CN112822037B - 一种安全资源池的流量编排方法及*** - Google Patents
一种安全资源池的流量编排方法及*** Download PDFInfo
- Publication number
- CN112822037B CN112822037B CN202011614646.0A CN202011614646A CN112822037B CN 112822037 B CN112822037 B CN 112822037B CN 202011614646 A CN202011614646 A CN 202011614646A CN 112822037 B CN112822037 B CN 112822037B
- Authority
- CN
- China
- Prior art keywords
- mac address
- data packet
- orchestrator
- arp
- resource pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/66—Layer 2 routing, e.g. in Ethernet based MAN's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全资源池的流量编排方法及***,所述方法包括:根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理安全资源池中多个服务器的编排链,编排链用于表示来自租户的业务流量需要经过安全资源池中多个虚拟安全设备的顺序;通过引流路由器将业务流量经二层交换机发送至安全资源池;通过安全资源池中的编排器按照编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器;其中,所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,每个所述编排器预分配有一个用于流量牵引的IP地址。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种安全资源池的流量编排方法及***。
背景技术
在公有云或者私有云场景中,租户存在对其云主机的安全防护需求,其中一种防护方案是在独立于云环境的多台宿主机上部署多个安全虚拟机组成安全资源池,然后云平台将租户流量牵引到安全资源池中进行安全防护。由于安全资源池中存在多种虚拟安全设备,每种虚拟安全设备又是多台,如何高效编排租户流量使租户流量得到防护就显得十分重要。
现有主要是给所有虚拟安全设备的接口配置IP地址,在安全资源池中构建一个三层互通网络,通过在虚拟安全设备上配置路由,来实现安全服务编排。在实际编排过程中,每接入一个虚拟安全设备就需要给这个设备配置业务口IP,租户每下发一条策略,就需要针对编排设备进行路由配置,这样的话,整个配置过程繁琐且效率低。此外,当策略数变多时,路由条目数也会增多,导致效率和性能较低。
可见,现有流量编排方法存在编排效率低的技术问题。
发明内容
本发明实施例提供了一种安全资源池的流量编排方法及***,用于提高流量编排效率。
第一方面,本发明实施例提供了一种安全资源池的流量编排方法,包括:
根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序;
通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池;
通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器;
其中,所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的所述编排器之间通信连接,每个所述编排器部署有一个对外互联口,并通过一个所述对外互联口与所述二层交换机之间通信连接,且每个所述编排器预分配有一个用于流量牵引的IP地址。
在其中一种可能的实现方式中,所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排,包括:
通过所述编排器识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;
按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。
在其中一种可能的实现方式中,所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排,包括:
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则通过所述编排器将所述数据包发送给二层交换机,通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
在其中一种可能的实现方式中,在所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排之前,所述方法还包括:
通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口,并收集各接口的MAC地址;
根据各接口构造arp数据包,建立各接口与MAC地址间的对应关系。
在其中一种可能的实现方式中,在所述建立各接口与MAC地址间的对应关系之后,所述方法还包括:
若接收到来自所述租户的arp请求的arp数据包,且所述arp数据包的IP地址与所述编排器预分配的IP地址相同,则通过所述编排器构造arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口;
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
在其中一种可能的实现方式中,在所述建立各接口与MAC地址间的对应关系之后,所述方法还包括:
若接收到来自所述租户的arp请求的arp数据包,且所述arp数据包的IP地址与所述编排器预分配的IP地址相同,则通过所述编排器构造arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口;
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
在其中一种可能的实现方式中,若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的业务口,所述方法还包括:
通过所述编排器确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备,若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备,则将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址,所述目的MAC地址修改为所述引流路由器的MAC地址,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口;
若所述目的MAC地址对应的当前虚拟安全设备不是所述编排链的最后一个设备,则通过所述编排器将所述arp数据包的源MAC地址修改后收包接口的MAC地址,所述目的MAC地址为下一个虚拟安全设备的MAC地址,并将接收所述arp数据包的接口设置为所述目标服务器的对外互联口,若所述arp数据包的目的IP地址和所述编排器预分配的IP地址相同,则所述arp数据包的流量方向为正向,则通过所述编排器将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址,其中,在所述编排链上,所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;若所述arp数据包的源IP地址和所述编排器预分配的IP地址相同,所述arp数包的流量方向为反向,则通过所述编排器将所述目的MAC地址作为所述下一个虚拟安全设备的第二个业务口的MAC地址,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
在其中一种可能的实现方式中,所述方法还包括:
若所述arp数据包的目的MAC地址是所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,根据所述编排链,通过所述编排器确定所述目标服务器中用于处理所述arp数据包的第一个虚拟安全设备,并将所述arp数据包的源MAC地址修改为所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第一个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;
若所述arp数据包的源IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,通过所述编排器将所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第二个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。第二方面,本发明实施例提供了一种安全资源池的流量编排***,包括:
安全资源池管理平台,安全资源池,与所述安全资源池通信连接的引流路由器,其中,所述安全资源池包括多个服务器和与所述多个服务器通信连接的一个二层交换机,所述安全资源池中每个服务器透明部署有一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的所述编排器之间通信连接,每个所述编排器部署一个对外互联口,并通过一个所述对外互联口与所述二层交换机之间通信连接,且每个所述编排器预分配有一个用于流量牵引的IP地址;
其中,所述安全资源池管理平台用于根据租户业务需求,向所述安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中所述多个虚拟安全设备的顺序;
所述引流路由器用于将所述业务流量经所述二层交换机发送至所述安全资源池,所述安全资源池中的所述编排器用于按照所述编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器。在其中一种可能的实现方式中,所述编排器用于识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则所述编排器将所述数据包发送给二层交换机,由所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
本发明实施例的有益效果如下:
本发明实施例提供了一种安全资源池的流量编排方法及***,首先,根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理该安全资源池中多个服务器的编排链,该编排链用于表示来自租户的业务流量需要经过该安全资源池中多个虚拟安全设备的顺序;通过引流路由器将业务流量经二层交换机发送至该安全资源池;通过该安全资源池中的编排器按照编排链对业务流量进行编排,并将编排后的流量经二层交换机送回引流路由器;其中,安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过两个业务口与对应的编排器之间通信连接,每个编排器部署有一个对外互联口,并通过一个对外互联口与二层交换机之间通信连接,且每个编排器预分配有一个用于流量牵引的IP地址。如此一来,通过编排器的编排就可以实现对整个安全资源池的流量编排,从而提高了流量编排的效率。
附图说明
图1为本发明实施例提供的一种安全资源池的流量编排***的结构示意图;
图2为本发明实施例提供的一种安全资源池的流量编排方法的方法流程图;
图3为本发明实施例提供的一种基于流量编排***的流量编排方法中的步骤S103的方法流程图;
图4为本发明实施例提供的一种基于流量编排***的流量编排方法中在步骤S103之前的方法流程图。
具体实施方式
本发明的说明书和权利要求书及上述附图中的“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
现有流量编排主要是给所有虚拟安全设备的接口配置IP地址,每接入一个虚拟安全设备就需要给这个设备配置相应的业务口IP,在安全资源池中构建一个三层互通网络,通过在虚拟安全设备上配置路由,租户每下发一条策略,就需要针对编排设备进行路由配置,当策略数变多时,路由条目数也会增多,从而降低编排效率及性能。
鉴于此,本发明实施例提供了一种安全资源池的流量编排方法及***,用于提高流量编排效率。
在介绍本发明实施例提供的一种安全资源池的流量编排方法之前,首先,对本发明实施例提供的流量编排***进行简单的介绍,如图1所示为本发明实施例提供的一种安全资源池的流量编排***的结构示意图,具体来讲,该流量编排***包括:
安全资源池管理平台10,安全资源池20,与安全资源池20通信连接的引流路由器30,其中,安全资源池20包括多个服务器40和与多个服务器40通信连接的一个二层交换机50,多个服务器40中每个服务器透明部署一个编排器60和多个虚拟安全设备70,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的编排器60之间通信连接,每个编排器60部署有一个对外互联口,并通过一个所述对外互联口与二层交换机50之间通信连接,且每个编排器60预分配有一个用于流量牵引的IP地址。
在具体实施过程中,虚拟安全设备70包括防火墙设备、入侵防护设备、web防护设备等,在此不做限定,安全资源池20所包括的服务器40的个数可以根据实际应用的需要来设置,如图1中示意出了安全资源池20包括的服务器40的个数为N的情况,N为大于2的正整数。
仍以图1所示的流量编排***为例,在服务器1中,虚拟安全设备1透明部署有业务口1和业务口2这两个业务口,虚拟安全设备2透明部署有业务口3和业务口4这两个业务口,编排器1透明部署有一个对外互联口5;在服务器2中,虚拟安全设备3透明部署有业务口7和业务口8这两个业务口,虚拟安全设备4透明部署有业务口9和业务口10这两个业务口,编排器2透明部署有一个对外互联口6,对于流量编排***中的其它服务器中虚拟安全设备及编排器的设置情况可以根据实际应用需要来进行设置,在此不再详述。
在具体实施过程中,由于每个编排器60预分配有一个用于流量牵引的IP地址,这样的话,可以通过编排器60实现流量在整个安全资源池中的编排。此外,在具体实施过程中,每个服务器40都透明部署有一个编排器60和多个虚拟安全设备3,每个虚拟安全设备3都透明部署两个业务口,这样的话,数据包无需封装和解封装就可以在虚拟安全设备3间传输,从而保证了流量编排的效率及性能。
如图2所示为本发明实施例提供的一种安全资源池的流量编排方法的方法流程图,具体来讲,该流量编排方法包括:
S101:根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序;
S102:通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池;
S103:通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器;
其中,所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的所述编排器之间通信连接,每个所述编排器部署有一个对外互联口,并通过一个所述对外互联口与所述二层交换机之间通信连接,且每个所述编排器预分配有一个用于流量牵引的IP地址。
在具体实施过程中,步骤S101至步骤S103的具体实现过程如下:
首先,根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序,在所述编排链一定时,来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序也就一定了。在具体实施过程中,引流路由器将来自租户的业务流量经二层交换机发送至所述安全资源池,然后,所述安全资源池中编排器按照所述编排链对所述业务流量进行编排,整个过程通过编排器的编排就可以实现对整个安全资源池的流量编排,从而提高了流量编排的效率。在所述编排器按照所述编排链对所述业务流量进行编排之后,所述编排器可以将编排后的流量经二层交换机送回所述引流路由器,从而保证了流量编排的完整性。在本发明实施例中,如图3所示,步骤S103:通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排,包括:
S201:通过所述编排器识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;
S202:按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。
在具体实施过程中,步骤S201至步骤S202的具体实现过程如下:
首先,通过所述编排器识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的媒体访问控制(Media Access Control Address,MAC)地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序。其中,所述安全资源池中不同服务器之间是通过所述二层交换机进行互联的,而所述二层交换机的数据包转发原理是根据目的MAC地址进行转发的,这样的话,在目的MAC地址已知的情况下,就可以通过所述二层交换机实现跨宿主机间的流量编排。此外,所述编排器识别出业务流量对应的数据包的目的MAC地址之后,就可以根据该目的MAC地址确定各个虚拟安全设备在编排链中的位置以及编排顺序,从而通过目的MAC地址就实现了跨宿主机间流量的编排,进而保证了流量编排效率。
在实际应用中,本发明人发现现有技术还提供了一种通过在宿主机上安装软件定义网络(Software Defined Network,SDN)交换机,通过SDN交换机来实现流量编排,在针对跨宿主机场景时,往往通过通用路由封装(Generic Routing Encapsulation,gre)或者虚拟扩展局域网(Virtual Extensible Local Area Network,vxlan)隧道的方式,将流量发送到待防护虚拟安全设备所在的宿主机。这种流量编排方式往往需要维护gre或者vxlan隧道,而且gre或者vxlan隧道包的封装和解封装对流量编排性能的影响较大,此外,由于是隧道包,对客户数据包封装之后可能会大于接口最大传输单元(Maximum TransmissionUnit,MTU),导致数据包分片和重组,对流量编排性能影响较大。
在本发明实施例中,步骤S202:按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排,包括:
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则通过所述编排器将所述数据包发送给二层交换机,通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
在具体实施过程中,通过目的MAC地址来实现跨宿主机间流量的编排的具体实现过程可以是,若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口,如此一来,通过所述编排器实现了在同一服务器下各个虚拟安全设备间的流量编排。
此外,在具体实施过程中,若所述目的MAC地址与所述目标服务器的MAC地址不同,则通过所述编排器将所述数据包发送给二层交换机,由所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。这样的话,本发明实施例中通过编排器实现了跨宿主机间的流量编排,相较于现有通过SDN交换机来实现流量编排来说,由于每个服务器都透明部署有一个编排器和多个虚拟安全设备,每个虚拟安全设备都透明部署两个业务口,流量编排过程中数据包无需封装和解封装就可以在虚拟安全设备间传输,从而保证了流量编排的效率及性能。
在本发明实施例中,可以通过数据包的目的MAC地址和收发包接口来规划编排链,实现流量编排,具体流量编排过程随后进行详述。
在本发明实施例中,如图4所示,在步骤S103:通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排之前,所述方法还包括:
S301:通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口,并收集各接口的MAC地址;
S302:根据各接口构造arp数据包,建立各接口与MAC地址间的对应关系。
在具体实施过程中,步骤S301至步骤S302的具体实现过程如下:
首先,通过所述编排器周期性地遍历各接口所收集到的MAC地址,这样的话,便可以通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口。通过所述编排器将从业务口和对外互联口中所接收到的数据包信息放到队列中,其中,数据包信息包括收包网卡信息、原始数据包信息。然后,根据各接口构造地址解析协议(AddressResolution Protocol,arp)数据包,建立各接口与MAC地址间的对应关系,arp数据包的源MAC地址可以设置为相应接口的MAC地址。在具体实施过程中,arp数据包的其它字段可以任意设置,arp数据包可以从对外互联口中发送出去。
在本发明实施例中,在步骤S302:根据各接口构造arp数据包,建立各接口与MAC地址间的对应关系之后,所述方法还包括:
若接收到来自所述租户的arp请求的arp数据包,且所述arp数据包的IP地址与所述编排器预分配的IP地址相同,则通过所述编排器构造arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口;
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
在具体实施过程中,安全资源池管理平台具体为用于统一管理服务器的平台,在实际应用中,安全资源管理平台根据客户业务需求,确定租户需要哪些虚拟安全设备进行防护,并确定依次经过这些需要进行防护的虚拟安全设备的编排链,且将该编排链同步给对应的所述编排器。所述编排器从数据包队列中依次取包,若所述编排器接收到来自所述租户的arp请求的arp数据包,且所述数据包的IP地址与所述编排器预分配的IP地址相同,则构造所述arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口,这样的话,arp响应数据包可以从对外互联口中发送出去。如此一来,所述编排器便能够告知所述引流路由器下一跳的MAC地址,从而实现引流。
在具体实施过程中,若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,其中,目标服务器的接口包括业务口和对外互联口,也就是说,arp数据包需要经过的下个虚拟安全设备不在所述目标服务器,如此一来,所述编排器还用于将arp数据包放到发包队列中,并将arp数据包的发送接口设置为该目标服务器的对外互联口。
在本发明实施例中,在接收到来自所述租户的arp请求的arp数据包之后,所述方法还包括:
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的对外互联口,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目的MAC地址对应的业务口。也就是说,若所述arp数据包需要经过的所述虚拟安全设备在所述目标服务器上,直接将所述arp数据包发送给所述目标服务器上对应的虚拟安全设备。
在本发明实施例中,若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的业务口,所述方法还包括:
通过所述编排器确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备,若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备,则将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址,所述目的MAC地址修改为所述引流路由器的MAC地址,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口;
若所述目的MAC地址对应的当前虚拟安全设备不是所述编排链的最后一个设备,则通过所述编排器将所述arp数据包的源MAC地址修改后收包接口的MAC地址,所述目的MAC地址为下一个虚拟安全设备的MAC地址,并将接收所述arp数据包的接口设置为所述目标服务器的对外互联口,若所述arp数据包的目的IP地址和所述编排器预分配的IP地址相同,则所述arp数据包的流量方向为正向,则通过所述编排器将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址,其中,在所述编排链上,所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;若所述arp数据包的源IP地址和所述编排器预分配的IP地址相同,所述arp数包的流量方向为反向,则通过所述编排器将所述目的MAC地址作为所述下一个虚拟安全设备的第二个业务口的MAC地址,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
在具体实施过程中,若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的业务口,也就是说,所述arp数据包已经经过了所述目标服务器下某个虚拟安全设备的防护,在具体实施过程中需要判断所述arp数据包下一跳发往哪里。在实际应用中,所述编排器用于确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备,若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备,则所述编排器还用于将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址,所述目的MAC地址修改为所述引流路由器的MAC地址,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口;也就是说,当前所述arp数据包已经经过了编排链的最后一个设备的防护,则可以通过所述编排器回注流量到引流路由器。
在具体实施过程中,当前所述arp数据包没有经过所述编排链的最后一个设备的防护,所述编排器可以通过目的MAC地址的设置指向编排链上位于当前虚拟安全设备之后的下一个虚拟安全设备。
在具体实施过程中,若所述arp数据包的目的IP地址和所述编排器预分配的IP地址相同,则所述arp数据包的流量方向为正向,则通过所述编排器将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址,其中,在所述编排链上,所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向。仍然以图1为例,虚拟安全设备1包括的第一个业务口可以为1口,虚拟安全设备1包括的第二个业务口可以为2口,相应地,数据包由1口流至2口的方向为正向流量方向,反之,数据包由2口流至1口的方向为负向流量方向;再比如,虚拟安全设备2包括的第一个业务口可以为3口,虚拟安全设备2包括的第二个业务口可以为4口,相应地,数据包由3口流至4口的方向为正向流量方向,反之,数据包由4口流至3口的方向为负向流量方向。在已知编排链时,数据包流至各虚拟安全设备的顺序一定,以及数据包从各个业务口流出的先后顺序一定,通过控制数据包从各业务口流出的顺序,从而实现了编排器的流量编排。
在本发明实施例中,所述方法还包括:
若所述arp数据包的目的MAC地址是所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,根据所述编排链,通过所述编排器确定所述目标服务器中用于处理所述arp数据包的第一个虚拟安全设备,并将所述arp数据包的源MAC地址修改为所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第一个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;
若所述arp数据包的源IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,通过所述编排器将所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第二个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
在具体实施过程中,若所述arp数据包的目的MAC地址是所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,根据所述编排链,通过所述确定所述目标服务器中用于处理所述arp数据包的第一个虚拟安全设备,并将所述arp数据包的源MAC地址修改为所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第一个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向。也就是说,对于正向流量,通过所述编排器可以根据目的MAC地址设置编排链的下一跳,其中,每个设备所包括的第一业务口和第二业务口均透明部署。
在具体实施过程中,若所述arp数据包的源IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,通过所述编排器将所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第二个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。也就是说,对于负向流量,所述编排器可以根据目的MAC地址设置编排链的下一跳,其中,每个设备所包括的第一业务口和第二业务口均透明部署。
在本发明实施例中,由于所有的编排操作均由编排器进行,免去了虚拟安全设备复杂的配置和调度流程,提高了流量编排的性能。此外,在流量编排过程中,所涉及编排器、二层交换机等均属于普通硬件,对环境无特殊要求,流量编排的性能较高。而且在流量编排过程中无需虚拟安全设备及物理服务器的路由寻址流程,保证了编排效率和性能。
基于同一发明构思,如图1所示本发明实施例提供了一种安全资源池的流量编排***,所述流量编排***包括:
安全资源池管理平台10,安全资源池20,与安全资源池20通信连接的引流路由器30,其中,安全资源池20包括多个服务器40和与多个服务器40通信连接的一个二层交换机50,多个服务器40中每个服务器透明部署一个编排器60和多个虚拟安全设备70,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的编排器60之间通信连接,每个编排器60部署有一个对外互联口,并通过一个所述对外互联口与二层交换机50之间通信连接,且每个编排器60预分配有一个用于流量牵引的IP地址;
其中,安全资源池管理平台1用于根据租户业务需求,向安全资源池20下发用于管理安全资源池20多个服务器40的编排链,所述编排链用于表示来自租户的业务流量需要经过安全资源池20中多个虚拟安全设备70的顺序;
引流路由器30用于将所述业务流量经二层交换机50发送至安全资源池20,安全资源池20中的编排器60用于按照所述编排链对所述业务流量进行编排,并将编排后的流量经二层交换机50送回引流路由器30。
在具体实施过程中,所述流量编排***中的每个器件的功能在前述方法中已经进行了详述,在此就不再赘述了。
在本发明实施例中,编排器60用于识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备70在所述编排链中的位置以及编排顺序;
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则编排器60将所述数据包发送给二层交换机,由所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
在本发明实施例中,在通过安全资源池20中的编排器60按照所述编排链对所述业务流量进行编排之前,编排器60用于确定对应的目标服务器所包括的多个业务接口和所述对外互联口,并收集各接口的MAC地址,且根据各接口构造arp数据包,建立各接口与MAC地址间的对应关系。
在本发明实施例中,在编排器60建立各接口与MAC地址间的对应关系之后,若接收到来自所述租户的arp请求的arp数据包,且所述arp数据包的IP地址与编排器60预分配的IP地址相同,则通过编排器60构造arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为编排器60预分配的IP地址对应的对外互联口;
若所述arp数据包的IP地址与编排器60预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,则通过编排器60将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
在本发明实施例中,若所述arp数据包的IP地址与编排器60预分配的IP地址不同,所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的对外互联口,则通过编排器60将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目的MAC地址对应的业务口。
在本发明实施例中,若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的业务口,编排器60用于确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备,若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备,则编排器60还用于将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址,所述目的MAC地址修改为所述引流路由器的MAC地址,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口;若所述目的MAC地址对应的当前虚拟安全设备不是所述编排链的最后一个设备,则编排器60还用于将所述arp数据包的源MAC地址修改后收包接口的MAC地址,所述目的MAC地址为下一个虚拟安全设备的MAC地址,并将接收所述arp数据包的接口设置为所述目标服务器的对外互联口,若所述arp数据包的目的IP地址和编排器60预分配的IP地址相同,则所述arp数据包的流量方向为正向,编排器60还用于将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址,其中,在所述编排链上,所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向,若所述arp数据包的源IP地址和所述编排器预分配的IP地址相同,所述arp数包的流量方向为反向,则通过所述编排器将所述目的MAC地址作为所述下一个虚拟安全设备的第二个业务口的MAC地址,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
在本发明实施例中,若所述arp数据包的目的MAC地址是所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的IP地址与编排器60预分配的IP地址相同,且所述目标服务器为防护对象,则编排器60用于根据所述编排链确定所述目标服务器中用于处理所述arp数据包的第一个虚拟安全设备,并将所述arp数据包的源MAC地址修改为所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第一个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向。也就是说,对于正向流量,编排器60可以根据目的MAC地址设置编排链的下一跳,其中,每个设备所包括的第一业务口和第二业务口均透明部署。
在本发明实施例中,若所述arp数据包的源IP地址与编排器60预分配的IP地址相同,且所述目标服务器为防护对象,则编排器60用于将所述arp数据包的目的MAC地址为所述第一虚拟安全设备的第二个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。也就是说,对于负向流量,编排器60可以根据目的MAC地址设置编排链的下一跳,其中,每个设备所包括的第一业务口和第二业务口均透明部署。
在本发明实施例中,由于所有的编排操作均由编排器进行,免去了虚拟安全设备复杂的配置和调度流程,提高了流量编排的性能。此外,在流量编排过程中,所涉及编排器、二层交换机等均属于普通硬件,对环境无特殊要求,流量编排的性能较高。而且在流量编排过程中无需虚拟安全设备及物理服务器的路由寻址流程,保证了编排效率和性能。本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种安全资源池的流量编排方法,其特征在于,包括:
根据租户业务需求,通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序;
通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池;
通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器;
其中,所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的所述编排器之间通信连接,每个所述编排器部署有一个对外互联口,并通过一个所述对外互联口与所述二层交换机之间通信连接,且每个所述编排器预分配有一个用于流量牵引的IP地址。
2.如权利要求1所述的方法,其特征在于,所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排,包括:
通过所述编排器识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;
按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。
3.如权利要求2所述的方法,其特征在于,所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排,包括:
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则通过所述编排器将所述数据包发送给二层交换机,通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
4.如权利要求1所述的方法,其特征在于,在所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排之前,所述方法还包括:
通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口,并收集各接口的MAC地址;
根据各接口构造arp数据包,建立各接口与MAC地址间的对应关系。
5.如权利要求4所述的方法,其特征在于,在所述建立各接口与MAC地址间的对应关系之后,所述方法还包括:
若接收到来自所述租户的arp请求的arp数据包,且所述arp数据包的IP地址与所述编排器预分配的IP地址相同,则通过所述编排器构造arp响应数据包,并将所述arp响应数据包放到发包队列中,并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口;
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
6.如权利要求5所述的方法,其特征在于,在接收到来自所述租户的arp请求的arp数据包之后,所述方法还包括:
若所述arp数据包的IP地址与所述编排器预分配的IP地址不同,所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的对外互联口,则通过所述编排器将所述arp数据包放到发包队列中,并将所述arp数据包的发送接口设置为所述目的MAC地址对应的业务口。
7.如权利要求6所述的方法,其特征在于,若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址,且收包接口是所述目标服务器的业务口,所述方法还包括:
通过所述编排器确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备,若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备,则将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址,所述目的MAC地址修改为所述引流路由器的MAC地址,并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口;
若所述目的MAC地址对应的当前虚拟安全设备不是所述编排链的最后一个设备,则通过所述编排器将所述arp数据包的源MAC地址修改后收包接口的MAC地址,所述目的MAC地址为下一个虚拟安全设备的MAC地址,并将接收所述arp数据包的接口设置为所述目标服务器的对外互联口,若所述arp数据包的目的IP地址和所述编排器预分配的IP地址相同,则所述arp数据包的流量方向为正向,则通过所述编排器将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址,其中,在所述编排链上,所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;若所述arp数据包的源IP地址和所述编排器预分配的IP地址相同,所述arp数据 包的流量方向为反向,则通过所述编排器将所述目的MAC地址作为所述下一个虚拟安全设备的第二个业务口的MAC地址,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
8.如权利要求5所述的方法,其特征在于,所述方法还包括:
若所述arp数据包的目的MAC地址是所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,根据所述编排链,通过所述编排器确定所述目标服务器中用于处理所述arp数据包的第一个虚拟安全设备,并将所述arp数据包的源MAC地址修改为所述目标服务器的对外互联口的MAC地址,所述arp数据包的目的MAC地址为所述第一个 虚拟安全设备的第一个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,每个虚拟安全设备包括第一个业务口和第二个业务口,所述arp数据包由第一个业务口流至第二个业务口的方向为正向;
若所述arp数据包的源IP地址与所述编排器预分配的IP地址相同,且所述目标服务器为防护对象,通过所述编排器将所述arp数据包的目的MAC地址为所述第一个 虚拟安全设备的第二个业务口的MAC地址,并将用于接收所述arp数据包的接口设置为所述目标服务器的对外互联口,其中,所述arp数据包由第二个业务口流至第一个业务口的方向为反向。
9.一种安全资源池的流量编排***,其特征在于,包括:
安全资源池管理平台,安全资源池,与所述安全资源池通信连接的引流路由器,其中,所述安全资源池包括多个服务器和与所述多个服务器通信连接的一个二层交换机,所述安全资源池中每个服务器透明部署一个编排器和多个虚拟安全设备,每个虚拟安全设备部署有两个业务口,并通过所述两个业务口与对应的所述编排器之间通信连接,每个所述编排器部署有一个对外互联口,并通过一个所述对外互联口与所述二层交换机之间通信连接,且每个所述编排器预分配有一个用于流量牵引的IP地址;
其中,所述安全资源池管理平台用于根据租户业务需求,向所述安全资源池下发用于管理所述安全资源池中多个服务器的编排链,所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中所述多个虚拟安全设备的顺序;
所述引流路由器用于将所述业务流量经所述二层交换机发送至所述安全资源池,所述安全资源池中的所述编排器用于按照所述编排链对所述业务流量进行编排,并将编排后的流量经所述二层交换机送回所述引流路由器。
10.如权利要求9所述的***,其特征在于,所述编排器用于识别所述业务流量对应的数据包的目的MAC地址,并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序;
若所述编排链包括的各个虚拟安全设备在同一目标服务器中,且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址,或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址,则所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口;
若所述目的MAC地址与所述目标服务器的MAC地址不同,则所述编排器将所述数据包发送给二层交换机,由所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011614646.0A CN112822037B (zh) | 2020-12-30 | 2020-12-30 | 一种安全资源池的流量编排方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011614646.0A CN112822037B (zh) | 2020-12-30 | 2020-12-30 | 一种安全资源池的流量编排方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112822037A CN112822037A (zh) | 2021-05-18 |
CN112822037B true CN112822037B (zh) | 2022-09-02 |
Family
ID=75855014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011614646.0A Active CN112822037B (zh) | 2020-12-30 | 2020-12-30 | 一种安全资源池的流量编排方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112822037B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114338193B (zh) * | 2021-12-31 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种流量编排方法、装置及ovn流量编排*** |
CN114827045B (zh) * | 2022-06-23 | 2022-09-13 | 天津天睿科技有限公司 | 用于流量编排的方法和装置 |
CN115296842A (zh) * | 2022-06-27 | 2022-11-04 | 深信服科技股份有限公司 | 业务流量的编排方法、装置、应用交付设备及介质 |
CN116016213A (zh) * | 2022-12-27 | 2023-04-25 | 绿盟科技集团股份有限公司 | 一种基于网络靶场的流量编排方法、装置、***及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819683A (zh) * | 2017-10-25 | 2018-03-20 | 杭州安恒信息技术有限公司 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及*** |
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN111901154A (zh) * | 2020-07-04 | 2020-11-06 | 烽火通信科技股份有限公司 | 基于nfv的安全架构***和***署及安全威胁处理方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11120148B2 (en) * | 2019-01-10 | 2021-09-14 | Fortinet, Inc. | Dynamically applying application security settings and policies based on workload properties |
-
2020
- 2020-12-30 CN CN202011614646.0A patent/CN112822037B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819683A (zh) * | 2017-10-25 | 2018-03-20 | 杭州安恒信息技术有限公司 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及*** |
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN111901154A (zh) * | 2020-07-04 | 2020-11-06 | 烽火通信科技股份有限公司 | 基于nfv的安全架构***和***署及安全威胁处理方法 |
Non-Patent Citations (2)
Title |
---|
云数据中心面向租户的安全功能按需服务***;殷明勇等;《北京交通大学学报》;20181015(第05期);全文 * |
面向云化网络的资产安全管理方案;张小梅等;《邮电设计技术》;20190420(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112822037A (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112822037B (zh) | 一种安全资源池的流量编排方法及*** | |
CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
US9755959B2 (en) | Dynamic service path creation | |
CN107819663B (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
CN103930882B (zh) | 具有中间盒的网络架构 | |
US9628328B2 (en) | Network controller with integrated resource management capability | |
US9225624B2 (en) | Systems and methods for topology discovery and application in a border gateway protocol based data center | |
CN107896195B (zh) | 服务链编排方法、装置及服务链拓扑结构*** | |
US8804745B1 (en) | Virtualization mapping | |
CN113261240A (zh) | 使用可编程客户机进行多租户隔离 | |
CN106713137B (zh) | 基于分段路由和sdn技术的vpn方法、装置及*** | |
CN109818918A (zh) | 基于软件定义网络加密策略的策略驱动的工作负载启动 | |
CN102263646B (zh) | 交换机的分布式控制平面内的多播 | |
US10103980B1 (en) | Methods and apparatus for maintaining an integrated routing and bridging interface | |
CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
CN105530259A (zh) | 报文过滤方法及设备 | |
CN106685903B (zh) | 基于sdn的数据传输方法、sdn控制器和sdn*** | |
CN104320350A (zh) | 用于提供基于信用的流控制的方法及*** | |
CN104584484A (zh) | 提供基于策略的数据中心网络自动化的***和方法 | |
US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
CN113261242A (zh) | 使用可编程交换机进行覆盖网络路由 | |
CN113302898A (zh) | 将客户机-设备对等互联的虚拟路由控制器 | |
CN112272145A (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
WO2021077995A1 (zh) | 网络切片共享上联口的方法、装置及存储介质 | |
CN102546385B (zh) | 交换机分布式控制面内自动供应资源的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |