安全引流系统、云主机及安全引流方法技术方案

本发明专利技术涉及网络安全技术领域，公开了一种安全引流系统、云主机及安全引流方法，该系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送报文；私有网络模块，设置在云主机上，私有网络模块包括虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，虚拟交换机根据静态路由信息控制第一虚拟路由器将报文发送至目标虚拟网络安全设备，静态路由信息包括目标虚拟网络安全设备的IP地址，目标虚拟网络安全设备为至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，IP地址为至少一个子网中的其中一个子网的IP地址。本发明专利技术提供的安全引流系统能够对NFV设备使用的IP地址进行保密，提升网络的安全性。全性。全性。

【技术实现步骤摘要】
安全引流系统、云主机及安全引流方法


[0001]本专利技术涉及网络安全
，具体涉及安全引流系统、云主机及安全引流方法。

技术介绍

[0002]随着云计算概念的不断落地和推广, 目前云主机已经得到了非常广泛的使用。网络安全设备可以从硬件设备转换为网络功能虚拟化（Network Functions Virtualization，NFV）设备，直接安装在云主机上。在云网络部署环境中，将报文引入到云主机的NFV设备，NFV设备对数据包进行过滤处理（例如过滤虚假源互联网协议（Internet Protocol，IP）地址等异常信息）后重新送往外部网络，能够提升网络安全性。
[0003]目前，在软件定义网络（Software Define Network，SDN）中一般直接通过外部物理交换机的虚拟局域网（Virtual LAN，VLAN）接口将报文引入NFV设备。在这种情况下，NFV设备上配置的IP对VLAN接口是可见的，很难对NFV设备使用的IP进行保密，影响网络安全。

技术实现思路

[0004]有鉴于此，本专利技术提供了一种安全引流系统，以解决无法对NFV设备使用的IP进行保密导致的网络安全性低的问题。
[0005]第一方面，本专利技术提供了一种安全引流系统，所述系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送所述报文；私有网络模块，所述私有网络模块设置在云主机上，所述私有网络模块包括所述虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，所述虚拟交换机根据静态路由信息控制所述第一虚拟路由器将所述报文发送至目标虚拟网络安全设备，所述静态路由信息包括所述目标虚拟网络安全设备的IP地址，所述目标虚拟网络安全设备为所述至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述IP地址为至少一个子网中的其中一个子网的IP地址，所述私有网络模块内配置所述至少一个子网。
[0006]根据本专利技术实施例提供的安全引流系统，第一物理交换机接收到来自于网络设备的报文之后，将报文发送至私有网络模块中的虚拟交换机。虚拟交换机接收到报文之后，将报文转发至第一虚拟路由器，并根据静态路由信息控制第一虚拟路由器将报文转发至目标虚拟网络安全设备。其中，虚拟网络安全设备的IP地址为私有网络模块中至少一个子网中的其中一个子网的IP地址，子网属于私有网络模块的私网，对外部网络不可见。即在本专利技术实施例提供的安全引流系统中，虚拟网络安全设备的IP地址对物理交换机是不可见的，能够对虚拟网络安全设备使用的IP地址进行保密，进而提升网络的安全性。
[0007]在一种可选的实施方式中，所述系统还包括虚拟网络控制模块，所述虚拟网络控制模块用于向所述虚拟交换机发送所述静态路由信息。
[0008]在一种可选的实施方式中，所述系统包括N个所述私有网络模块，所述N个所述私有网络模块分别设置在N个所述云主机上，N为大于或者等于2的整数，所述私有网络模块还包括：双向链路检测模块，用于确定所述第一虚拟路由器和N个所述目标虚拟网络安全设备
之间的N条数据链路是否正常；所述虚拟网络控制模块具体用于：根据数据链路是否正常确定并向所述虚拟交换机发送所述静态路由信息，所述目标虚拟网络安全设备为所述N个所述云主机中具有所述目标功能，且和所述第一虚拟路由器之间的数据链路正常的虚拟网络安全设备。
[0009]根据本专利技术实施例提供的安全引流系统，通过在N个云主机上分别配置N个私有网络模块，并根据数据链路是否正常确定并向虚拟交换机发送静态路由信息，能够避免第一虚拟路由器向故障或者失联的目标NFV设备转发报文，提高安全引流系统的引流效率。
[0010]在一种可选的实施方式中，当至少两条数据链路正常时，所述静态路由信息为等价多路径静态路由信息。
[0011]根据本专利技术实施例提供的安全引流系统，由于配置了等价多路径静态路由信息，可以配置负载均衡策略，使得流量在多个目标虚拟网络安全设备之间进行负载分担。
[0012]在一种可选的实施方式中，所述双向链路检测模块还用于确定所述N个所述云主机中任意两个所述云主机之间的隧道状态是否正常；所述虚拟网络控制模块还用于根据隧道状态是否正常确定目标云主机，所述目标云主机与所述第一虚拟路由器绑定，所述目标云主机为所述N个所述云主机中的其中一个云主机。
[0013]根据本专利技术实施例提供的安全引流系统，将第一虚拟路由器和目标云主机进行绑定，能够避免第一物理交换机中的MAC表项漂移导致的网络不稳定问题，根据隧道状态是否正常确定目标云主机，能够避免将第一虚拟路由器绑定在故障的云主机上，保证第一虚拟路由器能够将报文引入目标虚拟网络安全设备。
[0014]在一种可选的实施方式中，所述虚拟网络控制模块具体用于：将所述N个所述云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。
[0015]在本实施例中，可以将第一虚拟路由器绑定在隧道状态正常的数量最多的云主机上，使安全引流系统以在更多的云主机上进行负载均衡策略。
[0016]在一种可选的实施方式中，所述N个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：若隧道状态正常的数量最大的云主机包括多个，则将所述隧道状态正常的数量最大的云主机中优先级最高云主机确定为所述目标云主机。
[0017]在本实施例中，可以避免云主机隧道状态正常的数量相同导致的安全引流系统无法确定目标云主机的情况。
[0018]在一种可选的实施方式中，所述N个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述N个所述云主机中隧道状态正常的数量大于或者等于预设值的云主机。
[0019]在本实施例中，可以直接确定优先级最大的云主机的隧道状态正常数量是否超过预设值，若是，则可以在不确定其他云主机的隧道状态的情况下，直接确定目标云主机，提高安全引流系统的引流效率。
[0020]在一种可选的实施方式中，所述私有网络模块还包括第二虚拟路由器，所述虚拟交换机通过所述第二虚拟路由器从所述目标虚拟网络安全设备处获取第一报文，并向所述第一物理交换机发送所述第一报文，所述第一报文为经过所述目标虚拟网络安全设备处理的所述报文。
[0021]根据本专利技术实施例提供的安全引流系统，不仅可以将报文引入目标虚拟网络安全
设备，还可以通过第二虚拟路由器和虚拟交换机将经过目标虚拟网络设备处理的报文（第一报文）转发至第一物理交换机，进而送往终端设备。
[0022]在一种可选的实施方式中，所述虚拟网络控制模块包括北向数据库单元、后台管理单元、南向数据库单元和控制单元；所述北向数据库单元，用于存储来自于云管理平台的路由配置信息；所述后台管理单元，用于将所述路由配置信息转化为逻辑流表；所述南向数据库单元，用于存储所述逻辑流表；所述控制单元，用于将所述逻辑流表转换为所述静态路由信息，并向所述虚拟交换机发送所述静态路由信息。
[0023]在一种可选的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全引流系统，其特征在于，所述系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送所述报文；私有网络模块，所述私有网络模块设置在云主机上，所述私有网络模块包括所述虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，所述虚拟交换机根据静态路由信息控制所述第一虚拟路由器将所述报文发送至目标虚拟网络安全设备，所述静态路由信息包括所述目标虚拟网络安全设备的IP地址，所述目标虚拟网络安全设备为所述至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述IP地址为至少一个子网中的其中一个子网的IP地址，所述私有网络模块内配置所述至少一个子网。2.根据权利要求1所述的系统，其特征在于，所述系统还包括虚拟网络控制模块，所述虚拟网络控制模块用于向所述虚拟交换机发送所述静态路由信息。3.根据权利要求2所述的系统，其特征在于，所述系统包括N个所述私有网络模块，所述N个所述私有网络模块分别设置在N个所述云主机上，N为大于或者等于2的整数，所述私有网络模块还包括：双向链路检测模块，用于确定所述第一虚拟路由器和N个所述目标虚拟网络安全设备之间的N条数据链路是否正常；所述虚拟网络控制模块具体用于：根据数据链路是否正常确定并向所述虚拟交换机发送所述静态路由信息，所述目标虚拟网络安全设备为所述N个所述云主机中具有所述目标功能，且和所述第一虚拟路由器之间的数据链路正常的虚拟网络安全设备。4.根据权利要求3所述的系统，其特征在于，当至少两条数据链路正常时，所述静态路由信息为等价多路径静态路由信息。5.根据权利要求3或4所述的系统，其特征在于，所述双向链路检测模块还用于确定所述N个所述云主机中任意两个所述云主机之间的隧道状态是否正常；所述虚拟网络控制模块还用于根据隧道状态是否正常确定目标云主机，所述目标云主机与所述第一虚拟路由器绑定，所述目标云主机为所述N个所述云主机中的其中一个云主机。6.根据权利要求5所述的系统，其特征在于，所述虚拟网络控制模块具体用于：将所述N个所述云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。7.根据权利要求6所述的系统，其特征在于，所述N个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：若隧道状态正常的数量最大的云主机包括多个，则将多个所述隧道状态正常的数量最大的云主机中优先级最高的云主机确定为所述目标云主机。8.根据权利要求5所述的系统，其特征在于，所述N个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述N个所述云主机中隧道状态正常的数量大于或者等于预设值的云主机。9.根据权利要求1至4中任一项所述的系统，其特征在于，所述私有网络模块还包括第二虚拟路由器，所述虚拟交换机通过所述第二虚拟路由器从所述目标虚拟网络安全设备处获取第一报文，并向所述第一物理交换机发送所述第一报文，所述第一报文为经过所述目标虚拟网络安全设备处理的所述报文。10.根据权利要求2至4中任一项所述的系统，其特征在于，所述虚拟网络控制模块包括
北向数据库单元、后台管理单元、南向数据库单元和控制单元；所述北向数据库单元，用于存储来自于云管理平台的路由配置信息；所述后台管理单元，用于将所述路由配置信息转化为逻辑流表；所述南向数据库单元，用于存储所述逻辑流表；所述控制单元，用于将所述逻辑流表转换为所述静态路由信息，并向所述虚拟交换机发送所述静态路由信息。11.根据权利要求10所述...

【专利技术属性】
技术研发人员：王传雷，王培辉，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：