报文过滤方法及设备技术

本发明专利技术公开了一种报文过滤方法及设备，属于通信技术领域。该方法包括：接收数据中心管理模块发送的租户配置信息；根据该租户配置信息为第一租户配置流表规则，该第一租户为租户配置信息中的租用指示信息指示租用了防火墙服务的租户；根据该租户配置信息，确定第一虚拟交换机；将该第一租户的流表规则发送至该第一虚拟交换机，以便于该第一虚拟交换机根据该第一租户的流表规则，将与该第一业务虚拟机交互的报文先转发至防火墙虚拟机，由防火墙虚拟机替代集中防火墙完成安全过滤，减少或替代了通过集中防火墙的业务流量；并且，数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制，提高了数据中心业务扩展时的灵活性。

【技术实现步骤摘要】
报文过滤方法及设备
本专利技术涉及通信
，特别涉及一种报文过滤方法及设备。
技术介绍
电信网云化是指把传统的基于物理装置的电信节点及应用以虚拟机(英文：VirtualMachine；简称：VM)的方式部署到数据中心的服务器主机上，这种部署方式在业界称为网络功能虚拟化(英文：NetworkFunctionsVirtualization；简称：NFV)。为了保证数据中心内部网络的安全，数据中心的内部网络和外部网络之间通常设置有防火墙。该防火墙可以为物理防火墙，即一台物理装置，也可以为软件防火墙，即在传统物理防火墙中部署多个虚拟机，在每个虚拟机中安装防火墙软件。在云化的数据中心中，租户可以按需租用业务虚拟机、网络服务以及防火墙服务，数据中心的管理模块中可以存储租户的配置信息，并将该租户信息发送至软件定义网络(英文：SoftwareDefinedNetwork；简称：SDN)控制模块，由SDN控制模块根据每个租户的配置信息，创建并维护流表规则，该流表规则中记录了对于每个租户的报文的转发规则。其中，租户的配置信息中可以包括租户的标识与其所租用的业务虚拟机的标识(例如，虚拟局域网标识)的对应关系，以及租户所租用的网络服务和防火墙服务的信息。相关技术中，SDN控制模块可以将流表规则下发至其管理的各个服务器主机中的虚拟交换机，当虚拟交换机接收到源业务虚拟机发送的报文时，可以根据SDN控制模块下发的流表规则，将报文转发至目的业务虚拟机。若租用该源业务虚拟机的租户同时租用了防火墙服务，则虚拟交换机可以根据流表规则将该源业务虚拟机发送的报文转发至防火墙，由防火墙对该报文进行分析过滤后，再转发至目的业务虚拟机。数据中心的内部网络中的多个业务虚拟机之间或者该多个业务虚拟机与外部网络之间进行通讯时，业务流都需要经过防火墙进行过滤转发，当数据中心内部的网络业务负荷增大，需要部署的业务虚拟机数量增多时，经过防火墙的业务流也会显著增加，但由于防火墙在同一时间段内过滤转发的业务流的流量是有限的，因此数据中心内部网络的扩容会受到防火墙流量转发能力的限制，数据中心业务扩展时的灵活性较低。
技术实现思路
为了解决相关技术中数据中心业务扩展时灵活性较低的问题，本申请提供了一种报文过滤方法及设备。所述技术方案如下：第一方面，提供一种报文过滤方法，该报文过滤方法应用于数据中心中的软件定义网络SDN控制模块；该SDN控制模块管理有至少一个虚拟交换机，每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机，该方法包括：接收数据中心管理模块发送的租户配置信息，该租户配置信息包括：至少一个租户标识，以及每个该租户标识对应的虚拟机标识和租用指示信息，该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务；根据该租户配置信息为第一租户配置流表规则，该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户；根据该租户配置信息，确定第一虚拟交换机，该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机；将该第一租户的流表规则发送至该第一虚拟交换机，以便于该第一虚拟交换机根据该第一租户的流表规则，将与该第一业务虚拟机交互的报文，先转发至该第一虚拟交换机管理的防火墙虚拟机，以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。其中，与该第一业务虚拟机交互的报文可以包括：该第一业务虚拟机向数据中心内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报文，以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。本申请提供的报文过滤方法，SDN控制模块可以接收数据中心管理模块发送的租户配置信息，并根据该租户配置信息为第一租户配置流表规则；再根据该租户配置信息，确定第一虚拟交换机，该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机；最后，SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机，以便于该第一虚拟交换机根据该第一租户的流表规则，将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机，以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤，因此，数据中心内部业务虚拟机之间通讯时，报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行，而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙，数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制，提高了数据中心业务扩展时的灵活性。在一个可能的设计中，该方法还包括：SDN控制模块在该根据该租户配置信息，确定第一虚拟交换机之后，还可以向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则，以便该防火墙虚拟机根据该流表规则将通过安全过滤后的该报文发送至该第一虚拟交换机。在一个可能的设计中，SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之后，还可以接收虚拟机管理模块发送的虚拟机迁移指令，该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识；之后，SDN控制模块能够获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息，并将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。其中，该握手信息用于指示相互通信的两个业务虚拟机之间建立通信连接的进度。因此，当待迁移虚拟机迁移至目的虚拟交换机所在的主机后，该待迁移虚拟机中正在进行的业务还可以继续执行，保证了业务虚拟机迁移时，业务虚拟机中业务的连续性。在一个可能的设计中，SDN控制模块在该接收虚拟机迁移指令之前，还可以接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信息，并存储该握手信息；其中，SDN控制模块获取源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息的过程可以包括：在存储的握手信息中，获取该第一防火墙虚拟机上报的握手信息；在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息。在一个可能的设计中，SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之前，还可以向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略，以便防火墙虚拟机可以根据该预设的防火墙安全策略对报文进行安全过滤。第二方面，提供一种报文过滤方法，该报文过滤方法应用于第一虚拟交换机管理的防火墙虚拟机；该第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的，该第一虚拟交换机还管理有至少一个业务虚拟机，该方法包括：接收该SDN控制模块发送的流表规则，该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的，该租户配置信息包括：至少一个租户标识，以及每个该租户标识对应的虚拟机标识和租用指示信息，该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务，该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户；接收该第一虚拟交换机发送的报文，该报文是指与该第一业务虚拟机交互的报文；根据预设的防火墙安全策略，对该报文进行安全过滤；根据该流表规则，将通过安全过滤后的该报文转发至该第一虚拟交换机，以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该本文档来自技高网...

【技术保护点】
1.一种报文过滤方法，其特征在于，所述报文过滤方法应用于数据中心中的软件定义网络SDN控制模块；所述SDN控制模块管理有至少一个虚拟交换机，每个所述虚拟交换机均管理有防火墙虚拟机以及至少一个业务虚拟机，所述方法包括：接收数据中心管理模块发送的租户配置信息，所述租户配置信息包括：至少一个租户标识，以及每个所述租户标识对应的虚拟机标识和租用指示信息，所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务；根据所述租户配置信息为第一租户配置流表规则，所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户；根据所述租户配置信息，确定第一虚拟交换机，所述第一虚拟交换机管理有所述第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机；将所述第一租户的流表规则发送至所述第一虚拟交换机，以便于所述第一虚拟交换机根据所述第一租户的流表规则，将与所述第一业务虚拟机交互的报文，先转发至所述第一虚拟交换机管理的防火墙虚拟机，以使得所述防火墙虚拟机根据预设的防火墙安全策略对所述报文进行安全过滤。

【技术特征摘要】
1.一种报文过滤方法，其特征在于，所述报文过滤方法应用于数据中心中的软件定义网络SDN控制模块；所述SDN控制模块管理有至少一个虚拟交换机，每个所述虚拟交换机均管理有防火墙虚拟机以及至少一个业务虚拟机，所述方法包括：接收数据中心管理模块发送的租户配置信息，所述租户配置信息包括：至少一个租户标识，以及每个所述租户标识对应的虚拟机标识和租用指示信息，所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务；根据所述租户配置信息为第一租户配置流表规则，所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户；根据所述租户配置信息，确定第一虚拟交换机，所述第一虚拟交换机管理有所述第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机；将所述第一租户的流表规则发送至所述第一虚拟交换机，以便于所述第一虚拟交换机根据所述第一租户的流表规则，将与所述第一业务虚拟机交互的报文，先转发至所述第一虚拟交换机管理的防火墙虚拟机，以使得所述防火墙虚拟机根据预设的防火墙安全策略对所述报文进行安全过滤。2.根据权利要求1所述的方法，其特征在于，在所述根据所述租户配置信息，确定第一虚拟交换机之后，所述方法还包括：向所述第一虚拟交换机管理的防火墙虚拟机发送所述流表规则，以便所述防火墙虚拟机根据所述流表规则将通过安全过滤后的所述报文发送至所述第一虚拟交换机。3.根据权利要求1所述的方法，其特征在于，在所述将所述第一租户的流表规则发送至所述第一虚拟交换机之后，所述方法还包括：接收虚拟机迁移指令，所述虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识；获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的待迁移虚拟机的握手信息；将所述待迁移虚拟机的握手信息发送至所述目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。4.根据权利要求3所述的方法，其特征在于，在所述接收虚拟机迁移指令之前，所述方法还包括：接收每个所述虚拟交换机管理的防火墙虚拟机上报的握手信息；存储所述握手信息；所述获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的所述待迁移虚拟机的握手信息，包括：在存储的握手信息中，获取所述第一防火墙虚拟机上报的握手信息；在所述第一防火墙虚拟机上报的握手信息中确定所述待迁移虚拟机的握手信息。5.根据权利要求1至4任一所述的方法，其特征在于，在所述将所述第一租户的流表规则发送至所述第一虚拟交换机之前，所述方法还包括：向每个所述虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。6.一种报文过滤方法，其特征在于，所述报文过滤方法应用于第一虚拟交换机管理的防火墙虚拟机；所述第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的，所述第一虚拟交换机还管理有至少一个业务虚拟机，所述方法包括：接收所述SDN控制模块发送的流表规则，所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的，所述租户配置信息包括：至少一个租户标识，以及每个所述租户标识对应的虚拟机标识和租用指示信息，所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务，所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户；接收所述第一虚拟交换机发送的报文，所述报文是指与第一业务虚拟机交互的报文；根据预设的防火墙安全策略，对所述报文进行安全过滤；根据所述流表规则，将通过安全过滤后的所述报文转发至所述第一虚拟交换机，以便所述第一虚拟交换机根据所述流表规则对通过安全过滤后的所述报文进行转发。7.根据权利要求6所述的方法，其特征在于，在所述接收所述第一虚拟交换机发送的报文之前，所述方法还包括：接收所述SDN控制模块发送的所述预设的防火墙安全策略。8.根据权利要求6所述的方法，其特征在于，在所述接收所述SDN控制模块发送的流表规则之后，所述方法还包括：周期性地向所述SDN控制模块上报所述防火墙虚拟机中存储的所述第一虚拟交换机管理的业务虚拟机的握手信息。9.一种报文过滤方法，其特征在于，所述报文过滤方法应用于数据中心中的软件定义网络SDN控制模块管理的第一虚拟交换机；所述第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机，所述方法包括：接收SDN控制模块发送的流表规则，所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的，所述租户配置信息包括：至少一个租户标识，以及每个所述租户标识对应的虚拟机标识和租用指示信息，所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务，所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户；根据所述流表规则，将与第一业务虚拟机交互的报文，先转发至所述第一虚拟交换机管理的防火墙虚拟机，以便于所述防火墙虚拟机根据预设的防火墙安全策略，对所述报文进行安全过滤，所述第一业务虚拟机为所述第一租户的标识对应的虚拟机标识所指示的虚拟机。10.根据权利要求9所述的方法，其特征在于，所述根据所述流表规则，将与所述第一业务虚拟机交互的报文，先转发至所述第一虚拟交换机管理的防火墙虚拟机，包括：判断所述报文中的目的端口标识所指示的目的端口是否为所述数据中心中的业务虚拟机的端口；当所述目的端口为所述数据中心中的业务虚拟机的端口时，根据所述流表规则，将所述报文转发至所述第一虚拟交换机管理的防火墙虚拟机。11.根据权利要求9或10所述的方法，其特征在于，在所述根据所述流表规则，将与所述第一业务虚拟机交互的报文，先转发至所述第一虚拟交换机管理的防火墙虚拟机之后，所述方法还包括：接收所述防火墙虚拟机发送的通过安全过滤后的所述报文；根据所述流表规则，对通过安全过滤后的所述报文进行转发。12.一种报文过滤设备，其特征在于，所述设备位于数据中心中的软件定义网络SDN控制模块中；所述SDN控制模块管理有至少一个虚拟交换机，每个所述虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机，所述设备包括：第一接收单元，用于接收数据中心管理模块发送的租户配置信息，所述租户配置信息包括：至少一个租户标识，以及每个所述租户标识对应的虚拟机标识和租用指示信息...

【专利技术属性】
技术研发人员：阮涵，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44