本申请涉及网络通信技术领域,特别涉及一种策略配置方法及装置。该方法应用于控制器,创建第一EPG和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至第一EPG,将第一虚拟路由器成员添加至第二EPG;配置跨第一虚拟路由器和第二虚拟路由器的应用策略,并为应用策略配置规则;将应用策略拆分为第一策略路由和第二策略路由,其中,第一策略路由所引用的ACL匹配的源为第一EPG,目的为第二EPG;第二策略路由所引用的ACL匹配的源为第二EPG,目的为第一EPG;将第一策略路由下发至第二虚拟路由器对应的第一网络设备,并将第二策略路由下发至第一虚拟路由器对应的第二网络设备。的第二网络设备。的第二网络设备。
【技术实现步骤摘要】
一种策略配置方法及装置
[0001]本申请涉及网络通信
,特别涉及一种策略配置方法及装置。
技术介绍
[0002]微分段是一种基于精细分组的安全隔离技术,用来实现服务器之间的流量转发控制,其技术价值体现在更精细、更灵活的安全隔离,配置简单、便于维护,节省设备ACL资源等。
[0003]但是在跨虚拟路由器间的微分段服务链部署场景中,仍然存在下发配置过于复杂,占用设备硬件ACL资源较多的问题。
技术实现思路
[0004]本申请提供了一种策略配置方法及装置。
[0005]第一方面,本申请提供了一种策略配置方法,应用于控制器,所述方法包括:
[0006]创建第一EPG端点组和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至所述第一EPG,将所述第一虚拟路由器成员添加至所述第二EPG;
[0007]配置跨所述第一虚拟路由器和所述第二虚拟路由器的目标应用策略,并为所述目标应用策略配置目标规则,其中,所述目标规则的源EPG为所述第一EPG,目的EPG为所述第二EPG,方向为正/反向;
[0008]将所述目标应用策略拆分为第一策略路由和第二策略路由,其中,所述第一策略路由所引用的ACL匹配的源EPG为所述第一EPG,目的EPG为所述第二EPG;所述第二策略路由所引用的ACL匹配的源EPG为所述第二EPG,目的EPG为所述第一EPG;
[0009]将所述第一策略路由下发至所述第二虚拟路由器对应的第一网络设备,并将所述第二策略路由下发至所述第一虚拟路由器对应的第二网络设备。
[0010]可选地,所述第一策略路由和第二策略路由的动作项为允许转发;
[0011]所述第一网络设备将所述第一策略路由配置在所述第二虚拟路由器分别对应的L3VSI接口;所述第二网络设备将所述第二策略路由配置在所述第一虚拟路由器对应的L3VSI接口。
[0012]可选地,所述第二虚拟路由器与所述第一虚拟路由器之间的流量需经过第三虚拟路由器对应的目标服务,所述目标服务挂载在第三网络设备上;所述第一策略路由和第二策略路由的动作项为重定向至所述目标服务。
[0013]可选地,定义所述第二虚拟路由器访问所述第一虚拟路由器的服务为正向服务,所述第一策略路由对应的服务链ID为正向服务链ID,定义所述第一虚拟路由器访问所述第二虚拟路由器的服务为反向服务,所述第二策略路由对应的服务链ID为反向服务链ID;所述方法还包括:
[0014]向所述第三网络设备下发匹配正向服务链ID的第三策略路由,和匹配反向服务链ID的第四策略路由,其中,所述第三策略路由用于将其它网络设备发送的,匹配所述正向服
务链ID的流量转发至所述目标服务接入所述第三网络设备的第一接口;所述第四策略路由用于将其它网络设备发送的,匹配所述反向服务链ID的流量转发至所述目标服务接入所述第三网络设备的第二接口。
[0015]第二方面,本申请提供了一种策略配置装置,应用于控制器,所述装置包括:
[0016]创建单元,用于创建第一EPG端点组和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至所述第一EPG,将所述第一虚拟路由器成员添加至所述第二EPG;
[0017]配置单元,用于配置跨所述第一虚拟路由器和所述第二虚拟路由器的目标应用策略,并为所述目标应用策略配置目标规则,其中,所述目标规则的源EPG为所述第一EPG,目的EPG为所述第二EPG,方向为正/反向;
[0018]所述配置单元还用于,将所述目标应用策略拆分为第一策略路由和第二策略路由,其中,所述第一策略路由所引用的ACL匹配的源EPG为所述第一EPG,目的EPG为所述第二EPG;所述第二策略路由所引用的ACL匹配的源EPG为所述第二EPG,目的EPG为所述第一EPG;
[0019]下发单元,用于将所述第一策略路由下发至所述第二虚拟路由器对应的第一网络设备,并将所述第二策略路由下发至所述第一虚拟路由器对应的第二网络设备。
[0020]可选地,所述第一策略路由和第二策略路由的动作项为允许转发;
[0021]所述第一网络设备将所述第一策略路由配置在所述第二虚拟路由器分别对应的L3VSI接口;所述第二网络设备将所述第二策略路由配置在所述第一虚拟路由器对应的L3VSI接口。
[0022]可选地,所述第二虚拟路由器与所述第一虚拟路由器之间的流量需经过第三虚拟路由器对应的目标服务,所述目标服务挂载在第三网络设备上;所述第一策略路由和第二策略路由的动作项为重定向至所述目标服务。
[0023]可选地,定义所述第二虚拟路由器访问所述第一虚拟路由器的服务为正向服务,所述第一策略路由对应的服务链ID为正向服务链ID,定义所述第一虚拟路由器访问所述第二虚拟路由器的服务为反向服务,所述第二策略路由对应的服务链ID为反向服务链ID;所述下发单元还用于:
[0024]向所述第三网络设备下发匹配正向服务链ID的第三策略路由,和匹配反向服务链ID的第四策略路由,其中,所述第三策略路由用于将其它网络设备发送的,匹配所述正向服务链ID的流量转发至所述目标服务接入所述第三网络设备的第一接口;所述第四策略路由用于将其它网络设备发送的,匹配所述反向服务链ID的流量转发至所述目标服务接入所述第三网络设备的第二接口。
[0025]第三方面,本申请实施例提供一种策略配置装置,该策略配置装置包括:
[0026]存储器,用于存储程序指令;
[0027]处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
[0028]第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
[0029]综上可知,本申请实施例提供的策略配置方法,应用于控制器,所述方法包括:创
建第一EPG端点组和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至所述第一EPG,将所述第一虚拟路由器成员添加至所述第二EPG;配置跨所述第一虚拟路由器和所述第二虚拟路由器的目标应用策略,并为所述目标应用策略配置目标规则,其中,所述目标规则的源EPG为所述第一EPG,目的EPG为所述第二EPG,方向为正/反向;将所述目标应用策略拆分为第一策略路由和第二策略路由,其中,所述第一策略路由所引用的ACL匹配的源EPG为所述第一EPG,目的EPG为所述第二EPG;所述第二策略路由所引用的ACL匹配的源EPG为所述第二EPG,目的EPG为所述第一EPG;将所述第一策略路由下发至所述第二虚拟路由器对应的第一网络设备,并将所述第二策略路由下发至所述第一虚拟路由器对应的第二网络设备。
[0030]采用本申请实施例提供的策略配置方法,允许不指定虚拟路由器创建EPG,允许为EPG添加多个虚拟路由器的成员,允许创建跨虚拟路由器本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种策略配置方法,其特征在于,应用于控制器,所述方法包括:创建第一EPG端点组和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至所述第一EPG,将所述第一虚拟路由器成员添加至所述第二EPG;配置跨所述第一虚拟路由器和所述第二虚拟路由器的目标应用策略,并为所述目标应用策略配置目标规则,其中,所述目标规则的源EPG为所述第一EPG,目的EPG为所述第二EPG,方向为正/反向;将所述目标应用策略拆分为第一策略路由和第二策略路由,其中,所述第一策略路由所引用的ACL匹配的源EPG为所述第一EPG,目的EPG为所述第二EPG;所述第二策略路由所引用的ACL匹配的源EPG为所述第二EPG,目的EPG为所述第一EPG;将所述第一策略路由下发至所述第二虚拟路由器对应的第一网络设备,并将所述第二策略路由下发至所述第一虚拟路由器对应的第二网络设备。2.如权利要求1所述的方法,其特征在于,所述第一策略路由和第二策略路由的动作项为允许转发;所述第一网络设备将所述第一策略路由配置在所述第二虚拟路由器分别对应的L3VSI接口;所述第二网络设备将所述第二策略路由配置在所述第一虚拟路由器对应的L3VSI接口。3.如权利要求1所述的方法,其特征在于,所述第二虚拟路由器与所述第一虚拟路由器之间的流量需经过第三虚拟路由器对应的目标服务,所述目标服务挂载在第三网络设备上;所述第一策略路由和第二策略路由的动作项为重定向至所述目标服务。4.如权利要求3所述的方法,其特征在于,定义所述第二虚拟路由器访问所述第一虚拟路由器的服务为正向服务,所述第一策略路由对应的服务链ID为正向服务链ID,定义所述第一虚拟路由器访问所述第二虚拟路由器的服务为反向服务,所述第二策略路由对应的服务链ID为反向服务链ID;所述方法还包括:向所述第三网络设备下发匹配正向服务链ID的第三策略路由,和匹配反向服务链ID的第四策略路由,其中,所述第三策略路由用于将其它网络设备发送的,匹配所述正向服务链ID的流量转发至所述目标服务接入所述第三网络设备的第一接口;所述第四策略路由用于将其它网络设备发送的,匹配所述反向服务链ID的流量转发至所述目标服务接入所述第三网络设备的第二接口。5.一种策略配置装置,其特征在于,应用于控制器,所述装置包括:创建单元,用于创建第一EPG端点组和第二EPG,并将有访问第一虚拟路由器成员需求的多个第二虚拟路由器成员添加至所述第一EPG,将所述第一虚拟路由器成员添加至所述第二EPG;配置单元,用于配置跨...
【专利技术属性】
技术研发人员:黄云丰,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。