CN107911258A - 一种基于sdn网络的安全资源池的实现方法及*** - Google Patents

Abstract

本发明实施例提供了一种基于SDN网络的安全资源池的实现方法及***，用于提高了安全资源池对网络变更的适应性及配置的灵活性。本发明实施例中的安全资源池的网关采用了SDN网络架构，SDN网络中网络设备控制面与数据面分离开，由SDN控制器配置安全服务链，由OVS交换机实现网络对接功能，实现了网络对接功能与安全资源池服务链的引流策略功能的解耦，提高了安全资源池对网络变更的适应性，其次，安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置，提高了安全资源池配置的灵活性。

Description

一种基于SDN网络的安全资源池的实现方法及***

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于SDN网络的安全资源池的实现方法及***。

背景技术

安全资源池为物理或虚拟安全功能组件的集合，安全功能组件的功能可以包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。随着安全资源池的概念被越来越多的用户所认可，安全资源池的部署案例也逐渐增多起来，安全资源池部署过程中，安全资源池的引流是关键。

而目前主要的安全资源池的引流方法(如附图1所示)是通过策略路由进行引流，其中，针对南北向流量，是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密或解密。安全资源池内一般是通过一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作，如果是两层虚拟/物理路由(如附图2所示)，第一次路由根据数据包租户ID(IP网段、VLAN ID等)，将流量引导至不同租户的安全资源池路由网关(不同的第二层路由)，由这个网关通过策略路由实现安全服务链，即让流量按顺序依次经过不同安全功能组件。如果只有一层虚拟/物理路由(如附图3所示)，则直接根据租户ID，实现安全服务链。

现有方案中的这种安全资源池的引流方法，主要有以下的弊端：在安全资源池侧，因为网络对接功能及安全资源池服务链的引流策略功能都是通过安全资源池路由网关来实现的，故该安全资源池引流方法的网络对接部分和安全服务链引流紧密耦合，当用户的网络场景改变，需要改变网络对接部分时，安全服务链也要根据网络对接部分的改变重新部署，才能满足新场景下的引流需求，对网络变更的适应性较差，其次，策略路由往往是目的地址路由或源地址在一个维度上配置引流策略，网关引流的策略不灵活。

发明内容

本发明实施例提供了一种基于SDN网络的安全资源池的实现方法及***，用于提高了安全资源池对网络变更的适应性及配置的灵活性。

本发明实施例第一方面提供了一种基于SDN网络的安全资源池的实现方法，所述SDN网络中包括SDN控制器及OVS交换机，其特征在于，包括：

OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；

所述OVS交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表由所述SDN控制器生成并发送给对应的OVS交换机，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，则向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；

所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

结合第一方面，在第一方面的第一种可能的实施方式中，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

结合第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，包括：

所述OVS交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述OVS交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。

结合第一方面的第二种可能的实施方式，在第一方面的第三种可能的实施方式中，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述OVS交换机通过代理proxy功能处理所述NSH标签，所述proxy功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。

结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，在所述OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段之前，还包括：

当用户侧网络设置有具有策略路由功能的核心网关时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

结合第一方面的第四种可能的实施方式，在第一方面的第五种可能的实施方式中，所述匹配域字段还包括租户ID，当多个租户使用相同IP地址时，所述OVS交换机根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。

结合第一方面，第一方面的第一种至第五种可能的实施方式，在第一方面的第六种可能的实施方式中，当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。

本发明实施例第二方面提供了一种基于SDN网络的安全资源池***，其特征在于，包括：

SDN控制器及安全资源池，其中，

所述安全资源池包括OVS交换机及至少一个安全功能组件；

所述OVS交换机包括二层交换模块、流分类模块、通信模块及转发模块；

所述二层交换模块用于接收目标流量包；

所述流分类模块用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述目标流量包包括至少两个匹配域字段，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，所述通信模块用于向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；

所述转发模块用于根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

结合第二方面，在第二方面的第一种可能的实施方式中，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

结合第二方面的第一种可能的实施方式，在第二方面的第二种可能的实施方式中，所述流分类模块包括解析单元及标签单元，所述解析单元用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链；

所述标签单元，用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述转发模块用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点，以实现所述目标流量包进行安全引流。

结合第二方面的第二种可能的实施方式，在第二方面的第三种可能的实施方式中，所述OVS交换机还包括proxy模块，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述proxy模块通过代理功能处理所述NSH标签，所述代理功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。

结合第二方面的第三种可能的实施方式，在第二方面的第四种可能的实施方式中，所述OVS交换机还包括OVN模块，当用户侧网络设置有具有策略路由功能的核心网关时，所述OVN模块用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVN模块用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

结合第二方面的第四种可能的实施方式，在第二方面的第五种可能的实施方式中，所述匹配域字段还包括租户ID，所述当多个租户使用相同IP地址时，所述解析单元根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。

结合第二方面，第二方面的第一种至第五种可能的实施方式，在第二方面的第六种可能的实施方式中，当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中的安全资源池的网关采用了SDN网络架构，SDN网络中网络设备控制面与数据面分离开，由SDN控制器配置安全服务链，由OVS交换机实现网络对接功能，实现了网络对接功能与安全资源池服务链的引流策略功能的解耦，提高了安全资源池对网络变更的适应性，其次，安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置，提高了安全资源池配置的灵活性。

附图说明

图1为现有技术中安全资源池的引流方法网络部署示意图；

图2为现有技术中安全资源池中通过两层虚拟/物理路由实现引流的网络部署示意图；

图3为现有技术中安全资源池中通过一层虚拟/物理路由实现引流的网络部署示意图；

图4为本发明实施例中一种基于SDN网络的安全资源池的实现方法的一个实施例示意图；

图5为本发明实施例中以路由模式部署安全资源池的***架构示意图；

图6为本发明实施例中以网关模式或透明模式部署安全资源池的***架构示意图；

图7为本发明实施例中一种基于SDN网络的安全资源池的实现方法的一个具体运用实例中OVS交换机功能模块化示意图；

图8为本发明实施例中一种基于SDN网络的安全资源池***的一个实施例示意图。

具体实施方式

本发明实施例提供了一种基于SDN网络的安全资源池的实现方法及***，用于提高了安全资源池对网络变更的适应性及配置的灵活性。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于理解，下面将对软件定义网络(Software Defined Network，SDN)进行简单介绍，SDN是把传统封闭的网络变成一个开放式的环境，就像电脑一样可以实现编程，创建易于管理的网络虚拟化层，将网络控制从物理基础设施中解耦，让第三方开发网络应用程序来控制网络的运行。OpenFlow技术是实现SDN的一种方式，它能够让用户自己定义流量，并决定流量在网络中的传输路径。基于OpenFlow技术组成的SDN网络包括SDN控制器、SDN交换机。其SDN交换机是核心组件，由OpenFlow协议、安全通道和流表三部分组成。SDN控制器配置SDN交换机的能力报告交换机的流规则，下发到SDN交换机的流表中。在本申请中仅以SDN交换机中的一种，即OVS交换机为例进行说明，OVS交换机为一种开源稳定的软件SDN交换机，也支持传统网络。

为了便于理解，下面对本发明实施例中的具体流程进行描述，请参阅图4，本发明实施例中一种基于SDN网络的安全资源池的实现方法的一个实施例可包括：

100、OVS交换机接收目标流量包并解析目标流量包中的匹配域字段；

用户可以通过SDN控制器提供的北向API，例如，RESTFUL API来定义自身的流量包所需要经过的安全组件，SDN控制器基于用户通过北向API选择的安全组件及其顺序，生成对应的流量包转发规则，即安全服务链，该安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件。其中RESTFUL API是指满足REST(英文：Representational State Transfer，简称REST)架构样式的应用程序编程接口API。

每个数据包都含有特定的特征字段即匹配域字段，可以根据匹配域字段识别每个数据包并匹配对应的安全服务链，SDN控制器可以根据数据包的匹配域字段与安全服务链的对应关系构造对应的流表并下发给对应的OVS交换机。具体的，可选用的匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号，可以理解的是，具体的匹配域字段可以根据用户的需求及网络协议的变更进行合理的配置，具体此处不做限定。

具体的，本申请中同时采用至少两个匹配域字段与安全服务链建立对应关系，可以实现安全服务链与流量包的多维度匹配，提高了安全资源池的安全服务链运用与流量包匹配的灵活性。

在OVS交换机接收目标流量包之后可以解析目标流量包中的匹配域字段，以进行进一步的处理。

200、OVS交换机根据匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链；

OVS交换机根据目标数据包对应的匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，若目标流量包的匹配域字段与本地存储的流表匹配成功则执行步骤400，若目标流量包的匹配域字段与本地存储的流表匹配不成功，则执行步骤300。

300、OVS交换机向对应的SDN控制器请求目标流量包的匹配域字段对应的安全服务链；

若目标流量包的匹配域字段与本地存储的流表匹配不成功，则向对应的SDN控制器请求目标流量包对应的安全服务链。具体的OVS交换机可以将目标数据包或者将目标数据包对应的匹配域字段发给对应的SDN控制，以请求SDN控制器配置目标流量包对应的安全服务链。

400、OVS交换机根据安全服务链对目标流量包进行安全引流，以完成对所述目标流量包的清洗。

在确定了目标流量包对应的安全服务链之后，OVS交换机就可以安装安全服务链的转发规则将目标流量包进行安全引流至对应的安全组件中进行清洗。

可选的，作为一种可能的实施方式，OVS交换机根据安全服务链对所述目标流量包进行安全引流，可以包括：

401、OVS交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到目标流量包头部形成NSH标签；

实际运用中用户可以定义许多种安全服务链，每一个安全服务链对应一种数据包转发路径，可以为每一个路径分配一个服务链路径ID，通过该服务链路径ID，OVS交换机即可识别每一个安全服务链对应一种数据包转发路径，每一个服务链可能需要进过多个安全功能组件，为了在多个安全组件之间转发过程中的确定目标流量包在服务链的当前节点的位置，OVS交换机可以将目标流量包中加入标签以识别服务链的转发进程，具体的，安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到目标流量包头部形成NSH标签，具体的NSH标签可以根据用户的需求进行合理的设置，具体此处不做限定。

可选的，NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。

402、OVS交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。

目标流量包每进过服务链中的一个安全组件之后就会返回到OVS交换机，可以根据返回的数据包的NSH标签中服务链路径ID及目标流量包当前所处的节点确定下一安全功能节点，并将所述目标流量包引流到下一节点。

本发明实施例中的安全资源池的网关采用了SDN网络架构，SDN网络中网络设备控制面与数据面分离开，由SDN控制器配置安全服务链，由OVS交换机实现网络对接功能，实现了网络对接功能与安全资源池服务链的引流策略功能的解耦，提高了安全资源池对网络变更的适应性，其次，安全服务链中的引流策略可以由至少两个匹配域字段进行的多维度配置，提高了安全资源池配置的灵活性。

在上述实施例的基础上，实际运用中，在部署安全资源池的过程中是需要考虑到用户侧网络架构的，用户侧网络可能设置有具有策略路由功能的核心网关，也可能没有设置核心网关，且安全资源池与用户侧网络不处于同一层网络，在这种网络架构下，安全资源池的部署过程中需要考虑本地IP与外部IP的地址转换问题。

具体的，当用户侧网络设置有具有策略路由功能的核心网关时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

在上述实施例的基础上，实际运用中，在同一个网络中，可能存在多个租户使用相同IP地址的情形，在这种情形之下，为了实现不同的租户的流量包匹配不同的安全服务链的功能，可以引入租户ID作为匹配域的一个字段，通过SDN控制器设置不同租户ID对应不同的安全服务链，当采用带有租户ID的匹配域与本地存储的流表进行匹配时，即可实现使用相同IP地址的租户流量包匹配不同安全服务链的功能。

在上述实施例的基础上，实际运用中，当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。

可以理解的是，在本发明的各种实施例中，上述各步骤的序号的大小并不意味着执行顺序的先后，各步骤的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

为了便于理解下面将结合具体的运用实例对本发明实施例中的基于SDN网络的安全资源池的实现方法进行说明。

在实际运用中，安全资源池部署过程中客户的需求主要分为三类：

1、客户的物理路由器支持策略路由功能，能将流量引到安全资源池进行清洗；

2、客户的路由不支持策略路由功能，则需要安全资源池即可以对流量进行清洗，也需要安全资源池实现策略路由的功能；

3、客户的原有物理安全设备是透明方式部署，则需要安全资源池可以代替原有物理设备，且需要安全资源池以透明方式部署，不能使用策略路由引流。

这三种需求分别对应安全资源池的路由模式、网关模式和透明模式，现需要安全资源池的引流方式能自动去适应不同客户的网络部署模式。

请参阅图5、图6及图7，其中，客户业务云为客户本地的数据中心或私有云，承载客户业务***。外网为客户业务云以外的网络，一般指Internet。WAN口和LAN口：对于入境流量，外网流量从WAN口进入路由器，再通过LAN口，进入客户网络；对于处境流量，内网流量从LAN进入路由器，再通过WAN口，进入外部网络。

当安全资源池采用路由模式部署，客户的物理路由器支持策略路由功能，如图5所示，和策略路由的部署方式相同，OVS交换机中的OVN模块作为安全资源池的默认网关，负责和客户的核心路由器对接。客户的核心路由器将需要经过安全资源池的目标流量包引导到安全资源池的默认网关(流量包先到OVS交换机，再到OVN模块)。OVN模块对流量包进行NAT转换之后，再将待检测清洗的流量转发给OVS交换机，OVS交换机解析目标流量包中的匹配域字段，并根据匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，并根据安全服务链进行引流完成清洗，之后流量包经过OVN模块转发回到客户的核心路由器，完成一次流量的检测和/清洗。

当安全资源池采用网关模式部署，如图6所示，此时OVS交换机中的OVN模块代替客户的核心路由器。安全资源池和客户业务云可以在同个二层网络，也可以在不同二层网络，OVN模块需要实现策略路由功能。若安全资源池和客户业务云在同个二层网络，入境流量从安全资源池到客户业务云，或出境流量从客户业务云到安全资源池，都不需要经过OVN模块。若在不同二层网络，OVN模块同时也是安全资源池的默认网关，此时网关模式退化为路由模式，OVN模块同时实现客户核心路由器和安全资源池默认网关的角色。

当安全资源池采用透明模式部署，如图6所示，常见于客户原有物理安全设备是透明模式部署，现通过安全资源池替换物理安全设备，但又不想改动原有网络拓扑，此时安全资源池必须以透明模式接入。安全资源池的安全组件和客户业务云在同个二层网络，流量包来到OVS交换机，OVS交换机解析目标流量包中的匹配域字段，并根据匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，并根据安全服务链进行引流完成清洗，之后流量包回到OVS交换机进行虚拟二层转发使得流量包通过WAN口或LAN口转发出去。

具体的，如图7所示，OVS交换机可以包括：OVN模块，虚拟二层交换模块，流分类模块，安全服务链引流模块，Proxy模块，overlay隧道。

OVN模块的功能可以包括：ARP应答及代答，代发ARP包，运行路由协议，三层转发，NAT转换。ARP应答指回复对自身MAC的ARP请求，ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。代发ARP包是指在网关模式下，数据包经过安全服务链的检测和过滤后，来到OVN模块，需要有下一跳的MAC地址，数据包才能转发出去，此时OVN模块缓存数据包，构造ARP请求询问下一跳的MAC地址，并将ARP请求发送出去，等收到ARP回复，再修改原数据包的目的MAC和源MAC地址，将数据包转发出去。运行路由协议是指运行静态/动态路由协议，与其它路由器交换路由信息，形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。NAT包括SNAT和DNAT功能。

虚拟二层交换模块功能可以包括以下内容：MAC地址学习，二层转发，LAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系，建立二层转发表。二层转发指根据目的MAC，查询二层转发表，讲数据包从正确的交换机端口转发出去。VLAN包头的封装/解封装是指：在数据包交给OVN模块之前，剥离VLAN包头；在数据包经过安全服务链，再次来到本模块时，给数据包加上VLAN包头。

流分类模块用于通过灵活的匹配域组合，及不同的服务质量要求，对流量进行分类，并打上NSH标签。安全服务链引流是指根据服务链相关的转发策略和数据包的NSH标签，对流量进行转发，使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。Proxy是指对于无法识别NSH标签的安全功能组件，Proxy模块会先去掉数据包的NSH标签，再发送给安全功能组件，当数据包从安全功能组件回来时，会重新进行流分类或者通过proxy模块把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时，不同物理主机的OVS可以通过overlay隧道功能进行数据包的传输，此处隧道主要用于隔离安全资源池中不同租户的流量，此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等实现。

具体的，SDN控制器的功能包括：北向API，ARP，NAT，SFC，路由计算，拓扑，VLAN，网络信息采集，配置、流表构造和下发。北向API一般为RESTFUL API，供用户界面或远端管理层调用。ARP主要指ARP表维护，协助OVN实现ARP相关功能。NAT用于协助OVN实现SNAT和DNAT功能。路由计算用于实现最短路径在内的通用及自定义路由算法。拓扑模块用于存放全网或局部拓扑信息。VLAN用于协助OVS二层虚拟交换模块实现VLAN相关功能。网络信息采集用于收集底层OVS、安全功能组件的状态信息。配置、流表构造模块能根据参数和配置/流表模板，自动生成配置和流表。配置、流表下发模块选择对应的适配器，将配置和流表转换为底层设备能识别的格式，进行下发。SFC包括服务链定义、路径计算、规则冲突检测，以及调用拓扑、网络信息采集、流表构造及下发等功能，还需要支持安全功能组件迁移及其它原因引起的服务链的动态增删改功能。

上述实施例对本发明实施例中的基于SDN网络的安全资源池的实现方法进行了描述，下面将对本发明实施例中的基于SDN网络的安全资源池***进行描述，请参阅图8，本发明实施例中一种基于SDN网络的安全资源池***的一个实施例可包括：

SDN控制器70及安全资源池80，其中，

所述安全资源池80包括OVS交换机800及至少一个安全功能组件900；

所述OVS交换机800包括二层交换模块801、流分类模块802、通信模块803及转发模块804；

所述二层交换模块801用于接收目标流量包；

所述流分类模块802用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述目标流量包包括至少两个匹配域字段，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，所述通信模块803用于向所述SDN控制器70请求所述目标流量包的匹配域字段对应的安全服务链；

所述转发模块804用于根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

可选的，作为一种可能的实施方式，所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

可选的，作为一种可能的实施方式，所述流分类模块802包括解析单元8021及标签单元8022，所述解析单元8021用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链；

所述标签单元8022，用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述转发模块804用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点，以实现所述目标流量包进行安全引流。

可选的，作为一种可能的实施方式，所述OVS交换机800还包括proxy模块805，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述proxy模块通过代理功能处理所述NSH标签，所述代理功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。

可选的，作为一种可能的实施方式，所述OVS交换机800还包括OVN模块806，当用户侧网络设置有具有策略路由功能的核心网关时，所述OVN模块806用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVN模块806用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

可选的，作为一种可能的实施方式，所述匹配域字段还包括租户ID，所述当多个租户使用相同IP地址时，所述解析单元8021根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。

可选的，作为一种可能的实施方式，当安全资源池80中的安全功能组件900位于不同的物理主机中，OVS交换机800通过overlay隧道进行流量包的传输，overlay隧道用于隔离安全资源池中不同租户的流量包，此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (14)

1.一种基于SDN网络的安全资源池的实现方法，所述SDN网络中包括SDN控制器及OVS交换机，其特征在于，包括：

OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；

所述OVS交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表由所述SDN控制器生成并发送给对应的OVS交换机，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，则向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；

所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

2.根据权利要求1所述的方法，其特征在于，

所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

3.根据权利要求2所述的方法，其特征在于，所述OVS交换机根据安全服务链对所述目标流量包进行安全引流，包括：

所述OVS交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述OVS交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。

4.根据权利要求3所述的方法，其特征在于，

当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述OVS交换机通过代理proxy功能处理所述NSH标签，所述proxy功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。

5.根据权利要求3所述的方法，其特征在于，在所述OVS交换机接收目标流量包并解析所述目标流量包中的匹配域字段之前，还包括：

当用户侧网络设置有具有策略路由功能的核心网关时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVS交换机从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

6.据权利要求5所述的方法，其特征在于，

所述匹配域字段还包括租户ID，当多个租户使用相同IP地址时，所述OVS交换机根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。

7.据权利要求1至6任一项所述的方法，其特征在于，

当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。

8.一种基于SDN网络的安全资源池***，其特征在于，包括：

SDN控制器及安全资源池，其中，

所述安全资源池包括OVS交换机及至少一个安全功能组件；

所述OVS交换机包括二层交换模块、流分类模块、通信模块及转发模块；

所述二层交换模块用于接收目标流量包；

所述流分类模块用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述目标流量包包括至少两个匹配域字段，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

若所述目标流量包的匹配域字段与本地存储的流表匹配不成功，所述通信模块用于向所述SDN控制器请求所述目标流量包的匹配域字段对应的安全服务链；

所述转发模块用于根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

9.根据权利要求8所述的***，其特征在于，

所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

10.根据权利要求9所述的***，其特征在于，

所述流分类模块包括解析单元及标签单元，所述解析单元用于解析所述目标流量包中的匹配域字段，并根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链；

所述标签单元，用于将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述转发模块用于根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点，以实现所述目标流量包进行安全引流。

11.根据权利要求10所述的***，其特征在于，所述OVS交换机还包括proxy模块，当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述proxy模块通过代理功能处理所述NSH标签，所述代理功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述OVS交换机时，为安全服务链重新加上所述NSH标签。

12.根据权利要求10所述的***，其特征在于，所述OVS交换机还包括OVN模块，当用户侧网络设置有具有策略路由功能的核心网关时，所述OVN模块用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行网络地址NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别；

当用户侧没有设置核心网关，且所述安全资源池与用户侧网络不处于同一层网络时，所述OVN模块用于从所述核心网关中接收目标流量包，并对所述目标流量包中的IP地址进行NAT转换，以使得所述目标流量包中的IP地址可被所述OVS交换机被识别。

13.根据权利要求11中所述的***，其特征在于，

所述匹配域字段还包括租户ID，所述当多个租户使用相同IP地址时，所述解析单元根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。

14.根据权利要求8至13中任一项所述的***，其特征在于，

当所述安全资源池中的安全功能组件位于不同的物理主机中，OVS交换机通过overlay隧道进行流量包的传输，所述overlay隧道用于隔离所述安全资源池中不同租户的流量包。