CN111031056B - 一种在安全组中实现安全域功能的方法 - Google Patents

一种在安全组中实现安全域功能的方法 Download PDF

Info

Publication number
CN111031056B
CN111031056B CN201911327844.6A CN201911327844A CN111031056B CN 111031056 B CN111031056 B CN 111031056B CN 201911327844 A CN201911327844 A CN 201911327844A CN 111031056 B CN111031056 B CN 111031056B
Authority
CN
China
Prior art keywords
security
flow
virtual
hash bucket
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911327844.6A
Other languages
English (en)
Other versions
CN111031056A (zh
Inventor
刘立京
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unicloud Nanjing Digital Technology Co Ltd
Original Assignee
Unicloud Nanjing Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unicloud Nanjing Digital Technology Co Ltd filed Critical Unicloud Nanjing Digital Technology Co Ltd
Priority to CN201911327844.6A priority Critical patent/CN111031056B/zh
Publication of CN111031056A publication Critical patent/CN111031056A/zh
Application granted granted Critical
Publication of CN111031056B publication Critical patent/CN111031056B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/7453Address table lookup; Address filtering using hashing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的一种在安全组中实现安全域功能的方法,涉及OSS‑API接口安全通信应用技术领域,S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表,S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶,S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步,S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃,安全域中的虚拟机数量为N则效率提高N倍,实现安全组下安全域的功能。

Description

一种在安全组中实现安全域功能的方法
技术领域
本发明涉及安全组应用技术领域,具体涉及一种在安全组中实现安全域功能的方法。
背景技术
安全组功能主要提供主机侧的保护,通过对报文协议(TCP、UDP、ICMP)以及端口的过滤保证在数据中心下对虚拟机的访问进行严格的控制,安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则保护,同一个安全组内的服务器共享同一个安全域,在安全域内的云服务器可以相互访问,不同安全域之间流量是隔离的,主机侧的安全组功能实现方式是在虚拟交换机中下发流表,通过流表来约束流量是否通过。
但是当前方案有一个缺点,如果当前安全组绑定了很多个虚机,每一个虚机下面都会下发虚机数量*2的流表,由于匹配流表是顺序匹配的,流表数量增大,直接影响虚拟交换机匹配流表的效率,导致匹配效率过低。因此我们有必要针对现有技术的不足而提供一种在安全组中实现安全域功能的方法。
发明内容
为了克服现有技术中的不足,本发明的一种在安全组中实现安全域功能的方法 ,其API安全通信的安全级别高。
为了实现上述目的,本发明的一种在安全组中实现安全域功能的方法 ,包括如下步骤:
S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表。
S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶。
S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步。
S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃。
优选的,S1中,虚拟交换机的每个流表对应有零至多个动作,如果没有定义转发动作,那么与流表匹配的数据包将被默认丢弃。
优选的,S2中,每一台虚拟机占用虚拟交换机上的一个虚拟端口,虚拟端口为虚拟机流量的入口或出口。
优选的,S4中,哈希桶通过把关键码值映射到表中一个位置来访问记录。
本发明具有以下有益效果:
将安全域的匹配从流表中剥离出来,减少匹配的次数,摒弃流量顺序匹配的弊端,通过哈希取值,保证了匹配的效率,相同安全域判断条件从是否绑定一个安全组转移到是否在同一个虚拟端口的哈希桶中,安全域的匹配从流表中剥离出来,进行单独的匹配,提高匹配效率,提高匹配的效率,安全域中的虚拟机数量为N,效率提高N倍,实现安全组下安全域的功能。
附图说明
下面结合附图对本发明作进一步描写和阐述。
图1是一种在安全组中实现安全域功能的方法流程图。
图2是一种在安全组中实现安全域功能的方法中哈希桶工作原理图。
具体实施方式
下面将结合附图、通过对本发明的优选实施方式的描述,更加清楚、完整地阐述本发明的技术方案。
实施例
如图1所示,一种在安全组中实现安全域功能的方法 ,包括如下步骤:
S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表。
S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶。
S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步。
S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃。
作为本发明的一种技术优化方案,S1中,虚拟交换机的每个流表对应有零至多个动作,如果没有定义转发动作,那么与流表匹配的数据包将被默认丢弃,并且动作分为必备动作和可选动作两种类型,其中,必备动作是需要由所有的虚拟交换机默认支持的,而可选动作则需要由虚拟交换机告知控制器它所能支持的动作种类。
通过采用上述技术优化方案,流表整合了网络中各个层次的网络配置信息,从而在进行数据转发时可以使用更丰富的规则。
作为本发明的一种技术优化方案,S2中,每一台虚拟机占用虚拟交换机上的一个虚拟端口,虚拟端口为虚拟机流量的入口或出口。
作为本发明的一种技术优化方案,S4中,哈希桶通过把关键码值映射到表中一个位置来访问记录。
通过采用上述技术优化方案,哈希桶中,给定表M,存在函数f(key),对任意给定的关键字值key,代入函数后若能得到包含该关键字的记录在表中的地址,若关键字为k,则其值存放在f(k)的存储位置上,根据散列函数f(k)和处理冲突的方法将一组关键字映射到一个有限的连续的地址集上,并以关键字在地址集中的“像”作为记录在表中的存储位置,由此,不需比较便可直接取得所查记录。
本发明的工作原理为:虚拟机有流量触发,首先匹配当前流表,若匹配不到,则去当前的虚拟端口的哈希桶里匹配源IP或者目的IP,如果匹配到,则放行此报文,如果不能匹配,则丢弃此报文,通过虚拟端口绑定的所有安全组来动态维护端口哈希桶中的数据,保证数据一致性。
上述具体实施方式仅仅对本发明的优选实施方式进行描述,而并非对本发明的保护范围进行限定。在不脱离本发明设计构思和精神范畴的前提下,本领域的普通技术人员根据本发明所提供的文字描述、附图对本发明的技术方案所作出的各种变形、替代和改进,均应属于本发明的保护范畴。本发明的保护范围由权利要求确定。

Claims (4)

1.一种在安全组中实现安全域功能的方法,其特征在于,包括如下步骤:
S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表;
S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶;
S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步;
S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃。
2.根据权利要求1所述的一种在安全组中实现安全域功能的方法 ,其特征在于:所述S1中,虚拟交换机的每个流表对应有零至多个动作,如果没有定义转发动作,那么与流表匹配的数据包将被默认丢弃。
3.根据权利要求1所述的一种在安全组中实现安全域功能的方法 ,其特征在于:所述S2中,每一台虚拟机占用虚拟交换机上的一个虚拟端口,所述虚拟端口为虚拟机流量的入口或出口。
4.根据权利要求1所述的一种在安全组中实现安全域功能的方法 ,其特征在于:
所述S4中,哈希桶通过把关键码值映射到表中一个位置来访问记录。
CN201911327844.6A 2019-12-20 2019-12-20 一种在安全组中实现安全域功能的方法 Active CN111031056B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911327844.6A CN111031056B (zh) 2019-12-20 2019-12-20 一种在安全组中实现安全域功能的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911327844.6A CN111031056B (zh) 2019-12-20 2019-12-20 一种在安全组中实现安全域功能的方法

Publications (2)

Publication Number Publication Date
CN111031056A CN111031056A (zh) 2020-04-17
CN111031056B true CN111031056B (zh) 2021-10-12

Family

ID=70212314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911327844.6A Active CN111031056B (zh) 2019-12-20 2019-12-20 一种在安全组中实现安全域功能的方法

Country Status (1)

Country Link
CN (1) CN111031056B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338606B (zh) * 2020-09-25 2023-07-18 华为云计算技术有限公司 一种公有云的网络配置方法及相关设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102957603A (zh) * 2012-11-09 2013-03-06 盛科网络(苏州)有限公司 基于多级流表的Openflow报文转发方法及系统
CN104580027A (zh) * 2013-10-25 2015-04-29 杭州华三通信技术有限公司 一种OpenFlow报文转发方法及设备
CN107770062A (zh) * 2016-08-16 2018-03-06 北京金山云网络技术有限公司 一种数据包发送方法、装置及网络架构
CN108293019A (zh) * 2016-03-09 2018-07-17 华为技术有限公司 流表处理方法及装置
CN109587167A (zh) * 2018-12-28 2019-04-05 杭州迪普科技股份有限公司 一种报文处理的方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8009566B2 (en) * 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US9306794B2 (en) * 2012-11-02 2016-04-05 Brocade Communications Systems, Inc. Algorithm for long-lived large flow identification

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102957603A (zh) * 2012-11-09 2013-03-06 盛科网络(苏州)有限公司 基于多级流表的Openflow报文转发方法及系统
CN104580027A (zh) * 2013-10-25 2015-04-29 杭州华三通信技术有限公司 一种OpenFlow报文转发方法及设备
CN108293019A (zh) * 2016-03-09 2018-07-17 华为技术有限公司 流表处理方法及装置
CN107770062A (zh) * 2016-08-16 2018-03-06 北京金山云网络技术有限公司 一种数据包发送方法、装置及网络架构
CN109587167A (zh) * 2018-12-28 2019-04-05 杭州迪普科技股份有限公司 一种报文处理的方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Cost-Effective Lookup Scheme Combining Hash Table With TCAM for OpenFlow;Li Chun-qiang;《 2018 International Conference on Network Infrastructure and Digital Content (IC-NIDC)》;20181108;全文 *
DAFT:一种OpenFlow大规模流表区分存储与加速查找架构;熊兵;《计算机学报》;20190924;第43卷(第3期);全文 *

Also Published As

Publication number Publication date
CN111031056A (zh) 2020-04-17

Similar Documents

Publication Publication Date Title
US11240066B2 (en) System and method for distributed flow state P2P setup in virtual networks
US11070447B2 (en) System and method for implementing and managing virtual networks
US9025468B1 (en) Custom routing decisions
US9621581B2 (en) IPV6/IPV4 resolution-less forwarding up to a destination
EP3066799B1 (en) Hierarchical routing with table management across hardware modules
US9106443B2 (en) Forwarding table optimization with flow data
CN104737507B (zh) 在大规模数据中心环境中用机会第3层转发确保任意到任意可达性的方法及装置
US10171547B2 (en) Neighbor discovery for IPV6 switching systems
US9183322B2 (en) Increasing internet protocol version 6 host table scalability in top of rack switches for data center deployments
US10951438B1 (en) Acceleration proxy device, acceleration proxy method, and content management system
EP1836808A2 (en) Fibre channel forwarding information base
CN111031056B (zh) 一种在安全组中实现安全域功能的方法
CN107872391B (zh) 一种表项更新方法及装置
US20130077530A1 (en) Scaling IPv6 on Multiple Devices Virtual Switching System with Port or Device Level Aggregation
US9025604B2 (en) Scaling IPV4 at large datacenters with device level aggregation
CN105227357B (zh) 虚拟机策略迁移配置方法及装置
CN115550290A (zh) 一种在存储区域网络中实现Zone隔离的方法及设备
US20130246652A1 (en) Discover IPv4 Directly Connected Host Conversations Using ARP in Distributed Routing Platforms
CN111314505A (zh) 一种网络地址转换方法及装置
Mohammadkhan et al. Protocols to support autonomy and control for NFV in software defined networks
US8561166B2 (en) Efficient implementation of security applications in a networked environment
WO2014084845A1 (en) Path to host in response to message

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant