CN107819683B - 安全资源池实现租户业务流量编排的方法、装置及电子设备 - Google Patents
安全资源池实现租户业务流量编排的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN107819683B CN107819683B CN201711010862.2A CN201711010862A CN107819683B CN 107819683 B CN107819683 B CN 107819683B CN 201711010862 A CN201711010862 A CN 201711010862A CN 107819683 B CN107819683 B CN 107819683B
- Authority
- CN
- China
- Prior art keywords
- service
- flow
- flow table
- mac address
- service flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全资源池实现租户业务流量编排的方法、装置及电子设备,该方法包括:接收安全管理平台发送的流量转发路径,业务流量的特征,安全产品的属性信息;根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表;将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间进行转发。本发明的方法中,通过OVS交换机直接实现了业务流量在目标安全产品间的转发,无需通过虚拟路由器和多个bridge,使得安全资源池的内部网络结构简单,降低了系统资源消耗,减少了网段数量,维护更加简单,缓解了现有的方法中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难的技术问题。
Description
技术领域
本发明涉及通信的技术领域,尤其是涉及一种安全资源池实现租户业务流量编排的方法、装置及电子设备。
背景技术
随着计算、存储、网络虚拟化的逐步成熟,各种公有云、私有云开始大规模的部署,如何保证云上租户的安全成为网路安全厂商迫切需要解决的问题。当前国内主流安全厂商的做法是建立一个独立于云平台本身计算网络、存储资源池的安全资源池。打通云平台上租户的网络和安全资源池内租户的网络,允许租户自定义流量转发路径,保证不同租户之间的流量隔离,这是当前安全厂商面临的新挑战。
当前存在的一种实现租户业务流量编排的方案是:安全管理平台给每个租户创建一个虚拟路由器,把租户创建的安全产品和租户虚拟路由器桥接到同一个bridge上,安全管理平台通过虚拟路由器的API接口下发策略路由,通过合理设计策略路由的应用接口和匹配条件,可以实现流量按特定顺序通过安全产品防护。在该方法中,策略路由需要应用在网络设备的三层接口上,每个流量防护类安全产品都需要由策略路由将流量牵引到自身位置处来处理,因此每个流量防护类的安全产品必须都占用一个独立的网段,否则无法配置策略路由,这样会大量增加网络中的网段数量,维护困难;由于linux不允许安全产品直接桥接,所以安全产品和虚拟路由器需要通过一个bridge连接,当创建了很多安全产品时,对应的就存在很多的 bridge,以使安全产品和虚拟路由器之间建立连接,这种情况下多个bridge 占用的系统资源消耗过大,网络中间层太多,结构复杂。
综上,现有的业务流量编排方法中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难。
发明内容
有鉴于此,本发明的目的在于提供安全资源池实现租户业务流量编排的方法、装置及电子设备,以缓解现有的业务流量编排方法中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难的技术问题。
第一方面,本发明实施例提供了一种安全资源池实现租户业务流量编排的方法,所述方法包括:
接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,所述流量转发路径表示业务流量需要经过的目标安全产品;
根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表,其中,所述业务编排流表用于表示所述业务流量的转发规则;
将所述业务编排流表发送至OVS交换机,以使所述OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述业务流量的特征包括:自定义业务流量特征,自带业务流量特征,所述自定义业务流量特征包括:自定义IP地址,自定义端口号,所述自带业务流量特征至少包括:所述业务流量的mac地址,所述属性信息至少包括:所述安全产品的vlan标签,所述安全产品的mac地址。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述业务编排流表包括第一业务编排流表,第二业务编排流表,第三业务编排流表,
其中,所述第一业务编排流表包括多条第一规则和第一缺省项流表,每条第一规则包括:第一匹配项和第一动作项;
所述第二业务编排流表包括多条第二规则和第二缺省项流表,每条第二规则包括:第二匹配项和第二动作项;
所述第三业务编排流表用于实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表包括:
根据所述流量转发路径确定所述目标安全产品以及所述目标安全产品间的转发顺序;
将所述目标安全产品的mac地址作为所述第一业务编排流表的第一匹配项,以使所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作;
将所述自定义业务流量特征和所述目标安全产品的mac地址作为所述第二业务编排流表的第二匹配项,以使所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作包括:
判断所述业务流量的mac地址是否与当前目标安全产品的mac地址相同;
如果相同,则判断所述业务流量是否带有vlan标签,其中,所述vlan 标签用于表示所述业务流量所属的租户;
如果不带vlan标签,则为所述业务流量封装所述当前目标安全产品的 vlan标签,并将封装vlan标签后的业务流量发送至所述第三业务编排流表;
如果带有vlan标签,则将所述带有vlan标签的业务流量发送至所述第一缺省项流表,以使所述第一缺省项流表将所述带有vlan标签的业务流量发送至所述第二业务编排流表。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作还包括:
如果所述业务流量的mac地址与所述当前目标安全产品的mac地址不同,则将不同于当前目标安全产品的mac地址的业务流量发送至所述第一缺省项流表,以使所述第一缺省项流表将所述不同于当前目标安全产品的 mac地址的业务流量发送至第二业务流表。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作包括:
判断所述业务流量是否与所述自定义业务流量特征匹配;
如果所述业务流量与所述自定义业务流量特征匹配,则判断所述业务流量的mac地址是否与当前目标安全产品的mac地址匹配;
如果所述业务流量的mac地址与所述当前目标安全产品的mac地址匹配,则将所述业务流量的mac地址修改为目的mac地址,以使所述业务流量到达下一个目标安全产品,其中,所述目的mac地址为所述流量转发路径中当前目标安全产品的下一个目标安全产品的mac地址。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,如果所述业务流量与所述自定义业务流量特征不匹配和/或所述业务流量的mac地址与所述当前目标安全产品的mac地址不匹配,则将不匹配的业务流量发送至所述第二缺省项流表,以使所述第二缺省项流表将所述不匹配的业务流量发送至所述第三业务编排流表。
第二方面,本发明实施例还提供了一种安全资源池实现租户业务流量编排的装置,所述装置包括:
接收模块,用于接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,所述流量转发路径表示业务流量需要经过的目标安全产品;
生成模块,用于根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表,其中,所述业务编排流表用于表示所述业务流量的转发规则;
发送模块,用于将所述业务编排流表发送至OVS交换机,以使所述 OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中所述的方法的步骤。
本发明实施例带来了以下有益效果:本发明实施例提供了一种安全资源池实现租户业务流量编排的方法、装置及电子设备,该方法包括:接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,流量转发路径表示业务流量需要经过的目标安全产品;根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表,其中,业务编排流表用于表示业务流量的转发规则;将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间进行转发。
现有的业务流量编排方法中,安全管理平台给每个租户创建一个虚拟路由器,把租户创建的安全产品和租户虚拟路由器桥接到同一个bridge上,安全管理平台通过虚拟路由器的API接口下发策略路由,通过合理设计策略路由的应用接口和匹配条件,实现流量按特定顺序通过安全产品防护。与现有的业务流量编排方法相比,本发明的安全资源池实现租户业务流量编排的方法中,SDN控制器接收安全管理平台发送的流量转发路径,业务流量特征以及安全产品的属性信息,然后,根据这些信息生成业务编排流表,进而,将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间转发。本发明的安全资源池实现租户业务流量编排的方法中,通过OVS交换机直接实现了业务流量在目标安全产品间的转发,无需通过虚拟路由器和多个bridge配合实现业务流量在安全产品间的防护,也就是,无需建立多个bridge,安全资源池的内部网络结构简单,降低了系统资源消耗,减少了安全资源池内部网段数量,维护更加简单,缓解了现有的业务流量编排方法中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全资源池实现租户业务流量编排的方法流程图;
图2为本发明实施例提供的根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表的方法流程图;
图3为本发明实施例提供的第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作的方法流程图;
图4为发明实施例提供的第二动作项根据业务流量与第二匹配项的匹配结果执行相应的动作的方法流程图;
图5为发明实施例提供的一种安全资源池实现租户业务流量编排的装置的结构框图;
图6为发明实施例提供的一种电子设备的示意图。
图标:
20-接收模块;21-生成模块;22-发送模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种安全资源池实现租户业务流量编排的方法进行详细介绍,
实施例一:
一种安全资源池实现租户业务流量编排的方法,参考图1,该方法包括:
S102、接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,流量转发路径表示业务流量需要经过的目标安全产品;
在本发明实施例中,该方法的执行主体是SDN控制器,本方法中的安全资源池涉及四大组件,它们分别是:安全管理平台,底层虚拟化平台, SDN控制器,OVS交换机。其中,安全管理平台负责租户的安全产品开通、计费、管理,SDN控制器提供租户基础网络通信功能和业务流量编排功能, OVS交换机作为转发设备根据SDN控制器下发的业务流量的转发规则转发流量。
具体的,在一个系统中,一个租户有多个安全产品,多个安全产品对应一个OVS交换机,多个安全产品和一个OVS交换机在一个物理服务器上。
对该过程的整体先进行介绍:
租户在安全管理平台上申请开通安全产品,安全管理平台调用底层虚拟化平台生成对应的安全产品,并将网卡桥接到OVS交换机上,建立安全产品与OVS交换机的通信连接,这一操作由底层虚拟化平台完成。底层虚拟化平台返回创建成功消息给安全管理平台,安全管理平台调用底层虚拟化平台接口获取到开通的安全产品的mac地址、安全产品的vlan标签。安全管理平台将安全产品的vlan标签和安全产品的mac地址通过restAPI接口发送给SDN控制器。SDN控制器通过openflow协议给OVS交换机下发基础通信流表,同时通过ovsdb协议在安全产品连接的OVS交换机上创建一个vlan接口。云平台可以将租户的业务流量牵引到该vlan接口,由安全资源池进行处理。
租户登录云安全管理平台上配置流量转发路径(即流量需要经过的目标安全产品)和需要安全产品防护的业务流量的特征信息。安全管理平台将流量转发路径,业务流量的特征信息发送给SDN控制器。SDN控制器通过自学习的表项获取到安全产品对应的port信息,结合安全平台发送过来的流量转发路径,业务流量的特征,安全产品的属性信息(如安全产品的 vlan标签和安全产品的mac地址),生成业务编排流表,下发给OVS交换机。
S104、根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表,其中,业务编排流表用于表示业务流量的转发规则;
生成业务编排流表的过程将在下文中进行详细描述,在此不再赘述。
S106、将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间进行转发。
在得到业务编排流表后,将业务编排流表发送至OVS交换机,这样, OVS交换机就能够根据业务编排流表对业务流量在目标安全产品间进行转发,以使目标安全产品对业务流量进行防护。
现有的业务流量编排方法中,安全管理平台给每个租户创建一个虚拟路由器,把租户创建的安全产品和租户虚拟路由器桥接到同一个bridge上,安全管理平台通过虚拟路由器的API接口下发策略路由,通过合理设计策略路由的应用接口和匹配条件,实现流量按特定顺序通过安全产品防护。与现有的业务流量编排方法相比,本发明的安全资源池实现租户业务流量编排的方法中,SDN控制器接收安全管理平台发送的流量转发路径,业务流量特征以及安全产品的属性信息,然后,根据这些信息生成业务编排流表,进而,将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间转发。本发明的安全资源池实现租户业务流量编排的方法中,通过OVS交换机直接实现了业务流量在目标安全产品间的转发,无需通过虚拟路由器和多个bridge配合实现业务流量在安全产品间的防护,也就是,无需建立多个bridge,安全资源池的内部网络结构简单,降低了系统资源消耗,减少了安全资源池内部网段数量,维护更加简单,缓解了现有的业务流量编排方法中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难的技术问题。
可选地,业务流量的特征包括:自定义业务流量特征,自带业务流量特征,自定义业务流量特征包括:自定义IP地址,自定义端口号,自带业务流量特征至少包括:业务流量的mac地址,属性信息至少包括:安全产品的vlan标签,安全产品的mac地址。
具体的,自定义IP地址包括:自定义的源IP地址,自定义的目的IP 地址;自定义端口号包括:自定义的TCP源端口号,自定义的TCP目的端口号,自定义的UDP源端口号,自定义的UDP目的端口号。
可选地,业务编排流表包括:第一业务编排流表,第二业务编排流表,第三业务编排流表,
其中,第一业务编排流表包括多条第一规则和第一缺省项流表,每条第一匹配规则包括:第一匹配项和第一动作项;
第二业务编排流表包括多条第二规则和第二缺省项流表,每条第二规则包括:第二匹配项和第二动作项;
第三业务编排流表用于实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发。
具体的,每一个目标安全产品都要进行业务编排流表中的动作,执行业务编排流表中的动作时,先进行第一业务编排流表的动作,然后,按照规则依次进行第二业务编排流表和第三业务编排流表中的动作。
业务编排流表中的第一业务编排流表主要用于实现流量的区分,第二业务编排流表用于实现业务流量的自定义转发,第三业务编排流表实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发,该第三业务编排流表根据OVS交换机自学习能力生成,该功能为业内常规vlan二层转发技术,不再进行详细描述。
可选地,参考图2,根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表包括:
S201、根据流量转发路径确定目标安全产品以及目标安全产品间的转发顺序;
具体的,比如租户在安全管理平台上配置的流量转发路径为:安全产品A→安全产品B→安全产品C,然后回到租户的业务网络中去,那么,根据该流量转发路径可以确定目标安全产品以及目标安全产品间的转发顺序。
S202、将目标安全产品的mac地址作为第一业务编排流表的第一匹配项,以使第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作;
在得到目标安全产品后,将目标安全产品的mac地址作为第一业务编排流表的第一匹配项,以使第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作。比如,在得到目标安全产品为安全产品A后,将安全产品A的mac地址作为安全产品A的第一业务编排流表的第一匹配项;同理,可以得到安全产品B以及安全产品C的第一业务编排流表的第一匹配项。
S203、将自定义业务流量特征和目标安全产品的mac地址作为第二业务编排流表的第二匹配项,以使第二动作项根据业务流量与第二匹配项的匹配结果执行相应的动作。
在得到第一业务编排流表的第一匹配项后,将自定义业务流量特征和目标安全产品的mac地址作为第二业务编排流表的第二匹配项。比如,在得到目标安全产品为安全产品A后,将自定义业务流量特征(包括了自定义IP地址,自定义端口号,用于识别特定的业务流量)和目标安全产品的 mac地址(比如,业务流量现在到达了安全产品A,根据流量转发路径,那么再转发将会到达安全产品B,那么将安全产品B的mac地址也作为第二匹配项)作为第二业务编排流表的第二匹配项。
可选地,参考图3,第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作包括:
S301、判断业务流量的mac地址是否与当前目标安全产品的mac地址相同;
比如,当云平台上的业务流量到达安全产品A后,判断该业务流量的 mac地址是否与安全产品A的mac地址相同。
S302、如果相同,则判断业务流量是否带有vlan标签,其中,vlan标签用于表示业务流量所属的租户;
如果相同,也就是,该业务流量的转发路径正确,进一步判断该业务流量是否带有vlan标签。
S303、如果不带vlan标签,则为业务流量封装当前目标安全产品的vlan 标签,并将封装vlan标签后的业务流量发送至第三业务编排流表;
也就是,在业务流量标记上vlan标签,这样,就能获知该业务流量所属的租户,该业务流量与该目标安全产品所属的租户相同。
S304、如果带有vlan标签,则将带有vlan标签的业务流量发送至第一缺省项流表,以使第一缺省项流表将带有vlan标签的业务流量发送至第二业务编排流表。
可选地,第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作还包括:
S305、如果业务流量的mac地址与当前目标安全产品的mac地址不同,则将不同于当前目标安全产品的mac地址的业务流量发送至第一缺省项流表,以使第一缺省项流表将不同于当前目标安全产品的mac地址的业务流量发送至第二业务流表。
可选地,参考图4,第二动作项根据业务流量与第二匹配项的匹配结果执行相应的动作包括:
S401、判断业务流量是否与自定义业务流量特征匹配;
具体的,第二动作项先判断业务流量是否与自定义业务流量特征匹配,如果与自定义流量特征匹配,那么,说明该业务流量符合租户自定义的流量,也就是,该业务流量为租户要进行转发的业务流量。
S402、如果业务流量与自定义业务流量特征匹配,则判断业务流量的 mac地址是否与当前目标安全产品的mac地址匹配;
如果业务流量与自定义业务流量特征匹配,那么,进一步判断业务流量的mac地址是否与当前目标安全产品的mac地址匹配,如果业务流量的 mac地址与当前目标安全产品的mac地址匹配,也就是说,该业务流量的转发路径正确。
S403、如果业务流量的mac地址与当前目标安全产品的mac地址匹配,则将业务流量的mac地址修改为目的mac地址,以使业务流量到达下一个目标安全产品,其中,目的mac地址为流量转发路径中当前目标安全产品的下一个目标安全产品的mac地址。
具体的,比如,业务流量的mac地址为安全产品A的mac地址,当前的目标安全产品也为安全产品A,那么,说明业务流量的mac地址与当前目标安全产品的mac地址匹配,则将业务流量的mac地址修改为安全产品 B的mac地址,这样,业务流量在转发时就能够到达安全产品B,同理,也能按照上述的规则到达安全产品C,最终,通过安全产品C对应的port 发送出去,从安全产品C发回的流量进入第三业务编排流表处理。
S404、如果业务流量与自定义业务流量特征不匹配和/或业务流量的 mac地址与当前目标安全产品的mac地址不匹配,则将不匹配的业务流量发送至第二缺省项流表,以使第二缺省项流表将不匹配的业务流量发送至第三业务编排流表。
当租户将流量转发路径下发到SDN控制器上时,SDN控制器通过 ovsdb协议在业务流量经过的第一个安全产品所连接的OVS交换机上创建 vlan接口,同时发送免费arp。当OVS交换机接收到该vlan接口的arp请求时,通过packetin消息将arp请求发送给SDN控制器,SDN控制器生成 arp应答报文,通过packetout消息发送给OVS交换机,该过程也就是建立安全资源池与云平台之间的通信。
在本发明中,安全管理平台收集租户的vlan标签、安全产品的mac地址和安全产品的vlan标签,并通过API接口下发给SDN控制器;设计了3 级流表结构,第1级流表(即第一业务编排流表)匹配安全产品的mac地址进行vlan的封装,第2级流表根据租户流量转发路径、自定义业务流量特征、安全产品的mac地址实现业务流量的转发,第3级流表结合安全管理平台收集的信息、SDN控制器自学习的安全产品的port信息、安全产品连接的OVS交换机信息生成传统二层转发流表;每个租户都在OVS交换机上生成vlan接口,该vlan接口具备发送免费arp和响应arp请求的能力,云平台通过将租户的流量牵引到该接口实现流量进入安全资源池防护。
本发明简化了现有技术方案的安全资源池内部网络结构,降低了系统资源消耗;租户可以自定义流量转发路径,使得安全防护更加精细、灵活;减少了安全资源池内部网段数量,维护更加简单。
实施例二:
一种安全资源池实现租户业务流量编排的装置,参考图5,该装置包括:
接收模块20,用于接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,流量转发路径表示业务流量需要经过的目标安全产品;
生成模块21,用于根据流量转发路径,业务流量的特征,安全产品的属性信息生成业务编排流表,其中,业务编排流表用于表示业务流量的转发规则;
发送模块22,用于将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间进行转发。
本发明的安全资源池实现租户业务流量编排的装置中,SDN控制器接收安全管理平台发送的流量转发路径,业务流量特征以及安全产品的属性信息,然后,根据这些信息生成业务编排流表,进而,将业务编排流表发送至OVS交换机,以使OVS交换机根据业务编排流表对业务流量在目标安全产品间转发。本发明的安全资源池实现租户业务流量编排的装置中,通过OVS交换机直接实现了业务流量在目标安全产品间的转发,无需通过虚拟路由器和多个bridge配合实现业务流量在安全产品间的防护,也就是,无需建立多个bridge,安全资源池的内部网络结构简单,降低了系统资源消耗,减少了安全资源池内部网段数量,维护更加简单,缓解了现有的业务流量编排装置中,安全资源池的内部网络结构复杂,资源消耗大,网段数量多,维护困难的技术问题。
可选地,业务流量的特征包括:自定义业务流量特征,自带业务流量特征,自定义业务流量特征包括:自定义IP地址,自定义端口号,自带业务流量特征至少包括:业务流量的mac地址,属性信息至少包括:安全产品的vlan标签,安全产品的mac地址。
可选地,业务编排流表包括第一业务编排流表,第二业务编排流表,第三业务编排流表,
其中,第一业务编排流表包括多条第一规则和第一缺省项流表,每条第一规则包括:第一匹配项和第一动作项;
第二业务编排流表包括多条第二规则和第二缺省项流表,每条第二规则包括:第二匹配项和第二动作项;
第三业务编排流表用于实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发。
可选地,生成模块包括:
确定单元,用于根据流量转发路径确定目标安全产品以及目标安全产品间的转发顺序;
第一设定单元,用于将目标安全产品的mac地址作为第一业务编排流表的第一匹配项,以使第一动作项根据业务流量与第一匹配项的匹配结果执行相应的动作;
第二设定单元,用于将自定义业务流量特征和目标安全产品的mac地址作为第二业务编排流表的第二匹配项,以使第二动作项根据业务流量与第二匹配项的匹配结果执行相应的动作。
可选地,第一设定单元还用于,
判断业务流量的mac地址是否与当前目标安全产品的mac地址相同;
如果相同,则判断业务流量是否带有vlan标签,其中,vlan标签用于表示业务流量所属的租户;
如果不带vlan标签,则为业务流量封装当前目标安全产品的vlan标签,并将封装vlan标签后的业务流量发送至第三业务编排流表;
如果带有vlan标签,则将带有vlan标签的业务流量发送至第一缺省项流表,以使第一缺省项流表将带有vlan标签的业务流量发送至第二业务编排流表。
可选地,第一设定单元还用于,
如果业务流量的mac地址与当前目标安全产品的mac地址不同,则将不同于当前目标安全产品的mac地址的业务流量发送至第一缺省项流表,以使第一缺省项流表将不同于当前目标安全产品的mac地址的业务流量发送至第二业务流表。
可选地,第二设定单元还用于,
判断业务流量是否与自定义业务流量特征匹配;
如果业务流量与自定义业务流量特征匹配,则判断业务流量的mac地址是否与当前目标安全产品的mac地址匹配;
如果业务流量的mac地址与当前目标安全产品的mac地址匹配,则将业务流量的mac地址修改为目的mac地址,以使业务流量到达下一个目标安全产品,其中,目的mac地址为流量转发路径中当前目标安全产品的下一个目标安全产品的mac地址。
可选地,第二设定单元还用于,
如果业务流量与自定义业务流量特征不匹配和/或业务流量的mac地址与当前目标安全产品的mac地址不匹配,则将不匹配的业务流量发送至第二缺省项流表,以使第二缺省项流表将不匹配的业务流量发送至第三业务编排流表。
本发明实施例二中的具体内容可以参考上述实施例一中的内容,在此不再赘述。
实施例三:
本发明实施例提供了一种电子设备,参考图6,该电子设备包括:处理器30,存储器31,总线32和通信接口33,处理器30、通信接口33和存储器31通过总线32连接;处理器30用于执行存储器31中存储的可执行模块,例如计算机程序。处理器执行极端及程序时实现如方法实施例中描述的方法的步骤。
其中,存储器31可能包含高速随机存取存储器(RAM, RandomAccessMemory),也可能还包括非不稳定的存储器 (non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口33(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线32可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器31用于存储程序,处理器30在接收到执行指令后,执行程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器30中,或者由处理器30实现。
处理器30可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器30中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器30可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器31,处理器30读取存储器31中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的安全资源池实现租户业务流量编排的方法、装置及电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种安全资源池实现租户业务流量编排的方法,其特征在于,所述方法包括:
接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,所述流量转发路径表示业务流量需要经过的目标安全产品;
根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表,其中,所述业务编排流表用于表示所述业务流量的转发规则;
将所述业务编排流表发送至OVS交换机,以使所述OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发;
其中,所述业务流量的特征包括:自定义业务流量特征,自带业务流量特征,所述自定义业务流量特征包括:自定义IP地址,自定义端口号,所述自带业务流量特征至少包括:所述业务流量的mac地址,所述属性信息至少包括:所述安全产品的vlan标签,所述安全产品的mac地址;
所述业务编排流表包括:第一业务编排流表,第二业务编排流表,第三业务编排流表,其中,所述第一业务编排流表用于实现业务流量的区分,第二业务编排流表用于实现业务流量的自定义转发,所述第三业务编排流表用于实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发;
其中,所述第一业务编排流表包括多条第一规则和第一缺省项流表,每条第一规则包括:第一匹配项和第一动作项;
所述第二业务编排流表包括多条第二规则和第二缺省项流表,每条第二规则包括:第二匹配项和第二动作项;
其中,根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表包括:
根据所述流量转发路径确定所述目标安全产品以及所述目标安全产品间的转发顺序;
将所述目标安全产品的mac地址作为所述第一业务编排流表的第一匹配项,以使所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作;
将所述自定义业务流量特征和所述目标安全产品的mac地址作为所述第二业务编排流表的第二匹配项,以使所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作;
其中,所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作包括:
判断所述业务流量的mac地址是否与当前目标安全产品的mac地址相同;
如果相同,则判断所述业务流量是否带有vlan标签,其中,所述vlan标签用于表示所述业务流量所属的租户;
如果不带vlan标签,则为所述业务流量封装所述当前目标安全产品的vlan标签,并将封装vlan标签后的业务流量发送至所述第三业务编排流表;
如果带有vlan标签,则将所述带有vlan标签的业务流量发送至所述第一缺省项流表,以使所述第一缺省项流表将所述带有vlan标签的业务流量发送至所述第二业务编排流表。
2.根据权利要求1所述的方法,其特征在于,所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作还包括:
如果所述业务流量的mac地址与所述当前目标安全产品的mac地址不同,则将不同于当前目标安全产品的mac地址的业务流量发送至所述第一缺省项流表,以使所述第一缺省项流表将所述不同于当前目标安全产品的mac地址的业务流量发送至第二业务流表。
3.根据权利要求1所述的方法,其特征在于,所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作包括:
判断所述业务流量是否与所述自定义业务流量特征匹配;
如果所述业务流量与所述自定义业务流量特征匹配,则判断所述业务流量的mac地址是否与当前目标安全产品的mac地址匹配;
如果所述业务流量的mac地址与所述当前目标安全产品的mac地址匹配,则将所述业务流量的mac地址修改为目的mac地址,以使所述业务流量到达下一个目标安全产品,其中,所述目的mac地址为所述流量转发路径中当前目标安全产品的下一个目标安全产品的mac地址。
4.根据权利要求3所述的方法,其特征在于,
如果所述业务流量与所述自定义业务流量特征不匹配和/或所述业务流量的mac地址与所述当前目标安全产品的mac地址不匹配,则将不匹配的业务流量发送至所述第二缺省项流表,以使所述第二缺省项流表将所述不匹配的业务流量发送至所述第三业务编排流表。
5.一种安全资源池实现租户业务流量编排的装置,其特征在于,所述装置包括:
接收模块,用于接收安全管理平台发送的以下信息:流量转发路径,业务流量的特征,安全产品的属性信息,其中,所述流量转发路径表示业务流量需要经过的目标安全产品;
生成模块,用于根据所述流量转发路径,所述业务流量的特征,所述安全产品的属性信息生成业务编排流表,其中,所述业务编排流表用于表示所述业务流量的转发规则;
发送模块,用于将所述业务编排流表发送至OVS交换机,以使所述OVS交换机根据所述业务编排流表对所述业务流量在所述目标安全产品间进行转发;
其中,所述业务流量的特征包括:自定义业务流量特征,自带业务流量特征,所述自定义业务流量特征包括:自定义IP地址,自定义端口号,所述自带业务流量特征至少包括:所述业务流量的mac地址,所述属性信息至少包括:所述安全产品的vlan标签,所述安全产品的mac地址;
所述业务编排流表包括:第一业务编排流表,第二业务编排流表,第三业务编排流表,其中,所述第一业务编排流表用于实现业务流量的区分,第二业务编排流表用于实现业务流量的自定义转发,所述第三业务编排流表用于实现不同租户的业务流量相互隔离,同一租户的业务流量进行转发;
其中,所述第一业务编排流表包括多条第一规则和第一缺省项流表,每条第一规则包括:第一匹配项和第一动作项;
所述第二业务编排流表包括多条第二规则和第二缺省项流表,每条第二规则包括:第二匹配项和第二动作项;
其中,所述生成模块包括:
确定单元,用于根据所述流量转发路径确定所述目标安全产品以及所述目标安全产品间的转发顺序;
第一设定单元,用于将所述目标安全产品的mac地址作为所述第一业务编排流表的第一匹配项,以使所述第一动作项根据所述业务流量与所述第一匹配项的匹配结果执行相应的动作;
第二设定单元,用于将所述自定义业务流量特征和所述目标安全产品的mac地址作为所述第二业务编排流表的第二匹配项,以使所述第二动作项根据所述业务流量与所述第二匹配项的匹配结果执行相应的动作;
其中,所述第一设定单元还用于:
判断所述业务流量的mac地址是否与当前目标安全产品的mac地址相同;
如果相同,则判断所述业务流量是否带有vlan标签,其中,所述vlan标签用于表示所述业务流量所属的租户;
如果不带vlan标签,则为所述业务流量封装所述当前目标安全产品的vlan标签,并将封装vlan标签后的业务流量发送至所述第三业务编排流表;
如果带有vlan标签,则将所述带有vlan标签的业务流量发送至所述第一缺省项流表,以使所述第一缺省项流表将所述带有vlan标签的业务流量发送至所述第二业务编排流表。
6.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711010862.2A CN107819683B (zh) | 2017-10-25 | 2017-10-25 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711010862.2A CN107819683B (zh) | 2017-10-25 | 2017-10-25 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819683A CN107819683A (zh) | 2018-03-20 |
| CN107819683B true CN107819683B (zh) | 2021-01-26 |
Family
ID=61603043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711010862.2A Active CN107819683B (zh) | 2017-10-25 | 2017-10-25 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819683B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636036A (zh) * | 2018-06-22 | 2019-12-31 | 复旦大学 | 一种基于SDN的OpenStack云主机网络访问控制的方法 |
| CN109167795B (zh) * | 2018-09-27 | 2022-03-22 | 深信服科技股份有限公司 | 一种安全防御系统及方法 |
| CN111131034B (zh) * | 2019-11-28 | 2021-11-02 | 江苏艾佳家居用品有限公司 | 一种用于分布式系统的基于标签的环境隔离方法 |
| CN112822037B (zh) * | 2020-12-30 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
| CN114827045B (zh) * | 2022-06-23 | 2022-09-13 | 天津天睿科技有限公司 | 用于流量编排的方法和装置 |
| CN115484208A (zh) * | 2022-09-16 | 2022-12-16 | 杭州安恒信息技术股份有限公司 | 一种基于云安全资源池的分布式引流系统和方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152361B (zh) * | 2013-03-26 | 2015-12-02 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| CN104253770B (zh) * | 2013-06-27 | 2017-07-14 | 新华三技术有限公司 | 实现分布式虚拟交换机系统的方法及设备 |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| TWI618387B (zh) * | 2016-02-24 | 2018-03-11 | Method for improving packet processing of virtual switch |
-
2017
- 2017-10-25 CN CN201711010862.2A patent/CN107819683B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819683A (zh) | 2018-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819683B (zh) | 安全资源池实现租户业务流量编排的方法、装置及电子设备 | |
| JP6779341B2 (ja) | ボーダゲートウェイプロトコルを用いた最大セグメント識別子深度の外部アプリケーションへの呈示 | |
| US9654395B2 (en) | SDN-based service chaining system | |
| CN113630278B (zh) | 使用物理位置修改分布式虚拟网元的行为 | |
| CN104350467B (zh) | 用于使用sdn的云安全性的弹性实行层 | |
| US10177936B2 (en) | Quality of service (QoS) for multi-tenant-aware overlay virtual networks | |
| US10313205B2 (en) | Context-sensitive command whitelisting for centralized troubleshooting tool | |
| CN105765946B (zh) | 支持数据网络中的服务链接的方法和系统 | |
| CN106789542B (zh) | 一种云数据中心安全服务链的实现方法 | |
| US10298519B2 (en) | Virtual network | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| CN109995639B (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
| CN108494607B (zh) | 基于容器的大二层网络架构的设计方法及系统 | |
| US20180331960A1 (en) | Overload protection engine | |
| CN110247798A (zh) | 沿着阻塞链路传输特定业务 | |
| US10630579B1 (en) | Ensuring separate paths for network traffic between source devices and a destination device | |
| CN106657279B (zh) | 一种网络业务加速方法和设备 | |
| KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
| JP6557097B2 (ja) | 仮想ネットワーク監視システム、仮想ネットワーク監視方法、及び、プログラム | |
| EP4207699A1 (en) | Service packet forwarding method, sr policy sending method, device, and system | |
| CN106936795A (zh) | 建立互联网协议安全性隧道的方法和网关设备 | |
| US10469349B2 (en) | Conflict detection in a hybrid network device | |
| CN114039764A (zh) | 基于软件定义安全的安全服务功能链设计方法及系统 | |
| CN106878075B (zh) | 一种报文处理方法和装置 | |
| US20240106760A1 (en) | Network device level optimizations for latency sensitive rdma traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310051 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: DBAPPSECURITY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180320 Assignee: Hangzhou Anheng Information Security Technology Co., Ltd Assignor: Hangzhou Anheng Information Technology Co.,Ltd. Contract record no.: X2021330000118 Denomination of invention: Method, device and electronic equipment for realizing tenant business flow arrangement by secure resource pool Granted publication date: 20210126 License type: Common License Record date: 20210823 |
|
| EE01 | Entry into force of recordation of patent licensing contract |