劃分虛擬防火墻的方法和設(shè)備的制作方法
【專利摘要】一種劃分虛擬防火墻的方法和設(shè)備�,方法包括如下步驟:在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻,設(shè)置虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�����;在檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)���,判斷報(bào)文的類型是否為可識(shí)別報(bào)文類型��,如果是則進(jìn)一步判斷報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID���;如果報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�,則剝?nèi)?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID�,將報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的虛擬防火墻���;虛擬防火墻對(duì)內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理����,并在處理完成后對(duì)內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文����,并發(fā)送處理后報(bào)文。本發(fā)明通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離����,降低了硬件部署成本,滿足大型云網(wǎng)絡(luò)的需求�。
【專利說明】劃分虛擬防火墻的方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云網(wǎng)絡(luò)和虛擬防火墻【技術(shù)領(lǐng)域】,特別涉及一種劃分虛擬防火墻的方法和劃分虛擬防火墻的設(shè)備���。
【背景技術(shù)】
[0002]通常����,一個(gè)大型的云網(wǎng)絡(luò)可以支持?jǐn)?shù)以百計(jì)的租賃用戶,每個(gè)租賃用戶又可以同時(shí)運(yùn)行多個(gè)應(yīng)用�,用戶之間的流量都是相互隔離的。但是在大型的云環(huán)境中�����,如果為每個(gè)用戶分配一臺(tái)實(shí)際的防火墻�����,則需要數(shù)以百計(jì)的防火墻����,這顯然是不現(xiàn)實(shí)的。另外���,傳統(tǒng)的虛擬防火墻都是通過VLAN( (Virtual Local Area Network,虛擬局域網(wǎng))����、接口和目的地址來進(jìn)行區(qū)分流量���,由于其數(shù)量均是有限���,因此不適合大型的云網(wǎng)絡(luò)�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明鑒于上述情況而作出�����,其目的是提供一種劃分虛擬防火墻的方法����,通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離���,降低了硬件部署成本��,滿足大型云網(wǎng)絡(luò)的需求����。
[0004]為實(shí)現(xiàn)上述目的�����,本發(fā)明的實(shí)施方式提供一種劃分虛擬防火墻的方法��,包括如下步驟:
[0005]在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻���,并設(shè)置所述虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID �����;
[0006]在檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)����,判斷所述報(bào)文的類型是否為所述可識(shí)別報(bào)文類型,如果是則進(jìn)一步判斷所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID���,其中����,所述報(bào)文包括網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文��;
[0007]如果所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID����,則剝?nèi)ニ鰣?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID,將所述報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的所述虛擬防火墻����;
[0008]所述虛擬防火墻對(duì)所述內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理,并在處理完成后對(duì)所述內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文�,并發(fā)送所述處理后報(bào)文����。
[0009]根據(jù)本發(fā)明的一個(gè)方面�,所述可識(shí)別報(bào)文類型為使用通用路由封裝的網(wǎng)絡(luò)虛擬化NVGRE或虛擬可擴(kuò)展局域網(wǎng)VxLAN。
[0010]根據(jù)本發(fā)明的另一個(gè)方面�,所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符。
[0011]根據(jù)本發(fā)明的又一方面����,所述網(wǎng)絡(luò)標(biāo)識(shí)符ID位于所述報(bào)文的頭部。
[0012]本發(fā)明提供的劃分虛擬防火墻的方法通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離�,并且降低了硬件部署成本。本發(fā)明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻�����,避免了采用接口方式區(qū)分防火墻流量而引起的接口利用率降低的問題����。并網(wǎng)��,本發(fā)明提供的劃分虛擬防火墻的方法�����,可以支持較大數(shù)量的用戶,從而滿足大型云網(wǎng)絡(luò)的需求�����。
[0013]本發(fā)明的另一個(gè)目的是提供一種劃分虛擬防火墻的設(shè)備���,通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離�����,降低了硬件部署成本����,滿足大型云網(wǎng)絡(luò)的需求���。[0014]為實(shí)現(xiàn)上述目的�,本發(fā)明的實(shí)施方式提供一種劃分虛擬防火墻的設(shè)備�,包括:添加模塊,用于在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻���;可識(shí)別內(nèi)容設(shè)置模塊��,所述可識(shí)別內(nèi)容設(shè)置模塊連接至虛擬防火墻�,用于設(shè)置所述虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID ;報(bào)文檢測模塊,用于檢測云網(wǎng)絡(luò)的設(shè)備是否接收到報(bào)文��;可識(shí)別內(nèi)容判斷模塊����,所述可識(shí)別內(nèi)容判斷模塊連接至所述報(bào)文檢測模塊和所述可識(shí)別內(nèi)容設(shè)置模塊,用于在所述報(bào)文檢測模塊檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)����,判斷所述報(bào)文的類型是否為所述可識(shí)別報(bào)文類型,如果是則進(jìn)一步判斷所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�,其中,所述報(bào)文包括網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文���;網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊����,所述網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊連接至所述可識(shí)別內(nèi)容判斷模塊����,用于剝?nèi)ニ鰣?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID ;報(bào)文傳輸模塊�,所述報(bào)文傳輸模塊連接至所述網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊和所述虛擬防火墻,用于將剝?nèi)ゾW(wǎng)絡(luò)標(biāo)識(shí)符ID的內(nèi)層報(bào)文發(fā)送至相應(yīng)的所述虛擬防火墻�����,其中,所述虛擬防火墻對(duì)所述內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理����,并在處理完成后對(duì)所述內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文,并發(fā)送所述處理后報(bào)文���。
[0015]根據(jù)本發(fā)明的一個(gè)方面�����,所述可識(shí)別報(bào)文類型為使用通用路由封裝的網(wǎng)絡(luò)虛擬化NVGRE或虛擬可擴(kuò)展局域網(wǎng)VxLAN�。
[0016]根據(jù)本發(fā)明的另一個(gè)方面��,所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符�。
[0017]根據(jù)本發(fā)明的又一方面,所述網(wǎng)絡(luò)標(biāo)識(shí)符ID位于所述報(bào)文的頭部����。
[0018]本發(fā)明提供的劃分虛擬防火墻的設(shè)備通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離,并且降低了硬件部署成本�����。本發(fā)明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻,避免了采用接口方式區(qū)分防火墻流量而引起的接口利用率降低的問題��。并網(wǎng)���,本發(fā)明提供的劃分虛擬防火墻的方法�,可以支持較大數(shù)量的用戶�,從而滿足大型云網(wǎng)絡(luò)的需求。
【專利附圖】
【附圖說明】
[0019]圖1是根據(jù)本發(fā)明實(shí)施方式的劃分虛擬防火墻的方法的流程圖����;
[0020]圖2示意性地示出了報(bào)文結(jié)構(gòu)的示意圖;
[0021]圖3是根據(jù)本發(fā)明實(shí)施方式的劃分虛擬防火墻的設(shè)備的結(jié)構(gòu)圖����。
【具體實(shí)施方式】
[0022]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了���,下面結(jié)合【具體實(shí)施方式】并參照附圖�,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明���。應(yīng)該理解,這些描述只是示例性的,而并非要限制本發(fā)明的范圍�。此外,在以下說明中�,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念���。
[0023]下面首先對(duì)虛擬防火墻的概念和功能進(jìn)行說明�。虛擬防火墻是指將一臺(tái)防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻�,每個(gè)虛擬防火墻系統(tǒng)都可以被視為一臺(tái)完全獨(dú)立的防火墻設(shè)備,擁有獨(dú)立的系統(tǒng)資源�、管理員、安全策略�����、用戶認(rèn)證數(shù)據(jù)庫等����。
[0024]通常,一個(gè)大型的云網(wǎng)絡(luò)可以支持?jǐn)?shù)以百計(jì)的租賃用戶�,每個(gè)租賃用戶又可以同時(shí)運(yùn)行多個(gè)應(yīng)用,用戶之間的流量都是相互隔離的�����。但是在大型的云環(huán)境中,如果為每個(gè)用戶分配一臺(tái)實(shí)際的防火墻�,則需要數(shù)以百計(jì)的防火墻,這顯然是不現(xiàn)實(shí)的���。并且傳統(tǒng)的虛擬防火墻都是通過VLAN�����、接口和目的地址來進(jìn)行區(qū)分流量�����,由于其數(shù)量均是有限�����,因此不適合大型的云網(wǎng)絡(luò)�。為解決上述問題���,本發(fā)明提出一種劃分虛擬防火墻的方法�,該方法適用于大型的云網(wǎng)絡(luò)���。
[0025]圖1是根據(jù)本發(fā)明實(shí)施方式的劃分虛擬防火墻的方法的流程圖�����。
[0026]如圖1所示���,本發(fā)明實(shí)施方式提供的劃分虛擬防火墻的方法,包括如下步驟:
[0027]步驟SI�����,在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻��,設(shè)置虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�����。
[0028]在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻后�����,設(shè)置每個(gè)虛擬防火墻對(duì)應(yīng)的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�����。在本發(fā)明的實(shí)施方式中�����,可識(shí)別報(bào)文類型為使用NVGRE (NetworkVirtualization using Generic Routing Encapsulation,通用路由封裝的網(wǎng)絡(luò)虛擬化)或VxLAN (Virtual Extensible VLAN,虛擬可擴(kuò)展局域網(wǎng))。相應(yīng)的,可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符����。其中,可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為相應(yīng)的租賃用戶在網(wǎng)絡(luò)中使用的ID號(hào)���。
[0029]下面分別對(duì)NVGRE和VxLAN的功能進(jìn)行說明���。
[0030](I) NVGRE
[0031]虛擬云環(huán)境可以支持?jǐn)?shù)以百計(jì)的租賃用戶,每個(gè)租賃用戶又可以同時(shí)運(yùn)行多個(gè)應(yīng)用��,用戶之間的流量都是相互隔離的�。目前,采用VLAN來分隔用戶之間的流量�����。
[0032]但是這種方法存在下述缺陷:VLAN總是無法處理很多的容量分割需求���。在一個(gè)大型的虛擬云環(huán)境中�,每個(gè)應(yīng)用均是由多個(gè)VM ( (Virtual Manufacturing,虛擬機(jī))中運(yùn)行的組件組成的��,而每個(gè)應(yīng)用交互的VM流量都必須分別位于獨(dú)立的VLAN中。由此����,所需要的VLAN總數(shù)量極易超出IEEE802.1Q VLAN定義的上限:4,094���。
[0033]當(dāng)VM在物理服務(wù)器之間遷移時(shí),又會(huì)出現(xiàn)下述問題:VM遷移不得影響應(yīng)用程序�����,因此2層協(xié)議的地址必須保持不變����。針對(duì)這種情況,網(wǎng)絡(luò)必須重新配置��,將VLAN擴(kuò)展到不同服務(wù)器����,而這個(gè)過程極易出錯(cuò)。
[0034]NVGRE通過租賃網(wǎng)絡(luò)標(biāo)識(shí)符可以解決上述多租賃網(wǎng)絡(luò)問題�����。NVGRE通過指定24位的租賃網(wǎng)絡(luò)標(biāo)識(shí)符(TNI),每個(gè)TNI都定義了一個(gè)虛擬的2層網(wǎng)絡(luò)�,最多支持1.6千萬個(gè)網(wǎng)絡(luò),從而解決了多租賃網(wǎng)絡(luò)問題�����。
[0035]NVGRE 使用 GRE (Generic Routing Encapsulation,通用路由封裝)創(chuàng)建一個(gè)獨(dú)立的虛擬2層網(wǎng)絡(luò)��,在整個(gè)網(wǎng)絡(luò)里面不同租賃的用戶對(duì)安全的需求也是不同的��。VxLAN和NVGRE類似����,都是在原有的報(bào)文上面又封裝了一層,下面對(duì)VxLAN進(jìn)行描述���。
[0036](2) VxLAN
[0037]參考上述對(duì)VLAN隔離流量的缺陷描述����,如果采用VLAN隔離用戶之間的流量��,一個(gè)頂級(jí)機(jī)架交換機(jī)可能會(huì)連接40多臺(tái)服務(wù)器���。每一臺(tái)服務(wù)器可能運(yùn)行多個(gè)VM�����,每一個(gè)VM都會(huì)與多個(gè)VLAN通信���。但是數(shù)據(jù)中心可能包含許多個(gè)機(jī)架交換機(jī)��,所以VLAN總數(shù)可能會(huì)超過4���,094��。此外����,由一個(gè)應(yīng)用程序組成的VM可能位于地理位置不同的數(shù)據(jù)中心。這些VM必須通過2層網(wǎng)絡(luò)連接���,所以VLAN標(biāo)識(shí)符必須在地理上保證唯一性����。
[0038]為解決上述問題���,采用VxLAN標(biāo)準(zhǔn)實(shí)現(xiàn)應(yīng)用程序數(shù)據(jù)分離��。RFC草案所描述的VxLAN標(biāo)準(zhǔn)使用一個(gè)名為VXLAN網(wǎng)絡(luò)標(biāo)識(shí)符(VNI)的24位標(biāo)識(shí)符�,將與應(yīng)用程序關(guān)聯(lián)的VLAN分組到一個(gè)片段中。每一個(gè)管理域能夠定義多達(dá)1600萬個(gè)VNI���,而每一個(gè)VNI可能最多包含4����,094個(gè)VLAN��。因?yàn)橹挥羞\(yùn)行在同一個(gè)VNI的VM可以進(jìn)行通信��,從而可以實(shí)現(xiàn)客戶數(shù)據(jù)的分離�。
[0039]對(duì)VM可見的2層網(wǎng)絡(luò)是通過3層網(wǎng)絡(luò)的UDP (User Datagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)數(shù)據(jù)報(bào)文進(jìn)行傳輸?shù)摹_@使數(shù)據(jù)中心可以在不同的IP子網(wǎng)中運(yùn)行����。VM只能訪問2層網(wǎng)絡(luò),所以應(yīng)用程序中的VM可以從一個(gè)數(shù)據(jù)中心遷移到另一個(gè)數(shù)據(jù)中心��,而不需要對(duì)重新分配VM或者其他應(yīng)用程序的VM可見����。
[0040]由上可知,通過設(shè)置虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID,可以實(shí)現(xiàn)對(duì)虛擬防火墻流量識(shí)別方式的設(shè)置���,即設(shè)置每個(gè)虛擬防火墻的流量識(shí)別方式為NVGRE或者VxLAN����。
[0041]步驟S2���,在檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)�����,判斷報(bào)文的類型是否為步驟SI中預(yù)先設(shè)置的可識(shí)別報(bào)文類型�����,如果是則進(jìn)一步判斷該報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為步驟SI中預(yù)先設(shè)置的網(wǎng)絡(luò)標(biāo)識(shí)符ID,如果是則執(zhí)行步驟S3�����。
[0042]在本發(fā)明的實(shí)施方式中�����,如圖2所示,報(bào)文包括有網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文���,其中網(wǎng)絡(luò)標(biāo)識(shí)符ID位于報(bào)文的頭部�。
[0043]當(dāng)報(bào)文進(jìn)入云網(wǎng)絡(luò)中的設(shè)備后����,對(duì)該報(bào)文進(jìn)行NVGRE或VxLAN標(biāo)識(shí)的識(shí)別。具體來說�����,判斷該報(bào)文的是否為步驟SI中預(yù)先設(shè)置的可識(shí)別報(bào)文類型���,即NVGRE或VxLAN����,如果是��,則進(jìn)一步判斷該報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為步驟SI中預(yù)先設(shè)置的NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符��,如果該報(bào)文的類型不是NVGRE或VxLAN�,或者報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID不是預(yù)先設(shè)置的NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符,則對(duì)該報(bào)文不予處理��。其中,NVGRE的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符位于GRE報(bào)文的頭部��,VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符位于VxLAN的頭部�����,通過上述網(wǎng)絡(luò)標(biāo)識(shí)符可是實(shí)現(xiàn)對(duì)虛擬防火墻的流量的劃分��。
[0044]步驟S3��,如果報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)ID為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)ID���,則剝?nèi)?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID���,將報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的虛擬防火墻。
[0045]如果在步驟S2中識(shí)別出報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)ID為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)ID�,即NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符,則判斷是否存在相應(yīng)的虛擬防火墻�,即是否存在流量識(shí)別方式為NVGRE或VxLAN的虛擬防火墻����,如果存在,則剝?nèi)VGRE或VxLAN報(bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID�,并存儲(chǔ)上述剝?nèi)VGRE或VxLAN報(bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID以及該網(wǎng)絡(luò)標(biāo)識(shí)符ID與報(bào)文的對(duì)應(yīng)關(guān)系�����,從而為后續(xù)為報(bào)文重新添加回對(duì)應(yīng)的網(wǎng)絡(luò)標(biāo)識(shí)符ID作參考���。
[0046]在剝?nèi)?bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID后,報(bào)文只剩下內(nèi)層報(bào)文�,則將報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的虛擬防火墻。即����,如果網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符,則將剝?nèi)?bào)文頭部后的內(nèi)層報(bào)文發(fā)送至流量識(shí)別方式為NVGRE的虛擬防火墻�����。如果網(wǎng)絡(luò)標(biāo)識(shí)符ID為VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符���,則將剝?nèi)?bào)文頭部后的內(nèi)層報(bào)文發(fā)送至流量識(shí)別方式為VxLAN的虛擬防火墻���。
[0047]步驟S4,虛擬防火墻對(duì)內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理�����,并在處理完成后對(duì)內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文,發(fā)送該處理后報(bào)文���。
[0048]內(nèi)層報(bào)文進(jìn)入虛擬防火墻后��,虛擬防火墻對(duì)該內(nèi)層報(bào)文進(jìn)行相應(yīng)的安全業(yè)務(wù)處理��。虛擬防火墻處理完報(bào)文后�,根據(jù)該內(nèi)層報(bào)文對(duì)應(yīng)的網(wǎng)絡(luò)標(biāo)識(shí)符ID�,重新添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID,即重新封裝NVGRE或VxLAN報(bào)文頭�����,并將封裝后的報(bào)文轉(zhuǎn)發(fā)出去���。
[0049]整個(gè)過程中防火墻的鏈接均是內(nèi)層報(bào)文的鏈接�����,對(duì)于業(yè)務(wù)處理看不到NVGRE或VxLAN報(bào)文頭���,從而不會(huì)影響原有業(yè)務(wù)���。
[0050]根據(jù)本發(fā)明的劃分虛擬防火墻的方法�,通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離,并且降低了硬件部署成本�。本發(fā)明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻,避免了采用接口方式區(qū)分防火墻流量而引起的接口利用率降低的問題�。并網(wǎng),本發(fā)明提供的劃分虛擬防火墻的方法��,可以支持較大數(shù)量的用戶�,從而滿足大型云網(wǎng)絡(luò)的需求。
[0051]圖3是根據(jù)本發(fā)明實(shí)施方式的劃分虛擬防火墻的設(shè)備的結(jié)構(gòu)圖����。
[0052]如圖3所示,本實(shí)施方式提供的劃分虛擬防火墻的設(shè)備����,包括:添加模塊1、可識(shí)別內(nèi)容設(shè)置模塊2�、報(bào)文檢測模塊3、可識(shí)別內(nèi)容判斷模塊4����、網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊5和報(bào)文傳輸模塊6。
[0053]具體來說���,添加模塊I用于在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻V���。
[0054]可識(shí)別內(nèi)容設(shè)置模塊2連接至虛擬防火墻V����,用于設(shè)置虛擬防火墻V的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID����。在本發(fā)明的實(shí)施方式中,可識(shí)別報(bào)文類型為使用NVGRE(Network Virtualization using Generic Routing Encapsulation,通用路由封裝的網(wǎng)絡(luò)虛擬化)或VxLAN (Virtual Extensible VLAN,虛擬可擴(kuò)展局域網(wǎng))��。相應(yīng)的,可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符��。其中�����,可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為相應(yīng)的租賃用戶在網(wǎng)絡(luò)中使用的ID號(hào)�����。其中����,NVGRE和VxLAN的功能參考上述劃分虛擬防火墻的方法步驟SI中的描述���,在此不再贅述���。
[0055]由上可知����,通過可識(shí)別內(nèi)容設(shè)置模塊2設(shè)置虛擬防火墻V的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�����,可以實(shí)現(xiàn)對(duì)虛擬防火墻V的流量識(shí)別方式的設(shè)置��,即設(shè)置每個(gè)虛擬防火墻V的流量識(shí)別方式為NVGRE或者VxLAN��。
[0056]報(bào)文檢測模塊3用于檢測云網(wǎng)絡(luò)的設(shè)備是否接收到報(bào)文�。在本發(fā)明的實(shí)施方式中,報(bào)文包括有網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文���,其中網(wǎng)絡(luò)標(biāo)識(shí)符ID位于報(bào)文的頭部����。
[0057]可識(shí)別內(nèi)容判斷模塊4連接至可識(shí)別內(nèi)容設(shè)置模塊2和報(bào)文檢測模塊3,用于在報(bào)文檢測模塊3檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)��,判斷報(bào)文的類型是否為可識(shí)別報(bào)文類型����。如果是,則可識(shí)別內(nèi)容判斷模塊4進(jìn)一步判斷報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID���。
[0058]如果可識(shí)別內(nèi)容判斷模塊4判斷該報(bào)文的類型不是NVGRE或VxLAN���,或者報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID不是預(yù)先設(shè)置的NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符,則對(duì)該報(bào)文不予處理�。其中,NVGRE的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符位于GRE報(bào)文的頭部����,VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符位于VxLAN的頭部,通過上述網(wǎng)絡(luò)標(biāo)識(shí)符可是實(shí)現(xiàn)對(duì)虛擬防火墻V的流量的劃分���。
[0059]網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊5連接至可識(shí)別內(nèi)容判斷模塊4����,用于剝?nèi)?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID����。如果可識(shí)別內(nèi)容判斷模塊4識(shí)別出報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)ID為可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)ID�����,即NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符����,則進(jìn)一步判斷是否存在相應(yīng)的虛擬防火墻V���,即是否存在流量識(shí)別方式為NVGRE或VxLAN的虛擬防火墻V,如果存在��,則由網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊5剝?nèi)VGRE或VxLAN報(bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID�,并存儲(chǔ)上述剝?nèi)VGRE或VxLAN報(bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID以及該網(wǎng)絡(luò)標(biāo)識(shí)符ID與報(bào)文的對(duì)應(yīng)關(guān)系,從而為后續(xù)為報(bào)文重新添加回對(duì)應(yīng)的網(wǎng)絡(luò)標(biāo)識(shí)符ID作參考�����。
[0060]報(bào)文傳輸模塊6連接至網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊5和虛擬防火墻V��,用于將剝?nèi)ゾW(wǎng)絡(luò)標(biāo)識(shí)符ID的內(nèi)層報(bào)文發(fā)送至相應(yīng)的虛擬防火墻V�����。網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊5在剝報(bào)文頭部的網(wǎng)絡(luò)標(biāo)識(shí)符ID后,報(bào)文只剩下內(nèi)層報(bào)文����,則報(bào)文傳輸模塊6將報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的虛擬防火墻V。即�,如果網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符,則報(bào)文傳輸模塊6將剝?nèi)?bào)文頭部后的內(nèi)層報(bào)文發(fā)送至流量識(shí)別方式為NVGRE的虛擬防火墻V���。如果網(wǎng)絡(luò)標(biāo)識(shí)符ID為VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符�,則報(bào)文傳輸模塊6將剝?nèi)?bào)文頭部后的內(nèi)層報(bào)文發(fā)送至流量識(shí)別方式為VxLAN的虛擬防火墻V���。
[0061]內(nèi)層報(bào)文進(jìn)入虛擬防火墻V后�,虛擬防火墻V對(duì)該內(nèi)層報(bào)文進(jìn)行相應(yīng)的安全業(yè)務(wù)處理����。虛擬防火墻V處理完報(bào)文后,根據(jù)該內(nèi)層報(bào)文對(duì)應(yīng)的網(wǎng)絡(luò)標(biāo)識(shí)符ID�����,重新添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID����,即重新封裝NVGRE或VxLAN報(bào)文頭�,并將封裝后的報(bào)文轉(zhuǎn)發(fā)出去����。
[0062]根據(jù)本發(fā)明的劃分虛擬防火墻的設(shè)備,通過虛擬防火墻的方式來進(jìn)行安全業(yè)務(wù)的隔離���,并且降低了硬件部署成本��。本發(fā)明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻����,避免了采用接口方式區(qū)分防火墻流量而引起的接口利用率降低的問題�。并網(wǎng)�����,本發(fā)明提供的劃分虛擬防火墻的方法�����,可以支持較大數(shù)量的用戶�����,從而滿足大型云網(wǎng)絡(luò)的需求。
[0063]應(yīng)當(dāng)理解的是�����,本發(fā)明的上述【具體實(shí)施方式】僅僅用于示例性說明或解釋本發(fā)明的原理�����,而不構(gòu)成對(duì)本發(fā)明的限制�����。因此�,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換��、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。此外���,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界����、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。
【權(quán)利要求】
1.一種劃分虛擬防火墻的方法����,包括如下步驟: 在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻,設(shè)置所述虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID �����; 在檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)���,判斷所述報(bào)文的類型是否為所述可識(shí)別報(bào)文類型����,如果是則進(jìn)一步判斷所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID����,其中����,所述報(bào)文包括網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文; 如果所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID�,則剝?nèi)ニ鰣?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID�,將所述報(bào)文的內(nèi)層報(bào)文發(fā)送至相應(yīng)的所述虛擬防火墻��; 所述虛擬防火墻對(duì)所述內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理�,并在處理完成后對(duì)所述內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文,并發(fā)送所述處理后報(bào)文�����。
2.根據(jù)權(quán)利要求1所述的劃分虛擬防火墻的方法���,其特征在于���,所述可識(shí)別報(bào)文類型為使用通用路由封裝的網(wǎng)絡(luò)虛擬化NVGRE或虛擬可擴(kuò)展局域網(wǎng)VxLAN。
3.根據(jù)權(quán)利要求2所述的劃分虛擬防火墻的方法�����,其特征在于�,所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符。
4.根據(jù)權(quán)利要求1或3所述的劃分虛擬防火墻的方法�,其特征在于,所述網(wǎng)絡(luò)標(biāo)識(shí)符ID位于所述報(bào)文的頭部����。
5.一種劃分虛擬防火墻的設(shè)備�,包括 添加模塊����,用于在云網(wǎng)絡(luò)中添加多臺(tái)虛擬防火墻; 可識(shí)別內(nèi)容設(shè)置模塊����,所述可識(shí)別內(nèi)容設(shè)置模塊連接至虛擬防火墻,用于設(shè)置所述虛擬防火墻的可識(shí)別報(bào)文類型和可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID �����; 報(bào)文檢測模塊�,用于檢測云網(wǎng)絡(luò)的設(shè)備是否接收到報(bào)文; 可識(shí)別內(nèi)容判斷模塊����,所述可識(shí)別內(nèi)容判斷模塊連接至所述報(bào)文檢測模塊和所述可識(shí)別內(nèi)容設(shè)置模塊,用于在所述報(bào)文檢測模塊檢測到云網(wǎng)絡(luò)的設(shè)備接收到報(bào)文時(shí)���,判斷所述報(bào)文的類型是否為所述可識(shí)別報(bào)文類型,如果是則進(jìn)一步判斷所述報(bào)文攜帶的網(wǎng)絡(luò)標(biāo)識(shí)符ID是否為所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID���,其中�,所述報(bào)文包括網(wǎng)絡(luò)標(biāo)識(shí)符ID和內(nèi)層報(bào)文; 網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊�����,所述網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊連接至所述可識(shí)別內(nèi)容判斷模塊�����,用于剝?nèi)ニ鰣?bào)文的網(wǎng)絡(luò)標(biāo)識(shí)符ID ��; 報(bào)文傳輸模塊��,所述報(bào)文傳輸模塊連接至所述網(wǎng)絡(luò)標(biāo)識(shí)符處理模塊和所述虛擬防火墻�����,用于將剝?nèi)ゾW(wǎng)絡(luò)標(biāo)識(shí)符ID的內(nèi)層報(bào)文發(fā)送至相應(yīng)的所述虛擬防火墻��; 其中����,所述虛擬防火墻對(duì)所述內(nèi)層報(bào)文進(jìn)行業(yè)務(wù)處理,并在處理完成后對(duì)所述內(nèi)層報(bào)文添加對(duì)應(yīng)的原始網(wǎng)絡(luò)標(biāo)識(shí)符ID以封裝成處理后報(bào)文����,并發(fā)送所述處理后報(bào)文��。
6.根據(jù)權(quán)利要求5所述的劃分虛擬防火墻的設(shè)備����,其特征在于��,所述可識(shí)別報(bào)文類型為使用通用路由封裝的網(wǎng)絡(luò)虛擬化NVGRE或虛擬可擴(kuò)展局域網(wǎng)VxLAN����。
7.根據(jù)權(quán)利要求6所述的劃分虛擬防火墻的設(shè)備,其特征在于�����,所述可識(shí)別網(wǎng)絡(luò)標(biāo)識(shí)符ID為NVGRE或VxLAN的24位租賃網(wǎng)絡(luò)標(biāo)識(shí)符���。
8.根據(jù)權(quán)利要求5或7所述的劃分虛擬防火墻的設(shè)備�,其特征在于���,所述網(wǎng)絡(luò)標(biāo)識(shí)符ID位于所述報(bào)文的頭部��。
【文檔編號(hào)】H04L29/06GK103973673SQ201410139263
【公開日】2014年8月6日 申請(qǐng)日期:2014年4月9日 優(yōu)先權(quán)日:2014年4月9日
【發(fā)明者】朱志博 申請(qǐng)人:漢柏科技有限公司