CN114338193B - 一种流量编排方法、装置及ovn流量编排系统 - Google Patents
一种流量编排方法、装置及ovn流量编排系统 Download PDFInfo
- Publication number
- CN114338193B CN114338193B CN202111657707.6A CN202111657707A CN114338193B CN 114338193 B CN114338193 B CN 114338193B CN 202111657707 A CN202111657707 A CN 202111657707A CN 114338193 B CN114338193 B CN 114338193B
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- forwarding
- security
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000008569 process Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004927 fusion Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 16
- 230000009471 action Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 12
- 230000001960 triggered effect Effects 0.000 description 6
- 239000000243 solution Substances 0.000 description 4
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 108090000623 proteins and genes Proteins 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种流量编排方法、装置及ovn流量编排系统,涉及网络安全技术领域。该方法包括当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链;在安全端口链中的安全端口对组对流量进行转发;当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机,在超融合环境下,基于ovn实现单个虚拟机或两个网元设备在不同物理机之间的网络流量的编排,解决了实现两个NFV设备之间的流量编排问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种流量编排方法、装置及ovn流量编排系统。
背景技术
在云计算环境中使用SDN之后,私有云可以基于租户创建出各自的虚拟专用网,并且使这些网络的虚拟机都可以存在于同一个私有云集群中,甚至有可能存在同一台物理机上面,只要该物理机上面的流表满足条件,那么就有可能使两个不同租户的虚拟机互访,而不需要再经过其他网络设备(比如说物理交换机等),也就是说,在同个物理机之间的两个虚拟机就可以互相访问,出现了网络边界消失的问题,造成了物理机之外的那些防火墙等安全设备形同虚设。
解决虚拟化的安全问题可以把硬件防火墙等安全设备的功能移到云计算集群中,利用云原生安全来解决云计算的安全问题,防火墙等安全设备出现在云计算当中,被称为NFV设备(安全网元)。两个NFV设备连接在虚拟网络当中,没办法像物理环境一样,两个安全设备直接通过网线相连的方式确定数据报文传输路径,更何况两个安全网元的虚拟机可能是在不同的物理机之上。所以解决两个NFV设备之间流量编排也是超融合中需要解决的一个安全问题。
发明内容
本申请实施例的目的在于提供一种流量编排方法、装置及ovn流量编排系统,在超融合环境下,基于ovn实现单个虚拟机或两个网元设备在不同物理机之间的网络流量的编排,解决了实现两个NFV设备之间的流量编排问题。
本申请实施例提供了一种流量编排方法,所述方法包括:
当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链;
在安全端口链中的安全端口对组对流量进行转发;
当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机。
在上述实现过程中,利用acl触发流量执行动作的功能,实现流量进入业务虚拟机之前先进入服务链中进行流量清洗;采用acl触发技术,直接通过openflow协议直接触发流量进入服务链中,实现流量的转发,并且可以满足服务链中的安全网元不在同一个物理机之上的编排需求,且该过程中不需要引流设备,节省了成本。
进一步地,所述安全端口对组包括多个端口对,所述在安全端口链中的安全端口对组对流量进行转发,包括:
所述流量按照openflow流表的编排顺序依次进入每个端口对,以对所述流量进行转发。
在上述实现过程中,openflow流表给出了流量的转发顺序和走向,使得流量通过每个端口对,实现对流量的转发和编排。
进一步地,在所述当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链的步骤之前,所述方法还包括:
根据openflow流表对相应的第一流量转发路径表进行更新,以触发所述流量进入第二流量转发路径表,所述第二流量转发路径表中设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
在上述实现过程中,触发流量进入第二流量转发路径表实现对流量的转发。
进一步地,所述方法还包括:
在对所述流量转发完毕后,将所述流量转发至所述第一流量转发路径表,并设置所述openflow流表的寄存值。
在上述实现过程中,通过寄存值对转发进行标记,表明该流量已进入过安全端口链。本申请实施例还提供一种流量编排装置,所述装置包括:
触发模块,用于当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链;
转发模块,用于在安全端口链中的安全端口对组对流量进行转发;
发送模块,用于当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机。
在上述实现过程中,在上述实现过程中,采用acl触发技术,直接通过openflow协议直接触发流量进入服务链中,实现流量的转发,且该过程中不需要引流设备,节省了成本。
本申请实施例还提供一种ovn流量编排系统,所述系统包括:
逻辑管理层,用于在接收到流量编排请求后,在逻辑交换机上添加安全端口链信息和acl规则;
数据翻译层,用于对所述安全端口链信息和acl规则从北向数据转化为南向逻辑流表数据,并将安全端口对组信息注入转发执行层;
转发执行层,用于将所述南向逻辑流表数据转化为执行虚拟机流量的openflow流表,并将所述安全端口对组信息插入到所述流量的第二流量转发路径表中,以利用所述安全端口对组信息和所述acl规则触发对所述流量进行转发。
在上述实现过程中,生成执行虚拟机流量的openflow流表,在openflow当中以acl的方式触发数据报文进入服务链中,并根据openflow流表中的顺序实现流量的编排,通过利用acl触发流量执行动作的功能,实现流量进入业务虚拟机之前先进入服务链中进行流量清洗,并且可以满足服务链中的安全网元不在同一个物理机之上等特性功能。
进一步地,所述逻辑管理层包括:
sdn服务进程,用于触发北向SFC模块修改北向数据库中的数据,以添加安全端口链信息和acl规则。
在上述实现过程中,sdn服务进程对逻辑数据进行管理,触发执行流量进入某个安全端口链的动作。
进一步地,所述数据翻译层包括:
SFC翻译模块,用于将所述北向SFC模块写入所述北向数据库的数据翻译成南向数据库的LogicalFlow数据,并存储至所述南向数据库。
在上述实现过程中,将北向数据转化为南向数据,LogicalFlow数据可转化为openflow流表。
进一步地,所述转发执行层包括:
SFC执行模块,用于将所述LogicalFlow数据转化为openflow流表,并对所述openflow流表相应的第一流量转发路径表进行更新;在所述流量转发路径表的acl规则匹配时,触发流量进入第二流量转发路径表中,所述第二流量转发数据表设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
在上述实现过程中,将LogicalFlow数据转化为openflow流表,以通过openflow流表控制网络流量的转发路径。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述中任一项所述的流量编排方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种流量编排方法的流程图;
图2为本申请实施例提供的ovn流量编排系统的结构框图;
图3为本申请实施例提供的ovn流量编排系统架构示意图;
图4为本申请实施例提供的另一种ovn流量编排系统的结构框图;
图5为本申请实施例提供的SFC执行模块示意图;
图6为本申请实施例提供的流量转发路径示意图;
图7为本申请实施例提供的一种流量编排装置。
图标:
100-逻辑管理层;101-sdn服务进程;200-数据翻译层;201-SFC翻译模块;300-转发执行层;301-SFC执行模块;400-触发模块;500-转发模块;501-编排模块;600-发送模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参看图1,图1为本申请实施例提供的一种流量编排方法的流程图。该方法具体包括以下步骤:
步骤S100:当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链;
当流量进入ovn的逻辑交换机logical_switch的时候,首先根据该逻辑交换机logical_switch的acl规则进行匹配,当满足执行acl规则中的sfc规则条件时,触发执行流量进入某个安全端口链security_port_chain的动作。
步骤S200:在安全端口链中的安全端口对组对流量进行转发;
具体地,安全端口对组包括多个端口对,流量按照openflow流表的编排顺序依次进入每个端口对,以对所述流量进行转发。
利用acl触发流量执行动作的功能,实现流量进入业务虚拟机之前先进入服务链中进行流量清洗;采用acl触发技术,直接通过openflow协议直接触发流量进入服务链中,实现流量的转发,并且可以满足服务链中的安全网元不在同一个物理机之上的编排需求,且该过程中不需要引流设备,节省了成本。
经过acl触发后,流量进入安全端口链security_port_chain中的安全端口对组security_port_pair_group进行转发,当安全端口对组security_port_pair_group有多个端口对security_port_pair时,意味者访问安全端口链security_port_chain中的last_hop_port(一个业务虚拟机端口)时,需要经过多个网元,流量按照逻辑端口链logical_port_chain的顺序依次进行转发。
步骤S300:当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机。
当安全端口对组security_port_pair_group中的所有端口对security_port_pair全部执行完毕之后,最后进入last_hop_port对应的业务虚拟机。
在转发之前,根据openflow流表对相应的第一流量转发路径表进行更新,以触发所述流量进入第二流量转发路径表,所述第二流量转发路径表中设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
操作系统底层加载安全端口链执行模块,向用户态注册一个安全端口链的netlink接口,包含提供sfc的Action功能以及以链表形式提供的端口链组信息。
安全端口链执行模块通过netlink接口接收到用户态发起的端口链组建请求之后,根据SFC翻译模块提供的openflow流表,对相应的openvswitch流量转发路径表(第一流量转发路径表)进行更新,建立以mac地址为目的流量。
在该第一流量转发路径表的acl规则匹配时,触发流量进入sfc动作,进而触发流量进入另一张openvswitch流量转发路径表(第二流量转发路径表)中,在第二流量转发路径表设置了以端口链组为顺序的执行规则,实现了流量以按照每个端口先后的顺序进行编排,也就是从端口链中的端口1出来的流量直接转发给端口2等功能。
正常情况下,第一流量转发路径表的作用是将流量直接转发至业务虚拟机,因此需要对第一流量转发路径表进行更新,以触发流量进入第二流量转发路径表中,对流量进行转发。
对所述流量转发完毕后,将所述流量转发至所述第一流量转发路径表,并设置所述openflow流表的寄存值。
当端口链组中的元素执行完毕之后,将所述流量转发回第一流量转发路径表,并且设置流表的寄存值,以表示该流量已进入过安全端口链,返回原来的第一流量转发路径表之后,流量将被转发至业务虚拟机。
本申请实施例还提供一种ovn流量编排系统,该系统在基于ovn实现SDN功能的超融合环境中,实现网络流量编排,通过利用ACL触发流量执行动作的功能,实现流量进入业务虚拟机之前先进入服务链中进行流量清洗,并且可以满足服务链中的安全网元不在同一个物理机之上等特性功能。
如图2所示,为ovn流量编排系统的结构框图,该系统具体可以包括:
逻辑管理层100,用于在接收到流量编排请求后,在逻辑交换机上添加安全端口链信息和acl规则;
逻辑管理层100,用于提供给用户直观使用,屏蔽底层难以理解的流表规则,直接向用户提供一个直接的ovn交换机形态,所述功能主要是在ovn逻辑交换机上添加端口链信息和acl的sfc触发规则。
数据翻译层200,用于对所述安全端口链信息和acl规则从北向数据转化为南向逻辑流表数据,并将安全端口对组信息注入转发执行层;
数据翻译层200,将逻辑管理层100添加的端口链信息和acl规则进行自动翻译,翻译成SFC执行模块301能够接受的南向openflow流表,并通过netlink接口向SFC执行模块301提供注册功能,实现安全端口对组信息的注入。
转发执行层300,用于将所述南向逻辑流表数据转化为执行虚拟机流量的openflow流表,并将所述安全端口对组信息插入到所述流量的第二流量转发路径表中,以利用所述安全端口对组信息和所述acl规则触发对所述流量进行转发。
转发执行层300,用于将数据翻译层200提供的信息插入到对应的流量转发路径中,从而实现修改流量的转发路径,达到基于ovn逻辑交换机中的端口链信息和acl规则的流量编排。
如图3所示,为ovn流量编排系统架构示意图。图中的每个classis节点即是超融合的物理机,SFC执行模块301自动把接收到的LogicalFlow数据转化为openflow流表。
其中,如图4所示,为另一种ovn流量编排系统的结构框图,在图2的基础上,逻辑管理层100包括:sdn服务进程101,用于触发北向SFC模块修改北向数据库中的数据。
sdn服务进程101收到流量编排请求后,触发北向SFC模块修改SDN控制平台的北向数据库,以添加安全端口链信息和acl规则。
逻辑管理层100面主要是逻辑数据的管理。sdn服务进程101向用户提供了L2和L3虚拟设备的生命周期管理,本申请所提供的流量编排技术作用对象是业务虚拟机,由于业务虚拟机是连接在L2的虚拟分布式交换机中,所以本申请中的流量编排技术应用于虚拟分布式交换机中。
在ovn控制器的北向数据库中扩展了北向SFC模块,具体地,Logical_Switch中增加端口对(port_pairs):
端口对是一组进出端口的集合,比如说一个NGFW网元,两个网口分别是eth0和eth1,如果流量从eth0进入,需要从eth1出来(也就是网元里面以这两个口做成一条虚拟机线),那么eth0和eth1就组成了端口对。一组端口对数据在SFC模块中如下所示:
由于一条服务链中可能存在多个安全网元,所以SFC模块存在一个端口对组,端口对组即是多个端口对的集合:
比如说访问一个web业务虚拟机时,如果经过NGFW和WAF,那么这个时候的NGFW的进出口组成的端口组和WAF的进出口组成的端口组就组成了一个端口对组。
有了端口对和端口对组之后,那么就可以构成一条安全的服务链功能,所以sfc模块中的服务链数据结构如下:
服务链的数据结构表明了以某个虚拟机端口为目的的流量,需要进入端口对组,并且在各个端口对中逐个依次进行转发。
而流量进入虚拟交换机时,如果没有条件触发会直接进入虚拟机,所以本申请以acl规则的触发条件为基础,实现了一种以acl规则中的触发条件满足的情况下,执行acl规则中的sfc动作,实现流量转发路径修改的功能。具体扩展数据结构如下:
通过在ovn-controller中扩展SFC模块,实现了在同个服务链中的两个安全网元即使运行在不同物理机之间,也能够正常转发流量的功能。
通过在ovn控制器系统中扩展SFC模块,实现单个虚拟机为目的的服务链流量编排技术,也就是当某个特定虚拟机时,也可针对它进行流量编排。
所述数据翻译层200包括:
SFC翻译模块201,用于将所述SFC模块写入所述北向数据库的数据翻译成南向数据库的LogicalFlow数据,并存储至所述南向数据库。
SFC翻译模块201将北向SFC模块写入北向数据库的数据翻译成南向数据库LogicalFlow格式(该格式可转为openflow流表),并写入南向数据库。
在SDN技术当中,SDN控制分为北向和南向。逻辑管理层100实现了逻辑层面的功能,所有数据内容被称为北向数据;实际生效需要将北向数据转换为南向数据,并且能够将南向数据转发给转发界面(本申请指超融合集群中的所有物理机)。
所述转发执行层300包括:
SFC执行模块301,用于将所述LogicalFlow数据转化为openflow流表,并对所述openflow流表相应的第一流量转发路径表进行更新;在所述流量转发路径表的acl规则匹配时,触发流量进入第二流量转发路径表中,所述第二流量转发数据表设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
SFC执行模块301根据控制平面下发logicalflow转为openflow流表(openflow流表是一种网络通信协议,属于数据链路层,能够控制虚拟交换机或路由器的转发平面(forwarding plane),借此改变网络数据包所走的网络路径),流量转发是在SFC执行模块301进行的。
SFC执行模块301处于转发层面,实际上就是超融合中的物理机,将南向数据转为执行虚拟机流量的openflow流表。
如图5所示,为SFC执行模块301示意图,SFC执行模块301主要将逻辑层面的数据,也即是logical_flow的数据转化成物理机上面的openflow流表,因为虚拟机(包括安全网元)就是运行在物理机之上,所以虚拟机根据物理机上面的流表执行数据转发,包括执行服务链流量编排。该系统中的物理机之间采用了geneve或者vxlan等隧道封装技术,实现overlay网络,也就是当同个服务链之间的不用网元在不同的物理机上面时,也可以将流量引导至隧道进行,实现跨物理机执行流量编排功能。
将逻辑管理层100的北向数据最终转化为物理机openvswitch上面的流表,实现了流量编排功能。虚拟机运行在物理机之上,并且连接进openvswitch网桥中,每创建一个虚拟分布式交换机则是在openvswitch创建一个datapath,SFC执行模块301根据控制面的逻辑数据转为openflow,最终实现了流量编排技术,如图6所示,为流量转发路径示意图。
在OVS底层实现中,每个虚拟交换机相当于是datapath,在服务链的流量编排中,SFC执行模块301将逻辑层面数据转换为openflow流表,在openflow流表当中以acl规则的方式触发数据流量进入链中,再根据链信息确定流量进入inport,确定outport应该是由哪个port接收。假设以NGFW为虚拟网络的边界,那么可以定义,以NGFW为起点,到达其他的VM之前需要经过哪些安全网元设备,如图中多个不同路线。
示例地,该方法可以应用于超融合环境下,引入安全网元时,需要将流量引导至安全网元进行过滤审查,具体包括以下步骤:
步骤S11:超融合集群中先打开SDN功能,所有物理机节点连接进SDN控制器,打开转发层面功能,物理机主要集中在openvswitch转发中,需要设置openvswitch自动连接SDN控制器地址;
步骤S12:创建虚拟交换机,并且把安全网元以及虚拟机连接进虚拟交换机;
步骤S13:根据安全网元信息以及流量编排的要求,创建端口对和对端口组;
步骤S14:创建虚拟服务链,将配置好的具有安全能力的端口对组拉入到该虚拟服务链中;
步骤S15:配置基于acl实现的分流器,以acl规则匹配条件为基础,匹配成功之后,流量自动进入服务链当中;
步骤S16:流量在服务链中的网元进行转发(底层实现即为配置OVS的流表,将符合条件的流量引入到安全网元的接口)。
该方法采用acl触发技术,直接通过linux内核openflow协议直接触发流量进入服务链中,不需要引流设备,可以节省一定的成本。
本申请实施例还提供一种流量编排装置,如图7所示,为流量编排装置的结构框图,所述装置包括:
触发模块400,用于当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链;
转发模块500,用于在安全端口链中的安全端口对组对流量进行转发;
发送模块600,用于当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机。
其中,转发模块500包括:
编排模块501,用于按照openflow流表的编排顺序所述流量依次进入每个端口对,以对所述流量进行转发。
该装置在超融合环境下,使用ovn作为sdn控制器的软件定义网络环境,实现网络流量的编排功能;基于单个虚拟机为目的的流量编排技术,可以实现在同个虚拟网络环境下,不虚拟机的流量可以进入不同的服务链(服务链指的是不通过的安全网元以及它们之间所组成连接关系,比如说NGFW(下一代防火墙)和WAF(web应用防火墙)连接在一起组成了一条服务链)当中;解决服务链中的两个安全网元运行在不同的物理机,也可以通过geneve/vxlan等隧道进行封装,从而实现跨物理机之间的安全网元流量编排。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述的流量编排方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述的流量编排方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种流量编排方法,其特征在于,所述方法包括:
当流量进入ovn的逻辑交换机时,若满足第一流量转发路径表中的acl规则,则触发流量进入安全端口链;
在安全端口链中的安全端口对组对所述流量进行转发;
当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机,在所述当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链的步骤之前,所述方法还包括:
根据openflow流表对相应的第一流量转发路径表进行更新,以触发所述流量进入第二流量转发路径表,所述第二流量转发路径表中设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
2.根据权利要求1所述的流量编排方法,其特征在于,所述安全端口对组包括多个端口对,所述在安全端口链中的安全端口对组对流量进行转发,包括:
所述流量按照openflow流表的编排顺序依次进入每个端口对,以对所述流量进行转发。
3.根据权利要求1所述的流量编排方法,其特征在于,所述方法还包括:
在对所述流量转发完毕后,将所述流量转发至所述第一流量转发路径表,并设置所述openflow流表的寄存值。
4.一种流量编排装置,其特征在于,所述装置包括:
触发模块,用于当流量进入ovn的逻辑交换机时,若满足第一流量转发路径表中的acl规则,则触发流量进入安全端口链;
转发模块,用于在安全端口链中的安全端口对组对流量进行转发;
发送模块,用于当所述安全端口对组对所述流量转发完毕后,将所述流量转发至业务虚拟机,其中,在所述当流量进入ovn的逻辑交换机时,若满足acl规则,则触发流量进入安全端口链的步骤之前,根据openflow流表对相应的第一流量转发路径表进行更新,以触发所述流量进入第二流量转发路径表,所述第二流量转发路径表中设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
5.一种ovn流量编排系统,其特征在于,所述系统包括:
逻辑管理层,用于在接收到流量编排请求后,在逻辑交换机上添加安全端口链信息和acl规则;
数据翻译层,用于对所述安全端口链信息和acl规则从北向数据转化为南向逻辑流表数据,并将安全端口对组信息注入转发执行层;
转发执行层,用于将所述南向逻辑流表数据转化为执行虚拟机流量的openflow流表,并将所述安全端口对组信息插入到所述流量的第二流量转发路径表中,以利用所述安全端口对组信息和所述acl规则触发对所述流量进行转发;所述转发执行层包括:
SFC执行模块,用于将所述LogicalFlow数据转化为openflow流表,并对所述openflow流表相应的第一流量转发路径表进行更新;在所述第一流量转发路径表的acl规则匹配时,触发流量进入第二流量转发路径表中,所述第二流量转发路径表设置有所述安全端口链中的安全端口对组对所述流量的转发顺序。
6.根据权利要求5所述的ovn流量编排系统,其特征在于,所述逻辑管理层包括:
sdn服务进程,用于触发北向SFC模块修改北向数据库中的数据,以添加安全端口链信息和acl规则。
7.根据权利要求5所述的ovn流量编排系统,其特征在于,所述数据翻译层包括:
SFC翻译模块,用于将北向SFC模块写入北向数据库的北向数据翻译成南向数据库的LogicalFlow数据,并存储至所述南向数据库。
8.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至3中任一项所述的流量编排方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111657707.6A CN114338193B (zh) | 2021-12-31 | 2021-12-31 | 一种流量编排方法、装置及ovn流量编排系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111657707.6A CN114338193B (zh) | 2021-12-31 | 2021-12-31 | 一种流量编排方法、装置及ovn流量编排系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338193A CN114338193A (zh) | 2022-04-12 |
CN114338193B true CN114338193B (zh) | 2024-01-23 |
Family
ID=81018822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111657707.6A Active CN114338193B (zh) | 2021-12-31 | 2021-12-31 | 一种流量编排方法、装置及ovn流量编排系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338193B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114827045B (zh) * | 2022-06-23 | 2022-09-13 | 天津天睿科技有限公司 | 用于流量编排的方法和装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819663A (zh) * | 2017-11-27 | 2018-03-20 | 锐捷网络股份有限公司 | 一种实现虚拟网络功能服务链的方法和装置 |
CN108289061A (zh) * | 2017-12-29 | 2018-07-17 | 江苏省未来网络创新研究院 | 基于sdn的业务链编排方法及业务链拓扑结构 |
CN109495391A (zh) * | 2018-12-18 | 2019-03-19 | 天津城建大学 | 一种基于sdn的安全服务链系统及数据包匹配转发方法 |
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN112187608A (zh) * | 2020-06-16 | 2021-01-05 | 浪潮云信息技术股份公司 | 一种基于OpenStack的透明模式服务链实现方法及其系统 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN113114509A (zh) * | 2021-04-16 | 2021-07-13 | 浪潮思科网络科技有限公司 | 一种在sdn网络环境中进行报文转发仿真的方法及设备 |
CN113330716A (zh) * | 2020-12-31 | 2021-08-31 | 山石网科通信技术股份有限公司 | 确定应用服务的依赖关系的方法及装置、处理器 |
-
2021
- 2021-12-31 CN CN202111657707.6A patent/CN114338193B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819663A (zh) * | 2017-11-27 | 2018-03-20 | 锐捷网络股份有限公司 | 一种实现虚拟网络功能服务链的方法和装置 |
CN108289061A (zh) * | 2017-12-29 | 2018-07-17 | 江苏省未来网络创新研究院 | 基于sdn的业务链编排方法及业务链拓扑结构 |
CN109495391A (zh) * | 2018-12-18 | 2019-03-19 | 天津城建大学 | 一种基于sdn的安全服务链系统及数据包匹配转发方法 |
CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
CN112187608A (zh) * | 2020-06-16 | 2021-01-05 | 浪潮云信息技术股份公司 | 一种基于OpenStack的透明模式服务链实现方法及其系统 |
CN112822037A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
CN113330716A (zh) * | 2020-12-31 | 2021-08-31 | 山石网科通信技术股份有限公司 | 确定应用服务的依赖关系的方法及装置、处理器 |
CN113114509A (zh) * | 2021-04-16 | 2021-07-13 | 浪潮思科网络科技有限公司 | 一种在sdn网络环境中进行报文转发仿真的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114338193A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111049796B (zh) | 一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法 | |
Trois et al. | A survey on SDN programming languages: Toward a taxonomy | |
US10623264B2 (en) | Policy assurance for service chaining | |
US10587621B2 (en) | System and method for migrating to and maintaining a white-list network security model | |
US11411803B2 (en) | Associating network policy objects with specific faults corresponding to fault localizations in large-scale network deployment | |
US11258657B2 (en) | Fault localization in large-scale network policy deployment | |
EP3643012B1 (en) | Validating endpoint configurations between nodes | |
US11405278B2 (en) | Validating tunnel endpoint addresses in a network fabric | |
US10572495B2 (en) | Network assurance database version compatibility | |
US10536375B2 (en) | Individual network device forwarding plane reset | |
CN109889533B (zh) | 云环境下的安全防御方法及系统、计算机可读存储介质 | |
US11438234B2 (en) | Validation of a virtual port channel (VPC) endpoint in the network fabric | |
CN113783781A (zh) | 使虚拟私有云之间网络互通的方法和装置 | |
CN114338193B (zh) | 一种流量编排方法、装置及ovn流量编排系统 | |
US20200177483A1 (en) | Static endpoint validation | |
CN107682300B (zh) | 确定安全组规则链的方法和装置 | |
US11178106B2 (en) | Routing level access control for tenant virtual machines in a cloud networking environment | |
US10805160B2 (en) | Endpoint bridge domain subnet validation | |
WO2023021631A1 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
CN112367258B (zh) | 基于Openstack架构实现服务链功能的方法 | |
CN116319045A (zh) | 一种安全网元的处理方法、装置及介质 | |
CN116301896A (zh) | 一种网络逻辑流表热添加的方法、装置以及存储介质 | |
CN118120204A (zh) | 计算系统中的网络配置验证 | |
Tonouchi | Policy-based verification method for configurations of large network with header-space analyses | |
Korchagin et al. | Object model for analysis of multiservice telecommunications networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |