CN105515932B - 提高安全集群处理性能的方法及装置 - Google Patents
提高安全集群处理性能的方法及装置 Download PDFInfo
- Publication number
- CN105515932B CN105515932B CN201410491349.XA CN201410491349A CN105515932B CN 105515932 B CN105515932 B CN 105515932B CN 201410491349 A CN201410491349 A CN 201410491349A CN 105515932 B CN105515932 B CN 105515932B
- Authority
- CN
- China
- Prior art keywords
- flow table
- security node
- message
- controller
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提出提高安全集群处理性能的方法及装置。方法包括:控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机,控制器通过安全节点发来的流创建信息生成正、反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息、反向流表中包含上游交换机与该安全节点通信的端口信息;控制器将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游、上游交换机将正、反向流表对应的数据流都发送给该安全节点,由该安全节点对数据流执行安全业务处理。本申请提高了安全集群的处理性能。
Description
技术领域
本申请涉及安全集群技术领域,尤其涉及提高安全集群处理性能的方法及装置。
背景技术
安全设备指的是在网络中专门执行安全策略如:防火墙设备。云计算、大数据等新兴技术的崛起在网络中产生了更多的数据,对于安全设备的性能要求也是成级数增长。受限于单台物理安全设备的性能限制,如何在平滑扩展安全设备性能的同时而不带来管理部署的复杂度成为安全设备急需解决的问题。安全集群是一种多虚一的虚拟化技术,可以有效解决上述问题。
现有安全集群的组网形态与网络设备类似,安全集群内的安全设备的部署位置通常旁挂汇聚或核心交换机,简化后的安全集群组网形态如图1所示,其中,防火墙设备FW1~FW4构成一个安全集群,FW1~FW4通过聚合链路与核心交换机连接,核心交换机将来自下挂主机的流量通过预设的聚合链路负载分担算法分担到FW1~FW4上,FW1~FW4根据自身配置的安全策略确定对核心交换机发来的流量进行转发还是丢弃。
发明内容
本申请提供提高安全集群处理性能的方法及装置。
本申请的技术方案是这样实现的:
一种提高安全集群处理性能的方法,控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机,该方法包括:
控制器通过安全节点发来的流创建信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息,反向流表中包含上游交换机与该安全节点通信的端口信息;
控制器将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表对应的数据流和反向流表对应的数据流执行安全业务处理。
一种提高安全集群处理性能的装置,该装置位于安全集群的外置控制器上,控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机,该装置包括:
流表生成模块:通过安全节点发来的流创建信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息,反向流表包含上游交换机与该安全节点通信的端口信息;
流表下发模块:将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表和反向流表对应的数据流执行安全业务处理。
可见,本申请中,控制器通过安全节点发来的会话创建信息生成正、反向流表,两个流表中的下一跳IP地址都是安全集群的IP地址,且流表中分别包含有下游、上游交换机与该安全节点通信的端口信息,将正向流表发给下游交换机、将反向流表发给上游交换机,从而使得下游、上游交换机将正、反向流表对应的数据流都发送给同一安全节点,无需跨设备转发流量,提高了安全集群的处理性能。
附图说明
图1为现有的安全集群组网形态示意图;
图2为本申请一实施例提供的提高安全集群处理性能的方法流程图;
图3为本申请一实施例提供的外置控制器的安全集群框架部署拓扑示意图;
图4为本申请另一实施例提供的提高安全集群处理性能的方法流程图;
图5为本申请实施例提供的包含提高安全集群处理性能的装置的控制器的硬件结构示意图;
图6为本申请实施例提供的提高安全集群处理性能的装置的组成示意图。
具体实施方式
申请人对现有安全集群处理机制进行分析发现:安全设备对报文执行安全业务处理都是有状态的,要求对正、反向数据流的处理必须在同一台安全设备上进行,而正、反向数据流都是由核心交换机通过聚合链路分发的,无法保证正、反向数据流能够分发到同一台安全设备,对于这种流量此时需要通过中间的集群链路透传到正确的安全设备上,其中两台不相邻的安全设备之间信息的透传需要跨越中间安全设备。对于安全设备来说,由于安全设备的业务处理大部分都是基于CPU(Central Processing Unit,中央处理单元)软件转发,那么这种不相邻设备之间的信息透传会对中间的安全设备带来额外的性能损耗。
图2为本申请一实施例提供的提高安全集群处理性能的方法流程图,其具体步骤如下:
步骤200:预设一控制器,控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机。
本申请实施例中的“管理链路”专用于控制器与安全节点以及上、下游交换机交互本申请实施例中提到的会话同步相关报文以及流表创建、删除报文,由于控制器与安全节点之间的交互要经过上、下游交换机,因此需要预先通过上、下游交换机在控制器与各安全节点之间建立物理链路作为管理链路,并为控制器以及上、下游交换机以及各安全节点在管理链路上的端口分配IP地址,将控制器的IP地址配置到所有安全节点上,将所有安全节点的IP地址以及上、下游交换机的IP地址配置到控制器上。
对于安全集群内的所有安全节点来说,控制器为外置设备。
所有管理链路在同一管理VLAN(Virtual Local Area Network,虚拟局域网)中。
上、下游交换机可以是两个物理交换机,也可以是虚拟在两个物理主机上的两个虚拟交换机,也可以是虚拟在一个物理主机上的两个虚拟交换机,另外,也存在其它可能,比如一个虚拟交换机和一个物理交换机等。
图3为本申请一实施例提供的外置控制器的安全集群框架部署拓扑示意图。
步骤201:控制器通过安全节点发来的流创建信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息,反向流表中包含上游交换机与该安全节点通信的端口信息。
步骤201之前进一步包括:控制器接收下游交换机通过管理链路重定向给本控制器的数据流的首报文,在安全集群中选择一个安全节点,以便由该安全节点对该首报文执行安全业务处理,并在执行完安全业务处理后向控制器发送上述流创建信息
其中,下游交换机接收到数据流的首报文时,在本地未查找到该首报文对应的流表,则将该首报文发送给控制器。
优选地,控制器接收安全集群中的各安全节点周期性发来的心跳报文,该心跳报文中携带该安全节点的状态信息和负载信息;这样,控制器可以根据各安全节点的状态信息和负载信息,在正常工作的安全节点中选择一个负载最小的安全节点。
正向流表中包括:正向五元组信息、下一跳IP地址、出接口索引,反向流表中包括:反向五元组信息、下一跳IP地址、出接口索引。
其中,正向五元组信息为:下游交换机发来的数据流的首报文中的五元组信息,反向五元组信息,即将该正向五元组信息中的源IP、MAC地址与目的IP、MAC地址互换后得到的五元组信息;生成的两流表中的下一跳IP地址都为安全集群的集群IP地址,正向流表中的出接口索引为:下游交换机上与该安全节点通信的端口的索引,反向流表的出接口索引为:上游交换机上与该安全节点通信的端口的索引。
管理员可以预先将上、下游交换机与安全集群内的各安全节点通信的端口信息配置在控制器上。
步骤202:控制器将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表对应的数据流和反向流表对应的数据流执行安全业务处理。
优选地,当控制器接收到上述安全节点发来的流删除信息时,向下游、上游交换机发送流表删除报文,该删除报文携带需要删除的流表的标识信息如:正、反向五元组信息,以使得:下游、上游交换机删除对应的流表。
图4为本申请另一实施例提供的提高安全集群处理性能的方法流程图,其具体步骤如下:
步骤400:预设一控制器,该控制器位于安全集群外部,该控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机;安全集群内的每个安全节点将本节点的状态信息和负载信息通过心跳报文周期性地同步到控制器。
步骤401:下游交换机接收自身连接的主机发来的会话报文。
步骤402:下游交换机根据该会话报文的五元组信息,在本地查找对应的流表,未查找到,则将该报文通过管理链路发送给控制器。
步骤403:控制器接收该会话报文,根据安全集群中各安全节点的状态信息和负载信息,在正常工作的安全节点中选择出一个负载最小的安全节点,将该会话报文发送给所选的安全节点。
步骤404:所选的安全节点接收控制器发来的会话报文,在自身查找到该报文对应的安全策略,根据该安全策略对该报文执行安全业务处理,处理完毕,根据本地的路由转发表,将该报文转发出去;同时向控制器发送会话创建同步报文,该报文中包含该会话报文的正、反向五元组信息。
本申请实施例中,安全节点与控制器之间交互的同步报文的格式可如表1所示:
表1安全节点与控制器之间交互的同步报文的格式
如表1所示,其中:
1)Sequence Num:用于唯一地标识一次同步,一次同步包括:安全节点向控制器发出一个同步报文,然后,控制器向该安全节点返回一个同步响应报文,该同步报文和该同步响应报文中的Sequence Num相同。
本实施例中,同步报文主要包括:会话创建同步报文、会话删除同步报文。
2)Version:表示同步报文中包含的会话信息采用的协议版本类型,主要包括IPv4和IPv6,对应的Version值可分别为0x4、0x6。
当会话信息采用的协议版本类型不同时,会话信息中的各部分的长度是不同的。例如:当两条会话信息分别采用IPv4、IPv6时,它们包含的源地址和目的地址(分别为IPv4地址、IPv6地址)的长度是不同的。因此,为了使得控制器或安全节点能够准确地解析同步报文中的会话信息的各部分内容,必须在同步报文中包含Version字段。
3)Code:表示同步报文的类型,本实施例中,同步报文主要分为如表2所示的4种:
Code | 说明 |
0x1 | 会话创建同步报文(安全节点发出) |
0x2 | 会话删除同步报文(安全节点发出) |
0x3 | 同步成功报文(控制器发出) |
0x4 | 同步失败报文(控制器发出) |
表2同步报文的类型
4)Protocol:协议类型。
5)初始源IP地址:正向五元组中的源IP地址;
初始目的IP地址:正向五元组中的目的IP地址;
初始源端口号:正向五元组中的源端口号;
初始目的端口号:正向五元组中的目的端口号;
响应源IP地址:反向五元组中的源IP地址;
响应目的IP地址:反向五元组中的目的IP地址;
响应源端口号:反向五元组中的源端口号;
响应目的端口号:反向五元组中的目的端口号。
步骤405:控制器接收该安全节点发来的会话创建同步报文,在本地保存该报文中的正、反向五元组信息,并根据报文中的正向五元组信息生成下发给下游交换机的正向流表,根据报文中的反向五元组信息生成下发给上游交换机的反向流表。
正、反向流表的内容见步骤201。
控制器可通过LLDP(Link Layer Discovery Protocol,链路层发现协议)发现安全集群内的各安全节点与下游、上游交换机之间的网络拓扑结构,从而得知:安全集群内的各安全节点与下游、上游交换机互通的端口。
步骤406:控制器将生成的正向流表通过流表创建报文下发给下游交换机,将生成的反向流表通过流表创建报文发送给上游交换机,下游交换机收到流表创建报文后,在本地保存报文中的正向流表,上游交换机收到流表创建报文后,在本地保存报文中的反向流表。
本申请实施例中,安全集群的上、下游交换机与控制器之间交互的报文的格式可如表3所示:
表3安全集群的上、下游交换机与控制器之间交互的报文的格式
如表3所示,其中:
1)Sequence Num:用于唯一地标识一次请求、响应,同一次请求、响应报文中的Sequence Num相同。
本实施例中,请求报文主要包括:流表创建报文、流表删除报文。
2)Version:表示报文中包含的会话信息采用的协议版本类型,主要包括IPv4和IPv6,对应的Version值可分别为0x4、0x6。
3)Code:表示报文的类型,本实施例中,报文主要分为如表4所示的4种:
Code | 说明 |
0x1 | 流表创建报文(控制器发出) |
0x2 | 流表删除报文(控制器发出) |
0x3 | 操作成功报文(交换机发出) |
0x4 | 操作失败报文(交换机发出) |
表4安全集群的上、下游交换机与控制器之间交互的报文的类型
其中,Code取值为0x3时,表示流表创建或删除成功,Code取值为0x4时,表示流表创建或删除失败。
4)Protocol:协议类型,当数值为0时,表示流表忽略该字段;
源IP地址:流表的源IP地址,当数值为0时,表示流表忽略该字段;
目的IP地址:流表的目的IP地址,当数值为0时,表示流表忽略该字段;
源端口号:流表的源端口号,当数值为0时,表示流表忽略该字段;
目的端口号:流表的目的端口号,当数值为0时,表示流表忽略该字段。
步骤407:此后,当上游交换机接收到上述会话的反向五元组信息对应的会话报文时,根据该报文的五元组信息在本地查找到对应的流表,根据该流表将报文发送给对应的安全节点。
需要说明的是,在流表在交换机上创建失败时,交换机仍可以从安全集群中任意选择一个安全节点,并将数据流传输给选出的安全节点,此时,选出的安全节点可以采用现有的方式,在安全节点之间传递已接收到的数据流,从而保证通过同一个安全节点处理正、反向数据流。
上游交换机查找到的流表中的下一跳为安全集群的IP地址、出接口索引为与步骤403中控制器选择的安全节点通信的端口的索引,这样,上行会话报文就会发往与下行会话报文相同的安全节点。
后续该会话的正向、反向会话报文都会由下游、上游交换机根据各自的流表转发给同一安全节点。
步骤408:当安全节点发现该会话删除时,向控制器发送会话删除同步报文,该报文中携带该会话信息如:正、反向五元组信息。
步骤409:控制器接收该会话删除同步请求报文,删除本地保存的对应会话信息,同时向下游、上游交换机发送流表删除报文,该报文中携带流表的标识信息,如:向下游交换机发送的流表删除报文中携带流表的正向五元组信息、向上游交换机发送的流表删除报文中携带流表的反向五元组信息。
步骤410:下游交换机接收控制器发来的流表删除报文,根据报文中的流表的标识信息,删除本地保存的对应的正向流表,上游交换机接收控制器发来的流表删除报文,根据报文中的流表的标识信息,删除本地保存的对应的反向流表。
本申请实施例中,控制器与下游、上游交换机之间、以及与安全集群内的各安全节点之间可以采用SDN(Software Defined Network,软件定义网络)协议进行通信。
本申请实施例的有益技术效果如下:
本申请实施例中,控制器通过安全节点发来的会话创建信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息、反向流表中包含上游交换机与该安全节点通信的端口信息,将正向流表发给下游交换机、将反向流表发给上游交换机,从而使得下游、上游交换机将正、反向流表对应的数据流都发送给同一安全节点,无需跨设备转发流量,提高了安全集群的处理性能。
本申请实施例提供的控制器是可以软硬件结合的可编程设备,从硬件层面而言,控制器的硬件架构示意图具体可以参见图5。图5为本申请实施例提供的包含提高安全集群处理性能的装置的控制器的硬件结构示意图。该控制器中包括:非易失性存储器、CPU、内存和其它硬件,其中:
非易失性存储器:存储指令代码;所述指令代码被CPU执行时完成的操作主要为内存中的提高安全集群处理性能的装置完成的功能。
CPU:与非易失性存储器通信,读取和执行非易失性存储器中存储的所述指令代码,完成上述提高安全集群处理性能的装置完成的功能。
内存:当非易失性存储器中的所述指令代码被执行时完成的操作主要为内存中的提高安全集群处理性能的装置完成的功能。
从软件层面而言,如图6所示,应用于控制器中的提高安全集群处理性能的装置主要包括以下模块:流表生成模块和流表下发模块,其中:
流表生成模块:通过安全节点发来的流创建信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息、反向流表中包含上游交换机与该安全节点通信的端口信息。
流表下发模块:将流表生成模块生成的正向流表发给下游交换机、将流表生成模块生成的反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表对应的数据流和反向流表对应的数据流执行安全业务处理。
优选地,流表生成模块进一步用于,接收下游交换机通过管理链路重定向给本控制器的数据流的首报文,在安全集群中选择一个安全节点,以便由该安全节点对该首报文执行安全业务处理,并在执行完安全业务处理后向控制器发送所述流创建信息。
优选地,流表生成模块进一步用于,接收安全集群中的各安全节点发来的心跳报文,该心跳报文携带对应安全节点的状态信息和负载信息;
且流表生成模块在安全集群中选择一个安全节点为:根据安全集群中各安全节点的状态信息和负载信息选择一个安全节点。
优选地,上述装置进一步包括:流表删除模块,接收安全节点发来的流删除信息,向创建了该流的上、下游交换机发送流表删除报文,该删除报文携带需要删除的流表的标识信息。
优选地,控制器通过管理链路连接的上游交换机和下游交换机为两个物理交换机,或者,为虚拟在两个物理主机上的两个虚拟交换机,或者,为虚拟在一个物理主机上的两个虚拟交换机,或者,为一个虚拟交换机和一个物理交换机。
上述的提高安全集群处理性能的装置作为一个逻辑意义上的装置,其是通过CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。当对应的计算机程序指令被执行时,形成的提高安全集群处理性能的装置用于按照上述实施例中的提高安全集群处理性能的方法执行相应操作。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种提高安全集群处理性能的方法,其特征在于,控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机,该方法包括:
控制器接收下游交换机通过管理链路重定向给本控制器的数据流的首报文,在安全集群中选择一个安全节点,以便由该安全节点对该首报文执行安全业务处理,并在执行完安全业务处理后向控制器发送会话创建同步报文,该报文中包含该会话报文的正向和反向五元组信息;
控制器通过安全节点发来的正向和反向五元组信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息,反向流表中包含上游交换机与该安全节点通信的端口信息;
控制器将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表对应的数据流和反向流表对应的数据流执行安全业务处理。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述控制器接收安全集群中的各安全节点发来的心跳报文,该心跳报文携带对应安全节点的状态信息和负载信息;
所述控制器在安全集群中选择一个安全节点为:控制器根据安全集群中各安全节点的状态信息和负载信息选择一个安全节点。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述控制器接收安全节点发来的流删除信息,向创建了数据流的上游交换机和下游交换机发送流表删除报文,该删除报文携带需要删除的流表的标识信息。
4.根据权利要求1所述的方法,其特征在于,所述上游交换机和下游交换机为虚拟在一个物理主机上的两个虚拟交换机。
5.一种提高安全集群处理性能的装置,该装置位于安全集群的外置控制器上,其特征在于,控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机,该装置包括:
流表生成模块:接收下游交换机通过管理链路重定向给本控制器的数据流的首报文,在安全集群中选择一个安全节点,以便由该安全节点对该首报文执行安全业务处理,并在执行完安全业务处理后向控制器发送会话创建同步报文,该报文中包含该会话报文的正向和反向五元组信息;通过安全节点发来的正向和反向五元组信息生成正向流表和反向流表,两个流表中的下一跳IP地址为安全集群的IP地址,且正向流表中包含下游交换机与该安全节点通信的端口信息,反向流表包含上游交换机与该安全节点通信的端口信息;
流表下发模块:将正向流表发给下游交换机、将反向流表发给上游交换机,以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点,由该安全节点对正向流表和反向流表对应的数据流执行安全业务处理。
6.根据权利要求5所述的装置,其特征在于,所述流表生成模块进一步用于,
接收安全集群中的各安全节点发来的心跳报文,该心跳报文携带对应安全节点的状态信息和负载信息;
且所述流表生成模块在安全集群中选择一个安全节点为:根据安全集群中各安全节点的状态信息和负载信息选择一个安全节点。
7.根据权利要求5所述的装置,其特征在于,所述装置进一步包括:流表删除模块,接收安全节点发来的流删除信息,向创建了数据流的上、下游交换机发送流表删除报文,该删除报文携带需要删除的流表的标识信息。
8.根据权利要求5所述的装置,其特征在于,所述控制器通过管理链路连接的上游交换机和下游交换机为虚拟在一个物理主机上的两个虚拟交换机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410491349.XA CN105515932B (zh) | 2014-09-24 | 2014-09-24 | 提高安全集群处理性能的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410491349.XA CN105515932B (zh) | 2014-09-24 | 2014-09-24 | 提高安全集群处理性能的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105515932A CN105515932A (zh) | 2016-04-20 |
CN105515932B true CN105515932B (zh) | 2019-01-29 |
Family
ID=55723591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410491349.XA Active CN105515932B (zh) | 2014-09-24 | 2014-09-24 | 提高安全集群处理性能的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105515932B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800626B (zh) * | 2016-08-31 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 数据报文的处理方法、装置及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
US7055173B1 (en) * | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发系统和方法以及安全设备 |
CN103856417A (zh) * | 2012-11-30 | 2014-06-11 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
-
2014
- 2014-09-24 CN CN201410491349.XA patent/CN105515932B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7055173B1 (en) * | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发系统和方法以及安全设备 |
CN103856417A (zh) * | 2012-11-30 | 2014-06-11 | 中兴通讯股份有限公司 | 软件定义网络报文转发方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105515932A (zh) | 2016-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9401928B2 (en) | Data stream security processing method and apparatus | |
US9515868B2 (en) | System and method for communication | |
CN104270298B (zh) | 一种vxlan网络中的报文转发方法及装置 | |
CN103986651B (zh) | 一种软件定义网络控制器及其控制方法 | |
CN104104570B (zh) | Irf系统中的聚合处理方法及装置 | |
CN104639470B (zh) | 流标识封装方法及系统 | |
US9515845B2 (en) | Utility communication method and system | |
CN104243270B (zh) | 一种建立隧道的方法和装置 | |
WO2014136864A1 (ja) | パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム | |
CN103763310A (zh) | 基于虚拟网络的防火墙服务系统及方法 | |
CN106936777A (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
JP5488979B2 (ja) | コンピュータシステム、コントローラ、スイッチ、及び通信方法 | |
EP2911355B1 (en) | Method and device for flow path negotiation in link aggregation group | |
US9900238B2 (en) | Overlay network-based original packet flow mapping apparatus and method therefor | |
CN110324165A (zh) | 网络设备的管理方法、装置及系统 | |
KR20150051107A (ko) | 신속한 경로 설정 및 장애 복구 방법 | |
WO2021082575A1 (zh) | 一种报文转发方法、设备、存储介质及系统 | |
CN105227393B (zh) | 一种双向转发检测方法 | |
CN105791177B (zh) | 在Openflow交换机中实现支持多种工业网络传输协议的方法 | |
CN108471383A (zh) | 报文转发方法、装置和系统 | |
CN107181691B (zh) | 一种网络中实现报文路由的方法、设备和系统 | |
CN104092684B (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
CN105516025B (zh) | 端到端的路径控制和数据传输方法、OpenFlow控制器和交换机 | |
CN103067278B (zh) | 一种数据帧的传输处理方法、设备及系统 | |
CN105637806A (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |