本申请提供一种实现安全组功能的方法及装置,应用于软件定义网络SDN控制器,该方法包括:接收虚拟交换机上送的流表项请求报文;将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配;根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。本申请通过在控制器中进行安全组检查,避免了系统资源的浪费,提供了系统的工作效率。
【技术实现步骤摘要】
实现安全组功能的方法及装置
本申请涉及网络通信
,尤其涉及一种实现安全组功能的方法及装置。
技术介绍
目前,在SDN(Software Defined Networks,软件定义网络)网络中,SDN控制器向虚拟交换机下发流表项,虚拟交换机根据该流表项对虚拟机的业务报文进行处理。虚拟机与虚拟交换机之间通过Linux的bridge(网桥)相连,并通过在bridge上运行用于IP(Internet Protocol,网际协议)信息包过滤的IPtables(网际协议地址表)实现安全组功能。安全组是一系列网络安全策略的集合,限定特定端口允许通过的网络流量的类型和方向。 现有安全组实现方案需要为每一个虚拟机创建对应的bridge,并在每一个bridge中进行IPtables的配置。当网络中存在大量虚拟机时,需要创建同等数量的bridge,造成系统资源的浪费,同时增加了配置的工作量。同时,报文传输需要经过bridge和虚拟交换机两次转发才能到达虚拟机,导致系统性能下降。
技术实现思路
有鉴于此,本申请提供了一种实现安全组功能的方法,应用于软件定义网络SDN控制器,该方法包括: 接收虚拟交换机上送的流表项请求报文; 将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配; 根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。 本申请还提供了一种实现安全组功能的装置,应用于软件定义网络SDN控制器,该装置包括: 接收单元,用于接收虚拟交换机上送的流表项请求报文; 匹配单元,用于将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配; 下发单元,用于根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。 本申请在控制器中预先配置安全组策略,当接收到虚拟交换机上送的流表项请求报文时,根据该流表项请求报文中携带的业务报文的报文特征进行安全组检查,对于通过安全组检查的业务报文,向虚拟交换机下发该业务报文的流表项。本申请在流表项处理过程中进行安全组检查,避免了系统资源的浪费,同时,提高了系统的工作效率。 【附图说明】 图1是虚拟环境下的SDN网络结构示意图; 图2是本申请一种实施例中实现安全组功能方法的处理流程图; 图3是本申请一种实施例中实现安全组功能装置的基础硬件示意图; 图4-1是本申请一种实施例中实现安全组功能装置的结构示意图; 图4-2是本申请另一种实施例中实现安全组功能装置的结构示意图; 图4-3是本申请另一种实施例中实现安全组功能装置的结构示意图。 【具体实施方式】 为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图对本申请所述方案作进一步地详细说明。 图1所示为虚拟环境下的SDN网络结构示意图。该SDN网络包括服务器1、服务器2以及控制器,其中,服务器I中包括虚拟机VM1、VM2以及虚拟交换机OVSl,VMl连接在OVSl的端口 SI上,VM2连接在OVSl的端口 S2上;服务器2中包括虚拟机VM3、VM4以及虚拟交换机0VS2,VM3连接在0VS2的端口 S3上,VM4连接在0VS2的端口 S4上。控制器通过向虚拟交换机下发流表项,指导虚拟交换机按照流表项处理业务报文。 在对SDN网络中的业务报文实行安全组策略时,现有技术方案通常采用在虚拟机和虚拟交换机之间配置虚拟网桥,在虚拟网桥上运行安全组功能,且每一个虚拟机需单独配置虚拟网桥,占用了大量的系统资源,同时,业务报文需要经过虚拟交换机和虚拟网桥的两次转发,导致系统的工作效率降低。 针对上述问题,本申请实施例提出一种实现安全组功能的方法,该方法无需在虚拟机和虚拟交换机之间配置虚拟网桥,虚拟机直接与虚拟交换机相连。控制器在接收到虚拟交换机上送的流表项请求报文后,将流表项请求报文中携带的业务报文的报文特征与控制器中预先配置的安全组策略进行匹配,对通过安全组检查的业务报文,向虚拟交换机下发该业务报文的流表项。 参见图2,为本申请实现安全组功能方法的一个实施例流程图,该实施例对实现安全组功能的处理过程进行描述。 步骤210,接收虚拟交换机上送的流表项请求报文。 在SDN网络中,控制器与交换机之间通过管理协议(例如,OpenFlow协议)进行信息交互,在信息交互过程中实现流表项的下发。本申请实施例中控制器与虚拟交换机之间的信息交互以OpenFlow协议为例进行说明。 与虚拟机相连的虚拟交换机在接收到业务报文后,查询本地的流表项,若没有找到与该业务报文匹配的流表项,则通过packet in报文(流表项请求报文)向控制器请求业务报文对应的流表项。控制器接收虚拟交换机上送的流表项请求报文,进行后续处理。 步骤220,将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配。 控制器接收到虚拟交换机上送的流表项请求报文后,从该流表项请求报文中提取业务报文,并从该业务报文中获取与虚拟交换机相连的虚拟机的IP地址,由于控制器负责SDN网络拓扑结构的收集和路径计算,因此,知道该虚拟机连接在虚拟交换机的哪个端口上。 控制器中预先设置了虚拟机端口与安全组策略的绑定关系,因此,在确定了虚拟机所连接的虚拟交换机的端口后,可以查询与该端口绑定的安全组策略。该安全组策略为网络管理员根据实际的业务需求对SDN网络内的业务流量加以限定而制定的一系列安全策略的集合。例如,当网络管理员不允许使用某台虚拟机的用户访问外网时,可以通过制定安全组策略禁止该虚拟机访问外网。 控制器从流表项请求报文中提取业务报文的报文特征(例如,业务报文的源IP地址和目的IP地址),将该报文特征与前述虚拟交换机端口对应的安全组策略(例如,禁止源IP地址为60.1.1.2,目的IP地址为80.1.1.20的业务报文转发)进行匹配,以确定该业务报文是否可以通过安全组检查。 步骤230,根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。 根据步骤220中的匹配结果,向虚拟交换机下发与虚拟机连接的端口对应的流表项,分为以下两种情况进行处理: 当匹配结果为允许交换机转发接收到的业务报文时,可以向虚拟交换机下发该业务报文的转发流表项,以指导虚拟交换机按照该转发流表项对业务报文进行转发。 当匹配结果为不允许交换机转发接收到的业务报文,可以向虚拟交换机下发该业务报文的丢弃流表项,以使虚拟交换机丢弃该业务报文,不进行业务报文转发。 当虚拟交换机端口的安全组策略发生变化时,例如,重新配置端口的安全组策略或删除端口的安全组策略时,可以通知虚拟交换机删除与该端口相关的所有流表项,以便虚拟机交换机在接收到业务报文后重新向控制器发送packet in报文,控制器根据新的安全组策略对业务报文进行检测,重新向交换机下发流表项。 上述安全组策略发生变化时的处理方法虽然能够保证流表项的同步更新,但虚拟交换机删除大量的流表项后,会集中发送packet in报文向控制器请求流表项,造成不必要的网络拥塞,不利于网络稳定。 本申请实施例针对上述问题,采取了一种更优的处理方式,具体为:当虚拟交换机端口的安全组策略发生变化时,向虚拟交换机下发第一流表项,该第一流表本文档来自技高网...
【技术保护点】
一种实现安全组功能的方法,应用于软件定义网络SDN控制器,其特征在于,该方法包括:接收虚拟交换机上送的流表项请求报文;将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配;根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。
【技术特征摘要】
1.一种实现安全组功能的方法,应用于软件定义网络SDN控制器,其特征在于,该方法包括: 接收虚拟交换机上送的流表项请求报文; 将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配; 根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项。2.如权利要求1所述的方法,其特征在于,所述将所述流表项请求报文中携带的业务报文的报文特征与预设的安全组策略进行匹配之前,还包括: 根据所述流表项请求报文中携带的虚拟机的网际协议IP地址,确定与所述虚拟机连接的所述虚拟交换机的端口; 查询所述端口的预设安全组策略; 所述将所述流表项请求报文中携带的业务报文的报文特征与预设安全组策略进行匹配,具体包括: 将所述流表项请求报文中携带的业务报文的报文特征与所述端口的预设安全组策略进行匹配; 所述根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项,具体包括: 根据匹配结果,向所述虚拟交换机下发与所述端口对应的用于处理所述业务报文的流表项。3.如权利要求1或2所述的方法,其特征在于,所述根据匹配结果,向所述虚拟交换机下发用于处理所述业务报文的流表项,包括: 当允许转发所述业务报文时,向所述虚拟交换机下发用于转发所述业务报文的转发流表项; 当不允许转发所述业务报文时,向所述虚拟交换机下发用于丢弃所述业务报文的丢弃流表项。4.如权利要求2所述的方法,其特征在于,还包括: 当所述端口的预设安全组策略发生变化时,通知所述虚拟交换机删除与所述端口对应的流表项。5.如权利要求2所述的方法,其特征在于,还包括: 当所述端口的预设安全组策略发生变化时,向所述虚拟交换机下发第一流表项,所述第一流表项的优先级高于已下发的与所述变化的安全组策略相关的流表项,以使所述虚拟交换机根据所...
【专利技术属性】
技术研发人员:温涛,林涛,丁波,叶镖翔,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。