【技术实现步骤摘要】
一种SDN网络中安全资源管控方法和装置
本专利技术实施例涉及网络安全控制技术,尤指一种SDN网络中安全资源管控方法和装置。
技术介绍
SDN(SoftwareDefinedNetworks,软件定义网络)是一种新型的网络架构,通过将控制平面和数据平面分离,实现网络流量的灵活控制。SDN控制器为了实现对外网流量的安全控制,通常需要具有防火墙功能。如何通过SDN控制器对防火墙资源进行有效的管理,进行业务的部署,成为SDN网络中一个重要的研究方向。通常SDN控制器对安全资源的管理的方案如下:一、通过部署openstack网络节点的方案,该方案通过实现软件防火墙完成对流量的安全控制,但是由于是软件的方式,不能支持大规模的网络部署,网络流量较大的情况下转发能力有限;二、通过部署物理安全设备的方案,该方案通过在网关外部署安全防火墙,通过VXLAN(VirtualExtensibleLocalAreaNetwork,虚拟扩展局域网)网络转发的方式实现安全流量的管控,但是由于传统的安全防火墙设备不支持VXLAN转发,不能使用该方案进行部署。
技术实现思路
本专利技术实施例提供了一种S...
【技术保护点】
1.一种SDN网络中安全资源管控方法,其特征在于,包括:将网关与网关外串联的防火墙使用VLAN的方式互联;将虚拟机发送至外网的流量数据通过所述VLAN方式从所述网关转发到所述防火墙;通过所述防火墙对所述流量数据进行安全控制后转发到外网。
【技术特征摘要】
1.一种SDN网络中安全资源管控方法,其特征在于,包括:将网关与网关外串联的防火墙使用VLAN的方式互联;将虚拟机发送至外网的流量数据通过所述VLAN方式从所述网关转发到所述防火墙;通过所述防火墙对所述流量数据进行安全控制后转发到外网。2.根据权利要求1所述的方法,其特征在于,将网关与网关外串联的防火墙使用VLAN的方式互联包括:提供网关和防火墙的转发配置资源池,所述转发配置资源池包括虚拟路由器、至少一个虚拟局域网VLAN标识和至少两个互联IP地址;将所述转发配置资源池中的虚拟路由器分别绑定所述网关和所述防火墙;从所述转发配置资源池中为所述网关和所述防火墙分配一个虚拟局域网VLAN标识,并通过所述虚拟路由器下发到所述网关和所述防火墙;通过所述VLAN标识在所述网关和所述防火墙分别创建VLAN接口;从所述转发配置资源池中为所述网关和所述防火墙分别分配IP地址作为互联地址,并通过所述虚拟路由器分别下发到所述网关的VLAN接口和所述防火墙的VLAN接口。3.根据权利要求1所述的方法,其特征在于,所述防火墙为防火墙设备或从防火墙设备申请分离出来的虚拟防火墙。4.根据权利要求1所述的方法,其特征在于,通过防火墙对所述流量数据进行安全控制后转发到外网包括:所述虚拟防火墙配置允许或禁止流量数据通过的防火墙规则;当流量数据到达所述虚拟防火墙时,所述虚拟防火墙根据所述防火墙规则对所述流量数据进行匹配;并根据所述防火墙规则确定放行或禁止流量数据。5.根据权利要求1所述的方法,其特征在于,所述方法之前还包括:通过路由器选择网关。6.一种SDN网络中安全资源管控装置,其特...
【专利技术属性】
技术研发人员:徐继浩,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。