【技术实现步骤摘要】
【国外来华专利技术】在覆盖网络中应用安全性策略的方法和系统
本专利技术涉及数据中心基础设施,更具体地,本专利技术涉及向数据中心中的虚拟覆盖网络流量提供深度分组检测服务(deeppacketinspectionservices)。
技术介绍
例如虚拟可扩展局域网(VXLAN)、分布式覆盖虚拟化以太网(DOVE)和其他的虚拟覆盖网络(VirtualOverlayNetworks)利用在原始网络分组之上的分组中封装的协议头创建位置透明性。由于额外的封装协议头,例如物理基础架构路由器、交换机和其它现有的或传统的网络间组件(INEs)不可能确定来自原始分组内部的信息。这是因为在覆盖协议头内部的原始分组被封装为传统INEs的传统数据有效载荷。此外,这种对原始分组缺乏可见性阻止INEs实现复杂的网络安全性和服务。协议像VXLAN使用用户数据报协议/网际协议(UDP/IP)来封装通过物理网络传输的源以太分组。源以太分组通过从发起者到最近的VXLAN网关的网络被隧道化。VXLAN网关将虚拟网络连接至非虚拟网络(具有物理组件的传统网络)。由于VXLAN网关理解(能够处理)VXLAN协议和隧道,它们有能力识别被封装的分组。而且,在例如VXLAN或DOVE网络的覆盖网络中的属于公共租户(例如网络资源的单个用户例如公司、代理、个人等)的虚拟机可以被分成组(例如在VXLAN中具有不同虚拟网络标识符(VNID)的虚拟网络,在DOVE中具有不同域标识符或DOVE虚拟组(DVG)的域),这样可以应用安全性策略规则来控制属于不同组的虚拟机之间的通信。应用安全性策略的一个典型的方法是使用在网络上可以访问的并且有能 ...
【技术保护点】
一种在覆盖网络中应用安全性策略的方法,该方法包括:通过覆盖网络接收通信路径的请求,所述请求由所述覆盖网络中的第一物理交换机发送,其中所述第一物理交换机连接到分组的源,其中所述请求至少包括:分组;第一信息;以及第二信息;确定连接到所述分组的目的地的第二物理交换机;基于下列中的至少一项,确定安全性策略是否要应用于所述分组:所述分组的内容、所述第一信息和所述第二信息;选择所述第一物理交换机和所述第二物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;将所选择的通信路径发送至所述第一物理交换机。
【技术特征摘要】
【国外来华专利技术】2012.10.01 US 13/633,0431.一种在覆盖网络中应用安全性策略的方法,该方法包括:通过覆盖网络接收通信路径的请求,所述请求由所述覆盖网络中的第一物理交换机发送,其中所述第一物理交换机连接到至少一个第一服务器,其中所述请求至少包括:分组、第一信息、以及第二信息,并且其中所述至少一个第一服务器托管至少一个产生所述分组并且是所述分组的源的源虚拟机;确定连接到最接近所述分组的目的地的第二物理交换机,其中指示交换机控制器对覆盖网络节点编程,从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进,并且其中所述第二物理交换机连接到至少一个第二服务器,所述至少一个第二服务器托管至少一个作为所述分组的目的地的目的地虚拟机;响应于接收到通过覆盖网络的通信路经的请求,通知所述第二服务器所述源虚拟机出现在所述第一服务器上;基于下列中的至少一项,确定安全性策略是否要应用于所述分组:所述分组的内容、所述第一信息和所述第二信息;选择所述第一物理交换机和所述第二物理交换机之间的通信路径,其中当确定安全策略不应用于所述分组时,所选择的通信路径直接将所述第一物理交换机连接到所述第二物理交换机,以及其中当确定安全性策略应用于所述分组时,所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机;将所选择的通信路径发送至所述第一物理交换机,使得所述第一物理交换机沿着选择的通信路经发送流量;其中所述第一信息包括产生所述分组的源虚拟机的至少一个地址,以及其中所述分组的源是所述源虚拟机;其中所述第二信息包括所述第二物理交换机的至少一个地址。2.根据权利要求1所述的方法,其中所述确定所述安全性策略是否被应用于所述分组包括:确定所述源虚拟机和所述目的地虚拟机在公共组或域中并确定不应用所述安全性策略;以及确定所述源虚拟机和目标虚拟机不在公共组或域中并确定应用所述安全性策略。3.根据权利要求1所述的方法,其中所述第一物理交换机和所述第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能。4.根据权利要求1所述的方法,其中所述确定该安全性策略是否被应用于所述分组包括:将访问控制列表应用于所述分组以确定所述安全性策略是否被应用于所述分组。5.根据权利要求1所述的方法,其中所述安全性策略通过安全设备指导一个或多个服务的应用,所述服务包括:防火墙服务;入侵预防服务;入侵检测服务;服务器负载均衡服务;虚拟专用网服务;视频优化服务;以及广域网优化服务。6.一种在覆盖网络中应用安全性策略的系统,包括:将第一物理交换机连接到第二物理交换机的覆盖网络;与所述第一物理交换机和所述第二物理交换机通信的交换机控制器;安全设备;连接到所述第一物理交换机的至少一个第一服务器,所述第一服务器托管至少一个源虚拟机;连接到所述第二物理交换机的至少一个第二服务器,所述第二服务器托管至少一个目的地虚拟机;以及虚拟网络控制器,与至少一个所述第一物理交换机、所述第二物理交互机以及该覆盖网络通信,其中所述虚拟网络控制器被配置为:通过所述覆盖网络接收通信路径的请求,所述请求由所述覆盖网络中的所述第一物理交换机发送并包括以下中的至少一个︰分组;关于产生所述分组的该源虚拟机的第一信息;以及关于所述分组的目的地的第二信息,其中所述第二信息至少包括所述第二物理交换机的地址...
【专利技术属性】
技术研发人员:V·然,D·G·卡马斯,J·基达姆比,A·P·库巴赫拉,R·J·雷西奥,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。