CN115695086B - 一种基于vlan网络实现服务链功能的系统及方法 - Google Patents

一种基于vlan网络实现服务链功能的系统及方法 Download PDF

Info

Publication number
CN115695086B
CN115695086B CN202211134399.3A CN202211134399A CN115695086B CN 115695086 B CN115695086 B CN 115695086B CN 202211134399 A CN202211134399 A CN 202211134399A CN 115695086 B CN115695086 B CN 115695086B
Authority
CN
China
Prior art keywords
virtual machine
drainage
flow
service node
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211134399.3A
Other languages
English (en)
Other versions
CN115695086A (zh
Inventor
任维春
陈相如
杨经纬
尚啸
胡林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Digital Intelligence Technology Co Ltd
Original Assignee
China Telecom Digital Intelligence Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Digital Intelligence Technology Co Ltd filed Critical China Telecom Digital Intelligence Technology Co Ltd
Priority to CN202211134399.3A priority Critical patent/CN115695086B/zh
Publication of CN115695086A publication Critical patent/CN115695086A/zh
Application granted granted Critical
Publication of CN115695086B publication Critical patent/CN115695086B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于VLAN网络实现服务链功能的系统及方法,该系统包括:虚拟化管理平台、net‑agent、libvirt和虚拟化操作系统,虚拟化管理平台分别与net‑agent、libvirt连接,所述net‑agent、libvirt分别与虚拟化操作系统连接;在虚拟化管理平台中设有SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块,在libvirt中设有引流、SF配置API模块,在虚拟化操作系统中设有OVS Xnormal转发模块,在net‑agent中设有虚拟MAC地址/端口管理模块、openflow流表管理模块和引流策略配置保存与恢复模块。本发明的系统及方法实现了对虚拟机流量的深度安全防护。

Description

一种基于VLAN网络实现服务链功能的系统及方法
技术领域
本发明属于云计算虚拟化平台技术领域,具体地,涉及一种基于VLAN网络实现服务链功能的系统及方法。
背景技术
现有虚拟化环境中,VLAN网络通过虚拟化平台提供的安全组(一组规则定义的集合)功能,对进出虚拟机端口的网络报文进行过滤,只有规则允许的报文才能通过,即以白名单的形式放通流量,对虚拟机流量实现访问控制。
VXLAN网络除了通过虚拟化平台提供的安全组功能对进出虚拟机端口的报文进行过滤外,还通过扩展VXLAN协议或者采用NSH标准协议实现的服务链技术,对虚拟机的网络流量实现更为高级的安全防护功能,如IPS、URL过滤、数据过滤、文件过滤、防病毒、基于内容特征的应用层协议识别等DPI深度安全,这种虚拟网络安全功能通常以虚拟机的形式部署到虚拟化平台上,简称SF服务节点。这样,需要虚拟化平台提供一种将虚拟机流量引流到SF服务节点的通用方法。对于虚拟化平台的VLAN网络,目前还没有与VXLAN类似的服务链技术来实现虚拟机流量更为高级的安全防护解决方案。
发明内容
针对现有技术中存在的问题,本发明提供了一种虚拟化平台基于VLAN网络实现服务链功能的系统及方法,为虚拟机流量提供防火墙、DPI深度安全等高级网络安全功能。
为实现上述技术目的,本发明采用如下技术方案:一种基于VLAN网络实现服务链功能的系统,包括:虚拟化管理平台、net-agent、libvirt和虚拟化操作系统,所述虚拟化管理平台分别与net-agent、libvirt连接,所述net-agent、libvirt分别与虚拟化操作系统连接;所述虚拟化管理平台中设有SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块,所述libvirt中设有引流、SF配置API模块,所述虚拟化操作系统中设有OVS Xnormal转发模块,所述net-agent中设有虚拟MAC地址/端口管理模块、openflow流表管理模块和引流策略配置保存与恢复模块,所述SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块均与引流、SF配置API模块连接,所述引流、SF配置API模块与OVS Xnormal转发模块连接,所述引流策略配置、虚拟机开启引流功能模块以及openflow流表管理模块均与引流策略配置保存与恢复模块连接,所述openlow流表管理模块与虚拟MAC地址/端口管理模块、虚拟化操作系统连接,所述虚拟MAC地址/端口管理模块与虚拟化操作系统连接。
进一步地,所述SF服务部署模块在虚拟化管理平台上以虚拟机形式部署SF服务,添加Ingress SF和Egress SF虚拟机网卡,且Ingress SF和Egress SF虚拟机网卡的类型为Trunk类型。
进一步地,所述引流策略配置、虚拟机开启引流功能模块在虚拟化管理平台上配置引流策略,将引流策略应用到物理服务器的虚拟机网卡上,标识通过所述虚拟机网卡进入和流出的流量,若匹配上引流策略的规则,则重定向到部署的SF服务节点处理;所述引流策略的规则包含:方向、以太网类型、协议、源虚拟机的起始值和结束值、源虚拟机的IP、目的虚拟机的起始值和结束值、目的虚拟机的IP、动作为重定向。
进一步地,所述引流策略进行引流流表设计,所述引流流表包括:流分类流表table0、Egress虚机和同主机Ingress虚机流表table11、主机物理网卡Ingress虚机流表table12、Normal流表table94;
所述流分类流表table0根据虚拟端口、MAC地址、五元组信息,对进入虚拟机和流出虚拟机的流量进行分类,以确定哪些流量允许重定向到SF服务节点:
A.虚拟机发出的ARP请求报文和应答报文不引流,控制协议跳转到table 94走Normal转发,引流流表设计为:
priority=160arp,in_port=虚机端口,dl_src=虚机mac地址,arp_spa=虚机IP actions=resubmit(,94)
priority=160arp,dl_dst=虚机mac地址,arp_spa=虚机IP actions=resubmit(,94)
B.广播、组播报文不引流,跳转到table 94走Normal转发,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions=resubmit(,94)
C.虚机端口类型为access时,Egress虚机流量引流到SF服务节点,引流流表设计为:
priority=150in_port=引流虚机端口,五元组,actions=load:reg5=引流虚机端口,mod_vlan_id:引流虚机VLAN,resubmit(,11)
D.Egress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后,跳转到table11处理,引流流表设计为:
priority=150in_port=sf_out,dl_src=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,11)
E.Ingress虚机方向的流量引流到SF服务节点,跳转到table12处理,即:同主机不同VLAN虚机引流、跨主机同VLAN内虚机引流,引流流表设计为:
priority=150dl_dst=引流虚机mac地址,五元组,actions:resubmit(,12)
F.Ingress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后跳转到table12处理,即:跨主机相同VLAN内虚机引流,引流流表设计为:
priority=150in_port=sf_out,dl_dst=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,12)
H.缺省规则为Normal,引流流表设计为:priority=10default normal;
所述Egress虚机和同主机Ingress虚机流表table11对虚拟机发出的报文重定向到SF服务节点,报文从SF服务节点发出,跨主机流量转发到物理网卡,进入本主机的虚拟机流量引流到目的虚拟机:
A.不转发广播、组播报文,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions:drop
B.Egress虚机的流量,引流到SF服务节点,引流流表设计为:
priority=150,reg5=引流虚机端口actions:sf_in
C.同主机同VLAN内虚机,引流到目标虚机,引流流表设计为:
priority=150,reg5=sf_out端口dl_dst=同主机目标虚机mac地址dl_vlan=同主机目标虚机vlan actions=strip vlan,output:目标虚机端口
D.Egress虚机的流量,转发到物理网卡uplink,引流流表设计为:
priority=130,reg5=sf_out端口dl_src=引流虚机mac地址,actions=normal
E.SF服务节点down掉,流量绕开SF服务节点,引流流表设计为:priority=10default normal;
所述主机物理网卡Ingress虚机流表table12跨主机Ingress虚机的流量重定向到SF服务节点,并将SF服务节点发出的流量转发到目的虚机:
A.不转发广播、组播报文,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions:drop
B.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由SF服务节点的出网口流入虚拟机端口,该引流流表的优先级要高于C,设计为:
priority=160,reg5=sf_out dl_dst=引流虚机mac地址,actions=strip_vlan,output:引流虚机端口
C.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由物理网卡进入SF服务节点的入网口,引流流表设计为:
priority=150,dl_dst=引流虚机mac地址,actions=output:sf_in
D.SF服务节点down掉,虚机流量绕开SF服务节点,引流流表设计为:priority=10default normal;
所述Normal流表table94为OVS桥normal转发,引流流表设计为:
priority=1actions=normal。
进一步地,当虚拟机配置引流策略或者虚拟机带引流配置启动时,在table0增加该虚拟机的流分类流表,在table11增加该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12增加从服务器物理网卡到该虚拟机Ingress方向的引流流表;当虚拟机取消配置引流策略或者关闭带引流配置的虚拟机时,在table0删除该虚拟机的流分类流表,在table11删除该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12删除从服务器物理网卡到该虚拟机Ingress方向的引流流表。
进一步地,所述引流、SF配置API模块用于增加引流策略API以及Ingress SF、Egress SF虚拟机网卡配置API,通过虚拟机网卡配置引流策略到虚拟化操作系统中的OVS虚拟端口,下发SF端口类型。
进一步地,所述OVS Xnormal转发模块在OVS端口中增加标识SF服务节点的in和out接口类型,当虚拟化操作系统接收到广播报文时,不向SF服务节点的in和out发送广播报文;在OVS flood泛洪处理时,比对虚拟端口的mac地址和广播报文的源mac地址,若相同,则不允许防洪给该端口。
进一步地,所述虚机MAC地址、网卡端口管理模块用于监听虚拟化操作系统中OVS端口添加、修改和删除事件,记录虚拟机mac地址、端口ID、VLAN、桥信息;所述openflow流表管理模块,当虚拟机上电时,根据虚拟机网卡的引流策略、MAC地址、端口、OVS桥信息,构造openflow引流流表,并下发OVS;当虚拟机下电时,从OVS中删除引流流表;所述引流策略配置保存与恢复模块用于保存虚拟机网卡的引流策略,当SF服务节点关机后,虚拟机绕开SF服务节点,仍可与目标地址通信;当SF服务节点开机后,虚拟机流量恢复引流。
进一步地,当SF服务节点关机后,删除与SF服务节点相关的流表:在table 0中入接口为SF_out的流表,在table 11和table 12中入接口为SF_out的流表、出接口为SF_in的流表;当SF服务节点开机时,添加与SF服务节点相关的流表:在table0中出接口为SF_out的流表;在table11和table 12中入接口为SF_out的流表、出接口为SF_in的流表。
本发明还提供了一种基于VLAN网络实现服务链功能的系统的服务链功能实现方法,具体包括如下步骤:
步骤1、在虚拟化管理平台上部署SF服务节点,添加SF服务节点Ingress虚拟网卡和Egress虚拟网卡并加电启动,libvirt通知虚拟化操作系统vswitch添加Ingress和Egress端口;
步骤2、配置SF服务节点的安全服务配置;
步骤3、定义服务链引流策略的规则,将服务链引流策略配置到虚拟机的网卡,并配置流量重定向到SF服务节点Ingress网卡ID,下发net-agent,保存引流策略;下发libvirt,使得虚拟机启用引流策略;
步骤4、加电启动虚拟机,libvirt通知虚拟化操作系统的vswitch模块添加虚拟端口,该端口保存了引流策略名称、SF服务节点Ingress网卡ID;
步骤5、虚拟化操作系统的vswitch模块上报net-agent代理虚拟端口添加事件;
步骤6、net-agent代理捕获到虚拟端口添加事件,根据虚拟端口引用的引流策略名称,查询引流策略内容,并由openflow流表管理模块根据虚拟端口名称、mac地址、VLAN、引流策略内容、SF服务节点Ingress网卡ID,生成引流流表,并下发给vswitch模块;
步骤7、虚拟机进入和流出的流量,经由虚拟化操作系统vswitch模块和OVSXnormal模块匹配引流流表,将虚拟化流量引流到SF服务节点,SF服务节点安全防护处理,根据SF防护处理的结果,或阻断报文,或转发到虚拟流量的目标地址,实现虚拟化VLAN网络的服务链功能。
与现有技术相比,本发明具有如下由于效果:本发明基于VLAN网络实现服务链功能的系统中,通过创建并部署SF服务服务节点、定义服务链引流策略、在虚拟机网卡应用引流策略并配置重定向SF Ingress网卡,根据定义的服务链转发路径,在虚拟交换机实现服务链引流流表,同时,解决实现服务链功能时的广播、组播和未知单播报文处理、SF服务节点自动逃生和恢复机制等问题,从而实现了将虚拟化流量引流到不同厂商的NFV虚拟安全网元,如vDPI、vIPS等,对VLAN网络的虚拟化流量实现更为高级的安全防护功能,如DPI深度安全防护。相比于VXLAN服务链功能,本发明基于VLAN网络实现服务链功能的系统无需SDN控制器编排服务链。
附图说明
图1为本发明基于VLAN网络实现服务链功能的系统的框架图;
图2为同主机同VLAN内的虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图2中的a为源虚拟机到目的虚拟机的单向流量安全防护图,图2中的b为源虚拟机到目的虚拟机的双向流量安全防护图;
图3为同主机不同VLAN内的虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图3中的a为源虚拟机到目的虚拟机的单向流量安全防护图,图3中的b为源虚拟机到目的虚拟机的双向流量安全防护图;
图4为跨主机同VLAN或不同VLAN虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图4中的a为源虚拟机到目的虚拟机的单向流量安全防护图,图4中的b为源虚拟机到目的虚拟机的双向流量安全防护图;
图5为同主机同VLAN内虚拟机引流策略图:图5中的a为源虚拟机和目的虚拟机配置相同VLAN,源虚拟机网卡配置引流策略图;图5中的b为源虚拟机和目的虚拟机配置相同VLAN,源虚拟机网卡和目的虚拟机网卡配置引流策略图;
图6为同主机内不同VLAN内虚拟机引流策略图:图6中的a为源虚拟机和目的虚拟机配置不同VLAN,源虚拟机网卡配置引流策略图;图6中的b为源虚拟机和目的虚拟机配置不同VLAN,源虚拟机网卡和目的虚拟机网卡配置引流策略图;
图7为跨主机同VLAN内虚拟机引流策略图:图7中的a为源虚拟机和目的虚拟机配置相同VLAN且源虚拟机配置引流策略图,源虚拟机和目的虚拟机配置相同VLAN且源虚拟机和目的虚拟机配置引流策略图。
具体实施方式
下面结合附图对本发明的技术方案作进一步地解释说明。
如图1为本发明基于VLAN网络实现服务链功能的系统的框架图,该系统包括:虚拟化管理平台、net-agent、libvirt和虚拟化操作系统,虚拟化管理平台分别与net-agent、libvirt连接,net-agent、libvirt分别与虚拟化操作系统连接;虚拟化管理平台用于部署SF服务节点,配置引流策略以及虚拟机网卡启用引流,因此在虚拟化管理平台中设有SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块,libvirt中设有引流、SF配置API模块,虚拟化操作系统中设有OVS Xnormal转发模块,net-agent中设有虚拟MAC地址/端口管理模块、openflow流表管理模块和引流策略配置保存与恢复模块,SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块均与引流、SF配置API模块连接,引流、SF配置API模块与OVS Xnormal转发模块连接,引流策略配置、虚拟机开启引流功能模块以及openflow流表管理模块均与引流策略配置保存与恢复模块连接,openlow流表管理模块与虚拟MAC地址/端口管理模块、虚拟化操作系统连接,虚拟MAC地址/端口管理模块与虚拟化操作系统连接。本发明基于VLAN网络实现服务链功能的系统实现了将虚拟化流量引流到不同厂商的NFV虚拟安全网元,如vDPI、vIPS等,对VLAN网络的虚拟化流量实现更为高级的安全防护功能,如DPI深度安全防护。相比于VXLAN服务链功能,本发明基于VLAN网络实现服务链功能的系统无需SDN控制器编排服务链。
本发明中SF服务部署模块在虚拟化管理平台上以虚拟机形式部署SF服务,添加Ingress SF和Egress SF虚拟机网卡,且Ingress SF和Egress SF虚拟机网卡的类型为Trunk类型,可以实现不同VLAN网络的虚拟机流量引流。
本发明中引流策略配置、虚拟机开启引流功能模块在虚拟化管理平台上配置引流策略,将引流策略应用到物理服务器的虚拟机网卡上,标识通过该虚拟机网卡进入和流出的流量,若匹配上引流策略的规则,则重定向到部署的SF服务节点处理,实现DPI深度安全检测等高级安全功能;本发明中引流策略的规则包含:方向、以太网类型、协议、源虚拟机的起始值和结束值、源虚拟机的IP、目的虚拟机的起始值和结束值、目的虚拟机的IP、动作为重定向,如设置规则为:direction="ingress"ethertype="ipv4"protocol="tcp"src_port_min="10"
src_port_max="20"src_ip_prefix="10.10.10.0/24"dst_ip_prefix="20.20.20.0/24"dst
_port_min="10"dst_port_max="20"
action target="redirect"
在引流策略布置前,需要明确虚拟机流量引流到SF服务节点的转发路径,如图2为同主机同VLAN内的虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图2中的a的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-目的虚拟机,反向:目的虚拟机-源虚拟机;图2中的b的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-目的虚拟机,反向:目的虚拟机--SF服务节点入网口-SF服务节点出网口-源虚拟机;图3为同主机不同VLAN内的虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图3中的a的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-目的虚拟机,反向:目的虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-源虚拟机;图3中的b的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-SF服务节点入网口-SF服务节点出网口-目的虚拟机,反向:目的虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-SF服务节点入网口-SF服务节点出网口-源虚拟机;图4为跨主机同VLAN或不同VLAN虚拟机之间,将虚拟机流量引流到SF服务节点的转发路径图,图4中的a的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-目的虚拟机,反向:目的虚拟机-接入交换机-SF服务节点入网口-SF服务节点出网口-源虚拟机;图4中的b的转发路径:正向:源虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-SF服务节点入网口-SF服务节点出网口-目的虚拟机,反向:目的虚拟机-SF服务节点入网口-SF服务节点出网口-接入交换机-SF服务节点入网口-SF服务节点出网口-源虚拟机。
根据引流策略进行引流流表设计,将虚机流量引流到SF服务节点进行安全处理,SF服务或阻断或放行转发到目标地址,该引流流表包括:流分类流表table0、Egress虚机和同主机Ingress虚机流表table11、主机物理网卡Ingress虚机流表table12、Normal流表table94;
流分类流表table0根据虚拟端口、MAC地址、五元组信息(源IP、目的IP、协议、源端口、目的端口),对进入虚拟机和流出虚拟机的流量进行分类,以确定哪些流量允许重定向到SF服务节点:
A.虚拟机发出的ARP请求报文和应答报文不引流,控制协议跳转到table 94走Normal转发,引流流表设计为:
priority=160arp,in_port=虚机端口,dl_src=虚机mac地址,arp_spa=虚机IP actions=resubmit(,94)
priority=160arp,dl_dst=虚机mac地址,arp_spa=虚机IP actions=resubmit(,94)
B.广播、组播报文不引流,跳转到table 94走Normal转发,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions=resubmit(,94)
C.虚机端口类型为access时,Egress虚机流量引流到SF服务节点,引流流表设计为:
priority=150in_port=引流虚机端口,五元组,actions=load:reg5=引流虚机端口,mod_vlan_id:引流虚机VLAN,resubmit(,11)
D.Egress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后,跳转到table11处理,引流流表设计为:
priority=150in_port=sf_out,dl_src=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,11)
E.Ingress虚机方向的流量引流到SF服务节点,跳转到table12处理,即:同主机不同VLAN虚机引流、跨主机同VLAN内虚机引流,引流流表设计为:
priority=150dl_dst=引流虚机mac地址,五元组,actions:resubmit(,12)
F.Ingress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后跳转到table12处理,即:跨主机相同VLAN内虚机引流,引流流表设计为:
priority=150in_port=sf_out,dl_dst=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,12)
H.缺省规则为Normal,引流流表设计为:priority=10default normal;
如果源虚机端口类型为Trunk,则table0中的C流表用如下流表替换:
C’priority=150in_port=虚机端口,五元组,actions=load:reg5=虚机端口,resubmit(,11)。
Egress虚机和同主机Ingress虚机流表table11对虚拟机发出的报文重定向到SF服务节点,报文从SF服务节点发出,跨主机流量转发到物理网卡,进入本主机的虚拟机流量引流到目的虚拟机:
A.不转发广播、组播报文,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions:drop
B.Egress虚机的流量,引流到SF服务节点,引流流表设计为:
priority=150,reg5=引流虚机端口actions:sf_in
C.同主机同VLAN内虚机,引流到目标虚机,引流流表设计为:
priority=150,reg5=sf_out端口dl_dst=同主机目标虚机mac地址dl_vlan=同主机目标虚机vlan actions=strip vlan,output:目标虚机端口
D.Egress虚机的流量,转发到物理网卡uplink,引流流表设计为:
priority=130,reg5=sf_out端口dl_src=引流虚机mac地址,actions=normal
E.SF服务节点down掉,流量绕开SF服务节点,引流流表设计为:priority=10default normal;
如果目标虚拟机虚拟端口类型为Trunk接口,则table11中的C流表用如下流表替换:
priority=150,reg5=sf_out端口dl_dst=同主机目标虚机mac地址actions=output;同主机目标虚机端口。
主机物理网卡Ingress虚机流表table12跨主机Ingress虚机的流量重定向到SF服务节点,并将SF服务节点发出的流量转发到目的虚机:
A.不转发广播、组播报文,引流流表设计为:
priority=160dl_dst=01:00:00:00:00:00/01:00:00:00:00:00actions:drop
B.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由SF服务节点的出网口流入虚拟机端口,该引流流表的优先级要高于C,设计为:
priority=160,reg5=sf_out dl_dst=引流虚机mac地址,actions=strip_vlan,output:引流虚机端口
C.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由物理网卡进入SF服务节点的入网口,引流流表设计为:
priority=150,dl_dst=引流虚机mac地址,actions=output:sf_in
D.SF服务节点down掉,虚机流量绕开SF服务节点,引流流表设计为:priority=10default normal;
如果源虚机端口为Trunk类型,则table 12中的B流表用如下流表替换:
priority=160,reg5=sf_out dl_dst=引流虚机mac地址,actions=output:引流虚机端口。
Normal流表table94为OVS桥normal转发,引流流表设计为:priority=1actions=normal。
在不同场景下虚拟机的引流过程如图5-7,图5为同主机同VLAN内虚拟机引流策略图,图5中的a为源虚拟机和目的虚拟机配置相同VLAN,源虚拟机网卡配置引流策略图,具体为:正向:虚拟机1发出的流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配C流表,进入虚拟机2;反向:虚拟机2返回流量,匹配table0中的H流表,进入虚拟机1;图5中的b为源虚拟机和目的虚拟机配置相同VLAN,源虚拟机网卡和目的虚拟机网卡配置引流策略图,具体为:正向:虚拟机1发出的流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配C流表,进入虚拟机2;反向:虚拟机2返回流量,匹配table0中的C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转table11,匹配C流表,进入虚拟机1;图6为同主机内不同VLAN内虚拟机引流策略图,图6中的a为源虚拟机和目的虚拟机配置不同VLAN,源虚拟机网卡配置引流策略图,具体为:正向:虚拟机1发出流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后返回主机,匹配table0中的H流表,进入虚拟机2;反向:虚拟机2返回流量,匹配table0中H流表,到达接入交换机,交换机处理完成后返回主机,匹配table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的F流表,跳转到table12中,匹配B流表,进入虚拟机1;图6中的b为源虚拟机和目的虚拟机配置不同VLAN,源虚拟机网卡和目的虚拟机网卡配置引流策略图,具体为:正向:虚拟机1发出流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后返回主机,匹配table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table0中的F流表,跳转到table 12,匹配B流表,进入虚拟机2;反向:虚拟机2返回流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后返回主机,匹配table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table0中的F流表,跳转到table 12,匹配B流表,进虚拟机1;图7为跨主机同VLAN内虚拟机引流策略图,图7中的a为源虚拟机和目的虚拟机配置相同VLAN且源虚拟机配置引流策略图,具体为:正向:虚拟机1发出流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后到达host2,匹配host2中的table0中的H流表,进入虚拟机2;反向:虚拟机2返回流量,匹配host2 table 0中的H流表,到达计接入交换机,交换机处理完成后到达host1,匹配table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的F流表,跳转到table12,匹配B流表,进入虚机1;源虚拟机和目的虚拟机配置相同VLAN且源虚拟机和目的虚拟机配置引流策略图,具体为:正向:虚拟机1发出流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table 0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后到达host2,匹配host2中的table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table0中的F流表,跳转到table 12,匹配B流表,进入虚拟机2;反向:虚拟机2返回流量,匹配table0中C流表,跳转到table11,匹配B流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table0中的D流表,跳转到table11中,匹配D流表,到达接入交换机,交换机处理完成后到达host1,匹配host1中的table0中的E流表,跳转到table12,匹配C流表,进入SF服务节点处理,SF服务节点处理完成后,匹配table0中的F流表,跳转到table 12,匹配B流表,进入虚拟机1。
当虚拟机配置引流策略或者虚拟机带引流配置启动时,在table0增加该虚拟机的流分类流表,在table11增加该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12增加从服务器物理网卡到该虚拟机Ingress方向的引流流表;当虚拟机取消配置引流策略或者关闭带引流配置的虚拟机时,在table0删除该虚拟机的流分类流表,在table11删除该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12删除从服务器物理网卡到该虚拟机Ingress方向的引流流表。
本发明中引流、SF配置API模块用于增加引流策略API以及Ingress SF、Egress SF虚拟机网卡配置API,通过虚拟机网卡配置引流策略到虚拟化操作系统中的OVS虚拟端口,下发SF端口类型。引流、SF配置API模块用于定义服务链中的SF服务节点、指定进入和流程SF的端口ID。
本发明中OVS Xnormal转发模块在OVS端口中增加标识SF服务节点的in和out接口类型,当虚拟化操作系统接收到广播报文时,不向SF服务节点的in和out发送广播报文;在OVS flood泛洪处理时,比对虚拟端口的mac地址和广播报文的源mac地址,若相同,则不允许防洪给该端口;SF服务节点out接口,不做MAC地址学习;SF服务节点in接口和out接口均不接收未知mac地址的流量,即目的mac必须是该服务器虚拟机的mac地址。该模块用于实现VLAN网络服务链功能中虚拟机流量引流、避免广播/组播流量环路。
本发明中虚机MAC地址/网卡端口管理模块用于监听虚拟化操作系统中OVS端口添加、修改和删除事件,记录虚拟机mac地址、端口ID、VLAN、桥信息,该模块用于统一管理虚拟化中虚机端口和网络配置;openflow流表管理模块,当虚拟机上电时,根据虚拟机网卡的引流策略、MAC地址、端口、OVS桥信息,构造openflow引流流表,并下发OVS;当虚拟机下电时,从OVS中删除引流流表,该模块用于添加、修改和删除引流流表;引流策略配置保存与恢复模块用于保存虚拟机网卡的引流策略,该模块用于生成引流流表需要,防止系统掉电时引流策略丢失。当虚机加电启动时,添加该虚机的引流流表;当虚拟机关机时,删除该虚机的引流流表;当SF服务节点关机后,虚拟机绕开SF服务节点,仍可与目标地址通信;当SF服务节点开机后,虚拟机流量恢复引流;具体地,当SF服务节点关机后,删除与SF服务节点相关的流表:在table 0中入接口为SF_out的流表,在table 11和table 12中入接口为SF_out的流表、出接口为SF_in的流表;当SF服务节点开机时,添加与SF服务节点相关的流表:在table0中出接口为SF_out的流表;在table 11和table 12中入接口为SF_out的流表、出接口为SF_in的流表。
本发明还提供了基于VLAN网络实现服务链功能的系统的服务链功能实现方法,具体包括如下步骤:
步骤1、在虚拟化管理平台上部署SF服务节点,添加SF服务节点Ingress虚拟网卡和Egress虚拟网卡并加电启动,libvirt通知虚拟化操作系统vswitch添加Ingress和Egress端口;
步骤2、配置SF服务节点的安全服务配置;
步骤3、定义服务链引流策略的规则,将服务链引流策略配置到虚拟机的网卡,并配置流量重定向到SF服务节点Ingress网卡ID,下发net-agent,保存引流策略;下发libvirt,使得虚拟机启用引流策略;
步骤4、加电启动虚拟机,libvirt通知虚拟化操作系统的vswitch模块添加虚拟端口,该端口保存了引流策略名称、SF服务节点Ingress网卡ID;
步骤5、虚拟化操作系统的vswitch模块上报net-agent代理虚拟端口添加事件;
步骤6、net-agent代理捕获到虚拟端口添加事件,根据虚拟端口引用的引流策略名称,查询引流策略内容,并由openflow流表管理模块根据虚拟端口名称、mac地址、VLAN、引流策略内容、SF服务节点Ingress网卡ID,生成引流流表,并下发给vswitch模块;
步骤7、虚拟机进入和流出的流量,经由虚拟化操作系统vswitch模块和OVSXnormal模块匹配引流流表,将虚拟化流量引流到SF服务节点,SF服务节点安全防护处理,根据SF防护处理的结果,或阻断报文,或转发到虚拟流量的目标地址,实现虚拟化VLAN网络的服务链功能。
在虚拟化平台中,本发明虚拟化平台基于VLAN网络实现服务链功能的系统及方法将VLAN网络内的虚拟机流量引流到vFW、vDPI等NFV安全网元单元,这些网元对虚拟机流量处理完成之后,阻断非法流量,将合法虚拟机流量转发到目标地址,从而为虚拟机流量提供防火墙、DPI深度安全等高级网络安全功能。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施方式,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。

Claims (5)

1.一种基于VLAN网络实现服务链功能的系统,其特征在于,包括:虚拟化管理平台、net-agent、libvirt和虚拟化操作系统,所述虚拟化管理平台分别与net-agent、libvirt连接,所述net-agent、libvirt分别与虚拟化操作系统连接;所述虚拟化管理平台中设有SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块,所述libvirt中设有引流、SF配置API模块,所述虚拟化操作系统中设有OVS Xnormal转发模块,所述net-agent中设有虚拟MAC地址/端口管理模块、openflow流表管理模块和引流策略配置保存与恢复模块,所述SF服务部署模块以及引流策略配置、虚拟机开启引流功能模块均与引流、SF配置API模块连接,所述引流、SF配置API模块与OVS Xnormal转发模块连接,所述引流策略配置、虚拟机开启引流功能模块以及openflow流表管理模块均与引流策略配置保存与恢复模块连接,openflow流表管理模块与虚拟MAC地址/端口管理模块、虚拟化操作系统连接,所述虚拟MAC地址/端口管理模块与虚拟化操作系统连接;
所述SF服务部署模块在虚拟化管理平台上以虚拟机形式部署SF服务,添加Ingress SF和Egress SF虚拟机网卡,且Ingress SF和Egress SF虚拟机网卡的类型为Trunk类型;
所述引流策略配置、虚拟机开启引流功能模块在虚拟化管理平台上配置引流策略,将引流策略应用到物理服务器的虚拟机网卡上,标识通过所述虚拟机网卡进入和流出的流量,若匹配上引流策略的规则,则重定向到部署的SF服务节点处理;所述引流策略的规则包含:方向、以太网类型、协议、源虚拟机的起始值和结束值、源虚拟机的IP、目的虚拟机的起始值和结束值、目的虚拟机的IP、动作为重定向;
所述引流、SF配置API模块用于增加引流策略API以及Ingress SF、Egress SF虚拟机网卡配置API,通过虚拟机网卡配置引流策略到虚拟化操作系统中的OVS虚拟端口,下发SF端口类型;
所述OVS Xnormal转发模块在OVS端口中增加标识SF服务节点的in和out接口类型,当虚拟化操作系统接收到广播报文时,不向SF服务节点的in和out发送广播报文;在OVS泛洪处理时,比对虚拟端口的mac地址和广播报文的源mac地址,若相同,则不允许泛洪给该端口;
所述虚拟MAC地址/端口管理模块用于监听虚拟化操作系统中OVS端口添加、修改和删除事件,记录虚拟机mac地址、端口ID、VLAN、桥信息;所述openflow流表管理模块,当虚拟机上电时,根据虚拟机网卡的引流策略、MAC地址、端口、OVS桥信息,构造openflow引流流表,并下发OVS;当虚拟机下电时,从OVS中删除引流流表;所述引流策略配置保存与恢复模块用于保存虚拟机网卡的引流策略,当SF服务节点关机后,虚拟机绕开SF服务节点,仍可与目标地址通信;当SF服务节点开机后,虚拟机流量恢复引流。
2.根据权利要求1所述的一种基于VLAN网络实现服务链功能的系统,其特征在于,所述引流策略进行引流流表设计,所述引流流表包括:流分类流表table0、Egress虚机和同主机Ingress虚机流表table11、主机物理网卡Ingress虚机流表table12、Normal流表table94;
所述流分类流表table0根据虚拟端口、MAC地址、五元组信息,对进入虚拟机和流出虚拟机的流量进行分类,以确定哪些流量允许重定向到SF服务节点:
A.虚拟机发出的ARP请求报文和应答报文不引流,控制协议跳转到table94走Normal转发,引流流表table0设计为:
priority=160,arp,in_port=虚机端口,dl_src=虚机mac地址,arp_spa=虚机IP,
actions=resubmit(,94);
priority=160,arp,dl_dst=虚机mac地址,arp_spa=虚机IP,actions=resubmit(,94);
B.广播、组播报文不引流,跳转到table94走Normal转发,引流流表table0设计为:
priority=160,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00,actions=resubmit(,94);
C.虚机端口类型为access时,Egress虚机流量引流到SF服务节点,引流流表table0设计为:
priority=150,in_port=引流虚机端口,五元组,actions=load:reg5=引流虚机端口,
mod_vlan_id:引流虚机VLAN,resubmit(,11);
D.Egress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后,跳转到table11处理,引流流表table0设计为:
priority=150,in_port=sf_out,dl_src=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,11);
E.Ingress虚机方向的流量引流到SF服务节点,跳转到table12处理,即:同主机不同VLAN虚机引流、跨主机同VLAN内虚机引流,引流流表table0设计为:
priority=150,dl_dst=引流虚机mac地址,五元组,actions:resubmit(,12);
F.Ingress虚拟机方向的流量,重定向到SF服务节点,SF服务节点处理完成后跳转到table12处理,即:跨主机相同VLAN内虚机引流,引流流表table0设计为:
priority=150,in_port=sf_out,dl_dst=引流虚机mac地址,五元组,actions=load:reg5=sf_out,resubmit(,12);
H.缺省规则为Normal,引流流表table0设计为:priority=10,default normal;
所述Egress虚机和同主机Ingress虚机流表table11对虚拟机发出的报文重定向到SF服务节点,报文从SF服务节点发出,跨主机流量转发到物理网卡,进入本主机的虚拟机流量引流到目的虚拟机:
A.不转发广播、组播报文,引流流表table11设计为:
priority=160,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00,actions:drop;
B.Egress虚机的流量,引流到SF服务节点,引流流表table11设计为:
priority=150,reg5=引流虚机端口,actions:sf_in;
C.同主机同VLAN内虚机,引流到目标虚机,引流流表table11设计为:
priority=150,reg5=sf_out端口,dl_dst=同主机目标虚机mac地址,dl_vlan=同主机目标虚机vlan actions=strip vlan,output:目标虚机端口;
D.Egress虚机的流量,转发到物理网卡uplink,引流流表table11设计为:
priority=130,reg5=sf_out端口,dl_src=引流虚机mac地址,actions=normal;
E.SF服务节点down掉,流量绕开SF服务节点,引流流表table11设计为:priority=10default normal;
所述主机物理网卡Ingress虚机流表table12跨主机Ingress虚机的流量重定向到SF服务节点,并将SF服务节点发出的流量转发到目的虚机:
A.不转发广播、组播报文,引流流表table12设计为:
priority=160,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00,actions:drop;
B.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由SF服务节点的出网口流入虚拟机端口,该引流流表table12的优先级要高于C,设计为:
priority=160,reg5=sf_out,dl_dst=引流虚机mac地址,actions=strip_vlan,output:引流虚机端口;
C.不同主机同VLAN内虚机引流、同主机不同VLAN内虚机引流,由物理网卡进入SF服务节点的入网口,引流流表table12设计为:
priority=150,dl_dst=引流虚机mac地址,actions=output:sf_in;
D.SF服务节点down掉,虚机流量绕开SF服务节点,引流流表table12设计为:priority=10,default normal;
所述Normal流表table94为OVS桥normal转发,引流流表table94设计为:
priority=1,actions=normal。
3.根据权利要求2所述的一种基于VLAN网络实现服务链功能的系统,其特征在于,当虚拟机配置引流策略或者虚拟机带引流配置启动时,在table0增加该虚拟机的流分类流表,在table11增加该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12增加从服务器物理网卡到该虚拟机Ingress方向的引流流表;当虚拟机取消配置引流策略或者关闭带引流配置的虚拟机时,在table0删除该虚拟机的流分类流表,在table11删除该虚拟机Egress方向的引流流表和同主机目标虚拟机Ingress方向的引流流表,在table12删除从服务器物理网卡到该虚拟机Ingress方向的引流流表。
4.根据权利要求1所述的一种基于VLAN网络实现服务链功能的系统,其特征在于,当SF服务节点关机后,删除与SF服务节点相关的流表:在table0中入接口为SF_out的流表,在table11和table12中入接口为SF_out的流表、出接口为SF_in的流表;当SF服务节点开机时,添加与SF服务节点相关的流表:在table0中出接口为SF_out的流表;在table11和table12中入接口为SF_out的流表、出接口为SF_in的流表。
5.一种权利要求1所述的一种基于VLAN网络实现服务链功能的系统的服务链功能实现方法,其特征在于,具体包括如下步骤:
步骤1、在虚拟化管理平台上部署SF服务节点,添加SF服务节点Ingress虚拟网卡和Egress虚拟网卡并加电启动,libvirt通知虚拟化操作系统vswitch添加Ingress和Egress端口;
步骤2、配置SF服务节点的安全服务配置;
步骤3、定义服务链引流策略的规则,将服务链引流策略配置到虚拟机的网卡,并配置流量重定向到SF服务节点Ingress网卡ID,下发net-agent,保存引流策略;下发libvirt,使得虚拟机启用引流策略;
步骤4、加电启动虚拟机,libvirt通知虚拟化操作系统的vswitch模块添加虚拟端口,该端口保存了引流策略名称、SF服务节点Ingress网卡ID;
步骤5、虚拟化操作系统的vswitch模块上报net-agent代理虚拟端口添加事件;
步骤6、net-agent代理捕获到虚拟端口添加事件,根据虚拟端口引用的引流策略名称,查询引流策略内容,并由openflow流表管理模块根据虚拟端口名称、mac地址、VLAN、引流策略内容、SF服务节点Ingress网卡ID,生成引流流表,并下发给vswitch模块;
步骤7、虚拟机进入和流出的流量,经由虚拟化操作系统vswitch模块和OVS Xnormal模块匹配引流流表,将虚拟化流量引流到SF服务节点,SF服务节点安全防护处理,根据SF防护处理的结果,或阻断报文,或转发到虚拟流量的目标地址,实现虚拟化VLAN网络的服务链功能。
CN202211134399.3A 2022-09-19 2022-09-19 一种基于vlan网络实现服务链功能的系统及方法 Active CN115695086B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211134399.3A CN115695086B (zh) 2022-09-19 2022-09-19 一种基于vlan网络实现服务链功能的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211134399.3A CN115695086B (zh) 2022-09-19 2022-09-19 一种基于vlan网络实现服务链功能的系统及方法

Publications (2)

Publication Number Publication Date
CN115695086A CN115695086A (zh) 2023-02-03
CN115695086B true CN115695086B (zh) 2024-01-19

Family

ID=85062488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211134399.3A Active CN115695086B (zh) 2022-09-19 2022-09-19 一种基于vlan网络实现服务链功能的系统及方法

Country Status (1)

Country Link
CN (1) CN115695086B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105978806A (zh) * 2016-03-11 2016-09-28 北京星网锐捷网络技术有限公司 一种服务链引流方法和装置
CN106713026A (zh) * 2016-12-15 2017-05-24 锐捷网络股份有限公司 业务链拓扑结构、业务链设置方法和控制器
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法
CN107872443A (zh) * 2016-09-28 2018-04-03 深圳市深信服电子科技有限公司 虚拟网络安全防护系统、流量牵引方法及装置
CN107896195A (zh) * 2017-11-16 2018-04-10 锐捷网络股份有限公司 服务链编排方法、装置及服务链拓扑结构
CN113179299A (zh) * 2021-04-19 2021-07-27 温州职业技术学院 面向工业互联网应用的服务功能链协同控制系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3198805B1 (en) * 2014-09-23 2019-11-20 Nec Corporation Efficient service function chaining over a transport network
US11336572B2 (en) * 2017-05-12 2022-05-17 Nicira, Inc. Dynamic chain of service functions for processing network traffic in a virtual computing environment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105978806A (zh) * 2016-03-11 2016-09-28 北京星网锐捷网络技术有限公司 一种服务链引流方法和装置
CN107872443A (zh) * 2016-09-28 2018-04-03 深圳市深信服电子科技有限公司 虚拟网络安全防护系统、流量牵引方法及装置
CN106713026A (zh) * 2016-12-15 2017-05-24 锐捷网络股份有限公司 业务链拓扑结构、业务链设置方法和控制器
CN106789542A (zh) * 2017-03-03 2017-05-31 清华大学 一种云数据中心安全服务链的实现方法
CN107896195A (zh) * 2017-11-16 2018-04-10 锐捷网络股份有限公司 服务链编排方法、装置及服务链拓扑结构
CN113179299A (zh) * 2021-04-19 2021-07-27 温州职业技术学院 面向工业互联网应用的服务功能链协同控制系统及方法

Also Published As

Publication number Publication date
CN115695086A (zh) 2023-02-03

Similar Documents

Publication Publication Date Title
US9860340B2 (en) Service function chaining branching
CN101431449B (zh) 一种网络流量清洗系统
EP3072264B1 (en) Method for performing network service insertion
US7873038B2 (en) Packet processing
EP3588857B1 (en) Using multiple ethernet virtual private network (evpn) routes for corresponding service interfaces of a subscriber interface
CN111164939A (zh) 通过网络指定和利用路径
US8054833B2 (en) Packet mirroring
US7224668B1 (en) Control plane security and traffic flow management
US20130114619A1 (en) Device and method for egress packet forwarding using mesh tagging
US20060050719A1 (en) Selective diversion and injection of communication traffic
EP2068498B1 (en) Method and network device for communicating between different components
US7788721B2 (en) Traffic control method, apparatus, and system
CN106817275B (zh) 一种自动化预防和编排处理策略冲突的系统和方法
US8442041B2 (en) Virtual service domains
JP2005197823A (ja) ファイアウォールとルータ間での不正アクセス制御装置
JPH10154998A (ja) パケット・トラフィック減少プロセスおよびパケット・トラフィック減少装置
US20210306261A1 (en) Avoiding asymetric routing in an sdwan by dynamically setting bgp attributes within routing information advertised by an sdwan appliance
CN108737217B (zh) 一种抓包方法及装置
AU2004227600B2 (en) Selective diversion and injection of communication traffic
KR20060069517A (ko) 방어장치, 방어방법 및 방어 프로그램 및 네트워크 공격방어 시스템
CN113630315A (zh) 网络引流方法、装置、电子设备和存储介质
CN112202646A (zh) 一种流量分析方法和系统
CN115695086B (zh) 一种基于vlan网络实现服务链功能的系统及方法
CN107682342B (zh) 一种基于openflow的DDoS流量牵引的方法和系统
KR101530451B1 (ko) 유입 vlan acl의 유출 처리

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant