子模块。
[0087]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
[0088]综上所述,本发明实施例的SDN环境下的VXLAN安全网关装置通过设置:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务系统网络安全边界管理模块,具有如下的有益效果:
[0089]1)能够有效的利用了现有成熟稳定的网络安全产品;
[0090]2)安全的集中管理,无须分别在三层交换机、SDN控制器等多个平台上进行配置;[0091 ] 3)能够充分利用了SDN对网络流量的灵活管控能力;
[0092]4)通过将物理安全设备接入在二层物理网络能够有效降低三层物理汇聚层的流量负载;
[0093]5)在VXLAN网络环境和非VXLAN网络环境具有一定的通用性;
[0094]6)能够在不强制把流量转发到三层交换机的情况下,监控东西向网络流量。
[0095]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种SDN环境下的VXLAN安全网关装置,其特征在于,设置在二层物理交换机上,所述VXLAN安全网关装置具体包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务系统网络安全边界管理模块; 所述网络数据包收发模块,用于通过收包口接收需要安全监控的VXLAN数据包,将所述VXLAN数据包传输给所述网络数据包逻辑处理引擎模块;通过发包口将所述网络数据包逻辑处理引擎模块处理后的VXLAN数据包发送到网络中; 所述网络数据包逻辑处理引擎模块,用于对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包,在所述OpenFlow流表下发模块向对应的交换机下发流表转发项后,将所述处理后的数据包传输给所述网络数据包收发模块; 所述OpenFlow流表下发模块,用于对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机。2.根据权利要求1所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括: 网络数据包分类模块,用于对所述网络数据包收发模块所接收到的数据包进行分类,将所述数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包,并把分类后的结果提交到网络数据包逻辑处理引擎进行处理。3.根据权利要求2所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括: 所述网络数据包格式封装模块,用于对所述网络数据包逻辑处理引擎模块拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,根据目的安全设备对应的VLAN ID对所述处理后的数据包进行VLAN标记。4.根据权利要求3所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括: 所述安全设备注册管理模块,用于向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号。5.根据权利要求4所述的SDN环境下的VXLAN安全网关装置,其特征在于,所述装置还包括: 业务系统网络安全边界管理模块,用于向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。6.根据权利要求2至5所述的SDN环境下的VXLAN安全网关装置,其特征在于: 所述网络数据包逻辑处理引擎模块,还用于对于不需要安全监控的VXLAN数据包,调用网络数据包收发模块的发包接口直接将所述VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,传输给网络数据包格式封装模块,调用所述网络数据包收发模块的发包接口将所述网络数据包格式封装模块返回的重新进行VXLAN封装后的VXLAN数据包转发出去; 所述网络数据包格式封装模块,还用于对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,将VXLAN封装后的VXLAN数据包传输给所述网络数据包逻辑处理引擎模块。7.一种SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,将VXLAN安全网关装置设置在二层物理交换机上,所述方法具体包括: 所述VXLAN安全网关装置通过收包口接收需要安全监控的VXLAN数据包,对于需要被安全监控的VXLAN数据包,拆除所述VXLAN数据包的包头,根据所述VXLAN数据包所属业务虚拟机对应的安全边界所配置的物理安全设备的端口,对去掉包头的VXLAN数据包打上VLAN标记得到处理后的数据包; 对所述处理后的数据包提供对应的流表转发项,并将所述流表转发项下发到对应的交换机;通过发包口将所述处理后的数据包传输给所述网络数据包收发模块。8.根据权利要求7所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,所述方法还包括: 所述VXLAN安全网关装置对所述网络数据包收发模块所接收到的VXLAN数据包进行分类,将VXLAN数据包分为需要被安全监控的VXLAN数据包、不需要被安全监控的VXLAN数据包、已通过防火墙检测的VLAN数据包。9.根据权利要求8所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于,所述方法还包括: 所述VXLAN安全网关装置对拆除的VXLAN数据包的包头进行解析,并以流信息为索引将VXLAN数据包的包头进行存储,同时根据目的安全设备对应的VLAN ID对所述处理后的数据包进行VLAN标记; 向用户提供对物理安全设备的接入注册,注册的内容包括物理安全设备的型号、描述和所接入到物理交换机上的端口号: 向用户提供可视化的网络安全边界管理,在一个VXLAN内部选择需要进行安全监控的具体业务虚拟机,在完成安全边界创建后,为安全边界选择已经注册的物理安全设备。10.根据权利要求8或9所述的SDN环境下的VXLAN安全网关装置的应用方法,其特征在于: 所述VXLAN安全网关装置还用于对于不需要安全监控的VXLAN数据包,调用发包接口直接将VXLAN数据包发送出去;对于已经通过防火墙检测的VLAN数据包,通过流索引信息找回VXLAN包头,并重新进行VXLAN封装,调用发包接口将重新进行VXLAN封装后的VXLAN数据包转发出去。
【专利摘要】本发明实施例提供了一种SDN环境下的VXLAN安全网关装置及其应用方法。该装置设置在二层物理交换机上,包括:网络数据包收发模块、网络数据包逻辑处理引擎模块、OpenFlow流表下发模块和业务系统网络安全边界管理模块。网络数据包收发模块通过收包口接收VXLAN数据包,并传输给网络数据包逻辑处理引擎模块;网络数据包逻辑处理引擎模块拆除VXLAN数据包的包头,对去掉包头的VXLAN数据包打上VLAN标记,在OpenFlow流表下发模块向对应的交换机下发流表转发项后,将处理后的VXLAN数据包通过网络数据包收发模块发送出去。本发明实施例的装置无须分别在三层交换机、SDN控制器等多个平台上进行配置,能够充分利用SDN对网络流量的灵活管控能力,能够有效降低三层物理汇聚层的流量负载。
【IPC分类】H04L12/66, H04L29/06
【公开号】CN105429870
【申请号】CN201510857787
【发明人】李陟, 周东, 李伏琼
【申请人】北京瑞和云图科技有限公司
【公开日】2016年3月23日
【申请日】2015年11月30日