CN112995316B - 数据处理方法、装置、电子设备和存储介质 - Google Patents
数据处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112995316B CN112995316B CN202110212386.2A CN202110212386A CN112995316B CN 112995316 B CN112995316 B CN 112995316B CN 202110212386 A CN202110212386 A CN 202110212386A CN 112995316 B CN112995316 B CN 112995316B
- Authority
- CN
- China
- Prior art keywords
- sdn switch
- sdn
- information
- switch
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims description 61
- 238000012545 processing Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 23
- 230000009471 action Effects 0.000 claims description 15
- 230000015654 memory Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 230000002265 prevention Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种数据处理方法、装置、电子设备和存储介质,该方法包括:获取SDN交换机对应的安全设备的端口状态信息,SDN交换机设置于核心交换机和至少一个安全设备间;根据安全设备的端口状态信息,确定安全设备的端口是否处于正常运行状态;在确定安全设备的端口处于正常运行状态时,根据核心交换机和SDN交换机间的业务流量的五元组信息,将业务流量引流到至少一个安全设备。
Description
技术领域
本申请实施例涉及交换机技术领域,尤其涉及一种数据处理方法、装置、电子设备和计算机存储介质。
背景技术
交换机(Switch,SW)根据业务流量的五元组信息,将业务流量分流到多台安全设备上。安全设备包括态势感知、传统防火墙、下一代防火墙、服务平台(Network TerminalAppliance,NTA)、入侵防御系统(Intrusion Prevention System,IPS)以及应用防护系统(Web Application Firewall,WAF)等设备。安全设备基于业务流量的分析结果,对网络威胁进行及时防御或告警。
在相关技术中,采用核心交换机+安全设备的部署模式,在一台核心交换机下接入多台安全设备,直接通过核心交换机将业务流量引流到对应的安全设备,没有中间转换平台实现业务引流相应的扩展功能,难以保证核心交换机和安全设备间的数据链路的可用性,因此,核心交换机和安全设备间的数据链路的承载性能较低。因此,如何提高核心交换机和安全设备间的数据链路的承载性能成为亟待解决的重要问题。
发明内容
本申请实施例提供了一种数据处理方法、装置、电子设备和计算机存储介质,可以提高核心交换机和安全设备间的数据链路的承载性能。
本申请实施例提供了一种数据处理方法,包括:
获取软件定义网络SDN交换机对应的安全设备的端口状态信息,所述SDN交换机设置于核心交换机和所述安全设备间;
根据所述安全设备的端口状态信息,确定所述安全设备的端口是否处于正常运行状态;
在确定所述安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备。
在一种实现方式中,所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
获取所述业务流量的五元组信息对应的哈希值;
根据所述五元组信息对应的哈希值和预设哈希值范围的匹配结果,将所述业务流量引流到至少一个安全设备。
在一种实现方式中,所述获取SDN交换机对应的安全设备的端口状态信息,包括:
向所述安全设备发送数据包,所述数据包中的信息包括所述SDN交换机的标识信息和端口信息;
根据所述安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息;
所述确定所述安全设备的端口处于正常运行状态,包括:
在第一预设时间内收到所述安全设备的响应信息时,确定所述安全设备的端口处于正常运行状态。
在一种实现方式中,所述方法还包括:
获取所述SDN交换机的端口状态信息;
根据流表匹配域信息和所述SDN交换机的端口状态信息,确定所述流表匹配域信息对应的流表动作的信息,得到所述SDN交换机的流表;
所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
根据所述五元组信息和所述SDN交换机的流表,将所述业务流量引流到至少一个所述安全设备。
在一种实现方式中,所述获取所述SDN交换机的端口状态信息,包括:
定时向所述SDN交换机发送心跳包;
在第二预设时间内收到所述SDN交换机的响应信息时,确定所述SDN交换机未脱离所述SDN交换机的控制器;
获取所述SDN交换机的端口状态信息。
在一种实现方式中,所述SDN交换机连接多个安全设备,所述方法还包括:
在所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;
或者,在确定所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述安全设备的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备;
在所述SDN交换机和核心交换机间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机。
在一种实现方式中,所述SDN交换机的控制器包括第一控制器、第二控制器;所述第一控制器为所述SDN交换机的主控制器,所述方法还包括:
在确定所述第一控制器处于异常运行状态时,将所述第二控制器确定为所述SDN交换机的主控制器;
其中,所述第一控制器和所述第二控制器采用心跳线互联,所述第一控制器和所述第二控制器采用相同的虚拟IP地址。
在一种实现方式中,所述确定所述第一控制器处于异常运行状态,包括:
在监测到所述第一控制器离线时,确定所述第一控制器处于异常运行状态;
或者,在监测到所述第一控制器发送的切换信号时,确定所述第一控制器处于异常运行状态。
本申请实施例提供了一种数据处理设备,包括:
获取模块,用于获取软件定义网络SDN交换机对应的安全设备的端口状态信息,所述SDN交换机设置于核心交换机和至少一个所述安全设备间;
确定模块,用于根据所述安全设备的端口状态信息,确定所述安全设备的端口是否处于正常运行状态;
处理模块,用于在确定所述安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备。
在一种实现方式中,所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
获取所述业务流量的五元组信息对应的哈希值;
根据所述五元组信息对应的哈希值和预设哈希值范围的匹配结果,将所述业务流量引流到至少一个安全设备。
在一种实现方式中,所述获取模块,用于获取SDN交换机对应的安全设备的端口状态信息,包括:
向所述安全设备发送数据包,所述数据包中的信息包括所述SDN交换机的标识信息和端口信息;
根据所述安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息;
所述处理模块,用于确定所述安全设备的端口处于正常运行状态,包括:
在第一预设时间内收到所述安全设备的响应信息时,确定所述安全设备的端口处于正常运行状态。
在一种实现方式中,所述处理模块,还用于:
获取所述SDN交换机的端口状态信息;
根据所述业务流量的流表匹配域信息和所述SDN交换机的端口状态信息,确定所述流表匹配域信息对应的流表动作的信息,得到所述SDN交换机的流表;
所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
根据所述五元组信息和所述SDN交换机的流表,将所述业务流量引流到至少一个所述安全设备。
在一种实现方式中,所述获取模块,用于获取所述SDN交换机的端口状态信息,包括:
定时向所述SDN交换机发送心跳包;
在第二预设时间内收到所述SDN交换机的响应信息时,确定所述SDN交换机未脱离所述SDN交换机的控制器;
获取所述SDN交换机的端口状态信息。
在一种实现方式中,所述SDN交换机连接多个安全设备,所述处理模块,还用于:
在所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;
在所述SDN交换机和核心交换机间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;
在确定所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述安全设备对应的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备。
在一种实现方式中,所述SDN交换机的控制器包括第一控制器、第二控制器;所述第一控制器为所述SDN交换机的主控制器,所述处理模块还用于:
在确定所述第一控制器处于异常运行状态时,将所述第二控制器确定为所述SDN交换机的主控制器;
其中,所述第一控制器和所述第二控制器采用心跳线互联,所述第一控制器和所述第二控制器采用相同的虚拟IP地址。
在一种实现方式中,所述处理模块,用于确定所述第一控制器处于异常运行状态,包括:
在监测到所述第一控制器离线时,确定所述第一控制器处于异常运行状态;
或者,在监测到所述第一控制器发送的切换信号时,确定所述第一控制器处于异常运行状态。
本申请实施例提供一种电子设备,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述一个或多个技术方案提供的数据处理方法。
本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机程序;所述计算机程序被执行后能够实现前述一个或多个技术方案提供的数据处理方法。
基于本申请实施例提供的数据处理方法,获取SDN交换机对应的安全设备的端口状态信息;在根据安全设备的端口状态信息确定安全设备的端口处于正常运行状态时,根据SDN交换机的流表,将业务流量引流到安全设备。由此,保证SDN交换机和安全设备间的数据链路的可用性,从而,提高了核心交换机和安全设备间的数据链路的承载性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
图1为本申请实施例提供的一种实现数据处理方法的网络架构图;
图2为本申请实施例提供的另一种实现数据处理方法的网络架构图;
图3为本申请实施例提供的一种数据处理方法的流程示意图;
图4为本申请实施例提供的另一种数据处理方法的流程示意图;
图5为本申请实施例提供的实现数据处理方法的网络拓扑图;
图6为本申请实施例提供的实现数据处理方法的网络拓扑图;
图7为本申请实施例提供的实现数据处理方法的网络拓扑图;
图8为本申请实施例提供的一种数据处理装置的结构示意图;
图9为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本申请,并不用于限定本申请。另外,以下所提供的实施例是用于实施本申请的部分实施例,而非提供实施本申请的全部实施例,在不冲突的情况下,本申请实施例记载的技术方案可以任意组合的方式实施。
图1示出了本申请实施例提供的实现数据处理方法的网络架构图,参见图1,SDN控制器管理平台可以包括流表生成模块、流表下发模块、SDN控制器。其中,流表生成模块可以用于生成至少一个SDN交换机的流表、流表下发模块可以用于向至少一个SDN交换机下发相应的流表。
示例性地,SDN控制器可以用于生成服务链的配置信息,服务链的配置信息可以包括以下信息中的任一项:至少一个SDN交换机的流表、安全设备组的配置信息。
这里,SDN服务链用于控制业务流量按照业务逻辑所要求的顺序依次经过安全设备所在的业务节点。
示例性地,当SDN服务链的业务流量经过SDN交换机的安全设备组时,SDN控制器用于将SDN服务链对应的业务流量引流到各个安全设备上。
这里,安全设备组可以包括至少一个安全设备,安全设备组中的安全设备连接到一台或多台SDN交换机,共同形成一个安全资源池。安全设备可以包括态势感知、传统防火墙、下一代防火墙、服务平台、入侵防御系统以及应用防护系统等设备。
图2示出了本申请实施例提供的实现数据处理方法的网络架构图,参见图2,核心交换机可以是连接广域网的交换机,在核心交换机和安全设备间部署软件定义网络(Software Defined Network,SDN)交换机,安全设备部署在SDN交换机的主链路或者旁链路。SDN交换机部署在虚拟机上,基于虚拟机和核心交换机通信连接。
示例性地,业务流量依次经过核心交换机、SDN交换机、安全设备到达网络设备,这里,网络设备可以是企业内部网络中的网络设备。
这里,SDN交换机可以包含Open vSwitch虚拟交换机,Open vSwitch虚拟交换机支持OpenFlow协议,将交换机的控制功能与数据转发功能分离,由SDN控制器实现网络的拓扑发现、链路监测、流表下发和路径计算,由SDN交换机负责对业务流量进行数据转发。
示例性地,SDN交换机可以是虚拟交换机,即,可以直接集成在至少一台交换机上,也可以是至少一台物理交换机,SDN交换机的功能集成在物理交换机上。
图3示出了本申请实施例提供的一种数据处理方法的流程示意图,参见图3,本申请的数据处理方法,可以包括以下步骤:
步骤A301:获取SDN交换机对应的安全设备的端口状态信息,SDN交换机设置于核心交换机和至少一个安全设备间。
这里,安全设备的端口状态信息可以包括至少一个安全设备的端口状态信息,端口状态信息可以包括安全设备的标识信息、端口号、端口的运行状态的信息,其中,端口的运行状态包括端口处于正常运行状态、或者端口处于异常运行状态。
示例性地,在安全设备的端口掉电时,或者安全设备的IP地址飘移时,或者安全设备的业务进程崩溃时,确定安全设备的端口状态信息为端口处于异常运行状态。
示例性地,向安全设备发送数据包,根据安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息。
应理解,安全设备的端口的运行状态影响安全设备和交换机间的数据链路,在获取SDN交换机对应的安全设备的端口状态信息的基础上,可以确定安全设备的端口是否处于正常运行状态,进而,判断安全设备和交换机间的数据链路是否有效。
步骤A302:根据安全设备的端口状态信息,确定安全设备的端口是否处于正常运行状态。
示例性地,向安全设备发送数据包,在第一预设时间内收到安全设备的响应信息时,确定安全设备的端口状态信息为端口处于正常运行状态。
示例性地,向安全设备发送数据包,在第一预设时间内未收到安全设备的响应信息时,确定安全设备的端口状态信息为端口处于异常运行状态。
示例性地,动态监测SDN交换机对应的安全设备的端口状态信息,在确定安全设备处于异常运行状态时,将处于异常运行状态的安全设备的端口信息,从端口信息列表中移除。
这里,端口信息列表中包括至少一个安全设备的端口的信息。
应理解,SDN交换机可以连接多个安全设备,对于端口处于异常运行状态的安全设备,在将相应的端口信息从端口信息列表中移除后,可以及时更新SDN交换机和安全设备间的数据链路信息,保证数据链路信息的有效性。
步骤A303:在确定安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到安全设备。
示例性地,SDN交换机接收SDN控制器下发的流表,在业务流量的数据包到达SDN交换机时,SDN交换机提取业务流量的五元组信息对应的流表匹配域信息,进而,在流表中查找与业务流量的流表匹配域信息匹配的流表项,根据所查找到的流表项执行相应的流表动作,从而,将业务流量发送至安全设备。
应理解,在业务流量的数据包到达SDN交换机时,SDN交换机可以获取数据包对应的五元组信息,在SDN交换机的流表中存在与业务流量的五元组信息对应的流表项时,SDN交换机可以基于与业务流量的五元组信息对应的流表项,将业务流量发送至安全设备。
这里,流表项可以是SDN交换机的流表中的流表动作信息。
这里,流表为OpenFlow中的引流策略,当业务流量的匹配域信息在流表中匹配到对应的流表项时,SDN交换机执行相应的流表动作。五元组信息的信息内容包括业务流量的源IP地址、源端口、目的IP地址、目的端口、传输层协议。
在相关技术中,采用核心交换机+安全设备的部署模式,在一台核心交换机下接入多台安全设备,直接通过核心交换机将业务流量引流到对应的安全设备,没有中间转换平台实现业务引流相应的扩展功能,难以保证核心交换机和安全设备间的数据链路的可用性,因此,核心交换机和安全设备间的数据链路的承载性能较低。
基于本申请实施例提供的数据处理方法,在核心交换机和安全设备间设置SDN交换机和SDN控制器,获取SDN交换机对应的安全设备的端口状态信息;在根据安全设备的端口状态信息确定SDN交换机和安全设备间的数据链路处于正常运行状态时,根据SDN交换机的流表,将业务流量引流到安全设备。由此,保证SDN交换机和安全设备间的数据链路的可用性,从而,提高了核心交换机和安全设备间的数据链路的承载性能。因此,可以实现大流量场景下的业务引流。
在实际应用中,上述步骤A301至步骤A303可以采用电子设备的处理器实现,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital SignalProcessing Device,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、中央处理器(CentralProcessing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
在一种实现方式中,在上述步骤A303中,所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,可以包括以下步骤:获取所述业务流量的五元组信息对应的哈希值;根据所述五元组信息对应的哈希值和预设哈希值范围的匹配结果,将所述业务流量引流到至少一个安全设备。
示例性地,SDN交换机根据业务流量的五元组信息,计算得到业务流量的五元组信息对应的哈希值,根据五元组信息对应的哈希值、预设哈希值的范围的匹配结果,将业务流量引流到至少一个安全设备。
在相关技术中,在对业务流量进行引流时,需要对用户的业务流量对应的访问行为进行预先配置,为业务流量配置相应的目标IP段,根据业务流量的五元组信息来划分目标IP网段进行引流,以将业务流量引流到固定的安全设备上,难以保证业务流量在安全设备间的负载均衡,实现大流量场景下的业务引流。
在本申请实施例中,SDN交换机根据业务流量的五元组信息,计算得到业务流量的五元组信息对应的哈希值,根据五元组信息对应的哈希值、预设哈希值的范围的匹配结果,将业务流量引流到至少一个安全设备,不需要对用户的业务流量对应的访问行为进行预先配置,为业务流量配置相应的IP段,从而,提高了对业务流量进行流量引流的灵活性。因此,可以保证业务流量在安全设备间的负载均衡,实现大流量场景下的业务引流。
在一种实现方式中,获取SDN交换机对应的安全设备的端口状态信息,包括:向安全设备发送数据包,数据包中的信息包括SDN交换机的标识信息和端口信息;根据所述安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息;确定安全设备的端口处于正常运行状态,包括:在第一预设时间内收到安全设备的响应信息时,确定安全设备的端口处于正常运行状态。
示例性地,SDN交换机定时向安全设备发送地址解析协议(Address ResolutionProtocol,ARP)报文,在第一预设时间内收到ARP回复报文时,确定安全设备的端口处于正常运行状态。否则,确定安全设备的端口处于异常运行状态。
示例性地,SDN交换机定时向安全设备发送互联网信息控制协议(InternetControl Message protocol,ICMP)报文,在第一预设时间内收到ICMP回复报文时,确定安全设备的端口处于正常运行状态。否则,确定安全设备的端口处于异常运行状态。
这里,互联网信息控制协议用于实现链路连通性测试和链路追踪。
示例性地,由SDN控制器向安全设备发送ARP报文或者ICMP报文。
示例性地,SDN控制器在向安全设备发送ICMP报文/ARP报文时,将ICMP报文/ARP报文的目的MAC修改成安全设备的MAC地址,因此,安全设备在收到ICMP报文后可以确认报文的目的MAC和安全设备的MAC地址是否一致,在报文的目的MAC和安全设备的MAC地址一致时,安全设备向SDN交换机发送ICMP回包/ARP回包。从而,防止安全设备收到ICMP报文后,将ICMP报文/ARP报文丢弃,不能及时向SDN交换机发送响应消息。
示例性地,在向安全设备发送ICMP报文/ARP报文时,在ICMP报文中加入SDN交换机的标识信息和端口信息。安全设备在收到ICMP报文/ARP报文后,向SDN控制器发送ICMP回包/ARP回包。在ICMP回包/ARP回包中加入SDN交换机的标识信息和端口信息。
这里,SDN交换机的标识信息可以是SDN交换机的身份标识(Identity document,ID),例如ID号;SDN交换机的端口信息可以是SDN交换机的端口号。
应理解,SDN交换机在收到ICMP回包/ARP回包时,通过ICMP回包/ARP回包中SDN交换机的标识信息和端口信息,可以判断发出ICMP报文/ARP报文的SDN交换机和SDN交换机的端口。
在相关技术中,安全设备在收到SDN交换机发送的数据包时,数据包中的信息未关联发送数据包的SDN交换机的标识信息和端口信息,因此,当安全设备需要向SDN交换机返回响应信息时,不能确定发送数据包的SDN交换机和SDN交换机的端口。
在本申请实施例中,在向安全设备发送的数据包、安全设备向SDN交换机发送的响应信息中加入SDN交换机的标识信息和端口信息,因此,当安全设备在接收SDN交换机发送的数据包,需要向SDN交换机返回响应信息时,可以准确判断发出数据包的SDN交换机和SDN交换机的端口,相应地,提高了获取安全设备的端口状态信息的可靠性。
在一种实现方式中,参见图4,上述数据处理方法还可以包括以下步骤:
步骤A3031:获取SDN交换机的端口状态信息。
这里,SDN交换机的端口状态信息可以包括至少一个SDN交换机的端口状态信息,端口状态信息可以包括SDN交换机的标识信息、端口的类型、端口号、端口的运行状态的信息,其中,端口的类型包括入端口、出端口,端口的运行状态包括端口处于正常运行状态、或者端口处于异常运行状态。
示例性地,表1示出了本申请实施例提供的SDN交换机的流表的信息。参见表1,A、B分别为SDN交换机A、SDN交换机B的标识信息。
表1 SDN交换机的端口状态信息
步骤A3032:根据业务流量的流表匹配域信息和SDN交换机的端口状态信息,确定流表匹配域信息对应的流表动作的信息,得到SDN交换机的流表。
示例性地,表2示出了本申请实施例提供的SDN交换机的流表的信息。参见表2,SDN交换机A、SDN交换机B间基于SW link互相连接,假设SW link对应的端口号为40,X为业务流量的五元组信息。
其中,A/1,X表示从入端口A/1进入SDN交换机A的业务流量;B/1,X表示从入端口B/1进入SDN交换机B的业务流量;A/40、X、vlan1001表示从入端口A/40进入SDN交换机A的业务流量,虚拟机局域网(Virtual Local Area Network,VLAN)标记为1001。
这里,SDN交换机基于端口划分VLAN,将业务流量的业务类型相同的端口划分到同一VLAN。
表2SDN交换机的流表
示例性地,根据业务流量的流表匹配域信息,在SDN交换机的流表中遍历入端口信息中包含的所有SDN交换机的出端口,在SDN交换机A的出端口信息中存在流表匹配域对应的端口时,生成基于SDN交换机A的流表动作的信息。例如,表2中序号1对应的A/1到A/2。
这里,流表由多个流表项组成,每个流表项可以作为一个转发规则。可以根据业务流量的流表匹配域信息,在流表中查询流表匹配域信息对应的目的端口,获得用于数据转发的流表动作的信息。
示例性地,根据业务流量的流表匹配域信息,在SDN交换机的流表中遍历入端口信息中包含的所有SDN交换机的出端口,在SDN交换机A的出端口信息中不存在流表匹配域对应的端口时,生成基于跨SDN交换机的流表动作的信息。例如,表2中序号3对应的B/1→A/2。
这里,在业务流量跨SDN交换机A、SDN交换机B进行传输时,可以指定SDN交换机A、SDN交换机B间的SW link。
步骤A3033:根据业务流量的五元组信息和SDN交换机的流表,将业务流量引流到至少一个所述安全设备。
示例性地,业务流量的五元组信息的信息内容包括业务流量的源IP地址、源端口、目的IP地址、目的端口、传输层协议。SDN交换机可以基于业务流量的目的端口划分VLAN,将业务流量的业务类型相同的端口划分到同一VLAN。
示例性地,SDN交换机基于流表动作的信息A/1→A/2,将从入端口A/1进入SDN交换机A的业务流量,经由SDN交换机A的出端口A/2发送至业务流量对应的目的端口,从而,将业务流量引流至安全设备。
示例性地,SDN交换机基于流表动作的信息B/1→A/2,将从入端口B/1进入SDN交换机B的业务流量,经由SDN交换机A、SDN交换机B间的SW link通道传输至SDN交换机A,从SDN交换机A的出端口A/2发送至业务流量对应的目的端口,从而,将业务流量引流至安全设备。
在本申请实施例中,获取SDN交换机的端口状态信息,保证SDN交换机的入端口、出端口的可用性;因此,在根据业务流量的流表匹配域信息和SDN交换机的端口状态信息,确定流表匹配域信息对应的流表动作的信息时,提高了流表动作的信息对应的数据链路的可用性,从而提高了SDN交换机的承载性能。
在一种实现方式中,上述数据处理方法还可以包括以下步骤:
在SDN交换机和安全设备间的数据链路处于异常运行状态时,将SDN交换机的业务流量引流至与SDN交换机互联的SDN交换机。
示例性地,当多台SDN交换机中的某一台SDN交换机与安全设备的端口均处于异常运行状态时,确定SDN交换机和安全设备间的数据链路处于异常运行状态,此时,将SDN交换机对应的业务流量,基于SW link引流至与SDN交换机互联的SDN交换机。
这里,SDN交换机对应的业务流量为SDN交换机与安全设备间的业务流量。
在本申请实施例中,在SDN交换机和安全设备间的数据链路处于异常运行状态时,将SDN交换机的业务流量引流至与SDN交换机互联的SDN交换机。从而,保证SDN交换机和安全设备间的传输路径存在冗余带宽,使得SDN交换机和安全设备间的业务流量不存在传输瓶颈,因此,可以保证SDN交换机和安全设备间的数据链路的高可用性、稳定性。
在一种实现方式中,上述数据处理方法还可以包括以下步骤:
在SDN交换机和核心交换机间的数据链路处于异常运行状态时,此时,将SDN交换机的业务流量引流至与SDN交换机互联的SDN交换机。
示例性地,图5示出了本申请实施例提供的实现数据处理方法的网络拓扑图,参见图5,两个核心交换机分别与两个SDN交换机交叉互连,同时,两个SDN交换机间基于SW link互相连接。其中,SW link用于实现SDN交换机间的业务流量交互;SDN交换机与核心交换机间的带宽可以为100G,SDN交换机间的网络带宽可以为40G,在此仅用举例说明宽带大小,实际也可以为预设配置的任意宽带大小,例如,30G、50G、60G,本申请对此不作限定。
在本申请实施例中,两个SDN交换机与两个核心交换机交叉互连,保证核心交换机和SDN交换机间的传输路径存在冗余带宽,使得核心交换机和SDN交换机间的业务流量不存在传输瓶颈,从而,可以保证SDN交换机和核心交换机的数据链路的高可用性、稳定性。
示例性地,当多台SDN交换机中的某一台SDN交换机与核心交换机的所有端口均处于异常运行状态时,确定SDN交换机与核心交换机间的数据链路处于异常运行状态;此时,将SDN交换机对应的业务流量,基于SW link引流至与SDN交换机互联的SDN交换机。
这里,SDN交换机对应的业务流量为SDN交换机与核心交换机间的业务流量。
在一种实现方式中,所述SDN交换机连接多个安全设备,所述方法还可以包括以下步骤:
在确定SDN交换机和安全设备间的数据链路处于异常运行状态时,将所述安全设备对应的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备。
示例性地,图6示出了本申请实施例提供的实现数据处理方法的网络拓扑图,参见图6,SDN交换机与多台安全设备组成后端安全拓扑网络结构,其中,多台安全设备中的任一台安全设备可以与至少两台SDN交换机互连。
在实际应用中,可以由SDN控制器对服务链进行配置,SDN控制器向SDN交换机下发服务链的配置信息。当服务链的业务流量通过SDN交换机时,SDN交换机根据服务链的配置信息和业务流量的五元组信息,将业务流量引流到各个安全设备上。在服务链的配置信息中,可以对SDN交换机对应的安全设备的类型、安全设备的数量进行配置,增加或删除部分安全设备。
示例性地,安全设备的类型包括以下任一项:态势感知设备、传统防火墙、下一代防火墙、服务平台、入侵防御系统、应用防护系统。
示例性地,当多台安全设备中的某一台安全设备处于异常运行状态时,确定SDN交换机和安全设备间的数据链路处于异常运行状态,此时,将SDN交换机发往该安全设备的业务流量引流至多个安全设备中处于正常运行状态的安全设备。
在本申请实施例中,SDN交换机连接多个安全设备,在确定SDN交换机和安全设备间的数据链路处于异常运行状态时,将安全设备对应的业务流量引流至多个安全设备中处于正常运行状态的安全设备。从而,保证SDN交换机和安全设备间的数据链路的高可用性、稳定性。
在一种实现方式中,SDN交换机的控制器至少包括第一控制器、第二控制器;第一控制器为SDN交换机的主控制器,方法还可以包括以下步骤:
确定第一控制器处于异常运行状态,将第二控制器确定为SDN交换机的主控制器;其中,第一控制器和第二控制器采用相同的虚拟IP地址。
示例性地,图7示出了本申请实施例提供的实现数据处理方法的网络拓扑图,参见图7,SDN控制器包括第一控制器和第二控制器,采用主备模式部署SDN控制器,第一控制器、第二控制器对应的两个虚拟机采用相同的虚拟IP。
示例性地,将第一控制器设置为主控制器,主控制器所在的虚拟机基于虚拟IP与多个SDN交换机进行通信,在确定第一控制器处于异常运行状态,将第二控制器确定为SDN交换机的主控制器。
示例性地,在确定主SDN控制器处于异常状态时,升级备用SDN控制器成为主SDN控制器。在升级备用SDN控制器成为主SDN控制器时,为备用SDN控制器配置虚拟IP与多个SDN交换机进行通信。
示例性地,主SDN控制器和备用SDN控制器间采用心跳线传输数据。基于主备控制器间的心跳线,备用SDN控制器可以接收主SDN控制器发送的主备切换信号。在主备控制器切换时,主SDN控制器和备用SDN控制器基于心跳线对数据库进行同步,保障网络数据的同步更新。
在本申请实施例中,SDN交换机的控制器包括第一控制器、第二控制器;第一控制器为SDN交换机的主控制器,在确定第一控制器处于异常运行状态时,将第二控制器确定为SDN交换机的主控制器。从而,避免单一SDN控制器故障时产生的网络失效问题。在第一控制器和第二控制器采用相同的虚拟IP地址时,可以保证第一控制器、第二控制器切换时的网络稳定性。
在一种实现方式中,确定第一控制器处于异常运行状态,可以包括以下步骤:
在监测到第一控制器离线时,确定第一控制器处于异常运行状态;或者,在监测到第一控制器发送的切换信号时,确定第一控制器处于异常运行状态。
示例性地,在备用SDN控制器监测到主SDN控制器离线时,确定主SDN控制器处于异常状态。或者,在备用SDN控制器收到主SDN控制器发送的主备切换信号时,确定主SDN控制器处于异常状态。
在本申请实施例中,将第一控制器作为SDN交换机的主控制器,在监测到第一控制器离线时,或者,在监测到第一控制器发送的切换信号时,确定第一控制器处于异常运行状态。从而,可以灵活监控主控制器的运行状态,提高SDN控制器切换的稳定性和可靠性。
在一种实现方式中,所述获取所述SDN交换机的端口状态信息,可以包括以下步骤:
定时向所述SDN交换机发送心跳包;在第二预设时间内收到所述SDN交换机的响应信息时,确定所述SDN交换机未脱离所述SDN交换机的控制器;获取所述SDN交换机的端口状态信息。
示例性地,SDN控制器定时向SDN交换机发送心跳包,实时监控SDN交换机的端口状态。SDN控制器在预设时间内没有收到SDN交换机的心跳包回复时,确定SDN交换机脱离SDN控制器。或者,SDN控制器在收到SDN交换机发送的离线请求信息时,确定SDN交换机脱离SDN控制器。
示例性地,在确定多个SDN交换机中的某一个SDN交换机脱离SDN控制器时,重新计算SDN交换机的流表和SDN交换机的组表。
这里,组表作为OpenFlow协议中的一种定义的负载方式,用于定义多个端口,SDN交换机会基于业务流量的五元组信息,将业务流量映射到某一个功能正常的安全设备的端口,实现业务流量在安全设备间的负载均衡。
示例性地,在SDN交换机重新连接SDN控制器时,SDN控制器重新收集SDN交换机的端口状态。SDN控制器根据SDN交换机的端口状态信息,重新计算SDN交换机的流表和组表。
进一步地,向SDN交换机下发更新后的流表和组表,确保流表和组表的准确性,提高SDN交换机的可用性。
在本申请实施例中,定时向SDN交换机发送心跳包;在第二预设时间内收到SDN交换机的响应信息时,确定SDN交换机未脱离SDN交换机的控制器;进而,获取SDN交换机的端口状态信息。因此,可以实时监控SDN交换机的端口状态信息,保证SDN交换机的端口状态信息的实时性和可靠性。
基于前述实施例相同的技术构思,参见图8,本申请实施例提供的数据处理装置,可以包括:
获取模块801,用于获取软件定义网络SDN交换机对应的安全设备的端口状态信息,所述SDN交换机设置于核心交换机和所述安全设备间;
确定模块802,用于根据所述安全设备的端口状态信息,确定所述安全设备的端口是否处于正常运行状态;
处理模块803,用于在确定所述安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述核心交换机的业务流量引流到所述安全设备。
基于本申请实施例提供的数据处理装置,获取SDN交换机对应的安全设备的端口状态信息;在根据安全设备的端口状态信息确定SDN交换机和安全设备间的数据链路处于正常运行状态时,根据SDN交换机的流表,将业务流量引流到安全设备。由此,保证SDN交换机和安全设备间的数据链路的可用性,从而,提高了SDN交换机的承载性能。
在一种实现方式中,所述处理模块803,用于根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
获取所述业务流量的五元组信息对应的哈希值;
根据所述五元组信息对应的哈希值和预设哈希值范围的匹配结果,将所述业务流量引流到至少一个安全设备。
在一种实现方式中,所述获取模块801,用于获取SDN交换机对应的安全设备的端口状态信息,包括:
向所述安全设备发送数据包,所述数据包中的信息包括所述SDN交换机的标识信息和端口信息;
根据所述安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息;
所述处理模块803,用于确定所述安全设备的端口处于正常运行状态,包括:
在第一预设时间内收到所述安全设备的响应信息时,确定所述安全设备的端口处于正常运行状态。
在一种实现方式中,所述处理模块803,还用于:
获取所述SDN交换机的端口状态信息;
根据所述业务流量的流表匹配域信息和所述SDN交换机的端口状态信息,确定所述流表匹配域信息对应的流表动作的信息,得到所述SDN交换机的流表;
所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
根据所述五元组信息和所述SDN交换机的流表,将所述业务流量引流到至少一个所述安全设备。
在一种实现方式中,所述获取模块801,用于获取所述SDN交换机的端口状态信息,包括:
定时向所述SDN交换机发送心跳包;
在第二预设时间内收到所述SDN交换机的响应信息时,确定所述SDN交换机未脱离所述SDN交换机的控制器;
获取所述SDN交换机的端口状态信息。
在一种实现方式中,所述SDN交换机连接多个安全设备,所述处理模块803,还用于:
在所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;
或者,在确定所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述安全设备的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备;
在所述SDN交换机和核心交换机间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机。
在一种实现方式中,所述SDN交换机的控制器包括第一控制器、第二控制器;所述第一控制器为所述SDN交换机的主控制器,所述处理模块803还用于:
在确定所述第一控制器处于异常运行状态时,将所述第二控制器确定为所述SDN交换机的主控制器;
其中,所述第一控制器和所述第二控制器采用心跳线互联,所述第一控制器和所述第二控制器采用相同的虚拟IP地址。
在一种实现方式中,所述处理模块803,用于确定所述第一控制器处于异常运行状态,包括:
在监测到所述第一控制器离线时,确定所述第一控制器处于异常运行状态;
或者,在监测到所述第一控制器发送的切换信号时,确定所述第一控制器处于异常运行状态。
在一些实施例中,本申请实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
基于前述实施例相同的技术构思,参见图9,本申请实施例提供的电子设备900,可以包括:存储器910和处理器920;其中,
存储器910,用于存储计算机程序和数据;
处理器920,用于执行存储器中存储的计算机程序,以实现前述实施例中的任意一种数据处理方法。
在实际应用中,上述存储器910可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合。上述存储器1010可以向处理器920提供指令和数据。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种数据处理方法,其特征在于,包括:
获取软件定义网络SDN交换机对应的安全设备的端口状态信息,所述SDN交换机设置于核心交换机和多个所述安全设备间;其中,所述SDN交换机连接多个安全设备,且任一台所述安全设备与至少两台所述SDN交换机互连;两个SDN交换机与两个核心交换机交叉互连;
根据所述安全设备的端口状态信息,确定所述安全设备的端口是否处于正常运行状态;
在确定所述安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备;
在所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;
或者,在确定所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述安全设备的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备;
在所述SDN交换机和核心交换机间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机。
2.根据权利要求1所述的方法,其特征在于,所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
获取所述业务流量的五元组信息对应的哈希值;
根据所述五元组信息对应的哈希值和预设哈希值范围的匹配结果,将所述业务流量引流到至少一个安全设备。
3.根据权利要求1所述的方法,其特征在于,所述获取SDN交换机对应的安全设备的端口状态信息,包括:
向所述安全设备发送数据包,所述数据包中的信息包括所述SDN交换机的标识信息和端口信息;
根据所述安全设备的响应信息,获取SDN交换机对应的安全设备的端口状态信息;
所述确定所述安全设备的端口处于正常运行状态,包括:
在第一预设时间内收到所述安全设备的响应信息时,确定所述安全设备的端口处于正常运行状态。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述SDN交换机的端口状态信息;
根据所述业务流量的流表匹配域信息和所述SDN交换机的端口状态信息,确定所述流表匹配域信息对应的流表动作的信息,得到所述SDN交换机的流表;
所述根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备,包括:
根据所述五元组信息和所述SDN交换机的流表,将所述业务流量引流到至少一个所述安全设备。
5.根据权利要求4所述的方法,其特征在于,所述获取所述SDN交换机的端口状态信息,包括:
定时向所述SDN交换机发送心跳包;
在第二预设时间内收到所述SDN交换机的响应信息时,确定所述SDN交换机未脱离所述SDN交换机的控制器;
获取所述SDN交换机的端口状态信息。
6.根据权利要求1所述的方法,其特征在于,所述SDN交换机的控制器包括第一控制器、第二控制器;所述第一控制器为所述SDN交换机的主控制器,所述方法还包括:
在确定所述第一控制器处于异常运行状态时,将所述第二控制器确定为所述SDN交换机的主控制器;
其中,所述第一控制器和所述第二控制器采用心跳线互联,所述第一控制器和所述第二控制器采用相同的虚拟IP地址。
7.根据权利要求6所述的方法,其特征在于,所述确定所述第一控制器处于异常运行状态,包括:
在监测到所述第一控制器离线时,确定所述第一控制器处于异常运行状态;
或者,在监测到所述第一控制器发送的切换信号时,确定所述第一控制器处于异常运行状态。
8.一种数据处理设备,其特征在于,包括:
获取模块,用于获取软件定义网络SDN交换机对应的安全设备的端口状态信息,所述SDN交换机设置于核心交换机和多个所述安全设备间;其中,所述SDN交换机连接多个安全设备,且任一台所述安全设备与至少两台所述SDN交换机互连;两个SDN交换机与两个核心交换机交叉互连;
确定模块,用于根据所述安全设备的端口状态信息,确定所述安全设备的端口是否处于正常运行状态;
处理模块,用于在确定所述安全设备的端口处于正常运行状态时,根据所述核心交换机和所述SDN交换机间的业务流量的五元组信息,将所述业务流量引流到至少一个所述安全设备;还用于在所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机;或者,在确定所述SDN交换机和所述安全设备间的数据链路处于异常运行状态时,将所述安全设备的业务流量引流至所述多个安全设备中处于正常运行状态的安全设备;在所述SDN交换机和核心交换机间的数据链路处于异常运行状态时,将所述SDN交换机的业务流量引流至与所述SDN交换机互联的SDN交换机。
9.一种电子设备,其特征在于,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至7中任一项所述的数据处理方法。
10.一种计算机存储介质,所述存储介质存储有计算机程序;其特征在于,所述计算机程序被执行后能够实现权利要求1至7中任一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110212386.2A CN112995316B (zh) | 2021-02-25 | 2021-02-25 | 数据处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110212386.2A CN112995316B (zh) | 2021-02-25 | 2021-02-25 | 数据处理方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995316A CN112995316A (zh) | 2021-06-18 |
| CN112995316B true CN112995316B (zh) | 2023-05-12 |
Family
ID=76350679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110212386.2A Active CN112995316B (zh) | 2021-02-25 | 2021-02-25 | 数据处理方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995316B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923031A (zh) * | 2021-10-12 | 2022-01-11 | 百果园技术(新加坡)有限公司 | 一种数据传输的方法、装置、设备和存储介质 |
| CN114257473B (zh) * | 2021-12-10 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 资源池中多个透明桥的实现方法、装置、设备和介质 |
| CN115499373B (zh) * | 2022-09-15 | 2023-10-31 | 北京锐安科技有限公司 | 应用于骨干网的网络流量分流系统、方法、设备及介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104518984B (zh) * | 2014-12-22 | 2017-08-11 | 北京航空航天大学 | 一种基于多重分类器对数据包进行流量分类的sdn控制器 |
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN108199958B (zh) * | 2017-12-29 | 2021-04-09 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
| CN107920023B (zh) * | 2017-12-29 | 2021-01-19 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN110138760B (zh) * | 2019-05-08 | 2021-10-01 | 绿盟科技集团股份有限公司 | 一种安全服务的设置方法及装置 |
| CN110891018B (zh) * | 2019-11-25 | 2022-02-22 | 新华三大数据技术有限公司 | 网络流量恢复方法、装置、sdn控制器及存储介质 |
-
2021
- 2021-02-25 CN CN202110212386.2A patent/CN112995316B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995316A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995316B (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| US9722917B2 (en) | Traffic recovery in openflow networks | |
| CN107454155B (zh) | 一种基于负载均衡集群的故障处理方法、装置以及系统 | |
| CN110535760B (zh) | 聚合接口的转发检测 | |
| US11799801B2 (en) | Transfer device, transfer system, transfer method, and program | |
| US8326961B2 (en) | Intelligent integrated network security device for high-availability applications | |
| Sidki et al. | Fault tolerant mechanisms for SDN controllers | |
| US10680893B2 (en) | Communication device, system, and method | |
| CN109743197B (zh) | 一种基于优先级配置的防火墙部署系统和方法 | |
| CN101695036B (zh) | 一种irf链路的检测方法及装置 | |
| CN110061912B (zh) | 仲裁虚拟节点的冗余控制平面之间的主控权 | |
| US20070159961A1 (en) | Method and Devices for Implementing Group Protection in MPLS Network | |
| US9742518B2 (en) | Flexible interconnection of scalable systems integrated using optical networks for datacenters | |
| CN111865774B (zh) | 多宿主网络节点和/或主机上的快速故障检测机制 | |
| US20120033549A1 (en) | Method and System for Implementing Network Element-Level Redundancy | |
| US10862706B2 (en) | Detection of node isolation in subtended ethernet ring topologies | |
| JP2006148376A (ja) | ネットワーク監視システム、ネットワーク上位監視装置、ネットワーク下位監視装置及びネットワーク監視方法 | |
| US8547828B2 (en) | Method and system for implementing network element-level redundancy | |
| Gumaste et al. | On the architectural considerations of the FISSION (Flexible Interconnection of Scalable Systems Integrated using Optical Networks) framework for data-centers | |
| CN112637054A (zh) | Ip承载网的组网优化方法、装置、计算设备和存储介质 | |
| US8477599B2 (en) | Method and system for implementing network element-level redundancy | |
| Sujitha et al. | Fault tolerant SDN controller: a survey | |
| CN116527586B (zh) | 一种基于多链路负载均衡网络的串接代理系统 | |
| US8457141B2 (en) | Telecommunication network | |
| CN220693169U (zh) | 核心网架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |