一种数据中心的安全资源池接入方法及系统与流程

本发明涉及计算机安全技术领域，尤其涉及一种数据中心的安全资源池接入方法及系统。

背景技术：

随着安全资源池的概念逐渐被大众接受，安全资源池的部署方案也逐渐增多起来。

现代数据中心一般的部署方式是三层网络结构，即核心层-汇聚层-接入层，或两层网络结构，即leaf-Spine(叶节点-脊节点)结构。其中，三层网络结构适合于南北向流量占多数的传统数据中心或园区网中，二层网络结构适合于东西向流量占多数的新型数据中心。安全资源池作为安全功能组件的集合，以整体的方式接入到数据中心，以用于提高数据中心的安全能力。目前，无论是三层网络还是二层网络，安全资源池和数据中心都在物理出口核心路由器的同一侧，需要安全资源池以二层桥接模式接入到数据中心里。

而现有的安全资源池的部署方式如附图1所示，即安全资源池和数据中心分别位于物理出口核心路由的两侧，在附图1中针对南北向流量，是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密解密。安全资源池内一般采用一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作。如果是两层虚拟/物理路由，第一层路由根据数据包中租户ID(IP网段、VLAN ID等)，将流量引导至不同租户的安全资源池网关(不同的第二次路由)，由这个网关通过策略路由实现安全服务链，即让流量按顺序依次经过不同的安全功能组件。如果只有一层虚拟/物理路由，则直接根据客户ID，实现安全服务链。

而目前这种安全资源池的接入方法，主要存在以下弊端：

1、在客户侧，需要客户的物理路由器支持策略路由功能；

2、无法实现安全资源池以二层桥接(不使用路由器)的模式部署；

3、目前的安全资源池引流方法，通过策略路由实现的服务链不灵活，匹配域有限(一般根据数据包来到路由器的端口和数据包的源/目的IP地址)，策略管理复杂，容易产生冲突。特别是对于一层虚拟/物理路由结构，策略路由表更复杂。

技术实现要素：

本发明实施例提供了一种数据中心的安全资源池接入方法，能够以二层桥接或路由模式接入数据中心，且通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，简化引流相关的转发表项，实现流表项管理的简洁化及自动化。

本发明实施例第一方面提供了一种数据中心的安全资源池接入方法，包括：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可选的，路由器为虚拟的或物理的，路由器包括分布式路由器；

交换设备为虚拟的或物理的，交换设备包括交换机，或交换机与二层交换模块的组合；

安全功能组件为虚拟的或物理的。

可选的，将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心，包括：

将安全功能组件通过交换机接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二层交换模块接入本地数据中心的叶交换机或接入交换。

可选的，将安全功能组件通过服务链引流装置和网络对接装置以路由模式接入本地数据中心，包括：

将安全功能组件通过交换机和分布式路由器接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二次交换模块以及分布式路由器接入本地数据中心的叶交换机或接入交换机。

可选的，交换设备包括Open Vswitch或Vector Packet Processing，交换设备至少具有流分类，安全服务链引流，Proxy及overlay隧道的功能；

分布式路由器可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块，分布式路由器至少具有ARP应答及代答，代发ARP包，运行路由协议，三层转发，引流及NAT功能；

二层交换模块可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块，二层交换模块至少具有MAC地址学习，二层转发，二层引流，LAN或VLAN包头的封装及解封装的功能。

本发明实施例第二方面提供了一种数据中心的安全资源池接入系统，包括：

配置单元，用于配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

接入单元，用于将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可选的，路由器为虚拟的或物理的，路由器包括分布式路由器；

交换设备为虚拟的或物理的，交换设备包括交换机，或交换机与二层交换模块的组合；

安全功能组件为虚拟的或物理的。

可选的，接入单元，包括：

第一接入模块，用于将安全功能组件通过交换机接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

或，

第二接入模块，用于将安全功能组件通过交换机与二层交换模块接入本地数据中心的叶交换机或接入交换，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可选的，接入单元，包括：

第三接入模块，用于将安全功能组件通过交换机和分布式路由器接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

或，

第四接入模块，用于将安全功能组件通过交换机与二次交换模块以及分布式路由器接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可选的，交换设备包括Open Vswitch或Vector Packet Processing，交换设备至少具有流分类，安全服务链引流，Proxy及overlay隧道的功能；

分布式路由器可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块，分布式路由器至少具有ARP应答及代答，代发ARP包，运行路由协议，三层转发，引流及NAT功能；

二层交换模块可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块，二层交换模块至少具有MAC地址学习，二层转发，二层引流，LAN或VLAN包头的封装及解封装的功能。

本发明实施例还提供了一种计算机装置，包括处理器，该处理器在执行存储于存储器上的计算机程序时，用于实现如下步骤：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

本发明实施例还提供了一种可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，用于实现如下的步骤：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明中，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本发明中的安全资源池和本地数据中心都位于核心路由的同一侧，故安全资源池可以通过桥接或路由的模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

附图说明

图1为现有技术中安全资源池的引流方法网络部署示意图；

图2为现有技术中安全资源池中通过两层虚拟/物理路由实现引流的网络部署示意图；

图3为现有技术中安全资源池中通过一层虚拟/物理路由实现引流的网络部署示意图；

图4为二层网络结构的数据中心；

图5为三层网络结构的数据中心；

图6为本发明实施例中数据中心的安全资源池接入方法的一个实施例示意图；

图7A为安全资源池以桥接模式接入本地数据中心的一个网络部署图；

图7B为安全资源池以桥接模式接入本地数据中心的另一个网络部署图；

图8为本发明实施例中数据中心的安全资源池接入方法的另一个实施例示意图；

图9为安全服务链相关的功能结构示意图；

图10A为安全资源池以桥接模式接入本地数据中心的一个网络部署图；

图10B为安全资源池以桥接模式接入本地数据中心的另一个网络部署图；

图10C为安全资源池以桥接模式接入本地数据中心的另一个网络部署图；

图11为本发明实施例中数据中心的安全资源池接入方法的另一个实施例示意图；

图12为本发明实施例中数据中心的安全资源池接入系统的一个实施例示意图；

图13为本发明实施例中数据中心的安全资源池接入系统的另一个实施例示意图；

图14为本发明实施例中数据中心的安全资源池接入系统的另一个实施例示意图。

具体实施方式

本发明实施例提供了一种数据中心的安全资源池接入方法及系统，用于将安全资源池以桥接或路由的模式接入数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，简化引流相关的转发表项，实现流表项管理的简洁化及自动化。

为便于理解，先对文中的专业词汇解释如下：

leaf-spine：数据中心叶-脊网络结构，二层架构，适合东西向流量多的数据中心。

三层架构：数据中心三层网络架构，分核心、汇聚和接入层，适合传统南北向流量居多的数据中心。

SDN：软件定义网络，由SDN控制器和交换设备构成。

OVS：Open VSwitch，一种开源稳定的软件SDN交换机，也支持传统网络。

SFC：service function chain，服务链，将物理/虚拟功能组件，主要是L4～L7层功能组件(如防火墙、VPN)，按照一定顺序串起来，让特定流量按照预定顺序经过这些安全组件的技术。

NSH：network function header，服务链的数据包头部，里面包括服务链路径ID，路径上各安全组件的编号，元数据等信息。NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。

虚拟分布式路由：每个物理节点上都有一个虚拟分布式路由实例，但客户从逻辑层面看来，整个网络只有一个虚拟分布式路由。

安全资源池：安全功能组件的集合，包括防火墙、VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。这些安全功能组件即可以是物理的，也可以是虚拟的。

安全服务链：在安全资源池中使用服务链技术，让待检测清洗的流量按顺序依次经过对应的物理/虚拟安全功能组件。

网络对接：本专利中特指安全资源池的虚拟网络与客户物理网络的控制面信息和转发面流量的对接。

南北向流量：客户业务系统与外网通信的流量。

东西向流量：客户网络内部的通信流量，可以是同个租户内部流量，可以是跨租户的流量。

策略路由：一种比基于目标网络进行路由更加灵活的数据包路由转发机制，每个策略都定义了一个或多个的匹配规则和对应操作。

网关：客户网络的出口路由器，是客户南北向流量的唯一出口，会实现NAT等功能。对于多租户场景，每个租户需要一个网关，租户间通信流量或租户与外网通信的流量，都需要经过对应网关。

桥接模式：安全资源池中的安全功能组件与客户业务系统在同一个二层内。

NAT：Network Address Translation，网络地址转换，包括SNAT和DNAT。SNAT转换数据包的源IP地址，DNAT转换数据包的目的IP地址。

Overlay隧道技术：包括VXLAN、GRE、NVGRE、STT、Geneve等。

基于现有技术如附图1、附图2及附图3中所述的安全资源池部署方案的多个缺陷，本发明提出了一种数据中心的安全资源池接入方法，为方便理解，下面详细描述本发明实施例中的数据中心的安全资源池接入方法，请参阅图6，本发明实施例中数据中心的安全资源池接入方法的一个实施例，包括：

601、配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

如图4及图5所示，是目前数据中心常见的网络部署结构图，其中，图4为二层网络结构即叶-脊模型，客户业务集群分别通过不同的叶交换机接入二层网络结构，适合于东西向流量占多数的新型数据中心，图5为三层网络结构部署图，分为核心层、汇聚层和接入层，客户业务集群分别通过不同的接入交换机接入三层网络，适合于南北向流量占多数的传统数据中心或园区网中。

区别于现有技术中，将本地数据中心和安全资源池部署于二层网络结构中边界叶交换机的两侧，或三层网络中核心交换机/路由器的两侧，本发明中的安全资源池与数据中心(客户业务集群中的客户业务系统)都位于物理核心路由器的同一侧，需要将安全资源池以桥接模式接入数据中心，其中当安全资源池与客户业务系统位于同个二层网络时，安全资源池是以桥接模式接入数据中心，而当安全资源池与客户业务系统不在同个二层网络时，安全资源池以路由模式接入数据中心。可以理解的是，客户业务集群为客户本地的数据中心，承载客户业务系统，而客户业务系统用于产生客户业务流量。

安全资源池为安全功能组件的集合，包括防火墙、虚拟专用网络VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。这些安全功能组件即可以是物理的，也可以是虚拟的，所以需要配置安全资源池的安全功能组件。

而为了实现安全资源池与客户业务流量的对接，则需要通过数据中心的安全资源池接入系统配置安全资源池的网络对接装置，其中网络对接装置包括路由器和/或交换设备，以用于通过路由器和/或交换设备，实现与客户业务流量的对接，其中路由器和交换设备既可以是物理的，也可以是虚拟的独立软件或软件模块。

SFC：service function chain，服务链，是将物理/虚拟功能组件，主要是L4～L7层功能组件(如防火墙、VPN)，按照一定顺序串起来，让特定流量按照预定顺序经过这些安全功能组件的技术。根据OSI网络模型，网络可以分为7层，其中L1(第一层)为物理层，L2(第二层)为数据链路层，L3(第三层)为网络层，L4(第四层)为传输层，L5(第五层)为会话层，L6(第六次)为表示层，L7(第七次)为应用层，则L4～L7层即为传输层～应用层。

而为了实现客户业务流量通过网络对接装置后，以预定顺序经过安全资源池中的安全功能组件，则需要通用的安全资源池服务系统给安全资源池配置服务链引流装置，以起到对客户业务流量安全引流的作用，而区别于路由器根据路由表对客户业务流量进行引流，本实施例中的服务链引流装置为交换设备，且该交换设备支持自定义匹配域的灵活引流，具体的，交换设备可以为物理的或虚拟的，其中虚拟的交换设备可以是OVS(Open VSwitch)或VPP(Vector Packet Processing)，其中，OVS是一种开源稳定的软件SDN交换机，既支持SDN网络，也支持传统网络，VPP是一种开源稳定的软件交换机/路由器，支持SDN网络和传统网络，此处对于担当服务链引流装置的交换设备的类型不做具体限制。

一方面服务链引流装置(交换设备)可以实现对现有技术中路由器即担当网络对接功能，又担当策略引流功能的解耦，又可以通过NSH封包方式，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

具体的，NSH(network function header)，服务链的数据包头部，里面包括服务链路径ID，路径上各安全功能组件的编号，元数据等信息。NSH可以通过IP包的空闲字段、GRE/VXLAN的特定字段等技术实现。而对于交换设备如何通过自定义匹配域引流功能，及NSH封包方式，简化引流相关的转发表项，在下面的步骤中详细描述。

602、将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可以理解的是，安全资源池作为安全功能组件集合，通常以整体的方式接入到数据中心中，以提高数据中心的安全能力。而如步骤601所述，本发明中的安全资源池与本地数据中心(客户业务集群中的客户业务系统)位于核心出口路由器的同一侧，故安全资源池需要以桥接的模式接入本地数据中心。

而当安全资源池与本地数据中心处于同个二层网络时，安全资源池是以桥接模式接入本地数据中心，而当安全资源池与本地数据中心不在同个二层网络时，安全资源池则是以路由模式接入本地数据中心的。

而安全资源池为安全功能组件的集合，包括防火墙、虚拟专用网络VPN、负载均衡、广域网加速、上网行为控制、堡垒机以及入侵检测/防御等。故安全资源池以桥接模式或路由模式接入本地数据中心，即是将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

而区别于现有技术中路由器根据策略路由表实现对客户业务流量的引流，本实施例中的服务链引流装置通过自定义匹配域引流功能，及NSH封包方式，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

具体的，路由器的策略引流是根据数据包到达的路由器端口、数据包中的源IP及目标IP，决定每个数据包被路由的下一跳地址，这样每个IP或IP段都需要配置一个策略，使得路由器上配置的路由映射中的策略数量很大，一方面降低了路由器对于数据包的转发速度，另一方面策略路由中的优先级不容易决定，很容易发生冲突。

而OVS/VPP不仅支持openflow1.0协议，也支持openflow1.3协议，而openflow1.3支持的匹配域多大40多个，具体包括但不限于OSI模型中L1层中的交换机入端口；L2层中的源MAC地址(Ether source)、目的MAC地址(Ether dst)、以太网类型(EnterType)、以太网标签(VLAN id)、VLAN优先级(VLAN priority)；L3层中的源IP(IP src)、目的IP(IP dst)、IP协议字段(IP proto)、IP服务类型(IP ToS bits)；L4层中的TCP/UDP源端口号(TCP/UDP src port)、TCP/UDP目的端口号(TCP/UDP dst port)等，且NSH封包根据NSH的服务链路径ID(spi字段)和当前节点位置信息(si)信息，即可决定数据包的下一跳地址，从而简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

本发明中，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本发明中的安全资源池和本地数据中心都位于核心路由的同一侧，故安全资源池可以通过桥接或路由的模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

基于图6所述的数据中心的安全资源池的接入方法，安全资源池可以通过桥接模式或路由模式接入本地数据中心，下面从各个方面来详细描述：

一、将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心

为方便理解，下面详细描述本发明实施例中数据中心的安全资源池接入方法，请参阅图7A、7B及图8，本发明实施例中数据中心的安全资源池接入方法的另一个实施例，包括：

801、配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

需要说明的是，本实施例中的步骤801与图6所述的实施例中的步骤601类似，此处不再赘述。

802、将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

当安全资源池和本地数据中心(客户业务集群中的客户业务系统)位于同个二层网络时，如图7A所示的安全资源池的网络接入方式，其中网络对接装置为二层交换模块，服务链引流装置为交换机，其中二层交换模块和交换机都可以为虚拟的或物理的，在软件定义网络SDN中，二层交换模块为虚拟的二层交换模块，且虚拟二层交换模块可以集成在OVS/VPP上，而交换机为OVS/VPP，当虚拟二层交换模块集成在OVS/VPP上时，OVS/VPP就同时担任网络对接装置和服务链引流装置，此时，桥接的网络部署图就由7A的网络接入方式演变为如图7B的网络接入方式。其中，OVS是一种开源稳定的软件SDN交换机，既支持SDN网络，也支持传统网络，VPP是一种开源稳定的软件交换机/路由器，支持SDN网络和传统网络。

当虚拟二层交换模块集成在OVS/VPP上时，则要求OVS/VPP至少具备以下功能：虚拟二层交换功能、流分类，安全服务链引流，Proxy及overlay隧道功能，其中安全服务链的相关功能结构示意图如图9所示。

其中，虚拟二层交换功能包括以下内容：MAC地址学习，二层转发，二层引流，LAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系，建立二层转发表。二层转发是指根据目的MAC，查询二层转发表，将数据包从正确的交换机端口转发出去。二层引流是指：对于WAN口或LAN口来的数据包，进行MAC地址学习，但不按照目的MAC地址进行查表转发，而是将流量镜像到与OVS/VPP相连的端口；对于与OVS/VPP相连的端口来到的数据包，根据目的MAC地址，进行二层转发到WAN口或LAN口，此时不进行MAC地址学习。VLAN包头的封装/解封装是指：在数据包交给虚拟路由或OVS/VPP之前，剥离VLAN包头；在数据包经过安全服务链，再次来到虚拟二层交换时，给数据包加上VLAN包头。

流分类是指通过灵活的匹配域组合，及不同的服务质量要求，对流量进行分类，并打上NSH标签。安全服务链引流是指根据服务链相关的转发策略和数据包的NSH标签，对流量进行转发，使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。Proxy是指对于无法识别NSH标签的安全功能组件，OVS/VPP会先去掉数据包的NSH标签，再发送给安全功能组件，当数据包从安全功能组件回来时，会重新进行流分类或者通过proxy把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时，不同物理主机的OVS/VPP可以通过overlay隧道功能进行数据包的传输，此处隧道主要用于隔离安全资源池中不同租户的流量，此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等。

容易理解的是，当安全资源池以图7A所示的方式连入本地数据中心(客户业务集群的客户业务系统)时，客户业务流量的出境流向为：叶交换机/接入交换机—虚拟二层交换模块—OVS/VPP—安全功能组件，入境流向为：安全功能组件—OVS/VPP—虚拟二层交换模块—叶交换机/接入交换机。

而当虚拟二层交换模块功能集成在OVS/VPP上时，安全资源池是以图7B所示的方式接入本地数据中心时，客户业务流量的出境流向为：叶交换/接入交换机—OVS/VPP—安全功能组件，入境流向为：安全功能组件—OVS/VPP—叶交换机/接入交换机。

而相较于路由器的策略引流方式，本实施例中通过OVS/VPP的自定义匹配域及NSH封包方式，简化引流相关的转发表项的原因在图6所示实施例中的步骤602中已经详细描述，此处不再赘述。

本实施例中，通过数据中心的安全资源池接入系统，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本实施例中的安全资源池和本地数据中心都位于核心路由的同一侧，且安全资源池与本地数据中心处于同个二层网络，故安全资源池可以通过桥接模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

二、将安全功能组件通过服务链引流装置和网络对接装置以路由模式接入本地数据中心

请参阅图10A、10B、10C及图11，本发明实施例中数据中心的安全资源池的接入方法的另一个实施例，包括：

1101、配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

需要说明的是，本实施例中的步骤1101与图6所述的实施例中的步骤601类似，此处不再赘述。

1102、将安全功能组件通过服务链引流装置和网络对接装置以路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

当安全资源池和本地数据中心(客户业务集群中的客户业务系统)不在同个二层网络时，如图10A所示的安全资源池的网络接入方式，其中网络对接装置为二层交换模块和路由器，服务链引流装置为交换机，其中二层交换模块、路由器和交换机都可以为虚拟的或物理的，在软件定义网络SDN中，二层交换模块为虚拟的二层交换模块，路由器为虚拟分布式路由器，交换为OVS/VPP，其中，OVS是一种开源稳定的软件SDN交换机，既支持SDN网络，也支持传统网络，VPP是一种开源稳定的软件交换机/路由器，支持SDN网络和传统网络。

而实际应用中，虚拟二层交换模块既可以为单独的虚拟软件，也可以是以功能模块的形式集成在虚拟路由器或OVS/VPP上，当虚拟二层交换模块为单独的虚拟软件时，安全资源池的网络部署方式如图10A所示；当虚拟二层交换模块以功能模块的形式集成在虚拟路由器上时，安全资源池的网络部署方式如图10B所示；当虚拟二层交换模块以功能模块的形式集成在OVS/VPP上时，安全资源池的网络部署方式如图10C所示，而不论安全资源池以哪种方式部署，安全资源池都以路由模式接入本地数据中心。

当虚拟二层交换模块集成在OVS/VPP上时，则要求OVS/VPP至少具备以下功能：虚拟二层交换功能、流分类，安全服务链引流，Proxy及overlay隧道功能，其中安全服务链的相关功能结构示意图如图9所示。

其中，虚拟二层交换功能包括以下内容：MAC地址学习，二层转发，二层引流，LAN包头的封装/解封装。MAC地址学习指通过数据包的源MAC地址和交换机端口的对应关系，建立二层转发表。二层转发是指根据目的MAC，查询二层转发表，将数据包从正确的交换机端口转发出去。二层引流是指：对于WAN口或LAN口来的数据包，进行MAC地址学习，但不按照目的MAC地址进行查表转发，而是将流量镜像到与OVS/VPP相连的端口；对于与OVS/VPP相连的端口来到的数据包，根据目的MAC地址，进行二层转发到WAN口或LAN口，此时不进行MAC地址学习。VLAN包头的封装/解封装是指：在数据包交给虚拟路由或OVS/VPP之前，剥离VLAN包头；在数据包经过安全服务链，再次来到虚拟二层交换时，给数据包加上VLAN包头。

流分类是指通过灵活的匹配域组合，及不同的服务质量要求，对流量进行分类，并打上NSH标签。安全服务链引流是指根据服务链相关的转发策略和数据包的NSH标签，对流量进行转发，使流量按顺序依次经过预先定义好的物理/虚拟安全功能组件。Proxy是指对于无法识别NSH标签的安全功能组件，OVS/VPP会先去掉数据包的NSH标签，再发送给安全功能组件，当数据包从安全功能组件回来时，会重新进行流分类或者通过proxy把NSH标签重新加上。Overlay隧道是指安全功能组件在不同的物理主机上时，不同物理主机的OVS/VPP可以通过overlay隧道功能进行数据包的传输，此处隧道主要用于隔离安全资源池中不同租户的流量，此处的overlay隧道技术包括VXLAN、GRE、STT、Geneve等。

而当虚拟二层交换模块集成在虚拟路由器上时，则虚拟分布式路由器至少具备以下功能：虚拟二层交换功能、ARP应答及代答，代发ARP包，运行路由协议，三层转发，引流，NAT。ARP应答指回复对自身MAC的ARP请求，ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。代发ARP包是指在网关模式下，数据包经过安全服务链的检测和过滤后，来到虚拟路由器，需要有下一跳的MAC地址，数据包才能转发出去，此时虚拟路由器缓存数据包，构造ARP请求询问下一跳的MAC地址，并将ARP请求发送出去，等收到ARP回复，再修改原数据包的目的MAC和源MAC地址，将数据包转发出去。运行路由协议是指运行静态/动态路由协议，与其它路由器交换路由信息，形成自身的路由转发表。三层转发是指根据路由表进行数据包转发。引流是指指依据五元组等匹配域将流量进行引到安全服务链的OVS/VPP。NAT包括SNAT和DNAT功能。

容易理解的是，当安全资源池以图10A所示的方式，客户业务流量的出境流向为：叶交换机/接入交换机—虚拟二层交换模块—虚拟路由器—OVS/VPP—安全功能组件，相反的，客户业务流量的入境流向为：安全功能组件—OVS/VPP—虚拟路由器—虚拟二层交换模块—叶交换机/接入交换机。

当安全资源池以图10B所示的方式部署时，客户业务流量的出境流向为：叶交换机/接入交换机—虚拟路由器—OVS/VPP—安全功能组件，相反的，入境流向为：安全功能组件—OVS/VPP—虚拟路由器—叶交换机/接入交换机。

当安全资源池以图10C所示的方式部署时，客户业务流量的出境流向为：叶交换机/接入交换机—OVS/VPP的二层虚拟交换模块—虚拟路由器—OVS/VPP—安全功能组件，相反的，入境流向为：安全功能组件—OVS/VPP—虚拟路由器—OVS/VPP的二层虚拟交换模块—叶交换机/接入交换机，实际网络部署中，客户业务流量的出境流量从叶交换机/接入交换机引导到安全资源池中OVS/VPP的虚拟二层交换模块时，按照MAC地址，流量本来要被转发到虚拟路由，但此时OVS/VPP可以代替虚拟路由实现MAC地址及TTL修改的功能，直接将流量引流至服务链中下一个安全功能组件；但客户业务流量的入境流向必须为安全功能组件—OVS/VPP—虚拟路由器—虚拟二层交换模块—叶交换机/接入交换机，因为入境流量需要虚拟路由器实现ARP代答功能，其中ARP代答是指代替安全组件回复对安全组件MAC的ARP请求。

而相较于路由器的策略引流方式，本实施例中通过OVS/VPP的自定义匹配域及NSH封包方式，简化引流相关的转发表项的原因在图6所示实施例中的步骤602中已经详细描述，此处不再赘述。

本实施例中，通过数据中心的安全资源池接入系统，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本实施例中的安全资源池和本地数据中心都位于核心路由的同一侧，而当安全资源池与本地数据中心不在同个二层网络时，故安全资源池只能以路由模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

上面描述了本发明中数据中心的安全资源池接入方法，下面来描述本发明实施例中的数据中心的安全资源池接入系统，请参阅图12，本发明实施例中数据中心的安全资源池接入系统的一个实施例，包括：

配置单元1201，用于配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

接入单元1202，用于将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

需要说明的是，本实施例中各单元的作用与图6所述实施例中数据中心的安全资源池接入系统的作用类似，此处不再赘述。

本发明中，通过配置单元1201，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并通过接入单元1202，将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本发明中的安全资源池和本地数据中心都位于核心路由的同一侧，故安全资源池可以通过桥接或路由的模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

基于图12所述的数据中心的安全资源池接入系统，其中接入单元可以通过两种方式将安全资源池接入本地数据中心，下面来详细描述：

一、将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心

请参阅图13，本发明实施例中数据中心的安全资源池接入系统的另一个实施例包括：

配置单元1301，用于配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

接入单元1302，用于将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

其中，接入单元1302包括：

第一接入模块13021，用于将安全功能组件通过交换机接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

或，

第二接入模块13022，用于将安全功能组件通过交换机与二层交换模块接入本地数据中心的叶交换机或接入交换，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

需要说明的是，本实施例中各单元及各模块的作用与图8中所述的数据中心的安全资源池接入系统的作用类似，此处不再赘述。

本实施例中，通过配置单元1301，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并通过接入单元1302，将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本实施例中的安全资源池和本地数据中心都位于核心路由的同一侧，且安全资源池与本地数据中心处于同个二层网络，故安全资源池可以通过第一接入模块13021或第二接入模块13022，以桥接模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

二、将安全功能组件通过服务链引流装置和网络对接装置以路由模式接入本地数据中心

请参阅图14，本发明实施例中数据中心的安全资源池接入系统的另一个实施例包括：

配置单元1401，用于配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

接入单元1402，用于将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

其中，接入单元1402包括：

第三接入模块14021，用于将安全功能组件通过交换机和分布式路由器接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

或，

第四接入模块14022，用于将安全功能组件通过交换机与二次交换模块以及分布式路由器接入本地数据中心的叶交换机或接入交换机，使得交换机以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

需要说明的是，本实施例中各单元及各模块的作用与图11中所述的数据中心的安全资源池接入系统的作用类似，此处不再赘述。

本实施例中，通过配置单元1401，配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，其中，网络对接装置包括路由器和/或交互设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流，并通过接入单元1402，将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心。因为目前的本地数据中心一般都是以二层网络或三层网络的形式部署，而本实施例中的安全资源池和本地数据中心都位于核心路由的同一侧，且安全资源池与本地数据中心处于同个二层网络，故安全资源池可以通过第三接入模块14021或第四接入模块14022，以路由模式接入本地数据中心，并通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件，简化引流相关的转发表项，实现流表项的管理更加简洁化及自动化。

上面从模块化功能实体的角度对本发明实施例中数据中心的安全资源池接入系统进行了描述，下面从硬件处理的角度对本发明实施例中的计算机装置进行描述：

该计算机装置用于实现数据中心的安全资源池接入系统的功能，本发明实施例中计算机装置一个实施例包括：

处理器以及存储器；

存储器用于存储计算机程序，处理器用于执行存储器中存储的计算机程序时，可以实现如下步骤：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

在本发明的一些实施例中，处理器，还可以用于实现如下步骤：

将安全功能组件通过交换机接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二层交换模块接入本地数据中心的叶交换机或接入交换。

在本发明的一些实施例中，处理器，还可以用于实现如下步骤：

将安全功能组件通过交换机和分布式路由器接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二次交换模块以及分布式路由器接入本地数据中心的叶交换机或接入交换机。

可以理解的是，上述说明的计算机装置中的处理器执行所述计算机程序时，也可以实现上述对应的各装置实施例中各单元的功能，此处不再赘述。示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述数据中心的安全资源池接入系统的执行过程。例如，所述计算机程序可以被分割成上述数据中心的安全资源池接入系统中的各单元，各单元可以实现如上述相应数据中心的安全资源池接入系统说明的具体功能。

所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解，处理器、存储器仅仅是计算机装置的示例，并不构成对计算机装置的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。

所述处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述计算机装置的控制中心，利用各种接口和线路连接整个计算机装置的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

本发明还提供了一种计算机可读存储介质，该计算机可读存储介质用于实现数据中心的安全资源池接入系统的功能，其上存储有计算机程序，计算机程序被处理器执行时，处理器，可以用于执行如下步骤：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以具体用于执行如下步骤：

将安全功能组件通过交换机接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二层交换模块接入本地数据中心的叶交换机或接入交换。

在本发明的一些实施例中，计算机可读存储介质存储的计算机程序被处理器执行时，处理器，可以具体用于执行如下步骤：

将安全功能组件通过交换机和分布式路由器接入本地数据中心的叶交换机或接入交换机；

或，

将安全功能组件通过交换机与二次交换模块以及分布式路由器接入本地数据中心的叶交换机或接入交换机。

可以理解的是，所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在相应的一个计算机可读取存储介质中。基于这样的理解，本发明实现上述相应的实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。