CN108322467B - 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 - Google Patents
基于ovs的虚拟防火墙配置方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN108322467B CN108322467B CN201810107810.5A CN201810107810A CN108322467B CN 108322467 B CN108322467 B CN 108322467B CN 201810107810 A CN201810107810 A CN 201810107810A CN 108322467 B CN108322467 B CN 108322467B
- Authority
- CN
- China
- Prior art keywords
- flow table
- ovs
- rule
- physical host
- table rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于OVS的虚拟防火墙配置方法,包括如下步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接,并将虚拟机的MAC地址写入openflow流表;根据所述MAC地址建立白名单流表规则或黑名单流表规则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;判断流经该OVS的数据包的属性是否与最高的优先权的白名单流表规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数据包。若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数据包。基于OVS的openfolw流表配置网络流量过滤规则实现虚拟防火墙的功能,避免了传统虚拟防火墙配置需要的防火墙控制器以及防火墙软件的方式,以达到规避传统虚拟防火墙的缺点的目的,配置策略丰富、灵活。
Description
技术领域
本发明涉及一种防火墙安全技术,尤其涉及一种基于OVS的虚拟防火墙配 置方法。
背景技术
目前,云资源管理平台是通过网络对物理资源,虚拟资源、业务资源进行 统一管理的虚拟化平台。虚拟机是云计算虚拟网络通信的重要节点,虚拟机安 全可以依靠虚拟机系统本身的防火墙服务来配置,例如linux系统的iptables service。对于虚拟网络的网络流量控制防火墙解决方案中,可以分为基于虚拟机 交换机的配置访问控制列表控制策略和在虚拟机内运行虚拟机防火墙软件两 种。
中国专利申请201410252561.0公开了分布式虚拟防火墙装置及方法,提出 一种基于虚拟交换机vSwitch的防火墙模块,使用防火墙控制器对网络流量进行 过滤的防火墙配置方法。该方法对于云计算环境中的主机集群,每台主机上都 部署一个防火墙模块,在主机集群的控制节点上部署防火墙控制器,用于对整 个集群环境中所有的防火墙模块进行统一管理和策略配置。通过防火墙控制器 还接收用户或云计算管理节点的防火墙策略信息。防火墙模块接收来自防火墙 控制器发送的配置信息和防火墙策略进行网络流量的检测。
但是,现有的先存在以下缺陷:
(1)采用虚拟交换机vSwitch的防火墙模块使用防火墙控制器来实现防火 墙功能,就必须要保持与防火墙控制器的心跳。防火墙模块与防火墙控制器需 要建立连接,用户配置的防火墙策略信息是必须通过防火墙控制器的可实施性 预分析才能将用户配置的防火墙策略信息发送给防火墙模块。一旦连接断开, 就需要用户根据控制器反馈信息,进行修改。
(2)采用虚拟防火墙软件方式安装防火墙,通常需要安装其他不相干的模 块,哪怕只用防火墙模块。而有的防火墙软件过滤规则要逐条过滤网络流量, 性能较差。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供一种基于OVS的虚 拟防火墙配置方法,其可以避免防火墙控制的心跳连接问题。
本发明的目的之二在于提供一种电子设备,其可以避免防火墙控制的心跳 连接问题。
本发明的目的之三在于提供一种计算机可读存储介质,其可以避免防火墙 控制的心跳连接问题。
本发明的目的之一采用如下技术方案实现:
一种基于OVS的虚拟防火墙配置方法,包括如下步骤:
地址写入步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接, 并将虚拟机的MAC地址写入openflow流表;
规则建立步骤:根据所述MAC地址建立白名单流表规则或黑名单流表规 则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;所述 白名单流表规则和黑名单流表规则均包括所属物理主机、源类型、源对象值、 协议、端口号、目标类型、目标对象值;
判断步骤:判断流经该OVS的数据包的属性是否与最高的优先权的白名单 流表规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数 据包。
进一步地,所述优先权的级别根据白名单流表规则或黑名单流表规则中的 优先权数值的大小由高至低排列。
进一步地,所述白名单流表规则和黑名单流表规则由用户输入。
本发明的目的之二采用如下技术方案实现:
一种电子设备,包括处理器、存储器以及存储在存储器中并可被处理器执 行的计算机程序,所述计算机程序被处理器执行时实现以下步骤:
地址写入步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接, 并将虚拟机的MAC地址写入openflow流表;
规则建立步骤:根据所述MAC地址建立白名单流表规则或黑名单流表规 则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;所述 白名单流表规则和黑名单流表规则均包括所属物理主机、源类型、源对象值、 协议、端口号、目标类型、目标对象值;
判断步骤:判断流经该OVS的数据包的属性是否与最高的优先权的白名单 流表规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数 据包。
进一步地,所述优先权的级别根据白名单流表规则或黑名单流表规则中的 优先权数值的大小由高至低排列。
进一步地,所述白名单流表规则和黑名单流表规则由用户输入。
本发明的目的之三采用如下技术方案实现:
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处 理器执行时实现如本发明任意一项所述的方法。
相比现有技术,本发明的有益效果在于:
基于OVS的openfolw流表配置网络流量过滤规则实现虚拟防火墙的功能, 避免了传统虚拟防火墙配置需要的防火墙控制器以及防火墙软件的方式,以达 到规避传统虚拟防火墙的缺点的目的,配置策略丰富、灵活。
附图说明
图1为本发明的白名单配置方法流程图;
图2为本发明的黑名单配置方法流程图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述,需要说明的 是,在不相冲突的前提下,以下描述的各实施例之间或各技术特征之间可以任 意组合形成新的实施例。
本发明提供一种基于OVS的虚拟防火墙配置方法,主要包括以下关键步骤:
1、加载系统数据库已保存的防火墙规则。系统启动时,将系统保存的防火 墙规则从数据库中查出来,加载到内存中。防火墙规则所属物理主机、源类型 (IP、IP段、MAC)、源对象值、协议、端口号、目标类型(IP、IP段、MAC)、 目标对象值、以及单双向等信息。2、下发规则到物理主机的OVS。系统启动时, 对查出来的防火墙规则,根据所属物理主机建立ssh(ssh为Secure Shell的缩写, 为建立在应用层和传输层基础上的安全协议)连接,执行“ovs-ofctl add-flows< 规则>action=drop/normal”命令(ovs-ofctl add-flows命令是OVS添加openflow 流表规则的命令),实现下发规则到物理主机下面的所有bridge。action是这条规 则的参数之一,action=drop表示数据包匹配到这条规则的话,ovs将丢弃这个数 据包,action=normal表示数据包匹配到这条规则的话,ovs将允许这个数据包通 过。3、新增一条规则,在系统界面上填写流表规则所需参数:物理主机、源类 型(IP、IP段、MAC)、源对象值、协议、端口号、目标类型(IP、IP段、MAC)、 目标对象值、以及单双向等信息。提交到系统程序后台后,程序根据规则所在 物理主机,下发命令到ovs上的所有bridge,同第2步。4、下发命令成功后, 保存规则到系统数据库保存。之后可使用两台或以上虚拟机验证规则是否生效。
物理主机下面的虚拟机通过ovs进行网络通信,ovs上的openflow流表,控 制数据包的流通规则,实现虚拟防火墙的功能。不需要连接防火墙控制器,避 免连接的防火墙控制心跳连接断开的问题。直接采用流表过滤数据包,避免了 通过安装防火墙软件的方式。管理员在新增防火墙规则时,直接在前端界面上 输入源对象类型(IP、IP段、MAC)、源对象值、协议、端口、目标对象类型(IP、 IP段、MAC)、目标对象值、单双向等信息,然后点击确定按钮,就能在物理主 机上下法openflow流表规则。规则将应用于物理主机下的所有虚拟机。也就是 说规则正在下发到的是物理主机ovs上面的所有bridge。下发命令成功以后,系统自动根据下发结果来决定是否保存规则到系统数据库。保存在数据库的防火 墙规则,可以用于界面展示。
从白名单和黑名单的角度可以将本发明归为包括白名单配置方法和黑名单 配置方法,
如图1所示,白名单配置方法包括如下步骤:
S11:使每一物理主机下的所有虚拟机之间两两隔离,并将虚拟机的MAC 地址写入openflow流表;
S12:根据所述MAC地址建立白名单流表规则,将该白名单流表规则下发 至所属物理主机的OVS;所述白名单流表规则规则均包括所属物理主机、源类 型、源对象值、协议、端口号、目标类型、目标对象值;
S13:判断流经该OVS的数据包的属性是否与最高的优先权的白名单流表 规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数据包。
例如,添加一条白名单规则,ip 192.168.1.100到ip192.168.1.101单向的http协议8080端口的规则,其实就是两条openflow流表命令,为:
ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0,priority=25, nw_src=192.168.1.100,nw_dst=192.168.1.101,http,tp_dst=8080,action=normal"
ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0,priority=25, nw_src=192.168.1.101,nw_dst=192.168.1.100,http,tp_dst=8080,action=normal"
添加流表命令后面的action=normal,表示满足从192.168.1.100发送http请 求到192.168.1.101的8080端口的数据包,允许通过ovs上的虚拟交换机bridge。 流表规则按照priority优先级别匹配流表规则,priority数字越大,优先级别越大。 数据包匹配规则会按照优先级最大的匹配。当数据包通过ovs的时候,匹配到上 面的两条流表规则,ovs会让数据包通过。而我们实际看到的是,192.168.1.100 能够访问到192.168.1.101http协议8080端口的服务(假设这两个ip的虚拟机都 在这个物理主机下面)。首先让物理主机上所有的虚拟机互相隔离,互相不能通 信。只需要在安装完虚拟机的时候,把虚拟机的MAC地址写到ovs的流表里面, 并且action=drop。如:
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=15,dl_src=e2:84:3a:b7:0a:f5,action=drop"
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=20,dl_src=e2:84:3a:b7:0a:f5,arp,action=normal"
以上两条命令就是把虚拟机网卡MAC为e2:84:3a:b7:0a:f5,所有的数据包 都放弃掉,只允许发出arp的包。这里注意priority的数字优先级。虚拟机创建 出来,执行以上两条命令,虚拟机就是隔离的。这时候要看比这两条规则更高 优先级的流规则是否存在,并且满足匹配这个虚拟机,可以是IP、IP段、MAC。 比如前面的192.168.1.100到192.168.1.101的http协议8080端口的规则优先级 priority=25比这两条命令的规则优先级更高,并且刚好192.168.1.100是这台虚 拟机的话,虚拟机将能够访问192.168.1.101的http8080端口的服务,这就是防 火墙白名单了。
将上面的案例进行整合,首先设置前提条件,包括用户使用的物理主机使 用OVS来作为网络管理堆栈和虚拟机直接的网络通信设备为OVS虚拟交换机。 白名单为例的整体流程包括部署虚拟机完成后,把虚拟机网卡设置为隔离状态。 可用以下两条openflow命令实现。
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=15,dl_src=e2:84:3a:b7:0a:f5,action=drop"
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=20,dl_src=e2:84:3a:b7:0a:f5,arp,action=normal"。
经过第一步后,这时ovs还没有更高级的流表规则,虚拟机就是隔离状态的。 在系统界面添加白名单流表规则,如下:
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=25,dl_src=e2:84:3a:b7:0a:f5,nw_dst=192.168.1.101,http,tp_dst=8080,action=normal"
sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=25,nw_src=192.168.1.101,dl_dst=e2:84:3a:b7:0a:f5,http,tp_dst=8080,action=normal"
由此,底层ovs添加白名单规则以后,MAC地址为e2:84:3a:b7:0a:f5的虚 拟机就能够访问192.168.1.101http协议8080端口的服务,即防火墙白名单设置 完成。
本发明实现的原理是利用ovs中openflow的流表规则来设置虚拟防火墙。 一个重要的属性就是流表的priority属性值,这个值越大,优先级别越高。匹配 过程中取最大优先级的流表规则(这是ovs的openflow规则匹配的一个特性)。 如上所讲的白名单例子,就是利用了这个匹配特性实现的。所谓白名单,就是 虚拟机默认是被隔离的(虚拟机发出和接收的数据包都被ovs丢弃),添加一条 规则后,虚拟机能通信(虚拟机发出和接收数据包是能通过ovs)。所以满足这 个条件,需要利用priority特性并且有两条规则:
1.sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=15,dl_src=e2:84:3a:b7:0a:f5,action=drop"(这条规则priority设计为15, 这是自定义的,创建虚拟机后,把匹配虚拟机MAC的数据包默认都被ovs丢弃)。
2.sudo ovs-ofctl add-flow xenbr0"table=0,idle_timeout=0, priority=25,dl_src=e2:84:3a:b7:0a:f5,nw_dst=192.168.1.101,http,tp_dst=8080,action=normal"(这条规则priority设计为20,也是自定义的,只要比上面drop规则的 priority大即可)
情景一:OVS的bridge只有1这条规则时,也就是虚拟机创建出来后, “priority=15action=drop”虚拟机创建出来就被隔离了。
情景二:OVS的bridge同时拥有1、2两条规则时,“priority=15action=drop” 和“priority=25action=normal”,我们利用ovs openflow匹配的特性知道, e2:84:3a:b7:0a:f5这个mac地址发出来的数据包,经过ovs的bridge的时候,遇 见两条规则,但是会选择匹配“priority=25action=normal”的规则,因为priority=25 比priority=15大,于是数据包通过了ovs。这就是实现上面所述的白名单例子的 原理。
另外,nw_src表示源mac地址,nw_dst表示目标mac地址,dl_src表示源ip,dl_dst表示目标ip。在数据请求过程中,数据包都是带有源头和目标以及协 议和端口号的。数据包经过ovs的虚拟交换机的时候,要经过流表规则匹配过滤。 从而决定这个数据包是允许通过还是禁止通过。通过添加流表规则就可以控制 数据包的过滤。以达到防火墙的作用。
如图2所示,本发明还提供白名单配置方法,包括如下步骤:
S21:使每一物理主机下的所有虚拟机之间两两连接,并将虚拟机的MAC 地址写入openflow流表;
S22:根据所述MAC地址建立黑名单流表规则,将该黑名单流表规则下发 至所属物理主机的OVS;所述黑名单流表规则规则均包括所属物理主机、源类 型、源对象值、协议、端口号、目标类型、目标对象值;
S23:判断流经该OVS的数据包的属性是否与最高的优先权的黑名单流表 规则匹配,若是,则丢弃该数据包,否则,使数据包通过物理主机OVS上的桥。
黑名单配置方法的原理都与白名单相同,其案例也可参照白名单配置方法 的举例,在此不再赘述。本发明提供的虚拟防火墙配置方法,避免了传统虚拟 防火墙配置需要的防火墙控制器以及防火墙软件的方式。提出了基于ovs的 openflow流表的方式实现虚拟防火墙功能。以达到规避传统虚拟防火墙的缺点 的目的。使用IP、IP段、MAC等多种配置规则,具有配置策略丰富、灵活等特 点。
本发明还提供一种电子设备,包括处理器、存储器以及存储在存储器中并 可被处理器执行的计算机程序,所述计算机程序被处理器执行时实现以下步骤:
地址写入步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接, 并将虚拟机的MAC地址写入openflow流表;
规则建立步骤:根据所述MAC地址建立白名单流表规则或黑名单流表规 则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;所述 白名单流表规则和黑名单流表规则均包括所属物理主机、源类型、源对象值、 协议、端口号、目标类型、目标对象值;
判断步骤:判断流经该OVS的数据包的优先权是否大于白名单流表规则或 黑名单流表规则的优先权,若是,则使数据包通过物理主机OVS上的桥,否则, 丢弃该数据包。
还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于, 所述计算机程序被处理器执行时实现如本发明任意一项所述的方法。
上述实施方式仅为本发明的优选实施方式,不能以此来限定本发明保护的 范围,本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换 均属于本发明所要求保护的范围。
Claims (7)
1.一种基于OVS的虚拟防火墙配置方法,其特征在于,包括如下步骤:
地址写入步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接,并将虚拟机的MAC地址写入openflow流表;其中,白名单配置方法时每一物理主机下的所有虚拟机之间两两隔离;黑名单配置方法时每一物理主机下的所有虚拟机之间两两连接;
规则建立步骤:根据所述MAC地址建立白名单流表规则或黑名单流表规则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;所述白名单流表规则和黑名单流表规则均包括所属物理主机、源类型、源对象值、协议、端口号、目标类型、目标对象值;
判断步骤:白名单配置方法时,判断流经该OVS的数据包的属性是否与最高的优先权的白名单流表规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数据包;黑名单配置方法时,判断流经该OVS的数据包的属性是否与最高的优先权的黑名单流表规则匹配,若是,则丢弃该数据包,否则,使数据包通过物理主机OVS上的桥。
2.如权利要求1所述的虚拟防火墙配置方法,其特征在于,所述优先权的级别根据白名单流表规则或黑名单流表规则中的优先权数值的大小由高至低排列。
3.如权利要求1或2所述的虚拟防火墙配置方法,其特征在于,所述白名单流表规则和黑名单流表规则由用户输入。
4.一种电子设备,其特征在于,包括处理器、存储器以及存储在存储器中并可被处理器执行的计算机程序,所述计算机程序被处理器执行时实现以下步骤:
地址写入步骤:使每一物理主机下的所有虚拟机之间两两隔离或两两连接,并将虚拟机的MAC地址写入openflow流表;其中,白名单配置方法时每一物理主机下的所有虚拟机之间两两隔离;黑名单配置方法时每一物理主机下的所有虚拟机之间两两连接;
规则建立步骤:根据所述MAC地址建立白名单流表规则或黑名单流表规则,将该白名单流表规则或黑名单流表规则下发至所属物理主机的OVS;所述白名单流表规则和黑名单流表规则均包括所属物理主机、源类型、源对象值、协议、端口号、目标类型、目标对象值;
判断步骤:白名单配置方法时,判断流经该OVS的数据包的属性是否与最高的优先权的白名单流表规则匹配,若是,则使数据包通过物理主机OVS上的桥,否则,丢弃该数据包;黑名单配置方法时,判断流经该OVS的数据包的属性是否与最高的优先权的黑名单流表规则匹配,若是,则丢弃该数据包,否则,使数据包通过物理主机OVS上的桥。
5.如权利要求4所述的电子设备,其特征在于,所述优先权的级别根据白名单流表规则或黑名单流表规则中的优先权数值的大小由高至低排列。
6.如权利要求4所述的电子设备,其特征在于,所述白名单流表规则和黑名单流表规则由用户输入。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-3任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810107810.5A CN108322467B (zh) | 2018-02-02 | 2018-02-02 | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810107810.5A CN108322467B (zh) | 2018-02-02 | 2018-02-02 | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108322467A CN108322467A (zh) | 2018-07-24 |
CN108322467B true CN108322467B (zh) | 2021-11-05 |
Family
ID=62901688
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810107810.5A Active CN108322467B (zh) | 2018-02-02 | 2018-02-02 | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108322467B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343103B (zh) * | 2020-02-27 | 2023-11-03 | 紫光云技术有限公司 | 一种安全组规则不能立即生效问题的解决方法 |
CN115486046A (zh) * | 2020-05-14 | 2022-12-16 | 深圳市欢太科技有限公司 | 基于开放虚拟软交换机ovs的数据包处理方法及设备 |
CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其系统 |
CN112351034B (zh) * | 2020-11-06 | 2023-07-25 | 科大讯飞股份有限公司 | 防火墙设置方法、装置、设备及存储介质 |
CN112671711B (zh) * | 2020-11-26 | 2022-07-12 | 新华三技术有限公司 | 一种网络设备的管理方法及装置 |
CN112769829B (zh) * | 2021-01-11 | 2022-10-04 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
CN112968867A (zh) * | 2021-01-29 | 2021-06-15 | 北京首都在线科技股份有限公司 | 访问控制方法、系统、物理主机及通信设备 |
CN113630301B (zh) * | 2021-08-19 | 2022-11-08 | 平安科技(深圳)有限公司 | 基于智能决策的数据传输方法、装置、设备及存储介质 |
CN113438170A (zh) * | 2021-08-30 | 2021-09-24 | 云宏信息科技股份有限公司 | libvirt管理OVS的流表规则的方法、存储介质及系统 |
CN113839933B (zh) * | 2021-09-13 | 2023-09-26 | 紫光云(南京)数字技术有限公司 | 一种利用安全组解决多网卡流量的方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104168200B (zh) * | 2014-07-10 | 2017-08-25 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
CN106034046A (zh) * | 2015-03-20 | 2016-10-19 | 中兴通讯股份有限公司 | 访问控制列表acl的发送方法及装置 |
CN105681305B (zh) * | 2016-01-15 | 2019-08-09 | 北京工业大学 | 一种sdn防火墙系统及实现方法 |
CN106911572A (zh) * | 2017-02-24 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种基于sdn架构实现的虚拟机的报文处理方法及装置 |
-
2018
- 2018-02-02 CN CN201810107810.5A patent/CN108322467B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108322467A (zh) | 2018-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
US10129117B2 (en) | Conditional policies | |
RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
US8484353B1 (en) | Resource placement templates for virtual networks | |
US8081640B2 (en) | Network system, network management server, and access filter reconfiguration method | |
US20130346585A1 (en) | Network system, and policy route setting method | |
US9600263B2 (en) | Systems and methods for performing uninterrupted network upgrades with controllers | |
EP2779531A2 (en) | System and method for abstracting network policy from physical interfaces and creating portable network policy | |
WO2020024413A1 (zh) | 一种云计算平台部署的控制方法、服务器及存储介质 | |
WO2014063129A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
EP2974147B1 (en) | Loop-free hybrid network | |
CN111464454B (zh) | 一种数据中心内虚拟bras设备负载分担方法及系统 | |
US11153145B2 (en) | System and method of a centralized gateway that coordinates between multiple external controllers without explicit awareness | |
US8902731B2 (en) | Method, network card, and communication system for binding physical network ports | |
JP7101308B2 (ja) | 高速転送テーブル作成 | |
US9935834B1 (en) | Automated configuration of virtual port channels | |
CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
CN112887330B (zh) | 一种网络acl隔离浮动ip的实现装置及方法 | |
US10015133B2 (en) | Value-added service deployment method, network device, and value-added service device | |
CN107528788B (zh) | 实现网络设备之间自动堆叠的方法和装置 | |
CN106209634B (zh) | 地址映射关系的学习方法及装置 | |
US10785115B2 (en) | Allocating enforcement of a segmentation policy between host and network devices | |
CN110830598B (zh) | Bgp会话建立、发送接口地址和别名的方法及网络设备 | |
CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
CN111800340A (zh) | 数据包转发方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |