CN112637105B - 切换防火墙的方法、系统、装置及计算机可读存储介质 - Google Patents
切换防火墙的方法、系统、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112637105B CN112637105B CN201910902163.1A CN201910902163A CN112637105B CN 112637105 B CN112637105 B CN 112637105B CN 201910902163 A CN201910902163 A CN 201910902163A CN 112637105 B CN112637105 B CN 112637105B
- Authority
- CN
- China
- Prior art keywords
- firewall
- address
- standby
- virtual
- sdn controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种切换防火墙的方法、系统、装置及计算机可读存储介质,涉及云计算技术领域。其中切换防火墙的方法包括:在主防火墙故障的情况下,备防火墙广播免费ARP报文;其中,主防火墙和备防火墙具有相同的虚拟IP地址,免费ARP报文的源IP地址和目的IP地址均为虚拟IP地址,免费ARP报文的源MAC地址为备防火墙的MAC地址;备防火墙所在的网络虚拟化边缘节点接收免费ARP报文,并转发至SDN控制器;SDN控制器接收免费ARP报文,并检测到源IP地址与预先存储的虚拟IP地址相同,判断发生防火墙切换事件;SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。本公开能够提高切换防火墙的效率,从而提高防火墙业务的可靠性。
Description
技术领域
本公开涉及云计算技术领域,特别涉及一种切换防火墙的方法、系统、装置及计算机可读存储介质。
背景技术
SDN(Software Defined Network,软件定义网络)及NFV(Network FunctionVirtualization,网络功能虚拟化)是实现云资源池L2~L7层网络自动化的基础。部署了SDN的云资源池引入虚拟防火墙后,通过协同配置SDN及虚拟防火墙,即可为租户网络提供按需、自动化的防火墙安全服务。
为了保证防火墙业务的可靠性,虚拟防火墙可以采用双机主备的模式进行部署,主备防火墙对外通过统一的虚拟IP地址提供服务。SDN控制器通过配置包含网络虚拟化边缘节点的流表或SDN网关的路由表,将租户网络访问流量按需引导至主防火墙,即可实现租户网络防护。
发明内容
发明人研究发现,当主防火墙发生故障时,SDN控制器需要更新网络虚拟化边缘节点的流表或SDN网关的路由表,将流量切换至备防火墙。然而传统的切换防火墙的方法中,防火墙双机切换事件主要由防火墙网元管理系统(简称EMS)或者虚拟网元管理系统(简称VNFM)感知,并向上通知给云管理平台,由云管理平台触发SDN控制器更新网络配置。这种传统的方法存在消息调用链过长、响应时间延迟大等缺点,从而导致防火墙业务中断时间过长,使得切换防火墙的效率较低。
本公开解决的一个技术问题是,如何提高切换防火墙的效率。
根据本公开实施例的一个方面,提供了一种切换防火墙的方法,包括:在主防火墙故障的情况下,备防火墙广播免费ARP报文;其中,主防火墙和备防火墙具有相同的虚拟IP地址,免费ARP报文的源IP地址和目的IP地址均为虚拟IP地址,免费ARP报文的源MAC地址为备防火墙的MAC地址;备防火墙所在的网络虚拟化边缘节点接收免费ARP报文,并转发至SDN控制器;SDN控制器接收免费ARP报文,并检测到源IP地址与预先存储的虚拟IP地址相同,判断发生防火墙切换事件;SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
在一些实施例中,SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙包括:SDN控制器利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙的实际IP地址及端口号;SDN控制器利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点的流表和SDN网关的策略路由。
在一些实施例中,还包括:云管理平台接收租户发起的创建防火墙请求,并将创建防火墙请求下发至防火墙管理子系统;防火墙管理子系统根据创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙;防火墙管理子系统将虚拟IP地址及主防火墙的端口号发送至云管理平台;云管理平台向SDN控制器下发创建防火墙指令,防火墙指令携带虚拟IP地址及主防火墙的端口号;SDN控制器利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储虚拟IP地址。
在一些实施例中,SDN控制器利用主防火墙的端口号将租户的网络访问流量引导至主防火墙包括:SDN控制器利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址;SDN控制器利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。
根据本公开实施例的另一个方面,提供了一种切换防火墙的系统,包括:主防火墙;备防火墙,被配置为在主防火墙故障的情况下广播免费ARP报文;其中,主防火墙和备防火墙具有相同的虚拟IP地址,免费ARP报文的源IP地址和目的IP地址均为虚拟IP地址,免费ARP报文的源MAC地址为备防火墙的MAC地址;备防火墙所在的网络虚拟化边缘节点,被配置为接收免费ARP报文,并转发至SDN控制器;SDN控制器,被配置为接收免费ARP报文,并检测到源IP地址与预先存储的虚拟IP地址相同,判断发生防火墙切换事件;利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
在一些实施例中,SDN控制器被配置为:利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙的实际IP地址及端口号;利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点的流表和SDN网关的策略路由。
在一些实施例中,还包括:云管理平台,被配置为:接收租户发起的创建防火墙请求,并将创建防火墙请求下发至防火墙管理子系统;防火墙管理子系统,被配置为:根据创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙;将虚拟IP地址及主防火墙的端口号发送至云管理平台;云管理平台还被配置为:向SDN控制器下发创建防火墙指令,防火墙指令携带虚拟IP地址及主防火墙的端口号;SDN控制器还被配置为:利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储虚拟IP地址。
在一些实施例中,SDN控制器被配置为:利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址;利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。
根据本公开实施例的又一个方面,提供了一种切换防火墙的装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的切换防火墙的方法。
根据本公开实施例的再一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现前述的切换防火墙的方法。
本公开能够提高切换防火墙的效率,从而提高防火墙业务的可靠性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了创建防火墙的流程示意图。
图2示出了本公开切换防火墙的方法的一些实施例的流程示意图。
图3示出了创建防火墙的一个应用例的流程示意图。
图4示出了创建防火墙的一个应用例的流程示意图。
图5示出了本公开一些实施例的切换防火墙的系统的结构示意图。
图6示出了本公开一些实施例的切换防火墙的装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
首先结合图1描述创建防火墙的过程。
图1示出了创建防火墙的流程示意图。如图1所示,本实施例包括步骤S101~步骤S105。
在步骤S101中,云管理平台接收租户发起的创建防火墙请求,并将创建防火墙请求下发至防火墙管理子系统。
例如,租户A通过云管平台开通东西向防火墙服务。在东西向防火墙服务中,租户访问外网的流量需要经过防火墙。云管平台将开通防火墙服务的请求指令下发给防火墙管理子系统。防火墙管理子系统具体可以为防火墙网元管理系统(简称EMS)或者虚拟网元管理系统(简称VNFM)。
在步骤S102中,防火墙管理子系统根据创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙。其中,主防火墙和备防火墙具有相同的虚拟IP地址。
例如,VNFM拉起两个虚拟防火墙主机vFW1、vFW2,并将二者配置为主备双机工作模式,主防火墙为vFW1、备防火墙为vFW2。同时,VNFM为vFW1、vFW2分配相同的虚拟IP地址用于提供防火墙服务。
在步骤S103中,防火墙管理子系统将该虚拟IP地址及主防火墙的端口号发送至云管理平台。
例如,VNFM可以将vFW1、vFW2的配置信息发送至云管理平台。这些配置信息具体可以包括:vFW1的虚拟IP地址、虚拟机标识、实际IP地址、端口号,vFW2虚拟机标识、实际IP地址、端口号,等等。
在步骤S104中,云管理平台向SDN控制器下发创建防火墙指令,防火墙指令携带该虚拟IP地址及主防火墙的端口号。
例如,云管平台下发创建防火墙指令给SDN控制器,携带vFW1及vFW2的UUID(Universally Unique Identifier,通用唯一识别码)信息和配置信息。
在步骤S105中,SDN控制器利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储该虚拟IP地址。
例如,SDN控制器可以利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址。该预先存储的数据映射表中包含防火墙的端口号、MAC地址以及实际IP地址之间的对应关系。然后,SDN控制器利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。这样一来,SDN控制器就可以将租户的东西向互访流量引导至vFW1。
EMS或VNFM在拉起防火墙虚拟机之后,将防火墙虚拟网络功能的配置信息发送至云管平台。云管平台在创建防火墙时,将防火墙虚拟网络功能的配置信息一并下发给SDN控制器,实现了SDN网络的协同配置。因此,本实施例能够在不增加信息交互次数的情况下,使SDN控制器预先存储虚拟防火墙的虚拟IP地址,有助于高效判断发生防火墙切换事件。
接下来结合图2描述切换防火墙的过程。
图2示出了本公开切换防火墙的方法的一些实施例的流程示意图。如图2所示,本实施例中切换防火墙的方法包括步骤S206~步骤S209。
在步骤S206中,在主防火墙故障的情况下,备防火墙广播免费ARP报文。其中,免费ARP报文的源IP地址和目的IP地址均为虚拟IP地址,免费ARP报文的源MAC地址为备防火墙的MAC地址。
例如,EMS或VNFM对主防火墙vFW1进行心跳检测发现主防火墙vFW1出现故障。此时,EMS或VNFM进行防火墙切换,将防火墙功能切换至vFW2。vFW2上线后广播免费ARP报文,该免费ARP报文的Sender IP和Target IP均为上述虚拟IP地址,该免费ARP报文的SenderMac为vFW2的Mac地址。
在步骤S207中,备防火墙所在的网络虚拟化边缘节点接收免费ARP报文,并转发至SDN控制器。
例如,vFW2所在的网络虚拟化边缘节点(简称NVE节点)捕获该免费ARP报文后,发现不存在与该免费ARP报文相对应的流表,因此需要将其上送到SDN控制器。
在步骤S208中,SDN控制器接收免费ARP报文,并检测到源IP地址与预先存储的虚拟IP地址相同,判断发生防火墙切换事件。
例如,SDN控制器收到免费ARP报文后,通过比对Sender IP和预先存储的虚拟IP地址,发现是来自防火墙的免费ARP报文,判断发生防火墙切换事件。
在步骤S209中,SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
例如,SDN控制器可以获取该免费ARP报文的Sender Mac信息,利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙vFW2的实际IP地址及端口号。然后,SDN控制器利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点NVE的流表和SDN网关的策略路由,从而将租户的东西向互访流量引导至vFW2。
本实施例中,备防火墙通过标准ARP报文通告发生双机切换事件。SDN控制器不需要借助网元管理系统、虚拟网院管理系统或云管理平台,即可捕获标准ARP报文并采取相应的防火墙切换操作。因此,本实施例能够在主防火墙发生故障的情况下更加快速的做出响应,缩短响应时延,实现防火墙的切换和网络配置的更新,缩短防火墙业务的中断时间,从而提高切换防火墙的效率,进而提高防火墙业务的可靠性。
同时,本实施例通过SDN控制器和虚拟防火墙的协同配合来实现,能够减少SDN内部的信息交互环节,且不需要SDN外部的系统参与,可靠性较高。
此外,在传统的SDN系统架构基础上,只需要修改SDN控制器的代码、增加ARP的处理逻辑并存储防火墙虚拟机等网络相关的配置信息即可实现,易于实施。
图3示出了创建防火墙的一个应用例的流程示意图。如图3所示,该应用例中涉及的系统设备包括云管理平台、SDN控制器、网络虚拟化边缘节点NVE、虚拟机VM、虚拟交换机vSwitch、SDN网关、网元管理系统EMS/VNF管理系统VNFM、虚拟防火墙vFW1和vFW2。其中,虚拟防火墙采用双机主备(Active-Standby)的模式部署。各个系统设备的分工如下。
云管理平台:为租户提供防火墙服务,将防火墙相关操作发给底层VNFM/EMS和SDN控制器,并接受VNFM/EMS及SDN控制器返回的信息。
SDN控制器:根据云管理平台下发的指令配置NVE、SDN网关等网络节点,完成租户网络到虚拟防火墙的引流配置。
NVE:为虚拟机VM提供网络接入服务,完成Overlay隧道的封装和解封装。
SDN网关:实现SDN网络与其它网络的互通,通常是Overlay网络与VLAN网络的互通。
vFW1及vFW2:在虚拟防火墙网元VNF上运行防火墙功能。
EMS:对防火墙VNF进行网络和策略配置的管理系统。
VNFM:对防火墙VNF进行生命周期管理的系统。
本领域技术人员应理解,在某些场景下,EMS和VNFM两者可能合设,完成防火墙VNF的生命周期管理和相关配置工作。
云管理平台在创建防火墙服务、拉起虚拟防火墙时,需要从EMS/VNFM系统中获取虚拟防火墙的双机信息,并将其传递给SDN控制器,供SDN控制器后续捕获免费ARP时进行报文识别。工作流程如下。
(1)租户通过云管发起创建防火墙请求;
(2)云管理平台将创建防火墙请求下发给EMS/VNFM系统;
(3)EMS/VNFM根据请求拉起两个防火墙VNF,配置双机主备工作模式;
(4)EMS/VNFM返回防火墙双机的详细信息给云管平台,包括主备防火墙的虚拟机标识VMID、防火墙虚拟IP地址、主备防火墙的实际IP地址、主备防火墙的端口号等等;
(5)云管平台下发创建防火墙指令给SDN控制器,携带防火墙双机的详细信息;
(6)SDN控制器存储防火墙配置信息并进行流表初步配置。
图4示出了创建防火墙的一个应用例的流程示意图。如图4所示,当主防火墙发生故障时,需要进行防火墙切换,将租户网络流量引导至备用防火墙。
(1)主防火墙故障,备防火墙上线,防火墙双机切换;
(2)备防火墙广播免费ARP报文;该免费ARP报文的sender_ip和target_ip均为防火墙VIP,sender_mac为备防火墙Mac地址;
(3)SDN控制器收到免费ARP报文,检测到IP地址与之前登记的防火墙虚拟IP地址相同,判断发生防火墙切换事件;
(4)SDN控制器更新NVE节点的流表和SDN网关的策略路由,更新防火墙的端口号及MAC地址,后续租户的网络访问流量将被转发至新上线的备防火墙。
下面结合图5描述本公开切换防火墙的系统的一些实施例。
图5示出了本公开一些实施例的切换防火墙的系统的结构示意图。
如图5所示,本实施例包括:
主防火墙501;备防火墙502,被配置为在主防火墙故障的情况下广播免费ARP报文;其中,501主防火墙和备防火墙502具有相同的虚拟IP地址,免费ARP报文的源IP地址和目的IP地址均为虚拟IP地址,免费ARP报文的源MAC地址为备防火墙的MAC地址;备防火墙所在的网络虚拟化边缘节点503,被配置为接收免费ARP报文,并转发至SDN控制器;SDN控制器504,被配置为接收免费ARP报文,并检测到源IP地址与预先存储的虚拟IP地址相同,判断发生防火墙切换事件;利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
在一些实施例中,SDN控制器504被配置为:利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙的实际IP地址及端口号;利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点的流表和SDN网关的策略路由。
本实施例中,备防火墙通过标准ARP报文通告发生双机切换事件。SDN控制器不需要借助网元管理系统、虚拟网院管理系统或云管理平台,即可捕获标准ARP报文并采取相应的防火墙切换操作。因此,本实施例能够在主防火墙发生故障的情况下更加快速的做出响应,缩短响应时延,实现防火墙的切换和网络配置的更新,缩短防火墙业务的中断时间,从而提高切换防火墙的效率,进而提高防火墙业务的可靠性。
同时,本实施例通过SDN控制器和虚拟防火墙的协同配合来实现,能够减少SDN内部的信息交互环节,且不需要SDN外部的系统参与,可靠性较高。
此外,在传统的SDN系统架构基础上,只需要修改SDN控制器的代码、增加ARP的处理逻辑并存储防火墙虚拟机等网络相关的配置信息即可实现,易于实施。
在一些实施例中,还包括:云管理平台505,被配置为:接收租户发起的创建防火墙请求,并将创建防火墙请求下发至防火墙管理子系统;防火墙管理子系统506,被配置为:根据创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙;将虚拟IP地址及主防火墙的端口号发送至云管理平台;云管理平台505还被配置为:向SDN控制器下发创建防火墙指令,防火墙指令携带虚拟IP地址及主防火墙的端口号;SDN控制器504还被配置为:利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储虚拟IP地址。
在一些实施例中,SDN控制器504被配置为:利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址;利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。
本实施例提供的系统中,EMS或VNFM在拉起防火墙虚拟机之后,将防火墙虚拟网络功能的配置信息发送至云管平台。云管平台在创建防火墙时,将防火墙虚拟网络功能的配置信息一并下发给SDN控制器,实现了SDN网络的协同配置。因此,本实施例能够在不增加信息交互次数的情况下,使SDN控制器预先存储虚拟防火墙的虚拟IP地址,有助于高效判断发生防火墙切换事件。
下面结合图6描述本公开切换防火墙的装置的一些实施例。
图6示出了本公开一些实施例的切换防火墙的装置的结构示意图。如图6所示,该实施例的切换防火墙的装置60包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行前述任意一些实施例中的切换防火墙的方法。
其中,存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
切换防火墙的装置60还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器610和处理器620之间例如可以通过总线660连接。其中,输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。
本公开还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一些实施例中的切换防火墙的方法。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种切换防火墙的方法,包括:
在主防火墙故障的情况下,备防火墙广播免费ARP报文;其中,主防火墙和备防火墙具有相同的虚拟IP地址,所述免费ARP报文的源IP地址和目的IP地址均为所述虚拟IP地址,所述免费ARP报文的源MAC地址为备防火墙的MAC地址;
备防火墙所在的网络虚拟化边缘节点接收所述免费ARP报文,并转发至SDN控制器;
SDN控制器接收所述免费ARP报文,并检测到所述源IP地址与预先存储的所述虚拟IP地址相同,判断发生防火墙切换事件;
SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
2.如权利要求1所述的方法,其中,所述SDN控制器利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙包括:
SDN控制器利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙的实际IP地址及端口号;
SDN控制器利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点的流表和SDN网关的策略路由。
3.如权利要求1所述的方法,还包括:
云管理平台接收租户发起的创建防火墙请求,并将所述创建防火墙请求下发至防火墙管理子系统;
防火墙管理子系统根据所述创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙;
防火墙管理子系统将所述虚拟IP地址及主防火墙的端口号发送至云管理平台;
云管理平台向SDN控制器下发创建防火墙指令,所述防火墙指令携带所述虚拟IP地址及主防火墙的端口号;
SDN控制器利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储所述虚拟IP地址。
4.如权利要求3所述的方法,其中,所述SDN控制器利用主防火墙的端口号将租户的网络访问流量引导至主防火墙包括:
SDN控制器利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址;
SDN控制器利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。
5.一种切换防火墙的系统,包括:
主防火墙;
备防火墙,被配置为在主防火墙故障的情况下广播免费ARP报文;其中,主防火墙和备防火墙具有相同的虚拟IP地址,所述免费ARP报文的源IP地址和目的IP地址均为所述虚拟IP地址,所述免费ARP报文的源MAC地址为备防火墙的MAC地址;
备防火墙所在的网络虚拟化边缘节点,被配置为接收所述免费ARP报文,并转发至SDN控制器;
SDN控制器,被配置为接收所述免费ARP报文,并检测到所述源IP地址与预先存储的所述虚拟IP地址相同,判断发生防火墙切换事件;利用备防火墙的MAC地址将租户的网络访问流量引导至备防火墙。
6.如权利要求5所述的系统,其中,所述SDN控制器被配置为:
利用备防火墙的MAC地址查询预先存储的数据映射表,得到备防火墙的实际IP地址及端口号;利用备防火墙的MAC地址、实际IP地址及端口号更新网络虚拟化边缘节点的流表和SDN网关的策略路由。
7.如权利要求5所述的系统,还包括:
云管理平台,被配置为:接收租户发起的创建防火墙请求,并将所述创建防火墙请求下发至防火墙管理子系统;
防火墙管理子系统,被配置为:根据所述创建防火墙请求,配置两个虚拟防火墙网元分别运行主防火墙及备防火墙;将所述虚拟IP地址及主防火墙的端口号发送至云管理平台;
云管理平台还被配置为:向SDN控制器下发创建防火墙指令,所述防火墙指令携带所述虚拟IP地址及主防火墙的端口号;
SDN控制器还被配置为:利用主防火墙的端口号将租户的网络访问流量引导至主防火墙,并存储所述虚拟IP地址。
8.如权利要求7所述的系统,其中,所述SDN控制器被配置为:
利用主防火墙的端口号查询预先存储的数据映射表,得到主防火墙的MAC地址及实际IP地址;利用主防火墙的MAC地址、实际IP地址及端口号配置网络虚拟化边缘节点的流表和SDN网关的策略路由。
9.一种切换防火墙的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至4中任一项所述的切换防火墙的方法。
10.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至4中任一项所述的切换防火墙的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910902163.1A CN112637105B (zh) | 2019-09-24 | 2019-09-24 | 切换防火墙的方法、系统、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910902163.1A CN112637105B (zh) | 2019-09-24 | 2019-09-24 | 切换防火墙的方法、系统、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112637105A CN112637105A (zh) | 2021-04-09 |
| CN112637105B true CN112637105B (zh) | 2022-08-02 |
Family
ID=75282686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910902163.1A Active CN112637105B (zh) | 2019-09-24 | 2019-09-24 | 切换防火墙的方法、系统、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112637105B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746802B (zh) * | 2021-08-02 | 2022-12-09 | 北京邮电大学 | 网络功能虚拟化中的方法以及本地状态和远程状态全存储的vnf装置 |
| CN115022126B (zh) * | 2022-05-23 | 2023-09-01 | 苏州思萃工业互联网技术研究所有限公司 | 分布式边缘网关的实现方法和系统 |
| CN114866509B (zh) * | 2022-06-16 | 2024-04-26 | 北京百度网讯科技有限公司 | 虚拟ip切换方法、装置和系统 |
| CN116614318B (zh) * | 2023-07-20 | 2023-10-03 | 深圳市中科云科技开发有限公司 | 一种基于防火墙的网络安全防护方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929324A (zh) * | 2006-10-17 | 2007-03-14 | 杭州华为三康技术有限公司 | 一种互为备份装置的主从切换方法及主从切换系统 |
| CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
| CN102904818A (zh) * | 2012-09-27 | 2013-01-30 | 北京星网锐捷网络技术有限公司 | 一种arp信息表项更新方法及装置 |
| WO2018171529A1 (zh) * | 2017-03-20 | 2018-09-27 | 中兴通讯股份有限公司 | 一种实现双控制平面的方法、装置、计算机存储介质 |
-
2019
- 2019-09-24 CN CN201910902163.1A patent/CN112637105B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929324A (zh) * | 2006-10-17 | 2007-03-14 | 杭州华为三康技术有限公司 | 一种互为备份装置的主从切换方法及主从切换系统 |
| CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
| CN102904818A (zh) * | 2012-09-27 | 2013-01-30 | 北京星网锐捷网络技术有限公司 | 一种arp信息表项更新方法及装置 |
| WO2018171529A1 (zh) * | 2017-03-20 | 2018-09-27 | 中兴通讯股份有限公司 | 一种实现双控制平面的方法、装置、计算机存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| "云资源池集成虚拟防火墙方案及关键技术";黄志兰 等;《电信科学》;20190319(第5期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112637105A (zh) | 2021-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637105B (zh) | 切换防火墙的方法、系统、装置及计算机可读存储介质 | |
| US11050586B2 (en) | Inter-cloud communication method and related device, and inter-cloud communication configuration method and related device | |
| CN106664216B (zh) | 一种切换vnf的方法和装置 | |
| US11394607B2 (en) | Method and system for network configuration | |
| CN106254203B (zh) | 一种报文转发方法及装置 | |
| CN102412978B (zh) | 一种针对虚拟主机进行网络配置的方法和系统 | |
| KR101495242B1 (ko) | 가상 터미널을 지원하는 멀티캐스트 데이터 전달 방법 및 장치 | |
| CN112187517B (zh) | 一种数据中心sdn虚拟路由的配置方法、平台及控制器 | |
| JP6432955B2 (ja) | 仮想ネットワーク機能インスタンスをマイグレーションさせるための方法、装置およびシステム | |
| US10361992B2 (en) | Method for synchronizing virtual machine location information between data center gateways, gateway, and system | |
| CN107317768B (zh) | 流量调度方法及装置 | |
| US11310080B2 (en) | VXLAN configuration method, device, and system | |
| JP2018525937A (ja) | 仮想ネットワーク管理 | |
| CN111736958A (zh) | 虚拟机迁移方法、系统、计算机设备及存储介质 | |
| CN111556110B (zh) | 一种用于私有云系统的不同物理业务网络自动化适配方法 | |
| CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
| JP5772434B2 (ja) | 冗長化制御のためのプログラム、情報処理装置及び方法、通信装置、中継処理方法及びプログラム | |
| CN108039968B (zh) | 网络优化方法、设备及计算机可读存储介质 | |
| CN107645402A (zh) | 一种路由管理方法和装置 | |
| CN113162779B (zh) | 一种多云互联的方法及设备 | |
| US10999178B2 (en) | Information processing apparatus and information processing system | |
| CN113254148A (zh) | 一种虚拟机的迁移方法及云管理平台 | |
| CN105338127A (zh) | 媒体接入控制mac地址表更新方法、交换机及系统 | |
| CN110830598B (zh) | Bgp会话建立、发送接口地址和别名的方法及网络设备 | |
| CN114553707B (zh) | 网络的拓扑信息的生成和网络故障的定界方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |