本發明專利技術實施例提供了一種SDN環境下的VXLAN安全網關裝置及其應用方法。該裝置設置在二層物理交換機上,包括:網絡數據包收發模塊、網絡數據包邏輯處理引擎模塊、OpenFlow流表下發模塊和業務系統網絡安全邊界管理模塊。網絡數據包收發模塊通過收包口接收VXLAN數據包,并傳輸給網絡數據包邏輯處理引擎模塊;網絡數據包邏輯處理引擎模塊拆除VXLAN數據包的包頭,對去掉包頭的VXLAN數據包打上VLAN標記,在OpenFlow流表下發模塊向對應的交換機下發流表轉發項后,將處理后的VXLAN數據包通過網絡數據包收發模塊發送出去。本發明專利技術實施例的裝置無須分別在三層交換機、SDN控制器等多個平臺上進行配置,能夠充分利用SDN對網絡流量的靈活管控能力,能夠有效降低三層物理匯聚層的流量負載。
【技術實現步驟摘要】
本專利技術涉及網絡安全
,尤其涉及一種SDN環境下的VXLAN安全網關裝置及其應用方法。
技術介紹
隨著數據中心技術的成熟,計算資源趨向于高度的集中化,大量的傳統的服務器被虛擬化后集中部署在大型數據中心中,這就使得網絡管理變得非常復雜,而傳統的VLAN(Virtual Local Area Network,虛擬局域網)數量也往往不能滿足使用的需求。SDN( Software Defined Networks,軟件定義網絡)就是在這種背景下,為解決傳統交換或基于路由的網絡部署的瓶頸問題而發展起來的。SDN技術通過解耦傳統的網絡交換過程中的控制平面和數據平面,實現了對網絡轉發控制的統一集中管控,并能夠利用如Openflow等協議對數據的轉發進行非常靈活的控制,從而有效解決了網絡管理和配置復雜的問題。OpenFlow是一個開放的,基于一定標準的協議,它定義了如何由一個中心部件(控制器)對控制平面進行配置和控制。通過使用OpenFlow,控制器可以采用策略下發的方式將流表下發到相應支持Openflow協議的虛擬或物理交換機中,使得接收到該流表的交換機能夠根據流表來管理數據包在網絡中的傳輸。OpenFlow控制器根據各種流和控制器的物理拓撲結構,將流表安裝在OpenFlow交換機中,OpenFlow交換機根據流表處理進入交換機的流量。OpenFlow交換機將依照這個流表對所有進入其中的流量進行處理,如果流表中沒有關于某特定流的條目與之對應,數據包信息則會被發往OpenFlow控制器,由OpenFlow控制器做出處理。OpenFlow控制器決定如何處理之后,就在OpenFlow交換機中通過相應的操作措施來對流進行處理。任何進入交換機的數據包都需要與數據頭12個元組中的某一特定值進行匹配。根據對Openflow規范標準版本支持的不同,以及各個SDN交換機廠商實現的不同,流表所支持的配置項會有細節上的差別。在實現VXLAN協議時,需要通過支持VXLAN的設備,如虛擬交換機或物理交換機通過VXLAN隧道終端(VXLAN Tunnel End Point,VTEP)模塊使用特有的VXLAN包頭對傳統的二層以太幀進行封裝,用VNI(VxLAN Network Identifier,虛擬網絡標識符)作為VXLAN的網絡標識ID,劃分不同的邏輯網絡,用源和目的所連接的VTEP的MAC和IP作為封裝后新的數據包的源和目的的MAC和IP。在應用了VXLAN技術后,交換機中傳輸的數據包就都成為了帶有VXLAN封裝格式的數據包,而真實的原始以太幀則成為了 VXLAN數據包中的數據負載。這就使得傳統的各種網絡安全設備如入侵檢測系統、防火墻等無法識別其所捕獲的帶有VXLAN包頭的網絡數據包。在基于虛擬化技術構建的大型數據中心環境中,VLAN不能提供足夠邏輯解決網絡隔離邊界的問題。VXLAN通常在虛擬交換機中實現,也可以在物理交換機中實現,無論哪種實現方法,在物理交換機內部傳輸的網絡流都已經是經過VXLAN封裝的數據包的格式。為了更好的提供對復雜的數據中心網絡的管控能力,基于OpenF 1 ow協議的SDN (SoftwareDefined Network,軟件定義網絡)技術是構建數據中心時首選的網絡解決方案。現有技術中的一種基于VXLAN的基礎網絡架構示意圖如圖1所示,由支持VXLAN和OpenFlow的設備構成了數據中心網絡的基礎架構。而傳統安全產品因為大多不能直接支持VXLAN格式的數據包分析,因此只能部署在普通的非VXLAN物理網絡環境中,通過部署在三層網絡環境中的VXLAN網關把VXLAN標記去掉后(VXLAN端口對應一個VTEP模塊負責此工作),再利用策略路由轉發到安全設備上。不能在二層網絡環境中接入是因為VXLAN網關通常是被設計為在VXLAN進行三層交換時在三層交換機中執行的模塊。因此,這種安全設備的接入方式需要網絡流量先被匯聚到三層交換機中,然后以V X L A N為轉發的粒度,選擇是否需要把特定的VXLAN流量去掉VXLAN標記后送入非VXLAN的傳統物理網絡環境。上述現有技術中的基于VXLAN的基礎網絡架構的缺點為:在以虛擬化技術為核心的數據中心或云計算中心中,當使用VXLAN作為業務網絡邏輯邊界的隔離方案時,由于傳統物理安全設備大多數不能支持VXLAN協議格式的解析,因此將無法識別基于VXLAN封裝的網絡數據包,而如果通過部署在三層交換機上的VXLAN網關將VXLAN轉換為普通以太幀,又將帶來性能和配置靈活性等一系列的問題,并且不跨VXLAN的網絡流量通常不能夠被送到三層交換機,安全設備也就將無法對VXLAN間東西向流量進行監控。
技術實現思路
本專利技術實施例提供了一種SDN環境下的VXLAN安全網關裝置及其應用方法,以實現利用SDN對網絡流量進行有效的安全管控。根據本專利技術的一個方面,提供了一種SDN環境下的VXLAN安全網關裝置,設置在二層物理交換機上,所述VXLAN安全網關裝置具體包括:網絡數據包收發模塊、網絡數據包邏輯處理引擎模塊、OpenFlow流表下發模塊和業務系統網絡安全邊界管理模塊;所述網絡數據包收發模塊,用于通過收包口接收需要安全監控的VXLAN數據包,將所述VXLAN數據包傳輸給所述網絡數據包邏輯處理引擎模塊;通過發包口將所述網絡數據包邏輯處理弓I擎模塊處理后的VXLAN數據包發送到網絡中;所述網絡數據包邏輯處理引擎模塊,用于對于需要被安全監控的VXLAN數據包,拆除所述VXLAN數據包的包頭,根據所述VXLAN數據包所屬業務虛擬機對應的安全邊界所配置的物理安全設備的端口,對去掉包頭的VXLAN數據包打上VLAN標記得到處理后的數據包,在所述OpenFlow流表下發模塊向對應的交換機下發流表轉發項后,將所述處理后的數據包傳輸給所述網絡數據包收發模塊;所述OpenFlow流表下發模塊,用于對所述處理后的數據包提供對應的流表轉發項,并將所述流表轉發項下發到對應的交換機。進一步地,所述裝置還包括:網絡數據包分類模塊,用于對所述網絡數據包收發模塊所接收到的數據包進行分類,將所述數據包分為需要被安全監控的VXLAN數據包、不需要被安全監控的VXLAN數據包、已通過防火墻檢測的VLAN數據包,并把分類后的結果提交到網絡數據包邏輯處理引擎進行處理。進一步地,所述裝置還包括:所述網絡數據包格式封裝模塊,用于對所述網絡數據包邏輯處理引擎模塊拆除的VXLAN數據包的包頭進行解析,并以流信息為索引將VXLAN數據包的包頭進行存儲,根據目的安全設備對應的VLAN ID對所述處理后的數據包進行VLAN標記。進一步地,所述裝置還包括:所述安全設備注冊管理模塊,用于向用戶提供對物理安全設備的接入注冊,注冊的內容包括物理安全設備的型號、描述和所接入到物理交換機上的端口號。進一步地,所述裝置還包括:業務系統網絡安全邊界管理模塊,用于向用戶提供可視化的網絡安全邊界管理,在一個VXLAN內部選擇需要進行安全監控的具體業務虛擬機,在完成安全邊界創建后,為安全邊界選擇已經注冊的物理安全設備。進一步地,所述網絡數據包邏輯處理引擎模塊,還用于對于不需要安全監控的VXLAN數據包,調用網絡數據包收發模塊的發包接口直接將所述本文檔來自技高網...
【技術保護點】
一種SDN環境下的VXLAN安全網關裝置,其特征在于,設置在二層物理交換機上,所述VXLAN安全網關裝置具體包括:網絡數據包收發模塊、網絡數據包邏輯處理引擎模塊、OpenFlow流表下發模塊和業務系統網絡安全邊界管理模塊;所述網絡數據包收發模塊,用于通過收包口接收需要安全監控的VXLAN數據包,將所述VXLAN數據包傳輸給所述網絡數據包邏輯處理引擎模塊;通過發包口將所述網絡數據包邏輯處理引擎模塊處理后的VXLAN數據包發送到網絡中;所述網絡數據包邏輯處理引擎模塊,用于對于需要被安全監控的VXLAN數據包,拆除所述VXLAN數據包的包頭,根據所述VXLAN數據包所屬業務虛擬機對應的安全邊界所配置的物理安全設備的端口,對去掉包頭的VXLAN數據包打上VLAN標記得到處理后的數據包,在所述OpenFlow流表下發模塊向對應的交換機下發流表轉發項后,將所述處理后的數據包傳輸給所述網絡數據包收發模塊;所述OpenFlow流表下發模塊,用于對所述處理后的數據包提供對應的流表轉發項,并將所述流表轉發項下發到對應的交換機。
【技術特征摘要】
【專利技術屬性】
技術研發人員:李陟,周東,李伏瓊,
申請(專利權)人:北京瑞和云圖科技有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。