CN117714140A - 安全防护方法及云平台 - Google Patents

Abstract

本发明提供一种安全防护方法及云平台，该方法应用于云平台，云平台包括：脊交换机、第一叶交换机和第二叶交换机；第一叶交换机与多个虚拟交换机相连接，虚拟交换机与多个租户虚拟机相连接，第二叶交换机与多个硬件防火墙相连接；该方法包括：当虚拟交换机接收到网络流量时，确定目标第二叶交换机，经由该虚拟交换机连接的第一叶交换机、脊交换机和目标第二叶交换机，将网络流量发送到硬件防火墙上，通过硬件防火墙对网络流量进行安全检测，若该流量为异常流量，则进行流量拦截。应用本发明的方法，可将流量引到硬件防火墙上进行安全检测，各租户可共用硬件防火墙实现安全防护，无需自行部署虚拟防火墙，可降低安全防护成本，提高资源利用率。

Description

安全防护方法及云平台

技术领域

本发明涉及云计算技术领域，特别是涉及一种安全防护方法及云平台。

背景技术

随着云计算技术的发展，云平台已广泛应用于各类服务场景。在云平台的服务过程中，通常需对云上的网络流量进行安全检测，以对云上各租户进行安全防护。

目前，云平台中的安全防护过程主要基于虚拟防火墙实现。通常是在每个租户的虚拟私有云(Virtual Private Cloud，VPC)中部署防火墙，即采用虚拟机承载防火墙的部署形态，通过子网路由将需要进行安全检测的网络流量引到部署防火墙的虚拟机上，以此实现安全防护。

在现有的安全防护方式中，每个虚拟防火墙仅对其关联的租户进行安全防护，也就是每个租户都需要部署对应的虚拟防火墙，安全防护的成本较高。其次，在实际的业务场景中，各租户的流量负载通常是不均衡的，相对应的会导致各虚拟防火墙的资源利用率差异较大，容易造成资源浪费。

发明内容

有鉴于此，本发明实施例提供了一种安全防护方法和云平台，以解决现有的安全防护方式中，每个租户均需部署虚拟防火墙，成本较高，且容易造成资源浪费的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种安全防护方法，所述方法应用于云平台，所述云平台包括：脊交换机、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机，所述第二交换机集群包括至少一个第二叶交换机；所述第一叶交换机与多个虚拟交换机相连接，每个所述虚拟交换机与多个租户虚拟机相连接，所述第二叶交换机与多个硬件防火墙相连接；所述方法包括：

第一虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；所述第一虚拟交换机为所述第一交换机集群中的第一叶交换机连接的虚拟交换机；

所述第一虚拟交换机基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过所述第一虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；

所述目标第二叶交换机在其连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

所述目标硬件防火墙基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。

上述的方法，可选的，所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接，该目标接口为配置为端口汇聚接口的二层聚合接口；

所述第二叶交换机连接的硬件防火墙中配置有多个三层子接口和多个虚拟路由转发实例，所述多个三层子接口和所述多个虚拟路由转发实例一一对应绑定。

上述的方法，可选的，所述将所述第二流量报文发送至所述目标硬件防火墙，包括：

依据预先配置的策略路由，在所述目标硬件防火墙的各个三层子接口中，确定所述第二流量报文对应的目标三层子接口，通过所述目标三层子接口，将所述第二流量报文发送至所述目标三层子接口绑定的虚拟路由转发实例中，以将所述第二流量报文发送至所述目标硬件防火墙。

上述的方法，可选的，所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行会话同步。

上述的方法，可选的，还包括：

若所述安全检测结果表征所述网络流量为正常流量，所述目标硬件防火墙则将所述第二流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机确定所述第二流量报文对应的目标地址，基于所述目标地址对所述第二流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第三流量报文，通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址。

上述的方法，可选的，若所述网络流量为东西向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

所述脊交换机在所述第一交换机集群中，确定所述目标地址对应的目标第一叶交换机，并将所述第三流量报文发送至所述目标第一叶交换机；

所述目标第一叶交换机在其连接的各个虚拟交换机中，确定所述目标地址对应的第二虚拟交换机，并将所述第三流量报文发送至所述第二虚拟交换机；

所述第二虚拟交换机对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第四流量报文；

所述第二虚拟交换机在其连接的各个租户虚拟机中，确定所述目标地址对应的目标租户虚拟机，并将所述第四流量报文发送至所述目标租户虚拟机。

上述的方法，可选的，所述第一交换机集群还包括第三叶交换机，所述第三叶交换机分别与互联网网关、服务网关相连接；若所述网络流量为南北向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

所述脊交换机将所述第三流量报文发送至所述第三叶交换机；

所述第三叶交换机将所述第三流量报文发送至所述互联网网关；

所述互联网网关对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第五流量报文；

所述互联网网关对所述目标地址进行网络地址转换处理，获得所述目标地址对应的公网地址，并基于所述公网地址对所述第五流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第六流量报文；

所述互联网网关通过所述第三叶交换机将所述第六流量报文发送至所述服务网关；

所述服务网关对所述第六流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第七流量报文，将所述第七流量报文发送至公网。

上述的方法，可选的，还包括：

采集所述第一交换机集群对应的网络性能统计信息和所述第二交换机集群对应的网络性能统计信息；

采集所述第一交换机集群中的第一叶交换机连接的每个虚拟交换机所对应的网络性能统计信息；

采集所述第二交换机集群中的第二叶交换机连接的每个硬件防火墙所对应的网络性能统计信息；

将所述第一交换机集群对应的网络性能统计信息、所述第二交换机集群对应的网络性能统计信息、每个所述虚拟交换机对应的网络性能统计信息和每个所述硬件防火墙对应的网络性能统计信息，发送给预设的运维系统，以便于所述运维系统进行数据展示。

上述的方法，可选的，还包括：

监测每个所述硬件防火墙是否处于故障状态；

当监测到每个所述硬件防火墙均处于故障状态时，对于所述第一叶交换机连接的每个虚拟交换机，对该虚拟交换机进行流量转发机制变更处理，使该虚拟交换机按照流量报文的原路径进行流量转发。

一种云平台，包括：

脊交换机、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机，所述第二交换机集群包括至少一个第二叶交换机；所述第一叶交换机与多个虚拟交换机相连接，每个所述虚拟交换机与多个租户虚拟机相连接，所述第二叶交换机与多个硬件防火墙相连接；

所述虚拟交换机，用于在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过该虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机，用于对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；在所述目标第二叶交换机连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

所述目标硬件防火墙，用于基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。

基于上述本发明实施例提供的一种安全防护方法，该方法应用于云平台，该云平台包括脊交换机、第一交换机集群和第二交换机集群；第一交换机集群包括至少一个第一叶交换机，第二交换机集群包括至少一个第二叶交换机；第一叶交换机与多个虚拟交换机相连接，每个虚拟交换机与多个租户虚拟机相连接，第二叶交换机与多个硬件防火墙相连接；该方法包括：第一虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时，在第二交换机集群中，确定网络流量对应的目标第二叶交换机，并基于目标第二叶交换机的地址，对网络流量进行虚拟扩展局域网报文封装处理，得到网络流量对应的第一流量报文，通过第一虚拟交换机连接的第一叶交换机和脊交换机，将第一流量报文发送至目标第二叶交换机；目标第二叶交换机对第一流量报文进行虚拟扩展局域网报文解封装处理，得到网络流量对应的第二流量报文，并在其连接的各个硬件防火墙中，确定目标硬件防火墙，将第二流量报文发送至目标硬件防火墙；目标硬件防火墙基于第二流量报文，对网络流量进行安全检测，得到安全检测结果，若安全检测结果表征网络流量为异常流量，则对网络流量进行拦截，以对云平台进行安全防护。应用本发明实施例提供的方法，在云平台中接入了多个硬件防火墙，当虚拟交换机接收到租户虚拟机需要传输的网络流量时，可将网络流量引到硬件防火墙上进行安全检测，云平台的各租户可共用云平台中的硬件防火墙进行安全防护，无需各租户均自行部署虚拟防火墙，有利于降低安全防护成本，提高资源利用率。另外，在实际业务场景中一些租户存在应用硬件防火墙的安全防护需求，基于本发明实施例提供的方法，可满足租户应用硬件防火墙的安全防护需求，提升用户体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种云平台的架构示意图；

图2为本发明实施例提供的一种安全防护方法的方法流程图；

图3为本发明实施例提供的一种虚拟网络的架构示例图；

图4为本发明实施例提供的一种安全防护过程中网络流量流转路径的示意图；

图5为本发明实施例提供的一种安全防护过程中网络流量流转路径的又一示意图；

图6为本发明实施例提供的一种监控系统的架构示例图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明实施例提供了一种安全防护方法，所述方法应用于云平台，所述云平台的架构示例图可如图1所示。

所述云平台包括：脊交换机101、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机102，所述第二交换机集群包括至少一个第二叶交换机103；所述第一叶交换机102与多个虚拟交换机104相连接，每个所述虚拟交换机104与多个租户虚拟机105相连接，所述第二叶交换机103与多个硬件防火墙106相连接；

本发明实施例提供的方法可应用于基于叶脊(Spine-Leaf)网络架构的云平台，叶脊网络架构由脊交换机(Spine交换机)和多个叶交换机(Leaf交换机)构成。本发明实施例中的云平台中的第一叶交换机和第二叶交换机即为叶脊网络中的叶交换机。第一叶交换机是用于连接虚拟交换机(OpenVswitch，OVS)的叶交换机，每个第一叶交换机与多个虚拟交换机相连接，每个虚拟交换机与各个租户虚拟机相连接，租户虚拟机即为租户关联的虚拟机(Virtual Machine，VM)。第二叶交换机是用于连接硬件防火墙集群的叶交换机，每个第二叶交换机与一个硬件防火墙集群相连接，硬件防火墙集群中包含多个硬件防火墙。例如图1所示，第一叶交换机与虚拟交换机1、虚拟交换机2等虚拟交换机相连接，虚拟交换机1分别与租户虚拟机1、租户虚拟机2等租户虚拟机相连接，虚拟交换机2分别与租户虚拟机3、租户虚拟机4等租户虚拟机相连接，第二叶交换机分别与硬件防火墙1、硬件防火墙2等硬件防火墙相连接。

需要说明的是，图1所示架构仅是为了更好地说明本发明的方法所提供的简要示意图，未示出所有平台组成对象，亦不是对实际应用场景中的平台架构进行限制，在实际应用场景中，各类叶交换机的数量、第一叶交换机连接的虚拟交换机的数量、虚拟交换机连接的租户虚拟机的数量以及第二叶交换机连接的硬件防火墙的数量等，均可根据实际情况部署，不影响本发明实施例提供的方法实现功能。

本发明实施例提供的方法的方法流程图可如图2所示，所述方法包括：

S201：第一虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；所述第一虚拟交换机为所述第一交换机集群中的第一叶交换机连接的虚拟交换机；

本发明实施例提供的方法中，当租户虚拟机需要向指定的流量接收方发送网络流量时，其发送的网络流量会先发送到其连接的虚拟交换机中，虚拟交换机需将该网络流量引流到硬件防火墙进行安全检测。当云平台中的虚拟交换机接收到租户虚拟机发送的网络流量时，该虚拟交换机即为所谓第一虚拟能寄。第一虚拟交换机可基于预先配置的流表，在第二叶交换机集群中，找到与当前的网络流量相匹配的第二叶交换机，将该第二叶交换机作为目标第二叶交换机。

S202：所述第一虚拟交换机基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过所述第一虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

本发明实施例提供的方法中，在安全防护过程中，采用虚拟扩展局域网(VirtualeXtensible Local AreaNetwork，VXLAN)技术，对流量进行转发，VXLAN也称可扩展虚拟局域网络。

第一虚拟交换机将目标第二叶交换机的地址作为报文转发的目标地址，对网络流量进行虚拟扩展局域网报文封装处理，将封装得到的VXLAN报文作为第一流量报文。经由第一虚拟交换机连接的第一叶交换机和脊交换机，将第一流量报文发送至目标第二叶交换机，具体的，第一虚拟交换机将第一流量报文发送至其连接的第一叶交换机，该第一叶交换机将第一流量报文发送至脊交换机，脊交换机则会将第一流量报文发送至目标第二叶交换机。

S203：所述目标第二叶交换机对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；

本发明实施例提供的方法中，目标第二叶交换机在接收到脊交换机发送的第一流量报文时，则对其进行VXLAN报文解封装，将解封装后得到的报文作为第二流量报文。

S204：所述目标第二叶交换机在其连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

本发明实施例提供的方法中，目标第二叶交换机可基于预先配置的策略路由，在其连接的各个硬件防火墙中，找到与当前的网络流量相匹配的硬件防火墙，将该硬件防火墙作为目标硬件防火墙，并将第二流量报文发送至目标硬件防火墙中，以使目标硬件防火墙对当前的网络流量进行安全检测。

S205：所述目标硬件防火墙基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。

本发明实施例提供的方法中，目标硬件防火墙在接收到第二流量报文后，则基于第二流量报文进行安全检测，即为对网络流量进行安全检测，得到该网络流量的安全检测结果，若安全检测结果表征当前的网络流量为异常流量，则对该网络流量进行拦截，不再进行流量转发，结束当前网络流量的处理过程。

基于本发明实施例提供的方法，虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时，在第二交换机集群中确定目标第二叶交换机，并基于目标第二叶交换机的地址，对网络流量进行虚拟扩展局域网报文封装处理，得到第一流量报文，通过该虚拟交换机连接的第一叶交换机和脊交换机，将第一流量报文发送至目标第二叶交换机；目标第二叶交换机对第一流量报文进行虚拟扩展局域网报文解封装处理，得到第二流量报文，在目标第二叶交换机连接的各个硬件防火墙中，确定目标硬件防火墙，将第二流量报文发送至目标硬件防火墙；目标硬件防火墙基于第二流量报文，对网络流量进行安全检测，若安全检测结果表征网络流量为异常流量，则对网络流量进行拦截，以对云平台进行安全防护。应用本发明实施例提供的方法，在云平台中接入了多个硬件防火墙，当虚拟交换机接收到租户虚拟机需要传输的网络流量时，可将网络流量引到硬件防火墙上进行安全检测，云平台的各租户可共用云平台中的硬件防火墙进行安全防护，无需各租户均自行部署虚拟防火墙，有利于降低安全防护成本，提高资源利用率。另外，在实际业务场景中一些租户存在应用硬件防火墙的安全防护需求，基于本发明实施例提供的方法，可满足租户应用硬件防火墙的安全防护需求，提升用户体验。

本发明实施例提供的方法可以基于云平台的虚拟网络实现，该虚拟网络可基于软件定义网络(Software DefinedNetwork，SDN)进行部署和控制。该虚拟网络的架构可如图3所示，虚拟网络共分为三层。

第一层为TC区，负责接入外部网络包括外网流量、网络附加存储(NetworkAttached Storage，NAS)流量、专线POP点、云间高速设备、虚拟专用网络(Virtual PrivateNetwork，VPN)设备等，这些设备均为多活接入。专线POP点通过专线网关(Direct ConnectGateway，DCGW)接入，云间高速设备通过云网关(Cloud Gateway，CGW)接入，VPN设备通过VPN网关(Virtual Private Network Gateway，VPNGW)接入。此区域部署的网元有接入网关(Access Gateway，AGW)与服务网关(Serving Gateway，SGW)，AGW负责发布公网无类别域间路由(Classless Inter-Domain Routing、CIDR)，SGW负责限速。AGW和SGW与BLeaf交换机节点交互。

第二层为网元服务区，此区域内部署的服务区为租户提供3层到7层的网络服务，包括专线、互联网网关(Internet Gateway，IGW)、网络地址转换网关(Network AddressTranslation Gateway，NATGW)、负载均衡服务(Load Balance，LB)、INAT网关、PDN网关(PDNGateway，PGW)、PSGW网关、虚拟私有云对等连接(VPC Peer，VPCP)、NAS、对象存储公共服务、虚拟网关VGW、VPN接入等。

第三层为资源接入层，负责为VM、容器与裸机提供虚拟网络的接入服务，网元类型为分布式虚拟路由(Distributed Virtual Router，DVR)与智能网卡SmartNIC。

在结合图1和图2所提供的方法的基础上，本发明实施例提供的方法中，所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接，该目标接口为配置为端口汇聚接口的二层聚合接口；

所述第二叶交换机连接的硬件防火墙中配置有多个三层子接口和多个虚拟路由转发实例，所述多个三层子接口和所述多个虚拟路由转发实例一一对应绑定。

本发明实施例提供的方法中，平台中的每个硬件防火墙均通过二层聚合接口接入其连接的第二叶交换机，该接口配置为端口汇聚接口，即配置为Trunk端口，可以通过所有虚拟局域网(Virtual Local AreaNetwork，VLAN)。而平台中的每个硬件防火墙中均配置有多个三层子接口和多个虚拟路由转发实例(Virtual Routing Forwarding，VRF)，硬件防火墙上的各个三层子接口和各个VRF一一对应绑定，即每个三层子接口绑定一个单独的VRF。

在上述实施例提供的方法的基础上，本发明实施例提供的方法中，步骤S204中提及的将所述第二流量报文发送至所述目标硬件防火墙的过程，包括：

依据预先配置的策略路由，在所述目标硬件防火墙的各个三层子接口中，确定所述第二流量报文对应的目标三层子接口，通过所述目标三层子接口，将所述第二流量报文发送至所述目标三层子接口绑定的虚拟路由转发实例中，以将所述第二流量报文发送至所述目标硬件防火墙。

本发明实施例提供的方法中，目标第二叶交换机可基于预先配置的策略路由，在目标硬件防火墙的各个三层子接口中，找到与当前的网络流量相匹配的三层子接口，将该三层子接口作为目标三层子接口。将第二流量报文发送至目标三层子接口，使第二流量报文通过该目标三层子接口进入该目标三层子接口绑定的VRF中，以使第二流量报文到达目标硬件防火墙，目标硬件防火墙可以在该VRF上对当前的网络流量进行安全检测。

基于本发明实施例提供的方法，硬件防火墙可基于VRF对网络流量进行安全检测，可以在硬件防火墙对各租户的流量进行隔离。

在结合图1和图2所提供的方法的基础上，本发明实施例提供的方法中，所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行会话同步。

本发明实施例提供的方法中，平台中每个第二叶交换机连接的各个硬件防火墙之间基于远程备份管理(Remote Backup Management，RBM)协议进行会话信息的同步，即每个第二叶交换机连接的是一个基于RBM协议的硬件防火墙集群，集群中的各个硬件防火墙之间可以互为备份。

基于本发明实施例提供的方法，第二叶交换机连接的各个硬件防火墙之间的会话信息同步，可以提高安全检测服务的可靠性，实现负载高可靠。

在结合图1和图2所提供的方法的基础上，本发明实施例提供的方法中，还包括：

若所述安全检测结果表征所述网络流量为正常流量，所述目标硬件防火墙则将所述第二流量报文发送至所述目标第二叶交换机；

本发明实施例提供的方法中，若目标硬件防火墙对于当前网络流量的安全检测结果表征其为正常流量，目标硬件防火墙则将第二流量报文返回目标第二叶交换机。

所述目标第二叶交换机确定所述第二流量报文对应的目标地址，基于所述目标地址对所述第二流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第三流量报文，通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址。

本发明实施例提供的方法中，目标第二叶交换机通过对第二流量报文进行解析，获取其对应的目标地址，即当前网络流量的目的地的地址。目标第二叶交换机可基于目标地址确定其转发路径，据此对第二流量报文进行虚拟扩展局域网报文封装，将封装得到的VXLAN报文作为第三流量报文。然后经由脊交换机和第一交换机集群中的叶交换机对第三流量报文进行流量转发，亦为对当前的网络流量进行流量转发，以使网络流量到达目标地址，也就是将该网络流量转发至其本身要到达的目的地，完成网络流量的传输。

在上述实施例提供的方法的基础上，本发明实施例提供的方法中，若所述网络流量为东西向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

本发明实施例提供的方法中，如果当前的网络流量是东西向流量，东西向流量即云平台内部租户虚拟机之间的流量。目标第二叶交换机在获得第三流量报文后，则将第三流量报文发送至脊交换机，使脊交换机对当前网络流量进行转发。

所述脊交换机在所述第一交换机集群中，确定所述目标地址对应的目标第一叶交换机，并将所述第三流量报文发送至所述目标第一叶交换机；

本发明实施例提供的方法中，脊交换机可根据路由信息，在第一交换机集群中找到与目标地址相关联的第一叶交换机，将其作为目标第一叶交换机，将第三流量报文发送到目标第一叶交换机上，以使目标第一叶交换机对当前网络流量作进一步转发。

所述目标第一叶交换机在其连接的各个虚拟交换机中，确定所述目标地址对应的第二虚拟交换机，并将所述第三流量报文发送至所述第二虚拟交换机；

本发明实施例提供的方法中，目标第一叶交换机在接收到第三流量报文后，可根据路由信息，在与其相连的各个虚拟交换机中，找到与目标地址相关联的虚拟交换机，将该虚拟交换机作为第二虚拟交换机。将第三流量报文发送到该虚拟交换机上，以使该虚拟交换机对当前网络流量作进一步转发。

所述第二虚拟交换机对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第四流量报文；

所述第二虚拟交换机在其连接的各个租户虚拟机中，确定所述目标地址对应的目标租户虚拟机，并将所述第四流量报文发送至所述目标租户虚拟机。

本发明实施例提供的方法中，第二虚拟交换机在接收到第三流量报文后，则对第三流量报文进行VXLAN报文解封装处理，将解封装后得到的报文作为第四流量报文。根据路由信息在第二虚拟交换机连接的各个租户虚拟机中，找到与目标地址相关联的租户虚拟机，将该租户虚拟机作为目标租户虚拟机，将第四流量报文发送至该租户虚拟机上，以使当前的网络流量到达目标租户虚拟机。当前的网络流量也就是发送该网络流量的租户虚拟机想要发送到目标租户虚拟机上的流量。

为了更好地说明本发明实施例提供的方法，在上述实施例提供的方法的基础上，结合实际的应用场景，对本发明实施例提供的方法中，网络流量的流转过程作举例说明。

例如图4所示，叶交换机1(即一个第一叶交换机)连接了虚拟交换机1(OVS1)和虚拟交换机2(OVS2)，虚拟交换机1连接的租户虚拟机1发出了需要访问租户虚拟机4的网络流量，该网络流量需经过硬件防火墙进行安全防护处理。SDN控制器预先会对OVS1下发引流的流表，让OVS1连接的各个租户虚拟机发出来的流量报文先经过计算节点上的OVS1进行相应操作。OVS1基于配置，当其接收到租户虚拟机1发出来的流量后，则对其进行VXLAN封装，VXLAN报文头的目的地址为叶交换机2(即一个第二叶交换机)，vxlanID为100，报文经过物理网络设备叶交换机1和脊交换机到达叶交换机2，在叶交换机2上做VXLAN解封装。SDN控制器会预先对叶交换机2下发策略路由配置，策略路由将经过VXLAN解封装后的报文出接口和硬件防火墙的接口聚合。叶交换机2在对当前流量进行处理时，可基于策略路由，使流量报文进入vlanID为100的VLAN转发。然后流量通过硬件防火墙的三层子接口进入到一个VRF内，在对应的VRF内预先配置有默认路由，出接口为流量进入的三层子接口。在硬件防火墙上的VRF做流量的安全规则防护，当硬件防火墙做完安全规则的防护后，若当前流量允许被流转，这样流量就返回到叶交换机2上，流量的vlan头为100。叶交换机2对流量进行VLAN到VXLAN的映射，把vlan100的流量映射到vxlan101内，vxlan101的目的地址为OVS2，流量经过转发到达OVS2后，OVS2对其进行vxlan解封装，然后控制流量进入目的地址租户虚拟机4，完成流量转发。全程涉及到的交换机和硬件防火墙的配置，可由SDN控制器通过netconf通道统一下发。由SDN控制器统一分配vlan和vxlanID，且统一管理vxlanID和vlan的转换对应关系，保证一个vxlanID对应一个vlan头，实现VPC流量的隔离。

在上述实施例提供的方法的基础上，本发明实施例提供的方法中，所述第一交换机集群还包括第三叶交换机，所述第三叶交换机分别与互联网网关、服务网关相连接；若所述网络流量为南北向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

所述脊交换机将所述第三流量报文发送至所述第三叶交换机；

本发明实施例提供的方法中，第一交换机集群中还部署有第三叶交换机，第三叶交换机是用于连接各类网关的叶交换机。第三叶交换机分别与互联网网关IGW和服务网关SGW相连接。

本发明实施例提供的方法中，若当前的网络流量为南北向流量，南北向流量即云平台与外部网络之间的流量。目标第二叶交换机在获得第三流量报文后，将第三流量报文发送至脊交换机，使脊交换机将第三流量报文转发至第三叶交换机。

所述第三叶交换机将所述第三流量报文发送至所述互联网网关；

本发明实施例提供的方法中，第三叶交换机在接收到第三流量报文后，将其转发至IGW。

所述互联网网关对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第五流量报文；

所述互联网网关对所述目标地址进行网络地址转换处理，获得所述目标地址对应的公网地址，并基于所述公网地址对所述第五流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第六流量报文；

所述互联网网关通过所述第三叶交换机将所述第六流量报文发送至所述服务网关；

本发明实施例提供的方法中，在IGW上对第三流量报文进行VXLAN报文解封装处理，将解封装得到的报文作为第五流量报文，IGW对目标地址进行NAT映射后，得到其对应的公网地址，基于公网地址对第五流量报文进行VXLAN报文封装，将封装得到的VXLAN报文作为第六流量报文，经由第三叶交换机，将第六流量报文发送至SGW。

所述服务网关对所述第六流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第七流量报文，将所述第七流量报文发送至公网。

本发明实施例提供的方法中，SGW对第六流量报文进行VXLAN报文解封装处理，将解封装后得到的报文作为第七流量报文，进行流量限速后将第七流量报文发到公网。

为了更好地说明本发明实施例提供的方法，在上述实施例提供的方法的基础上，结合实际的应用场景，对本发明实施例提供的方法中，网络流量的流转过程作距离说明。

例如图5所示，平台中部署有叶交换机3(即第三叶交换机)，其连接互联网网关IGW、服务网关SGW和接入网关AGW。图5中其他对象与图4中所示的相应对象相同，可参见前文说明，在此不再赘述。

本发明实施例中，虚拟交换机1发出了需要访问公网的网络流量，该网络流量经由叶交换机1、脊交换机、叶交换机2流转至硬件防火墙进行安全检测，这部分流转过程与图4所示的流转过程中流量流转至硬件防火墙进行安全检测的过程相类似，可参见前文实施例中的说明，在此不再赘述。本发明实施例中，流量从硬件防火墙出来到达叶交换机2后，做VXLAN报文封装的目的地址为IGW的地址，然后则经由脊交换机将流量发送到叶交换机3，叶交换机3则将流量发送至IGW，流量在IGW上进行VXLAN报文解封装，然后进行公网地址的NAT映射后，加VXLAN封装，将封装后的报文经由叶交换机3发送到SGW，在SGW上进行VXLAN解封装后做流量限速，然后直接出公网。

为了更好地说明本发明实施例提供的方法，在上述各个实施例提供的方法的基础上，对本发明实施例提供的安全防护方法作进一步简要说明。本发明实施例提供的安全防护过程，主要包括：

将硬件防火墙集群下挂在一个叶交换机上，集群中的各个硬件防火墙使用RBM协议来同步防火墙的会话信息。硬件防火墙使用二层聚合接口接入叶交换机，该接口配置成Trunk端口，可以通过所有VLAN。SDN控制器对硬件防火墙的上联叶交换机和硬件防火墙本身进行连接配置下发。每一个VPC在硬件防火墙和上联的叶交换机对应一个VLAN，这样可以实现VPC之间的流量隔离。在叶交换机上对OVS过来的VXLAN报文解封装后，再通过策略路由控制流量进入对应的硬件防火墙三层子接口中。硬件防火墙上的每个三层子接口都绑定一个单独的VRF，这样在硬件防火墙上实现租户流量的隔离。硬件防火墙上的出流量区分东西向流量和南北向流量，东西向流量可通过策略路由控制流量进入对应的VXLAN中转发到对应的目的OVS上，南北向流量可通过策略路由控制流量进行VXLAN封装到达IGW进行转发。硬件防火墙和其上行的叶交换机的配置由SDN控制器通过netconf通道进行配置下发。

基于本发明实施例提供的方法，可以通过部署硬件防火墙，通过在OVS上的配置，将需要进行安全防护处理的流量引流到硬件防火墙上，同时可以通过硬件防火墙的会话同步技术达到负载高可靠，既可提高整个云内的硬件防火墙流量吞吐，又充分利用资源，可以使多个租户共用硬件防火墙，且硬件防火墙可以由实际业务场景中已有设施实现，可以利用旧资源。

在结合图1和图2所提供的方法的基础上，本发明实施例提供的方法中，还包括：

采集所述第一交换机集群对应的网络性能统计信息和所述第二交换机集群对应的网络性能统计信息；

本发明实施例提供的方法中，可部署监控系统，对平台中的各类叶交换机、硬件防火墙和虚拟交换机等节点进行信息采集，获取各节点的网络性能统计信息。具体的，可以在各个节点部署信息采集模块，采集节点上的各类网络性能统计数据，包括网卡，VPC，CPU，子网(Subnet)，连接数等级别的报文的比特率bps，每秒数据包数pps，延时与丢包统计以及丢弃的报文内容等。

本发明实施例提供的方法中，采集第一交换机集群对应的网络性能统计信息和第二交换机集群对应的网络性能统计信息。具体的，在每个第一叶交换机和第二叶交换机中分别部署信息采集模块，对每个第一叶交换机和每个第二叶交换机进行网络性能统计数据的采集，各个第一叶交换机的网络性能统计数据则作为第一交换机集群对应的网络性能统计信息，各个第二叶交换机的网络性能统计数据则作为第二交换机集群对应的网络性能统计信息。

采集所述第一交换机集群中的第一叶交换机连接的每个虚拟交换机所对应的网络性能统计信息；

本发明实施例提供的方法中，在平台中的每个虚拟交换机信息采集模块，对每个虚拟交换机进行网络性能统计数据的采集，得到每个虚拟交换机对应的网络性能统计信息。

采集所述第二交换机集群中的第二叶交换机连接的每个硬件防火墙所对应的网络性能统计信息；

本发明实施例提供的方法中，在平台中的每个硬件防火墙上部署信息采集模块，对每个硬件防火墙进行网络性能统计数据的采集，得到每个硬件防火墙对应的网络性能统计信息。

将所述第一交换机集群对应的网络性能统计信息、所述第二交换机集群对应的网络性能统计信息、每个所述虚拟交换机对应的网络性能统计信息和每个所述硬件防火墙对应的网络性能统计信息，发送给预设的运维系统，以便于所述运维系统进行数据展示。

本发明实施例提供的方法中，可对各个节点的网络性能统计信息进行汇总，发送至预设的运维系统，可在运维系统上对各类网络性能统计信息进行数据展示。

在上述实施例提供的方法的基础上，本发明实施例提供的方法中，还包括：

监测每个所述硬件防火墙是否处于故障状态；

当监测到每个所述硬件防火墙均处于故障状态时，对于所述第一叶交换机连接的每个虚拟交换机，对该虚拟交换机进行流量转发机制变更处理，使该虚拟交换机按照流量报文的原路径进行流量转发。

本发明实施例提供的方法中，还可以通过监控系统监测每个硬件防火墙的运行状态，以监测每个硬件防火墙是否处于故障状态。当监测到所有硬件防火墙均处于故障状态时，则对平台中的每个虚拟交换机的流量转发机制进行变更，即在硬件防火墙正常运行时，虚拟交换机的流量转发机制为将流量引到硬件防火墙进行安全检测，当所有硬件防火墙均故障时，将流量转发机制变更为按照流量的原路径进行流量转发，直接将流量转发至其目的地。

基于本发明实施例提供的方法，可以在硬件防火墙均出现故障的情况下，跳过硬件防火墙的处理，有利于保障业务正常运行。

为了更好地说明本发明实施例提供的方法，在上述实施例提供的方法的基础上，结合实际的应用场景，对实现网络性能统计信息采集和硬件防火墙状态监控的监控系统进行举例说明。本发明实施例中提及的监控系统的架构可如图6所示。需要说明的是，图6所示架构仅是为了更好地说明本发明的方法所提供的简化示意图，未示出实际应用场景中的所有信息采集对象，也并非对实际应用场景中的架构部署进行限制。

监控系统负责采集所有计算节点、叶交换机、硬件防火墙以及虚拟交换机的网络性能统计数据，将采集的数据上报给运维或是产品监控系统。在各计算节点、叶交换机、硬件防火墙和虚拟交换机、xGW网关、负载均衡服务LB等节点部署sys-agent模块，用以从虚拟交换机，dpos与物理设备交换机等获取相关的统计数据，采集的统计数据包括网卡，VPC，CPU，Subnet，连接数等级别的报文的bps，pps，延时与丢包统计以及丢弃的报文内容等。各节点的数据可发送给搜索引擎ES，同时，网络实时监控工具软件netprobe与数据中心DTC的统计信息也会写入ES，虚拟网络控制器vnet-controller负责从ES读取所有的统计数据，通过Kafka将数据交给运维系统展示。

通过监控系统监测硬件防火墙集群的运行状态，当SDN控制器发现硬件防火墙集群全部出现故障的时候，直接更改流量的VXLAN的目的IP地址，不再将流量发送到与硬件防火墙相连接的叶交换机上，而是直接发送到目的OVS或者IGW上，等于对硬件防火墙进行bypass处理，当监控系统监测到硬件防火墙集群正常的时候，再按照之前的流程进行流量的转发处理。

与结合图1和图2所提供的安全防护方法相对应的，本发明实施例还提供了一种云平台，用于对上述方法的具体实现，该云平台的架构示例图可如图1所示，该云平台包括：

脊交换机101、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机102，所述第二交换机集群包括至少一个第二叶交换机103；所述第一叶交换机102与多个虚拟交换机104相连接，每个所述虚拟交换机104与多个租户虚拟机105相连接，所述第二叶交换机103与多个硬件防火墙106相连接；

所述虚拟交换机，用于在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过该虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机，用于对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；在所述目标第二叶交换机连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

所述目标硬件防火墙，用于基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。

应用本发明实施例提供的云平台，在云平台中接入了多个硬件防火墙，当虚拟交换机接收到租户虚拟机需要传输的网络流量时，可将网络流量引到硬件防火墙上进行安全检测，云平台的各租户可共用云平台中的硬件防火墙进行安全防护，无需各租户均自行部署虚拟防火墙，有利于降低安全防护成本，提高资源利用率。另外，在实际业务场景中一些租户存在应用硬件防火墙的安全防护需求，基于本发明实施例提供的云平台，可满足租户应用硬件防火墙的安全防护需求，提升用户体验。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种安全防护方法，其特征在于，所述方法应用于云平台，所述云平台包括：脊交换机、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机，所述第二交换机集群包括至少一个第二叶交换机；所述第一叶交换机与多个虚拟交换机相连接，每个所述虚拟交换机与多个租户虚拟机相连接，所述第二叶交换机与多个硬件防火墙相连接；所述方法包括：

第一虚拟交换机在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；所述第一虚拟交换机为所述第一交换机集群中的第一叶交换机连接的虚拟交换机；

所述第一虚拟交换机基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过所述第一虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；

所述目标第二叶交换机在其连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

所述目标硬件防火墙基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。

2.根据权利要求1所述的方法，其特征在于，所述第二叶交换机连接的硬件防火墙通过目标接口与该第二叶交换机相连接，该目标接口为配置为端口汇聚接口的二层聚合接口；

所述第二叶交换机连接的硬件防火墙中配置有多个三层子接口和多个虚拟路由转发实例，所述多个三层子接口和所述多个虚拟路由转发实例一一对应绑定。

3.根据权利要求2所述的方法，其特征在于，所述将所述第二流量报文发送至所述目标硬件防火墙，包括：

依据预先配置的策略路由，在所述目标硬件防火墙的各个三层子接口中，确定所述第二流量报文对应的目标三层子接口，通过所述目标三层子接口，将所述第二流量报文发送至所述目标三层子接口绑定的虚拟路由转发实例中，以将所述第二流量报文发送至所述目标硬件防火墙。

4.根据权利要求1所述的方法，其特征在于，所述第二叶交换机连接的各个硬件防火墙之间基于预设的远程备份管理协议进行会话同步。

5.根据权利要求1所述的方法，其特征在于，还包括：

若所述安全检测结果表征所述网络流量为正常流量，所述目标硬件防火墙则将所述第二流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机确定所述第二流量报文对应的目标地址，基于所述目标地址对所述第二流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第三流量报文，通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址。

6.根据权利要求5所述的方法，其特征在于，若所述网络流量为东西向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

所述脊交换机在所述第一交换机集群中，确定所述目标地址对应的目标第一叶交换机，并将所述第三流量报文发送至所述目标第一叶交换机；

所述目标第一叶交换机在其连接的各个虚拟交换机中，确定所述目标地址对应的第二虚拟交换机，并将所述第三流量报文发送至所述第二虚拟交换机；

所述第二虚拟交换机对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第四流量报文；

所述第二虚拟交换机在其连接的各个租户虚拟机中，确定所述目标地址对应的目标租户虚拟机，并将所述第四流量报文发送至所述目标租户虚拟机。

7.根据权利要求5所述的方法，其特征在于，所述第一交换机集群还包括第三叶交换机，所述第三叶交换机分别与互联网网关、服务网关相连接；若所述网络流量为南北向流量，所述通过所述脊交换机和所述第一交换机集群对所述第三流量报文进行流量转发，以使所述网络流量到达所述目标地址的过程，包括：

所述目标第二叶交换机将所述第三流量报文发送至所述脊交换机；

所述脊交换机将所述第三流量报文发送至所述第三叶交换机；

所述第三叶交换机将所述第三流量报文发送至所述互联网网关；

所述互联网网关对所述第三流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第五流量报文；

所述互联网网关对所述目标地址进行网络地址转换处理，获得所述目标地址对应的公网地址，并基于所述公网地址对所述第五流量报文进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第六流量报文；

所述互联网网关通过所述第三叶交换机将所述第六流量报文发送至所述服务网关；

所述服务网关对所述第六流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第七流量报文，将所述第七流量报文发送至公网。

8.根据权利要求1所述的方法，其特征在于，还包括：

采集所述第一交换机集群对应的网络性能统计信息和所述第二交换机集群对应的网络性能统计信息；

采集所述第一交换机集群中的第一叶交换机连接的每个虚拟交换机所对应的网络性能统计信息；

采集所述第二交换机集群中的第二叶交换机连接的每个硬件防火墙所对应的网络性能统计信息；

将所述第一交换机集群对应的网络性能统计信息、所述第二交换机集群对应的网络性能统计信息、每个所述虚拟交换机对应的网络性能统计信息和每个所述硬件防火墙对应的网络性能统计信息，发送给预设的运维系统，以便于所述运维系统进行数据展示。

9.根据权利要求1所述的方法，其特征在于，还包括：

监测每个所述硬件防火墙是否处于故障状态；

当监测到每个所述硬件防火墙均处于故障状态时，对于所述第一叶交换机连接的每个虚拟交换机，对该虚拟交换机进行流量转发机制变更处理，使该虚拟交换机按照流量报文的原路径进行流量转发。

10.一种云平台，其特征在于，包括：

脊交换机、第一交换机集群和第二交换机集群；所述第一交换机集群包括至少一个第一叶交换机，所述第二交换机集群包括至少一个第二叶交换机；所述第一叶交换机与多个虚拟交换机相连接，每个所述虚拟交换机与多个租户虚拟机相连接，所述第二叶交换机与多个硬件防火墙相连接；

所述虚拟交换机，用于在接收到其连接的租户虚拟机发送的网络流量时，在所述第二交换机集群中，确定所述网络流量对应的目标第二叶交换机；基于所述目标第二叶交换机的地址，对所述网络流量进行虚拟扩展局域网报文封装处理，得到所述网络流量对应的第一流量报文，通过该虚拟交换机连接的第一叶交换机和所述脊交换机，将所述第一流量报文发送至所述目标第二叶交换机；

所述目标第二叶交换机，用于对所述第一流量报文进行虚拟扩展局域网报文解封装处理，得到所述网络流量对应的第二流量报文；在所述目标第二叶交换机连接的各个硬件防火墙中，确定所述网络流量对应的目标硬件防火墙，将所述第二流量报文发送至所述目标硬件防火墙；

所述目标硬件防火墙，用于基于所述第二流量报文，对所述网络流量进行安全检测，得到安全检测结果，若所述安全检测结果表征所述网络流量为异常流量，则对所述网络流量进行拦截，以对所述云平台进行安全防护。