一种安全资源池的流量编排方法及系统技术方案

本发明专利技术提供了一种安全资源池的流量编排方法及系统，所述方法包括：根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理安全资源池中多个服务器的编排链，编排链用于表示来自租户的业务流量需要经过安全资源池中多个虚拟安全设备的顺序；通过引流路由器将业务流量经二层交换机发送至安全资源池；通过安全资源池中的编排器按照编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，每个所述编排器预分配有一个用于流量牵引的IP地址。流量牵引的IP地址。流量牵引的IP地址。

【技术实现步骤摘要】
一种安全资源池的流量编排方法及系统


[0001]本专利技术涉及网络安全领域，尤其涉及一种安全资源池的流量编排方法及系统。

技术介绍

[0002]在公有云或者私有云场景中，租户存在对其云主机的安全防护需求，其中一种防护方案是在独立于云环境的多台宿主机上部署多个安全虚拟机组成安全资源池，然后云平台将租户流量牵引到安全资源池中进行安全防护。由于安全资源池中存在多种虚拟安全设备，每种虚拟安全设备又是多台，如何高效编排租户流量使租户流量得到防护就显得十分重要。
[0003]现有主要是给所有虚拟安全设备的接口配置IP地址，在安全资源池中构建一个三层互通网络，通过在虚拟安全设备上配置路由，来实现安全服务编排。在实际编排过程中，每接入一个虚拟安全设备就需要给这个设备配置业务口IP，租户每下发一条策略，就需要针对编排设备进行路由配置，这样的话，整个配置过程繁琐且效率低。此外，当策略数变多时，路由条目数也会增多，导致效率和性能较低。
[0004]可见，现有流量编排方法存在编排效率低的技术问题。

技术实现思路

[0005]本专利技术实施例提供了一种安全资源池的流量编排方法及系统，用于提高流量编排效率。
[0006]第一方面，本专利技术实施例提供了一种安全资源池的流量编排方法，包括：
[0007]根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链，所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序；
[0008]通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池；
[0009]通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；
[0010]其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，并通过所述两个业务口与对应的所述编排器之间通信连接，每个所述编排器部署有一个对外互联口，并通过一个所述对外互联口与所述二层交换机之间通信连接，且每个所述编排器预分配有一个用于流量牵引的IP地址。
[0011]在其中一种可能的实现方式中，所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排，包括：
[0012]通过所述编排器识别所述业务流量对应的数据包的目的MAC地址，并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序；
[0013]按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。
[0014]在其中一种可能的实现方式中，所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排，包括：
[0015]若所述编排链包括的各个虚拟安全设备在同一目标服务器中，且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址，或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址，则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口；
[0016]若所述目的MAC地址与所述目标服务器的MAC地址不同，则通过所述编排器将所述数据包发送给二层交换机，通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。
[0017]在其中一种可能的实现方式中，在所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排之前，所述方法还包括：
[0018]通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口，并收集各接口的MAC地址；
[0019]根据各接口构造arp数据包，建立各接口与MAC地址间的对应关系。
[0020]在其中一种可能的实现方式中，在所述建立各接口与MAC地址间的对应关系之后，所述方法还包括：
[0021]若接收到来自所述租户的arp请求的arp数据包，且所述arp数据包的IP地址与所述编排器预分配的IP地址相同，则通过所述编排器构造arp响应数据包，并将所述arp响应数据包放到发包队列中，并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口；
[0022]若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
[0023]在其中一种可能的实现方式中，在所述建立各接口与MAC地址间的对应关系之后，所述方法还包括：
[0024]若接收到来自所述租户的arp请求的arp数据包，且所述arp数据包的IP地址与所述编排器预分配的IP地址相同，则通过所述编排器构造arp响应数据包，并将所述arp响应数据包放到发包队列中，并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口；
[0025]若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
[0026]在其中一种可能的实现方式中，若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址，且收包接口是所述目标服务器的业务口，所述方法还包括：
[0027]通过所述编排器确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备，若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备，则将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址，所述目的MAC地址修改为所述引流路由器的MAC地址，并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口；
[0028]若所述目的MAC地址对应的当前虚拟安全设备不是所述编排链的最后一个设备，则通过所述编排器将所述arp数据包的源MAC地址修改后收包接口的MAC地址，所述目的MAC地址为下一个虚拟安全设备的MAC地址，并将接收所述arp数据包的接口设置为所述目标服务器的对外互联口，若所述arp数据包的目的IP地址和所述编排器预分配的IP地址相同，则所述arp数据包的流量方向为正向，则通过所述编排器将所述目的MAC地址设置为下一个虚拟安全设备的第一个业务口的MAC地址，其中，在所述编排链上，所述下一个虚拟安全设备位于所述当前虚拟安全设备的后面，每个虚拟安全设备包括第一个业务口和第二个业务口，所述arp数据包由第一个业务口流至第二个业务口的方向为正向；若所述arp数据包的源IP地址和所述编排器预分配的IP地址相同，所述arp数包的流量方向为反向，则通过所述编排器将所述目的MAC地址作为所述下一个虚拟安全设备的第二个业务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全资源池的流量编排方法，其特征在于，包括：根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链，所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序；通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池；通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，并通过所述两个业务口与对应的所述编排器之间通信连接，每个所述编排器部署有一个对外互联口，并通过一个所述对外互联口与所述二层交换机之间通信连接，且每个所述编排器预分配有一个用于流量牵引的IP地址。2.如权利要求1所述的方法，其特征在于，所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排，包括：通过所述编排器识别所述业务流量对应的数据包的目的MAC地址，并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序；按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。3.如权利要求2所述的方法，其特征在于，所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排，包括：若所述编排链包括的各个虚拟安全设备在同一目标服务器中，且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址，或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址，则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口；若所述目的MAC地址与所述目标服务器的MAC地址不同，则通过所述编排器将所述数据包发送给二层交换机，通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。4.如权利要求1所述的方法，其特征在于，在所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排之前，所述方法还包括：通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口，并收集各接口的MAC地址；根据各接口构造arp数据包，建立各接口与MAC地址间的对应关系。5.如权利要求4所述的方法，其特征在于，在所述建立各接口与MAC地址间的对应关系之后，所述方法还包括：若接收到来自所述租户的arp请求的arp数据包，且所述arp数据包的IP地址与所述编排器预分配的IP地址相同，则通过所述编排器构造arp响应数据包，并将所述arp响应数据包放到发包队列中，并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口；若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。
6.如权利要求5所述的方法，其特征在于，在接收到来自所述租户的arp请求的arp数据包之后，所述方法还包括：若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址，且收包接口是所述目标服务器的对外互联口，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目的MAC地址对应的业务口。7.如权利要求6所述的方法，其特征在于，若所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址，且收包接口是所述目标服务器的业务口，所述方法还包括：通过所述编排器确定所述目的MAC地址对应的当前虚拟安全设备是否为所述编排链的最后一个设备，若所述目的MAC地址对应的当前虚拟安全设备是所述编排链的最后一个设备，则将所述arp数据包的源MAC地址修改为所述目标服务器的MAC地址，所述目的MAC地址修改为所述引流路由器的MAC地址，并将所述arp数据包的发送接口设置为所...

【专利技术属性】
技术研发人员：黄俊，凌杰，张晓峰，吴小文，蔺宪武，吴飞，杨慧平，
申请(专利权)人：北京神州绿盟科技有限公司神州绿盟成都科技有限公司，
类型：发明
国别省市：