提高了数据中心业务扩展时的灵活性。
[0269]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备 和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0270]本发明实施例提供一种报文过滤系统,该系统包括:SDN控制模块、该SDN控制模块 管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
[0271]该SDN控制模块包括图6-1或图6-2所示的报文过滤设备;
[0272] 该防火墙虚拟机包括图7-1或图7-2所示的报文过滤设备;
[0273] 该第一虚拟交换机包括图8-1或图8-2所示的报文过滤设备。
[0274] 本发明实施例提供另一种报文过滤系统,该系统包括:SDN控制模块、该SDN控制模 块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
[0275] 该SDN控制模块可以为图9所示的计算机设备;
[0276] 该防火墙虚拟机可以为图10所示的计算机设备;
[0277] 该第一虚拟交换机可以为图11所示的计算机设备。
[0278] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1. 一种报文过滤方法,其特征在于,所述报文过滤方法应用于数据中心中的软件定义 网络SDN控制模块;所述SDN控制模块管理有至少一个虚拟交换机,每个所述虚拟交换机管 理有防火墙虚拟机以及至少一个业务虚拟机,所述方法包括: 接收数据中心管理模块发送的租户配置信息,所述租户配置信息包括:至少一个租户 标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于 指示所述租户标识指定的租户是否租用防火墙服务; 根据所述租户配置信息为第一租户配置流表规则,所述第一租户为所述租用指示信息 指示租用了防火墙服务的租户标识所指示的租户; 根据所述租户配置信息,确定第一虚拟交换机,所述第一虚拟交换机管理有所述第一 租户的标识对应的虚拟机标识所指示的第一业务虚拟机; 将所述第一租户的流表规则发送至所述第一虚拟交换机,以便于所述第一虚拟交换机 根据所述第一租户的流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一 虚拟交换机管理的防火墙虚拟机,以使得所述防火墙虚拟机根据预设的防火墙安全策略对 所述报文进行安全过滤。2. 根据权利要求1所述的方法,其特征在于,在所述根据所述租户配置信息,确定第一 虚拟交换机之后,所述方法还包括: 向所述第一虚拟交换机管理的防火墙虚拟机发送所述流表规则,以便所述防火墙虚拟 机根据所述流表规则将通过安全过滤后的所述报文发送至所述第一虚拟交换机。3. 根据权利要求1所述的方法,其特征在于,在所述将所述第一租户的流表规则发送至 所述第一虚拟交换机之后,所述方法还包括: 接收虚拟机迀移指令,所述虚拟机迀移指令中包括源虚拟交换机标识和目的虚拟交换 机标识; 获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储 的所述待迀移虚拟机的握手信息; 将所述待迀移虚拟机的握手信息发送至所述目的虚拟交换机标识指示的目的虚拟交 换机所管理的第二防火墙虚拟机。4. 根据权利要求3所述的方法,其特征在于,在所述接收虚拟机迀移指令之前,所述方 法还包括: 接收每个所述虚拟交换机管理的防火墙虚拟机上报的握手信息; 存储所述握手信息; 所述获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中 存储的所述待迀移虚拟机的握手信息,包括: 在存储的握手信息中,获取所述第一防火墙虚拟机上报的握手信息; 在所述第一防火墙虚拟机上报的握手信息中确定所述待迀移虚拟机的握手信息。5. 根据权利要求1至4任一所述的方法,其特征在于,在所述将所述第一租户的流表规 则发送至所述第一虚拟交换机之前,所述方法还包括: 向每个所述虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。6. -种报文过滤方法,其特征在于,所述报文过滤方法应用于第一虚拟交换机管理的 防火墙虚拟机;所述第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的, 所述第一虚拟交换机还管理有至少一个业务虚拟机,所述方法包括: 接收所述SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中 心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租 户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用 于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息 指示租用了防火墙服务的租户标识所指示的租户; 接收所述第一虚拟交换机发送的报文,所述报文是指与所述第一业务虚拟机交互的报 文; 根据预设的防火墙安全策略,对所述报文进行安全过滤; 根据所述流表规则,将通过安全过滤后的所述报文转发至所述第一虚拟交换机,以便 所述第一虚拟交换机根据所述流表规则对通过安全过滤后的所述报文进行转发。7. 根据权利要求6所述的方法,其特征在于,在所述接收所述第一虚拟交换机发送的报 文之前,所述方法还包括: 接收所述SDN控制模块发送的所述预设的防火墙安全策略。8. 根据权利要求6所述的方法,其特征在于,在所述接收所述SDN控制模块发送的流表 规则之后,所述方法还包括: 周期性地向所述SDN控制模块上报所述防火墙虚拟机中存储的所述第一虚拟交换机管 理的业务虚拟机的握手信息。9. 一种报文过滤方法,其特征在于,所述报文过滤方法应用于数据中心中的软件定义 网络SDN控制模块管理的第一虚拟交换机;所述第一虚拟交换机管理有防火墙虚拟机以及 至少一个业务虚拟机,所述方法包括: 接收SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中心管 理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租户标 识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指 示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息指示 租用了防火墙服务的租户标识所指示的租户; 根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交 换机管理的防火墙虚拟机,以便于所述防火墙虚拟机根据预设的防火墙安全策略,对所述 报文进行安全过滤,所述第一业务虚拟机为所述第一租户的标识对应的虚拟机标识所指示 的虚拟机。10. 根据权利要求9所述的方法,其特征在于,所述根据所述流表规则,将与所述第一业 务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,包括: 判断所述报文中的目的端口标识所指示的目的端口是否为所述数据中心中的业务虚 拟机的端口; 当所述目的端口为所述数据中心中的业务虚拟机的端口时,根据所述流表规则,将所 述报文转发至所述第一虚拟交换机管理的防火墙虚拟机。11. 根据权利要求9或10所述的方法,其特征在于,在所述根据所述流表规则,将与所述 第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机之后,所 述方法还包括: 接收所述防火墙虚拟机发送的通过安全过滤后的所述报文; 根据所述流表规则,对通过安全过滤后的所述报文进行转发。12. -种报文过滤设备,其特征在于,所述设备位于数据中心中的软件定义网络SDN控 制模块中;所述SDN控制模块管理有至少一个虚拟交换机,每个所述虚拟交换机管理有防火 墙虚拟机以及至少一个业务虚拟机,所述设备包括: 第一接收单元,用于接收数据中心管理模块发送的租户配置信息,所述租户配置信息 包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述 租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务; 配置单元,用于根据所述租户配置信息为第一租户配置流表规则,所述第一租户为所 述租用指示信息指示租用了防火墙服务的租户标识所指示的租户; 确定单元,用于根据所述租户配置信息,确定第一虚拟交换机,所述第一虚拟交换机管 理有所述第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机; 第一发送单元,用于将所述第一租户的流表规则发送至所述第一虚拟交换机,以便于 所述第一虚拟交换机根据所述第一租户的流表规则,将与所述第一业务虚拟机交互的报 文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,以使得所述防火墙虚拟机根据预 设的防火墙安全策略对所述报文进行安全过滤。13. 根据权利要求12所述的设备,其特征在于,所述设备还包括: 第二发送单元,用于向所述第一虚拟交换机管理的防火墙虚拟机发送所述流表规则, 以便所述防火墙虚拟机根据所述流表规则将通过安全过滤后的所述报文发送至所述第一 虚拟交换机。14. 根据权利要求12所述的设备,其特征在于,所述设备还包括: 第二接收单元,用于接收虚拟机迀移指令,所述虚拟机迀移指令中包括源虚拟交换机 标识和目的虚拟交换机标识; 获取单元,用于获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙 虚拟机中存储的所述待迀移虚拟机的握手信息; 第三发送单元,用于将所述待迀移虚拟机的握手信息发送至所述目的虚拟交换机标识 指示的目的虚拟交换机所管理的第二防火墙虚拟机。15. 根据权利要求14所述的设备,其特征在于,所述设备还包括: 第三接收单元,用于接收每个所述虚拟交换机管理的防火墙虚拟机上报的握手信息; 存储单元,用于存储所述握手信息; 所述获取单元,还用于: 在存储的握手信息中,获取所述第一防火墙虚拟机上报的握手信息; 在所述第一防火墙虚拟机上报的握手信息中确定所述待迀移虚拟机的握手信息。16. 根据权利要求12至15任一所述的设备,其特征在于,所述设备还包括: 第四发送单元,用于向每个所述虚拟交换机管理的防火墙虚拟机发送预设的防火墙安 全策略。17. -种报文过滤设备,其特征在于,所述设备位于第一虚拟交换机管理的防火墙虚拟 机中;所述第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,所述第一 虚拟交换机还管理有至少一个业务虚拟机,所述设备包括: 第一接收单元,用于接收所述SDN控制模块发送的流表规则,所述流表规则是所述SDN 控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信 息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所 述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为 所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户; 第二接收单元,用于接收所述第一虚拟交换机发送的报文,所述报文是指与所述第一 业务虚拟机交互的报文; 安全过滤单元,用于根据预设的防火墙安全策略,对所述报文进行安全过滤; 发送单元,用于根据所述流表规则,将通过安全过滤后的所述报文转发至所述第一虚 拟交换机,以便所述第一虚拟交换机根据所述流表规则对通过安全过滤后的所述报文进行 转发。18. 根据权利要求17所述的设备,其特征在于,所述设备还包括: 第三接收单元,用于接收所述SDN控制模块发送的所述预设的防火墙安全策略。19. 根据权利要求17所述的设备,其特征在于,所述设备还包括: 上报单元,用于周期性地向所述SDN控制模块上报所述防火墙虚拟机中存储的所述第 一虚拟交换机管理的业务虚拟机的握手信息。20. -种报文过滤设备,其特征在于,所述设备位于数据中心中的软件定义网络SDN控 制模块管理的第一虚拟交换机中;所述第一虚拟交换机管理有防火墙虚拟机以及至少一个 业务虚拟机,所述设备包括: 第一接收单元,用于接收SDN控制模块发送的流表规则,所述流表规则是所述SDN控制 模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包 括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租 用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述 租用指示信息指示租用了防火墙服务的租户标识所指示的租户; 第一转发单元,用于根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发 至所述第一虚拟交换机管理的防火墙虚拟机,以便于所述防火墙虚拟机根据预设的防火墙 安全策略,对所述报文进行安全过滤,所述第一业务虚拟机为所述第一租户的标识对应的 虚拟机标识所指示的虚拟机。21. 根据权利要求20所述的设备,其特征在于,所述第一转发单元,还用于: 根据所述流表规则,判断所述报文中的目的端口标识所指示的目的端口是否为所述数 据中心内业务虚拟机的端口; 当所述报文中的目的端口标识所指示的目的端口为所述数据中心内业务虚拟机的端 口时,将所述报文转发至所述第一虚拟交换机管理的防火墙虚拟机。22. 根据权利要求20或21所述的设备,其特征在于,所述设备还包括: 第二接收单元,用于接收所述防火墙虚拟机发送的通过安全过滤后的所述报文; 第二转发单元,用于根据所述流表规则,对通过安全过滤后的所述报文进行转发。23. -种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器 与所述存储器通过总线连接; 所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所 述存储器存储的所述计算机执行指令来实现SDN控制模块,并使得所述SDN控制模块执行权 利要求1至5任一项所述的报文过滤方法。24. -种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器 与所述存储器通过总线连接; 所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所 述存储器存储的所述计算机执行指令来实现防火墙虚拟机,并使得所述防火墙虚拟机执行 权利要求6至8任一项所述的报文过滤方法。25. -种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器 与所述存储器通过总线连接; 所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所 述存储器存储的所述计算机执行指令来实现第一虚拟交换机,并使得所述第一虚拟交换机 执行权利要求9至11任一项所述的报文过滤方法。
【专利摘要】本发明公开了一种报文过滤方法及设备,属于通信技术领域。该方法包括:接收数据中心管理模块发送的租户配置信息;根据该租户配置信息为第一租户配置流表规则,该第一租户为租户配置信息中的租用指示信息指示租用了防火墙服务的租户;根据该租户配置信息,确定第一虚拟交换机;将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文先转发至防火墙虚拟机,由防火墙虚拟机替代集中防火墙完成安全过滤,减少或替代了通过集中防火墙的业务流量;并且,数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
【IPC分类】H04L29/06
【公开号】CN105530259
【申请号】CN201510971495
【发明人】阮涵
【申请人】华为技术有限公司
【公开日】2016年4月27日
【申请日】2015年12月22日