基于开放流Openflow表实现云平台安全的方法和装置制造方法及图纸

本申请提供了基于开放流表实现云平台安全的方法和装置。本申请中，云平台中的云服务器上创建用于代替MAC桥的Openflow桥，Openflow桥通过Openflow安全表实现云平台安全，这达到了基于Openflow表实现云平台安全的目的，提高了云平台安全的可控制性能；并且，本发明专利技术中，由于Openflow桥采用Openflow类型的流表实现云平台安全，这可以与云服务器上的其他网桥比如BR-Int、BR-Ext(也采用Openflow类型的流表)统一采用相同的流表管理，简化网络配置和管理。

【技术实现步骤摘要】

本申请涉及网络通信技术，特别涉及基于开放流(Openflow)表实现云平台安全的方法和装置。
技术介绍
安全一直是各云平台的必选特性，在目前的开源云平台和非开源云平台中，都是通过动态学习的ip表(iptable)和二层MAC转发表实现云平台安全的。以开源云平台Openstack为例，非开源云平台原理类似。图1示出了开源云平台Openstack中任一云服务器从逻辑上抽象出的结构图。Linux内核的原生桥(qbr网桥，也称为MAC桥)如图1所示的MACbridge_1、MACbridge_2、MACbridge_3是通过动态学习的iptable和二层MAC转发表实现开源云平台Openstack安全，具体为：以如图1所示的虚拟机(VM：VirtualMachine)1发送报文至VM2为例，VM1通过本地接口eth0发送报文，MAC桥通过VM1的虚拟网卡(Veth：Virtualethernet)在MAC桥的端口Veth1接收到来自VM1发送的报文，依赖于之前动态学习的iptable对报文进行过滤识别，依赖于动态学习的二层MAC转发表继续转发通过过滤的报文可以看出，目前云平台中云服务器上的本文档来自技高网...

【技术保护点】
一种基于开放流Openflow表实现云平台安全的方法，其特征在于，该方法应用于在云平台中的云服务器上创建出的用于代替MAC桥的Openflow桥，Openflow桥连接在所述云服务器上的虚拟机VM和内部桥BR‑Int之间，该方法包括：接收来自本地VM发送的第一报文，将收到第一报文的第一端口、第一报文携带的报文属性参数作为第一关键词在本地预先配置的Openflow安全表中查找匹配条件为第一关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第一报文，若未查找到，丢弃第一报文；接收发向所述VM的第二报文，将收到第二报文的第二端口、第二报文携带的报文属性参...

【技术特征摘要】
1.一种基于开放流Openflow表实现云平台安全的方法，其特征在于，该方法应用于在云平台中的云服务器上创建出的用于代替MAC桥的Openflow桥，Openflow桥连接在所述云服务器上的虚拟机VM和内部桥BR-Int之间，该方法包括：接收来自本地VM发送的第一报文，将收到第一报文的第一端口、第一报文携带的报文属性参数作为第一关键词在本地预先配置的Openflow安全表中查找匹配条件为第一关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第一报文，若未查找到，丢弃第一报文；接收发向所述VM的第二报文，将收到第二报文的第二端口、第二报文携带的报文属性参数作为第二关键词在本地预先配置的Openflow安全表查找匹配条件为所述第二关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第二报文，若未查找到，丢弃第二报文。2.根据权利要求1所述的方法，其特征在于，所述依据查找到的Openflow安全表项中的转发动作转发第一报文包括：在所述第一报文为首包时，通过本Openflow桥上第二端口向BR-Int上与所述第二端口互为一对Peer的第三端口发送第一报文；在所述第一报文不为首包时，在本地Openflow转发表中查找与第一报文匹配的Openflow转发表项，按照查找到的Openflow转发表项中的转发动作转发第一报文。3.根据权利要求2所述的方法，其特征在于，在所述第一报文为首包时，该方法进一步包括：接收云平台中控制器生成并下发的与第一报文匹配的Openflow转发表项，在本地Openflow转发表中存储接收的Openflow转发表项；其中，当第一报文是所述VM发向目的设备的首包且目的设备为同一云服务器上的其他VM时，与第一报文匹配的Openflow转发表项为所述第一报文经由本Openflow桥时查找到的与第一报文匹配的Openflow安全表项、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项、第一报文经由所述目的设备接入的目的Openflow桥时查找到的与第一报文匹配的Openflow安全表项的组合；当第一报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时，与第一报文匹配的Openflow转发表项是所述第一报文经由本Openflow桥时查找到的与第一报文匹配的Openflow安全表项、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项、第一报文经由外部网桥BR-Ext时查找到的与第一报文匹配的Openflow转发表项的组合。4.根据权利要求3所述的方法，其特征在于，所述云服务器上的Openflow桥、BR-Int、BR-Ext通过端口类型为Patch的端口联通。5.根据权利要求1所述的方法，其特征在于，所述依据查找到的Openflow安全表项中的转发动作转发第二报文包括：通过所述Openflow桥连接所述VM的第一端口向所述VM发送第二报文。6.一种基于开放流Openflow表实现云平台安全的装置，其特征在于，该装置应用于在云平台中云服务器上创建出的用于代替MAC桥的Openflow桥，Ope...

【专利技术属性】
技术研发人员：侯叶飞，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33