天科技有限公司 一种分布式防火墙的板间通信***及其通信方法
CN113612778A (zh) * 2021-08-05 2021-11-05 中国工商银行股份有限公司 一种资源池化的防火墙集群***及通信方法
CN115733721A (zh) * 2021-08-31 2023-03-03 台湾联想环球科技股份有限公司 网络管理设备、网络管理***及网络管理方法
CN113783872B (zh) * 2021-09-09 2023-08-18 山石网科通信技术股份有限公司 防火墙的数据处理方法及装置
CN113783872A (zh) * 2021-09-09 2021-12-10 山石网科通信技术股份有限公司 防火墙的数据处理方法及装置
CN114301842A (zh) * 2021-12-30 2022-04-08 山石网科通信技术股份有限公司 路由查找方法及装置、存储介质和处理器、网络***
CN114301842B (zh) * 2021-12-30 2024-03-15 山石网科通信技术股份有限公司 路由查找方法及装置、存储介质和处理器、网络***
CN116614318A (zh) * 2023-07-20 2023-08-18 深圳市中科云科技开发有限公司 一种基于防火墙的网络安全防护方法和***
CN116614318B (zh) * 2023-07-20 2023-10-03 深圳市中科云科技开发有限公司 一种基于防火墙的网络安全防护方法和***

Also Published As

Publication number Publication date
US10567340B2 (en) 2020-02-18
US20170310641A1 (en) 2017-10-26
CN105827623B (zh) 2019-06-07

Similar Documents

Publication Publication Date Title
CN105827623A (zh) 数据中心***
US11068362B2 (en) High-availability cluster architecture and protocol
EP1721424B1 (en) Interface bundles in virtual network devices
CN1980230B (zh) 对vrrp组进行管理的方法
CN110912780A (zh) 一种高可用集群检测方法、***及受控终端
US8817593B2 (en) Method and apparatus providing failover for a point to point tunnel for wireless local area network split-plane environments
US10454809B2 (en) Automatic network topology detection for merging two isolated networks
CN102355366B (zh) 堆叠***时管理堆叠成员设备的方法和堆叠成员设备
CN105553849A (zh) 一种传统ip网络与sptn网络互通方法与***
EP2458782A1 (en) Method for multiplexing hot backup ports and network system thereof
CN105262820A (zh) 一种基于Linux操作***的集群多机互备的方法
WO2007092132A2 (en) System and method for detecting and recovering from virtual switch link failures
WO2006023336A1 (en) Port aggregation for fibre channel interfaces
CN112003716A (zh) 一种数据中心双活实现方法
CN105162704A (zh) Overlay网络中组播复制的方法及装置
US20200036577A1 (en) Solution to provide tunneling redundancy
US20090172193A1 (en) Cable Redundancy with a Networked System
CN102984057A (zh) 一种多业务一体化双冗余网络***
WO2007048319A1 (fr) Systeme et procede de recuperation sur sinistre de dispositif de commande de service dans un reseau intelligent
US7769862B2 (en) Method and system for efficiently failing over interfaces in a network
WO2020114017A1 (zh) 数据中心流量互通方法、装置、设备及存储介质
CN101562576B (zh) 一种路由发布方法和设备
GB2485026A (en) Routed Split Multi-Link Trunking (RSMLT) resiliency for Wireless Local Area Network (WLAN) split-plane environments
CN100444582C (zh) 具有防火墙功能的交换设备
US10819628B1 (en) Virtual link trunking control of virtual router redundancy protocol master designation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province

Applicant after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD.

Address before: 215163 3rd Floor, 7th Floor, Keling Road, Suzhou Science and Technology City, Jiangsu Province

Applicant before: HILLSTONE NETWORKS

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant