現(xiàn)SDN虛擬防火墻的裝置800作為一個邏輯意義上的裝置時�,其是通過CPU901運行機器可讀存儲介質(zhì)902中對應(yīng)的計算機程序指令形成的。當(dāng)對應(yīng)的計算機程序指令被執(zhí)行時���,形成的實現(xiàn)SDN虛擬防火墻的裝置800用于按照上述實施方式執(zhí)行相應(yīng)操作�。
[0230]機器可讀存儲介質(zhì)902可以是任何電子���、磁性�、光學(xué)或其它物理存儲裝置����,可以包含或存儲信息,如可執(zhí)行指令、數(shù)據(jù)���,等等����。例如����,機器可讀存儲介質(zhì)902可以是:隨機存取存儲器(Radom Access Memory,RAM)���、易失存儲器��、非易失性存儲器�����、閃存����、存儲驅(qū)動器(如硬盤驅(qū)動器)�、固態(tài)硬盤��、任何類型的存儲盤(如光盤、DVD等)���,或者類似的存儲介質(zhì)���,或者它們的組合。其中�����,本發(fā)明所描述的任一機器可讀存儲介質(zhì)都可以被認為是非暫時性的���。
[0231]本發(fā)明實施方式還提出了一種在SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置�����。
[0232]圖10為根據(jù)本發(fā)明一實施方式在SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置結(jié)構(gòu)圖��,該裝置應(yīng)用于SDN控制器���。
[0233]如圖10所示,該裝置1000包括:
[0234]端口接收模塊1001����,用于從第一虛擬交換機接收第一虛擬防火墻的端口�����,其中第一虛擬防火墻下掛在第一虛擬交換機上�����;
[0235]流表下發(fā)模塊1002�,用于向第一虛擬交換機下發(fā)第一流表���,第一流表用于指示將第一虛擬交換機通過非第一虛擬防火墻的端口接收到的�、目的地址或源地址為指定虛擬機的流量發(fā)送到第一虛擬防火墻的端口以由第一虛擬防火墻執(zhí)行安全審核��。
[0236]第一虛擬防火墻執(zhí)行完畢安全審核之后����,將通過安全審核的安全流量發(fā)送到第一虛擬交換機,第一虛擬交換機再將通過該安全流量發(fā)送到下一跳端口���,以將安全流量轉(zhuǎn)發(fā)到目的端口���。
[0237]指定虛擬機既可以下掛在第一虛擬交換機上,也可以下掛在第二虛擬交換機上����,其中第二虛擬交換機構(gòu)建在第二主機上。
[0238]在一個實施方式中:
[0239]流表下發(fā)模塊1002�����,還用于當(dāng)指定虛擬機下掛在第二虛擬交換機上時��,向第二虛擬交換機下發(fā)第三流表���,該第三流表用于指示將通過指定虛擬機的端口接收到的流量發(fā)送到下一跳端口�,以將通過指定虛擬機的端口接收到的流量發(fā)送到第一虛擬交換機����。
[0240]當(dāng)指定虛擬機下掛在不同于第一虛擬交換機的第二虛擬交換機上時,如果指定虛擬機發(fā)生遷移�,流表下發(fā)模塊1002還可以進一步向第二虛擬交換機發(fā)送用于指示刪除第三流表的第五流表,或者由第二虛擬交換機自行老化第三流表�����。
[0241]在一個實施方式中:
[0242]流表下發(fā)模塊1002����,還用于當(dāng)發(fā)送目的地址為指定虛擬機的流量的源虛擬機下掛在第二虛擬交換機時�,向第二虛擬交換機下發(fā)第四流表�����,該第四流表用于指示將通過源虛擬機的端口接收到的��、目的地址為指定虛擬機的流量發(fā)送到下一跳端口�����,以將通過源虛擬機的端口接收到的�、目的地址為指定虛擬機的流量發(fā)送到第一虛擬交換機。
[0243]在一個實施方式中:
[0244]流表下發(fā)模塊1002��,還用于當(dāng)指定虛擬機發(fā)生遷移時�,向第一虛擬交換機發(fā)送用于指示刪除第一流表的第二流表。
[0245]在一個實施方式中�,該裝置1000還包括:
[0246]安全策略發(fā)送模塊1003,用于發(fā)送安全策略到第一虛擬交換機,從而由第一虛擬交換機將安全策略發(fā)送到第一虛擬防火墻。
[0247]本發(fā)明實施方式提供的SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置1000可以包含在SDN控制器中����,該SDN控制器構(gòu)成軟硬件結(jié)合的可編程設(shè)備。從硬件層面而言��,SDN控制器的硬件架構(gòu)示意圖具體可以參見圖U��。
[0248]圖11為根據(jù)本發(fā)明一實施方式包含SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置的SDN控制器的硬件結(jié)構(gòu)圖。
[0249]如圖11所示����,該SDN控制器1100中包括:CPU1101和機器可讀存儲介質(zhì)1102,SDN控制器1100還可以包括其它硬件����。其中:
[0250]機器可讀存儲介質(zhì)1102:存儲指令代碼��;指令代碼被CPU1101執(zhí)行時完成的操作主要包括:在SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置1000的功能��。
[0251]CPU1101:與機器可讀存儲介質(zhì)1102通信�����,讀取和執(zhí)行機器可讀存儲介質(zhì)1102中存儲的指令代碼�,完成上述SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置1000的功能。
[0252]當(dāng)SDN控制器側(cè)實現(xiàn)SDN虛擬防火墻的裝置1000作為一個邏輯意義上的裝置時�,其是通過CPU1101運行機器可讀存儲介質(zhì)1102中對應(yīng)的計算機程序指令形成的。當(dāng)對應(yīng)的計算機程序指令被執(zhí)行時���,形成的SDN控制器側(cè)實現(xiàn)虛擬防火墻的裝置1000用于按照上述實施方式中方法執(zhí)行相應(yīng)操作�����。
[0253]類似地�,機器可讀存儲介質(zhì)1102可以是任何電子、磁性��、光學(xué)或其它物理存儲裝置����,可以包含或存儲信息,如可執(zhí)行指令���、數(shù)據(jù)��,等等����。例如���,機器可讀存儲介質(zhì)1102可以是:RAM��、易失存儲器���、非易失性存儲器、閃存、存儲驅(qū)動器(如硬盤驅(qū)動器)�����、固態(tài)硬盤�、任何類型的存儲盤(如光盤、DVD等)�����,或者類似的存儲介質(zhì)���,或者它們的組合。
[0254]綜上所述����,本發(fā)明采用虛擬機的形式將虛擬防火墻下掛到虛擬交換機上,而且將虛擬防火墻與SDN控制器進行關(guān)聯(lián)����,充分發(fā)揮SDN控制器的全局總管功能,無需部署物理防火墻,從而顯著降低成本�。
[0255]而且,相比較現(xiàn)有技術(shù)中物理防火墻的部署位置固定的缺點����,本發(fā)明實施方式的虛擬防火墻部署位置靈活機動��。
[0256]還有���,在本發(fā)明實施方式中,針對同一虛擬交換機的內(nèi)部流量進行安全檢查時����,可以由下掛在同一物理主機的虛擬防火墻執(zhí)行安全檢查,而不需要將流量引出物理主機��,因此還降低了物理主機出口帶寬的使用率�����。
[0257]另外�����,在虛擬機進行遷移的時候���,SDN控制器重新下發(fā)流表���,可以靈活控制遷移后虛擬機的安全策略檢查。比如,基于用戶配置或虛擬防火墻負載狀況等因素����,可以將指定虛擬機的虛擬防火墻仍然保留為遷移前虛擬交換機下掛的虛擬防火墻,或?qū)⒅付ㄌ摂M機的虛擬防火墻更新為遷移后虛擬交換機下掛的虛擬防火墻�����,從而實現(xiàn)虛擬防火墻的負載均衡��。
[0258]以上所述�����,僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改、等同替換���、改進等��,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�����。
【主權(quán)項】
1.一種軟件定義網(wǎng)絡(luò)SDN中實現(xiàn)虛擬防火墻的方法�����,其特征在于����,該方法適用于第一虛擬交換機,所述第一虛擬交換機下掛有第一虛擬防火墻����,該方法包括: 將第一虛擬防火墻的端口發(fā)送到SDN控制器; 接收SDN控制器發(fā)送的第一流表���,所述第一流表用于指示將第一虛擬交換機通過非所述第一虛擬防火墻的端口接收到的��、目的地址或源地址為指定虛擬機的流量發(fā)送到第一虛擬防火墻的端口以由所述第一虛擬防火墻執(zhí)行安全審核����。2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,還包括: 當(dāng)指定虛擬機發(fā)生遷移時,接收SDN控制器發(fā)送的用于指示刪除所述第一流表的第二流表��。3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,進一步包括: 從SDN控制器接收安全策略�����; 發(fā)送所述安全策略到所述第一虛擬防火墻��,從而由所述第一虛擬防火墻基于所述安全策略對發(fā)送到第一虛擬防火墻的端口的流量執(zhí)行所述安全審核��。4.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于��,所述第一虛擬防火墻為虛擬可擴展局域網(wǎng)VxLAN的防火墻或虛擬局域網(wǎng)VLAN的防火墻�。5.一種軟件定義網(wǎng)絡(luò)SDN中實現(xiàn)虛擬防火墻的裝置��,其特征在于�����,該裝置應(yīng)用于第一虛擬交換機,所述第一虛擬交換機下掛有第一虛擬防火墻��,該裝置包括: 端口上報模塊���,用于將第一虛擬防火墻的端口發(fā)送到SDN控制器�; 流表接收模塊�,用于接收SDN控制器發(fā)送的第一流表,所述第一流表用于指示將第一虛擬交換機通過非所述第一虛擬防火墻的端口接收到的����、目的地址或源地址為指定虛擬機的流量發(fā)送到第一虛擬防火墻的端口以由所述第一虛擬防火墻執(zhí)行安全審核。6.根據(jù)權(quán)利要求5所述的裝置���,其特征在于�����,該裝置還包括: 遷移模塊�����,用于當(dāng)指定虛擬機發(fā)生遷移時����,接收SDN控制器發(fā)送的用于指示刪除所述第一流表的第二流表。7.根據(jù)權(quán)利要求5所述的裝置���,其特征在于�����,還包括: 安全策略接收模塊��,用于從SDN控制器接收安全策略�����,并發(fā)送所述安全策略到所述第一虛擬防火墻��,從而由所述第一虛擬防火墻基于所述安全策略對發(fā)送到第一虛擬防火墻的端口的流量執(zhí)行所述安全審核����。8.一種軟件定義網(wǎng)絡(luò)SDN中實現(xiàn)虛擬防火墻的方法���,其特征在于,該方法適用于SDN控制器���,該方法包括: 從第一虛擬交換機接收第一虛擬防火墻的端口����,其中第一虛擬防火墻下掛在第一虛擬交換機上; 向所述第一虛擬交換機下發(fā)第一流表����,所述第一流表用于指示將第一虛擬交換機通過非所述第一虛擬防火墻的端口接收到的、目的地址或源地址為指定虛擬機的流量發(fā)送到第一虛擬防火墻的端口以由所述第一虛擬防火墻執(zhí)行安全審核����。9.根據(jù)權(quán)利要求8所述的方法����,其特征在于���,該方法還包括: 當(dāng)指定虛擬機發(fā)生遷移時,向第一虛擬交換機下發(fā)用于指示刪除所述第一流表的第二流表。10.根據(jù)權(quán)利要求8所述的方法��,其特征在于����,該方法還包括: 當(dāng)指定虛擬機下掛在第二虛擬交換機上時���,向第二虛擬交換機下發(fā)第三流表����,該第三流表用于指示將通過指定虛擬機的端口接收到的流量發(fā)送到下一跳端口�,以將所述通過指定虛擬機的端口接收到的流量發(fā)送到第一虛擬交換機�����; 或 當(dāng)發(fā)送目的地址為指定虛擬機的流量的源虛擬機下掛在第二虛擬交換機時��,向第二虛擬交換機下發(fā)第四流表,該第四流表用于指示將通過源虛擬機的端口接收到的��、目的地址為指定虛擬機的流量發(fā)送到下一跳端口����,以將所述通過源虛擬機的端口接收到的、目的地址為指定虛擬機的流量發(fā)送到第一虛擬交換機。11.根據(jù)權(quán)利要求8所述的方法�����,其特征在于�����,該方法還包括: 發(fā)送所述安全策略到所述第一虛擬交換機��,從而由所述第一虛擬交換機將所述安全策略發(fā)送到所述第一虛擬防火墻。12.—種軟件定義網(wǎng)絡(luò)SDN中實現(xiàn)虛擬防火墻的裝置,其特征在于����,該裝置應(yīng)用于SDN控制器�,包括: 端口接收模塊��,用于從第一虛擬交換機接收第一虛擬防火墻的端口��,其中第一虛擬防火墻下掛在第一虛擬交換機上�����; 流表下發(fā)模塊���,用于向第一虛擬交換機下發(fā)第一流表���,所述第一流表用于指示將第一虛擬交換機通過非所述第一虛擬防火墻的端口接收到的���、目的地址或源地址為指定虛擬機的流量發(fā)送到所述第一虛擬防火墻的端口以由所述第一虛擬防火墻執(zhí)行安全審核。13.根據(jù)權(quán)利要求12所述的裝置����,其特征在于���, 流表下發(fā)模塊����,還用于當(dāng)指定虛擬機發(fā)生遷移時�����,向第一虛擬交換機下發(fā)用于指示刪除所述第一流表的第二流表�����。14.根據(jù)權(quán)利要求12所述的裝置�����,其特征在于���, 流表下發(fā)模塊,還用于當(dāng)指定虛擬機下掛在第二虛擬交換機上時,向第二虛擬交換機下發(fā)第三流表�����,該第三流表用于指示將通過指定虛擬機的端口接收到的流量發(fā)送到下一跳端口�����,以將所述通過指定虛擬機的端口接收到的流量發(fā)送到第一虛擬交換機��;或當(dāng)發(fā)送目的地址為指定虛擬機的流量的源虛擬機下掛在第二虛擬交換機時�����,向第二虛擬交換機下發(fā)第四流表��,該第四流表用于指示將通過源虛擬機的端口接收到的���、目的地址為指定虛擬機的流量發(fā)送到下一跳端口��,以將所述通過源虛擬機的端口接收到的、目的地址為指定虛擬機的流量發(fā)送到第一虛擬交換機。15.根據(jù)權(quán)利要求12所述的裝置��,其特征在于�����,還包括: 安全策略發(fā)送模塊,用于發(fā)送所述安全策略到所述第一虛擬交換機�,從而由所述第一虛擬交換機將所述安全策略發(fā)送到所述第一虛擬防火墻。
【專利摘要】本發(fā)明實施方式提出一種軟件定義網(wǎng)絡(luò)(Software?Defined?Network,SDN)中實現(xiàn)虛擬防火墻的方法和裝置。該方法適用于第一虛擬交換機,所述第一虛擬交換機下掛有第一虛擬防火墻�,包括:將第一虛擬防火墻的端口發(fā)送到SDN控制器�����;接收SDN控制器發(fā)送的第一流表���,所述第一流表用于指示將第一虛擬交換機通過非所述第一虛擬防火墻的端口接收到的��、目的地址或源地址為指定虛擬機的流量發(fā)送到第一虛擬防火墻的端口以由所述第一虛擬防火墻執(zhí)行安全審核。
【IPC分類】H04L29/06
【公開號】CN105656841
【申請?zhí)枴?br>【發(fā)明人】張寅飛, 溫濤, 林濤, 任維春
【申請人】杭州華三通信技術(shù)有限公司
【公開日】2016年6月8日
【申請日】2014年11月11日