CN117596220A - 一种裸金属服务器影子流量的传输方法及系统 - Google Patents
一种裸金属服务器影子流量的传输方法及系统 Download PDFInfo
- Publication number
- CN117596220A CN117596220A CN202311634938.4A CN202311634938A CN117596220A CN 117596220 A CN117596220 A CN 117596220A CN 202311634938 A CN202311634938 A CN 202311634938A CN 117596220 A CN117596220 A CN 117596220A
- Authority
- CN
- China
- Prior art keywords
- traffic
- flow
- message
- shadow
- bare metal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000002184 metal Substances 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000005540 biological transmission Effects 0.000 title claims description 7
- 238000001914 filtration Methods 0.000 claims abstract description 55
- 238000005538 encapsulation Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 238000005206 flow analysis Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 230000008859 change Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种裸金属服务器影子流量的传输方法及系统,属于云计算领域,该方法包括:步骤S1,开启影子流量功能后,为VXLANGW和TSGW网关下影子流量的过滤规则相关配置;步骤S2,当VXLANGW收到报文后,对报文进行检测,判断是否为VXlAN封装,如果是则进行下一步,反之则直接判断报文是否匹配影子流量的过滤规则,如果是则对该报文流量进行镜像,形成影子流量;等内容。本发明所述的方法和装置,通过VXLANGW可以实现对自定义的业务流量进行过滤及方向标记;新定义了一种影子流量网关及其处理报文的流程,实现了对镜像后流量的方向判定、流量过滤、MAC复原及流量转发。
Description
技术领域
本发明属于云计算领域,尤其涉及一种裸金属服务器影子流量的传输方法及系统。
背景技术
云网络是云计算的网络部分,主要用来串联各种云计算节点包网元节点、计算节点、存储节点,云网络架构图。随着云计算的发展,各种行业云、专有云应运而生。政务云是一种典型的行业云,主要是面向政务行业。政务云有一个典型的特点就是对云安全要求很高,不同业务模块有着严格的等级保护要求。对云业务的安全监控的最常见解决方案就是对关键业务进行流量镜像并接入安全态势感知平台,安全态势感知平台可以进行资产梳理、脆弱性检测、攻击威胁检测、异常行为检测等方面进行全网风险发现。或者,在网络运维过程中需要对某些报文进行分析,又希望不影响原有流量的转发。为了实现对业务报文的监控,最常用的方式就是影子流量。影子流量可以在不影响报文正常处理的情况下,把指定的流量复制一份到指定目的地。网络管理员可以利用影子流量对网络状态进行监测、管理和故障排除。裸金属服务器是一种独享的服务器,一般是对性能和安全性有要求的客户才会选择这种昂贵的服务器。由于裸金属服务特殊的结构,没有网桥。对裸金属服务的业务流量进行流量镜像是一个难题。
因此,我们提出一种裸金属服务器影子流量的传输方法及系统。
发明内容
鉴于以上现有技术的不足,发明的目的在于提供一种裸金属服务器影子流量的传输方法及系统,改造了VXLANGW,通过VXLANGW可以实现对自定义的业务流量进行过滤及方向标记。对比现有技术,利用VXLAN网关进行流量镜像使得网络层次更清晰,VXLANgw的可编程能力也更好使镜像架构更为简单和方便。
本发明的第一方面,提出了一种裸金属服务器影子流量的传输方法,包括:
步骤S1,开启影子流量功能后,为VXLANGW和TSGW网关下影子流量的过滤规则相关配置;
步骤S2,当VXLANGW收到报文后,对报文进行检测,判断是否为VXlAN封装,如果是则进行下一步,反之则直接判断报文是否匹配影子流量的过滤规则,如果是则对该报文流量进行镜像,形成影子流量,同时修改该报文,并对该报文重新进行VXLAN封装转发到TSGW上;
步骤S3,如果步骤S2VXLANGW收到报文是VXlAN封装,则对报文进行解封装露出内层报文;并判断内层报文能否匹配影子流量的过滤规则,如果是则对该内层报文流量进行镜像,形成影子流量,同时修改内层报文,并对该报文重新进行VXLAN封装转发到TSGW;
步骤S4,TSGW收到VXLANGW转发过来的影子流量,对镜像的影子流量进行解封装露出内层报文;
步骤S5,TSGW的协议栈检测报文的源Mac地址,并通过地址确定流量方向,并将满足过滤规则流量进行处理转发到处理平台,不满足的丢弃。
进一步的,步骤S1中过滤规则包括这条流量的源目IP地址、四层协议号、源目端口范围。
进一步的,所述步骤S2中在匹配时则对该报文流量进行镜像,同时修改该报文,报文修改方式是把该报文的源MAC的前8个比特修改为0xee。
进一步的,所述步骤S2中如果非VXlAN封装的报文同时不能匹配影子流量的过滤规则,则不进行流量镜像,正常转发。
进一步的,所述步骤S3中修改内层报文的修改方式是该报文的源MAC的前8个比特修改为0xff。
进一步的,所述步骤S3中如果不能匹配影子流量的过滤规则就不镜像流量,正常转发。
进一步的,所述步骤S5的详细步骤如下:
步骤S5.1,TSGW收到镜像的影子流量,进行VXLAN解封装暴露出内层报文;
步骤S5.2,通过源Mac的前8个比特确定流量方向;
步骤S5.3,确定流量方向后,把报文通过流过滤规则进行流量过滤,把确定要镜像的流量过滤出来,其余流量丢弃;
步骤S5.4,把过滤后的流量进行源Mac地址还原,把前8个比特恢复为被镜像之前的值;
步骤S5.5,把处理后的流量转发到分析平台进行安全态势感知及流量分析。
进一步的,所述步骤S5中通过地址确定流量方向的方法如下:
判断流量的源MAC地址的前8个比特是否为ee,如果是则判定该流量为裸金属服务器的出方向流量;如果否继续判断,判断流量的源MAC地址的前8个比特是否为ff,如果是则判定该流量为裸金属服务器入方向的流量。
进一步的,所述步骤S5中通过地址确定流量方向中,如果源MAC地址的前8个比特不是ee也不是ff,则判定该流量不上裸金属服务器镜像出来的流量。
本发明的第二方面,提出了一种裸金属服务器影子流量的传输系统,用于实现一种裸金属服务器影子流量的传输方法,所述系统包括用于对自定义的业务流量进行过滤、方向标记和镜像的VXLANGW和用于把VXLANGW镜像出来的流量识别和过滤后转发到指定的分析平台的TSGW。
本发明有益效果如下:
(1)改造了VXLANGW,通过VXLANGW可以实现对自定义的业务流量进行过滤及方向标记。对比现有技术,利用VXLAN网关进行流量镜像使得网络层次更清晰,VXLANgw的可编程能力也更好使镜像架构更为简单和方便;
(2)现有流量镜像架构中,网关即承担流量转发任务又要承担镜像任务,导致对租户网关的要求很高。租户网关随着租户下业务规模的增长,压力会越来越大,会影响流量镜像的性能降低整网的镜像性能。本发明新定义了一种影子流量网关及其处理报文的流程,实现了对镜像后流量的方向判定、流量过滤、MAC复原及流量转发。对比现有技术,让专业的影子流量网关只进行流量镜像功能,分担了TGW上又要承担转发压力又要承担镜像压力的情况,提升了整个架构的镜像性能;
(3)提出了云网络中基于VXLANGW的裸机流量镜像的解决方案,提升了整个网络的流量镜像性能;对比现有技术,无须SDN控制器和物理网络交换机之间的适配,摆脱了镜像功能对物理网络的依赖。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种裸金属服务器影子流量的传输方法流程图;
图2为本发明实施例的裸机和虚拟机业务互访流量示意图;
图3为本发明实施例的裸机业务影子流量转发示意图;
图4为本发明实施例的VXLANGW上的流过滤规则表项;
图5为本发明实施例的VXLANGW修改入方向报文的源MAC的前8个比特位示意图;
图6为本发明实施例的VXLANGW修改出方向报文的源MAC的前8个比特位示意图;
图7为本发明实施例的正常的裸机访问虚拟机业务的报文封装图;
图8为本发明实施例的正常的裸机访问虚拟机业务在VXLANGW上的报文封装图;
图9为本发明实施例的裸机访问虚拟机业务的影子流量在VXLANGW上的报文封装图;
图10为本发明实施例的虚拟机访问裸机业务的报文封装变化过程图;
图11为本发明实施例的虚拟机访问裸机业务的报文封装变化过程图;
图12为本发明实施例的虚拟机访问裸机业务的报文封装变化过程图;
图13为本发明实施例的TSGW上的流过滤规则表项;
图14为本发明实施例的开启影子流量功能后,VXLANGW对报文的处理过程示意图;
图15为本发明实施例的TSGW对影子流量报文出入方向判断流程图;
图16为本发明实施例的TSGW对影子流量报文的处理过程图。
具体实施方式
为了使本领域的人员更好地理解本发明实施例中的技术方案,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应该理解,这些描述只是示例性的,并非用于限定本发明的范围。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明公开的概念。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的方法和系统的例子。
本发明提出了一种裸金属服务器影子流量的传输方法及系统,为解决了现有方法中需要SDN控制器和物理网络中的交换机进行适配,需要交换机支持SDN控制器的配置下发;同时,要求交换机支持端口镜像功能。当交换机版本低或者型号老旧的时候,无法实现镜像功能,对物理设备要求高。以及整个架构比较混乱,underlay和overlay混合在一起增加了云网络的复杂度;把业务流量通过underlay的方式进行镜像到目的端,如果目的端是overlay的话,还需要让交换机支持vxlan和镜像网元建立隧道。
本发明涉及的名词解释如下:
IP(Internet Protocol,互联网协议):IP指网际互连协议,Internet Protocol的缩写,是TCP/IP体系中的网络层协议。
BMS(Bare Metal Server,裸金属服务器):裸金属服务器是一种可按需获取的云端独享物理服务器资源,可提供与传统物理服务器几无差别的卓越计算能力。
VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络):云计算中最重要的网络虚拟化技术,是一种overlay技术。
VXLANGW(Virtual eXtensible LAN Gateway,VXLAN网关):云网络中对裸金属服务器进行VXLAN报文封装,实现裸金属服务器的业务流量进行overlay传递。
VTEP(VXLAN Tunnel End Point,VXLAN隧道端点):VXLAN隧道的起点和终点。
SDN(Software Defined Network,软件定义网络):通过控制器对网络进行编程和配置下发。
VPC(Virtual Private Cloud,虚拟私有云):云网络中,通过VPC进行业务隔离。
VNF(Virtual Network Function,虚拟网络功能):虚拟网络功能(VNF)是在虚拟环境中运行的网络功能。
TGW(Tenant Gateway,租户网关):云网络中,每个租户都一个自己的网关。
TSGW(Traffic Shadow Gateway,影子流量网关):影子流量,是指通过一定的配置将线上的真实流量复制一份到镜像服务中去,我们通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的,它的设计思想是只做转发而不接收响应。
SSAP(Security situation awareness platform,态势感知平台):对安全事件、漏洞、资产等安全要素全方面运营,满足等保2.0关于安全管理、日志审计等合规需求的平台。
TA(Traffic Analyzer,流量分析器):对系统中的流量进行分析。
装置实施例
本发明的一个具体实施例,公开了一种裸金属服务器影子流量的传输系统,系统包括用于对自定义的业务流量进行过滤、方向标记和镜像的VXLANGW和用于把VXLANGW镜像出来的流量识别和过滤后转发到指定的分析平台的TSGW。
正常的BMS(Bare Metal Server,裸金属服务器)和虚拟机流量互访转发示意图,如图2所示。BMS因为是完全独有一台物理服务器,所以没有支持SDN的网桥。在云网络中实现主机overlay就需要借助单独的一个网元VXLAN网关来实现。BMS的流量二层到达VXLANGW上,VXLANGW进行VXLAN封装和租户网关TGW之间建立隧道。TGW上查路由进行拆封装并重新封装VXLAN隧道到虚拟机的宿主机上。实现了主机overlay的转发。现在要实现BMS的影子流量功能就需要对这个架构里面的VXLANGW进行改造及创建新的TSGW网元。其中VXLANGW用来对流量进行镜像,TSGW对流量进行过滤及转发,整个架构如附图3所示。
对VLANGW的改造:使能VXLANGW入方向的某条流量镜像的时候,在VXLANGW上下发流匹配规则,定义此流匹配规则主要是匹配这条流量的源目IP地址、四层协议号、源目端口范围,如附图4所示。VXLANGW会对匹配上这个过滤表项的流量进行处理,把该报文的源MAC的前8个比特修改为0xee,如附图5所示。同时,把该修改后的报文重新进行封装为到TSGW的VXLAN报文。使能VXLANGW出方向的某条流量镜像的时候,在VXLANGW上下发流匹配规则,定义此流匹配规则主要是匹配这条流量的源目IP地址、四层协议号、源目端口范围。VXLANGW会对匹配上这个过滤表项的流量进行处理,把该报文的源MAC的前8个比特修改为0xff,如附图6所示。同时,把该修改后的报文重新进行封装为到TSGW的VXLAN报文。对于BMS访问VM的流量原始报文的封装过程是,如图7所示,原始BMS的源MAC地址是ab:ab:ab:ab:ab:ab,目的MAC是租户网关的TGW-Mac,源IP地址是BM-IP,目的IP地址是VM1-IP。转发到VXLANGW上后,进行VXLAN封装到TGW,内层源MAC地址仍然为ab:ab:ab:ab:ab:ab,如图8所示。当这条流量匹配上镜像规则后,VXLANGW对这条流量进行镜像到TSGW,同时修改源MAC为ee:ab:ab:ab:ab:ab,外层封装到TSGW的VXLAN隧道,如图9所示。对于VM访问BMS的流量原始报文的封装过程是,如图10所示,VXLANGW收到TGW发过来的报文,源MAC地址租户网关的MAC地址是ba:ba:ba:ba:ba:ba,目的MAC是BMS的BM-Mac。VXLANGW收到这个报文进行拆封装,露出内层原始报文,如图11所示。当这条流量匹配上镜像规则后,VXLANGW对这条流量进行镜像到TSGW,同时修改源MAC为ff:ba:ba:ba:ba:ba,外层封装到TSGW的VXLAN隧道,如图12所示。
整个网络架构中新增加一种VNF(Virtual Network Function,虚拟网络功能)网元,定义为TSGW(Traffic Shadow Gateway,影子流量网关)。TSGW主要作用是承载影子流量的网关。当BMS的网卡开启影子流量后,镜像出来的流量通过其所对应的VXLANGW和TSGW之间建立VXLAN隧道,传递到TSGW。TSGW主要有两个作用,(1)判断内层镜像报文的方向(2)过滤流量,通过控制器下发的流量过滤规则表项把客户需要的流量过滤出来。例如,当客户定义某条流量源IP为Src_IP1,源端口范围是Src_Port1-Src_Port2,目的IP为Dst_IP1,目的端口号范围是Dst_Port1-Dst_Port2的TCP/UDP流量进行镜像的时候,控制器会下发过滤规则配置到TSGW上,如附图13所示。TSGW对VXLAN报文进行解封装,首先对内层镜像的报文进行源MAC地址分析,通过源MAC地址的前8个比特判断这个流量是虚拟机网卡的出方向还是入方向。当前8个比特是ee是为入方向,前8个比特是ff为出方向的镜像流量。然后,查询本地的流量过滤表项规则,看接受的报文哪些能通过过滤规则。通过过滤规则的流量的源MAC地址恢复为VXLANGW修改之前的值,然后被TSGW送到分析平台,进行流量分析和安全态势感知,整个处转发过程如附图3所示。
本发明申请人结合说明书附图对本发明的实施示例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施示例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。
方法实施例
本发明提供的一种裸金属服务器影子流量的传输方法,如图1所示,包括:
步骤S1,开启影子流量功能后,为VXLANGW和TSGW网关下影子流量的过滤规则相关配置;
步骤S2,当VXLANGW收到报文后,对报文进行检测,判断是否为VXlAN封装,如果是则进行下一步,反之则直接判断报文是否匹配影子流量的过滤规则,如果是则对该报文流量进行镜像,形成影子流量,同时修改该报文,并对该报文重新进行VXLAN封装转发到TSGW上;
步骤S3,如果步骤S2VXLANGW收到报文是VXlAN封装,则对报文进行解封装露出内层报文;并判断内层报文能否匹配影子流量的过滤规则,如果是则对该内层报文流量进行镜像,形成影子流量,同时修改内层报文,并对该报文重新进行VXLAN封装转发到TSGW;
步骤S4,TSGW收到VXLANGW转发过来的影子流量,对镜像的影子流量进行解封装露出内层报文;
步骤S5,TSGW的协议栈检测报文的源Mac地址,并通过地址确定流量方向,并将满足过滤规则流量进行处理转发到处理平台,不满足的丢弃。
进一步的,步骤S1中过滤规则包括这条流量的源目IP地址、四层协议号、源目端口范围。
进一步的,所述步骤S2中在匹配时则对该报文流量进行镜像,同时修改该报文,报文修改方式是把该报文的源MAC的前8个比特修改为0xee。
进一步的,所述步骤S2中如果非VXlAN封装的报文同时不能匹配影子流量的过滤规则,则不进行流量镜像,正常转发。
进一步的,所述步骤S3中修改内层报文的修改方式是该报文的源MAC的前8个比特修改为0xff。
进一步的,所述步骤S3中如果不能匹配影子流量的过滤规则就不镜像流量,正常转发。
进一步的,所述步骤S5的详细步骤如下:
步骤S5.1,TSGW收到镜像的影子流量,进行VXLAN解封装暴露出内层报文;
步骤S5.2,通过源Mac的前8个比特确定流量方向;
步骤S5.3,确定流量方向后,把报文通过流过滤规则进行流量过滤,把确定要镜像的流量过滤出来,其余流量丢弃;
步骤S5.4,把过滤后的流量进行源Mac地址还原,把前8个比特恢复为被镜像之前的值;
步骤S5.5,把处理后的流量转发到分析平台进行安全态势感知及流量分析。
进一步的,所述步骤S5中通过地址确定流量方向的方法如下:
判断流量的源MAC地址的前8个比特是否为ee,如果是则判定该流量为裸金属服务器的出方向流量;如果否继续判断,判断流量的源MAC地址的前8个比特是否为ff,如果是则判定该流量为裸金属服务器入方向的流量。
进一步的,所述步骤S5中通过地址确定流量方向中,如果源MAC地址的前8个比特不是ee也不是ff,则判定该流量不上裸金属服务器镜像出来的流量。
整个裸机影子流量架构梳理:
开启影子流量功能后,控制器会给VXLANGW和TSGW网关下过滤表项及其他相关配置。BMS和其他主机的交互流量到达VXLANGW,VXLANGW检测报文的封装是否为VXLAN封装,如果是则对报文进行解封装露出内层报文。判断内层报文能否匹配影子流量的过滤规则,如果是则对该内层报文流量进行镜像,同时修改内层报文源MAC的前8个比特值为ff,并对该报文重新进行VXLAN封装转发到TSGW。如果不能匹配影子流量的过滤规则就不镜像流量正常转发。如果收到的报文不是VXLAN封装,则继续判断报文是否配置影子流量的过滤规则。如果是则对该报文流量进行镜像,同时修改该报文源MAC的前8个比特位ee,并对该报文重新进行VXLAN封装转发到TSGW上。如果不能匹配影子流量的过滤规则,则不进行流量镜像,正常转发。VXLANGW的处理流程如图14所示。TSGW收到VXLANGW转发过来的影子流量,对镜像流量进行解封装露出内层报文。TSGW的协议栈检测报文的源MAC地址通过报文的源MAC地址的前8个比特确定流量方向。判断流量的源MAC地址的前8个比特是否为ee,如果是则判定该流量为裸金属服务器的出方向流量。如果否继续判断,判断流量的源MAC地址的前8个比特是否为ff,如果是则判定该流量为裸金属服务器入方向的流量。如果不为ff,则判定该流量不上裸金属服务器镜像出来的流量。这样就确定了镜像出来的影子流量的方向,整个判定过程如附图15所示。TSGW对镜像流量的处理过程是,被修改源MAC的镜像流量通过VXLAN隧道传输到TSGW,解封装后TSGW通过源判断报文的方向,利用过滤表项过滤出需要的流量,并把这些流量的源MAC地址恢复为正常值转发出去,其余流量全部丢弃。转发出的流量转发到分析平台,进行流量统计及安全态势感知。整个流量的处理过程,如附图16所示
最后应说明的是,以上实施例仅用以说明本发明实施例的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种裸金属服务器影子流量的传输方法,其特征在于,包括:
步骤S1,开启影子流量功能后,为VXLANGW和TSGW网关下影子流量的过滤规则相关配置;
步骤S2,当VXLANGW收到报文后,对报文进行检测,判断是否为VXlAN封装,如果是则进行下一步,反之则直接判断报文是否匹配影子流量的过滤规则,如果是则对该报文流量进行镜像,形成影子流量,同时修改该报文,并对该报文重新进行VXLAN封装转发到TSGW上;
步骤S3,如果步骤S2VXLANGW收到报文是VXlAN封装,则对报文进行解封装露出内层报文;并判断内层报文能否匹配影子流量的过滤规则,如果是则对该内层报文流量进行镜像,形成影子流量,同时修改内层报文,并对该报文重新进行VXLAN封装转发到TSGW;
步骤S4,TSGW收到VXLANGW转发过来的影子流量,对镜像的影子流量进行解封装露出内层报文;
步骤S5,TSGW的协议栈检测报文的源Mac地址,并通过地址确定流量方向,并将满足过滤规则流量进行处理转发到处理平台,不满足的丢弃。
2.根据权利要求1所述的一种裸金属服务器影子流量的传输方法,其特征在于,步骤S1中过滤规则包括这条流量的源目IP地址、四层协议号、源目端口范围。
3.根据权利要求2所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S2中在匹配时则对该报文流量进行镜像,同时修改该报文,报文修改方式是把该报文的源MAC的前8个比特修改为0xee。
4.根据权利要求3所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S2中如果非VXlAN封装的报文同时不能匹配影子流量的过滤规则,则不进行流量镜像,正常转发。
5.根据权利要求4所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S3中修改内层报文的修改方式是该报文的源MAC的前8个比特修改为0xff。
6.根据权利要求5所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S3中如果不能匹配影子流量的过滤规则就不镜像流量,正常转发。
7.根据权利要求6所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S5的详细步骤如下:
步骤S5.1,TSGW收到镜像的影子流量,进行VXLAN解封装暴露出内层报文;
步骤S5.2,通过源Mac的前8个比特确定流量方向;
步骤S5.3,确定流量方向后,把报文通过流过滤规则进行流量过滤,把确定要镜像的流量过滤出来,其余流量丢弃;
步骤S5.4,把过滤后的流量进行源Mac地址还原,把前8个比特恢复为被镜像之前的值;
步骤S5.5,把处理后的流量转发到分析平台进行安全态势感知及流量分析。
8.根据权利要求7所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S5中通过地址确定流量方向的方法如下:
判断流量的源MAC地址的前8个比特是否为ee,如果是则判定该流量为裸金属服务器的出方向流量;如果否继续判断,判断流量的源MAC地址的前8个比特是否为ff,如果是则判定该流量为裸金属服务器入方向的流量。
9.根据权利要求8所述的一种裸金属服务器影子流量的传输方法,其特征在于,所述步骤S5中通过地址确定流量方向中,如果源MAC地址的前8个比特不是ee也不是ff,则判定该流量不上裸金属服务器镜像出来的流量。
10.一种裸金属服务器影子流量的传输系统,其特征在于,用于实现权利要求1至9任一项所述的一种裸金属服务器影子流量的传输方法,所述系统包括用于对自定义的业务流量进行过滤、方向标记和镜像的VXLANGW和用于把VXLANGW镜像出来的流量识别和过滤后转发到指定的分析平台的TSGW。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311634938.4A CN117596220A (zh) | 2023-12-01 | 2023-12-01 | 一种裸金属服务器影子流量的传输方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311634938.4A CN117596220A (zh) | 2023-12-01 | 2023-12-01 | 一种裸金属服务器影子流量的传输方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117596220A true CN117596220A (zh) | 2024-02-23 |
Family
ID=89909695
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311634938.4A Pending CN117596220A (zh) | 2023-12-01 | 2023-12-01 | 一种裸金属服务器影子流量的传输方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117596220A (zh) |
-
2023
- 2023-12-01 CN CN202311634938.4A patent/CN117596220A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11032190B2 (en) | Methods and systems for network security universal control point | |
US10595215B2 (en) | Reducing redundant operations performed by members of a cooperative security fabric | |
EP1438670B1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device | |
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
US9667442B2 (en) | Tag-based interface between a switching device and servers for use in frame processing and forwarding | |
US8488466B2 (en) | Systems, methods, and apparatus for detecting a pattern within a data packet and detecting data packets related to a data packet including a detected pattern | |
US7898966B1 (en) | Discard interface for diffusing network attacks | |
US9398043B1 (en) | Applying fine-grain policy action to encapsulated network attacks | |
AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
CN113839824A (zh) | 流量审计方法、装置、电子设备及存储介质 | |
CN111245858A (zh) | 网络流量拦截方法、系统、装置、计算机设备和存储介质 | |
KR100765340B1 (ko) | 가상의 인라인 네트워크 보안방법 | |
CN117596220A (zh) | 一种裸金属服务器影子流量的传输方法及系统 | |
JP2003264595A (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
WO2019123523A1 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
JP2004096246A (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
CN117336269A (zh) | 资源访问方法、装置、电子设备及存储介质 | |
CN118265035A (zh) | Cpe下挂终端设备的安全接入方法、系统、设备及介质 | |
KR20030018018A (ko) | 패킷 컨트롤 시스템과 방법 | |
CN117527542A (zh) | 随流检测方法、装置及系统 | |
CN117176463A (zh) | 一种流量控制方法、平台、电子设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |