报文过滤方法及设备的制造方法
【技术领域】
[0001 ]本发明涉及通信技术领域,特别涉及一种报文过滤方法及设备。
【背景技术】
[0002] 电信网云化是指把传统的基于物理装置的电信节点及应用以虚拟机(英文: Virtual Machine;简称:VM)的方式部署到数据中心的服务器主机上,这种部署方式在业界 称为网络功能虚拟化(英文:Network Functions Virtualization;简称:NFV)。为了保证数 据中心内部网络的安全,数据中心的内部网络和外部网络之间通常设置有防火墙。该防火 墙可以为物理防火墙,即一台物理装置,也可以为软件防火墙,即在传统物理防火墙中部署 多个虚拟机,在每个虚拟机中安装防火墙软件。在云化的数据中心中,租户可以按需租用业 务虚拟机、网络服务以及防火墙服务,数据中心的管理模块中可以存储租户的配置信息,并 将该租户信息发送至软件定义网络(英文:Software Defined Network;简称:SDN)控制模 块,由SDN控制模块根据每个租户的配置信息,创建并维护流表规则,该流表规则中记录了 对于每个租户的报文的转发规则。其中,租户的配置信息中可以包括租户的标识与其所租 用的业务虚拟机的标识(例如,虚拟局域网标识)的对应关系,以及租户所租用的网络服务 和防火墙服务的信息。
[0003] 相关技术中,SDN控制模块可以将流表规则下发至其管理的各个服务器主机中的 虚拟交换机,当虚拟交换机接收到源业务虚拟机发送的报文时,可以根据SDN控制模块下发 的流表规则,将报文转发至目的业务虚拟机。若租用该源业务虚拟机的租户同时租用了防 火墙服务,则虚拟交换机可以根据流表规则将该源业务虚拟机发送的报文转发至防火墙, 由防火墙对该报文进行分析过滤后,再转发至目的业务虚拟机。
[0004] 数据中心的内部网络中的多个业务虚拟机之间或者该多个业务虚拟机与外部网 络之间进行通讯时,业务流都需要经过防火墙进行过滤转发,当数据中心内部的网络业务 负荷增大,需要部署的业务虚拟机数量增多时,经过防火墙的业务流也会显著增加,但由于 防火墙在同一时间段内过滤转发的业务流的流量是有限的,因此数据中心内部网络的扩容 会受到防火墙流量转发能力的限制,数据中心业务扩展时的灵活性较低。
【发明内容】
[0005] 为了解决相关技术中数据中心业务扩展时灵活性较低的问题,本申请提供了一种 报文过滤方法及设备。所述技术方案如下:
[0006] 第一方面,提供一种报文过滤方法,该报文过滤方法应用于数据中心中的软件定 义网络SDN控制模块;该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理 有防火墙虚拟机以及至少一个业务虚拟机,该方法包括:
[0007] 接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租 户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指 示该租户标识指定的租户是否租用防火墙服务;
[0008] 根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指 示租用了防火墙服务的租户标识所指示的租户;
[0009] 根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租 户的标识对应的虚拟机标识所指示的第一业务虚拟机;
[0010] 将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根 据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换 机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行 安全过滤。
[0011] 其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心 内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报 文,以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
[0012] 本申请提供的报文过滤方法,SDN控制模块可以接收数据中心管理模块发送的租 户配置信息,并根据该租户配置信息为第一租户配置流表规则;再根据该租户配置信息,确 定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示 的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交 换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互 的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设 的防火墙安全策略对该报文进行安全过滤,因此,数据中心内部业务虚拟机之间通讯时,报 文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内 部网络与外部网络之间部署的集中防火墙,数据中心内部网络的扩容不再受到集中防火墙 流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
[0013] 在一个可能的设计中,该方法还包括:
[0014] SDN控制模块在该根据该租户配置信息,确定第一虚拟交换机之后,还可以向该第 一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则 将通过安全过滤后的该报文发送至该第一虚拟交换机。
[0015] 在一个可能的设计中,SDN控制模块在该将该第一租户的流表规则发送至该第一 虚拟交换机之后,还可以接收虚拟机管理模块发送的虚拟机迀移指令,该虚拟机迀移指令 中包括源虚拟交换机标识和目的虚拟交换机标识;
[0016] 之后,SDN控制模块能够获取该源虚拟交换机标识指示的源虚拟交换机所管理的 第一防火墙虚拟机中存储的该待迀移虚拟机的握手信息,并将该待迀移虚拟机的握手信息 发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
[0017] 其中,该握手信息用于指示相互通信的两个业务虚拟机之间建立通信连接的进 度。因此,当待迀移虚拟机迀移至目的虚拟交换机所在的主机后,该待迀移虚拟机中正在进 行的业务还可以继续执行,保证了业务虚拟机迀移时,业务虚拟机中业务的连续性。
[0018] 在一个可能的设计中,SDN控制模块在该接收虚拟机迀移指令之前,还可以接收每 个该虚拟交换机管理的防火墙虚拟机上报的握手信息,并存储该握手信息;
[0019] 其中,SDN控制模块获取源虚拟交换机标识指示的源虚拟交换机所管理的第一防 火墙虚拟机中存储的该待迀移虚拟机的握手信息的过程可以包括:
[0020] 在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
[0021]在该第一防火墙虚拟机上报的握手信息中确定该待迀移虚拟机的握手信息。
[0022]在一个可能的设计中,SDN控制模块在该将该第一租户的流表规则发送至该第一 虚拟交换机之前,还可以向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全 策略,以便防火墙虚拟机可以根据该预设的防火墙安全策略对报文进行安全过滤。
[0023]第二方面,提供一种报文过滤方法,该报文过滤方法应用于第一虚拟交换机管理 的防火墙虚拟机;该第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的, 该第一虚拟交换机还管理有至少一个业务虚拟机,该方法包括:
[0024]接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心 管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标 识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该 租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火 墙服务的租户标识所指示的租户;
[0025] 接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报 文;
[0026] 根据预设的防火墙安全策略,对该报文进行安全过滤;
[0027] 根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该 第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
[0028]本申请提供的报文过滤方法,防火墙虚拟机接收到SDN控制模块发送的流表规则 后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以便该第一虚拟交 换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中心内部的业务虚 拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无 需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的 扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
[0029] 在一个可能的设计中,防火墙虚拟机在该接收该第一虚拟交换机发送的报文之 前,还可以接收该SDN控制模块发送的预设的防火墙安全策略。
[0030] 防火墙虚拟机在该接收SDN控制模块发送的流表规则之后,还可以周期性地向该 SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信 息。
[0031 ]第三方面,提供一种报文过滤方法,该报文过滤方法应用于数据中心中的软件定 义网络SDN控制模块管理的第一虚拟交换机;该第一虚拟交换机管理有防火墙虚拟机以及 至少一个业务虚拟机,该方法包括:
[0032]接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管 理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识, 以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户 标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服 务的租户标识所指示的租户;
[0033]根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换 机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进 行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
[0034] 本申请提供的报文过滤方法,第一虚拟交换机接收到SDN控制模块发送的流表规 则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机 管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行 安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换 机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的 集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限 制,提高了数据中心业务扩展时的灵活性。
[0035] 在一个可能的设计中,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机 交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
[0036] 判断该报文中的目的端口标识所指示的目的端口是否为该数据中心中的业务虚 拟机的端口;
[0037] 当该目的端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流 表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
[0038] 当该目的端口不为该数据中心中的业务虚拟机的端口时,第一虚拟交换机可以根 据该流表规则,将该报文转发至数据中心内部网络与外部网络之间部署的集中防火墙中, 因此只有业务虚拟机访问外部网络时,业务虚拟机的报文才需要经过集中防火墙进行安全 过滤,降低了集中防火墙的流量压力。
[0039] 在一个可能的设计中,第一虚拟交换机在该根据该流表规则,将与该第一业务虚 拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机之后,该方法还包括:
[0040] 接收该防火墙虚拟机发送的通过安全过滤后的该报文;
[0041 ]根据该流表规则,对通过安全过滤后的该报文进行转发。
[0042]若该报文为第一业务虚拟机向数据中心内其他业务虚拟机所发送的报文,则第一 虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该其他业务虚拟机;若 该报文为数据中心内其他业务虚拟机向该第一业务虚拟机所发送的报文,则第一虚拟交换 机可以根据该流表规则,将通过安全过滤后的报文转发至该第一业务虚拟机;若该报文为 第一业务虚拟机访问数据中心外部网络时所发送的报文,则第一虚拟交换机可以根据该流 表规则,将通过安全过滤后的报文转发至外部网络。
[0043]第四方面,提供一种报文过滤设备,该设备位于数据中心中的软件定义网络SDN控 制模块中;该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚 拟机以及至少一个业务虚拟机,该设备包括:
[0044] 第一接收单元,用于接收数据中心管理模块发送的租户配置信息,该租户配置信 息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租 用指示信息用于指示该租户标识指定的租户是否租用防火墙服务;
[0045] 配置单元,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为该 租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
[0046] 确定单元,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管 理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
[0047] 第一发送单元,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便于 该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转 发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安 全策略对该报文进行安全过滤。
[0048] 在一个可能的设计中,该设备还包括:
[0049] 第二发送单元,用于向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则, 以便该防火墙虚拟机根据该流表规则将通过安全过滤后的该报文发送至该第一虚拟交换 机。
[0050] 在一个可能的设计中,该设备还包括:
[0051] 第二接收单元,用于接收虚拟机迀移指令,该虚拟机迀移指令中包括源虚拟交换 机标识和目的虚拟交换机标识;
[0052]获取单元,用于获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火 墙虚拟机中存储的该待迀移虚拟机的握手信息;
[0053]第三发送单元,用于将该待迀移虚拟机的握手信息发送至该目的虚拟交换机标识 指示的目的虚拟交换机所管理的第二防火墙虚拟机。
[0054]在一个可能的设计中,该设备还包括:
[0055] 第三接收单元,用于接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信 息;
[0056] 存储单元,用于存储该握手信息;
[0057] 该获取单元,还用于:
[0058]在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
[0059]在该第一防火墙虚拟机上报的握手信息中确定该待迀移虚拟机的握手信息。
[00