CN113904867A - 用于vxlan二层组网的流量处理方法及系统 - Google Patents
用于vxlan二层组网的流量处理方法及系统 Download PDFInfo
- Publication number
- CN113904867A CN113904867A CN202111278402.4A CN202111278402A CN113904867A CN 113904867 A CN113904867 A CN 113904867A CN 202111278402 A CN202111278402 A CN 202111278402A CN 113904867 A CN113904867 A CN 113904867A
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- data
- address
- core switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质。该方法包括:将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备对所述流量数据进行分析以进行流量处理。本公开涉及的用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质,能够提前发现异常流量,通过专业清洗设备达到流量清洗目的,降低网络影响,降低了成本,可扩展性增强。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质。
背景技术
VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)是一种网络虚拟化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN的一种扩展。VXLAN是一种功能强大的工具,可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关,以此来解决VMS(虚拟内存系统)的可移植性限制,使其可以访问在外部IP子网上的服务器。VXLAN技术很好地解决了现有VLAN技术无法满足大二层网络需求的问题。VXLAN技术是一种大二层的虚拟网络技术,主要原理是引入一个UDP格式的外层隧道作为数据链路层,而原有数据报文内容作为隧道净荷加以传输。由于外层采用了UDP作为传输手段,净荷数据可以轻松地在二三层网络中传送。
但是在VXLAN的组网打通二层之后同样面临着二层攻击的威胁,而传统的二层防护方案在VXLAN的大二层组网中也显得力不从心。
因此,需要一种新的用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质,能够提前发现异常流量,通过专业清洗设备达到流量清洗目的,降低网络影响,降低了成本,可扩展性增强。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种用于VXLAN二层组网的流量处理方法,该方法包括:将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备对所述流量数据进行分析以进行流量处理。
在本公开的一种示例性实施例中,还包括:流量分析设备获取流量数据;在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项;将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。
在本公开的一种示例性实施例中,流量分析设备获取流量数据之前,还包括:核心交换机使能端口采样功能;基于所述端口采样功能将输入的流量数据引流到流量分析设备中。
在本公开的一种示例性实施例中,将所述数据链路层地址表项下发至所述核心交换机的所述入接口中,包括:将所述数据链路层地址表项下发至所述核心交换机的所述入接口的二层转发域的所述预设地址表中。
在本公开的一种示例性实施例中,基于所述目的隧道地址将所述流量数据转发至流量清洗设备之前,包括:在所述流量清洗设备中使能VXLAN功能;基于通用路由协议封装的网络虚拟化技术在核心交换机和所述流量清洗设备之间建立隧道。
在本公开的一种示例性实施例中,基于所述目的隧道地址将所述流量数据转发至流量清洗设备,包括:核心交换机基于所述目的隧道地址将所述流量数据转发至流量清洗设备。
在本公开的一种示例性实施例中,流量清洗设备对所述流量数据进行分析以进行流量处理,包括:流量清洗设备对所述流量数据进行解封装;对解封之后的流量数据进行分析;在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
在本公开的一种示例性实施例中,流量清洗设备对所述流量数据进行分析以进行流量处理,还包括:在分析结果满足预设策略时,将所述流量数据丢弃。
在本公开的一种示例性实施例中,将所述流量数据回注到核心交换机,包括:基于所述解封装获取虚拟交换实例;基于虚拟交换实例确定表项信息;基于所述表项信息将所述流量数据封装以将所述流量数据回注。
在本公开的一种示例性实施例中,基于虚拟交换实例确定表项信息,包括:基于虚拟交换实例确定二层交换服务实例;基于所述二层交换服务实例确定转发域;在所述转发域中获取所述表项信息。
根据本公开的一方面,提出一种用于VXLAN二层组网的流量处理系统,该系统包括:流量分析设备,用于将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;核心交换机,用于基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备,用于对所述流量数据进行分析以进行流量处理。
在本公开的一种示例性实施例中,还包括:核心交换机,还用于将输入的流量数据引流到流量分析设备中;流量分析设备,还用于获取流量数据;在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项;将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。
在本公开的一种示例性实施例中,还包括:流量清洗设备,还用于对所述流量数据进行解封装;对解封之后的流量数据进行分析;在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的用于VXLAN二层组网的流量处理方法、系统、电子设备及计算机可读介质,通过将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备对所述流量数据进行分析以进行流量处理的方式,能够提前发现异常流量,通过专业清洗设备达到流量清洗目的,降低网络影响,降低了成本,可扩展性增强。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理系统的框图。
图2是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理系统的应用示意图。
图3是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。
图4是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。
图5是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。
图6是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。
图7是根据一示例性实施例示出的一种电子设备的框图。
图8是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、系统、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
本公开涉及的技术缩略语解释如下:
流量:指转发的数据报文合集;
流量清洗:将流量中含有的攻击拦截,并将正常业务流量回注至网络;
流量清洗中心:流量清洗系统,能够将流量牵引至清洗系统进行清洗并回注正常业务流量;
回注:在清洗完成后将正常业务流量重新转发回路由器;
VXLAN:Virtual eXtensible Local Area Network,虚拟扩展局域网;
VTEP:实际的VXLAN隧道端点;
隧道:采用某种封装格式的流量流通渠道,在隧道中的报文满足隧道的封装格式;
VXLAN内层:在添加VXLAN头之后,在VXLAN头中的报文,和未加VXLAN封装时的报文相同;
VXLAN外层:在添加VXLAN封装置后,使用VXLAN隧道的对端作为目的IP的UDP报文为外层报文;
NVGRE:Network Virtualization using Generic Routing Encapsulation,即使用通用路由协议封装的网络虚拟化技术;
NVE:Network Virtualization Edge,网络虚拟化边缘设备;
NVGRE隧道:两个NVE之间的点到点逻辑隧道;
核心设备:IP核心网络中的设备;
Mac地址:数据链路层地址;
VSI:Virtual Switch Instance,虚拟交换实例,NVE上为一个NVGRE网络提供二层交换服务的虚拟交换实例;
VNI:VXLAN Network Identifier,VXLAN网络标识符,类似于vlan中的vlan id,用于标识VXLAN中的二层交换服务实例。
本公开的发明人发现,传统的组网方案中,二层防护往往在端点进行流量防护,即流量到达设备端点之后,判断相关流量是否为攻击流量,然后再采取相关动作;更具体的,可采取暴力的端口mac地址绑定,或者ip、mac地址绑定的方案来阻绝其他流量,VXLAN的大二层网络中,由于存在VXLAN隧道、mac地址迁移等新增二层元素,原有的方案不能完全使用与现有的组网环境。
如果采取mac地址绑定、端口安全等手段进行防护,针对隧道端进入的二层流量无法进行与端口的绑定,对与在VXLAN二层组网环境中所必须要支持的mac地址迁移属性,在mac地址迁移之后,往往不在原来对应的口,甚至设备都会有所不同,所以原有的二层防护已经远不能胜任实际在二层组网中的实际防护需要。
本公开的用于VXLAN二层组网的流量处理方法、系统主要提供一种在VXLAN网络大二层环境中引流到专业清洗设备进行流量清洗的组网方案,能解决VXLAN网络中传统防护手段所不能解决的诸如新增虚拟机、虚拟机迁移等问题,减少人为配置。下面基于具体的实施例进行详细说明。
图1是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理系统的框图。如图1所示,用于VXLAN二层组网的流量处理系统10可包括:流量分析设备102,核心交换机104,流量清洗设备106。
流量分析设备102用于将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;
核心交换机104用于基于所述目的隧道地址将所述流量数据转发至流量清洗设备106;
流量清洗设备106用于对所述流量数据进行分析以进行流量处理。
更进一步的,核心交换机104还用于将输入的流量数据引流到流量分析设备102中;
流量分析设备102还用于获取流量数据;在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项;将所述数据链路层地址表项下发至所述核心交换机104的所述入接口中。
流量清洗设备106还用于对所述流量数据进行解封装;对解封之后的流量数据进行分析;在分析结果不满足预设策略时,将所述流量数据回注到核心交换机104。
根据本公开的用于VXLAN二层组网的流量处理系统法,通过将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备对所述流量数据进行分析以进行流量处理的方式,能够提前发现异常流量,通过专业清洗设备达到流量清洗目的,降低网络影响,降低了成本,可扩展性增强。
图2是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理系统的应用示意图。如图2所示,系统架构20可以包括终端设备201、202、一般交换机203、204,核心交换机205,流量分析设备206,流量清洗设备207。网络用以在终端设备201、202、一般交换机203、204,核心交换机205,流量分析设备206,流量清洗设备207之间提供通信链路的介质。网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备201通过网与一般交换机203交互,一般交换机203将终端设备201上的流量数据通过核心交换机205转发至一般交换机204,进而发送到终端设备202中。以实现终端设备201、202之间的信息交互。终端设备201、202上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备201、202可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
在核心交换机205进行流量转发的过程中,可通过流量分析设备206,流量清洗设备207辅助进行流量处理。
核心交换机205可例如将输入的流量数据引流到流量分析设备206中;
流量分析设备206可例如获取流量数据;在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项;将所述数据链路层地址表项下发至所述核心交换机205的所述入接口中。
流量分析设备206可例如将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;核心交换机205可例如基于所述目的隧道地址将所述流量数据转发至流量清洗设备;207流量清洗设备可例如对所述流量数据进行分析以进行流量处理。
流量清洗设备207可例如,所述流量数据进行解封装;对解封之后的流量数据进行分析;在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
需要说明的是,本公开实施例所提供的用于VXLAN二层组网的流量处理方法可以由核心交换机205,流量分析设备206,流量清洗设备207执行,
图3是根据一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。用于VXLAN二层组网的流量处理方法30至少包括步骤S302至S308。
更具体的,核心交换机位于VXLAN网络中的核心位置,核心交换机部署VXLAN功能,可支持流量采样功能:sflow,或者netflow等,用于将交换机流量采样,并发给流量监控设备,核心交换机还可具备NVGRE功能,用于检测到攻击流量之后攻击流量的牵引。
如图3所示,在S302中,将流量数据与预设地址表中的数据链路层地址进行匹配。
在S304中,在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址。攻击流量匹配成功时,将到达核心交换机的攻击流量通过NVGRE隧道发给流量清洗设备。
在S306中,基于所述目的隧道地址将所述流量数据转发至流量清洗设备。核心交换机基于所述目的隧道地址将所述流量数据转发至流量清洗设备。
其中,基于所述目的隧道地址将所述流量数据转发至流量清洗设备之前,包括:在所述流量清洗设备中使能VXLAN功能;基于通用路由协议封装的网络虚拟化技术在核心交换机和所述流量清洗设备之间建立隧道。
在S308中,流量清洗设备对所述流量数据进行分析以进行流量处理。
根据本公开的用于VXLAN二层组网的流量处理方法,通过将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;基于所述目的隧道地址将所述流量数据转发至流量清洗设备;流量清洗设备对所述流量数据进行分析以进行流量处理的方式,能够提前发现异常流量,通过专业清洗设备达到流量清洗目的,降低网络影响,降低了成本,可扩展性增强。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图4是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。图4所示的流程40是对图3所示的流程的补充描述。
如图4所示,在S402中,流量分析设备获取流量数据。
其中,流量分析设备获取流量数据之前,还包括:核心交换机使能端口采样功能;基于所述端口采样功能将输入的流量数据引流到流量分析设备中。
更具体的,将流量分析设备流量分析设备与交换机相接,在中心交换机使能端口采样功能,功能可能是sflow,netflow等,监控采集接口的入方向报文交于流量分析设备,流量分析设备分析实际的流量中是否含有攻击流量。
在S404中,在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口。检测到有异常攻击流量到达核心交换机时候,通过流量采集和流量分析设备拿到攻击流量的目的mac地址,以及攻击流量进入核心交换机的入接口。
在S406中,基于所述目的数据链路层地址生成数据链路层地址表项。监控得到攻击报文的目的mac地址之后,在核心交换机上,采样口所在的二层转发域mac地址转发表中下发一mac地址表项,mac地址为攻击报文的目的mac地址,出接口为NVGRE的tunnel。
在S408中,将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。包括:将所述数据链路层地址表项下发至所述核心交换机的所述入接口的二层转发域的所述预设地址表中。值得一提的是,在mac地址表中,NVGRE的mac地址表项和VXLAN的mac地址表项共存,但是NVGRE的表项优先级要高于VXLAN的mac地址表项的优先级,同样也需要高于本地mac地址转发表项的优先级。锁封装的NVGRE的头中,VSI的值与需要查VXLAN出所需要的VNI的值相同。
在一个实施例中,在流量分析设备分析采样报文中的攻击流量已经消失时候,删除在核心交换机上面采样如接口所在二层域的NVGRE的mac地址表项,之后流量走正常的VXLAN隧道封装或者本地转发表。
图5是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。图5所示的流程50是对图3所示的流程中S308“流量清洗设备对所述流量数据进行分析以进行流量处理”的详细描述。
可将流量清洗设备旁挂在核心交换机,核心交换机和流量清洗设备之间建立NVGRE隧道,在流量清洗设备使能VXLAN功能,同核心交换机建立VXLAN隧道。除此,在具体部署NVGRE和VXLAN的时候,应将VXLAN的VNI与NVGRE的VSI相对应,个数对应并且值相同。
如图5所示,在S502中,流量清洗设备对所述流量数据进行解封装。
在S504中,对解封之后的流量数据进行分析。在流量清洗设备通过NVGRE隧道收到来自于核心交换机的流量之后,通过解NVGRE的封装得到对应的报文,对报文进行分析,之后丢弃相关的攻击报文,达到清洗目的。
在S506中,比对预设策略。
在S508中,在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
可例如,基于所述解封装获取虚拟交换实例;基于虚拟交换实例确定表项信息;基于所述表项信息将所述流量数据封装以将所述流量数据回注。
其中,基于虚拟交换实例确定表项信息,包括:基于虚拟交换实例确定二层交换服务实例;基于所述二层交换服务实例确定转发域;在所述转发域中获取所述表项信息。
更具体的,在流量清洗设备判断为正常的不需要清洗掉的正常流量,则需要回注给核心交换机,更具体的,核心交换机与流量清洗设备之间需要建立VXLAN隧道,核心交换机与流量清洗设备需要同步VXLAN二层表项,在核心交换机封装与当时二层VXLAN的VNI所对应二层域相同的NVGRE的VSI之后,发给流量清洗设备。流量清洗设备解封装之后使用此VSI确定回注所需要的VNI,进而确定需要的VXLAN转发域,在对应域中查mac地址表,之后匹配相关表项,加VXLAN封装发给核心交换机。
核心交换机在解析VXLAN头之后,将对应流量查VXLAN头中所携带的VNI的值对应的转发域进行VXLAN二层转发。
在S510中,在分析结果满足预设策略时,将所述流量数据丢弃。
图6是根据另一示例性实施例示出的一种用于VXLAN二层组网的流量处理方法的流程图。图6所示的流程60是对用于VXLAN二层组网的流量处理系统的工作过程的描述。
在S601中,核心交换机将输入的流量数据引流到流量分析设备中。
在S602中,流量分析设备在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项。
在S603中,流量分析设备将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。
在S604中,核心交换机将输入的流量数据引流到流量分析设备中。
在S605中,流量分析设备将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址。
在S606中,流量分析设备将目的隧道地址发送至核心交换机。
在S607中,核心交换机基于所述目的隧道地址将所述流量数据转发至流量清洗设备。
在S608中,流量清洗设备对所述流量数据进行解封装;对解封之后的流量数据进行分析;
在S609中,在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
根据本公开的用于VXLAN二层组网的流量处理方法,带来的优势如下:
能够在VXLAN网络中进行牵引回注;
使用外挂专业清洗设备达到流量清洗目的;
流量清洗更彻底,异常流量发现更早,降低网络影响;
降低了成本;
可扩展性增强。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图7是根据一示例性实施例示出的一种电子设备的框图。
下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图3,图4,图5,图6中所示的步骤。
所述存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备700’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备700交互的设备通信,和/或该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图8所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址。该计算机可读介质还可实现如下功能:基于所述目的隧道地址将所述流量数据转发至流量清洗设备。该计算机可读介质还可实现如下功能:对所述流量数据进行分析以进行流量处理。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (13)
1.一种用于VXLAN二层组网的流量处理方法,其特征在于,包括:
将流量数据与预设地址表中的数据链路层地址进行匹配;
在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;
基于所述目的隧道地址将所述流量数据转发至流量清洗设备;
流量清洗设备对所述流量数据进行分析以进行流量处理。
2.如权利要求1所述的方法,其特征在于,还包括:
流量分析设备获取流量数据;
在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;
基于所述目的数据链路层地址生成数据链路层地址表项;
将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。
3.如权利要求2所述的方法,其特征在于,流量分析设备获取流量数据之前,还包括:
核心交换机使能端口采样功能;
基于所述端口采样功能将输入的流量数据引流到流量分析设备中。
4.如权利要求2所述的方法,其特征在于,将所述数据链路层地址表项下发至所述核心交换机的所述入接口中,包括:
将所述数据链路层地址表项下发至所述核心交换机的所述入接口的二层转发域的所述预设地址表中。
5.如权利要求1所述的方法,其特征在于,基于所述目的隧道地址将所述流量数据转发至流量清洗设备之前,包括:
在所述流量清洗设备中使能VXLAN功能;
基于通用路由协议封装的网络虚拟化技术在核心交换机和所述流量清洗设备之间建立隧道。
6.如权利要求5所述的方法,其特征在于,基于所述目的隧道地址将所述流量数据转发至流量清洗设备,包括:
核心交换机基于所述目的隧道地址将所述流量数据转发至流量清洗设备。
7.如权利要求1所述的方法,其特征在于,流量清洗设备对所述流量数据进行分析以进行流量处理,包括:
流量清洗设备对所述流量数据进行解封装;
对解封之后的流量数据进行分析;
在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
8.如权利要求7所述的方法,其特征在于,流量清洗设备对所述流量数据进行分析以进行流量处理,还包括:
在分析结果满足预设策略时,将所述流量数据丢弃。
9.如权利要求7所述的方法,其特征在于,将所述流量数据回注到核心交换机,包括:
基于所述解封装获取虚拟交换实例;
基于虚拟交换实例确定表项信息;
基于所述表项信息将所述流量数据封装以将所述流量数据回注。
10.如权利要求9所述的方法,其特征在于,基于虚拟交换实例确定表项信息,包括:
基于虚拟交换实例确定二层交换服务实例;
基于所述二层交换服务实例确定转发域;
在所述转发域中获取所述表项信息。
11.一种用于VXLAN二层组网的流量处理系统,其特征在于,包括:
流量分析设备,用于将流量数据与预设地址表中的数据链路层地址进行匹配;在匹配成功时,由所述预设地址表中提取目的隧道地址;其中,隧道地址为基于通用路由协议封装的网络虚拟化技术的逻辑隧道地址;
核心交换机,用于基于所述目的隧道地址将所述流量数据转发至流量清洗设备;
流量清洗设备,用于对所述流量数据进行分析以进行流量处理。
12.如权利要求11所述的系统,其特征在于,还包括:
核心交换机,还用于将输入的流量数据引流到流量分析设备中;
流量分析设备,还用于获取流量数据;在所述流量数据中存在异常攻击流量时,提取所述异常攻击流量的目的数据链路层地址和入接口;基于所述目的数据链路层地址生成数据链路层地址表项;将所述数据链路层地址表项下发至所述核心交换机的所述入接口中。
13.如权利要求11所述的系统,其特征在于,还包括:
流量清洗设备,还用于对所述流量数据进行解封装;对解封之后的流量数据进行分析;在分析结果不满足预设策略时,将所述流量数据回注到核心交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111278402.4A CN113904867B (zh) | 2021-10-30 | 2021-10-30 | 用于vxlan二层组网的流量处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111278402.4A CN113904867B (zh) | 2021-10-30 | 2021-10-30 | 用于vxlan二层组网的流量处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113904867A true CN113904867A (zh) | 2022-01-07 |
| CN113904867B CN113904867B (zh) | 2023-07-07 |
Family
ID=79027755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111278402.4A Active CN113904867B (zh) | 2021-10-30 | 2021-10-30 | 用于vxlan二层组网的流量处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113904867B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060184789A1 (en) * | 2004-04-05 | 2006-08-17 | Nippon Telegraph And Telephone Corp. | Packet encryption substituting device, method thereof, and program recording medium |
| WO2014146165A1 (en) * | 2013-03-20 | 2014-09-25 | Hydrasyst Ip Pty Ltd | Water treatment system |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
| CN108199958A (zh) * | 2017-12-29 | 2018-06-22 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
| CN108259466A (zh) * | 2017-12-08 | 2018-07-06 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
| CN111641639A (zh) * | 2020-05-28 | 2020-09-08 | 深圳供电局有限公司 | 一种IPv6网络安全防护系统 |
| CN112165428A (zh) * | 2020-10-23 | 2021-01-01 | 新华三信息安全技术有限公司 | 一种流量清洗方法、装置及第一边界路由设备 |
| CN112272194A (zh) * | 2020-12-23 | 2021-01-26 | 广东省新一代通信与网络创新研究院 | 一种可扩展的DDoS防御方法及系统 |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
-
2021
- 2021-10-30 CN CN202111278402.4A patent/CN113904867B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060184789A1 (en) * | 2004-04-05 | 2006-08-17 | Nippon Telegraph And Telephone Corp. | Packet encryption substituting device, method thereof, and program recording medium |
| WO2014146165A1 (en) * | 2013-03-20 | 2014-09-25 | Hydrasyst Ip Pty Ltd | Water treatment system |
| CN107241294A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN108259466A (zh) * | 2017-12-08 | 2018-07-06 | 中国联合网络通信集团有限公司 | DDoS流量回注方法、SDN控制器及网络系统 |
| CN107911258A (zh) * | 2017-12-29 | 2018-04-13 | 深信服科技股份有限公司 | 一种基于sdn网络的安全资源池的实现方法及系统 |
| CN108199958A (zh) * | 2017-12-29 | 2018-06-22 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
| CN111641639A (zh) * | 2020-05-28 | 2020-09-08 | 深圳供电局有限公司 | 一种IPv6网络安全防护系统 |
| CN112165428A (zh) * | 2020-10-23 | 2021-01-01 | 新华三信息安全技术有限公司 | 一种流量清洗方法、装置及第一边界路由设备 |
| CN112532621A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
| CN112272194A (zh) * | 2020-12-23 | 2021-01-26 | 广东省新一代通信与网络创新研究院 | 一种可扩展的DDoS防御方法及系统 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 徐俭: "基于控制层的SDN网络架构安全可靠性技术探究", 《广播电视信息》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113904867B (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10862732B2 (en) | Enhanced network virtualization using metadata in encapsulation header | |
| US9742589B2 (en) | Techniques for realizing service chaining | |
| US10158563B2 (en) | Flow based overlay network | |
| US9602400B2 (en) | Hypervisor independent network virtualization | |
| JP6211062B2 (ja) | 仮想オーバーレイ・ネットワーク・トラフィックにサービスを提供する方法、システム、およびコンピュータ・プログラム。 | |
| US8908691B2 (en) | Virtual ethernet port aggregation (VEPA)-enabled multi-tenant overlay network | |
| CN111131037B (zh) | 基于虚拟网关的数据传输方法、装置、介质与电子设备 | |
| US9019837B2 (en) | Packet modification to facilitate use of network tags | |
| US20140269712A1 (en) | Tagging virtual overlay packets in a virtual networking system | |
| CN104685500A (zh) | 向虚拟覆盖网络流量提供服务 | |
| US10178068B2 (en) | Translating network attributes of packets in a multi-tenant environment | |
| Spiekermann et al. | Network forensic investigation in OpenFlow networks with ForCon | |
| CN114172854B (zh) | 报文镜像、镜像配置方法、虚拟交换机及镜像配置装置 | |
| US20230097734A1 (en) | Wire-speed routing and policy enforcement without dpi or decryption | |
| US10020961B2 (en) | Method and apparatus for network virtualization | |
| CN113904867B (zh) | 用于vxlan二层组网的流量处理方法及系统 | |
| KR102236195B1 (ko) | 네트워크 가상화 방법 및 장치 | |
| CN114095158A (zh) | 网络切片选择方法、系统、设备及存储介质 | |
| CN114827057A (zh) | 通信方法以及通信系统 | |
| CN112737947B (zh) | 基于mpls的虚拟网络跨域传输方法、系统、设备和介质 | |
| CN113726867B (zh) | 报文处理方法、装置及系统 | |
| CN116846840A (zh) | 多域纯IPv6网络中业务流量的交互方法、装置、设备和介质 | |
| CN114363257A (zh) | 隧道报文的五元组匹配方法及装置 | |
| Khurram et al. | Design and Development of VXLAN Based Cloud Overlay Network Monitoring System and Environment | |
| CN116074074A (zh) | 一种云计算中虚拟机流量在安全域中的传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |