CN111654493A - Openstack中拦截指定流量的方法、系统、存储介质及电子设备 - Google Patents

Openstack中拦截指定流量的方法、系统、存储介质及电子设备 Download PDF

Info

Publication number
CN111654493A
CN111654493A CN202010487878.8A CN202010487878A CN111654493A CN 111654493 A CN111654493 A CN 111654493A CN 202010487878 A CN202010487878 A CN 202010487878A CN 111654493 A CN111654493 A CN 111654493A
Authority
CN
China
Prior art keywords
port
sfc
virtual machine
openstack
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010487878.8A
Other languages
English (en)
Other versions
CN111654493B (zh
Inventor
朱小彧
胡章丰
李彦君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Shandong Huimao Electronic Port Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Huimao Electronic Port Co Ltd filed Critical Shandong Huimao Electronic Port Co Ltd
Priority to CN202010487878.8A priority Critical patent/CN111654493B/zh
Publication of CN111654493A publication Critical patent/CN111654493A/zh
Application granted granted Critical
Publication of CN111654493B publication Critical patent/CN111654493B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种Openstack中拦截指定流量的方法、系统、存储介质及电子设备,属于云计算和计算机网络领域,本发明要解决的技术问题为源SFC模块不支持将路由器端口设置为起始端口以及透明状态下的防火墙发出的报文其mac地址不正确,采用的技术方案为:该方法具体如下:在openstack中为安全设备创建单独的网段;将透明防火墙部署到指定子网中;添加SFC‑start虚拟机,用于接收策略路由的引导流量;添加SFC‑end虚拟机,用于接收服务链末端节点的流量;配置策略路由;设定分流器;使用SFC模块下发portchain流表。该系统包括虚拟路由器、SFC‑start虚拟机、SFC‑end虚拟机、透明防火墙和openswitch网桥。

Description

Openstack中拦截指定流量的方法、系统、存储介质及电子 设备
技术领域
本发明涉及云计算和计算机网络领域,具体地说是一种Openstack中拦截指定流量的方法、系统、存储介质及电子设备。
背景技术
在网络中,用户的一次请求可能需要经过或使用不同的网络功能,一般情况下,该请求需要经过的网络功能的顺序也是特定的,这条由流量所经过的不同的网络功能所形成的路径被称为服务功能链(Service Function Chain,SFC),换句话说服务功能链就是由不同的网络服务功能通过特定的顺序组合形成的一条串行链,该链的组合顺序一般由某一具体的用户请求来决定。在传统网络中,服务功能链的部署一般通过增强网关或者静态服务功能链来实现。增强网关的设计理念是将某条具体请求所需要使用的网络功能全部部署到网关内部,形成一种增强型网关,这种方法虽然可以满足业务要求,但是该方法通常具有性能损耗高、带宽限制大以及接口开放程度差等缺点,不利于推广;而静态服务功能链方法本质上将不同的网络功能嵌入到具体的硬件设备中,不同的网络功能对应不同的硬件设备,同一个硬件设备只能处理某一个单一的网络功能,因此被称作静态服务功能链,然而该方法因为具体功能和设备之间耦合度太高容易造成部署成本昂贵、不利于网络功能的扩展以及缺乏灵活性等问题,也不是服务功能链的最优部署方式。
SDN和NFV技术的出现,为服务功能链提供了一种高效的、动态的以及扩展性极强的部署方案。首先,SDN将网络控制和数据转发功能分开,以实现集中和可编程的网络控制,SDN的特性正是简化和增强网络控制、灵活和高效的网络管理以及提高网络服务性能;SDN使整个网络变得简单和高效,为服务功能链的部署提供了优越的网络环境,SDN控制器对网络的整体控制,可以时刻保持对服务功能链状态的感知。其次,NFV利用了虚拟化的技术将服务功能与基础设施分离。使得服务功能不再内嵌到某一个特定硬件中,这样当某一个具体的网络功能损坏时,只需要利用虚拟化技术重新初始化一个VNF,大大缩短了故障恢复时间,节省了人力成本,除此之外NFV也使得VNF的开发更简单和高效以及VNF在后期的维护和扩展也更灵活。
Openstack作为当前开源Iaas云计算的一款主流产品,实现了SDN与NFV整合的集成环境,获得了业界的广泛关注和普遍欢迎,特别是近年来openstack开源社区及openstack相关产品的商业化落地等方面都取得了突飞猛进的发展,但在具体实现技术方面还有待提升的空间,如现有的openstack的SFC实现方式就有待改进。SFC在配置过程中需要指定一个起始的判断端口,但是目前的SFC模块不支持将虚拟路由器的端口配置为起始端口,故而不方便拦截来自外网或某一子网的流量;另一方面,SFC模块通过修改下一跳的目的mac地址来达到流量引导的目的,在使用透明模式的防护墙时,从防火墙出端口引出的流量其mac地址会是入端口的mac地址,从而无法继续转发。
综上所述,源SFC模块不支持将路由器端口设置为起始端口以及透明状态下的防火墙发出的报文其mac地址不正确是目前现有技术中存在的技术问题。
专利号为CN108833335A的专利文献一种基于云计算管理平台Openstack的网络安全功能服务链系统,由输入模块、系统初始化模块、虚拟网络安全设备创建模块、安全功能服务链调度模块、输出模块依次通信连接组成。该技术方案解决云环境下流量走向复杂和无明确安全边界的问题,不能解决起始端口及同名防火墙使用问题。
发明内容
本发明的技术任务是提供一种Openstack中拦截指定流量的方法、系统、存储介质及电子设备,来解决源SFC模块不支持将路由器端口设置为起始端口以及透明状态下的防火墙发出的报文其mac地址不正确的问题。
本发明的技术任务是按以下方式实现的,一种Openstack中拦截指定流量的的方法,该方法是使用策略路由配合SFC模块,并添加虚拟机进行引流策略过渡,实现openstack环境中使用透明防火墙对来自外网或任一子网的流量进行防护,具体如下:
在openstack中为安全设备创建单独的网段;
将透明防火墙部署到指定子网中;
添加SFC-start虚拟机,用于接收策略路由的引导流量;
添加SFC-end虚拟机,用于接收服务链末端节点的流量;
配置策略路由;
设定分流器;
使用SFC模块下发portchain流表。
作为优选,所述在openstack中为安全设备创建单独的网段具体如下:
在openstack中建立neta、netb、netc三个子网,并创建qrouter和qr1,将neta和netc连接到qr1上。
更优地,所述将透明防火墙部署到指定子网中具体如下:
将透明防火墙部署在openstack环境中,入端口配置在子网neta上,出端口配置在子网netb上,开启ip转发或交换机模式;
在防火墙出端口配置可用地址对:[0.0.0.0/0]/SFC-start-portb-address。
更优地,所述添加SFC-start虚拟机,用于接收策略路由的引导流量具体如下:
创建虚拟机SFC-start,将虚拟机SFC-start连接到子网neta上,为虚拟机SFC-start分配两个端口porta和portb;同时开启ipv4转发,调整路由表,使其默认由端口portb发送报文;
虚拟机SFC-start开启ipv4转发功能;
虚拟机SFC-start端口设置可用地址对0.0.0.0/0;
所述添加SFC-end虚拟机,用于接收服务链末端节点的流量具体如下:
配置虚拟机SFC-end,该虚拟机拥有两个网口,入网口配置在子网netb上,出网口配置在子网neta上,同时开启ipv4转发功能;
虚机端口设置可用地址对0.0.0.0/0;
配置SFC-start的入出端口为port-pair-1,配置SFC-end的入出端口为port-pair-3,配置防火墙的入出端口为port-pair-2。
更优地,所述配置策略路由具体如下:
由网络节点进入qrouter的namespace,并调整qrouter的iptables;
添加ip rule;
添加route;
修改rp_filter为0或2,命令为:proc/sys/net/ipv4/conf/all/rp_f ilter。
更优地,所述设定分流器具体如下:
配置flow-classifier fc1,其起始端口logical-source-port为SFC-st art的端口A;
Destination-ip-prefix为意欲保护的网段ip。
更优地,所述使用SFC模块下发portchain流表具体如下:
配置port-pair-1为port-pairt-group-1;配置port-pair-2为port-pa irt-group-2;配置port-pair-1为port-pairt-group-2;
建立服务链(ServiceFunctionChain)sfc1。
一种Openstack中拦截指定流量的的系统,该系统包括,
虚拟路由器,用于通过配置namespace内的iptables,实现策略路由功能;虚拟路由器存在于openstack的网络节点当中,表现为openstack环境中的一个qrouter,其实是lunix内核的单独一个namespace,其核心组成部分是端口和路由表;
SFC-start虚拟机,用于接收策略路由的引导流量,其出口作为ServiceFunctionChain的起始端口;SFC-start虚拟机是与防火墙入口位于同一子网的一台虚拟机;
SFC-end虚拟机,用于作为ServiceFunctionChain的最后一跳,接收透明防火墙出来的流量,将流量改为正常转发的状态;SFC-end虚拟机是与防火墙出口位于同一子网的一台虚拟机;
透明防火墙,用于接收报文并自动过滤进入的流量,报文从入端口进入后会自动从出端口出来并且不修改任何内容;透明防火墙是一台具有防火墙程序的虚拟机,透明防火墙包括至少3个端口,其中一个是管理端口,另外两个作为服务链的入端口和出端口;
openswitch网桥,用于根据报文的特征匹配流表,再根据流表的动作指示决定下一步的走向;Openvswitch是openstack环境中使用的软件交换机,支持openflow协议,由openvswitch创建出来的网桥上连接着数个端口,其核心内容是流表。
一种存储介质,其中存储有多条指令,所述指令由处理器加载,执行上述的Openstack中拦截指定流量的的方法的步骤。
一种电子设备,所述电子设备包括:
上述的存储介质;以及
处理器,用于执行所述存储介质中的指令。
本发明的Openstack中拦截指定流量的方法、系统、存储介质及电子设备具有以下优点:
(一)本发明利用策略路由的引流效果,将虚拟路由上某一指定端口的流量发往SFC起始节点,即使用一个虚拟机的端口作为过渡,解决了源SFC模块不支持将路由器端口设置为起始端口的缺点;
(二)本发明通过在服务链末端添加一个节点的方式,即添加SFC末端点,用于从防火墙的出端口接收目的mac为防火墙入端口的报文,将目的mac改为下一跳的mac地址,解决了透明状态下的防火墙发出的报文其mac地址不正确的问题,真正让SFC模块支持了透明模式;
(三)本发明将防火墙的出端口与SFC末端点的入端口放在另一个不连接路由器的子网中以避免广播风暴。
(四)本发明涉及基于云计算管理平台Openstack的网络安全功能服务链功能,服务功能链就是由不同的网络服务功能通过特定的顺序组合形成的一条串行链,该链的组合顺序一般由某一具体的用户请求来决定,在云计算环境的网络管理中,可以使用这种方式添加网络安全防护功能或自定义网络报文处理程序,本发明所提出的配合策略路由与附加节点的部署方式能够成功地对指定子网或外网的流量进行引导,灵活动态的选择防护的网段与使用的防火墙节点,可以应用于各种资源虚拟化的云环境网络中。
附图说明
下面结合附图对本发明进一步说明。
附图1为Openstack中拦截指定流量的的系统的结构框图;
附图2为Openstack环境物理结构框图。
具体实施方式
参照说明书附图和具体实施例对本发明的Openstack中拦截指定流量的方法、系统、存储介质及电子设备作以下详细地说明。
实施例:
本发明的Openstack中拦截指定流量的的方法,该方法是使用策略路由配合SFC模块,并添加虚拟机进行引流策略过渡,实现openstack环境中使用透明防火墙对来自外网或任一子网的流量进行防护;具体如下:
S1、在openstack中为安全设备创建单独的网段;
S2、将透明防火墙部署到指定子网中;
S3、添加SFC-start虚拟机,用于接收策略路由的引导流量;
S4、添加SFC-end虚拟机,用于接收服务链末端节点的流量;
S5、配置策略路由;
S6、设定分流器;
S7、使用SFC模块下发portchain流表。
实施例2:
以添加SFCportchain为例,具体执行步骤如下:
(1)、在openstack中建立neta、netb、netc三个子网,并创建qrouter和qr1,将neta和netc连接到qr1上;
(2)、将透明防火墙部署在openstack环境中,入端口配置在子网neta上,出端口配置在子网netb上,开启ip转发或交换机模式;
(3)、在防火墙出端口配置可用地址对:[0.0.0.0/0]/SFC-start-portb-address;即地址对0.0.0.0/0作为SFC-start-portb的mac地址;
(4)、创建虚拟机SFC-start,将虚拟机SFC-start连接到子网neta上,为虚拟机SFC-start分配两个端口porta和portb;同时开启ipv4转发,调整路由表,使其默认由端口portb发送报文;
(5)、虚拟机SFC-start开启ipv4转发功能;
(6)、虚拟机SFC-start端口设置可用地址对0.0.0.0/0;
(7)、配置虚拟机SFC-end,该虚拟机拥有两个网口,入网口配置在子网netb上,出网口配置在子网neta上,同时开启ipv4转发功能;
(8)、虚机端口设置可用地址对0.0.0.0/0;
(9)、配置SFC-start的入出端口为port-pair-1,配置SFC-end的入出端口为port-pair-3,配置防火墙的入出端口为port-pair-2;
(10)由网络节点进入qrouter的namespace,并调整qrouter的iptabl es,命令为:iptables-t mangle-A neutron-l3-agent-PREROUTING-i qr-086b7c33-63\-j MARK--set-mark 5/0x0000ffff;
(11)、添加ip rule,命令为:ip rule add fwmark 5/0x0000ffff tabl e 5pref5;
(12)、添加route,命令为:ip route add default via端口a_ip tab le 5;
(13)、修改rp_filter为0或2,命令为:proc/sys/net/ipv4/conf/a ll/rp_filter;
(14)、配置flow-classifier fc1,其起始端口logical-source-port为SFC-start的端口A;Destination-ip-prefix为意欲保护的网段ip;
(15)、配置port-pair-1为port-pairt-group-1;配置port-pair-2为p ort-pairt-group-2;配置port-pair-1为port-pairt-group-2;
(16)、建立服务链sfc1,命令为:openstacksfc port chain create–p ort-pair-group port-pairt-group-1–port-pair-group port-pairt-group-2–port-pair-groupport-pairt-group-3–flow-classifier fc1。
实施例3:
如附图1所示,本发明的Openstack中拦截指定流量的的系统,其特征在于,该系统包括,
虚拟路由器,用于通过配置namespace内的iptables,实现策略路由功能;虚拟路由器存在于openstack的网络节点当中,表现为openstack环境中的一个qrouter,其实是lunix内核的单独一个namespace,其核心组成部分是端口和路由表;
SFC-start虚拟机,用于接收策略路由的引导流量,其出口作为ServiceFunctionChain的起始端口;SFC-start虚拟机是与防火墙入口位于同一子网的一台虚拟机,操作系统不限,本发明使用centos7;
SFC-end虚拟机,用于作为ServiceFunctionChain的最后一跳,接收透明防火墙出来的流量,将流量改为正常转发的状态;SFC-end虚拟机是与防火墙出口位于同一子网的一台虚拟机,操作系统不限,本发明使用centos7;
透明防火墙,用于接收报文并自动过滤进入的流量,报文从入端口进入后会自动从出端口出来并且不修改任何内容;透明防火墙是一台具有防火墙程序的虚拟机,透明防火墙包括至少3个端口,其中一个是管理端口,另外两个作为服务链的入端口和出端口;
openswitch网桥,用于根据报文的特征匹配流表,再根据流表的动作指示决定下一步的走向;Openvswitch是openstack环境中使用的软件交换机,支持openflow协议,由openvswitch创建出来的网桥上连接着数个端口,如附图2所示,其核心内容是流表。
实施例4:
本发明实施例还提供了存储介质,其中存储有多条指令,指令由处理器加载,使处理器执行本发明任一实施例中的Openstack中拦截指定流量的的方法。具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-ROPENSTACK中拦截指定流量的方法、系统、存储介质及电子设备M、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
实施例5:
本发明的电子设备,所述电子设备包括:
所述的存储介质;以及
处理器,用于执行本发明实施例4的存储介质中的指令。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种Openstack中拦截指定流量的的方法,其特征在于,该方法是使用策略路由配合SFC模块,并添加虚拟机进行引流策略过渡,实现openstack环境中使用透明防火墙对来自外网或任一子网的流量进行防护;具体如下:
在openstack中为安全设备创建单独的网段;
将透明防火墙部署到指定子网中;
添加SFC-start虚拟机,用于接收策略路由的引导流量;
添加SFC-end虚拟机,用于接收服务链末端节点的流量;
配置策略路由;
设定分流器;
使用SFC模块下发portchain流表。
2.根据权利要求1所述的Openstack中拦截指定流量的的方法,其特征在于,所述在openstack中为安全设备创建单独的网段具体如下:
在openstack中建立neta、netb、netc三个子网,并创建qrouter和qr1,将neta和netc连接到qr1上。
3.根据权利要求2所述的Openstack中拦截指定流量的的方法,其特征在于,所述将透明防火墙部署到指定子网中具体如下:
将透明防火墙部署在openstack环境中,入端口配置在子网neta上,出端口配置在子网netb上,开启ip转发或交换机模式;
在防火墙出端口配置可用地址对:[0.0.0.0/0]/SFC-start-portb-address。
4.根据权利要求3所述的Openstack中拦截指定流量的的方法,其特征在于,所述添加SFC-start虚拟机,用于接收策略路由的引导流量具体如下:
创建虚拟机SFC-start,将虚拟机SFC-start连接到子网neta上,为虚拟机SFC-start分配两个端口porta和portb;同时开启ipv4转发,调整路由表,使其默认由端口portb发送报文;
虚拟机SFC-start开启ipv4转发功能;
虚拟机SFC-start端口设置可用地址对0.0.0.0/0;
所述添加SFC-end虚拟机,用于接收服务链末端节点的流量具体如下:
配置虚拟机SFC-end,该虚拟机拥有两个网口,入网口配置在子网netb上,出网口配置在子网neta上,同时开启ipv4转发功能;
虚机端口设置可用地址对0.0.0.0/0;
配置SFC-start的入出端口为port-pair-1,配置SFC-end的入出端口为port-pair-3,配置防火墙的入出端口为port-pair-2。
5.根据权利要求4所述的Openstack中拦截指定流量的的方法,其特征在于,所述配置策略路由具体如下:
由网络节点进入qrouter的namespace,并调整qrouter的iptable;
添加ip rule;
添加route;
修改rp_filter为0或2。
6.根据权利要求5所述的Openstack中拦截指定流量的的方法,其特征在于,所述设定分流器具体如下:
配置flow-classifier fc1,其起始端口logical-source-port为SFC-st art的端口A;
Destination-ip-prefix为意欲保护的网段ip。
7.根据权利要求6所述的Openstack中拦截指定流量的的方法,其特征在于,所述使用SFC模块下发portchain流表具体如下:
配置port-pair-1为port-pairt-group-1;配置port-pair-2为port-pairt-group-2;配置port-pair-1为port-pairt-group-2;
建立服务链:sfc1。
8.一种Openstack中拦截指定流量的的系统,其特征在于,该系统包括,
虚拟路由器,用于通过配置namespace内的iptables,实现策略路由功能;虚拟路由器存在于openstack的网络节点当中,表现为openstack环境中的一个qrouter,其实是lunix内核的单独一个namespace,其核心组成部分是端口和路由表;
SFC-start虚拟机,用于接收策略路由的引导流量,其出口作为ServiceFunctionChain的起始端口;SFC-start虚拟机是与防火墙入口位于同一子网的一台虚拟机;
SFC-end虚拟机,用于作为ServiceFunctionChain的最后一跳,接收透明防火墙出来的流量,将流量改为正常转发的状态;SFC-end虚拟机是与防火墙出口位于同一子网的一台虚拟机;
透明防火墙,用于接收报文并自动过滤进入的流量,报文从入端口进入后会自动从出端口出来并且不修改任何内容;透明防火墙是一台具有防火墙程序的虚拟机,透明防火墙包括至少3个端口,其中一个是管理端口,另外两个作为服务链的入端口和出端口;
openswitch网桥,用于根据报文的特征匹配流表,再根据流表的动作指示决定下一步的走向;Openvswitch是openstack环境中使用的软件交换机,支持openflow协议,由openvswitch创建出来的网桥上连接着数个端口,其核心内容是流表。
9.一种存储介质,其中存储有多条指令,其特征在于,所述指令由处理器加载,执行权利要求1-7中所述的Openstack中拦截指定流量的的方法的步骤。
10.一种电子设备,其特征在于,所述电子设备包括:
权利要求9所述的存储介质;以及
处理器,用于执行所述存储介质中的指令。
CN202010487878.8A 2020-06-02 2020-06-02 Openstack中拦截指定流量的方法、系统、存储介质及电子设备 Active CN111654493B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010487878.8A CN111654493B (zh) 2020-06-02 2020-06-02 Openstack中拦截指定流量的方法、系统、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010487878.8A CN111654493B (zh) 2020-06-02 2020-06-02 Openstack中拦截指定流量的方法、系统、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN111654493A true CN111654493A (zh) 2020-09-11
CN111654493B CN111654493B (zh) 2022-04-12

Family

ID=72350193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010487878.8A Active CN111654493B (zh) 2020-06-02 2020-06-02 Openstack中拦截指定流量的方法、系统、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN111654493B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272121A (zh) * 2020-09-21 2021-01-26 中国科学院信息工程研究所 一种用于流量监测的效果验证方法及系统
CN112291252A (zh) * 2020-11-02 2021-01-29 浪潮云信息技术股份公司 一种南北向流量对称性引流的实现架构及方法
CN112367258A (zh) * 2020-10-29 2021-02-12 浪潮云信息技术股份公司 基于Openstack架构实现服务链功能的方法
CN112769829A (zh) * 2021-01-11 2021-05-07 科大讯飞股份有限公司 云物理机的部署方法、相关设备及可读存储介质
CN112788066A (zh) * 2021-02-26 2021-05-11 中南大学 物联网设备的异常流量检测方法、系统及存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN114301665A (zh) * 2021-12-27 2022-04-08 山石网科通信技术股份有限公司 数据处理方法及装置
CN114422160A (zh) * 2020-10-28 2022-04-29 中移(苏州)软件技术有限公司 一种虚拟防火墙的设置方法、装置、电子设备和存储介质
WO2024001017A1 (zh) * 2022-06-30 2024-01-04 苏州元脑智能科技有限公司 一种防火墙设置方法、系统、设备及非易失性可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN104735071A (zh) * 2015-03-27 2015-06-24 浪潮集团有限公司 一种虚拟机之间的网络访问控制实现方法
CN107147585A (zh) * 2017-03-31 2017-09-08 北京奇艺世纪科技有限公司 一种流量控制方法及装置
CN107241297A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 通信拦截方法及装置、服务器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN104735071A (zh) * 2015-03-27 2015-06-24 浪潮集团有限公司 一种虚拟机之间的网络访问控制实现方法
CN107241297A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 通信拦截方法及装置、服务器
CN107147585A (zh) * 2017-03-31 2017-09-08 北京奇艺世纪科技有限公司 一种流量控制方法及装置

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272121A (zh) * 2020-09-21 2021-01-26 中国科学院信息工程研究所 一种用于流量监测的效果验证方法及系统
CN114422160A (zh) * 2020-10-28 2022-04-29 中移(苏州)软件技术有限公司 一种虚拟防火墙的设置方法、装置、电子设备和存储介质
CN114422160B (zh) * 2020-10-28 2024-01-30 中移(苏州)软件技术有限公司 一种虚拟防火墙的设置方法、装置、电子设备和存储介质
CN112367258A (zh) * 2020-10-29 2021-02-12 浪潮云信息技术股份公司 基于Openstack架构实现服务链功能的方法
CN112291252A (zh) * 2020-11-02 2021-01-29 浪潮云信息技术股份公司 一种南北向流量对称性引流的实现架构及方法
CN112291252B (zh) * 2020-11-02 2022-06-24 浪潮云信息技术股份公司 一种南北向流量对称性引流的实现架构及方法
CN112769829A (zh) * 2021-01-11 2021-05-07 科大讯飞股份有限公司 云物理机的部署方法、相关设备及可读存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN112910877B (zh) * 2021-01-27 2022-04-08 浪潮云信息技术股份公司 一种基于openstack实现安全组黑名单的方法及系统
CN112788066A (zh) * 2021-02-26 2021-05-11 中南大学 物联网设备的异常流量检测方法、系统及存储介质
CN114301665A (zh) * 2021-12-27 2022-04-08 山石网科通信技术股份有限公司 数据处理方法及装置
WO2024001017A1 (zh) * 2022-06-30 2024-01-04 苏州元脑智能科技有限公司 一种防火墙设置方法、系统、设备及非易失性可读存储介质

Also Published As

Publication number Publication date
CN111654493B (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN111654493B (zh) Openstack中拦截指定流量的方法、系统、存储介质及电子设备
CN107819663B (zh) 一种实现虚拟网络功能服务链的方法和装置
EP1665652B1 (en) Virtual switch for providing a single point of management
US9876685B2 (en) Hybrid control/data plane for packet brokering orchestration
US7092354B2 (en) Method and apparatus to provide redundancy in a network
US20150350023A1 (en) Data center network architecture
US10044605B2 (en) Apparatus, system, and method for distributing routing-protocol information in clos fabrics
EP2774329B1 (en) Data center network architecture
CN107547439B (zh) 一种网络流量控制方法和计算节点
EP3226492B1 (en) Method, system, and apparatus for improving forwarding capabilities during route convergence
CN112291252B (zh) 一种南北向流量对称性引流的实现架构及方法
CN107733795B (zh) 以太网虚拟私有网络evpn与公网互通方法及其装置
US10374935B2 (en) Link discovery method, system, and device
CN108965134B (zh) 报文转发方法及装置
CN112887229B (zh) 一种会话信息同步方法及装置
US20220070091A1 (en) Open fronthaul network system
CN109644159B (zh) 数据传输网中的数据包转发单元
CN114401274A (zh) 一种通信线路创建方法、装置、设备及可读存储介质
CN103986660B (zh) 加载微码的装置以及加载微码的方法
EP3382956B1 (en) Apparatus, system, and method for facilitating controller-based multicast signaling
CN109756409B (zh) 桥接转发方法
Cisco Catalyst 6000 and Cisco 7600 Supervisor Engine and MSFC - Cisco IOS Release 12.2(9)YO
CN110830598B (zh) Bgp会话建立、发送接口地址和别名的方法及网络设备
CN107566278B (zh) 传输方法、装置及系统
CN112671583B (zh) 环形网络的拓扑修剪方法、装置和虚拟交换机

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220323

Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park

Applicant after: Inspur cloud Information Technology Co.,Ltd.

Address before: Floor S06, Inspur Science Park, No. 1036, Inspur Road, hi tech Zone, Jinan City, Shandong Province

Applicant before: SHANDONG HUIMAO ELECTRONIC PORT Co.,Ltd.

GR01 Patent grant
GR01 Patent grant