在覆盖网络中应用安全性策略的方法和系统技术方案

在一个实施例中，一种在覆盖网络中应用安全性策略的方法包括：通过覆盖网络接收通信路径的请求，所述请求包括分组，基于下列中的至少一项确定安全性策略是否要应用于所述分组：所述分组的内容、第一信息和第二信息；选择源物理交换机和目的地物理交换机之间的通信路径，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述源物理交换机连接到所述目的地物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述源物理交换机连接到所述目的地物理交换机，并且将所选择的通信路径发送至所述源物理交换机。

【技术实现步骤摘要】
【国外来华专利技术】在覆盖网络中应用安全性策略的方法和系统
本专利技术涉及数据中心基础设施，更具体地，本专利技术涉及向数据中心中的虚拟覆盖网络流量提供深度分组检测服务(deeppacketinspectionservices)。
技术介绍
例如虚拟可扩展局域网(VXLAN)、分布式覆盖虚拟化以太网(DOVE)和其他的虚拟覆盖网络(VirtualOverlayNetworks)利用在原始网络分组之上的分组中封装的协议头创建位置透明性。由于额外的封装协议头，例如物理基础架构路由器、交换机和其它现有的或传统的网络间组件(INEs)不可能确定来自原始分组内部的信息。这是因为在覆盖协议头内部的原始分组被封装为传统INEs的传统数据有效载荷。此外，这种对原始分组缺乏可见性阻止INEs实现复杂的网络安全性和服务。协议像VXLAN使用用户数据报协议/网际协议(UDP/IP)来封装通过物理网络传输的源以太分组。源以太分组通过从发起者到最近的VXLAN网关的网络被隧道化。VXLAN网关将虚拟网络连接至非虚拟网络(具有物理组件的传统网络)。由于VXLAN网关理解(能够处理)VXLAN协议和隧道，它们有能力识别被封装的分组。而且，在例如VXLAN或DOVE网络的覆盖网络中的属于公共租户(例如网络资源的单个用户例如公司、代理、个人等)的虚拟机可以被分成组(例如在VXLAN中具有不同虚拟网络标识符(VNID)的虚拟网络，在DOVE中具有不同域标识符或DOVE虚拟组(DVG)的域)，这样可以应用安全性策略规则来控制属于不同组的虚拟机之间的通信。应用安全性策略的一个典型的方法是使用在网络上可以访问的并且有能力应用特定安全性服务的物理安全性设备。因此，为了将安全性服务应用于覆盖网络流量，流量必须被路由到物理安全性设备。然而，中间网络设备例如交换机、路由器等对覆盖流量不可见，因此不能理解一些流量应该被路由至物理安全性设备，而其它流量应该直接被路由至指定的目的地地址。因此，一种允许适当的覆盖流量的方法和网络架构将是非常有益的，其中适当的覆盖流量需要应用的安全性服务被路由至物理安全性设备，从而直接路由于源虚拟机和目的地虚拟机之间的其它流量。
技术实现思路
在一个实施例中，一种在覆盖网络中应用安全性策略的方法包括：通过覆盖网络接收通信路径的请求，所述请求由所述覆盖网络中的第一物理交换机发送，其中所述第一物理交换机连接到分组的源，其中所述请求至少包括：分组，第一信息和第二信息；确定连接到所述分组的目的地的第二物理交换机；基于下列中的至少一项确定安全性策略是否要应用于所述分组：所述分组的内容，第一信息和第二信息，选择所述第一物理交换机和所述第二物理交换机之间的通信路径，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机；以及将所选择的通信路径发送至所述第一物理交换机。在另一个实施例中，一种系统包括：将第一物理交换机连接到第二物理交换机的覆盖网络；与所述第一物理交换机和所述第二物理交换机通信的交换机控制器；安全设备，适于将安全性策略应用于通过所述覆盖网络发送的分组；连接到所述第一物理交换机的至少一个第一服务器，该第一服务器托管至少一个源虚拟机；连接到所述第二物理交换机的至少一个第二服务器，所述第二服务器托管至少一个目的地虚拟机；以及虚拟网络控制器，与至少一个所述第一物理交换机、所述第二物理交换机以及该覆盖网络通信，其中所述虚拟网络控制器包括：适于通过覆盖网络接收通信路径的请求的逻辑，所述请求由该覆盖网络中的第一物理交换机发送并包括以下中的至少一个：分组、关于产生所述分组的所述源虚拟机(VM)的第一信息和关于所述分组的目的地的第二信息；适于确定连接到所述分组的目的地的第二物理交换机的逻辑；适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑：所述分组的内容、第一信息和第二信息；适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑，其中当确定安全性策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机；以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机；以及适于将所选择的通信路径发送至所述第一物理交换机的逻辑。在另一实施例中，一种在覆盖网络中应用安全性策略的计算机程序产品可以包括其上具有计算机程序代码的计算机可读存储介质，该计算机可读程序代码包括：被配置为通过覆盖网络接收通信路径的请求的计算机可读程序代码，所述请求由该覆盖网络中的第一物理交换机发送，其中所述第一物理交换机连接到所述分组的源，其中所述请求至少包括：分组、第一信息和第二信息；被配置为确定连接到所述分组的目的地的第二物理交换机的计算机可读程序代码；被配置为基于下列中的至少一项确定安全性策略是否要应用于所述分组的计算机可读程序代码：所述分组的内容、所述第一信息和所述第二信息；被配置为选择第一物理交换机和第二物理交换机之间的通信路径的计算机可读程序代码，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机；以及被配置为将所选择的通信路径发送至所述第一物理交换机的计算机可读程序代码。根据又一实施例，一种虚拟网络控制器包括：适于通过连接第一物理交换机和第二物理交换机的覆盖网络接收通信路径的请求的逻辑，所述请求由所述第一物理交换机发送并包括以下中的至少一个：分组、关于所述分组的源的第一信息和关于所述分组的目的地的第二信息；适于确定连接到所述第二物理交换机的所述分组的目的地的逻辑，适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑：所述分组的内容、所述第一信息和所述第二信息，适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑，其中当确定安全性策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机，适于将所选择的通信路径发送至所述第一物理交换机的逻辑，其中所述虚拟网络控制器遵照分布式覆盖虚拟化以太网DOVE标准。本专利技术的其他方面及实施例根据下面的详细描述并结合附图来考虑将变得明了，该具体实施方式部分以实例的方式来说明本专利技术的原理。附图说明图1示出根据本专利技术一个实施例的网络架构。图2示出根据一个实施例与图1的服务器和/或客户机相关的代表性硬件环境。图3是根据一个实施例的虚拟化数据中心的简化图。图4是根据一个实施例的具有利用分布式覆盖虚拟化以太网(DOVE)的覆盖网络的简化系统图。图5是根据一个实施例的连接顺序图。图6示出根据一个实施例的分组转发不同阶段的包头。图7是根据一个实施例的方法流程图。具体实施方式下面的描述是用于说明本专利技术的一般原理的目的，并不意味着限制所要求保护的专利技术概念。此外本文档来自技高网...

【技术保护点】
一种在覆盖网络中应用安全性策略的方法，该方法包括：通过覆盖网络接收通信路径的请求，所述请求由所述覆盖网络中的第一物理交换机发送，其中所述第一物理交换机连接到分组的源，其中所述请求至少包括：分组；第一信息；以及第二信息；确定连接到所述分组的目的地的第二物理交换机；基于下列中的至少一项，确定安全性策略是否要应用于所述分组：所述分组的内容、所述第一信息和所述第二信息；选择所述第一物理交换机和所述第二物理交换机之间的通信路径，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机；将所选择的通信路径发送至所述第一物理交换机。

【技术特征摘要】
【国外来华专利技术】2012.10.01 US 13/633,0431.一种在覆盖网络中应用安全性策略的方法，该方法包括：通过覆盖网络接收通信路径的请求，所述请求由所述覆盖网络中的第一物理交换机发送，其中所述第一物理交换机连接到至少一个第一服务器，其中所述请求至少包括：分组、第一信息、以及第二信息，并且其中所述至少一个第一服务器托管至少一个产生所述分组并且是所述分组的源的源虚拟机；确定连接到最接近所述分组的目的地的第二物理交换机，其中指示交换机控制器对覆盖网络节点编程，从而使在所述分组的源和目的地之间传输的任何分组沿着所选择的通信路径行进，并且其中所述第二物理交换机连接到至少一个第二服务器，所述至少一个第二服务器托管至少一个作为所述分组的目的地的目的地虚拟机；响应于接收到通过覆盖网络的通信路经的请求，通知所述第二服务器所述源虚拟机出现在所述第一服务器上；基于下列中的至少一项，确定安全性策略是否要应用于所述分组：所述分组的内容、所述第一信息和所述第二信息；选择所述第一物理交换机和所述第二物理交换机之间的通信路径，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机；将所选择的通信路径发送至所述第一物理交换机，使得所述第一物理交换机沿着选择的通信路经发送流量；其中所述第一信息包括产生所述分组的源虚拟机的至少一个地址，以及其中所述分组的源是所述源虚拟机；其中所述第二信息包括所述第二物理交换机的至少一个地址。2.根据权利要求1所述的方法，其中所述确定所述安全性策略是否被应用于所述分组包括：确定所述源虚拟机和所述目的地虚拟机在公共组或域中并确定不应用所述安全性策略；以及确定所述源虚拟机和目标虚拟机不在公共组或域中并确定应用所述安全性策略。3.根据权利要求1所述的方法，其中所述第一物理交换机和所述第二物理交换机能够向每个交换机接收的和发送的分组提供覆盖功能。4.根据权利要求1所述的方法，其中所述确定该安全性策略是否被应用于所述分组包括：将访问控制列表应用于所述分组以确定所述安全性策略是否被应用于所述分组。5.根据权利要求1所述的方法，其中所述安全性策略通过安全设备指导一个或多个服务的应用，所述服务包括：防火墙服务；入侵预防服务；入侵检测服务；服务器负载均衡服务；虚拟专用网服务；视频优化服务；以及广域网优化服务。6.一种在覆盖网络中应用安全性策略的系统，包括：将第一物理交换机连接到第二物理交换机的覆盖网络；与所述第一物理交换机和所述第二物理交换机通信的交换机控制器；安全设备；连接到所述第一物理交换机的至少一个第一服务器，所述第一服务器托管至少一个源虚拟机；连接到所述第二物理交换机的至少一个第二服务器，所述第二服务器托管至少一个目的地虚拟机；以及虚拟网络控制器，与至少一个所述第一物理交换机、所述第二物理交互机以及该覆盖网络通信，其中所述虚拟网络控制器被配置为：通过所述覆盖网络接收通信路径的请求，所述请求由所述覆盖网络中的所述第一物理交换机发送并包括以下中的至少一个︰分组；关于产生所述分组的该源虚拟机的第一信息；以及关于所述分组的目的地的第二信息，其中所述第二信息至少包括所述第二物理交换机的地址...

【专利技术属性】
技术研发人员：V·然，D·G·卡马斯，J·基达姆比，A·P·库巴赫拉，R·J·雷西奥，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US