WO2023116268A1

WO2023116268A1 - 网络隔离方法和系统及代理设备

Info

Publication number: WO2023116268A1
Application number: PCT/CN2022/132152
Authority: WO
Inventors: 张昊迪; 王帅; 金华敏; 邓晓东; 汪来富
Original assignee: 中国电信股份有限公司
Priority date: 2021-12-23
Filing date: 2022-11-16
Publication date: 2023-06-29
Also published as: CN114338119A

Abstract

本公开提出一种网络隔离方法和系统及代理设备，涉及网络与信息安全领域。代理设备接收交换机发送的第一数据包；代理设备根据流空间确定第一数据包对应的网络切片，所述流空间定义了数据流对应的网络切片，以构建隔离的逻辑网络；代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写；代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。基于代理，实现网络隔离的更新与改进，省去了虚拟网桥对VLAN的相关操作，避免了VXLAN或者GRE转换的性能损耗，还简化了切片控制器对实时控制流的管理。

Description

网络隔离方法和系统及代理设备

相关申请的交叉引用

本申请是以CN申请号为202111589872.2，申请日为2021年12月23日的申请为基础，并主张其优先权，该CN申请的公开内容在此作为整体引入本申请中。

技术领域

本公开涉及网络与信息安全领域，特别涉及一种网络隔离方法、网络隔离系统及代理设备。

背景技术

目前二层网络隔离一般使用VLAN(Virtual Local Area Network，虚拟局域网)或者VXLAN(Virtual eXtensible Local Area Network，虚拟扩展局域网)、GRE(Generic Routing Encapsulation)通用路由封装等技术。由于VLAN支持数量有限，因此在私有云或者公有云等场景中，使用VXLAN或GRE技术。VXLAN或者GRE技术是在传输层外又包一层，涉及到拆包解包问题，影响网络效率。

发明内容

本公开一些实施例提出一种网络隔离方法，包括：代理设备接收交换机发送的第一数据包；代理设备根据流空间确定第一数据包对应的网络切片，所述流空间定义了数据流对应的网络切片，以构建隔离的逻辑网络；代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写；代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。

在一些实施例中，该网络隔离方法还包括：代理设备接收切片控制器发送的第二数据包；代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段；代理设备将重写后的第二数据包发送给相应的交换机。

在一些实施例中，代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写包括：代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息。

在一些实施例中，代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息包括：代理设备将第一数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由交换机的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器之前，将第一数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为第一数据包对应的网络切片对应的切片控制器的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段包括：代理设备将第二数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为交换机的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第二数据包发送给相应的交换机之前，将第二数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由切片控制器的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，交换机发送的第一数据包为请求流表的数据包，切片控制器发送的第二数据包为下发流表的数据包。

在一些实施例中，该网络隔离方法还包括：代理设备接收交换机发送的对称消息，如果交换机对应的目标代理设备是当前代理设备，查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器。

在一些实施例中，该网络隔离方法还包括：如果交换机对应的目标代理设备不是当前代理设备，将交换机的对称消息泛洪给所有代理设备，由交换机对应的目标代理设备查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器。

在一些实施例中，该网络隔离方法还包括：代理设备接收切片控制器发送的对称消息，根据切片控制器相应的网络切片，将切片控制器的对称消息发送到网络切片相应的交换机。

在一些实施例中，该网络隔离方法还包括：当交换机所在逻辑网络变更时，代理设备根据变更后的最新切片控制器相应的网络切片，同步更新代理设备中存储的交换机所属的网络切片的数据。

在一些实施例中，该网络隔离方法还包括：代理设备接收交换机发送的第三数据包，根据流表将第三数据包发送给对应的网络切片对应的目的地，以减少需要切片控制器实时处理的控制流。

本公开一些实施例提出一种代理设备，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行各实施例的网络隔离方法。

本公开一些实施例提出一种网络隔离系统，包括交换机，切片控制器，以及代理设备，其中，交换机与代理设备通信连接，代理设备与切片控制器通信连接。

本公开一些实施例提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现各实施例的网络隔离方法的步骤。

附图说明

下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述，可以更加清楚地理解本公开。

显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开一些实施例的网络隔离方法的流程示意图。

图2示出本公开另一些实施例的网络隔离方法的流程示意图。

图3示出本公开一些实施例的网络隔离系统的示意图。

图4示出本公开一些实施例的代理设备的示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述。

除非特别说明，否则，本公开中的“第一”“第二”等描述用来区分不同的对象，并不用来表示大小或时序等含义。

在交换机与切片控制器之间设置代理设备。代理设备对于交换机为切片控制器的角色，对于切片控制器为交换机的角色。每个代理设备会定义自身的流空间。交换机例如为OpenFlow交换机。代理设备例如为OpenFlow代理设备。切片控制器例如为SDN(Software-defined Networking，软件定义网络)控制器，可简称控制器。切片控制器下发的流表例如为OpenFlow流表。OpenFlow是一种网络通信协议。

本公开实施例基于代理，实现网络隔离的更新与改进，省去了虚拟网桥对VLAN的相关操作，避免了VXLAN或者GRE转换的性能损耗。此外，将网络隔离从控制器中解耦，减少控制器的网络管理(如流表操作和问题排查)的复杂性，简化了切片控制器对实时控制流的管理。

图1示出本公开一些实施例的网络隔离方法的流程示意图。

如图1所示，该实施例的网络隔离方法包括以下步骤。

步骤110，代理设备接收交换机发送的第一数据包。

交换机发送的第一数据包例如为请求流表的数据包。代理设备对于交换机为控制器的角色，交换机发现没有匹配时，向代理设备发送请求流表的数据包。

步骤120，代理设备在自身的流空间查询匹配，以判断根据自身的流空间是否能够确定第一数据包对应的网络切片。如果不匹配，代理设备可以丢弃第一数据包。如果匹配，即代理设备根据流空间确定第一数据包对应的网络切片，对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写。

其中，流空间定义了数据流对应的网络切片，不同的数据流对应不同的网络切片，以构建隔离的逻辑网络。可以根据互联互通前的网络拓扑构建流空间，代理设备使用流空间将流量切片。当交换机所在逻辑网络变更时，代理设备根据变更后的最新切片控制器相应的网络切片，同步更新代理设备中存储的交换机所属的网络切片的数据。

代理设备可以先将第一数据包转换为ofmatch数据结构，然后再与自身的流空间内的条目进行匹配，如果没有匹配项，可以通知控制器丢弃该第一数据包，如果有匹配项，那么获取动作列表，执行相应指令。

在一些实施例中，代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息包括：代理设备将第一数据包中的源IP(Internet Protocol，网际互连协议)地址、源端口号、源MAC(Media Access Control，介质访问控制)地址中的至少一个字段的匹配域内容，由交换机的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器之前，还将第一数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为第一数据包对应的网络切片对应的切片控制器的IP地址、端口号、MAC地址中的至少一个。

步骤130，代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。

从而，通过对转发层到控制层的数据包中的协商信息进行重写，保证切片控制器仅获取其所负责的网络切片内的交换机信息，减少切片控制器的网络管理工作的复杂性，简化了切片控制器对实时控制流的管理。

根据业务需要，还可以执行以下步骤中的一个或多个。

步骤140，切片控制器接收到流表请求后，根据该流空间的全局拓扑发送相应的流表，下发流表的数据包称为第二数据包，代理设备接收切片控制器发送的第二数据包。

步骤150，代理设备根据切片控制器相应的网络切片，通过自身的流空间匹配后，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段。

在一些实施例中，代理设备对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段包括：代理设备根据切片控制器相应的网络切片，通过自身的流空间匹配后，将第二数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为交换机的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第二数据包发送给相应的交换机之前，还将第二数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由切片控制器的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。

步骤160，代理设备通过自身的流空间匹配后，将重写后的第二数据包发送给相应的交换机，使得交换机获得流表。

从而，通过对控制层到转发层的数据包中的信息进行重写，使得交换机获得其相应流空间的流表。

代理设备拦截交换机和控制器之间的数据包，通过消息重写，完成网络隔离。各个控制器只管理各自切片空间的全局策略流表，无需频繁修改，提升管理效率。

如果交换机和切片控制器已经各自获知自己流空间内的节点设备的信息，则可以执行图1所示实施例来获取流表，否则，可以先执行图2所示实施例，使得交换机和切片控制器各自获知自己流空间内的节点设备的信息，然后再执行图1所示实施例来获取流表。

图2示出本公开另一些实施例的网络隔离方法的流程示意图。

如图2所示，该实施例的网络隔离方法包括以下步骤。

步骤210，代理设备接收交换机发送的对称消息。对称消息例如是链路发现报文，如LLDP(Link Layer Discovery Protocol，链路层发现协议)报文。

链路发现通过网络中的节点向其他节点发送报文，以使其他节点获知自身节点的存在。以LLDP为例，节点可以将其自身的处理能力、管理地址、设备标识、接口标识等封装发送给直连的其他节点。

步骤220，如果交换机对应的目标代理设备是当前代理设备，当前代理设备根据自身的流空间查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器，使得切片控制器获知交换机的存在。

步骤230，如果交换机对应的目标代理设备不是当前代理设备，当前代理设备将交换机的对称消息泛洪给所有代理设备，由交换机对应的目标代理设备根据自身的流空间查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器，使得切片控制器获知交换机的存在。

步骤240，代理设备接收切片控制器发送的对称消息。对称消息例如是链路发现报文，如LLDP报文。

步骤250，代理设备根据切片控制器相应的网络切片的流空间，将切片控制器的对称消息发送到网络切片的流空间相应的交换机，使得交换机获知切片控制器的存在。

从而，使得交换机和切片控制器各自获知自己流空间内的节点设备的信息。

在通过图2所示实施例，使得交换机和切片控制器各自获知自己流空间内的节点设备的信息，以及通过图1所示实施例获取流表之后，代理设备接收交换机发送的第三数据包，如果能够匹配到相应的流表条目，则根据流表将第三数据包发送给对应的网络切片对应的目的地，以减少需要切片控制器实时处理的控制流。

在本公开中，网络中的流量根据流空间匹配切片，实现粗粒度网络隔离，在切片中，网络流量根据切片控制器下发的流表进行转发，实现细粒度网络隔离。

本公开的网络隔离技术例如可以应用于异构网络靶场互联互通过程中的网络隔离。网络靶场(Cyber Range)是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品，以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为，从而提高人员及机构的网络安全对抗水平。在推进大型网络靶场建设的过程中，异构靶场或靶场互联互通过程中需要网络隔离。

图3示出本公开一些实施例的网络隔离系统的示意图。

如图3所示，该实施例的网络隔离系统包括：交换机300，代理设备400，以及切片控制器500，其中，交换机与代理设备通信连接，代理设备与切片控制器通信连接。也即，在交换机与切片控制器之间设置代理设备，代理设备对于交换机为切片控制器的角色，对于切片控制器为交换机的角色。

图4示出本公开一些实施例的代理设备的示意图。

如图4所示，该实施例的代理设备400包括：存储器410以及耦接至该存储器410的处理器420，处理器420被配置为基于存储在存储器410中的指令，执行前述任意一些实施例中的网络隔离方法，具体参考前述实施例，这里不再赘述。

其中，存储器410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。

其中，处理器420可以用通用处理器、数字信号处理器(Digital Signal Processor，DSP)、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。

代理设备400还可以包括输入输出接口430、网络接口440、存储接口450等。这些接口430，440，450以及存储器410和处理器420之间例如可以通过总线460连接。其中，输入输出接口430为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口440为各种联网设备提供连接接口。存储接口450为SD卡、U盘等外置存储设备提供连接接口。总线460可以使用多种总线结构中的任意总线结构。例如，总线结构包括但不限于工业标准体系结构(Industry Standard Architecture，ISA)总线、微通道体系结构(Micro Channel Architecture，MCA)总线、外围组件互连(Peripheral Component Interconnect，PCI)总线。

本公开实施例提出一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现各实施例的网络隔离方法的步骤。

本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本公开的较佳实施例，并不用以限制本公开，凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims

一种网络隔离方法，包括：

代理设备接收交换机发送的第一数据包；

代理设备根据流空间确定第一数据包对应的网络切片，所述流空间定义了数据流对应的网络切片，以构建隔离的逻辑网络；

代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写；

代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。
根据权利要求1所述的方法，还包括：

代理设备接收切片控制器发送的第二数据包；

代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段；

代理设备将重写后的第二数据包发送给相应的交换机。
根据权利要求1所述的方法，其中，代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写包括：

代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息。
根据权利要求3所述的方法，其中，代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息包括：

代理设备将第一数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由交换机的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。
根据权利要求1所述的方法，其中，

代理设备在将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器之前，将第一数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为第一数据包对应的网络切片对应的切片控制器的IP地址、端口号、MAC地址中的至少一个。
根据权利要求2所述的方法，其中，代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段包括：

代理设备将第二数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为交换机的IP地址、端口号、MAC地址中的至少一个。
根据权利要求2所述的方法，其中，

代理设备在将重写后的第二数据包发送给相应的交换机之前，将第二数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由切片控制器的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。
根据权利要求2所述的方法，其中，

交换机发送的第一数据包为请求流表的数据包，切片控制器发送的第二数据包为下发流表的数据包。
根据权利要求1所述的方法，还包括：

代理设备接收交换机发送的对称消息，如果交换机对应的目标代理设备是当前代理设备，查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器。
根据权利要求9所述的方法，还包括：

如果交换机对应的目标代理设备不是当前代理设备，将交换机的对称消息泛洪给所有代理设备，由交换机对应的目标代理设备查找是否存在相应的网络切片，如果存在，将交换机的对称消息发送到网络切片相应的切片控制器。
根据权利要求1所述的方法，还包括：

代理设备接收切片控制器发送的对称消息，根据切片控制器相应的网络切片，将切片控制器的对称消息发送到网络切片相应的交换机。
根据权利要求1所述的方法，还包括：

当交换机所在逻辑网络变更时，代理设备根据变更后的最新切片控制器相应的网络切片，同步更新代理设备中存储的交换机所属的网络切片的数据。
根据权利要求8所述的方法，还包括：

代理设备接收交换机发送的第三数据包，根据流表将第三数据包发送给对应的网络切片对应的目的地，以减少需要切片控制器实时处理的控制流。
一种代理设备，包括：

存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行权利要求1-13中任一项所述的网络隔离方法。
一种网络隔离系统，包括交换机，切片控制器，以及如权利要求14所述的代理设备，其中，交换机与代理设备通信连接，代理设备与切片控制器通信连接。
一种非瞬时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现权利要求1-13中任一项所述的网络隔离方法的步骤。
一种计算机程序，包括：

指令，所述指令由处理器执行时使所述处理器执行根据权利要求1-13中任一项所述的网络隔离方法。