CN113300952B - 一种用于云安全资源池的分布式引流系统及其引流方法 - Google Patents

Abstract

本申请公开了一种用于云安全资源池的分布式引流系统，包括转发模块和控制模块；所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合；两个SDN交换机之间通过peer‑link链路进行连接，在两台SDN交换机上分别形成peer‑link接口，当流量进入本侧SDN交换机的peer‑link接口时会直接发送到对侧SDN交换机的peer‑link接口；在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx；在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。本系统提高了转发效率，增加了兼容性。

Description

一种用于云安全资源池的分布式引流系统及其引流方法

技术领域

本申请涉及安全资源池流量引流系统的技术领域，尤其涉及一种用于云安全资源池的分布式引流系统及其引流方法。

背景技术

随着《网络安全法》的实施，云计算安全越来越为各行业用户所重视，而云安全资源池作为云计算安全的一种通用解决方案，首要任务是将用户网络流量引入自身平台内进行处理，而网络流量通常是通过核心交换机引入，因此可以说核心交换机是维持用户网络的关键所在，如果将安全资源池与核心交换机直接连接，不但会占用核心交换机接口，也使得部署不灵活，而且由于核心交换机引流的引流点是在一台安全资源池上，当其故障时，需要软件监测到故障后将引流点从故障机器迁移到另外一台机器上；当安全资源池内安全网元与其不在同一服务器时，存在流量传输冗余情况，即流量需要从引流点服务器传输到安全网元所在服务器，因此，考虑到传输的安全稳定性，通常采用在核心交换机和安全资源池之间设置引流交换机的方式。

而现有技术中通过交换机引流方式，如双台堆叠交换机引流方式，也就是核心交换机与安全资源池之间通过堆叠交换机连接的方式，解决了占用核心交换机接口的问题，但是无法解决引流流量切换、引流流量不灵活问题，同时引入了引流Bypass流量路径增长问题，当服务链发生故障时，引流流量使用Bypass回到核心交换机的路径，在堆叠交换机引流方式中，流量的bypass路径为：核心交换机->普通堆叠交换机->引流点服务器->普通堆叠交换机->核心交换机，这样会使得Bypass路径过长，路径经过的装置过多，也就降低了引流的可靠性。

在上述现有技术的基础上，为了解决bypass路径过长的问题，我们引入了SDN交换机，由于SDN交换机可以通过Open Flow协议连接SDN控制器，接收SDN服务器对其下发的流表，也可以对其内部接口对数据包的接收和发送以及bypass路径进行设置，由此使兼顾高可靠性的和高灵活性的引流需求成为可能，而现有技术中通常只使用单台SDN交换机，或者仅仅对其的硬件层次进行简单设置，缺少能够同时解决流量引流可靠性问题、灵活性问题和bypass路径问题的快捷、优化的设计方案。

发明内容

为了解决上述问题，本申请提供一种用于云安全资源池的分布式引流系统，包括转发模块和控制模块；

所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；

所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，将SDN交换机连接核心交换机的链路聚合接口设置为连核接口，将SDN交换机连接安全资源池的链路聚合接口设置为连池接口；

两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口时会直接发送到对侧SDN交换机的peer-link接口；

在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；

在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；

所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。

其中，所述控制模块还包括流表计算模块，所述流表计算模块根据所述转发模块的拓扑配置信息和流量的报文信息生成流表后，通过SDN控制器向SDN交换机下发流表。

其中，所述分布式引流系统还包括业务模块，所述业务模块中的业务应用能够通过API对控制模块进行调用，实现所述业务应用需要的引流策略。

其中，所述流表实现的引流策略为：

设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；设置引流策略为：

当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；

当有外部接口出现故障时，进入步骤S30；

S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；

当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤302；

S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；

判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；

判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；

S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；

S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；

当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；

当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的流量通路。

S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。

本申请还提供一种使用如上所述的用于云安全资源池的分布式引流系统的引流方法，步骤包括：

S10，对转发模块的拓扑结构进行配置，将所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，两台SDN交换机之间以peer-link链路进行连接，使安全资源池、核心交换机与两台SDN交换机之间形成M-LAG双活系统；在SDN交换机上设置连核接口、连池接口、peer-link接口以及loopback接口；

S20，将两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，在连核接口上定义虚拟Vlan接口作为核心交换机向安全资源池流量的引流接口；

S30,控制模块通过获取S10和S20中的拓扑配置信息、接口信息、以及所述引流接口的流量的报文信息生成引流策略，将引流策略以流表形式通过SDN控制器向所述SDN交换机下发，在SDN的各接口之间生成引流策略的流量通路。

其中，所述流表中流表项的内容与流量的报文信息进行匹配，用来匹配的流表项的内容至少包括引流接口的Vlan ID，引流接口的MAC地址、客户发送端IP，客户接收端IP，核心交换机MAC地址以及引流接口的MAC地址。

其中，设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；设置引流策略为：

当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；

当有外部接口出现故障时，进入步骤S30；

S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；

当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤302；

S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；

判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；

判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；

S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；

S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；

当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；

当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的第二流量通路。

S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。

其中，设置由客户发送端发往客户接收端的流量为有效流量，接口上的其他流量为无效流量；在流表中对引流接口的流量进行识别，根据流量的报文信息中的源IP和目的IP识别出有效流量，将有效流量发往下一个接口，将余下的无效流量通过bypass路径发回核心交换机；

其中，在步骤S301中，连核接口全部正常运作时，有效流量回到核心交换机bypass路径中，流量在连池接口时，将有效流量的目的MAC设置为一个虚拟标识MAC，将虚拟标识MAC作为需要通过bypass路径返回的有效流量的标识，与不需要经过bypass路径返回的有效流量进行区别。

本申请实现的有益效果如下：

因此本专利提出一种云安全资源池中分布式引流方法及系统，既能保证流量快速切换、流量更加灵活和引流Bypass路径短的优点，又能保证引流高可靠，同时，在引流系统的外部接口出现故障问题时，采用了优化有效的流表设置，使流量在流量路径和bypass路径的效率都得到提高，提高了工作效率，降低了流量损失率。

本系统通过提供分布式引流方案来解决单台SDN交换机引流方案单点故障带来的风险；同时，引入M-LAG技术后导致双台SDN交换机流量转发无法直接套用单台SDN交换机流量转发模型，存在兼容性问题。该引流系统设计双台SDN交换机流量通路，解决了引入M-LAG技术后导致的双台SDN交换机流量转发的兼容性问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域技术人员来讲，还可以根据这些附图获得其他的附图。

图1为SDN基本构架结构图。

图2为本申请分布式引流系统的一个实施模型结构图。

图3为本申请分布式引流系统的一个具体应用实施方式流程图。

图4为本申请分布式引流系统的SDN交换机接口的示意图。

具体实施方式

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

OpenFlow是SDN(Software Defined Network，软件定义网络)架构中定义的一个控制器与转发层之间的通信接口标准。OpenFlow起源于斯坦福大学的Clean Slate项目组，其设计目的是将传统网络设备的数据转发(data plane)和路由控制(control plane)两个功能模块相分离，通过集中式的控制器(Controller)以标准化的接口对各种网络设备进行管理和配置，这将为网络资源的设计、管理和使用提供更多的可能性，从而更容易推动网络的革新与发展。

OpenFlow网络由OpenFlow网络设备(OpenFlow交换机)、控制器(OpenFlow控制器)、用于连接设备和控制器的安全通道(Secure Channel)组成。其中，OpenFlow交换机和OpenFlow控制器是组成OpenFlow网络的实体，要求能够支持安全信道。OpenFlow交换机与OpenFlow控制器通过TLS或者TCP建立安全通道，进行OpenFlow消息交互，实现表项下发、查询以及状态上报等功能。自2009年底发布1.0版本后，OpenFlow协议又经历了1.1、1.2、1.3及1.4版本的演进过程，目前使用和支持最多的是1.0和1.3版本。OpenFlow1.3在1.0版的基础上进一步优化及升级，其中添加了很多新的特性及消息，如支持多个流表(flow table)、组表(group table)，支持多控制器等。

OpenFlow通过流表(Flow Table)来匹配和处理报文，每个流表由一个或多个流表项(Flow Entry)组成，在同一个流表中按流表项的优先级进行先后匹配。一台OpenFlow交换机上可以包含一个或者多个流表。

OpenFlow v1.3中流表项主要由7部分字段组成，分别是匹配域(用来识别该条表项对应的flow)、优先级(定义流表项的优先顺序)、计数器(用于保存与条目相关统计信息)，指令动作(可以包含数据包转发到某个接口(物理接口、逻辑接口(可指定链路汇聚组，隧道或环回接口)、保留接口(可指定通用的转发行为))、Timeouts、Cookie、Flags。

基于OpenFlow为网络带来的网络控制功能与转发功能分离、实现控制可编程的特性，进一步提出了SDN(Software Defined Network，软件定义网络)的概念。SDN是将网络中所有的网络设备视为被管理的资源，参考操作系统的原理，抽象的网络操作系统(NetworkOS)的概念—这个网络操作系统一方面抽象了底层网络设备的具体细节，同时还为上层应用提供了统一的管理视图和编程接口。这样，基于网络操作系统这个平台，用户就可以开发各种应用程序，通过软件来定义逻辑上的网络拓扑，以满足对网络资源的不同需求，而无需关心底层网络的物理拓扑结构。

SDN的基本架构如图1所示，通过图1可以看到，SDN网络是在OpenFlow的控制层和转发层的基础上，增加了与能够通过API接口对控制层进行调用的业务层，业务层也就是网络操作系统的平台，用户能够在业务层开发和使用需要的应用程序，应用程序对控制层进行调用，控制层能够将应用程序的执行命令以流表形式下发给网络设备(SDN交换机)，控制网络设备具体执行。也就是说，SDN并不是某一种具体的网络协议，而是一种网络体系框架。这种框架中可以包含多种接口协议，如使用OpenFlow等南向接口协议实现SDN控制器与SDN交换机的交互，使用北向API实现业务应用与SDN控制器的交互。这样就使得基于SDN的网络架构更加系统化，具备更好的感知与管控能力，从而推动网络向新的方向发展。

SDN控制器是软件定义网络(SDN)中的应用程序，负责流量控制以确保智能网络，通过下发流表告诉交换机向哪里发送数据包。事实上，SDN控制器是一个逻辑上集中的实体，它主要负责两个任务，一是将SDN应用层请求转换到SDN Datapath，二是为SDN应用提供底层网络的抽象模型(可以是状态、事件)。一个SDN控制器包含北向接口代理、SDN控制逻辑以及控制数据平面接口驱动三部分。SDN控制器只是要求逻辑上完整，因此它可以由多个控制器实例组成，也可以是层级式的控制器集群；从地理位置上讲，既可以是所有控制器实例在同一位置，也可以是多个实例分散在不同的位置。

OpenFlow标准协议允许SDN控制器直接访问和操作网络设备的转发平面，这些设备可以是物理设备，也可以是虚拟的路由器或者交换机，通过OpenFlow协议能够将控制功能全部集中到远程的SDN控制器上完成，SDN交换机只负责在本地做简单高速的数据转发；其中，在使用OpenFlow标准的SDN交换机中，数据转发的依据就是流表。

SDN控制器与SDN交换机连接合作使用，SDN交换机只负责数据包的转发服务，流表中的流表项全部由控制其的SDN控制器下发。当SDN交换机接收到一个数据包时，将按优先级匹配其与本地保存的流表项中的各字段，并根据相应的指令动作对数据包进行操作。

基于上述SDN交换机技术，本申请提出一种具有由核心交换机向云安全资源池引流的分布式引流系统，如图2所示，包括安全资源池、核心交换机以及两台SDN交换机；所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，在SDN交换机上形成连接核心交换机的链路聚合接口以及连接安全资源池的链路聚合接口，在本实施方式中，设置为连核接口和连池接口；

同时，在两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口则会被直接发送到对侧的SDN交换机的peer-link接口，之后就在对端SDN交换机内进行处理；

另外，在SDN交换机上还设置有发送和接收通道相连的loopback接口；loopback接口有两个通道：发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；loopback接口用于在链路聚合接口出现故障时，通过bypass路径流量返回至核心交换机。

通过上述拓扑配置，安全资源池与核心交换机分别与两台SDN交换机形成M-LAG双活系统(跨设备链路聚合组)；

在连接核心交换机的M-LAG链路聚合接口上定义虚拟Vlan接口作为核心交换机向安全资源池流量的引流接口；

所述控制模块包括流表计算模块和SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，用于流表计算模块根据本系统的拓扑配置信息和流量接口引入的流量的报文信息生成流表后，通过SDN控制器向SDN交换机下发流表。

具体操作方法为：

步骤S10，对转发模块的拓扑结构进行配置，将所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，两台SDN交换机之间以peer-link链路进行连接，在SDN交换机上设置连核接口、连池接口、peer-link接口以及loopback接口；

步骤S20，将两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，在连核接口上定义虚拟Vlan接口作为核心交换机向安全资源池流量的引流接口；

步骤S30,控制模块通过获得步骤S10和步骤S20中拓扑配置信息、接口信息、以及所述引流接口引流到的流量的报文信息生成引流策略，将引流策略以流表形式通过SDN控制器向所述SDN交换机下发，在SDN的各接口之间生成引流策略的流量通路。

其中，所述报文信息至少包括引流接口的Vlan ID，引流接口的MAC地址、源IP，目的IP，源MAC地址以及目的MAC地址。

如图3所示，为本申请的一个具体实例应用情况：客户端A向客户端B发送流量的过程中，需要依次经过核心交换机、SDN交换机达到安全资源池，通过安全网元后，再从SDN交换机返回到核心交换机，由核心交换机发送到客户端B，其中，只有客户端A向客户端B发送的流量信息是客户关心的流量，设置为有效流量。在流量从客户端A到客户端B的整个过程中，设置流量从客户端A到安全资源池的路径为A过程，设置流量从安全资源池到客户端B的过程为B过程；

同时结合图4所示，图4中①和⑤接口作为M-LAG链路聚合接口连接核心交换机，③和⑦接口作为M-LAG链路聚合接口连接安全资源池，②和⑥接口为两个SDN交换机相连peer-link接口(部署M-LAG的两台设备之间必须存在的一条直连链路，且该链路必须为链路聚合且配置为peer-link。peer-link链路是一条二层链路，用于协商报文的交互及部分流量的传输)，④和⑧接口为loopback接口(loopback接口在物理上把发送和接收通道相连，所有通过loopback接口设备发送的数据包将会被自己接收)。②、④、⑥和⑧接口为系统内部接口；①、③、⑤和⑦接口为系统对外接口。

由于系统内部接口通常不会出现问题，因此我们一般只讨论系统对外接口出现故障时的流量路径问题，当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；

当系统中对外接口由于网线松动、对端网络接口损坏、对端网络系统宕机等原因DOWN掉不可用时，流量通路根据DOWN掉的对外接口数量和位置自动转发引流流量，具体情况如下：

情况1：①接口DOWN掉时，

A过程流量通路：从⑤接口到达⑦接口进入安全资源池；

B过程流量通路：从⑦接口到达⑤接口进入核心交换机；经过③接口、②接口和⑥接口到达⑤接口进入核心交换机；

情况2：③接口DOWN掉

A过程流量通路：从⑤接口到达⑦接口进入安全资源池；经过①接口、②接口和⑥接口到达⑦接口进入安全资源池；

B过程流量通路：从⑦接口到达⑤接口进入核心交换机；

情况3：⑤接口DOWN掉

A过程流量通路：从①接口到达③接口进入安全资源池；

B过程流量通路：从③接口到达①接口进入核心交换机；经过⑦接口、⑥接口和②接口到达①接口进入核心交换机；

情况4：⑦接口DOWN掉

A过程流量通路：从①接口到③接口进入安全资源池；经过⑤接口、⑥接口和②接口到达③接口进入安全资源池；

B过程流量通路：从③接口到达①接口进入核心交换机；

情况5：①、③接口DOWN掉

A过程流量通路：从⑤接口到达⑦接口进入安全资源池；

B过程流量通路：从⑦接口到达⑤接口进入核心交换机；

情况6：①、⑤接口DOWN掉

A过程流量通路：流量引入接口全故障，引流流量无法从核心交换机进入系统，故流量通路不生效；

B过程流量通路：流量引入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况7：①、⑦接口DOWN掉

A过程流量通路：经过⑤接口、⑥接口和②接口到达③接口进入安全资源池；

B过程流量通路：经过③接口、②接口和⑥接口到达⑤接口进入核心交换机；

情况8：③、⑤接口DOWN掉

A过程流量通路：经过①接口、②接口和⑥接口到达⑦接口进入安全资源池；

B过程流量通路：经过⑦接口、⑥接口和②接口到达①接口进入安全资源池；

情况9：③、⑦接口DOWN掉

A过程流量通路：安全资源池接入接口全故障，流量在交换机上Bypass回到核心交换机。经过①接口、②接口、⑥接口和⑧接口到达⑤接口进入核心交换机；经过⑤接口、⑥接口、②接口和④接口到达①接口进入核心交换机；

B过程流量通路：安全资源池接入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况10：⑤、⑦接口DOWN掉

A过程流量通路：从①接口到③接口进入安全资源池；

B过程流量通路：从③接口到达①接口进入核心交换机；

情况11：①、③、⑤接口DOWN掉

A过程流量通路：流量引入接口全故障，引流流量无法从核心交换机进入系统，故流量通路不生效；

B过程流量通路：流量引入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况12：①、③、⑦接口DOWN掉

A过程流量通路：安全资源池接入接口全故障，流量在交换机上Bypass回到核心交换机。经过⑤接口和⑧接口到达⑤接口进入核心交换机；

B过程流量通路：安全资源池接入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况13：①、⑤、⑦接口DOWN掉

A过程流量通路：流量引入接口全故障，引流流量无法从核心交换机进入系统，故流量通路不生效；

B过程流量通路：流量引入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况14：③、⑤、⑦接口DOWN掉

A过程流量通路：安全资源池接入接口全故障，流量在交换机上Bypass回到核心交换机。经过①接口和④接口到达①接口进入核心交换机；

B过程流量通路：安全资源池接入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效；

情况15：①、③、⑤和⑦接口DOWN掉。

A过程流量通路：流量引入接口全故障，引流流量无法从核心交换机进入系统，故流量通路不生效；

B过程流量通路：流量引入接口和安全资源池接入接口全故障，无引流流量从安全资源池进入系统，故流量通路不生效。

比如，以Vlan ID为100，源IP为10.10.0.0/24，目的IP为10.20.0.0/24的引流流量为例，引流虚拟接口MAC地址为aa:00:00:64:64:02，核心交换机MAC地址为5c:e8:83:98:44:eb，其中1025口为图2中的peer-link接口、1026口为图2中连接核心交换机的引流接口、49口为图2中SDN交换机内部loopback接口、1036口为图2中接入安全资源池的接口，生成的流表如下：

a

table＝0,priority＝10,ip,in_port＝1026,dl_Vlan＝100,dl_dst＝aa:00:00:64:64:02,actions＝output:49

b

table＝0,priority＝120,ip,in_port＝1025,dl_vlan＝100,dl_dst＝fc:12:34:56:78:90,nw_src＝10.20.0.0/24,nw_dst＝10.10.0.0/24,actions＝output:49

c

table＝0,priority＝120,ip,in_port＝1025,dl_vlan＝100,dl_dst＝fc:12:34:56:78:90,nw_src＝10.10.0.0/24,nw_dst＝10.20.0.0/24,actions＝output:49

d

table＝0,priority＝60000,ip,in_port＝49,dl_Vlan＝100,dl_dst＝aa:00:00:64:64:02,actions＝set_field:aa:00:00:64:64:02->eth_src,set_field:5c:e8:83:98:44:eb->eth_dst,output:1026

(为了解决引流Bypass流量路径增长问题，添加引流流量SDN交换机内Bypass的流表，a流表将引流接口的流量进行识别，将Vlan ID为100和目的MAC地址为aa:00:00:64:64:02的引流流量其引入loopback接口，而流表项b、c则将peer-link接口的10.10.0.0/24到10.20.0.0/24正向和反向流量引入loopback接口，流表项d则将loopback接口流量的源MAC地址和目的MAC地址互换后引入核心交换机的引流接口，引流流量Bypass回到核心交换机,流量在连池接口时，将有效流量的目的MAC设置为一个虚拟标识MAC地址fc:12:34:56:78:90，将虚拟标识MAC地址作为需要通过bypass路径返回的有效流量的标识，与不需要经过bypass路径返回的有效流量进行区别。)

e

table＝0,priority＝0,actions＝drop

(为了防止流量环路和非引流流量进入本引流系统产生问题，生成默认drop流表，e流表将流量drop掉)。

f

group_id＝36,type＝ff,bucket＝watch_port:1036,actions＝output:1036,bucket＝watch_port:1025,actions＝output:1025,bucket＝watch_port:49,actions＝output:49

g

group_id＝37,type＝ff,bucket＝watch_port:1036,actions＝output:1036,bucket＝watch_port:49,actions＝output:49

h

table＝0,priority＝110,ip,in_port＝1025,dl_Vlan＝100,nw_src＝10.10.0.0/24,nw_dst＝10.20.0.0/24,actions＝group:37

i

table＝0,priority＝110,ip,in_port＝1025,dl_Vlan＝100,nw_src＝10.20.0.0/24,nw_dst＝10.10.0.0/24,actions＝group:37

j

table＝0,priority＝1010,ip,in_port＝1026,dl_Vlan＝100,nw_src＝10.10.0.0/24,nw_dst＝10.20.0.0/24,actions＝group:36

k

table＝0,priority＝1010,ip,in_port＝1026,dl_Vlan＝100,nw_src＝10.20.0.0/24,nw_dst＝10.10.0.0/24,actions＝group:36

(流表f，流表g，流表h，流表i，流表j，流表k为A过程中的流表设置，设置f和g为类型为ff的Group流表(默认执行第一个bucket的操作，当第一个bucket失效后执行第二个bucket的操作，以此类推)，以f为例，Group流表ID为36，类型为ff，具有3个bucket，分别是watch_port:1036,actions＝output:1036、watch_port:1025,actions＝output:1025和watch_port:49,actions＝output:49，第1个bucket是通过1036口状态，判断是否失效，第2个bucket是通过1025口状态，判断是否失效，第3个bucket是通过49口状态，判断是否失效。流表h和i，将peer-link接口的10.10.0.0/24到10.20.0.0/24正向和反向流量引入Group27中。流表j和k，将引流接口的10.10.0.0/24到10.20.0.0/24正向和反向流量引入Group36中。其中，由客户端A发往客户端B的流量为有效流量，接口上的其他流量为无效流量；在流表中对引流接口的流量进行识别，根据流量的报文信息中的源IP和目的IP识别出有效流量，将有效流量发往下一个接口，将余下的无效流量通过bypass路径发回核心交换机)

l

group_id＝6,type＝ff,bucket＝watch_port:1026,actions＝output:1026,bucket＝watch_port:1025,actions＝set_field:fc:12:34:56:78:90->eth_dst,output:1025

m

table＝0,priority＝210,ip,in_port＝1036,nw_src＝10.10.0.0/24,nw_dst＝10.20.0.0/24,actions＝set_field:aa:00:00:64:64:02->eth_src,set_field:5c:e8:83:98:44:eb->eth_dst,group:6

n

table＝0,priority＝210,ip,in_port＝1036,nw_src＝10.20.0.0/24,nw_dst＝10.10.0.0/24,actions＝set_field:aa:00:00:64:64:02->eth_src,set_field:5c:e8:83:98:44:eb->eth_dst,group:6

(流表l，流表m，流表n为B过程中的流表设置，其中Group流表ID为6，类型为ff，具有2个bucket，分别是watch_port:1026,actions＝output:1026和watch_port:1025,actions＝output:1025，第1个bucket是通过1026口状态，判断是否失效，第2个bucket是通过1025口状态，判断是否失效。流表m和n，将接入安全资源池的接口的10.10.0.0/24到10.20.0.0/24正向和反向流量源MAC地址和目的MAC地址互换后引入Group27中，流量在连池接口时，将有效流量的目的MAC设置为一个虚拟标识MAC地址fc:12:34:56:78:90，将虚拟标识MAC地址作为需要通过bypass路径返回的有效流量的标识，与不需要经过bypass路径返回的有效流量进行区别。)。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (9)

1.一种用于云安全资源池的分布式引流系统，其特征在于，包括转发模块和控制模块；

所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；

所述两台SDN交换机与所述安全资源池进行跨设备链路聚合，同时，所述两台SDN交换机与所述核心交换机也进行跨设备链路聚合，将SDN交换机连接核心交换机的链路聚合接口设置为连核接口，将SDN交换机连接安全资源池的链路聚合接口设置为连池接口；

两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口时会直接发送到对侧SDN交换机的peer-link接口；

在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；

在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；

所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。

2.如权利要求1所述的用于云安全资源池的分布式引流系统，其特征在于，所述控制模块还包括流表计算模块，所述流表计算模块根据所述转发模块的拓扑配置信息和流量的报文信息生成流表后，通过SDN控制器向SDN交换机下发流表。

3.如权利要求1所述的用于云安全资源池的分布式引流系统，其特征在于，所述分布式引流系统还包括业务模块，所述业务模块中的业务应用能够通过API对控制模块进行调用，实现所述业务应用需要的引流策略。

4.如权利要求1-3任一项所述的用于云安全资源池的分布式引流系统，其特征在于，所述流表实现的引流策略为：

设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；设置引流策略为：

当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；

当有外部接口出现故障时，进入步骤S30；

S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；

当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤S302；

S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；

判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；

判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；

S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；

S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；

当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；

当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的第二流量通路；

S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。

5.一种使用如权利要求1-4任一项所述的用于云安全资源池的分布式引流系统的引流方法，其特征在于，所述方法的步骤包括：

S10，对转发模块的拓扑结构进行配置，将两台SDN交换机与所述安全资源池进行跨设备链路聚合，同时，所述两台SDN交换机与所述核心交换机也进行跨设备链路聚合，两台SDN交换机之间以peer-link链路进行连接，使安全资源池、核心交换机与两台SDN交换机之间形成M-LAG双活系统；在SDN交换机上设置连核接口、连池接口、peer-link接口以及loopback接口；

S20，将两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，在连核接口上定义虚拟Vlan接口作为核心交换机向安全资源池流量的引流接口；

S30,控制模块通过获取S10和S20中的拓扑配置信息、接口信息、以及所述引流接口的流量的报文信息生成引流策略，将引流策略以流表形式通过SDN控制器向所述SDN交换机下发，在SDN的各接口之间生成引流策略的流量通路。

6.如权利要求5所述的用于云安全资源池的分布式引流系统的引流方法，其特征在于，所述流表中流表项的内容与流量的报文信息进行匹配，用来匹配的流表项的内容至少包括引流接口的VlanID，引流接口的MAC地址、客户发送端IP，客户接收端IP，核心交换机MAC地址以及引流接口的MAC地址。

7.如权利要求5所述的用于云安全资源池的分布式引流系统的引流方法，其中，设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；其中，引流策略为：当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；

当有外部接口出现故障时，进入步骤S30；

S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；

当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤S302；

S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；

判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；

判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；

S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；

S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；

当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；

当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的流量通路；

S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。

8.如权利要求5所述的用于云安全资源池的分布式引流系统的引流方法，其中，设置由客户发送端发往客户接收端的流量为有效流量，接口上的其他流量为无效流量；在流表中对引流接口的流量进行识别，根据流量的报文信息中的源IP和目的IP识别出有效流量，将有效流量发往下一个接口，将余下的无效流量通过bypass路径发回核心交换机。

9.如权利要求7所述的用于云安全资源池的分布式引流系统的引流方法，其中，在步骤S301中，连核接口全部正常运作时，有效流量回到核心交换机bypass路径中，流量在连池接口时，将有效流量的目的MAC设置为一个虚拟标识MAC，将虚拟标识MAC作为需要通过bypass路径返回的有效流量的标识，与不需要经过bypass路径返回的有效流量进行区别。

Images