CN118158154A - 引流方法、系统、装置、电子设备、存储介质及产品 - Google Patents
引流方法、系统、装置、电子设备、存储介质及产品 Download PDFInfo
- Publication number
- CN118158154A CN118158154A CN202410580310.9A CN202410580310A CN118158154A CN 118158154 A CN118158154 A CN 118158154A CN 202410580310 A CN202410580310 A CN 202410580310A CN 118158154 A CN118158154 A CN 118158154A
- Authority
- CN
- China
- Prior art keywords
- destination
- data message
- drainage
- preset
- destination port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000004806 packaging method and process Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 239000000758 substrate Substances 0.000 claims 1
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000005291 magnetic effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000004549 pulsed laser deposition Methods 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提出了一种引流方法、系统、装置、电子设备、存储介质及产品。所述方法包括:接收公网设备发送的数据报文;解析所述数据报文,获取所述数据报文的目的IP和目的端口;判断所述数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;所述预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,所述预设引流规则表项的key包括VRF、目的IP及目的端口号,所述预设引流规则表项的value包括重定向的VRF;若判断结果为是,将所述数据报文引流至所述安全资源池。
Description
技术领域
本公开涉及云计算技术领域,尤其涉及一种引流方法、系统、装置、电子设备、存储介质及产品。
背景技术
相关的引流方法中,通常使用网关对数据报文进行路由转发,但网关接收到公网设备发送的数据报文后,直接将所有数据报文流量路由到虚拟防火墙,导致进入防火墙的数据报文流量大,增加了防火墙的负荷,无法保障进入虚拟机中各个数据报文对应的业务的安全性和稳定性。
发明内容
本公开提供一种引流方法、系统、装置、电子设备、存储介质及产品。以解决相关技术中的问题。
本公开的第一方面实施例提出了一种引流方法,应用于可编程网关,该方法包括:
接收公网设备发送的数据报文;
解析数据报文,获取数据报文的目的IP和目的端口;
判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,预设引流规则表项的key包括VRF、目的IP及目的端口号,预设引流规则表项的value包括重定向的VRF;
若判断结果为是,将数据报文引流至安全资源池。
在本公开的一些实施例中,安全资源池包括安全防护产品和交换机(Switch);
将数据报文引流至安全资源池,包括:
获取预设邻居隧道表项,预设邻居隧道表项的key包括邻居VTEP地址和VRF,预设邻居隧道表项的value包括邻居的MAC地址;邻居指安全防护产品及交换机;
根据预设邻居隧道表项,创建可编程网关与安全防护产品之间的VXLAN隧道,及创建可编程网关与交换机之间的VXLAN隧道;
通过可编程网关与安全防护产品之间的VXLAN隧道,将数据报文引流至安全防护产品;
通过可编程网关与交换机之间的VXLAN隧道,将经安全防护产品清洗过的数据报文发送至可编程网关。
在本公开的一些实施例中,将数据报文引流至安全防护产品之前,本公开提供的引流方法还包括:
将数据报文封装为第一VXLAN报文;
将经安全防护产品清洗过的数据报文发送至可编程网关之前,本公开提供的引流方法还包括:
将经安全防护产品清洗过的数据报文封装为第二VXLAN报文。
在本公开的一些实施例中,获取数据报文的目的IP和目的端口,包括:
获取数据报文的目的MAC;
判断数据报文的目的MAC是否为有效的MAC;
若判断结果为是,获取数据报文的目的IP和目的端口。
本公开的第二方面实施例提出了一种引流系统,包括公网设备、安全防护产品、交换机、开放虚拟交换机和虚拟机,引流系统还包括:
可编程网关,可编程网关用于将由公网设备通过第一网络向虚拟机发送的,符合预设引流规则的数据报文引流至安全防护产品,第一网络指由安全防护产品、交换机、开放虚拟交换机和虚拟机构成的虚拟局域网。
在本公开的一些实施例中,安全防护产品为WAF。
本公开的第三方面实施例提出了一种引流装置,该装置包括:
接收单元,用于接收公网设备发送的数据报文;
解析单元,用于解析数据报文,获取数据报文的目的IP和目的端口;
判断单元,用于判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,预设引流规则表项的key包括VRF、目的IP及目的端口号,预设引流规则表项的value包括重定向的VRF;
引流单元,用于若判断结果为是,将数据报文引流至安全资源池。
本公开的第四方面实施例提出了一种电子设备,包括:
至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开第一方面实施例中描述的方法。
本公开的第五方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。
本公开的第六方面实施例提出了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现本公开第一方面实施例中描述的方法。
综上,本公开提出了一种引流方法、系统、装置、电子设备、存储介质及产品,该方法包括:接收公网设备发送的数据报文;解析数据报文,获取数据报文的目的IP和目的端口;判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,预设引流规则表项的key包括VRF、目的IP及目的端口号,预设引流规则表项的value包括重定向的VRF;若判断结果为是,将数据报文引流至安全资源池。
通过本公开提供的方案,可编程网关接收到公网设备发送的数据报文后,解析数据报文并获取数据报文的目的IP和目的端口;若数据报文的目的IP和目的端口与预设引流规则表项中的目的IP和目的端口匹配,将匹配成功的数据报文引流至安全资源池,通过减少引入安全资源池的数据报文流量,减轻安全资源池的负荷,进而保障虚拟机中各个数据报文对应的业务的安全性和稳定性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1为本公开实施例提供的引流方法的流程示意图;
图2为本公开实施例提供的将数据报文引流至安全资源池的方法的流程示意图;
图3为本公开实施例提供的引流系统的结构示意图;
图4为本公开应用示例提供的引流方法的流程示意图;
图5为本公开实施例提供的引流装置的结构示意图;
图6为本公开实施例提供的电子设备的硬件组成结构示意图。
具体实施方式
下面详细描述本公开的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
下面结合附图及具体实施例对本公开作进一步详细的说明。
如图1所示,图1为本公开实施例提供的引流方法的流程示意图。本公开实施例提供的引流方法,包括以下步骤:
步骤101,接收公网设备发送的数据报文;
在一实施例中,公网设备指的是可以直接或间接访问的公共互联网的设备,如物联网设备、服务器、用户设备等。
在一实施例中,数据报文中包含了需要传递的数据以及必要的控制信息,如IP报文、以太网帧。
在一实施例中,IP报文是开放式系统互联(Open Systems Interconnection,OSI)模型的第三层(网络层)中典型的数据报文结构,IP报文中包含了源IP地址、目的IP地址、协议类型、报文长度、头部校验和等信息。
在一实施例中,源IP地址指的是发送数据报文的设备在网络上的唯一标识。
在一实施例中,目的IP地址指的是数据报文要送达的目的地的设备在网络上的唯一标识。
在一实施例中,以太网帧是OSI模型的第二层(数据链路层)中的数据报文结构,以太网帧中包含了源MAC地址、目的MAC地址、类型/长度字段、数据字段以及帧校验序列等信息,其中的数据字段包含了网络层的数据报文。
在一实施例中,源MAC地址指的是数据报文的发送者的物理地址。
在一实施例中,目的MAC地址指的是数据报文要送达的接收者的物理地址。
在一实施例中,可以通过网关接收公网设备发送的数据报文,如路由器。
步骤102,解析数据报文,获取数据报文的目的IP和目的端口;
在一实施例中,在网络通信中,目的端口是OSI模型中第四层(传输层)协议(如TCP或UDP)中用来标识接收端应用程序的特定服务或进程的数字标识符,如通常使用80作为HTTP通信服务的目的端口、使用21作为FTP通信服务的目的端口。
在一实施例中,可以使用Wireshark、Tcpdump等抓包工具获取数据报文的目的IP和目的端口。
步骤103,判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;
在一实施例中,预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,预设引流规则表项的key包括VRF、目的IP及目的端口号,预设引流规则表项的value包括重定向的VRF;
在一实施例中,预设引流规则表项包括入云预设引流规则表项和出云预设引流规则表项。
在一实施例中,VRF用于在单一路由器上创建多个独立的虚拟路由环境。
在一实施例中,每个VRF都拥有独立的路由表、路由协议实例、策略和数据包转发规则,因此不同VRF之间的路由信息和数据流是相互隔离的。
在一实施例中,可以在可编程网关中的数据面使用Programming Protocol-independent Packet Processors(P4)下发引流规则完成重定向VRF。
在一实施例中,P4收到数据报文后,解析数据报文头部,若目的MAC地址和可编程网关的MAC地址匹配,则进行三层转发,否则丢弃当前数据报文。
在一实施例中,重定向VRF将数据报文流量引流至安全资源池。
在一实施例中,预设引流规则表项的key包含VNI,value包含源MAC地址。
在一实施例中,入云和出云的VRF分别映射对应的VNI。
在一实施例中,VNI用于在VXLAN网络中标识不同的逻辑网络或子网,VNI标记了穿过VXLAN隧道的数据报文所属的特定虚拟网络。
在一实施例中,若数据报文的目的IP和目的端口与预设引流规则表项中的目的IP和目的端口不匹配,则将数据报文发送至开放虚拟交换机。
步骤104,若判断结果为是,将数据报文引流至安全资源池。
在一实施例中,安全资源池用于精准控制需要流量过滤的数据报文,可以减轻安全资源池的负荷,进而保障虚拟机中各个数据报文对应的业务的安全性和稳定性。
在一实施例中,安全资源池包括安全防护产品、交换机等。
在一实施例中,如图2所示,步骤104,包括:
步骤201,获取预设邻居隧道表项;
在一实施例中,预设邻居隧道表项的key包括邻居VTEP地址和VRF,预设邻居隧道表项的value包括邻居的MAC地址;
在一实施例中,邻居指安全防护产品及交换机;
在一实施例中,VTEP用于封装和解封装VXLAN报文。
在一实施例中,通过VTEP地址可以为每个VXLAN网络分配不同的VNI,实现各个VXLAN网络之间的隔离。
步骤202,根据预设邻居隧道表项,创建可编程网关与安全防护产品之间的VXLAN隧道,及创建可编程网关与交换机之间的VXLAN隧道;
在一实施例中,VXLAN隧道用于传输封装后的VXLAN报文。
在一实施例中,根据预设邻居隧道表项,还可以创建安全防护产品与交换机之间的VXLAN隧道。
在一实施例中,根据预设邻居隧道表项中VTEP地址、VRF、VNI和MAC地址等信息,创建可编程网关与安全防护产品之间的VXLAN隧道,创建可编程网关与交换机之间的VXLAN隧道,创建安全防护产品与交换机之间的VXLAN隧道。
在一实施例中,在可编程网关中的数据面,可以根据数据报文的目的IP和VRF在路由表中查找下一跳地址索引,设置VXLAN隧道下一跳索引,用于overlay路由表。
在一实施例中,根据VXLAN隧道下一跳索引查找VXLAN隧道下一跳的物理接口,然后重写underlay的源MAC和目的MAC。
在一实施例中,可以根据VRF重写外层源MAC索引,设置overlay的源MAC,根据VXLAN隧道索引修改overlay的源IP地址。
在一实施例中,可编程网关与安全防护产品之间,可编程网关与交换机之间,安全防护产品与交换机之间都可以有一条、两条或多条VXLAN隧道,如为入云和出云创建两条VXLAN隧道。
在一实施例中,每个VXLAN隧道接口都需要配置到同一个网桥上,以实现可编程网关到安全防护产品再到交换机之间的流量引流,并实现网络流量之间的隔离。
在一实施例中,还需在可编程中配置默认入云路由、出云泄露路由、VRF及隧道。
在一实施例中,若数据报文不符合预设引流规则表项对应的引流规则,则直接按照默认入云路由将数据报文发送至开放虚拟交换机。
在一实施例中,若数据报文符合预设引流规则表项对应的引流规则,则通过创建的入云或\和出云隧道将数据报文发送至开放虚拟交换机。
步骤203,通过可编程网关与安全防护产品之间的VXLAN隧道,将数据报文引流至安全防护产品;
在一实施例中,根据预设引流规则表项对应的引流规则匹配数据报文的目的IP、目的端口号以及VRF,若匹配成功,则将流量引流到安全防护产品。
在一实施例中,安全防护产品用于清洗数据报文。
步骤204,通过可编程网关与交换机之间的VXLAN隧道,将经安全防护产品清洗过的数据报文发送至可编程网关。
在一实施例中,可编程网关接收到经安全防护产品清洗过的数据报文后,将按照出云泄露路由将流量引入开放虚拟交换机。
在一实施例中,可编程网关在通过与开放虚拟交换机建立的VXLAN隧道将数据报文发送至虚拟机。
在一实施例中,将数据报文引流至安全防护产品之前,引流方法还包括:
将数据报文封装为第一VXLAN报文;
在一实施例中,第一VXLAN报文指的是前述匹配成功的、可以引流到安全防护产品的数据报文。
在一实施例中,第一VXLAN报文是由数据报文修改源MAC地址和目的MAC地址,再加上一层报文后的报文。
在一实施例中,可以利用VTEP将数据报文封装为第一VXLAN报文。
相应的,
将经安全防护产品清洗过的数据报文发送至可编程网关之前,引流方法还包括:
将经安全防护产品清洗过的数据报文封装为第二VXLAN报文。
在一实施例中,安全防护产品用于过滤不合规的第一VXLAN报文,提高引入数据报文的安全性。
在一实施例中,第二VXLAN报文指的是通过安全防护产品安全检测的第一VXLAN报文。
在一实施例中,获取数据报文的目的IP和目的端口,包括:
获取数据报文的目的MAC;
在一实施例中,可以通过地址解析协议(Address Resolution Protocol,ARP)获取数据报文的目的MAC。
判断数据报文的目的MAC是否为有效的MAC;
在一实施例中,可以通过格式验证数据报文的目的MAC是否为有效的MAC,如有效的MAC为6组双字节组成的,其中,每组为两位十六进制数,如00:14:22:01:23:45。
在一实施例中,无效的MAC地址会导致数据报文无法被正确转发。
若判断结果为是,获取数据报文的目的IP和目的端口。
在一实施例中,若数据报文的目的MAC为有效的MAC,则可以通过查看ARP缓存表获取数据报文的目的MAC对应的目的IP。
综上,本公开提供的方案:
首先,可编程网关接收到公网设备发送的数据报文后,解析数据报文并获取数据报文的目的IP和目的端口;若数据报文的目的IP和目的端口与预设引流规则表项中的目的IP和目的端口匹配,将匹配成功的数据报文引流至安全资源池,通过减少引入安全资源池的数据报文流量,减轻安全资源池的负荷,进而保障虚拟机中各个数据报文对应的业务的安全性和稳定性。
其次,通过在可编程网关上通过使用p4下发引流规则完成重定向VRF,可以将回程报文引流到安全防护产品进行流量清洗和防护。
再次,通过使用交换机进行转发,可以提升数据报文转发速度。
再次,通过判断数据报文的目的MAC是否为有效的MAC,可以保证接收到的数据报文被正确转发。
本公开实施例还提供一种引流系统。
如图3所示,本公开实施例提供的引流系统300,包括公网设备301、安全防护产品302、交换机303、开放虚拟交换机304和虚拟机305,引流系统300还包括:
可编程网关306,可编程网关306用于将由公网设备301通过第一网络向虚拟机发送的,符合预设引流规则的数据报文引流至安全防护产品302,第一网络指由安全防护产品302、交换机303、开放虚拟交换机304和虚拟机305构成的虚拟局域网。
在一实施例中,安全防护产品302为WAF。
下面以一应用示例对本公开提供的引流方法做进一步说明:
如图4所示,图4为本公开应用示例提供的引流方法的流程示意图。本公开应用示例提供的引流方法,包括以下步骤:
步骤401,接收公网设备发送的数据报文;
步骤402,解析数据报文,获取数据报文的目的MAC;
步骤403,判断数据报文的目的MAC是否为有效的MAC;
若判断结果为是,则进入步骤404
若判断结果为否,则返回步骤401;
步骤404,获取数据报文的目的IP和目的端口。
步骤405,判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;
若判断结果为是,则进入步骤406
若判断结果为否,则进入步骤412;
步骤406,将数据报文封装为第一VXLAN报文;
步骤407,获取预设邻居隧道表项,预设邻居隧道表项的key包括邻居VTEP地址和VRF,预设邻居隧道表项的value包括邻居的MAC地址;邻居指安全防护产品及交换机;
步骤408,根据预设邻居隧道表项,创建可编程网关与安全防护产品之间的VXLAN隧道,及创建可编程网关与交换机之间的VXLAN隧道;
在一实施例中,步骤406与步骤407至步骤408的执行顺序可以调整,本公开中对此不予限定。
步骤409,通过可编程网关与安全防护产品之间的VXLAN隧道,将第一VXLAN报文引流至安全防护产品;
步骤410,将经安全防护产品清洗过的第一VXLAN报文封装为第二VXLAN报文。
步骤411,通过可编程网关与交换机之间的VXLAN隧道,将经安全防护产品清洗过的第二VXLAN报文发送至可编程网关。
步骤412,通过可编程网关,将数据报文发送至开放虚拟交换机。
为了实现本公开实施例提供的引流方法,本公开实施例还提供一种引流装置,如图5所示。图5为本公开实施例提供的引流装置的结构示意图,引流装置500,包括:
接收单元501,用于接收公网设备发送的数据报文;
解析单元502,用于解析数据报文,获取数据报文的目的IP和目的端口;
判断单元503,用于判断数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,预设引流规则表项的key包括VRF、目的IP及目的端口号,预设引流规则表项的value包括重定向的VRF;
引流单元504,用于若判断结果为是,将数据报文引流至安全资源池。
在一实施例中,安全资源池包括安全防护产品和交换机(Switch);
在一实施例中,引流单元504,具体用于:
获取预设邻居隧道表项,预设邻居隧道表项的key包括邻居VTEP地址和VRF,预设邻居隧道表项的value包括邻居的MAC地址;邻居指安全防护产品及交换机;
根据预设邻居隧道表项,创建可编程网关与安全防护产品之间的VXLAN隧道,及创建可编程网关与交换机之间的VXLAN隧道;
通过可编程网关与安全防护产品之间的VXLAN隧道,将数据报文引流至安全防护产品;
通过可编程网关与交换机之间的VXLAN隧道,将经安全防护产品清洗过的数据报文发送至可编程网关。
在一实施例中,引流装置500还包括封装单元,封装单元用于:
将数据报文封装为第一VXLAN报文;
在一实施例中,封装单元还用于:
将经安全防护产品清洗过的数据报文封装为第二VXLAN报文。
在一实施例中,解析单元502,具体用于:
获取数据报文的目的MAC;
判断数据报文的目的MAC是否为有效的MAC;
若判断结果为是,获取数据报文的目的IP和目的端口。
需要说明的是:上述实施例提供的引流装置500在进行引流时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将引流装置500的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的引流装置500与本公开实施例提供引流方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图6为本公开实施例提供的电子设备的硬件组成结构示意图,如图6所示,电子设备600包括至少一个处理器602;以及与至少一个处理器602通信连接的存储器601;其中,存储器601存储有可被至少一个处理器602执行的指令,指令被至少一个处理器602执行,以实现本公开实施例提供的引流方法的步骤。
可选地,该电子设备具体可为本申请实施例的引流装置,并且该电子设备可以实现本申请实施例的各个方法中由引流装置实现的相应流程,为了简洁,在此不再赘述。
可理解,电子设备中还包括通信接口603。电子设备中的各个组件通过总线系统604耦合在一起。可理解,总线系统604用于实现这些组件之间的连接通信。总线系统604除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统604。
可以理解,存储器601可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器601旨在包括但不限于这些和任意其它适合类型的存储器。
上述本公开实施例揭示的方法可以应用于处理器602中,或者由处理器602实现。处理器602可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器602中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器602可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器602可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器601,处理器602读取存储器601中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
本公开实施例还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行时实现本发明实施例提供的引流方法的步骤。
可选的,该计算机可读存储介质可应用于本申请实施例中的引流装置,并且该计算机指令使得计算机执行本申请实施例的各个方法中由引流装置实现的相应流程,为了简洁,在此不再赘述。
本公开实施例还提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现本发明实施例提供的存储路由确定方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种引流方法,应用于可编程网关,其特征在于,包括:
接收公网设备发送的数据报文;
解析所述数据报文,获取所述数据报文的目的IP和目的端口;
判断所述数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;所述预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,所述预设引流规则表项的key包括VRF、目的IP及目的端口号,所述预设引流规则表项的value包括重定向的VRF;
若判断结果为是,将所述数据报文引流至所述安全资源池。
2.根据权利要求1所述的方法,其特征在于,所述安全资源池包括安全防护产品和交换机(Switch);
所述将所述数据报文引流至所述安全资源池,包括:
获取预设邻居隧道表项,所述预设邻居隧道表项的key包括邻居VTEP地址和VRF,所述预设邻居隧道表项的value包括邻居的MAC地址;所述邻居指所述安全防护产品及交换机;
根据所述预设邻居隧道表项,创建所述可编程网关与所述安全防护产品之间的VXLAN隧道,及创建所述可编程网关与所述交换机之间的VXLAN隧道;
通过所述可编程网关与所述安全防护产品之间的VXLAN隧道,将所述数据报文引流至所述安全防护产品;
通过所述可编程网关与所述交换机之间的VXLAN隧道,将经所述安全防护产品清洗过的所述数据报文发送至所述可编程网关。
3.根据权利要求2所述的方法,其特征在于,
所述将所述数据报文引流至所述安全防护产品之前,所述的方法还包括:
将所述数据报文封装为第一VXLAN报文;
所述将经所述安全防护产品清洗过的所述数据报文发送至所述可编程网关之前,所述的方法还包括:
将经所述安全防护产品清洗过的所述数据报文封装为第二VXLAN报文。
4.根据权利要求1所述的方法,其特征在于,所述获取所述数据报文的目的IP和目的端口,包括:
获取所述数据报文的目的MAC;
判断所述数据报文的目的MAC是否为有效的MAC;
若判断结果为是,获取所述数据报文的目的IP和目的端口。
5.一种引流系统,包括公网设备、安全防护产品、交换机、开放虚拟交换机和虚拟机,其特征在于,还包括:
可编程网关,所述可编程网关用于将由所述公网设备通过第一网络向所述虚拟机发送的,符合预设引流规则的数据报文引流至所述安全防护产品,所述第一网络指由所述安全防护产品、所述交换机、所述开放虚拟交换机和所述虚拟机构成的虚拟局域网。
6.根据权利要求5所述的引流系统,其特征在于,所述安全防护产品为WAF。
7.一种引流装置,其特征在于,包括:
接收单元,用于接收公网设备发送的数据报文;
解析单元,用于解析所述数据报文,获取所述数据报文的目的IP和目的端口;
判断单元,用于判断所述数据报文的目的IP和目的端口是否与预设引流规则表项中的目的IP和目的端口匹配;所述预设引流规则表项用于指示需要引流至安全资源池的目的IP和目的端口,所述预设引流规则表项的key包括VRF、目的IP及目的端口号,所述预设引流规则表项的value包括重定向的VRF;
引流单元,用于若判断结果为是,将所述数据报文引流至所述安全资源池。
8.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至4中任一项所述的方法。
9.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1至4中任一项所述的方法。
10.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410580310.9A CN118158154A (zh) | 2024-05-11 | 2024-05-11 | 引流方法、系统、装置、电子设备、存储介质及产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410580310.9A CN118158154A (zh) | 2024-05-11 | 2024-05-11 | 引流方法、系统、装置、电子设备、存储介质及产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118158154A true CN118158154A (zh) | 2024-06-07 |
Family
ID=91285642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410580310.9A Pending CN118158154A (zh) | 2024-05-11 | 2024-05-11 | 引流方法、系统、装置、电子设备、存储介质及产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118158154A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
| CN111800329A (zh) * | 2020-06-28 | 2020-10-20 | 浪潮思科网络科技有限公司 | 一种基于sdn与ovn的报文转发方法、设备及介质 |
| CN113630315A (zh) * | 2021-09-03 | 2021-11-09 | 中国联合网络通信集团有限公司 | 网络引流方法、装置、电子设备和存储介质 |
-
2024
- 2024-05-11 CN CN202410580310.9A patent/CN118158154A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920023A (zh) * | 2017-12-29 | 2018-04-17 | 深信服科技股份有限公司 | 一种安全资源池的实现方法及系统 |
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
| CN111800329A (zh) * | 2020-06-28 | 2020-10-20 | 浪潮思科网络科技有限公司 | 一种基于sdn与ovn的报文转发方法、设备及介质 |
| CN113630315A (zh) * | 2021-09-03 | 2021-11-09 | 中国联合网络通信集团有限公司 | 网络引流方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3076612B1 (en) | Packet processing methods and nodes | |
| RU2735725C1 (ru) | Способ и устройство обработки и отправки пакетов, узел pe и узел | |
| US11374848B2 (en) | Explicit routing with network function encoding | |
| CN111669330B (zh) | 一种bier报文的发送方法和装置 | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
| EP3138243B1 (en) | Network service insertion | |
| CN107211048B (zh) | 使用源路由的业务链接 | |
| EP3016329A1 (en) | Service path allocation method, router and service execution entity | |
| US10187290B2 (en) | Method, system, and apparatus for preventing tromboning in inter-subnet traffic within data center architectures | |
| CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
| CN108063718B (zh) | 报文处理方法、装置及电子设备 | |
| US7643496B1 (en) | Application specified steering policy implementation | |
| US10454882B2 (en) | DHCP in layer-3 overlay with anycast address support and network address transparency | |
| CN105337884A (zh) | 基于逻辑端口实现多级报文编辑业务控制的方法及装置 | |
| US10594604B1 (en) | End to end application identification and analytics of tunnel encapsulated traffic in the underlay | |
| CN113194033B (zh) | 基于sdn段路由组网的报文转发方法、装置及存储介质 | |
| CN118158154A (zh) | 引流方法、系统、装置、电子设备、存储介质及产品 | |
| CN111770049B (zh) | 全局缓存变量及报文信息存储方法及装置 | |
| CN116939033A (zh) | 一种应用代理方法、装置及电子设备和存储介质 | |
| CN113055268A (zh) | 隧道流量负载均衡的方法、装置、设备及介质 | |
| CN116668375B (zh) | 一种报文分流方法、装置、网络设备及存储介质 | |
| CN115426305B (zh) | 报文处理方法、装置、系统及存储介质 | |
| EP4333382A1 (en) | Packet transmission method, apparatus and system, network device, and storage medium | |
| CN118233379A (zh) | 数据传输方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |