Sdn环境下的vxlan安全网关装置及其应用方法
【技术领域】
[0001]本发明涉及网络安全技术领域,尤其涉及一种SDN环境下的VXLAN安全网关装置及其应用方法。
【背景技术】
[0002]随着数据中心技术的成熟,计算资源趋向于高度的集中化,大量的传统的服务器被虚拟化后集中部署在大型数据中心中,这就使得网络管理变得非常复杂,而传统的VLAN(Virtual Local Area Network,虚拟局域网)数量也往往不能满足使用的需求。
[0003]SDN( Software Defined Networks,软件定义网络)就是在这种背景下,为解决传统交换或基于路由的网络部署的瓶颈问题而发展起来的。SDN技术通过解耦传统的网络交换过程中的控制平面和数据平面,实现了对网络转发控制的统一集中管控,并能够利用如Openflow等协议对数据的转发进行非常灵活的控制,从而有效解决了网络管理和配置复杂的问题。
[0004]OpenFlow是一个开放的,基于一定标准的协议,它定义了如何由一个中心部件(控制器)对控制平面进行配置和控制。通过使用OpenFlow,控制器可以采用策略下发的方式将流表下发到相应支持Openflow协议的虚拟或物理交换机中,使得接收到该流表的交换机能够根据流表来管理数据包在网络中的传输。
[0005]OpenFlow控制器根据各种流和控制器的物理拓扑结构,将流表安装在OpenFlow交换机中,OpenFlow交换机根据流表处理进入交换机的流量。OpenFlow交换机将依照这个流表对所有进入其中的流量进行处理,如果流表中没有关于某特定流的条目与之对应,数据包信息则会被发往OpenFlow控制器,由OpenFlow控制器做出处理。OpenFlow控制器决定如何处理之后,就在OpenFlow交换机中通过相应的操作措施来对流进行处理。任何进入交换机的数据包都需要与数据头12个元组中的某一特定值进行匹配。根据对Openflow规范标准版本支持的不同,以及各个SDN交换机厂商实现的不同,流表所支持的配置项会有细节上的差别。
[0006]在实现VXLAN协议时,需要通过支持VXLAN的设备,如虚拟交换机或物理交换机通过VXLAN隧道终端(VXLAN Tunnel End Point,VTEP)模块使用特有的VXLAN包头对传统的二层以太帧进行封装,用VNI(VxLAN Network Identifier,虚拟网络标识符)作为VXLAN的网络标识ID,划分不同的逻辑网络,用源和目的所连接的VTEP的MAC和IP作为封装后新的数据包的源和目的的MAC和IP。
[0007]在应用了VXLAN技术后,交换机中传输的数据包就都成为了带有VXLAN封装格式的数据包,而真实的原始以太帧则成为了 VXLAN数据包中的数据负载。这就使得传统的各种网络安全设备如入侵检测系统、防火墙等无法识别其所捕获的带有VXLAN包头的网络数据包。
[0008]在基于虚拟化技术构建的大型数据中心环境中,VLAN不能提供足够逻辑解决网络隔离边界的问题。VXLAN通常在虚拟交换机中实现,也可以在物理交换机中实现,无论哪种实现方法,在物理交换机内部传输的网络流都已经是经过VXLAN封装的数据包的格式。为了更好的提供对复杂的数据中心网络的管控能力,基于OpenF 1 ow协议的SDN (SoftwareDefined Network,软件定义网络)技术是构建数据中心时首选的网络解决方案。现有技术中的一种基于VXLAN的基础网络架构示意图如图1所示,由支持VXLAN和OpenFlow的设备构成了数据中心网络的基础架构。而传统安全产品因为大多不能直接支持VXLAN格式的数据包分析,因此只能部署在普通的非VXLAN物理网络环境中,通过部署在三层网络环境中的VXLAN网关把VXLAN标记去掉后(VXLAN端口对应一个VTEP模块负责此工作),再利用策略路由转发到安全设备上。不能在二层网络环境中接入是因为VXLAN网关通常是被设计为在VXLAN进行三层交换时在三层交换机中执行的模块。因此,这种安全设备的接入方式需要网络流量先被汇聚到三层交换机中,然后以V X L A N为转发的粒度,选择是否需要把特定的VXLAN流量去掉VXLAN标记后送入非VXLAN的传统物理网络环境。
[0009]上述现有技术中的基于VXLAN的基础网络架构的缺点为:在以虚拟化技术为核心的数据中心或云计算中心中,当使用VXLAN作为业务网络逻辑边界的隔离方案时,由于传统物理安全设备大多数不能支持VXLAN协议格式的解析,因此将无法识别基于VXLAN封装的网络数据包,而如果通过部署在三层交换机上的VXLAN网关将VXLAN转换为普通以太帧,又将带来性能和配置灵活性等一系列的问题,并且不跨VXLAN的网络流量通常不能够被送到三层交换机,安全设备也就将无法对VXLAN间东西向流量进行监控。
【发明内容】
[0010]本发明实施例提供了一种SDN环境下的VXLAN安全网关装置及其应用方法,以实现利用SDN对网络流量进行有效的安全管控。
[0011]根据本发明的一个方面,提供了一种SDN环境下的VXLAN安全网关装置,设置在二层物理交换机上,所述VXLAN安全网关装置具体包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务系统网络安全边界管理模块;
[0012]所述网络数据包收发模块,用于通过收包口接收需要安全监控的VXLAN数据包,将所述VXLAN数据包传输给所述网络数据包逻辑处理引擎模块;通过发包口将所述网络数据包逻辑处理弓I擎模块处理后的VXLAN数据包发送到网络中;
[0013]所述网络数据包逻辑处理引擎模块,用于对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包,在所述OpenFlow流表下发模块向对应的交换机下发流表转发项后,将所述处理后的数据包传输给所述网络数据包收发模块;
[0014]所述OpenFlow流表下发模块,用于对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机。
[0015]进一步地,所述装置还包括:
[0016]网络数据包分类模块,用于对所述网络数据包收发模块所接收到的数据包进行分类,将所述数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包,并把分类后的结果提交到网络数据包逻辑处理引擎进行处理。
[0017]进一步地,所述装置还包括:
[0018]所述网络数据包格式封装模块,用于对所述网络数据包逻辑处理引擎模块拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,根据目的安全设备对应的VLAN ID对所述处理后的数据包进行VLAN标记。
[0019]进一步地,所述装置还包括:
[0020]所述安全设备注册管理模块,用于向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号。
[0021]进一步地,所述装置还包括:
[0022]业务系统网络安全边界管理模块,用于向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。
[0023]进一步地,所述网络数据包逻辑处理引擎模块,还用于对于不需要安全监控的VXLAN数据包,调用网络数据包收发模块的发包接口直接将所述VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,传输给网络数据包格式封装模块,调用所述网络数据包收发模块的发包接口将所述网络数据包格式封装模块返回的重新进行VXLAN封装后的VXLAN数据包转发出去;
[0024]所述网络数据包格式封装模块,还用于对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,将VXLAN封装后的VXL