基于快转表的租户隔离方法和装置的制造方法

基于快转表的租户隔离方法和装置的制造方法
【专利摘要】本发明涉及一种基于快转表的租户隔离方法和装置，该方法包括：在接收到报文时，确定所述报文的租户标记；根据所述报文的类型，获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记；根据所述租户标记和所述网络标记，配置所述报文的快转表。本发明提供的租户隔离方法和装置中，采用租户标记和网络标记共同为一个报文的快转表进行配置，而网络标记为vxlan网络的vxlan标记，因此对不同的vxlan网络，报文的快转表是不同的，可以实现租户的快转表区分，实现租户隔离，不会造成识别冲突，因此本发明提供的方法可以实现vxlan网络中租户的隔离，满足现有场景的需求。
【专利说明】
基于快转表的租户隔离方法和装置
技术领域
[0001]本发明涉及防火墙技术领域，尤其是涉及一种基于快转表的租户隔离方法和装置。
【背景技术】
[0002]快转表(sess1n)是贯穿整个防火墙处理流程的一个重要模块，是各个业务的基础，而且其设计是针对三层协议的。由于在快转表中保存了报文转发过程中需要的路由信息、MAC信息、业务信息，以实现报文的快速转发，因此在防火墙上为实现租户之间业务互不影响，就需要进行租户之间进行快转表的隔离。例如:在防火墙上创建有三个租户，在创建每个租户的快转表时，三个租户的路由信息、MAC信息及业务信息都可能是一样，因此需要添加标记进行区分，以使三个租户的快转表区分开，从而实现租户的隔离。
[0003]在vlan网络中，租户是使用租户标记进行快转表区分的，因为租户与vlan网络是一一对应的关系，完全可以实现隔离。但是目前vlan网络的最大标签值只有4096，而对于大型企业就会出现不够用的情况，因此出现了 vxlan网络。然而，由于云计算中存在一个租户对应多个vxlan网络的情景，因此如果再仅使用租户标记进行快转表区分的话，那么对于不同的vxlan网络，就会出现一个租户使用相同的租户标记进行快转表区分，不能实现租户隔离，因此会引起识别冲突。可见，目前的租户隔离方法是不适用于vxlan网络的，因此不能满足现有场景的需求。

【发明内容】

[0004]针对以上缺陷，本发明提供一种基于快转表的租户隔离方法和装置，可以实现vxlan网络中租户的隔离，满足现有场景的需求。
[0005]第一方面，本发明提供的基于快转表的租户隔离方法包括:
[0006]在接收到报文时，确定所述报文的租户标记；
[0007]根据所述报文的类型，获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记；
[0008]根据所述租户标记和所述网络标记，配置所述报文的快转表。
[0009]可选的，所述报文为IP报文，所述获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记，包括:
[0010]若经判断所述IP报文为以源地址转换方式访问内网虚机的报文，则查询IP共享表，将所述IP共享表中记录的vx Ian标记作为所述报文的网络标记。
[0011 ] 可选的，所述报文为IP报文，所述获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记，包括:
[0012]若经判断所述IP报文为以路由访问方式访问内网虚机的报文，则查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记；
[0013]其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。
[0014]可选的，所述报文为vxlan报文，所述获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记，包括:
[0015]从所述vxlan报文的报头中提取出vxlan标记，将所述vxlan标记作为所述报文的网络标记。
[0016]可选的，所述配置所述报文的快转表之前，还包括:
[0017]若经判断所述报文不存在快转表，则新建一个快转表。
[0018]第二方面，本发明提供的基于快转表的租户隔离装置包括:
[0019]确定模块，用于在接收到报文时，确定所述报文的租户标记；
[0020]获取模块，用于根据所述报文的类型，获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记；
[0021]配置模块，用于根据所述租户标记和所述网络标记，配置所述报文的快转表。
[0022]可选的，所述获取模块具体用于:在经判断所述IP报文为以源地址转换方式访问内网虚机的报文时，查询IP共享表，将所述IP共享表中记录的vxlan标记作为所述报文的网络标记。
[0023]可选的，所述获取模块具体用于:在经判断所述IP报文为以路由访问方式访问内网虚机的报文时，查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记；
[0024]其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。
[0025]可选的，所述获取模块具体用于:在所述报文为vxlan报文时，从所述vxlan报文的报头中提取出vxlan标记，将所述vxlan标记作为所述报文的网络标记。
[0026]可选的，所述装置还包括:
[0027]新建模块，用于在经判断所述报文不存在快转表时，新建一个快转表。
[0028]本发明提供的基于快转表的租户隔离方法和装置中，采用租户标记和网络标记共同为一个报文的快转表进行配置，而网络标记为vxlan网络的vxlan标记，因此对不同的vxlan网络，报文的快转表是不同的，可以实现租户的快转表区分，实现租户隔离，不会造成识别冲突，因此本发明提供的方法可以实现vxlan网络中租户的隔离，满足现有场景的需求。
【附图说明】
[0029]通过参考附图会更加清楚的理解本发明的特征信息和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中:
[0030]图1示出了本发明一实施例中基于快转表的租户隔离方法的流程示意图；
[0031]图2示出了本发明另一实施例中基于快转表的租户隔离方法的流程示意图；
[0032]图3示出了本发明另一实施例中基于快转表的租户隔离装置的结构框图；
[0033]图4示出了本发明另一实施例基于快转表的租户隔离装置的应用场景示意图。
【具体实施方式】
[0034]为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和【具体实施方式】对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。
[0035]在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
[0036]本发明提供一种基于快转表的租户隔离方法，该方法可以由设置在内网和外网之间的防火墙执行，如图1所示，该方法包括:
[0037]SlOl、在接收到报文时，确定报文的租户标记；
[0038]其中，租户标记是指区分不同租户的标记，也可以称为租户ID，其确定方式可以参考【背景技术】中现有的租户隔离方法中租户标记的确定方式，当然，也不限于【背景技术】中现有的租户隔离方法中租户标记的确定方式。
[0039]S102、根据报文的类型，获取报文对应的vxlan网络的vxlan标记，并将vxlan标记作为报文的网络标记；
[0040]其中，报文的类型是指报文是IP报文，还是vxlan报文，其中，IP报文是指从外网访问内网的报文，而vxlan报文是指内网访问外网的报文。
[0041 ] 其中，vxlan网络是指虚拟可扩展局域网，vxlan标记是指区分不同vxlan网络的标记，也可以称为vxlan的NET-1D，根据报文类型的不同，vxlan标记有不同的获取方式，对此本发明不做限定。
[0042]S103、根据租户标记和网络标记，配置报文的快转表。
[0043]其中，快转表中保存了报文转发过程中需要的路由信息、MAC信息、业务信息，以实现报文的快速转发，
[0044]本发明提供的租户隔离方法中，采用租户标记和网络标记共同为一个报文的快转表进行配置，而网络标记为vx I an网络的vx I an标记，因此对不同的vx I an网络，报文的快转表是不同的，可以实现租户的快转表区分，实现租户隔离，不会造成识别冲突，因此本发明提供的方法可以实现vxlan网络中租户的隔离，满足现有场景的需求。
[0045]在具体实施时，如图2所示，若报文的类型为IP报文，则实现步骤S102的一种可选方式包括:
[0046]若经判断所述IP报文为以源地址转换方式访问内网虚机的报文，则查询IP共享表，将所述IP共享表中记录的VX Ian标记作为所述报文的网络标记。
[0047]其中，上述源地址转换方式即SNAT方式。
[0048]其中，IP共享表为在开启IP共享功能时记录IP地址有关共享信息的数据表，有关共享信息中包括对应vxlan网络的vxlan标记。
[0049]可理解的是，在接收到报文时，通过报文识别即可确定报文类型。若报文类型为IP报文，则说明报文为外网访问内网虚机的报文。
[0050]在具体实施时，如图2所示，若报文为IP报文，则实现步骤S102的另一种可选方式包括:[0051 ]若经判断所述IP报文为以路由访问方式访问内网虚机的报文，则查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记。
[0052]其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。
[0053]在具体实施时，如图2所示，若报文为vxlan报文，则实现步骤S102的一种可选方式包括:
[0054]从vxlan报文的报头中提取出vxlan标记，将vxlan标记作为报文的网络标记。
[0055]可以理解的是，若报文为vxlan报文，则说明报文为内网访问外网的报文。这种报文的报头中记录有VNI值即vxlan标记，因此直接提取即可，简单、快速。
[0056]在具体实施时，租户标记可以有多种确定方法，本发明对此不做限定，例如若报文为IP报文，则根据报文的公网IP地址，既可以确定报文的租户标记。再例如，若报文为vxlan报文，根据报文的vxlan标记，即可以确定报文的租户标记。
[0057]在具体实施时，在确定好报文的租户标记和网络标记后，既可以进入快转表的处理流程，步骤S103中对快转表的配置过程可以包括:在报文中获取快转表的结构，然后将原来配置快转表的五元组信息、确定好的租户标记和网络标记组成七元组信息，然后利用这七元组信息进行对快转表进行配置，只需要走快转表的快转流程即可。当然，如果经判断报文不存在快转表的话，需要根据这七元组新建一个快转表，因此需要走业务的慢转流程。
[0058]基于相同的发明构思，本发明还提供一种基于快转表的租户隔离装置，如图3所示，该装置300包括:
[0059]确定模块301，用于在接收到报文时，确定报文的租户标记；
[0060]获取模块302，用于根据报文的类型，获取报文的网络标记；
[0061]配置模块303，用于根据租户标记和网络标记，配置报文的快转表。
[0062]图4给出了一种上述装置的硬件模块的应用场景，即应用在公网和内网之间，所谓的硬件模块，例如防火墙。
[0063]可选的，获取模块具体用于:在经判断所述IP报文为以源地址转换方式访问内网虚机的报文时，查询IP共享表，将所述IP共享表中记录的vxlan标记作为所述报文的网络标记。
[0064]可选的，获取模块具体用于:在经判断所述IP报文为以路由访问方式访问内网虚机的报文时，查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记；
[0065]其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。
[0066]可选的，获取模块具体用于:在报文为vxlan报文时，从vxlan报文的报头中提取出vxlan标记，将vxlan标记作为报文的网络标记。
[0067]可选的，本发明提供的装置还包括:
[0068]新建模块，用于在经判断所述报文不存在快转表时，新建一个快转表。
[0069]虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。
【主权项】
1.一种基于快转表的租户隔离方法，其特征在于，包括: 在接收到报文时，确定所述报文的租户标记； 根据所述报文的类型，获取所述报文对应的Vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记； 根据所述租户标记和所述网络标记，配置所述报文的快转表。2.根据权利要求1所述的方法，其特征在于，所述报文为IP报文，所述获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记，包括: 若经判断所述IP报文为以源地址转换方式访问内网虚机的报文，则查询IP共享表，将所述IP共享表中记录的vxlan标记作为所述报文的网络标记。3.根据权利要求1所述的方法，其特征在于，所述报文为IP报文，所述获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记，包括: 若经判断所述IP报文为以路由访问方式访问内网虚机的报文，则查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记； 其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。4.根据权利要求1所述的方法，其特征在于，所述报文为vxlan报文，所述获取所述报文对应的vx I an网络的vx I an标记，并将所述vx I an标记作为所述报文的网络标记，包括: 从所述vxlan报文的报头中提取出vxlan标记，将所述vxlan标记作为所述报文的网络 ο5.根据权利要求1所述的方法，其特征在于，所述配置所述报文的快转表之前，还包括: 若经判断所述报文不存在快转表，则新建一个快转表。6.一种基于快转表的租户隔离装置，其特征在于，包括: 确定模块，用于在接收到报文时，确定所述报文的租户标记； 获取模块，用于根据所述报文的类型，获取所述报文对应的vxlan网络的vxlan标记，并将所述vxlan标记作为所述报文的网络标记； 配置模块，用于根据所述租户标记和所述网络标记，配置所述报文的快转表。7.根据权利要求7所述的装置，其特征在于，所述获取模块具体用于:在经判断所述IP报文为以源地址转换方式访问内网虚机的报文时，查询IP共享表，将所述IP共享表中记录的vxlan标记作为所述报文的网络标记。8.根据权利要求7所述的装置，其特征在于，所述获取模块具体用于:在经判断所述IP报文为以路由访问方式访问内网虚机的报文时，查询IP-NET关系表，将所述IP-NET关系表中与所述IP报文的报文源IP地址对应的vxlan标记作为所述报文的网络标记； 其中，所述IP-NET关系表为记录报文源IP地址、源端口地址和vxlan标记对应关系的数据表。9.根据权利要求7所述的装置，其特征在于，所述获取模块具体用于:在所述报文为vxlan报文时，从所述vxlan报文的报头中提取出vxlan标记，将所述vxlan标记作为所述报文的网络标记。10.根据权利要求7所述的装置，其特征在于，还包括:新建模块，用于在经判断所述报文不存在快转表时，新建一个快转表。
【文档编号】H04L29/06GK105939352SQ201610404632
【公开日】2016年9月14日
【申请日】2016年6月3日
【发明人】张冬梅
【申请人】汉柏科技有限公司