一种用于云安全资源池的分布式引流系统及其引流方法技术方案

本申请公开了一种用于云安全资源池的分布式引流系统，包括转发模块和控制模块；所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合；两个SDN交换机之间通过peer‑link链路进行连接，在两台SDN交换机上分别形成peer‑link接口，当流量进入本侧SDN交换机的peer‑link接口时会直接发送到对侧SDN交换机的peer‑link接口；在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx；在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。本系统提高了转发效率，增加了兼容性。

【技术实现步骤摘要】
一种用于云安全资源池的分布式引流系统及其引流方法
本申请涉及安全资源池流量引流系统的
，尤其涉及一种用于云安全资源池的分布式引流系统及其引流方法。
技术介绍
随着《网络安全法》的实施，云计算安全越来越为各行业用户所重视，而云安全资源池作为云计算安全的一种通用解决方案，首要任务是将用户网络流量引入自身平台内进行处理，而网络流量通常是通过核心交换机引入，因此可以说核心交换机是维持用户网络的关键所在，如果将安全资源池与核心交换机直接连接，不但会占用核心交换机接口，也使得部署不灵活，而且由于核心交换机引流的引流点是在一台安全资源池上，当其故障时，需要软件监测到故障后将引流点从故障机器迁移到另外一台机器上；当安全资源池内安全网元与其不在同一服务器时，存在流量传输冗余情况，即流量需要从引流点服务器传输到安全网元所在服务器，因此，考虑到传输的安全稳定性，通常采用在核心交换机和安全资源池之间设置引流交换机的方式。而现有技术中通过交换机引流方式，如双台堆叠交换机引流方式，也就是核心交换机与安全资源池之间通过堆叠交换机连接的方式，解决了占用核心交换机接口的问题，但是无法解决引流流量切换、引流流量不灵活问题，同时引入了引流Bypass流量路径增长问题，当服务链发生故障时，引流流量使用Bypass回到核心交换机的路径，在堆叠交换机引流方式中，流量的bypass路径为：核心交换机->普通堆叠交换机->引流点服务器->普通堆叠交换机->核心交换机，这样会使得Bypass路径过长，路径经过的装置过多，也就降低了引流的可靠性。在上述现有技术的基础上，为了解决bypass路径过长的问题，我们引入了SDN交换机，由于SDN交换机可以通过OpenFlow协议连接SDN控制器，接收SDN服务器对其下发的流表，也可以对其内部接口对数据包的接收和发送以及bypass路径进行设置，由此使兼顾高可靠性的和高灵活性的引流需求成为可能，而现有技术中通常只使用单台SDN交换机，或者仅仅对其的硬件层次进行简单设置，缺少能够同时解决流量引流可靠性问题、灵活性问题和bypass路径问题的快捷、优化的设计方案。
技术实现思路
为了解决上述问题，本申请提供一种用于云安全资源池的分布式引流系统，包括转发模块和控制模块；所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，将SDN交换机连接核心交换机的链路聚合接口设置为连核接口，将SDN交换机连接安全资源池的链路聚合接口设置为连池接口；两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口时会直接发送到对侧SDN交换机的peer-link接口；在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。其中，所述控制模块还包括流表计算模块，所述流表计算模块根据所述转发模块的拓扑配置信息和流量的报文信息生成流表后，通过SDN控制器向SDN交换机下发流表。其中，所述分布式引流系统还包括业务模块，所述业务模块中的业务应用能够通过API对控制模块进行调用，实现所述业务应用需要的引流策略。其中，所述流表实现的引流策略为：设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；设置引流策略为：当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；当有外部接口出现故障时，进入步骤S30；S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤302；S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的流量通路。S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。本申请还提供一种使用如上所述的用于云安全资源池的分布式引流系统的引流方法，步骤包括：S10，对转发模块的拓扑结构进行配置，将所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，两台SDN交换机之间以peer-link链路进行连接，使安全资源池、核心交换机与两台SDN交换机之间形成M-LAG双活系统；在SDN交换机上设置连核接口、连池接口、peer-link接口以及loopback接口；S20，将两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，在连核接口上定义虚拟Vlan接口作为核心交换机向安全资源池流量的引流接口；S30,控制模块通过获取S10和S20中的拓扑配置信息、接口信息、以及所述引流接口的流量的报文信息生成引流策略，将引流策略以流表形式通过SDN控制器向所述SDN交换机下发，在SDN的各接口之间生成引流策略的流量通路。其中，所述流表中流表项的内容与流量的报文信息进行匹配，用来匹配的流表项的内容至少包括引流接口的VlanID，引流接口本文档来自技高网...

【技术保护点】
1.一种用于云安全资源池的分布式引流系统，其特征在于，包括转发模块和控制模块；/n所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；/n所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，将SDN交换机连接核心交换机的链路聚合接口设置为连核接口，将SDN交换机连接安全资源池的链路聚合接口设置为连池接口；/n两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口时会直接发送到对侧SDN交换机的peer-link接口；/n在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；/n在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；/n所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。/n

【技术特征摘要】
1.一种用于云安全资源池的分布式引流系统，其特征在于，包括转发模块和控制模块；
所述转发模块包括安全资源池、核心交换机以及两台SDN交换机；
所述安全资源池与核心交换机分别与两台SDN交换机进行跨设备链路聚合，将SDN交换机连接核心交换机的链路聚合接口设置为连核接口，将SDN交换机连接安全资源池的链路聚合接口设置为连池接口；
两个SDN交换机之间通过peer-link链路进行连接，在两台SDN交换机上分别形成peer-link接口，当流量进入本侧SDN交换机的peer-link接口时会直接发送到对侧SDN交换机的peer-link接口；
在SDN交换机还包括有loopback接口，loopback接口具有发送通道tx和接收通道rx，当流量从loopback接口的tx通道发送出去后能够原样的从rx通道接收到；
在连核接口上定义虚拟的Vlan接口作为核心交换机向安全资源池流量的引流接口；
所述控制模块包括SDN控制器，所述两台SDN交换机与SDN控制器通过OpenFlow协议通讯连接，SDN控制器向SDN交换机下发流表。


2.如权利要求1所述的用于云安全资源池的分布式引流系统，其特征在于，所述控制模块还包括流表计算模块，所述流表计算模块根据所述转发模块的拓扑配置信息和流量的报文信息生成流表后，通过SDN控制器向SDN交换机下发流表。


3.如权利要求1所述的用于云安全资源池的分布式引流系统，其特征在于，所述分布式引流系统还包括业务模块，所述业务模块中的业务应用能够通过API对控制模块进行调用，实现所述业务应用需要的引流策略。


4.如权利要求1-3所述的用于云安全资源池的分布式引流系统，其特征在于，所述流表实现的引流策略为：
设置流量从客户发送端经过核心交换机到达安全资源池，再返回核心交换机，到达客户端接收端的过程中，设置流量从客户发送端到安全资源池的过程为A过程，设置流量从安全资源池到客户接收端的过程为B过程；设置引流策略为：
当所有外部接口都正常运作时，在SDN交换机的连核接口和本侧连池接口之间形成流量通路，在A过程中，由SDN交换机的连核接口发往本侧连池接口，在B过程中，由SDN交换机的连池接口发往本侧连核接口；
当有外部接口出现故障时，进入步骤S30；
S30，当全部连核接口都故障时，A过程与B过程中SDN交换机内的流量通路都失效；
当有连核接口可以正常运作时，判断连池接口是否全部故障，判断为是时，进入步骤S301，判断为否时，进入步骤S302；
S301，B过程中所有流量通路都失效；A过程中的流量需要通过bypass路径返回核心交换机，判断连核接口是否全部正常运作；
判断为是时，A过程中的流量由本侧连核接口经过本侧的peer-link接口进入对侧peer-link接口，再经过对侧loopback接口，发向对侧连核接口，从而回到核心交换机；
判断为否时，A过程中的流量由SDN的连核接口经过本侧的peer-link接口发往本侧loopback接口，回到本侧连核接口，从而回到核心交换机；
S302，当有本侧的连池接口和连核接口能够同时正常运作时，进入步骤S3021；当没有本侧的连池接口和连核接口能够同时正常运作，只有异侧的连池接口和连核接口可以同时正常运作时，进入步骤S3022；
S3021，在本侧的连池接口和连核接口之间形成A过程和B过程的第一流量通路；
当对侧的连池接口故障时，在对侧连核接口、对侧peer-link接口、本侧peer-link接口以及本侧连池接口之间形成A过程和B过程的第二流量通路；
当对侧的连核接口故障时，在对侧的连池接口、对侧的peer-link接口、本侧的peer-link接口以及本侧的连核接口之间形成A过程和B过程的第二流量通路。
S3022，在可以正常运作的异侧连池接口和连核接口之间，通过peer-link接口，形成A过程和B过程的流量通路。


5.一种使用如权利要求1-4任一项所述的用于云安全资源池的分布式引流系统的引流方法，其特征在于，所述方法的步骤包括：
S10，对转发模块的拓扑结构进行配置，将所述安...

【专利技术属性】
技术研发人员：李岩，胡毅勋，郭春梅，姚雪，
申请(专利权)人：启明星辰信息技术集团股份有限公司，北京启明星辰信息安全技术有限公司，北京网御星云信息技术有限公司，
类型：发明
国别省市：北京;11