CN108199958B - 一种通用的安全资源池服务链实现方法及系统 - Google Patents

一种通用的安全资源池服务链实现方法及系统 Download PDF

Info

Publication number
CN108199958B
CN108199958B CN201711487214.6A CN201711487214A CN108199958B CN 108199958 B CN108199958 B CN 108199958B CN 201711487214 A CN201711487214 A CN 201711487214A CN 108199958 B CN108199958 B CN 108199958B
Authority
CN
China
Prior art keywords
network
docking
router
service chain
customer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711487214.6A
Other languages
English (en)
Other versions
CN108199958A (zh
Inventor
陈晓帆
任勇兵
马耀泉
古亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201711487214.6A priority Critical patent/CN108199958B/zh
Publication of CN108199958A publication Critical patent/CN108199958A/zh
Application granted granted Critical
Publication of CN108199958B publication Critical patent/CN108199958B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Abstract

本发明实施例公开了一种通用的安全资源池服务链的实现方法,用于实现在客户网络不同的部署方式下,与安全资源池服务链的自动对接。本发明实施例方法包括:配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;通过网络对接装置自动实现与客户业务流量的对接;通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。

Description

一种通用的安全资源池服务链实现方法及系统
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种通用的安全资源池服务链实现方法及系统。
背景技术
随着安全资源池的概念逐渐被大众接受,安全资源池的部署方案也逐渐增多起来,部署过程中客户的需求主要分为三类:
1、客户的物理路由器支持策略路由功能,能将流量引到安全资源池进行清洗;
2、客户的路由不支持策略路由功能,则需要安全资源池即可以对流量进行清洗,也需要安全资源池实现策略路由的功能;
3、客户的原有物理安全设备是透明方式部署,则需要安全资源池可以代替原有物理设备,且需要安全资源池以透明方式部署,不能使用策略路由引流;
这三种需求分别对应安全资源池的路由模式、网关模式和透明模式,现需要安全资源池的引流方式能自动去适应不同客户的网络部署模式。
而目前主要的安全资源池的引流方法(如附图1所示)是通过策略路由进行引流,其中,针对南北向流量,是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密或解密。安全资源池内一般是通过一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作,如果是两层虚拟/物理路由(如附图2所示),第一次路由根据数据包租户ID(IP网段、VLAN ID等),将流量引导至不同租户的安全资源池网关(不同的第二层路由),由这个网关通过策略路由实现安全服务链,即让流量按顺序依次经过不同安全功能组件。如果只有一层虚拟/物理路由(如附图3所示),则直接根据租户ID,实现安全服务链。
而目前的这种安全资源池的引流方法,主要有以下的弊端:
1、在客户侧,需要客户的物理路由器支持策略路由功能;
2、在安全资源池侧,因为策略路由一般是根据数据包到达的路由器端口及数据包中的源/目的IP地址,来实现策略引流,而因为路由器的端口数量有限,且在策略引流时需要查询路由表,故策略路由在实现安全服务链引流时,匹配域有限,策略管理复杂,容易产生冲突,尤其是对于一层虚拟/物理路由结构,策略路由表更复杂。
3、目前的安全资源池引流方法,因为需要安全资源池路由,故该方法只支持路由模式部署,经过改造后也能支持网关模式部署,但却不支持透明模式(不使用路由器)部署。
4、目前的安全资源池引流方法,因为网络对接功能及安全资源池服务链的引流策略功能都是通过资源池的策略路由来实现的,故该安全资源池引流方法的网络对接部分和安全服务链引流部分紧耦合,且该策略路由在实现安全服务链引流时,策略管理复杂,在客户网络场景改变时,安全服务链也要重新部署,才能满足新场景下的引流需求。
发明内容
本发明实施例提供了一种通用的安全资源池服务链实现方法,用于通过安全资源池中的网络对接装置,实现与客户业务流量的自动对接,通过服务链引流装置,实现对客户业务流量的策略引流,且服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
本发明实施例第一方面提供了一种通用的安全资源池服务链实现方法,包括:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
通过网络对接装置自动实现与客户业务流量的对接;
通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
可选的,通过网络对接装置自动实现与客户业务流量的对接,包括:
通过网络对接装置以路由模式实现与客户业务流量的对接;
或,
通过网络对接装置以网关模式实现与客户业务流量的对接;
或,
通过网络对接装置以透明模式实现与客户业务流量的对接。
可选的,通过网络对接装置以路由模式实现与客户业务流量的对接,包括:
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器、交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器及交换设备后,实现与安全功能组件的对接。
可选的,通过网络对接装置以网关模式实现与客户业务流量的对接,包括:
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备后,实现与安全功能组件的对接;
或,
通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
可选的,通过网络对接装置以透明模式实现与客户业务流量的对接,包括:
通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
可选的,网络对接装置为虚拟的或物理的网络对接装置;
路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
服务链引流装置为虚拟的或物理的服务链引流装置;
交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
安全功能组件为虚拟的或物理的安全功能组件。
本发明实施例第二方面提供了一种通用的安全资源池服务链实现系统,包括:
配置单元,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
网络对接单元,用于通过网络对接装置自动实现与客户业务流量的对接;
服务链引流单元,用于通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
返回单元,用于在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
可选的,网络对接单元,包括:
第一对接模块,用于通过网络对接装置以路由模式实现与客户业务流量的对接;
或,
第二对接模块,用于通过网络对接装置以网关模式实现与客户业务流量的对接;
或,
第三对接模块,用于通过网络对接装置以透明模式实现与客户业务流量的对接。
可选的,第一对接模块,包括:
第一对接子模块,用于将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器、交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
第二对接子模块,用于将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器及交换设备后,实现与安全功能组件的对接。
可选的,第二对接模块,包括:
第三对接子模块,用于将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
第四对接子模块,用于将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备后,实现与安全功能组件的对接;
或,
第五对接子模块,用于通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
可选的,第三对接模块,包括:
第六对接子模块,用于通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
可选的,网络对接装置为虚拟的或物理的网络对接装置;
路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
服务链引流装置为虚拟的或物理的服务链引流装置;
交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
安全功能组件为虚拟的或物理的安全功能组件。
本发明实施例还提供了一种计算机装置,包括处理器,该处理器在执行存储于存储器上的计算机程序时,用于实现以下的步骤:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
通过网络对接装置自动实现与客户业务流量的对接;
通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
本发明实施例还提供了一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,用于实现以下的步骤:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
通过网络对接装置自动实现与客户业务流量的对接;
通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明中,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过通过网络对接装置实现与客户业务流的自动对接,通过服务链引流装置以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
附图说明
图1为现有技术中安全资源池的引流方法网络部署示意图;
图2为现有技术中安全资源池中通过两层虚拟/物理路由实现引流的网络部署示意图;
图3为现有技术中安全资源池中通过一层虚拟/物理路由实现引流的网络部署示意图;
图4为本发明实施例中通用的安全资源池服务链网络部署方式示意图;
图5为本发明实施例中通用的安全资源池服务链实现方法的一个实施例示意图;
图6A为本发明实施例中以路由模式部署安全资源池的一个网络部署示意图;
图6B为本发明实施例中以路由模式部署安全资源池的另一个网络部署示意图;
图6C为本发明实施例中以路由模式部署安全资源池的另一个网络部署示意图;
图7为本发明实施例中通用的安全资源池服务链实现方法的另一个实施例示意图;
图8为安全服务链相关的功能结构示意图;
图9为本发明实施例中以网关模式部署安全资源池的网络部署示意图;
图10A为本发明实施例中以网关模式部署安全资源池的另一网络部署示意图;
图10B为本发明实施例中以网关模式部署安全资源池的另一网络部署示意图;
图11为本发明实施例中通用的安全资源池服务链实现方法的另一个实施例示意图;
图12为本发明实施例中以透明模式部署安全资源池的网络部署示意图;
图13为本发明实施例中通用的安全资源池服务链实现方法的另一个实施例示意图;
图14为本发明实施例中通用的安全资源池服务链实现系统的一个实施例示意图;
图15为本发明实施例中通用的安全资源池服务链实现系统的另一个实施例示意图;
图16为本发明实施例中通用的安全资源池服务链实现系统的另一个实施例示意图;
图17为本发明实施例中通用的安全资源池服务链实现系统的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种通用的安全资源池服务链实现方法,用于通过安全资源池中的网络对接装置,实现客户方网络在不同的部署方式下,与客户业务流量的自动对接,并且通过服务链引流装置,实现对客户业务流量的策略引流,且服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
为便于理解,先对本文中的专业术语解释如下:
SDN:软件定义网络,由SDN控制器和交换设备构成。
SDN交换设备:软件定义网络中转发层面的设备,可以是物理实体,也可以是软件程序,负责网络数据包的查表转发工作。
OVS:Open VSwitch,一种开源稳定的软件SDN交换机,也支持传统网络。
VPP:Vector Packet Processing,一种开源稳定的软件交换机/路由器,支持SDN网络和传统网络。
SFC:service function chain,服务链,将物理/虚拟功能组件,主要是L4~L7层功能组件(如防火墙、VPN),按照一定顺序串起来,让特定流量按照预定顺序经过这些安全功能组件的技术。
NSH:network function header,服务链的数据包头部,里面包括服务链路径ID,路径上各安全功能组件的编号,元数据等信息。NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。
安全资源池:安全功能组件的集合,包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。这些安全功能组件即可以是物理的,也可以是虚拟的。
安全服务链:在安全资源池中使用服务链技术,让待检测清洗的流量按顺序依次经过对应的物理/虚拟安全功能组件。
网络对接:本专利中特指安全资源池的虚拟网络与客户物理网络的控制面信息和转发面流量的对接。
南北向流量:客户业务系统与外网通信的流量。
东西向流量:客户网络内部的通信流量,可以是同个租户内部流量,可以是跨租户的流量。
策略路由:一种比基于目标网络进行路由更加灵活的数据包路由转发机制,每个策略都定义了一个或多个的匹配规则和对应操作。
网关:客户网络的出口路由器,是客户南北向流量的唯一出口,会实现NAT等功能。对于多租户场景,每个租户需要一个网关,租户间通信流量或租户与外网通信的流量,都需要经过对应网关。
透明模式:安全功能组件或安全资源池串接在客户内部网络与客户网关之间,类似一根网线,客户的网络设备感受不到,故称为透明模式。
NAT:Network Address Translation,网络地址转换,包括SNAT和DNAT。SNAT转换数据包的源IP地址,DNAT转换数据包的目的IP地址。
Overlay隧道技术:包括VXLAN、GRE、NVGRE、STT、Geneve等。
基于现有技术中如附图1、附图2及附图3所示的安全资源池部署方式的下列缺陷:
1、在客户侧,需要客户的物理路由器支持策略路由功能;
2、在安全资源池侧,因为策略路由一般是根据数据包到达的路由器端口及数据包中的源/目的IP地址,来实现策略引流,而因为路由器的端口数量有限,且在策略引流时需要查询路由表,故策略路由在实现安全服务链引流时,匹配域有限,策略管理复杂,容易产生冲突,尤其是对于一层虚拟/物理路由结构,策略路由表更复杂。
3、目前的安全资源池引流方法,因为需要安全资源池路由,故该方法只支持路由模式部署,经过改造后也能支持网关模式部署,但却不支持透明模式(不使用路由器)部署。
4、目前的安全资源池引流方法,因为网络对接功能及安全资源池服务链的引流策略功能都是通过资源池的策略路由来实现的,故该安全资源池引流方法的网络对接部分和安全服务链引流部分紧耦合,且该策略路由在实现安全服务链引流时,策略管理复杂,在客户网络场景改变时,安全服务链也要重新部署,才能满足新场景下的引流需求。
本发明实施例提出了一种通用的安全资源池服务链实现方法,为便于理解,下面详细描述本发明实施例中的通用的安全资源池服务链实现方法,请参阅图4及图5,本发明实施例中通用的安全资源池服务链实现方法的一个实施例,包括:
501、配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
如图4所示,客户业务云为客户本地的数据中心或私有云,承载客户业务系统,而客户业务系统用于产生客户业务流量。外网为客户业务云以外的网络,一般指Internet。入境流量,即外网流量从网络对接装置的WAN口进入路由器,再通过LAN口,进入客户网络;出境流量,即内网从LAN口进入路由器,再通过WAN口,进入外部网络。
安全资源池为安全功能组件的集合,包括防火墙、虚拟专用网络VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。这些安全功能组件即可以是物理的,也可以是虚拟的,所以需要配置安全资源池的安全功能组件。
而为了实现安全资源池与客户业务流量的对接,则需要通用的安全资源池服务链实现系统配置安全资源池中的网络对接装置,其中网络对接装置包括路由器和/或交换设备,以用于通过路由器和/或交换设备,实现与客户业务流量的对接。
SFC:service function chain,服务链,是将物理/虚拟功能组件,主要是L4~L7层功能组件(如防火墙、VPN),按照一定顺序串起来,让特定流量按照预定顺序经过这些安全功能组件的技术。根据OSI网络模型,网络可以分为7层,其中L1(第一层)为物理层,L2(第二层)为数据链路层,L3(第三层)为网络层,L4(第四层)为传输层,L5(第五层)为会话层,L6(第六次)为表示层,L7(第七次)为应用层,则L4~L7层即为传输层~应用层。
而为了实现客户业务流量通过网络对接装置后,以预定顺序经过安全资源池中的安全功能组件,则需要通用的安全资源池服务链实现系统给安全资源池配置服务链引流装置,以起到对客户业务流量安全引流的作用,而区别于路由器根据路由表对客户业务流量进行引流,本实施例中的服务链引流装置为交换设备,且该交换设备支持自定义匹配域的灵活引流,具体的,交换设备可以为物理的或虚拟的,其中虚拟的交换设备可以是OVS(OpenVSwitch)或VPP(Vector Packet Processing),其中,OVS是一种开源稳定的软件SDN交换机,既支持SDN网络,也支持传统网络,VPP是一种开源稳定的软件交换机/路由器,支持SDN网络和传统网络,此处对于担任服务链引流装置的交换设备的类型不做具体限制。
一方面服务链引流装置(交换设备)可以实现对现有技术中路由器即担当网络对接功能,又担当策略引流功能的解耦,又可以通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
具体的,NSH(network function header),服务链的数据包头部,里面包括服务链路径ID,路径上各安全功能组件的编号,元数据等信息。NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。而对于交换设备如何通过自定义匹配域引流功能,及NSH封包方式,简化引流相关的转发表项,在下面的步骤中详细描述。
502、通过网络对接装置自动实现与客户业务流量的对接;
如图4所示,安全资源池配置了网络对接装置后,即可以通过网络对接装置中的路由器和/交换设备,实现在客户方配置物理策略路由,或物理路由(不支持策略功能),或不配置物理路由的多种情况下,与客户业务流量之间的对接。
具体的,对于安全资源池如何通过路由器和/或交换设备,实现在客户方网络的不同配置下,与客户业务流量之间的对接,在下面的实施例中详细描述。
503、通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
如图4所示,客户业务流量通过网络对接装置进入安全资源池后,若要进入安全功能组件,则需要安全资源池通过服务链引流装置进行引流,而区别于现有技术中路由器根据策略路由表实现对客户业务流量的引流,本实施例中的服务链引流装置通过自定义匹配域引流功能,及NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
具体的,路由器的策略引流是根据数据包到达的路由器端口、数据包中的源IP及目标IP,决定每个数据包被路由的下一跳地址,这样每个IP或IP段都需要配置一个策略,使得路由器上配置的路由映射中的策略数量很大,一方面降低了路由器对于数据包的转发速度,另一方面策略路由中的优先级不容易决定,很容易发生冲突。
而OVS/VPP不仅支持openflow1.0协议,也支持openflow1.3协议,而openflow1.3支持的匹配域多达40多个,具体包括但不限于OSI模型中L1层中的交换机入端口;L2层中的源MAC地址(Ether source)、目的MAC地址(Ether dst)、以太网类型(EnterType)、以太网标签(VLAN id)、VLAN优先级(VLAN priority);L3层中的源IP(IP src)、目的IP(IP dst)、IP协议字段(IP proto)、IP服务类型(IP ToS bits);L4层中的TCP/UDP源端口号(TCP/UDPsrc port)、TCP/UDP目的端口号(TCP/UDP dst port)等,且NSH封包根据NSH的服务链路径ID(spi字段)和当前节点位置信息(si)信息,即可决定数据包的下一跳地址,从而简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
504、在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
如图4所示,客户业务流量在经过安全功能组件进行清洗后,与步骤502及503相反,客户业务流量经过服务链引流装置和网络对接装置后,返回到客户业务系统,或进入到外网。
本发明中,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过通过网络对接装置实现与客户业务流的自动对接,通过服务链引流装置以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
基于图5所述的实施例,下面详细描述本发明实施例中通用的安全资源池服务链实现方法,其中,针对客户方网络的不同部署方式,安全资源池可以通过三种模式实现与客户业务流的对接,下面从各个方面来详细描述:
一、通过网络对接装置以路由模式实现与客户业务流量的对接;
请参阅图6A、6B、6C及图7,本发明实施例中通用的安全资源池服务链实现方法的另一个实施例,包括:
701、配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
需要说明的是,本实施例中的步骤701与图5所述的步骤501类似,此处不再赘述。
702、通过网络对接装置以路由模式实现与客户业务流量的对接;
如图6A所示,是一种在SDN中以路由模式部署安全资源池的网络部署示意图,其中安全资源池是在客户方配置有物理核心策略路由时,通过路由模式与客户业务流量实现对接的,安全资源池的网络对接装置为路由器和二层交换模块,服务链引流装置为交换设备。其中,安全资源池中的路由器、二层交换模块和交换设备分别可以为物理的或虚拟的,而对于SDN来讲,路由器和交换设备一般都为虚拟的软件设备,而二层交换模块既可以是独立的虚拟软件,也可以是虚拟路由器或虚拟交换设备上的功能模块。在本实施例中,OVS和VPP是一种常用的虚拟交换机,其中,OVS(Open VSwitch),是一种开源稳定的软件SDN交换机,也支持传统网络;VPP(Vector Packet Processing),是一种开源稳定的软件交换机/路由器,支持SDN网络和传统网络。
需要说明的是,实际应用中,安全资源池中的网络部署可以由图6A演变为图6B及图6C中的网络部署方式,具体的,当二层交换模块为独立的软件模块时,安全资源池的网络部署方式如图6A所示;当二层交换模块以功能模块的形式集成在虚拟路由上时,安全资源池的网络部署方式由图6A演变为图6B;当二层交换模块以功能模块的形式集成在OVS/VPP上时,安全资源池的网络部署方式由图6A演变为图6C。
容易理解的是,当安全资源池以图6A所示的方式部署时,客户业务流量的出境流向为:物理核心策略路由器—虚拟二层交换模块—虚拟路由器—OVS/VPP—安全功能组件;相反的,流量的入境流向为:安全功能组件—OVS/VPP—虚拟路由器—虚拟二层交换模块—物理核心策略路由器。
当安全资源池以图6B所示的方式部署时,客户业务流量的出境流向为:物理核心策略路由器—虚拟路由器—OVS/VPP—安全功能组件;相反的,流量的入境流向为:安全功能组件—OVS/VPP—虚拟路由器—物理核心策略路由器。
当安全资源池以图6C所示的方式部署时,客户业务流量的出境流向为:物理核心策略路由器—OVS/VPP(用的是OVS/VPP的二层交换功能)—虚拟路由器—OVS/VPP(用的是OVS/VPP的引流功能)—安全功能组件;相反的,流量的入境流向为:安全功能组件—OVS/VPP(用的是OVS/VPP的引流功能)—虚拟路由器—OVS/VPP(用的是OVS/VPP的二层交换功能)—物理核心策略路由器。
在实际网络部署中,为了简化客户业务流量的网络路径,在图6C所示的网络部署中,可以在客户业务流量经过物理核心策略路由器,来到OVS/VPP时,按照MAC地址,客户业务流量本来是要被转发到虚拟路由器的,但此时OVS/VPP可以代替虚拟路由器实现MAC地址及TTL修改的功能,直接将客户业务流量转发到安全功能组件中。其中,TTL是Time To Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。TTL是由发送主机设置的,以防止数据包不断在IP互联网络上永不终止地循环,转发IP数据包时,要求路由器至少将TTL减小1。故在实际应用中,可以通过修改OVS/VPP的MAC地址表及TTL,将本要转发至虚拟路由器的客户业务流量转发到安全功能组件中。
当修改OVS/VPP的MAC地址表及TTL后,本实施例中客户业务流量的出境流向为物理核心策略路由器—OVS/VPP—安全功能组件,但流量的入境流向依然为安全功能组件—OVS/VPP(用的是OVS/VPP的引流功能)—虚拟路由器—OVS/VPP(用的是OVS/VPP的二层交换功能)—物理核心策略路由器,因为在流量的入境流向上,需要虚拟路由器实现ARP代答功能,其中ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。
当二层交换模块以功能模块的形式集成在虚拟路由器或OVS/VPP上时,需要虚拟路由器和OVS/VPP分别至少具备以下功能:
虚拟路由器的功能至少包括:ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流,NAT。其中,ARP应答指回复对自身MAC地址的ARP请求,ARP代答是指虚拟路由器代替安全功能组件回复对安全功能组件MAC地址的ARP请求。代发ARP包是指在网关模式下,数据包经过安全服务链的检测和过滤后,来到虚拟路由器,需要有下一跳的MAC地址,数据包才能转发出去,此时虚拟路由器缓存数据包,构造ARP请求询问下一跳的MAC地址,并将ARP请求发送出去,等收到ARP回复,再修改原数据包的目的MAC地址和源MAC地址,将数据包转发出去。运行路由协议是指运行静态/动态路由协议,与其它路由器交换路由信息,形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。引流是指指依据五元组等匹配域将流量引到虚拟路由器或安全服务链的OVS/VPP。NAT包括源地址转换SNAT和目的地址转换DNAT功能。
OVS/VPP至少包括虚拟二层交换功能,其中,虚拟二层交换功能包括以下内容:MAC地址学习,二层转发,VLAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系,建立二层转发表。二层转发指根据目的MAC,查询二层转发表,将数据包从正确的交换机端口转发出去。VLAN包头的封装/解封装是指:在数据包交给虚拟路由或OVS/VPP其它模块之前,剥离VLAN包头;在数据包经过安全服务链,再次来到虚拟二层交换模块时,给数据包加上VLAN包头。
具体的,当客户业务流量经过网络对接装置后,如何实现由服务链引流装置引流到安全功能组件,及OVS/VPP担任服务链引流装置时,所具备的基本功能在下面的步骤中详细描述。
703、通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
如图6A、6B及6C所示,客户业务流量经过网络对接装置以路由模式被引流至OVS/VPP时,此时客户业务流量通过OVS/VPP以NSH的封包方式,将客户业务流量引流至安全功能组件,因为OVS/VPP支持自定义匹配语的灵活引流,故OVS/VPP可以通过NSH的封包方式,简化引流相关的转发表项,实现流表项的简洁化及自动化管理。
具体的,OVS/VPP相较于路由器,实现流表项简洁化及自动化的原因在步骤503中已经详细描述,此处不再赘述。
本实施例中,当OVS/VPP充当服务链的引流装置时,要求OVS/VPP至少具备流分类,安全服务链引流,Proxy及overlay隧道功能。其中,安全服务链相关的功能结构示意图如图8所示。
具体的,流分类是指通过灵活的匹配域组合,及不同的服务质量要求,对流量进行分类,并打上NSH标签。安全服务链引流是指根据服务链相关的转发策略和数据包的NSH标签,对流量进行转发,使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。Proxy是指对于无法识别NSH标签的安全功能组件,OVS/VPP会先去掉数据包的NSH标签,再发送给安全功能组件,当数据包从安全功能组件回来时,会重新进行流分类或者通过proxy把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时,不同物理主机的OVS/VPP可以通过overlay隧道功能进行数据包的传输,此处隧道主要用于隔离安全资源池中不同租户的流量,此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等。
704、在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
如图6A、6B及6C所示,在客户业务流量经由步骤702中的网络对接装置(OVS/VPP的虚拟二层交换模块和虚拟路由器)后,被引流至步骤703中的服务链引流装置(OVS/VPP)中,最后由OVS/VPP将客户业务流量转发至资源池中的安全功能组件中,对流量进行清洗或安全检测。
在客户业务流量被清洗或安全检测后,客户业务流表通过服务链引流装置和网络对接装置返回至客户业务中心系统或外网。
具体的,图6A、6B及6C中,客户业务流量的入境流向已在步骤702中详细描述,此处不再赘述。
本发明中,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过通过网络对接装置实现与客户业务流的自动对接,通过服务链引流装置以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过网络对接装置以路由模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
二、通过网络对接装置以网关模式实现与客户业务流量的对接;
请参阅图9、图10A、图10B及图11,本发明实施例中通用的安全资源池服务链实现方法的另一个实施例,包括:
1101、配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
需要说明的是,本实施例中的步骤1001与图5所述的步骤501类似,此处不再赘述。
1102、通过网络对接装置以网关模式实现与客户业务流量的对接;
如图9所示,是一种在SDN中以网关模式部署安全资源池的网络部署示意图,其中安全资源池是通过网关模式与客户业务流量实现对接的,当客户方没有配置物理核心策略路由器时,安全资源池的网络对接装置为路由器和交换设备,其中,安全资源池中的路由器和交换设备分别可以为物理的或虚拟的,而对于SDN来讲,路由器和交换设备一般都为虚拟的软件设备,而本实施例中,OVS和VPP是一种常用的虚拟交换机。OVS(Open VSwitch),是一种开源稳定的软件SDN交换机,也支持传统网络;VPP(Vector Packet Processing),是一种开源稳定的软件交换机/路由器,支持SDN网络和传统网络。
当路由器和交换设备分别为虚拟路由器和OVS/VPP时,要求虚拟路由器和OVS/VPP至少具备以下功能:
虚拟路由器的功能至少包括:ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流,NAT。其中,ARP应答指回复对自身MAC地址的ARP请求,ARP代答是指虚拟路由器代替安全功能组件回复对安全功能组件MAC地址的ARP请求。代发ARP包是指在网关模式下,数据包经过安全服务链的检测和过滤后,来到虚拟路由器,需要有下一跳的MAC地址,数据包才能转发出去,此时虚拟路由器缓存数据包,构造ARP请求询问下一跳的MAC地址,并将ARP请求发送出去,等收到ARP回复,再修改原数据包的目的MAC地址和源MAC地址,将数据包转发出去。运行路由协议是指运行静态/动态路由协议,与其它路由器交换路由信息,形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。引流是指指依据五元组等匹配域将流量引到虚拟路由器或安全服务链的OVS/VPP。NAT包括源地址转换SNAT和目的地址转换DNAT功能。
OVS/VPP至少包括虚拟二层交换功能,其中,虚拟二层交换功能包括以下内容:MAC地址学习,二层转发,VLAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系,建立二层转发表。二层转发指根据目的MAC,查询二层转发表,将数据包从正确的交换机端口转发出去。VLAN包头的封装/解封装是指:在数据包交给虚拟路由或OVS/VPP其它模块之前,剥离VLAN包头;在数据包经过安全服务链,再次来到虚拟二层交换模块时,给数据包加上VLAN包头。
具体的,在本实施例中,安全资源池的虚拟路由器代替客户方的核心物理路由器,称为客户业务云的网关,此时要求虚拟路由器能够实现策略路由功能。而客户业务云和安全资源池可以处于同个二层网络,也可以在不同二层网络。
1,客户业务云和安全资源池处于同个二层网络
当客户业务云和安全资源池处于同个二层网络时,客户业务云的出境流量(从客户业务云到安全资源池)和入境流量(从安全资源池到客户业务云)都可以不经过虚拟路由器,直接经过交换设备(OVS/VPP),实现客户业务流量的互通。
2、客户业务云和安全资源池不在同个二层网络
当客户业务云和安全资源池不在同个二层网络时,虚拟路由器同时担任客户方核心物理策略路由和安全资源池默认网关的角色,此时网关模式退化为路由模式。
具体的,如图9所示,OVS/VPP分别与虚拟路由器及安全功能组件连接,此时客户业务流量的出境流向为客户业务流量经过OVS/VPP的二层交换模块、虚拟路由器,再经过OVS/VPP流至安全功能组件。其中,客户业务流量经过OVS/VPP时,由OVS/VPP的虚拟二层交换模块查询MAC地址表,将客户业务流量发送至虚拟路由器,最终经过虚拟路由器的引流、三层转发及NAT功能,将客户业务流量引流至OVS/VPP,再由OVS/VPP将流量转发到安全功能组件中,进行流量清洗或安全检测。
需要说明的是,实际应用中,安全资源池中的网络部署可以由图9演变为图10A及图10B中的网络部署方式,具体的,当OVS/VPP的虚拟二层交换功能集成在路由器上时,资源池的网络部署方式由图9演变为图10A,此时,客户业务流量的出境流向为:客户业务流量经过安全资源池中的虚拟路由器(此时虚拟路由器同时担任客户方核心路由和安全资源池的默认网关,且虚拟路由器支持策略路由功能)、再从虚拟路由器到OVS/VPP(主要应用的是OVS/VPP的引流功能),最后客户业务流量由OVS/VPP引流至安全功能组件中进行清洗或安全检测。而当安全资源池中的虚拟二层交换功能及引流功能全部集成在OVS/VPP上时,安全资源池中的网络部署方式由图9演变为图10B的网络部署方式,此时,客户业务流量的出境流向为:客户业务流量经过OVS/VPP(主要应用的是OVS/VPP的虚拟二层交换功能),从OVS/VPP到虚拟路由器(此时虚拟路由器不需要支持策略路由功能),再从虚拟路由器再到OVS/VPP(应用的是OVS/VPP的引流功能),最后客户业务流量由OVS/VPP引流至安全功能组件中进行清洗或安全检测。
同样的,类似于图7所述的步骤702,在实际网络部署中,为了简化客户业务流量的网络路径,可以在图10B所示的网络部署中,在客户业务流量来到OVS/VPP时,按照MAC地址,客户业务流量本来是要被转发到虚拟路由器的,但此时OVS/VPP可以代替虚拟路由器实现MAC地址及TTL修改的功能,直接将客户业务流量转发到安全功能组件中。其中,TTL是TimeTo Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。TTL是由发送主机设置的,以防止数据包不断在IP互联网络上永不终止地循环,转发IP数据包时,要求路由器至少将TTL减小1。故在实际应用中,可以通过修改OVS/VPP的MAC地址表及TTL,将本要转发至虚拟路由器的客户业务流量转发到安全功能组件中。
当修改OVS/VPP的MAC地址表及TTL后,本实施例中客户业务流量的出境流向为客户业务流量经过OVS/VPP直接流至安全功能组件中,对客户业务流量进行清洗或安全检测,而客户业务流量的入境流向依然为安全功能组件—OVS/VPP(用的是OVS/VPP引流功能)—虚拟路由器—OVS/VPP(用的是OVS/VPP交换功能),因为在入境流向上,必须要由虚拟路由器实现ARP代答功能,其中ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。
具体的,客户业务流量经过网络对接装置(OVS/VPP和路由器)后,如何由OVS/VPP将客户业务流量引导至安全功能组件,将在下面的步骤中详细描述。
1103、通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
如图9所示,客户业务流量经过网络对接装置以网关模式被引流至OVS/VPP时,此时客户业务流量通过OVS/VPP以NSH的封包方式,将客户业务流量引流至安全功能组件,因为OVS/VPP支持自定义匹配语的灵活引流,故OVS/VPP可以通过NSH的封包方式,简化引流相关的转发表项,实现流表项的简洁化及自动化管理。
具体的,OVS/VPP相较于路由器,实现流表项简洁化及自动化的原因在步骤503中已经详细描述,此处不再赘述。
本实施例中,当OVS/VPP充当服务链的引流装置时,要求OVS/VPP至少具备流分类,安全服务链引流,Proxy及overlay隧道功能。
流分类是指通过灵活的匹配域组合,及不同的服务质量要求,对流量进行分类,并打上NSH标签。安全服务链引流是指根据服务链相关的转发策略和数据包的NSH标签,对流量进行转发,使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。Proxy是指对于无法识别NSH标签的安全功能组件,OVS/VPP会先去掉数据包的NSH标签,再发送给安全功能组件,当数据包从安全功能组件回来时,会重新进行流分类或者通过proxy把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时,不同物理主机的OVS/VPP可以通过overlay隧道功能进行数据包的传输,此处隧道主要用于隔离安全资源池中不同租户的流量,此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等。
1104、在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
如图9所示,在客户业务流量由OVS/VPP转发至安全资源池中的安全功能组件中,对流量进行清洗或安全检测。
在客户业务流量被清洗或安全检测后,客户业务流表通过服务链引流装置和网络对接装置返回至客户业务中心系统或外网。
可以理解的是,对应于步骤1102和1103中描述的客户业务流量的不同出境流向,客户业务流量的入境流向在不同情况下的流向分别为:
1、客户业务云和安全资源池处于同个二层网络
当客户业务云和安全资源池处于同个二层网络时,客户业务流量的入境流向为:安全功能组件—OVS/VPP—客户业务云/外网。
2、客户业务云和安全资源池不在同个二层网络
当客户业务云和安全资源池不在同个二层网络时,客户业务流量的入境流向为:安全功能组件—OVS/VPP—虚拟路由器—OVS/VPP—客户业务云/外网。
需要说明的是,对应于步骤1102中,客户业务流量的两种出境流向:1、OVS/VPP的二层交换模块—虚拟路由器—OVS/VPP—安全功能组件;2、OVS/VPP—安全功能组件,在步骤1104中,客户业务流量的入境流向都为安全功能组件—OVS/VPP—虚拟路由器—OVS/VPP的二层交换模块—客户业务云/外网,因为OVS/VPP作为交换设备,无法实现ARP代答功能,当安全功能组件与客户方不处于相同的二层网络时,必须通过虚拟路由器实现对安全功能组件的ARP代答功能。
本发明中,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过通过网络对接装置实现与客户业务流的自动对接,通过服务链引流装置以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过网络对接装置以网关模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
二、通过网络对接装置以透明模式实现与客户业务流量的对接;
请参阅图12及图13,本发明实施例中通用的安全资源池服务链实现方法的另一个实施例,包括:
1301、配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
需要说明的是,本实施例中的步骤1301与图5所述的步骤501类似,此处不再赘述。
1302、通过网络对接装置以透明模式实现与客户业务流量的对接;
如图12所示,客户原有物理安全设备是透明模式部署,现通过安全资源池替换物理安全设备,但又不想改动原有网络拓扑,此时安全资源池必须以透明模式接入。安全资源池的安全组件和客户业务云在同个二层,此时,由交换设备(OVS/VPP)担任客户业务云的网络对接装置,客户业务流量来到OVS/VPP,先经过经过虚拟二层转发模块做相应处理,再发送给安全功能组件,经过安全功能组件后,客户业务流量回到OVS/VPP,OVS/VPP的虚拟二层转发模块流量通过WAN口或LAN口转发出去。也就是说,客户业务流量的出境流向为客户业务云—OVS/VPP—安全功能组件。
透明模式下,交换设备(OVS/VPP)至少具备以下功能:虚拟二层交换,流分类,安全服务链引流,Proxy,overlay隧道。
具体的,各功能的具体作用在图10所述的实施例中都已详细描述,此处不再赘述。
1303、通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
如图12所示,客户业务流量以透明模式被引流至OVS/VPP时,此时客户业务流量通过OVS/VPP以NSH的封包方式,将客户业务流量引流至安全功能组件,因为OVS/VPP支持自定义匹配域的灵活引流,故OVS/VPP可以通过NSH的封包方式,简化引流相关的转发表项,实现流表项的简洁化及自动化管理。
1304、在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
如图12所示,在客户业务流量经过安全组件后,对应于步骤1302及步骤1303,客户业务流量的入境流向为:安全功能组件—OVS/VPP—客户业务云。
本发明中,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过通过网络对接装置实现与客户业务流的自动对接,通过服务链引流装置以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过网络对接装置以网关模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
上面描述了通用的安全资源池服务链实现方法,下面来描述本发明实施例中通用的安全资源池服务链实现系统,请参阅图14,本发明实施例中通用的安全资源池服务链实现系统的一个实施例,包括:
配置单元1401,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
网络对接单元1402,用于通过网络对接装置自动实现与客户业务流量的对接;
服务链引流单元1403,用于通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
返回单元1404,用于在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户或外网。
需要说明的是,本发明实施例中各单元的作用与图5所述实施例中安全资源池的作用类似,此处不再赘述。
本发明中,通过配置单元1401,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过网络对接单元1402,实现与客户业务流的自动对接,通过服务链引流单元1403以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
基于图14所述的实施例,安全资源池可以通过网络对接装置以不同的方式实现客户业务流量与安全资源池的对接,下面从各方面来详细描述:
一、通过网络对接装置以路由模式实现与客户业务流量的对接
请参阅图15,本发明实施例中通用的安全资源池服务链实现系统的另一个实施例,包括:
配置单元1501,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
网络对接单元1502,用于通过网络对接装置自动实现与客户业务流量的对接;
服务链引流单元1503,用于通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
返回单元1504,用于在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户或外网。
其中,网络对接单元1502包括:
第一对接模块15021,用于通过网络对接装置以路由模式实现与客户业务流量的对接;
具体的,第一对接模块15021包括:
第一对接子模块150211,用于将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器、交换设备及路由器实现与安全功能组件的对接;
或,
第二对接子模块15022,用于将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器及交换设备,实现与安全功能组件的对接。
需要说明的是,本实施例中各单元、各模块及各子模块的作用与图7所述实施例中通用的安全资源池服务链实现系统的作用相同,此处不再赘述。
本发明中,通过配置单元1501,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过网络对接单元1502,实现与客户业务流的自动对接,通过服务链引流单元1503以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过第一对接模块15021以路由模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
二、通过网络对接装置以网关模式实现与客户业务流量的对接
请参阅图16,本发明实施例中通用的安全资源池服务链实现系统的另一个实施例,包括:
配置单元1601,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
网络对接单元1602,用于通过网络对接装置自动实现与客户业务流量的对接;
服务链引流单元1603,用于通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
返回单元1604,用于在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户或外网。
其中,网络对接单元1602,包括:
第二对接模块16022,用于通过网络对接装置以网关模式实现与客户业务流量的对接;
具体的,第二对接模块16022包括:
第三对接子模块160221,用于将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
第四对接子模块160222,用于将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备后,实现与安全功能组件的对接;
或,
第五对接子模块160223,用于通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
需要说明的是,本实施例中各单元、各模块及各子模块的作用与图10所述实施例中通用的安全资源池服务链实现系统的作用类似,此处不再赘述。
本发明中,通过配置单元1601,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过网络对接单元1602,实现与客户业务流的自动对接,通过服务链引流单元1603以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过第二对接模块16022以网关模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
三、通过网络对接装置以透明模式实现与客户业务流量的对接
请参阅图17,本发明实施例中通用的安全资源池服务链实现系统的另一个实施例,包括:
配置单元1701,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
网络对接单元1702,用于通过网络对接装置自动实现与客户业务流量的对接;
服务链引流单元1703,用于通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
返回单元1704,用于在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户或外网。
其中,网络对接单元1702,包括:
第三对接模块17023,用于通过网络对接装置以透明模式实现与客户业务流量的对接;
具体的,第三对接模块17023,包括:
第六对接子模块170231,用于通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
需要说明的是,本实施例中各单元、各模块及各子模块的作用与图13所述实施例中通用的安全资源池服务链实现系统的作用类似,此处不再赘述。
本发明中,通过配置单元1701,先配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,其中,网络对接装置包括路由器和/或交换设备,服务链引流装置包括所述交换设备,且该交换设备支持自定义匹配域的灵活引流;其次,通过网络对接单元1702,实现与客户业务流的自动对接,通过服务链引流单元1703以NSH封包方式,将客户业务流表引流至安全功能组件。因为网络对接装置中的路由器和/或交换设备,能够与客户业务中心系统在配置物理策略路由,或物理路由,或不配置物理路由等多种方式下实现流量对接,从而满足了客户方网络不同部署方式下接入服务链的差异需求,其次,服务链引流装置的自定义匹配域引流功能,使得服务链引流装置能够通过NSH封包方式,简化引流相关的转发表项,实现流表项的管理更加简洁化及自动化。
其次,本实施例中的安全资源池是通过第三对接模块17023以透明模式实现与客户业务流量的对接,实现了对接模式的灵活性,满足了客户网络部署模式的多样性。
上面从模块化功能实体的角度对本发明实施例中的通用的安全资源池服务链实现系统进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置用于实现通用的安全资源池服务链实现系统的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
通过网络对接装置自动实现与客户业务流量的对接;
通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
通过网络对接装置以路由模式实现与客户业务流量的对接;
或,
通过网络对接装置以网关模式实现与客户业务流量的对接;
或,
通过网络对接装置以透明模式实现与客户业务流量的对接。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器、交换设备、路由器及交互设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器及交换设备后,实现与安全功能组件的对接。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备后,实现与安全功能组件的对接;
或,
通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
通过交换设备,使得客户业务流量通过交换设备实现与安全功能组件的对接。
其中,网络对接装置为虚拟的或物理的网络对接装置;
路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
服务链引流装置为虚拟的或物理的服务链引流装置;
交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
安全功能组件为虚拟的或物理的安全功能组件。
可以理解的是,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述通用的安全资源池服务链实现系统的执行过程。例如,所述计算机程序可以被分割成上述通用的安全资源池服务链实现系统中的各单元,各单元可以实现如上述相应通用的安全资源池服务链实现系统说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现通用的安全资源池服务链实现系统的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;
通过网络对接装置自动实现与客户业务流量的对接;
通过服务链引流装置以服务链数据包头部NSH的封包方式,将客户业务流量引流至安全功能组件;
在客户业务流量经过安全功能组件以后,通过服务链引流装置和网络对接装置将客户业务流量返回至客户业务中心系统或外网。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过网络对接装置以路由模式实现与客户业务流量的对接;
或,
通过网络对接装置以网关模式实现与客户业务流量的对接;
或,
通过网络对接装置以透明模式实现与客户业务流量的对接。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器、交换设备、路由器及交互设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,将交换设备与客户的物理核心策略路由器连接,使得客户业务流量通过客户的物理核心策略路由器及交换设备后,实现与安全功能组件的对接。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备、路由器及交换设备后,实现与安全功能组件的对接;
或,
将路由器和交换设备连接,路由器具备策略路由功能,使得客户业务流量通过交换设备后,实现与安全功能组件的对接;
或,
通过交换设备,使得客户业务流量通过交换设备后,实现与安全功能组件的对接。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过交换设备,使得客户业务流量通过交换设备实现与安全功能组件的对接。
其中,网络对接装置为虚拟的或物理的网络对接装置;
路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
服务链引流装置为虚拟的或物理的服务链引流装置;
交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
安全功能组件为虚拟的或物理的安全功能组件。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (14)

1.一种通用的安全资源池服务链实现方法,其特征在于,包括:
配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,所述网络对接装置包括路由器和/或交换设备,所述服务链引流装置包括交换设备,所述服务链引流装置中的交换设备支持自定义匹配域的灵活引流;
通过所述网络对接装置自动实现与客户业务流量的对接;
通过所述服务链引流装置以服务链数据包头部NSH的封包方式,将所述客户业务流量引流至所述安全功能组件;
在所述客户业务流量经过所述安全功能组件以后,通过所述服务链引流装置和所述网络对接装置将所述客户业务流量返回至客户业务中心系统或外网。
2.根据权利要求1所述的方法,其特征在于,所述通过所述网络对接装置自动实现与客户业务流量的对接,包括:
通过所述网络对接装置以路由模式实现与客户业务流量的对接;
或,
通过所述网络对接装置以网关模式实现与客户业务流量的对接;
或,
通过所述网络对接装置以透明模式实现与客户业务流量的对接。
3.根据权利要求2所述的方法,其特征在于,所述通过所述网络对接装置以路由模式实现与客户业务流量的对接,包括:
将所述路由器和所述网络对接装置中的交换设备连接,将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接,使得所述客户业务流量通过所述客户的物理核心策略路由器、所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后,实现与所述安全功能组件的对接;
或,
当所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时,将所述路由器和所述网络对接装置中的交换设备连接,将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接,使得所述客户业务流量通过所述客户的物理核心策略路由器及所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
4.根据权利要求2所述的方法,其特征在于,所述通过所述网络对接装置以网关模式实现与客户业务流量的对接,包括:
当所述安全资源池与所述客户业务中心系统处于不同二层网络,将所述路由器和所述网络对接装置中的交换设备连接,所述路由器具备策略路由功能,使得所述客户业务流量通过所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后,实现与所述安全功能组件的对接;
或,
当所述安全资源池与所述客户业务中心系统处于不同二层网络,且所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时,将所述路由器和所述网络对接装置中的交换设备连接,所述路由器具备策略路由功能,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接;
或,
当所述安全资源池与所述客户业务中心系统处于同个二层网络,设置所述网络对接装置中的交换设备,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
5.根据权利要求2所述的方法,其特征在于,所述通过所述网络对接装置以透明模式实现与客户业务流量的对接,包括:
当所述安全资源池与所述客户业务中心系统处于同个二层网络,设置所述网络对接装置中的交换设备,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述网络对接装置为虚拟的或物理的网络对接装置;
所述路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
所述服务链引流装置为虚拟的或物理的服务链引流装置;
所述交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
所述安全功能组件为虚拟的或物理的安全功能组件。
7.一种通用的安全资源池服务链实现系统,其特征在于,包括:
配置单元,用于配置安全资源池的网络对接装置、服务链引流装置及安全功能组件,所述网络对接装置包括路由器和/或交换设备,所述服务链引流装置包括交换设备,所述服务链引流装置中的交换设备支持自定义匹配域的灵活引流;
网络对接单元,用于通过所述网络对接装置自动实现与客户业务流量的对接;
服务链引流单元,用于通过所述服务链引流装置以服务链数据包头部NSH的封包方式,将所述客户业务流量引流至所述安全功能组件;
返回单元,用于在所述客户业务流量经过所述安全功能组件以后,通过所述服务链引流装置和所述网络对接装置将所述客户业务流量返回至客户业务中心系统或外网。
8.根据权利要求7所述的系统,其特征在于,所述网络对接单元,包括:
第一对接模块,用于通过所述网络对接装置以路由模式实现与客户业务流量的对接;
或,
第二对接模块,用于通过所述网络对接装置以网关模式实现与客户业务流量的对接;
或,
第三对接模块,用于通过所述网络对接装置以透明模式实现与客户业务流量的对接。
9.根据权利要求8所述的系统,其特征在于,所述第一对接模块,包括:
第一对接子模块,用于将所述路由器和所述网络对接装置中的交换设备连接,将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接,使得所述客户业务流量通过所述客户的物理核心策略路由器、所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后,实现与所述安全功能组件的对接;
或,
第二对接子模块,当所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时,用于将所述路由器和所述网络对接装置中的交换设备连接,将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接,使得所述客户业务流量通过所述客户的物理核心策略路由器及所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
10.根据权利要求8所述的系统,其特征在于,所述第二对接模块,包括:
第三对接子模块,当所述安全资源池与所述客户业务中心系统处于不同二层网络,用于将所述路由器和所述网络对接装置中的交换设备连接,所述路由器具备策略路由功能,使得所述客户业务流量通过所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后,实现与所述安全功能组件的对接;
或,
第四对接子模块,当所述安全资源池与所述客户业务中心系统处于不同二层网络,且所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时,用于将所述路由器和所述网络对接装置中的交换设备连接,所述路由器具备策略路由功能,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接;
或,
第五对接子模块,当所述安全资源池与所述客户业务中心系统处于同个二层网络,用于设置所述网络对接装置中的交换设备,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
11.根据权利要求8所述的系统,其特征在于,所述第三对接模块,包括:
第六对接子模块,当所述安全资源池与所述客户业务中心系统处于同个二层网络,用于设置所述网络对接装置中的交换设备,使得所述客户业务流量通过所述网络对接装置中的交换设备后,实现与所述安全功能组件的对接。
12.根据权利要求7至11中任一项所述的系统,其特征在于,所述网络对接装置为虚拟的或物理的网络对接装置;
所述路由器至少具备ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
所述服务链引流装置为虚拟的或物理的服务链引流装置;
所述交换设备至少具备二层交换,流分类,安全服务链引流,Proxy及overlay隧道功能;
所述安全功能组件为虚拟的或物理的安全功能组件。
13.一种计算机装置,包括处理器,其特征在于,所述处理器在执行存储于存储器中的计算机程序时,用于实现如权利要求1至6中任一项所述的通用的安全资源池服务链实现方法。
14.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至6中任一项所述的通用的安全资源池服务链实现方法。
CN201711487214.6A 2017-12-29 2017-12-29 一种通用的安全资源池服务链实现方法及系统 Active CN108199958B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711487214.6A CN108199958B (zh) 2017-12-29 2017-12-29 一种通用的安全资源池服务链实现方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711487214.6A CN108199958B (zh) 2017-12-29 2017-12-29 一种通用的安全资源池服务链实现方法及系统

Publications (2)

Publication Number Publication Date
CN108199958A CN108199958A (zh) 2018-06-22
CN108199958B true CN108199958B (zh) 2021-04-09

Family

ID=62587165

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711487214.6A Active CN108199958B (zh) 2017-12-29 2017-12-29 一种通用的安全资源池服务链实现方法及系统

Country Status (1)

Country Link
CN (1) CN108199958B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495391A (zh) * 2018-12-18 2019-03-19 天津城建大学 一种基于sdn的安全服务链系统及数据包匹配转发方法
CN109981355A (zh) * 2019-03-11 2019-07-05 北京网御星云信息技术有限公司 用于云环境的安全防御方法及系统、计算机可读存储介质
CN111988266B (zh) * 2019-05-24 2022-05-17 华为技术有限公司 一种处理报文的方法
CN110113435B (zh) * 2019-05-27 2022-01-14 绿盟科技集团股份有限公司 一种流量清洗的方法和设备
WO2021016869A1 (en) * 2019-07-30 2021-02-04 Alibaba Group Holding Limited Apparatus and method for controlling data transmission in network system
CN112995316B (zh) * 2021-02-25 2023-05-12 深信服科技股份有限公司 数据处理方法、装置、电子设备和存储介质
CN113904867B (zh) * 2021-10-30 2023-07-07 杭州迪普科技股份有限公司 用于vxlan二层组网的流量处理方法及系统
CN115296842A (zh) * 2022-06-27 2022-11-04 深信服科技股份有限公司 业务流量的编排方法、装置、应用交付设备及介质
CN115277308B (zh) * 2022-07-20 2023-04-25 杭州迪普科技股份有限公司 云资源池sslvpn设备部署方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257502A (zh) * 2008-01-31 2008-09-03 陈勇 一种保护服务器和网络方法
CN101651622A (zh) * 2008-08-14 2010-02-17 丛林网络公司 用于具有基于区域的防火墙的路由器中的多播的安全服务
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法
CN106961422A (zh) * 2017-02-24 2017-07-18 中国人民解放军信息工程大学 一种dns递归服务器的拟态安全方法及装置
CN107154860A (zh) * 2016-03-03 2017-09-12 中国移动通信集团公司 一种保护倒换方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2957080B1 (en) * 2013-02-12 2020-06-10 Hewlett-Packard Enterprise Development LP Network control using software defined flow mapping and virtualized network functions

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257502A (zh) * 2008-01-31 2008-09-03 陈勇 一种保护服务器和网络方法
CN101651622A (zh) * 2008-08-14 2010-02-17 丛林网络公司 用于具有基于区域的防火墙的路由器中的多播的安全服务
CN107154860A (zh) * 2016-03-03 2017-09-12 中国移动通信集团公司 一种保护倒换方法及系统
CN106961422A (zh) * 2017-02-24 2017-07-18 中国人民解放军信息工程大学 一种dns递归服务器的拟态安全方法及装置
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法

Also Published As

Publication number Publication date
CN108199958A (zh) 2018-06-22

Similar Documents

Publication Publication Date Title
CN108199958B (zh) 一种通用的安全资源池服务链实现方法及系统
CN108173694B (zh) 一种数据中心的安全资源池接入方法及系统
CN107911258B (zh) 一种基于sdn网络的安全资源池的实现方法及系统
CN107920023B (zh) 一种安全资源池的实现方法及系统
US11411776B2 (en) Multi-cloud VPC routing and registration
US10841210B2 (en) Service function proxy performance in software defined networks
US9967185B1 (en) Interface for extending service capabilities of a network device
US10454821B2 (en) Creating and maintaining segment routed traffic engineering policies via border gateway protocol
US10313235B2 (en) Internet control message protocol enhancement for traffic carried by a tunnel over internet protocol networks
US10116556B2 (en) Techniques for routing and forwarding between multiple virtual routers implemented by a single device
EP2748991B1 (en) Extension of logical networks across layer 3 virtual private networks
KR102054338B1 (ko) 개별 관리들을 이용하는 vlan 태깅된 패킷들의 가상 포워딩 인스턴스들의 원단 주소들로의 라우팅
US7738457B2 (en) Method and system for virtual routing using containers
JP2022511404A (ja) 動的なインテントベースのファイアウォール
US20170019428A1 (en) Using symmetric and asymmetric flow response paths from an autonomous system
US10298717B2 (en) Context export from an access point to a fabric infrastructure
US7613188B1 (en) Ethernet VLL spoke termination at an IP interface
KR20120060810A (ko) 통신망 사이에서 데이터를 라우팅하는 기술
US11956141B2 (en) Service chaining with physical network functions and virtualized network functions
US10965596B2 (en) Hybrid services insertion
US11632445B2 (en) Packet recirculation for tunneling encapsulation
WO2021073622A1 (en) Routing control in external autonomous system by using customer-specific tunnel
US20200067829A1 (en) Methods and devices for intelligent selection of channel interfaces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant