CN107659446B - 一种waf迁移方法和装置 - Google Patents
一种waf迁移方法和装置 Download PDFInfo
- Publication number
- CN107659446B CN107659446B CN201710876593.1A CN201710876593A CN107659446B CN 107659446 B CN107659446 B CN 107659446B CN 201710876593 A CN201710876593 A CN 201710876593A CN 107659446 B CN107659446 B CN 107659446B
- Authority
- CN
- China
- Prior art keywords
- waf
- switch
- message
- port
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Abstract
本申请提供一种WAF迁移方法和装置,当该方法应用于SDN数据中心管理网络中的控制器时,该方法为:接收第一交换机上送的LLDP报文和第一端口标识,第一交换机通过第一端口标识对应的端口接收该LLDP报文;确定上一次负责上送LLDP报文的第二交换机以及上送的第二端口标识;如果第一交换机与第二交换机不一致或第一端口标识与第二端口标识不一致,则确认WAF发生迁移;向所述第一交换机下发第一流表,第一流表用于指示第一交换机将发往WAF的报文通过第一端口标识对应的端口发送给WAF;以及向第二交换机下发删除第二流表的命令,第二流表用于指示第二交换机将发往WAF的报文通过第二端口标识对应的端口发送给WAF。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种WAF(Web Application Firewall,网站应用防火墙)迁移方法和装置。
背景技术
SDN(Software Defined Network,软件定义网络)是一种新型的网络架构,其可以将网络设备的控制面与数据面进行分离,由控制器(Controller)实现控制面功能,以及由若干交换机(Switch)实现数据面功能。
WAF可以用于解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题,如Web入侵防护、DDoS(Distributed Denialof service,分布式拒绝服务)防护、CC(Challenge Collapsar)防护、DNS(Domain NameSystem,域名系统)防护等。
当前在基于SDN架构的数据中心网络(以下简称SDN数据中心网络)中,WAF作为一个特殊的设备,一方面要接收并处理来自远程用户以及Web保护站点(即Web服务器)的业务流量,一方面又要和管理网络中的控制器进行通信,也就是说,WAF需要同时接入SDN数据中心网络包括的业务网络和管理网络。
由于业务的需求WAF需要能够在业务网络内自由迁移,但WAF同时接入的管理网络却并不一定具备使WAF自由迁移的条件,原因在于,管理网络属于Underlay网络(传统单层网络),并不是控制器自动化部署的,WAF迁移之后所接入的网关地址与WAF的管理接口IP地址不一定是同一网段的,所以WAF设备无法在管理网络内自由迁移。
发明内容
有鉴于此,本申请提供一种WAF迁移方法和装置,用以实现WAF在SDN数据中心网络内的自由迁移。
具体地,本申请是通过如下技术方案实现的:
本申请第一方面,提供了一种WAF迁移方法,所述方法应用于基于SDN架构的数据中心管理网络中的控制器,所述方法包括:
接收第一交换机上送的LLDP报文和第一端口标识,所述第一交换机通过所述第一端口标识对应的端口接收WAF发出的LLDP报文;
确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,所述第二交换机通过所述第二端口标识对应的端口接收所述WAF发出的LLDP报文;
如果所述第一交换机与所述第二交换机不一致,或所述第一端口标识与所述第二端口标识不一致,则确认所述WAF发生迁移;
向所述第一交换机下发第一流表,所述第一流表用于指示所述第一交换机在收到目的地为所述WAF的报文时将该报文通过所述第一端口标识对应的端口发送给所述WAF;以及
向所述第二交换机下发删除第二流表的命令,所述第二流表用于指示所述第二交换机在收到目的地为所述WAF的报文时将该报文通过所述第二端口标识对应的端口发送给所述WAF。
本申请第二方面,提供了一种WAF迁移方法,所述方法应用于基于SDN架构的数据中心管理网络中的交换机,所述方法包括:
接收WAF发送的LLDP报文;
确定接收所述LLDP报文的端口的端口标识;
将所述LLDP报文和所述端口标识上送给控制器,以使所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移;
接收控制器在确认所述WAF发生迁移时下发的第一流表,所述第一流表用于指示所述交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF;
收到所述第一流表后,对外发布目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
本申请第三方面,提供了一种WAF迁移方法,所述方法应用于基于SDN架构的数据中心管理网络中的WAF,所述方法包括:
确认完成迁移;所述迁移包括从一交换机迁移至另一交换机,或从一交换机的一端口迁移至同一交换机的另一端口;
向迁移后的交换机发送LLDP报文,以使所述迁移后的交换机将所述LLDP报文和负责接收所述LLDP报文的端口的端口标识上送给所述控制器,令所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移。
本申请第四方面,提供了一种控制器,所述控制器位于基于SDN架构的数据中心管理网络中。所述控制器具有实现上述第一方面所述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
一种可能的实现方式中,所述控制器包括:
接收单元,用于接收第一交换机上送的LLDP报文和第一端口标识,所述第一交换机通过所述第一端口标识对应的端口接收WAF发出的LLDP报文;
迁移确认单元,用于确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,所述第二交换机通过所述第二端口标识对应的端口接收所述WAF发出的LLDP报文;如果所述第一交换机与所述第二交换机不一致,或所述第一端口标识与所述第二端口标识不一致,则确认所述WAF发生迁移;
发送单元,用于向所述第一交换机下发第一流表,所述第一流表用于指示所述第一交换机在收到目的地为所述WAF的报文时将该报文通过所述第一端口标识对应的端口发送给所述WAF;以及,向所述第二交换机下发删除第二流表的命令,所述第二流表用于指示所述第二交换机在收到目的地为所述WAF的报文时将该报文通过所述第二端口标识对应的端口发送给所述WAF。
另一种可能的实现方式中,所述控制器可以包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述处理器通过读取所述存储器中存储的逻辑指令,执行本申请第一方面所述的WAF迁移方法。
本申请第五方面,提供了一种交换机,所述交换机位于基于SDN架构的数据中心管理网络中。所述交换机具有实现上述第二方面所述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
一种可能的实现方式中,所述交换机包括:
接收单元,用于接收WAF发送的LLDP报文;
端口确定单元,用于确定接收所述LLDP报文的端口的端口标识;
发送单元,用于将所述LLDP报文和所述端口标识上送给控制器,以使所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移;
所述接收单元,还用于接收控制器在确认所述WAF发生迁移时下发的第一流表,所述第一流表用于指示所述交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF;
路由发布单元,用于收到所述第一流表后,对外发布目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
另一种可能的实现方式中,所述交换机可以包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述处理器通过读取所述存储器中存储的逻辑指令,执行本申请第二方面所述的WAF迁移方法。
本申请第六方面,提供了一种WAF,所述WAF位于基于SDN架构的数据中心管理网络中。所述WAF具有实现上述第三方面所述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
一种可能的实现方式中,所述WAF包括:
迁移确认单元,用于确认完成迁移;所述迁移包括从一交换机迁移至另一交换机,或从一交换机的一端口迁移至同一交换机的另一端口;
发送单元,用于向迁移后的交换机发送LLDP报文,以使所述迁移后的交换机将所述LLDP报文和负责接收所述LLDP报文的端口的端口标识上送给所述控制器,令所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移。
另一种可能的实现方式中,所述WAF可以包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述处理器通过读取所述存储器中存储的逻辑指令,执行本申请第三方面所述的WAF迁移方法。
在本申请中,采用发送LLDP报文通告迁移事件的方式,使得控制器能够及时感知WAF设备的迁移,及时更新接入交换机上的转发流表并触发管理网络中的路由更新,控制器和WAF设备之间的IP路径能够自动调整,实现了WAF设备的自由迁移,使得WAF设备在网络中的部署更加灵活。
附图说明
图1是现有技术下的一种SDN数据中心管理网络环境示意图;
图2是本申请所应用的SDN数据中心管理网络环境示意图;
图3是本申请提供的方法交互图;
图4是本申请提供的控制器的功能模块框图;
图5是本申请提供的图4所示控制器的硬件架构图;
图6是本申请提供的交换机的功能模块框图;
图7是本申请提供的图6所示交换机的硬件架构图;
图8是本申请提供的WAF的功能模块框图;
图9是本申请提供的图8所示WAF的硬件架构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
SDN数据中心网络包括业务网络和管理网络,这两个网络可以有以下两种部署方式:
在一种方式下,业务网络和管理网络可以放置在一个网络中,即业务网络和管理网络在同一个VPN(Virtual Private Network,虚拟专用网络)和同一个网段中。这种方式下,WAF可以在SDN数据中心网络内自由迁移。但缺陷是,业务网络和管理网络的IP(Internet Protocol,互联网协议)地址不能重叠,会影响主机的部署;以及由于同一网段内有大量主机,任一个主机发出的广播报文其它主机都能收到,容易造成流量拥塞。因此现有技术中一般不采取这种将业务网络和管理网络放置在一个网络的部署方式。
在另一种方式下,业务网络和管理网络可以放置在不同的网络中,即业务网络和管理网络属于不同的VPN。在这种方式下,业务网络和管理网络的IP地址可以重叠,主机部署互不影响。但缺陷是,由于WAF同时接入了业务网络和管理网络,而管理网络却并不一定具备使WAF自由迁移的条件。因此,现有技术中WAF一般只能作为一类资源设备固定部署在一个交换机下,不能自由迁移。
以下通过图1说明WAF在当前SDN数据中心管理网络中不能自由迁移的原因。
图1为一种SDN数据中心管理网络示意图,包括SDN网络中的控制器、交换机(如图1中的SW1、SW2、SW3和SW4)、路由器(或三层交换机,如图1中的R1和R2)、WAF和Web服务器。
WAF一般存在两个网络接口,一个网络接口用来接入业务网络,对来自远程客户端的Web服务请求报文进行防御检测,检测通过后替代远程客户端向Web服务器请求Web服务,Web服务器对该请求进行应答,WAF接收应答报文,修改应答报文并转发给远程客户端,在此过程中,Web服务器作为WAF的保护站点,和WAF之间交互Web业务数据,二者在网络中可以作为普通的虚机进行部署。WAF的另一个网络接口可以用来接入管理网络,与管理网络中的控制器进行通信,例如可以通过这一接口接收控制器下发的配置信息等。为便于描述,以下统一将WAF和交换机上用来接入管理网络的网络接口称为管理接口。
现有技术中,WAF的默认网关一般配置在SDN数据中心管理网络中的边缘路由器上,以图1来说,可以在R1和R2上配置默认网关。图1中,WAF初始下挂在SW1上,并接在R1的默认网关上。
在一种情况下,假设WAF从SW1迁移到了SW2,迁移前后WAF的管理接口IP地址不变,由于WAF迁移到SW2后还是接在R1的默认网关上,因此迁移前后WAF接入的默认网关地址不变,故在这种情况下WAF迁移后能够和控制器正常通信。但在另一种情况下,假设WAF从SW1迁移到了SW3,迁移前后WAF的管理接口IP地址不变,由于WF迁移到SW3后接入了R2的默认网关,迁移前后WAF接入的默认网关地址发生了变化,如果迁移之后WAF的管理接口IP地址与R2上配置的默认网关地址不在同一网段,那么WAF便无法与SW3、R2和控制器等设备通信。因此目前WAF无法在管理网络内自由迁移。
为此,本申请提供了一种WAF迁移方案,在不修改WAF迁移后的管理接口IP地址的前提下,通过优化WAF的默认网关的配置方式,实现WAF在整网范围的迁移。这里提供两种WAF的默认网关的配置方式。
第一种配置方式是,在SDN数据中心管理网络的控制器上配置独属于WAF的默认网关。请参考图2,为本申请所应用的一种SDN数据中心管理网络示意图,与图1不同的是,本申请的控制器创建了一个三层网关对象,将这个三层网关对象专门提供给WAF使用,作为WAF的管理接口的默认网关,这样WAF无论怎么迁移,迁移前后接入的默认网关都没有变,也就不会出现WAF无法与控制器通信的问题。
第二种配置方式是,在SDN数据中心管理网络的控制器和WAF上静态配置默认网关的IP地址和MAC地址。与第一种配置方式相同的是,这里静态配置的默认网关的MAC地址为一个全局地址,专门提供给WAF使用,用于控制器和WAF之间的通信。不同的是,第一种配置方式中默认网关的MAC地址由控制器代答给WAF,第二种配置方式中默认网关的MAC地址直接配置在控制器和WAF上。
基于上述两种WAF默认网关的配置方式,本申请接下来要解决的问题是:如何令控制器能够及时感知WAF发生了迁移,并触发管理网络内的路由更新和流表更新,使得控制器和WAF之间的转发路径不受迁移的影响。
针对这一问题,本申请提供了一种WAF迁移方法。下面通过图3,对本申请提供的方法进行描述。
步骤301:WAF确认完成迁移。
本申请中的迁移可以包括以下两种情况:
第一种,从一交换机迁移至另一交换机;
第二种,从一交换机的一端口迁移至同一交换机的另一端口。
以下为了便于区分,将WAF迁移后接入的交换机和交换机端口称为第一交换机和第一端口,将迁移前接入的交换机和交换机端口称为第二交换机和第二端口。在上述第一种情况下,第一交换机和第二交换机为不同的交换机,在上述第二种情况下,第一交换机和第二交换机为同一交换机。
步骤302:WAF向迁移后的第一交换机发送LLDP(Link Layer DiscoveryProtocol,链路层发现协议)报文。
实际应用中,WAF会周期性地对外发送LLDP报文。而本申请为了让控制器能够及时感知WAF迁移事件,规定WAF除了周期性地发送LLDP报文外,在迁移完成后也会立即触发发送LLDP报文。
本申请中,LLDP报文封装的LLDPDU(Link Layer Discovery Protocol DataUnit,链路层发现协议数据单元)的格式如下表1所示:
表1
从表1可见,本申请提供的LLDPDU除了包括现有LLDPDU必须包括的Chassis ID(发送设备的桥MAC(Medium Access Control,媒体接入控制)地址,本申请也称之为设备类型标识)、Port ID(标识LLDPU发送端的端口)、Time To Live(本设备信息在邻居设备上的存活时间)和End of LLDPDU(标识LLDPDU结束)这四个TLV(Type-Length-Value,类型-长度-值)之外,还包括了本申请新定义的两个TLV:Manager IP和Manager MAC。其中,Manager IP表征WAF的管理接口IP地址,Manager MAC表征WAF的管理接口MAC地址。
步骤303:第一交换机收到WAF发送的LLDP报文后,确定接收该LLDP报文的第一端口的第一端口标识。
步骤304:第一交换机将该LLDP报文和第一端口标识上送给控制器。
步骤305:控制器收到该LLDP报文和第一端口标识后,确定上一次负责上送该WAF发出的LLDP报文的第二交换机以及第二交换机上送的第二端口标识。
其中,第二交换机正是通过第二端口标识对应的端口接收该WAF发出的LLDP报文。
作为一个实施例,步骤305中,控制器可以通过以下步骤来确定第二交换机和第二端口标识:从第一交换机上送的LLDP报文中获取WAF的设备类型标识(即上表1中的ChassisID),然后在已存储的LLDP报文中查找最近一次收到的包含相同设备类型标识的LLDP报文,并获取与找到的LLDP报文对应存储的第二交换机的标识和第二端口标识。
步骤306:如果第一交换机与第二交换机不一致,或第一端口标识与第二端口标识不一致,则控制器确认该WAF发生迁移。
简而言之,即同一个WAF发出的LLDP报文,如果上送的交换机或者交换机负责接收该LLDP报文的端口发生了变化,控制器便认为WAF发生了迁移,这种情况下,控制器一方面继续执行步骤307,一方面对当前收到的LLDP报文,与该LLDP报文一起上送的第一端口标识以及负责上送该LLDP报文的第一交换机的标识进行保存。反之,如果控制器确认WAF未发生迁移,则只需保存当前收到的LLDP报文、第一端口标识以及负责上送该LLDP报文的第一交换机的标识。这里的第一交换机标识,可以由第一交换机在上送LLDP报文和第一端口标识时一同上送给控制器,也可以由控制器根据收到的LLDP报文的源地址和网络拓扑来确定。
步骤307:控制器向第一交换机下发第一流表,第一流表用于指示第一交换机在收到目的地为WAF的报文时将该报文通过第一端口标识对应的端口发送给WAF;以及,控制器向第二交换机下发删除第二流表的命令,第二流表用于指示第二交换机在收到目的地为WAF的报文时将该报文通过第二端口标识对应的端口发送给WAF。
在一个实施例中,第一流表的形式可以如下:匹配项为WAF的管理接口IP地址(即上表1中的Manager IP),行动项用于指示在收到目的IP地址与该匹配项匹配的报文时,将该报文的源MAC地址修改为WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为WAF的管理接口MAC地址(即上表1中的Manager MAC),并将修改后的报文通过第一端口标识对应的端口发送给WAF。
步骤308:第一交换机收到控制器下发的第一流表后,保存第一流表,以及对外发布的目的地址为WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
步骤309:第二交换机收到控制器下发的删除第二流表的命令后,删除本地存储的第二流表,并对外回收目的地址为WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
本申请中,要对交换机进行配置,使得交换机发现控制器下发的是针对WAF的流表时,可以自动将该流表转换成IP路由表,并引入到路由协议中,由协议进行发布;以及,使得交换机发现控制器下发的是针对WAF的删除流表的命令时,可以自动根据该流表在IP路由表中删除对应的路由,并引入到路由协议中,由协议进行回收。
作为一个实施例,当WAF仅在同一交换机的端口之间发生了迁移,WAF迁移前后的第一交换机和第二交换机是同一交换机时,控制器也可以不向第一交换机下发第一流表和删除第二流表的命令,而是直接向第一交换机下发修改第二流表的命令,具体是将第二流表的动作项中的出端口标识由迁移前的第二端口标识修改为迁移后的第一端口标识。第一交换机收到修改第二流表的命令后,只需修改第二流表,无需对外发布和回收目的地址为WAF管理接口IP地址、下一跳为本交换机IP地址的路由。
在经过上述步骤308和步骤309完成流表更新和路由更新后,意味着控制器与迁移后的WAF之间的IP路径也已经更新完成,二者可以基于此IP路径进行通信。
对于控制器发送给WAF的报文,该报文到达WAF迁移后接入的第一交换机后,第一交换机依据控制器下发的上述第一流表,修改报文的目的MAC地址为WAF的管理接口MAC地址,修改报文的源MAC地址为WAF的默认网关的MAC地址,然后将修改后的报文通过第一流表中指定的端口发送给WAF。WAF收到报文后,确认报文的目的MAC地址为自身管理接口的MAC地址,源MAC地址为默认网关的MAC地址,从而处理该报文。
对于WAF发送给控制器的报文,该报文到达WAF迁移后接入的第一交换机后,需要执行与现有技术不同的转发策略,具体阐述如下:
WAF发送给控制器的报文的目的MAC地址为WAF的默认网关的MAC地址。如果WAF的默认网关的MAC地址静态配置在WAF上,WAF可以直接读取配置信息得到。如果WAF的默认网关配置在控制器上,则WAF迁移完成后,可以发送ARP(Address Resolution Protocol,地址解析协议)请求报文来请求默认网关的MAC地址;由于默认网关配置在控制器上,控制器会代答该ARP请求报文,返回默认网关的MAC地址;不论WAF迁移到哪一个交换机,控制器代答的MAC地址都是同一个。
按照现有的转发机制,第一交换机收到目的MAC地址为WAF的默认网关MAC地址的报文后,发现该报文的目的MAC地址与本交换机MAC地址不同,从而会执行二层转发,查找MAC转发表。但显然WAF的默认网关的MAC地址不会包含在MAC转发表中,第一交换机通过二层转发无法将该报文送达控制器。
为克服这种情况,本申请规定,交换机在收到目的MAC地址为WAF的默认网关的MAC地址的报文时,无论报文来自于哪一个端口均执行三层转发,查找与该报文的目的IP地址匹配的路由,并将该报文发送给找到的路由的下一跳。这样,便可以通过三层转发将WAF发出的报文送达控制器。
从步骤301至步骤309可以看出,本申请采用发送LLDP报文通告迁移事件的方式,使得控制器能够及时感知WAF设备的迁移,及时更新接入交换机上的转发流表并触发管理网络中的路由更新,控制器和WAF设备之间的IP路径能够自动调整,实现了WAF设备的自由迁移,使得WAF设备在网络中的部署更加灵活。
为了使本领域技术人员更加清楚和明白,以下结合图2所示的SDN数据中心管理网络来描述本申请的实现过程。
在图2所示的SDN数据中心管理网络中,SW1、SW2、SW3、SW4均为接入交换机,R1、R2为三层交换机或者路由器,控制器通过R1和R2接入到管理网络中,WAF通过SW接入管理网络,SW和R设备上均有接口接入管理网络。其中控制器IP地址为10.254.1.1,R1管理接口IP地址包括10.254.1.254和172.15.1.254,R2管理接口IP地址包括10.254.1.253和172.16.1.254,SW1管理接口IP地址为172.15.1.1,SW2管理接口IP地址为172.15.1.2,SW3管理接口IP地址为172.16.1.1,SW4管理接口IP地址为172.16.1.2,WAF管理接口IP地址为172.1.1.1,其上配置的默认网关IP地址为172.1.1.254。
基于上述描述,WAF的上线过程和迁移过程如下:
WAF上线,向外发送目标IP地址为默认网关IP地址172.1.1.254的ARP请求报文,控制器代答了该ARP请求报文,将WAF的默认网关MAC地址mac_global应答给WAF。
WAF上线后,还会向外发送LLDP报文,LLDP报文中携带了WAF的管理接口IP地址172.1.1.1和WAF的管理接口MAC地址mac_waf。
SW1通过port1收到该LLDP报文,将其封装在OpenFlow协议报文中上送到控制器,上送的报文中携带了接收报文的入端口port1。
控制器接收来自SW1的OpenFlow协议报文,解析LLDP报文,获取WAF的设备类型标识、管理接口IP地址、管理接口MAC地址,并将LLDP报文与SW1标识和入端口port1联合存储。以及,控制器查找最近一次收到的包含相同设备类型标识的LLDP报文,未查找到,则认为WAF刚上线,向SW1下发如下表2所示的流表。
表2
SW1接收控制器的流表添加命令,添加表2所示的流表,同时将目的IP地址为172.1.1.1、下一跳地址为172.15.1.1的路由发布到管理网络中。R1、R2、SW2、SW3、SW4更新路由表,此时172.1.1.1路由的源为SW1。此时WAF的网段其实和SW、R、控制器并不处于一个网段。
之后,WAF定期发送LLDP报文,控制器收到后,查找最近一次收到的包含相同设备类型标识的LLDP报文,发现同一WAF发出的LLDP报文,负责上送的交换机和交换机上送的端口标识不变,故不再向SW1下发新的流表。
WAF发生迁移,从SW1迁移到了SW2,迁移完成后发送LLDP报文。
SW2通过port2收到该LLDP报文,将其封装在OpenFlow协议报文中上送到控制器,上送的报文中携带了接收报文的入端口port2。
控制器接收来自SW2的OpenFlow协议报文,解析LLDP报文,获取WAF的设备类型标识、管理接口IP地址、管理接口MAC地址,并将LLDP报文与SW2标识和入端口port2联合存储。以及,控制器查找最近一次收到的包含相同设备类型标识的LLDP报文,发现与该LLDP报文联合存储的交换机标识和端口标识为SW1和port1,从而确认WAF发生迁移。控制器向SW2下发如下表3所示的流表,向SW1下发删除流表命令,指示删除上表2所示的流表。
表3
SW2接收控制器的流表添加命令,添加表3所示的流表,同时将目的IP地址为172.1.1.1、下一跳为172.15.1.2的路由发布到管理网络中。
SW1接收控制器的流表删除命令,删除表2所示的流表,同时向管理网络中回收目的IP地址为172.1.1.1、下一跳地址为172.15.1.1的路由。
R1、R2、SW1、SW2、SW3、SW4更新路由表,此时172.1.1.1路由的源为SW2。更新完成后,意味着控制器和WAF之间的IP路径也更新完成,二者之间仍然存在IP可达路径。
通过这种方式,WAF可以在SDN数据中心管理网络中的接入交换机上任意迁移,迁移后控制器能够及时感知目的接入设备,触发源交换机和目的交换机上的流表更新,进而在管理网络中更新迁移的WAF的IP路由,控制器和WAF设备之间的路径能够自动更新完成,二者之间的转发通道不受影响。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述。
参见图4,为本申请提供的一种控制器的功能模块框图,所述控制器位于基于SDN架构的数据中心管理网络中。如图4所示,所述控制器可以包括接收单元401,迁移确认单元402和发送单元403。
接收单元401,用于接收第一交换机上送的LLDP报文和第一端口标识,所述第一交换机通过所述第一端口标识对应的端口接收WAF发出的LLDP报文。
迁移确认单元402,用于确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,所述第二交换机通过所述第二端口标识对应的端口接收所述WAF发出的LLDP报文;如果所述第一交换机与所述第二交换机不一致,或所述第一端口标识与所述第二端口标识不一致,则确认所述WAF发生迁移。
发送单元403,用于向所述第一交换机下发第一流表,所述第一流表用于指示所述第一交换机在收到目的地为所述WAF的报文时将该报文通过所述第一端口标识对应的端口发送给所述WAF;以及,向所述第二交换机下发删除第二流表的命令,所述第二流表用于指示所述第二交换机在收到目的地为所述WAF的报文时将该报文通过所述第二端口标识对应的端口发送给所述WAF。
在其中一种实施方式中,所述LLDP报文可以包括所述WAF的设备类型标识;
相应的,在确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识时,所述迁移确定单元402具体用于:从所述第一交换机上送的LLDP报文中获取所述WAF的设备类型标识;在已存储的LLDP报文中查找最近一次收到的包含相同设备类型标识的LLDP报文,并获取与找到的LLDP报文对应存储的所述第二交换机的标识和所述第二端口标识。
在其中一种实施方式中,所述LLDP报文可以包括所述WAF的管理接口IP地址和管理接口MAC地址;所述第一流表的匹配项为所述WAF的管理接口IP地址;所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时,将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述第一端口标识对应的端口发送给所述WAF;其中,所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
至此,完成图4所示控制器的描述。
对应地,本申请还提供了图4所示控制器的硬件架构。参见图5,图5为本申请提供的图4所示控制器的硬件结构示意图,该控制器包括:通信接口501、处理器502、存储器503和总线504;其中,通信接口501、处理器502、存储器503通过总线504完成相互间的通信。
其中,通信接口501,用于和交换机通信。处理器502可以是一个CPU,存储器503可以是非易失性存储器(non-volatile memory),并且存储器503中存储有WAF迁移逻辑指令,处理器502可以执行存储器503中存储的WAF迁移逻辑指令,以实现图3所示流程中控制器的功能。
至此,完成图5所示控制器的硬件结构描述。
参见图6,为本申请提供的一种交换机的功能模块框图,所述交换机位于基于SDN架构的数据中心管理网络中。如图6所示,所述交换机可以包括接收单元601,端口确认单元602、发送单元603和路由发布单元604。
接收单元601,用于接收WAF发送的LLDP报文。
端口确定单元602,用于确定接收所述LLDP报文的端口的端口标识。
发送单元603,用于将所述LLDP报文和所述端口标识上送给控制器,以使所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移。
所述接收单元601,还用于接收控制器在确认所述WAF发生迁移时下发的第一流表,所述第一流表用于指示所述交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF。
路由发布单元604,用于收到所述第一流表后,对外发布目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
在其中一种实施方式中,所述第一流表的匹配项为所述WAF的管理接口IP地址;所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述端口标识对应的端口发送给所述WAF;所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
在其中一种实施方式中,所述接收单元601,还用于接收所述控制器下发的删除所述第一流表的命令,所述命令由所述控制器在再次确认所述WAF发生迁移时发出;
相应的,所述交换机还可以包括:
流表处理单元,用于删除本地存储的所述第一流表;
路由回收单元,用于对外回收目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
在其中一种实施方式中,所述接收单元601,还用于接收报文;
所述发送单元603,还用于在收到目的MAC地址为所述WAF的默认网关的MAC地址的报文时,查找与该报文的目的IP地址匹配的路由,并将该报文发送给找到的路由的下一跳。
至此,完成图6所示交换机的描述。
对应地,本申请还提供了图6所示控制器的硬件架构。参见图7,图7为本申请提供的图6所示控制器的硬件结构示意图,该控制器包括:通信接口701、处理器702、存储器703和总线704;其中,通信接口701、处理器702、存储器703通过总线704完成相互间的通信。
其中,通信接口701,用于和WAF、其他交换机以及控制器通信。处理器702可以是一个CPU,存储器703可以是非易失性存储器,并且存储器703中存储有WAF迁移逻辑指令,处理器702可以执行存储器703中存储的WAF迁移逻辑指令,以实现图3所示流程中交换机的功能。
至此,完成图7所示交换机的硬件结构描述。
参见图8,为本申请提供的一种WAF的功能模块框图,所述WAF位于基于SDN架构的数据中心管理网络中。如图8所示,所述WAF可以包括迁移确认单元801和发送单元802。
迁移确认单元801,用于确认完成迁移;所述迁移包括从一交换机迁移至另一交换机,或从一交换机的一端口迁移至同一交换机的另一端口。
发送单元802,用于向迁移后的交换机发送LLDP报文,以使所述迁移后的交换机将所述LLDP报文和负责接收所述LLDP报文的端口的端口标识上送给所述控制器,令所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移。
至此,完成图8所示WAF的描述。
对应地,本申请还提供了图8所示WAF的硬件架构。参见图9,图9为本申请提供的图8所示WAF的硬件结构示意图,该WAF包括:通信接口901、处理器902、存储器903和总线904;其中,通信接口901、处理器902、存储器903通过总线904完成相互间的通信。
其中,通信接口901,用于和交换机通信。处理器902可以是一个CPU,存储器903可以是非易失性存储器,并且存储器903中存储有WAF迁移逻辑指令,处理器902可以执行存储器903中存储的WAF迁移逻辑指令,以实现图3所示流程中WAF的功能。
至此,完成图9所示WAF的硬件结构描述。
Claims (16)
1.一种网站应用防火墙WAF迁移方法,其特征在于,所述方法应用于基于软件定义网络SDN架构的数据中心管理网络中的控制器,所述方法包括:
接收第一交换机上送的链路层发现协议LLDP报文和第一端口标识,所述第一交换机通过所述第一端口标识对应的端口接收WAF发出的LLDP报文;
确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,所述第二交换机通过所述第二端口标识对应的端口接收所述WAF发出的LLDP报文;
如果所述第一交换机与所述第二交换机不一致,或所述第一端口标识与所述第二端口标识不一致,则确认所述WAF发生迁移;
向所述第一交换机下发第一流表,所述第一流表用于指示所述第一交换机在收到目的地为所述WAF的报文时将该报文通过所述第一端口标识对应的端口发送给所述WAF;以及
向所述第二交换机下发删除第二流表的命令,所述第二流表用于指示所述第二交换机在收到目的地为所述WAF的报文时将该报文通过所述第二端口标识对应的端口发送给所述WAF。
2.如权利要求1所述的方法,其特征在于,所述LLDP报文包括所述WAF的设备类型标识;
所述确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,包括:
从所述第一交换机上送的LLDP报文中获取所述WAF的设备类型标识;
在已存储的LLDP报文中查找最近一次收到的包含相同设备类型标识的LLDP报文,并获取与找到的LLDP报文对应存储的所述第二交换机的标识和所述第二端口标识。
3.如权利要求1所述的方法,其特征在于,所述LLDP报文包括所述WAF的管理接口IP地址和管理接口MAC地址;
所述第一流表的匹配项为所述WAF的管理接口IP地址;
所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时,将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述第一端口标识对应的端口发送给所述WAF;
所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
4.一种网站应用防火墙WAF迁移方法,其特征在于,所述方法应用于基于软件定义网络SDN架构的数据中心管理网络中的交换机,所述方法包括:
接收WAF发送的链路层发现协议LLDP报文;
确定接收所述LLDP报文的端口的端口标识;
将所述LLDP报文和所述端口标识上送给控制器,以使所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移;
接收控制器在确认所述WAF发生迁移时下发的第一流表,所述第一流表用于指示所述交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF;
收到所述第一流表后,对外发布目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
5.如权利要求4所述的方法,其特征在于,
所述第一流表的匹配项为所述WAF的管理接口IP地址;
所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述端口标识对应的端口发送给所述WAF;
所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
6.如权利要求4所述的方法,其特征在于,在收到所述第一流表后,所述方法还包括:
接收所述控制器下发的删除所述第一流表的命令,所述命令由所述控制器在再次确认所述WAF发生迁移时发出;
删除本地存储的所述第一流表,并对外回收目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
7.如权利要求4所述的方法,其特征在于,所述方法还包括:
在收到目的MAC地址为所述WAF的默认网关的MAC地址的报文时,查找与该报文的目的IP地址匹配的路由,并将该报文发送给找到的路由的下一跳。
8.一种网站应用防火墙WAF迁移方法,其特征在于,所述方法应用于基于软件定义网络SDN架构的数据中心管理网络中的WAF,所述方法包括:
确认完成迁移;所述迁移包括从一交换机迁移至另一交换机,或从一交换机的一端口迁移至同一交换机的另一端口;
向迁移后的交换机发送链路层发现协议LLDP报文,以使所述迁移后的交换机将所述LLDP报文和负责接收所述LLDP报文的端口的端口标识上送给控制器,令所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移,并令所述控制器在确认所述WAF发生迁移的情况下,向所述迁移后的交换机下发第一流表,所述第一流表用于指示所述迁移后的交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF。
9.一种控制器,其特征在于,所述控制器位于基于软件定义网络SDN架构的数据中心管理网络中,包括:
接收单元,用于接收第一交换机上送的链路层发现协议LLDP报文和第一端口标识,所述第一交换机通过所述第一端口标识对应的端口接收网站应用防火墙WAF发出的LLDP报文;
迁移确认单元,用于确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识,所述第二交换机通过所述第二端口标识对应的端口接收所述WAF发出的LLDP报文;如果所述第一交换机与所述第二交换机不一致,或所述第一端口标识与所述第二端口标识不一致,则确认所述WAF发生迁移;
发送单元,用于向所述第一交换机下发第一流表,所述第一流表用于指示所述第一交换机在收到目的地为所述WAF的报文时将该报文通过所述第一端口标识对应的端口发送给所述WAF;以及,向所述第二交换机下发删除第二流表的命令,所述第二流表用于指示所述第二交换机在收到目的地为所述WAF的报文时将该报文通过所述第二端口标识对应的端口发送给所述WAF。
10.如权利要求9所述的控制器,其特征在于,所述LLDP报文包括所述WAF的设备类型标识;
在确定上一次负责上送所述WAF发出的LLDP报文的第二交换机以及所述第二交换机上送的第二端口标识时,所述迁移确定单元具体用于:
从所述第一交换机上送的LLDP报文中获取所述WAF的设备类型标识;
在已存储的LLDP报文中查找最近一次收到的包含相同设备类型标识的LLDP报文,并获取与找到的LLDP报文对应存储的所述第二交换机的标识和所述第二端口标识。
11.如权利要求9所述的控制器,其特征在于,所述LLDP报文包括所述WAF的管理接口IP地址和管理接口MAC地址;
所述第一流表的匹配项为所述WAF的管理接口IP地址;
所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时,将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述第一端口标识对应的端口发送给所述WAF;
所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
12.一种交换机,其特征在于,所述交换机位于基于软件定义网络SDN架构的数据中心管理网络中,包括:
接收单元,用于接收网站应用防火墙WAF发送的链路层发现协议LLDP报文;
端口确定单元,用于确定接收所述LLDP报文的端口的端口标识;
发送单元,用于将所述LLDP报文和所述端口标识上送给控制器,以使所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移;
所述接收单元,还用于接收控制器在确认所述WAF发生迁移时下发的第一流表,所述第一流表用于指示所述交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF;
路由发布单元,用于收到所述第一流表后,对外发布目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
13.如权利要求12所述的交换机,其特征在于,
所述第一流表的匹配项为所述WAF的管理接口IP地址;
所述第一流表的行动项用于指示在收到目的IP地址与该匹配项匹配的报文时将该报文的源MAC地址修改为所述WAF的默认网关的MAC地址,将该报文的目的MAC地址修改为所述WAF的管理接口MAC地址,并将修改后的报文通过所述端口标识对应的端口发送给所述WAF;
所述默认网关配置在所述控制器上,或者,所述默认网关的MAC地址静态配置在所述控制器和所述WAF上。
14.如权利要求12所述的交换机,其特征在于,
所述接收单元,还用于接收所述控制器下发的删除所述第一流表的命令,所述命令由所述控制器在再次确认所述WAF发生迁移时发出;
所述交换机还包括:
流表处理单元,用于删除本地存储的所述第一流表;
路由回收单元,用于对外回收目的地址为所述WAF的管理接口IP地址、下一跳为本交换机IP地址的路由。
15.如权利要求12所述的交换机,其特征在于:
所述接收单元,还用于接收报文;
所述发送单元,还用于在收到目的MAC地址为所述WAF的默认网关的MAC地址的报文时,查找与该报文的目的IP地址匹配的路由,并将该报文发送给找到的路由的下一跳。
16.一种网站应用防火墙WAF,其特征在于,所述WAF位于基于软件定义网络SDN架构的数据中心管理网络中,包括:
迁移确认单元,用于确认完成迁移;所述迁移包括从一交换机迁移至另一交换机,或从一交换机的一端口迁移至同一交换机的另一端口;
发送单元,用于向迁移后的交换机发送链路层发现协议LLDP报文,以使所述迁移后的交换机将所述LLDP报文和负责接收所述LLDP报文的端口的端口标识上送给控制器,令所述控制器基于收到的所述LLDP报文和所述端口标识判断所述WAF是否发生迁移,并令所述控制器在确认所述WAF发生迁移的情况下,向所述迁移后的交换机下发第一流表,所述第一流表用于指示所述迁移后的交换机在收到目的地为所述WAF的报文时将该报文通过所述端口标识对应的端口发送给所述WAF。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710876593.1A CN107659446B (zh) | 2017-09-25 | 2017-09-25 | 一种waf迁移方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710876593.1A CN107659446B (zh) | 2017-09-25 | 2017-09-25 | 一种waf迁移方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107659446A CN107659446A (zh) | 2018-02-02 |
CN107659446B true CN107659446B (zh) | 2021-01-26 |
Family
ID=61130980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710876593.1A Active CN107659446B (zh) | 2017-09-25 | 2017-09-25 | 一种waf迁移方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107659446B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108833604B (zh) * | 2018-05-28 | 2021-08-13 | 新华三技术有限公司 | 一种表项更新方法及装置 |
CN111478888B (zh) * | 2020-03-24 | 2021-01-05 | 武汉思普崚技术有限公司 | 一种旁路阻断方法、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104168209A (zh) * | 2014-08-28 | 2014-11-26 | 杭州华三通信技术有限公司 | 多接入sdn网络报文转发方法和控制器 |
CN105227499A (zh) * | 2014-07-03 | 2016-01-06 | 杭州华三通信技术有限公司 | 虚拟边缘端口汇聚器控制方法及vepa控制器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150363219A1 (en) * | 2014-03-14 | 2015-12-17 | Avni Networks Inc. | Optimization to create a highly scalable virtual netork service/application using commodity hardware |
-
2017
- 2017-09-25 CN CN201710876593.1A patent/CN107659446B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227499A (zh) * | 2014-07-03 | 2016-01-06 | 杭州华三通信技术有限公司 | 虚拟边缘端口汇聚器控制方法及vepa控制器 |
CN104168209A (zh) * | 2014-08-28 | 2014-11-26 | 杭州华三通信技术有限公司 | 多接入sdn网络报文转发方法和控制器 |
Also Published As
Publication number | Publication date |
---|---|
CN107659446A (zh) | 2018-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10263808B2 (en) | Deployment of virtual extensible local area network | |
EP3499799B1 (en) | Forwarding policy configuration | |
US20200169872A1 (en) | System and method of fast roaming in enterprise fabric networks | |
US9838309B1 (en) | Distributed network subnet | |
EP3017569B1 (en) | Virtual network | |
US9225641B2 (en) | Communication between hetrogenous networks | |
US20140075047A1 (en) | Network-Assisted Virtual Machine Mobility | |
JP2013504959A (ja) | バーチャルプライベートネットワークの実現方法及びシステム | |
EP2584742B1 (en) | Method and switch for sending packet | |
US10848457B2 (en) | Method and system for cross-zone network traffic between different zones using virtual network identifiers and virtual layer-2 broadcast domains | |
EP3493477B1 (en) | Message monitoring | |
US11012412B2 (en) | Method and system for network traffic steering towards a service device | |
WO2018171529A1 (zh) | 一种实现双控制平面的方法、装置、计算机存储介质 | |
EP3641241A1 (en) | Node protection for bum traffic for multi-homed node failure | |
US20190215191A1 (en) | Deployment Of Virtual Extensible Local Area Network | |
US10855733B2 (en) | Method and system for inspecting unicast network traffic between end points residing within a same zone | |
CN111064659A (zh) | 多宿主节点故障的bum流量的节点保护 | |
CN107547403B (zh) | 报文转发方法、协助方法、装置、控制器及主机 | |
US10764234B2 (en) | Method and system for host discovery and tracking in a network using associations between hosts and tunnel end points | |
CN107659446B (zh) | 一种waf迁移方法和装置 | |
JP5350333B2 (ja) | パケット中継装置及びネットワークシステム | |
CN108259292B (zh) | 建立隧道的方法及装置 | |
KR20160011774A (ko) | 식별자 기반 네트워크 경로 설정 방법 및 장치 | |
US11902166B2 (en) | Policy based routing in extranet networks | |
US11509536B2 (en) | Relay functionality in an application centric infrastructure (ACI) fabric |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |