CN106656905B - 防火墙集群实现方法及装置 - Google Patents
防火墙集群实现方法及装置 Download PDFInfo
- Publication number
- CN106656905B CN106656905B CN201510712149.7A CN201510712149A CN106656905B CN 106656905 B CN106656905 B CN 106656905B CN 201510712149 A CN201510712149 A CN 201510712149A CN 106656905 B CN106656905 B CN 106656905B
- Authority
- CN
- China
- Prior art keywords
- flow
- vfw
- node
- vfw node
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出防火墙集群实现方法及装置。应用于包括SDN控制器、一个或多个vFW节点和分流交换机的防火墙集群中,各个vFW节点为所述分流交换机的等价下一跳,方法包括:SDN控制器实时监控防火墙集群中的各vFW节点的负载;当SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点;SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流,更新第一业务流对应的第一流表项,并将更新后的第一流表项下发给分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至新vFW节点。本申请实现了防火墙集群的动态伸缩。
Description
技术领域
本申请涉及防火墙技术领域,尤其涉及防火墙集群实现方法及装置。
背景技术
软件定义网络(Software Defined Network,SDN)是Emulex网络一种新型网络创新架构,其核心技术OpenFlow(开放流)通过将网络设备控制面与数据面分离开来,从而实现网络流量的灵活控制。
SDN架构将控制平面从网络交换机和路由器中的数据平面分离出来,SDN控制器实现网络拓扑的收集、路由的计算、流表的生成及下发、网络的管理与控制等功能,网络层设备仅负责流量的转发及策略的执行。转发与控制分离带来了控制逻辑集中,SDN控制器拥有网络的全局静态拓扑、全网的动态转发表信息、全网络的资源利用率、故障状态等,从而也开放了网络能力,通过集中的SDN控制器实现网络资源的统一管理、整合以及虚拟化后,采用规范化的北向接口为上层应用提供按需的网络资源及服务,实现网络能力开放,按需提供。
NFV(Network Functions Virtualizations,网络功能虚拟化)是ETSI(EuropeanTelecommunication Standards Institute,欧洲电信标准协会)的一个ISG(IndustrySpecification Group,工业规范组)。在NFV方法中,各种网元变成了独立的应用,可以灵活部署在基于标准的服务器、存储器、交换机构建的统一平台上,这样软硬件解耦,每个应用可以通过快速增加或减少虚拟资源来达到快速缩、扩容的目的,大大提升网络的弹性。
NFV的最终目标是,通过基于行业标准的x86服务器、存储器和交换设备,来取代通信网的那些私有专用的网元设备。由此带来的好处是,一方面基于x86标准的IT设备成本低廉,能够为运营商节省巨大的投资成本,另一方面开放的API接口,也能帮助运营商获得更多、更灵活的网络能力。
为了实现上述目标,NFV的技术基础就是目前IT业界的云计算和虚拟化技术,通用的COTS(Commercial Off-The-Shelf,商用现成品)计算/存储/网络硬件设备通过虚拟化技术可以分解为多种虚拟资源,供上层各种应用使用,同时通过虚拟化技术,可以使得应用与硬件解耦,使得资源的供给速度大大提高,从物理硬件的数天缩短到数分钟。
NFV定义的技术架构如图1所示,具体地:
同当前网络架构(独立的业务网络+OSS(Operations Support System,运营支撑系统))相比,NFV从纵向和横向上进行了解构,按照NFV设计,从纵向看分为三层:
1)NFVI(NFV Infrastructure,NFV基础设施)层:从云计算的角度看,NFVI层就是一个资源池。NFVI映射到物理基础设施就是多个地理上分散的数据中心,通过高速通信网连接起来。NFVI需要将物理计算/存储/交换资源通过虚拟化转换为虚拟的计算/存储/交换资源池。
2)虚拟网络层:虚拟网络层对应的就是目前各个电信业务网络,每个物理网元映射为一个虚拟网元(VNF,Virtual Network Function),VNF所需资源需要分解为虚拟的计算/存储/交换资源,由NFVI来承载,VNF之间的接口依然采用传统网络定义的信令接口(3GPP+ITU-T),VNF的业务网管依然采用NE-EMS-NMS(Network Element-network ElementManagement System-Network Management System,网元-网元管理系统-网络管理系统)体制。
3)运营支撑层:运营支撑层就是目前的OSS/BSS(Business Support System,业务支撑系统),需要为虚拟化进行必要的修改和调整。
从横向看,分为两个域:
1)业务网络域:就是目前的各电信业务网络。
2)管理编排域:同传统网络的最大区别就是,NFV增加了一个管理编排(Management&Orchestration,MANO)域,MANO域负责对整个NFVI资源的管理和编排,负责业务网络和NFVI资源的映射和关联,负责OSS业务资源流程的实施等,MANO域内部包括VIM(Virtual Infrastructure Management,虚拟基础设施管理),VNFM(Virtual NetworkFunction Management,虚拟网元管理)和Orchestrator(编排者)三个实体,分别完成对NFVI、VNF和NS(Network Service,业务网络提供的网络服务)三个层次的管理。
按照NFV的技术原理,一个业务网络可以分解为一组VNF和VNF链路(VNFL,VNFLink),表示为VNF-FG(VNF Forwarding Graph,VNF转发图),然后每个VNF可以分解为一组VNFC(VNF Component,VNF组件)和内部连接图,每个VNFC映射为一个VM(Virtual Machine,虚拟机);对于每个VNFL,对应着一个IP连接,需要分配一定的链路资源如:流量、QoS(Quality of Service,服务质量)、路由等参数。
通过这样的编排流程,一个业务网络可以通过MANO域来自顶向下分解,直到可分配的资源,然后对应VM等资源由NFVI来分配,对应VNFL资源需要同承载网网管系统交互,由IP承载网来分配。
NFV是一个宏大的架构,对传统网络部署方式是颠覆性的变化。NFV拓展了运营商基础设施范围,将数据中心设备/承载网设备/虚拟化软件系统/MANO系统均转化为基础设施,业务部署均转化为软件部署,业务网络资源与负荷实时匹配,资源利用效率得到最大提升。
采用NFV架构后,电信网络的自动化管理和敏捷性将大为提升,一个电信设备的部署周期从几个月缩短为几个小时,扩容周期从几周扩展到几分钟,电信网络新业务部署周期将从数月级缩短到数周级,电信运营商将真正具备“大象跳舞”的能力。
目前的防火墙堆叠技术是通过堆叠技术将多台物理防火墙设备进行堆叠后,逻辑上形成一台防火墙设备。图2为四台物理防火墙设备堆叠的示例图。
发明内容
本申请实施例提供防火墙集群实现方法及装置。
本申请的技术方案是这样实现的:
一种防火墙集群实现方法,应用于包括SDN控制器、一个或多个虚拟防火墙vFW节点和分流交换机的防火墙集群中,各个vFW节点为所述分流交换机的等价下一跳,该方法包括:
SDN控制器实时监控防火墙集群中的各vFW节点的负载;
当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点;
所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。
一种防火墙集群实现装置,位于SDN控制器上,所述SDN控制器与一个或多个虚拟防火墙vFW节点以及分流交换机共同组成防火墙集群,且,各个vFW节点为所述分流交换机的等价下一跳,该装置包括:
NFV管理模块:实时监控防火墙集群中的各vFW节点的负载,当检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点;
流管理模块:当有新vFW节点加入防火墙集群时,从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。
可见,本申请实施例中,SDN控制器实时监控防火墙集群中的各vFW节点的负载,当检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点,从所有原vFW节点的业务流中选取待迁移的第一业务流,将第一业务流迁移至新vFW节点,从而实现了防火墙集群的自动扩容。
附图说明
图1为NFV定义的技术架构示意图;
图2为现有的四台物理防火墙设备堆叠的示例图;
图3为本申请一实施例提供的防火墙集群实现方法流程图;
图4为本申请一实施例提供的部署防火墙集群的方法流程图;
图5为本申请实施例部署的防火墙集群的示意图;
图6为本申请一实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时内网到外网的转发方法流程图;
图7为本申请一实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时外网到内网的转发方法流程图;
图8为本申请一实施例提供的实现有NAT业务、有VPN业务的简单三层转发防火墙时内网到外网的转发方法流程图;
图9为本申请一实施例提供的实现有NAT业务、有VPN业务的简单三层转发防火墙时外网到内网的转发方法流程图;
图10为本申请实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时的扩容方法流程图;
图11为本申请实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时的缩容方法流程图;
图12为本申请实施例提供的防火墙集群实现装置的组成示意图。
具体实施方式
申请人对现有的通过堆叠构建逻辑防火墙设备的方法进行分析,发现存在如下问题:
1)通过物理防火墙设备进行部署,因此需要提前考虑防火墙设备的台数及机房空间。也就是说,固定的设备意味着固定的机房空间、能耗,无法根据现网流量大小做调整,例如:极端情况下,部署了4台物理防火墙设备而实际1台物理防火墙设备已足够满足性能需要,这样就浪费了物理防火墙设备资源。
2)通过增、删物理防火墙设备,可达到分布式处理性能的提升/下降,但是调整过程可能会对网络业务造成影响。
具体地,在增加、删除堆叠成员过程中,必须要修改现有配置,例如:增加、删除堆叠口的相关配置,成员加入、退出等可能会涉及多台设备重启甚至重新选出新的主设备,导致需要进行大量的配置平滑等过程,均会影响现网的业务流量。
图3为本申请一实施例提供的防火墙集群实现方法流程图,其具体步骤如下:
步骤301:SDN控制器实时监控防火墙集群中的各vFW(Virtual FireWall,虚拟防火墙)节点的负载,其中,防火墙集群包括:SDN控制器、一个或多个vFW节点和分流交换机,各个vFW节点为所述分流交换机的等价下一跳。
步骤302:当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点。
步骤303:所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。
一种实施例中,步骤303中,所述更新所述第一业务流对应的第一流表项之前,该方法还包括:
所述SDN控制器将所述第一业务流的标识及新vFW节点标识通知给所述所有原vFW节点;
所述SDN控制器接收所述原vFW节点发送的第一通知消息,所述第一通知消息为所述原vFW节点将所述第一业务流对应的会话信息同步至所述新vFW节点后发送。
一种实施例中,步骤303中,所述更新所述第一业务流的对应的第一流表项,包括:
将所述第一流表项的下一跳更新为所述新vFW节点。
一种实施例中,步骤301中,所述SDN控制器实时监控防火墙集群中的各vFW节点的负载进一步包括:
当所述SDN控制器检测到一个或多个vFW节点的负载低于预设第二阈值时,从所述低于预设第二阈值的vFW节点中选择待退出的vFW节点,将所述待退出的vFW节点上的第二业务流确定为待迁移的业务流,并确定所述第二业务流迁移的目的vFW节点;
所述SDN控制器更新所述第二业务流对应的第二流表项,并将更新后的第二流表项下发给所述分流交换机,所述更新后的第二流表项用于指示所述分流交换机将接收的所述第二业务流发送至所述目的vFW节点。
一种实施例中,更新所述第二业务流对应的第二流表项之前,该方法还包括:
所述SDN控制器将所述第二业务流的标识和所述目的vFW节点标识通知给所述待退出的vFW节点;
所述SDN控制器接收所述待退出的vFW节点发送的第二通知消息,所述第二通知消息为所述待退出的vFW节点将所述第二业务流对应的会话信息同步至所述目的vFW节点后发送。
一种实施例中,所述更新所述第二业务流对应的第二流表项,包括:
将所述第二流表项的下一跳更新为所述目的vFW节点。
一种实施例中,各vFW节点不具备NAT业务和VPN业务功能时,所述方法进一步包括:
当接收到分流交换机发来的业务流的报文时,所述SDN控制器通过HASH算法从所述各vFW节点中选择一个vFW节点并通知给所述分流交换机,以使所述分流交换机将该业务流的报文转发至选择的vFW节点。
一种实施例中,各vFW节点具备NAT业务和VPN业务功能,所述方法进一步包括:
所述SDN控制器将NAT地址池中的NAT地址分配给各vFW节点;
当接收到分流交换机发来的业务流报文时,所述SDN控制器从所述报文中解析出VPN报文,根据所述VPN报文的目的地址查找对应的vFW节点,所述目的地址为NAT地址,并生成相应的流表项下发给所述分流交换机,所述生成的流表项指示所述分流交换机将所述VPN报文转发至所述查找到的vFW节点。
图4为本申请一实施例提供的部署防火墙集群的方法流程图,其具体步骤如下:
步骤401:在防火墙集群所在网络中部署SDN Controller,SDN Controller使能Flow Manager(流管理者)和NFV Manager(NFV管理者)功能。
步骤402:NFV Manager根据配置的防火墙集群的性能要求,采用NFV技术创建多个vFW(虚拟防火墙)节点,其中,每个vFW节点的上行口和下行口均绑定在分流交换机上,各个vFW节点为分流交换机的等价下一跳,且分流交换机使能SDN网络设备功能。
其中,配置的防火墙集群的性能要求例如:配置防火墙集群所需的vFW节点的数目,此时,NFV Manager直接采用NFV技术部署相应数目的vFW节点。
SDN网络设备功能如:OpenFlow流转发功能。
图5为本申请实施例部署的防火墙集群的示意图。
本申请实施例中,按照防火墙集群提供的业务,其功能可划分为两类:
一、无NAT业务、无VPN业务的简单三层转发防火墙;
无NAT业务、无VPN业务的防火墙,主要处理防火墙攻击防范、域间策略等业务,在转发上要求分流交换机能够将同一条流的双向流量均转发至同一个vFW节点即可。
二、有NAT业务、有VPN业务的三层转发防火墙。
有NAT业务、有VPN业务的防火墙,需要将NAT业务、VPN业务划分到各个vFW节点上。
图6为本申请一实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时内网到外网的转发方法流程图,其具体步骤如下:
步骤600:防火墙集群中的每个vFW节点通过ECMP(Equal-Cost Multi-Pathrouting,等价多路径路由)技术将自身的上、下行方向的路由发布到分流交换机,分流交换机接收各vFW节点发来的上、下行方向的路由,将各vFW节点为本交换机的上、下行方向的等价下一跳的信息上送至SDN Controller。
即,对于分流交换机来说,无论是收到上行方向的业务流还是下行方向的业务流,都要将该业务流首先发送给防火墙集群,防火墙集群中的各个vFW节点为分流交换机的上、下行方向的路由的等价下一跳。
步骤601:分流交换机接收来自内网的业务流报文,报文的源IP地址为IP_A,目的IP地址为IP_B,分流交换机根据报文的目的IP地址,在自身查找对应的流表项,未查找到,则将该报文封装到Packet in报文中发送给SDN Controller。
其中,Packet in报文的源地址为分流交换机的地址,目的地址为SDN Controller的地址。
步骤602:SDN Controller接收该Packet in报文,发现报文的源地址为分流交换机的地址,且根据自身记录的防火墙集群的各vFW节点为该分流交换机的上、下行方向的等价下一跳的信息,确认该分流交换机存在等价下一跳,则从Packet in报文中解析出原始业务流报文,根据预设HASH算法,对“IP_A、IP_B、防火墙集群中的vFW节点数目”进行HASH运算,将HASH运算结果映射到防火墙集群中的一vFW节点上,将该vFW节点作为该业务流报文的下一跳,并为该业务流报文生成流表项,将该流表项封装到Packet out报文中发送给该分流交换机。
其中,HASH算法中的两个关键参数:IP_A、IP_B为按序填入。
流表项的内容包括:业务流报文的目的IP地址(即IP_B)以及下一跳信息。
步骤603:分流交换机接收该Packet out报文,解析出并保存SDN Controller下发的流表项,根据该流表项中的下一跳,将上述业务流报文发送给对应的vFW节点。
步骤604:vFW节点接收该业务流报文,对该报文进行防火墙业务处理,生成对应的会话信息,且若该报文未被过滤掉,则将该报文回送到该分流交换机。
会话信息包括:报文的源IP地址、源IP端口号、目的IP地址、目的IP端口号、协议号、状态等信息。
步骤605:分流交换机接收vFW节点发回的业务流报文,将该报文转发至外网。
图7为本申请一实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时外网到内网的转发方法流程图,其具体步骤如下:
步骤700:防火墙集群中的每个vFW节点通过ECMP技术将自身的上、下行方向的路由发布到分流交换机,分流交换机接收各vFW节点发来的上、下行方向的路由,将各vFW节点为本交换机的上、下行方向的等价下一跳的信息上送至SDN Controller。
步骤701:分流交换机接收来自外网的业务流报文,报文的源IP地址为IP_B,目的IP地址为IP_A,分流交换机根据报文的目的IP地址,在自身查找对应的流表项,未查找到,则将该报文封装到Packet in报文中发送给SDN Controller。
步骤702:SDN Controller接收该Packet in报文,发现报文的源地址为分流交换机的地址,且根据自身记录的防火墙集群的各vFW节点为该分流交换机的上、下行方向的等价下一跳的信息,确认该分流交换机存在等价下一跳,则从Packet in报文中解析出原始业务流报文,根据预设HASH算法,对“IP_A、IP_B、防火墙集群中的vFW节点数目”进行HASH运算,将HASH运算结果映射到防火墙集群中的一vFW节点上,将该vFW节点作为该业务流报文的下一跳,并为该业务流报文生成流表项,将该流表项封装到Packet out报文中发送给该分流交换机。
其中,HASH算法中的两个关键参数:IP_A、IP_B为按序填入。
可以看出,本步骤702中的HASH运算与步骤602中的HASH运算完全相同,这样,该两个步骤的HASH运算结果相同,从而保证了同一业务流的正、反向报文能够被转发到同一vFW节点上。
步骤703:分流交换机接收该Packet out报文,解析出并保存SDN Controller下发的流表项,根据该流表项中的下一跳,将上述业务流报文发送给对应的vFW节点。
步骤704:vFW节点接收该业务流报文,对该报文进行防火墙业务处理,生成对应的会话信息,且若该报文未被过滤掉,则将该报文回送到该分流交换机。
步骤705:分流交换机接收vFW节点发回的业务流报文,将该报文转发至外网。
图8为本申请一实施例提供的实现有NAT业务、有VPN业务的简单三层转发防火墙时内网到外网的转发方法流程图,其具体步骤如下:
步骤800:预先在防火墙集群中的各vFW节点与该vFW节点对应的外网合作伙伴间建立VPN隧道。
一个合作伙伴指的是外网中的一个VPN。
具体地,每个vFW节点与哪个或哪些合作伙伴建立VPN隧道,可手工指定,通常,vFW节点的性能越高,其所能建立的VPN隧道越多。其中,一个合作伙伴只能与一个vFW节点建立VPN隧道。
步骤801:预先在SDN Controller上配置NAT地址池,SDN Controller的NFVManager将NAT地址池划分给防火墙集群中的各vFW节点,将分配的NAT地址池下发到对应的vFW节点,根据为各vFW节点分配的NAT地址池,配置PBR(Policy Basic Routing,基于策略的路由)。
在将NAT地址池划分给防火墙集群中的各vFW节点时,具体可根据各vFW节点的性能进行划分,性能越高的vFW节点,所划分到的NAT地址池中的NAT地址越多。
PBR包括NAT地址以及该NAT地址对应的下一跳信息,其中NAT地址对应的下一跳即该NAT地址被划分到的vFW节点。
步骤802:分流交换机接收内网发来的业务流报文,报文的源IP地址为IP_A,目的IP地址为IP_NAT_B,分流交换机根据报文的目的IP地址,在自身查找对应的流表项,未查找到,则将该报文封装到Packet in报文中发送给SDN Controller。
其中,IP_NAT_B为对IP_B进行NAT后得到的地址。
步骤803:SDN Controller的Flow Manager接收该Packet in报文,从报文中解析出原始业务流报文,向NFV Manger查询报文的目的IP地址IP_NAT_B对应的下一跳,为该业务流报文生成流表项,将该流表项封装到Packet Out报文中发送给分流交换机。
当Flow Manager接收该Packet in报文向NFV Manger查询报文的目的IP地址IP_NAT_B对应的下一跳时,NFV Manager在自身配置的PBR中查找到IP_NAT_B对应的下一跳,该下一跳指向一个vFW节点。
步骤804:分流交换机接收该Packet out报文,从该报文中解析出并保存流表项,根据该流表项中的下一跳,将该报文发送给对应的vFW节点。
步骤805:vFW节点接收该业务流报文,根据自身的NAT地址池,对报文进行NAT处理,并对报文进行防火墙处理,若报文未被过滤掉,则对报文进行VPN隧道封装,将封装后的报文回送至分流交换机。
步骤806:分流交换机接收vFW节点发回的报文,将该报文转发至外网。
图9为本申请一实施例提供的实现有NAT业务、有VPN业务的简单三层转发防火墙时外网到内网的转发方法流程图,其具体步骤如下:
步骤900:预先在防火墙集群中的各vFW节点与该vFW节点对应的外网合作伙伴间建立VPN隧道。
一个合作伙伴指的是外网中的一个VPN。
具体地,每个vFW节点与哪个或哪些合作伙伴建立VPN隧道,可手工指定,通常,vFW节点的性能越高,其所能建立的VPN隧道越多。其中,一个合作伙伴只能与一个vFW节点建立VPN隧道。
步骤901:预先在SDN Controller上配置NAT地址池,SDN Controller的NFVManager将NAT地址池划分给防火墙集群中的各vFW节点,将分配的NAT地址池下发到对应的vFW节点,根据为各vFW节点分配的NAT地址池,配置PBR。
在将NAT地址池划分给防火墙集群中的各vFW节点时,具体可根据各vFW节点的性能进行划分,性能越高的vFW节点,所划分到的NAT地址池中的NAT地址越多。
PBR包括NAT地址以及该NAT地址对应的下一跳信息,其中NAT地址对应的下一跳即该NAT地址被划分到的vFW节点。
步骤902:外网的合作伙伴发出访问内网的业务流报文,报文的源IP地址为IP_B,目的地址为IP_NAT_A,该报文到达外网的VPN网关,VPN网关对该报文进行VPN隧道封装,之后该经VPN隧道封装的业务流报文(简称VPN报文)到达分流交换机,分流交换机根据报文的目的IP地址,在自身查找对应的流表项,未查找到,则将该报文封装到Packet in报文中发送给SDN Controller。
其中,IP_NAT_A为NAT地址,即IP_A经NAT后得到的IP地址。
步骤903:SDN Controller的Flow Manager接收该Packet in报文,从报文中解析出VPN报文,向NFV Manger查询该VPN报文的目的IP地址IP_NAT_A对应的下一跳,生成流表项,将该流表项封装到Packet Out报文中发送给分流交换机。
步骤904:分流交换机接收该Packet out报文,从该报文中解析出并保存流表项,根据该流表项中的下一跳,将该VPN报文发送给对应的vFW节点。
步骤905:vFW节点接收该VPN报文,对该VPN报文进行VPN隧道解封装,得到原始业务流报文,对原始业务流报文进行NAT处理,并对该业务流报文进行防火墙处理,若该业务流报文未被过滤掉,则将该业务流报文回送到分流交换机。
步骤906:分流交换机接收该业务流报文,将该报文转发至内网。
图10为本申请实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时的扩容方法流程图,其具体步骤如下:
步骤1001:SDN Controller的NFV Manager实时监控防火墙集群中的各vFW节点的负载。
具体地,监控vFW节点的负载可通过监控vFW节点的CPU、内存、带宽、连接数之一或任意组合来实现。
步骤1002:SDN Controller的NFV Manager检测到一个或多个vFW节点的负载高于预设第一阈值时,采用NFV技术创建新的vFW节点,并将新的vFW节点加入防火墙集群。
步骤1003:SDN Controller的Flow Manager根据预设业务流迁移规则,确定从防火墙集群中的原vFW节点上迁移至新vFW节点上的业务流(即第一业务流),将需要迁移的业务流的标识(例如:源IP地址+目的IP地址)及新vFW节点标识通知业务流所在的原vFW节点。
业务流迁移规则可以根据需要设定,例如:可以按照预设Hash算法,在各原vFW节点上选择需要迁移的业务流。
步骤1004:原vFW节点根据SDN Controller发来的需要迁移的业务流的标识,将对应业务流的会话信息同步至新vFW节点,同步完成后,向SDN Controller发送会话同步完成通知消息(即第一通知消息)。
步骤1005:SDN Controller的Flow Manager收到所有需要迁移业务流的原vFW节点发来的会话同步完成通知消息,更新需要迁移的业务流的流表项,将更新后的流表项下发给分流交换机。
更新需要迁移的业务流的流表项即,将需要迁移的业务流的流表项的下一跳更改为新vFW节点。这样,此后,分流交换机接收到对应业务流时,就可直接将业务流发往新vFW节点。
图11为本申请实施例提供的实现无NAT业务、无VPN业务的简单三层转发防火墙时的缩容方法流程图,其具体步骤如下:
步骤1101:SDN Controller的NFV Manager实时监控防火墙集群中的各vFW节点的负载。
具体地,监控vFW节点的负载可通过监控vFW节点的CPU、内存、带宽、连接数之一或任意组合来实现。
步骤1102:SDN Controller的NFV Manager检测到一个或多个vFW节点的负载低于预设第二阈值时,从低于预设第二阈值的vFW节点中选择一个vFW节点作为待退出的vFW节点。
通常,选择负载最低的vFW节点作为要退出的vFW节点。
步骤1103:SDN Controller的Flow Manager确定将待退出的vFW节点的业务流(即第二业务流)迁移到防火墙集群中的其它vFW节点(即目的vFW节点)上,将各业务流的标识及该业务流要迁移到的目的vFW节点标识发送给待退出的vFW节点。
可以按照预设HASH算法,从防火墙集群中除待退出vFW节点之外的剩余vFW节点中选择上述的目的vFW节点。
步骤1104:待退出的vFW节点根据SDN Controller发来的各业务流的标识及该业务流要迁移到的目的vFW节点标识,将各业务流的会话信息同步至对应的目的vFW节点,同步完成后,向SDN Controller发送会话同步完成通知消息(即第二通知消息)。
步骤1105:SDN Controller的Flow Manager收到待退出的vFW节点发来的会话同步完成通知消息,更新需要迁移的业务流的流表项,将更新后的流表项下发给分流交换机。
更新需要迁移的业务流的流表项即,将需要迁移的业务流的流表项的下一跳更改为要迁移到的目的vFW节点。
本申请实施例带来的有益技术效果如下:
一)采用NFV技术创建vFW节点,从而实现了防火墙集群的自动部署;同时,通过通过将vFW节点的上、下行口均绑定在SDN网络设备上,使得各vFW节点作为SDN网络设备的上、下行的等价下一跳,从而使得上、下行流量能均匀地被SDN网络设备转发到各vFW节点上。
二)实时监控vFW节点的负载,当一个或多个vFW节点的负载高于预设第一阈值后,创建新的vFW节点并加入防火墙集群;当一个或多个vFW的负载低于预设第二阈值时,选择一个vFW节点退出防火墙集群,实现了防火墙集群的自动、动态伸缩。
图12为本申请实施例提供的防火墙集群实现装置的组成示意图,该装置位于SDNController上,SDN Controller与一个或多个vFW节点以及分流交换机共同组成防火墙集群,且,各个vFW节点为所述分流交换机的等价下一跳,该装置主要包括:NFV管理模块和流管理模块,其中:
NFV管理模块:实时监控防火墙集群中的各vFW节点的负载,当检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点。
流管理模块:当有新vFW节点加入防火墙集群时,从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。
一种实施例中,流管理模块更新所述第一业务流对应的第一流表项之前,还用于:
将所述第一业务流的标识及新vFW节点标识通知给所述所有原vFW节点,接收所述原vFW节点发送的第一通知消息,所述第一通知消息为所述原vFW节点将所述第一业务流对应的会话信息同步至所述新vFW节点后发送。
一种实施例中,流管理模块更新所述第一业务流的对应的第一流表项,包括:
将所述第一流表项的下一跳更新为所述新vFW节点。
NFV管理模块进一步用于,当检测到一个或多个vFW节点的负载低于预设第二阈值时,选择待退出的vFW节点;
且,流管理模块进一步用于,当有vFW节点待退出防火墙集群时,将所述待退出的vFW节点上的第二业务流确定为待迁移的业务流,并确定所述第二业务流迁移的目的vFW节点;更新所述第二业务流对应的第二流表项,并将更新后的第二流表项下发给所述分流交换机,所述更新后的第二流表项用于指示所述分流交换机将接收的所述第二业务流发送至所述目的vFW节点。
一种实施例中,流管理模块更新所述第二业务流对应的第二流表项之前,还用于:
将所述第二业务流的标识和所述目的vFW节点标识通知给所述待退出的vFW节点;接收所述待退出的vFW节点发送的第二通知消息,所述第二通知消息为所述待退出的vFW节点将所述第二业务流对应的会话信息同步至所述目的vFW节点后发送。
一种实施例中,流管理模块更新所述第二业务流对应的第二流表项,包括:
将所述第二流表项的下一跳更新为所述目的vFW节点。
一种实施例中,各vFW节点不具备NAT业务和VPN业务功能时,流管理模块进一步用于,
当接收到分流交换机发来的业务流的报文时,通过HASH算法从所述各vFW节点中选择一个vFW节点并通知给所述分流交换机,以使所述分流交换机将该业务流的报文转发至选择的vFW节点。
一种实施例中,各vFW节点具备NAT业务和VPN业务功能时,
NFV管理模块进一步用于,将NAT地址池中的NAT地址分配给各vFW节点;
流管理模块进一步用于,当接收到分流交换机发来的业务流报文时,从所述报文中解析出VPN报文,根据所述VPN报文的目的地址查找对应的vFW节点,所述目的地址为NAT地址,并生成相应的流表项下发给所述分流交换机,所述生成的流表项指示所述分流交换机将所述VPN报文转发至所述查找到的vFW节点。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种防火墙集群实现方法,其特征在于,应用于包括软件定义网络SDN控制器、一个或多个虚拟防火墙vFW节点和分流交换机的防火墙集群中,各个vFW节点为所述分流交换机的等价下一跳,该方法包括:
SDN控制器实时监控防火墙集群中的各vFW节点的负载;
当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点;
所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点;
所述SDN控制器实时监控防火墙集群中的各vFW节点的负载进一步包括:
当所述SDN控制器检测到一个或多个vFW节点的负载低于预设第二阈值时,从所述低于预设第二阈值的vFW节点中选择待退出的vFW节点,将所述待退出的vFW节点上的第二业务流确定为待迁移的业务流,并确定所述第二业务流迁移的目的vFW节点;
所述SDN控制器更新所述第二业务流对应的第二流表项,并将更新后的第二流表项下发给所述分流交换机,所述更新后的第二流表项用于指示所述分流交换机将接收的所述第二业务流发送至所述目的vFW节点。
2.根据权利要求1所述的方法,其特征在于,所述更新所述第一业务流对应的第一流表项之前,该方法还包括:
所述SDN控制器将所述第一业务流的标识及新vFW节点标识通知给所述所有原vFW节点;
所述SDN控制器接收所述原vFW节点发送的第一通知消息,所述第一通知消息为所述原vFW节点将所述第一业务流对应的会话信息同步至所述新vFW节点后发送。
3.根据权利要求1所述的方法,其特征在于,所述更新所述第一业务流的对应的第一流表项,包括:
将所述第一流表项的下一跳更新为所述新vFW节点。
4.根据权利要求1所述的方法,其特征在于,更新所述第二业务流对应的第二流表项之前,该方法还包括:
所述SDN控制器将所述第二业务流的标识和所述目的vFW节点标识通知给所述待退出的vFW节点;
所述SDN控制器接收所述待退出的vFW节点发送的第二通知消息,所述第二通知消息为所述待退出的vFW节点将所述第二业务流对应的会话信息同步至所述目的vFW节点后发送。
5.根据权利要求1所述的方法,其特征在于,所述更新所述第二业务流对应的第二流表项,包括:
将所述第二流表项的下一跳更新为所述目的vFW节点。
6.根据权利要求1所述的方法,其特征在于,各vFW节点不具备NAT业务和VPN业务功能时,所述方法进一步包括:
当接收到分流交换机发来的业务流的报文时,所述SDN控制器通过HASH算法从所述各vFW节点中选择一个vFW节点并通知给所述分流交换机,以使所述分流交换机将该业务流的报文转发至选择的vFW节点。
7.根据权利要求1所述的方法,其特征在于,各vFW节点具备NAT业务和VPN业务功能时,所述方法进一步包括:
所述SDN控制器将NAT地址池中的NAT地址分配给各vFW节点;
当接收到分流交换机发来的业务流报文时,所述SDN控制器从所述报文中解析出VPN报文,根据所述VPN报文的目的地址查找对应的vFW节点,所述目的地址为NAT地址,并生成相应的流表项下发给所述分流交换机,所述生成的流表项指示所述分流交换机将所述VPN报文转发至所述查找到的vFW节点。
8.一种防火墙集群实现装置,位于软件定义网络SDN控制器上,其特征在于,所述SDN控制器与一个或多个虚拟防火墙vFW节点以及分流交换机共同组成防火墙集群,且,各个vFW节点为所述分流交换机的等价下一跳,该装置包括:
网络功能虚拟化NFV管理模块:实时监控防火墙集群中的各vFW节点的负载,当检测到一个或多个vFW节点的负载高于预设第一阈值时,创建新vFW节点;
流管理模块:当有新vFW节点加入防火墙集群时,从所有原vFW节点的业务流中选取待迁移的第一业务流,更新所述第一业务流对应的第一流表项,并将更新后的第一流表项下发给所述分流交换机,所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点;
所述NFV管理模块进一步用于,当检测到一个或多个vFW节点的负载低于预设第二阈值时,从所述低于预设第二阈值的vFW节点中选择待退出的vFW节点;
且,所述流管理模块进一步用于,当有vFW节点待退出防火墙集群时,将所述待退出的vFW节点上的第二业务流确定为待迁移的业务流,并确定所述第二业务流迁移的目的vFW节点;更新所述第二业务流对应的第二流表项,并将更新后的第二流表项下发给所述分流交换机,所述更新后的第二流表项用于指示所述分流交换机将接收的所述第二业务流发送至所述目的vFW节点。
9.根据权利要求8所述的装置,其特征在于,所述流管理模块更新所述第一业务流对应的第一流表项之前,还用于:
将所述第一业务流的标识及新vFW节点标识通知给所述所有原vFW节点,接收所述原vFW节点发送的第一通知消息,所述第一通知消息为所述原vFW节点将所述第一业务流对应的会话信息同步至所述新vFW节点后发送。
10.根据权利要求8所述的装置,其特征在于,所述流管理模块更新所述第一业务流的对应的第一流表项,包括:
将所述第一流表项的下一跳更新为所述新vFW节点。
11.根据权利要求8所述的装置,其特征在于,所述流管理模块更新所述第二业务流对应的第二流表项之前,还用于:
将所述第二业务流的标识和所述目的vFW节点标识通知给所述待退出的vFW节点;接收所述待退出的vFW节点发送的第二通知消息,所述第二通知消息为所述待退出的vFW节点将所述第二业务流对应的会话信息同步至所述目的vFW节点后发送。
12.根据权利要求8所述的装置,其特征在于,所述流管理模块更新所述第二业务流对应的第二流表项,包括:
将所述第二流表项的下一跳更新为所述目的vFW节点。
13.根据权利要求8所述的装置,其特征在于,各vFW节点不具备NAT业务和VPN业务功能时,所述流管理模块进一步用于,
当接收到分流交换机发来的业务流的报文时,通过HASH算法从所述各vFW节点中选择一个vFW节点并通知给所述分流交换机,以使所述分流交换机将该业务流的报文转发至选择的vFW节点。
14.根据权利要求8所述的装置,其特征在于,各vFW节点具备NAT业务和VPN业务功能时,
所述NFV管理模块进一步用于,将NAT地址池中的NAT地址分配给各vFW节点;
所述流管理模块进一步用于,当接收到分流交换机发来的业务流报文时,从所述报文中解析出VPN报文,根据所述VPN报文的目的地址查找对应的vFW节点,所述目的地址为NAT地址,并生成相应的流表项下发给所述分流交换机,所述生成的流表项指示所述分流交换机将所述VPN报文转发至所述查找到的vFW节点。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510712149.7A CN106656905B (zh) | 2015-10-28 | 2015-10-28 | 防火墙集群实现方法及装置 |
PCT/CN2016/103665 WO2017071624A1 (zh) | 2015-10-28 | 2016-10-28 | 防火墙集群 |
US15/768,454 US10715490B2 (en) | 2015-10-28 | 2016-10-28 | Firewall cluster |
EP16859059.4A EP3358807B1 (en) | 2015-10-28 | 2016-10-28 | Firewall cluster |
JP2018521874A JP6619096B2 (ja) | 2015-10-28 | 2016-10-28 | ファイアウォールクラスタ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510712149.7A CN106656905B (zh) | 2015-10-28 | 2015-10-28 | 防火墙集群实现方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106656905A CN106656905A (zh) | 2017-05-10 |
CN106656905B true CN106656905B (zh) | 2020-02-21 |
Family
ID=58631297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510712149.7A Active CN106656905B (zh) | 2015-10-28 | 2015-10-28 | 防火墙集群实现方法及装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10715490B2 (zh) |
EP (1) | EP3358807B1 (zh) |
JP (1) | JP6619096B2 (zh) |
CN (1) | CN106656905B (zh) |
WO (1) | WO2017071624A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107193638A (zh) * | 2017-05-30 | 2017-09-22 | 南京邮电大学 | 一种基于多维环境感知的网络功能快速自适应迁移方法 |
CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
CN107547551B (zh) * | 2017-09-06 | 2020-09-25 | 新华三信息安全技术有限公司 | 报文过滤方法、装置、设备及存储介质 |
CN109525497B (zh) * | 2017-09-18 | 2021-08-03 | 华为技术有限公司 | 一种流量分组方法、数据中心网络系统以及控制器 |
CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
CN110324165B (zh) * | 2018-03-30 | 2021-05-11 | 华为技术有限公司 | 网络设备的管理方法、装置及系统 |
US10999251B2 (en) | 2018-09-28 | 2021-05-04 | Juniper Networks, Inc. | Intent-based policy generation for virtual networks |
CN111224821B (zh) * | 2019-12-31 | 2022-12-09 | 北京山石网科信息技术有限公司 | 安全服务部署系统、方法及装置 |
CN112671669A (zh) * | 2020-12-24 | 2021-04-16 | 浪潮云信息技术股份公司 | 一种基于OpenFlow虚拟化网络Qos的实现方法及系统 |
US11870642B2 (en) | 2021-10-04 | 2024-01-09 | Juniper Networks, Inc. | Network policy generation for continuous deployment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491129A (zh) * | 2013-07-05 | 2014-01-01 | 华为技术有限公司 | 一种业务节点配置方法、业务节点池注册器及系统 |
WO2014091431A1 (en) * | 2012-12-11 | 2014-06-19 | Telefonaktiebolaget L M Ericsson (Publ) | Hybrid firewall for data center security |
CN104468353A (zh) * | 2014-12-26 | 2015-03-25 | 深圳市新格林耐特通信技术有限公司 | 基于sdn的数据中心网络流量管理方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011159247A (ja) * | 2010-02-04 | 2011-08-18 | Nec Corp | ネットワークシステム、コントローラ、ネットワーク制御方法 |
JP2012037935A (ja) | 2010-08-03 | 2012-02-23 | Fujitsu Ltd | 情報処理装置 |
US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
JP5910811B2 (ja) * | 2011-07-27 | 2016-04-27 | 日本電気株式会社 | スイッチ装置の制御システム、その構成制御装置および構成制御方法 |
US9088584B2 (en) * | 2011-12-16 | 2015-07-21 | Cisco Technology, Inc. | System and method for non-disruptive management of servers in a network environment |
JP5682070B2 (ja) * | 2012-02-28 | 2015-03-11 | 日本電信電話株式会社 | 統合制御装置及び統合制御方法 |
US10333827B2 (en) * | 2012-04-11 | 2019-06-25 | Varmour Networks, Inc. | Adaptive session forwarding following virtual machine migration detection |
US9934059B2 (en) * | 2013-04-12 | 2018-04-03 | Wsou Investments, Llc | Flow migration between virtual network appliances in a cloud computing network |
EP3089032A4 (en) * | 2013-12-27 | 2017-01-18 | NTT Docomo, Inc. | Management system, overall management node, and management method |
CN104869065B (zh) * | 2014-02-26 | 2020-04-21 | 中兴通讯股份有限公司 | 数据报文处理方法及装置 |
US9882814B2 (en) * | 2014-09-25 | 2018-01-30 | Intel Corporation | Technologies for bridging between coarse-grained and fine-grained load balancing |
CN104378299B (zh) | 2014-11-20 | 2017-10-17 | 新华三技术有限公司 | 流表项处理方法以及装置 |
EP3240248B1 (en) * | 2014-12-24 | 2023-12-06 | NTT Communications Corporation | Load balancer, load balancing method and program |
US9807016B1 (en) * | 2015-09-29 | 2017-10-31 | Juniper Networks, Inc. | Reducing service disruption using multiple virtual IP addresses for a service load balancer |
-
2015
- 2015-10-28 CN CN201510712149.7A patent/CN106656905B/zh active Active
-
2016
- 2016-10-28 US US15/768,454 patent/US10715490B2/en active Active
- 2016-10-28 WO PCT/CN2016/103665 patent/WO2017071624A1/zh active Application Filing
- 2016-10-28 JP JP2018521874A patent/JP6619096B2/ja active Active
- 2016-10-28 EP EP16859059.4A patent/EP3358807B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014091431A1 (en) * | 2012-12-11 | 2014-06-19 | Telefonaktiebolaget L M Ericsson (Publ) | Hybrid firewall for data center security |
CN103491129A (zh) * | 2013-07-05 | 2014-01-01 | 华为技术有限公司 | 一种业务节点配置方法、业务节点池注册器及系统 |
CN104468353A (zh) * | 2014-12-26 | 2015-03-25 | 深圳市新格林耐特通信技术有限公司 | 基于sdn的数据中心网络流量管理方法 |
Also Published As
Publication number | Publication date |
---|---|
US10715490B2 (en) | 2020-07-14 |
EP3358807A4 (en) | 2018-10-03 |
CN106656905A (zh) | 2017-05-10 |
EP3358807B1 (en) | 2020-07-15 |
US20180302371A1 (en) | 2018-10-18 |
EP3358807A1 (en) | 2018-08-08 |
WO2017071624A1 (zh) | 2017-05-04 |
JP2018536345A (ja) | 2018-12-06 |
JP6619096B2 (ja) | 2019-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106656905B (zh) | 防火墙集群实现方法及装置 | |
US11095558B2 (en) | ASIC for routing a packet | |
Tuysuz et al. | A survey on energy efficiency in software defined networks | |
US9065768B2 (en) | Apparatus for a high performance and highly available multi-controllers in a single SDN/OpenFlow network | |
KR101989333B1 (ko) | 소프트웨어 정의 네트워킹에서의 데이터 전달 방법, 기기 및 시스템 | |
US10263848B2 (en) | Compiler for and method for software defined networks | |
US10880124B2 (en) | Offload controller control of programmable switch | |
US11258635B2 (en) | Overlay network routing using a programmable switch | |
CN109660442B (zh) | Overlay网络中组播复制的方法及装置 | |
US10855584B2 (en) | Client-equipment-peering virtual route controller | |
US9779000B2 (en) | Method and apparatus for supporting high availability | |
WO2014000292A1 (zh) | 跨数据中心的虚拟机迁移方法、服务控制网关及系统 | |
TW201541262A (zh) | 以軟體定義網路(sdn)支援虛擬機器遷移之方法 | |
US11303701B2 (en) | Handling failure at logical routers | |
CN109327390A (zh) | 一种流量调度方法及装置 | |
Ahmad et al. | Load balancing in software defined mobile networks | |
CN109688062B (zh) | 一种路由方法和路由设备 | |
CN114024856A (zh) | 路由优化方法、物理网络设备及计算机可读存储介质 | |
CN110995623B (zh) | 一种在数据中心之间控制泛洪的方法和第一交换机 | |
CN117792982A (zh) | 报文转发方法、信息发布方法、装置、设备及存储介质 | |
Zhou et al. | Wireless Project Report |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |