一種服務(wù)鏈引流方法和裝置的制造方法
【專利摘要】本發(fā)明提供一種服務(wù)鏈引流方法和裝置��,通過將連接安全設(shè)備的安全端口從所有VLAN中移除�、關(guān)閉安全端口的輸入輸出規(guī)則檢查和安全端口的地址學(xué)習(xí)功能�����,使流量不會(huì)在安全設(shè)備上泛洪并使流量輸出時(shí)不影響轉(zhuǎn)發(fā)路徑,以及通過流量的入口標(biāo)志阻止流量在輸出時(shí)從原始輸入端口轉(zhuǎn)發(fā)����,提供了一種安全設(shè)備為透明模式的service chain引流方案,解決了傳統(tǒng)部署方式下存在性能瓶頸�����、單點(diǎn)故障和擴(kuò)展性差的問題���。
【專利說明】
一種服務(wù)鏈引流方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種服務(wù)鏈引流方法和裝置�。
【背景技術(shù)】
[0002]傳統(tǒng)網(wǎng)絡(luò)出口的安全設(shè)備部署如圖1所示,傳統(tǒng)的部署方式存在如下問題:
[0003]I��,性能瓶頸
[0004]串聯(lián)的部署形式使流量需要經(jīng)過所有設(shè)備��,性能最差的網(wǎng)絡(luò)節(jié)點(diǎn)會(huì)成為整個(gè)鏈條瓶頸����,而當(dāng)前安全設(shè)備處理能力有限����,無法跟上流量增長的速度�����。
[0005]2����,單點(diǎn)故障
[0006]串聯(lián)的部署形式使得當(dāng)路徑上的某個(gè)節(jié)點(diǎn)出現(xiàn)故障后,將導(dǎo)致整條網(wǎng)絡(luò)無法正常工作�。
[0007]3,擴(kuò)展性差
[0008]當(dāng)需要增加安全設(shè)備時(shí)���,需要對(duì)拓?fù)溥M(jìn)行改動(dòng),造成整網(wǎng)斷網(wǎng)等情況����。
[0009]安全設(shè)備的模式包括兩種:透明模式和路由模式。
[0010]安全設(shè)備路由模式指在安全設(shè)備上配置IP地址���,報(bào)文在安全設(shè)備上走路由轉(zhuǎn)發(fā)�,這時(shí)候需要額外給安全設(shè)備劃分IP地址段。這種情況只能對(duì)三層轉(zhuǎn)發(fā)的報(bào)文引流��,否則到了安全設(shè)備后無法再轉(zhuǎn)出���。部分安全設(shè)備不支持路由模式���。
[0011]安全設(shè)備透明模式則不需要在安全設(shè)備上配置IP地址,報(bào)文在安全設(shè)備上直接透?jìng)?��,不改變?bào)文內(nèi)容���。這種情況可以對(duì)所有報(bào)文引流。
[0012]區(qū)別與傳統(tǒng)的串聯(lián)式部署方案���,服務(wù)鏈(Servicechain)方案把所有安全設(shè)備旁掛到一臺(tái)交換設(shè)備上���,如圖2所示,服務(wù)鏈即安全設(shè)備按順序組成的邏輯鏈����,服務(wù)鏈方案需要把某些特定的流量引流到安全設(shè)備上。
[0013]現(xiàn)有技術(shù)中目前還沒有安全設(shè)備為透明模式的servicechain引流方案���。
【發(fā)明內(nèi)容】
[0014]本發(fā)明提出一種服務(wù)鏈引流方法和裝置��,提供了一種安全設(shè)備為透明模式的service chain引流方案���,用于解決傳統(tǒng)部署方式下存在性能瓶頸��、單點(diǎn)故障和擴(kuò)展性差的問題�����。
[0015]本發(fā)明提供了一種服務(wù)鏈弓I流方法��,所述方法包括:
[0016]將連接安全設(shè)備的安全端口從所有VLAN中移除���;
[0017]關(guān)閉所述安全端口的輸入輸出規(guī)則檢查;
[0018]關(guān)閉所述安全端口的地址學(xué)習(xí)功能����;
[0019]在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志,在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去��。
[0020 ]本發(fā)明還提供一種服務(wù)鏈引流裝置����,所述裝置包括:
[0021]端口設(shè)置模塊,用于將連接安全設(shè)備的安全端口從所有VLAN中移除����,用于關(guān)閉所述安全端口的輸入輸出規(guī)則檢查以及關(guān)閉所述安全端口的地址學(xué)習(xí)功能;
[0022]流量標(biāo)記模塊����,用于在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志;
[0023I流量處理模塊���,用于在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去����。
[0024]本發(fā)明的服務(wù)鏈引流方法和裝置��,通過將連接安全設(shè)備的安全端口從所有VLAN中移除����、關(guān)閉安全端口的輸入輸出規(guī)則檢查和安全端口的地址學(xué)習(xí)功能,使流量不會(huì)在安全設(shè)備上泛洪并使流量輸出時(shí)不影響轉(zhuǎn)發(fā)路徑�,以及通過流量的入口標(biāo)志阻止流量在輸出時(shí)從原始輸入端口轉(zhuǎn)發(fā),提供了一種安全設(shè)備為透明模式的service chain引流方案����,解決了傳統(tǒng)部署方式下存在性能瓶頸����、單點(diǎn)故障和擴(kuò)展性差的問題���。
【附圖說明】
[0025]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹����,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖����。
[0026]圖1為傳統(tǒng)網(wǎng)絡(luò)出口安全設(shè)備部署示意圖;
[0027]圖2為服務(wù)鏈方案安全設(shè)備部署示意圖�����;
[0028]圖3為本發(fā)明實(shí)施例一提供的服務(wù)鏈引流方法流程圖�;
[0029]圖4為本發(fā)明實(shí)施例二提供的服務(wù)鏈引流方法流程圖;
[0030]圖5為服務(wù)鏈引流拓?fù)涫疽鈭D��;
[0031]圖6為本發(fā)明實(shí)施例三提供的服務(wù)鏈引流裝置結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0032]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然�����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例��,而不是全部的實(shí)施例�����?���;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�����。
[0033]為了解決現(xiàn)有技術(shù)中傳統(tǒng)部署方式下存在性能瓶頸����、單點(diǎn)故障和擴(kuò)展性差的問題,本發(fā)明提出了一種服務(wù)鏈弓I流方案����。
[0034]圖3為本發(fā)明實(shí)施例一提供的服務(wù)鏈引流方法流程圖,如圖所示��,所述方法包括:
[0035]101����,將連接安全設(shè)備的安全端口從所有VLAN中移除;
[0036]201����,關(guān)閉所述安全端口的輸入輸出規(guī)則檢查;
[0037]301,關(guān)閉所述安全端口的地址學(xué)習(xí)功能��;
[0038]401��,在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志���;
[0039]501,在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去�。
[0040]要實(shí)現(xiàn)service chain透明模式方案,需要解決以下問題:
[0041]I)需要引流的流量在轉(zhuǎn)發(fā)前能夠強(qiáng)制引到安全設(shè)備���,而不需要引流的流量不會(huì)廣播或泛洪到安全設(shè)備��;
[0042]本實(shí)施例通過將連接安全設(shè)備的安全端口從所有VLAN中移除�,使得端口不屬于任何VLAN�����,即可阻止報(bào)文廣播或泛洪到安全設(shè)備���,此外�����,為了讓流量能夠引流到安全設(shè)備�����,本實(shí)施例通過關(guān)閉安全端口的輸入輸出規(guī)則檢查來實(shí)現(xiàn)��,因?yàn)樵陂_啟安全端口的輸入輸出規(guī)則檢查的情況下��,如果入口給報(bào)文分配的VLAN不屬于端口位圖內(nèi)的VLAN則不允許輸出��,從安全設(shè)備轉(zhuǎn)發(fā)回來的報(bào)文也會(huì)被過濾��,通過關(guān)閉輸入輸出規(guī)則檢查���,使流量引流到安全設(shè)備及從安全設(shè)備返回不受此限制�����。
[0043]2)流量從安全設(shè)備回來后還能按原始路徑正常轉(zhuǎn)發(fā)����;
[0044]由于安全端口從所有VLAN移除了��,同時(shí)關(guān)閉了輸入輸出規(guī)則檢查�,因此數(shù)據(jù)流從下行安全端口轉(zhuǎn)發(fā)到安全設(shè)備時(shí)攜帶的是原始輸入端口處分配的VLAN����,當(dāng)數(shù)據(jù)流在安全設(shè)備上處理完畢后從上行安全端口轉(zhuǎn)發(fā)回來時(shí)���,會(huì)根據(jù)原始輸入端口處分配的VLAN進(jìn)行查表轉(zhuǎn)發(fā)�����,由于上行安全端口默認(rèn)也會(huì)學(xué)習(xí)到數(shù)據(jù)流的源MAC地址�����,會(huì)更新流量轉(zhuǎn)發(fā)表,影響流量的轉(zhuǎn)發(fā)路徑�,本實(shí)施例通過關(guān)閉安全端口的地址學(xué)習(xí)功能來阻止在安全端口的地址學(xué)習(xí),保證流量能夠按原始路徑正常轉(zhuǎn)發(fā)��。
[0045]這里下行安全端口指的是本設(shè)備連接安全設(shè)備并向安全設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的端口�����,上行安全端口指的是本設(shè)備連接安全設(shè)備并接收安全設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的端口����。
[0046]3)流量從安全設(shè)備回來后,不會(huì)從原始入口廣播或泛洪。
[0047]由于數(shù)據(jù)流經(jīng)過了安全設(shè)備再回來時(shí)��,識(shí)別到的報(bào)文的源端口已經(jīng)變成了上行安全端口����,而現(xiàn)有技術(shù)中支持的不往源端口輸出的機(jī)制,只能阻止報(bào)文不向剛剛輸入數(shù)據(jù)流的上行安全端口再廣播或者泛洪一份���,由于原始的輸入端口由于處于同一個(gè)廣播域���,必然會(huì)再轉(zhuǎn)發(fā)一份出去。為了解決這個(gè)問題���,需要識(shí)別報(bào)文的真正源端口�,然后阻止報(bào)文向該端口轉(zhuǎn)發(fā)�,本實(shí)施例通過在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志,在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去��,能夠識(shí)別出報(bào)文的真正源端口����,從而阻止報(bào)文向該端口轉(zhuǎn)發(fā)。
[0048]本實(shí)施例通過將連接安全設(shè)備的安全端口從所有VLAN中移除�、關(guān)閉安全端口的輸入輸出規(guī)則檢查和安全端口的地址學(xué)習(xí)功能����,使流量不會(huì)在安全設(shè)備上泛洪并使流量輸出時(shí)不影響轉(zhuǎn)發(fā)路徑��,以及通過流量的入口標(biāo)志阻止流量在輸出時(shí)從原始輸入端口轉(zhuǎn)發(fā)�����,提供了一種安全設(shè)備為透明模式的service chain引流方案�,解決了傳統(tǒng)部署方式下存在性能瓶頸、單點(diǎn)故障和擴(kuò)展性差的問題����。
[0049]在ServiceChain方案中����,SDN(Software Defined Network��,軟件定義網(wǎng)絡(luò))控制器針對(duì)不同的流量����,根據(jù)報(bào)文內(nèi)容匹配����,可以定義不同的流量�����,對(duì)流量所走的路徑則可通過服務(wù)鏈進(jìn)行定義,將流量與服務(wù)鏈進(jìn)行綁定��,從而定義了流量的轉(zhuǎn)發(fā)路徑。原理如下:
[0050]在流量綁定服務(wù)鏈后���,SDN控制器將根據(jù)服務(wù)鏈配置�,規(guī)劃出一條流路徑����,下發(fā)服務(wù)鏈流表��,依次將流量引向服務(wù)鏈上的各個(gè)安全設(shè)備即服務(wù)節(jié)點(diǎn)�����,流表即流量轉(zhuǎn)發(fā)表�����。
[0051]在流量走完服務(wù)鏈流表后�����,回到交換設(shè)備�����,交換設(shè)備再根據(jù)傳統(tǒng)模式進(jìn)行轉(zhuǎn)發(fā)。此時(shí)的傳統(tǒng)轉(zhuǎn)發(fā)行為應(yīng)基于流量最初輸入的端口即原始入口����,而不是基于從安全設(shè)備返回的端口即安全端口�。
[0052]流表即流量轉(zhuǎn)發(fā)表包括匹配規(guī)則和控制行為兩部分��,匹配規(guī)則可以是數(shù)據(jù)報(bào)文的各個(gè)字段及一些設(shè)備內(nèi)部轉(zhuǎn)發(fā)狀態(tài)信息�����,控制行為包括丟棄(drop)��、不丟棄(dropcancel)�、重定向、修改報(bào)文內(nèi)容�����、流量統(tǒng)計(jì)��、出口掩碼(egress mask)等��。流表的各個(gè)表項(xiàng)之間存在優(yōu)先級(jí)關(guān)系�,當(dāng)數(shù)據(jù)報(bào)文到達(dá)交換機(jī)接口時(shí)����,如果該接口上配置流表���,則會(huì)自動(dòng)按優(yōu)先級(jí)順序檢查報(bào)文是否符合流表中表項(xiàng)的匹配規(guī)則,如果匹配,則執(zhí)行第一條匹配項(xiàng)對(duì)應(yīng)的控制行為�。流表重定向動(dòng)作優(yōu)先級(jí)高于普通轉(zhuǎn)發(fā)的動(dòng)作,即普通轉(zhuǎn)發(fā)和流表重定向的出口不一致時(shí)���,報(bào)文的出口以流表的出口為準(zhǔn)����。
[0053]進(jìn)一步的���,步驟501具體可以包括:在流量輸出時(shí)查詢流量轉(zhuǎn)發(fā)表�,根據(jù)所述流量轉(zhuǎn)發(fā)表中對(duì)應(yīng)的表項(xiàng)中的出口掩碼禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去。
[0054]本實(shí)施例通過在流量轉(zhuǎn)發(fā)表中設(shè)置一個(gè)出口掩碼的匹配表項(xiàng)�,使得匹配此表項(xiàng)的流量不向該掩碼對(duì)應(yīng)的端口輸出�����,出口掩碼與入口標(biāo)志對(duì)應(yīng)����,即實(shí)現(xiàn)了輸出的流量不向入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)。
[0055]掩碼的一種較優(yōu)的實(shí)現(xiàn)方式是將出口掩碼中與禁止流量輸出端口的端口號(hào)對(duì)應(yīng)的掩碼位置I����,以表示該掩碼位對(duì)應(yīng)的端口不允許輸出����。
[0056]進(jìn)一步的��,步驟401具體可以包括:
[0057]所述流量從原始輸入端口輸入進(jìn)行MAC地址學(xué)習(xí)時(shí)�,在學(xué)習(xí)到的地址表項(xiàng)中設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志���,在流量從安全端口輸入時(shí)通過匹配所述地址表項(xiàng)對(duì)流量中的報(bào)文打上所述原始輸入端口對(duì)應(yīng)的入口標(biāo)志����。
[0058]例如,報(bào)文在流量輸入的源端口進(jìn)行MAC地址學(xué)習(xí)時(shí)�����,在學(xué)習(xí)到的地址表項(xiàng)設(shè)置標(biāo)識(shí)當(dāng)前端口的class id����。比如端口 I學(xué)習(xí)到的地址classid設(shè)置為I,端口 2學(xué)習(xí)到的地址classid設(shè)置為2��,以此類推��。
[0059]在流量轉(zhuǎn)發(fā)表中匹配classid�����,同時(shí)設(shè)置egress mask動(dòng)作��,阻止報(bào)文從該classid對(duì)應(yīng)的端口輸出����。比如匹配c I as s i d = I,則egr e s s mask動(dòng)作對(duì)應(yīng)的阻止輸出的掩碼位設(shè)置為端口 I對(duì)應(yīng)的位��。
[0060]進(jìn)一步的,如圖4所示�,所述方法還包括以下步驟:
[0061]601,在流量輸入時(shí)查詢流量轉(zhuǎn)發(fā)表���,當(dāng)在連接任一安全設(shè)備的下行安全端口在服務(wù)鏈規(guī)劃流路徑上的前一端口上匹配到需要在所述任一安全設(shè)備上處理的第一流量時(shí)���,將所述第一流量重定向到連接所述任一安全設(shè)備的下行安全端口。
[0062]如圖5所示為一個(gè)服務(wù)鏈引流拓?fù)涫疽鈭D���,以安全設(shè)備為FW(FireWall,防火墻)和IDP(Intrus1n Detect1n&Prevent1n System�,入侵檢測(cè)&防御系統(tǒng))為例,連接FW的下行安全端口是P2�����,第一流量的服務(wù)鏈規(guī)劃流路徑是P1->P2->FW->P3->P4->IDP->P5->P6��,因此�,下行安全端口P2在服務(wù)連規(guī)劃流路徑上的前一端口為Pl,為了實(shí)現(xiàn)服務(wù)鏈的規(guī)劃路徑�,當(dāng)在端口Pl上匹配到第一流量時(shí),該流量需要被重定向到P2�,于是將流量轉(zhuǎn)發(fā)表的表項(xiàng)設(shè)置為實(shí)現(xiàn)上述操作的表項(xiàng)�。
[0063]下面以一個(gè)具體的例子來說明本方案��,以如圖5所示的拓?fù)錇槔?����,假設(shè)流量A綁定的服務(wù)鏈為FW->IDP��,流量B綁定的服務(wù)鏈僅FW—個(gè)服務(wù)節(jié)點(diǎn)(即安全設(shè)備)�。則流量A的服務(wù)鏈規(guī)劃流路徑為P1->P2->FW->P3->P4->IDP->P5->P6,而流量B的服務(wù)鏈規(guī)劃流路徑為Pl->P2->Fff->P3->P6o
[0064]實(shí)現(xiàn)以上引流需要如下操作:
[0065]1����、所有安全端口(?2��、��?3����、?4����、���?5)配置為透明模式,此時(shí)把安全端口從所有¥1^^成員中移除����、關(guān)閉MAC地址學(xué)習(xí)、關(guān)閉輸入輸出規(guī)則檢查�����;
[0066]2���、控制器下發(fā)如下流表:
[0067]針對(duì)流量A:
[0068]端口 Pl+流量A_>重定向到P2;
[0069]端口 P3+流量A->重定向到P4;
[0070]端口 P5+流量A->無動(dòng)作���;
[0071]針對(duì)流量B:
[0072]端口 Pl+流量B-〉重定向到P2;
[0073]端口 P3+流量B-〉無動(dòng)作���;
[0074]3��、全局添加匹配classid= I�����,動(dòng)作egress mask.bitmap = 0x2的流表表項(xiàng)���,當(dāng)流量A的第一個(gè)報(bào)文從端口 Pl輸入時(shí)���,會(huì)學(xué)習(xí)到如下MAC地址表:
[0075]MAC A,classid Ι,χχχ;
[0076]當(dāng)流量A從安全設(shè)備被轉(zhuǎn)發(fā)回來后,從端口Ρ5輸入�����,流表無重定向動(dòng)作����,因此按傳統(tǒng)方式轉(zhuǎn)發(fā)。如果報(bào)文為廣播報(bào)文�,Pl和Ρ6屬于同地廣播域,則此時(shí)正常會(huì)同時(shí)廣播到Pl和Ρ6�����,但報(bào)文同時(shí)還會(huì)命中上面這條MAC地址表���,給報(bào)文打上classid= I的標(biāo)記��,繼而命中classid = I的流表�,執(zhí)行egress mask.bitmap = 0x2動(dòng)作,即報(bào)文不允許從Pl輸出�,只能從P6輸出。
[0077]圖6為本發(fā)明實(shí)施例三提供的服務(wù)鏈引流裝置結(jié)構(gòu)示意圖�,所述裝置包括:
[0078]端口設(shè)置模塊10,用于將連接安全設(shè)備的安全端口從所有VLAN中移除��,用于關(guān)閉所述安全端口的輸入輸出規(guī)則檢查以及關(guān)閉所述安全端口的地址學(xué)習(xí)功能��;
[0079]流量標(biāo)記模塊20�����,用于在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志�����;
[0080]流量處理模塊30���,用于在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去����。
[0081 ]進(jìn)一步的����,所述流量處理模塊30具體可以用于在流量輸出時(shí)查詢流量轉(zhuǎn)發(fā)表,根據(jù)所述流量轉(zhuǎn)發(fā)表中對(duì)應(yīng)的表項(xiàng)中的出口掩碼禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去����。
[0082]較優(yōu)的,所述出口掩碼中與禁止流量輸出端口的端口號(hào)對(duì)應(yīng)的掩碼位置I�。
[0083]進(jìn)一步的,所述流量處理模塊30還可以用于在流量輸入時(shí)查詢流量轉(zhuǎn)發(fā)表�,當(dāng)在連接任一安全設(shè)備的下行安全端口在服務(wù)鏈規(guī)劃流路徑上的前一端口上匹配到需要在所述任一安全設(shè)備上處理的第一流量時(shí),將所述第一流量重定向到連接所述任一安全設(shè)備的下行安全端口��。
[0084]進(jìn)一步的���,所述流量標(biāo)記模塊20具體可以用于所述流量從原始輸入端口輸入進(jìn)行MAC地址學(xué)習(xí)時(shí)����,在學(xué)習(xí)到的地址表項(xiàng)中設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志��,在流量從安全端口輸入時(shí)通過匹配所述地址表項(xiàng)對(duì)流量中的報(bào)文打上所述原始輸入端口對(duì)應(yīng)的入口標(biāo)
V 1���、1����、O
[0085]本實(shí)施例通過將連接安全設(shè)備的安全端口從所有VLAN中移除�����、關(guān)閉安全端口的輸入輸出規(guī)則檢查和安全端口的地址學(xué)習(xí)功能,使流量不會(huì)在安全設(shè)備上泛洪并使流量輸出時(shí)不影響轉(zhuǎn)發(fā)路徑��,以及通過流量的入口標(biāo)志阻止流量在輸出時(shí)從原始輸入端口轉(zhuǎn)發(fā)����,提供了一種安全設(shè)備為透明模式的service chain引流方案,解決了傳統(tǒng)部署方式下存在性能瓶頸��、單點(diǎn)故障和擴(kuò)展性差的問題�。
[0086]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:ROM����、RAM�����、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)���。
[0087]以上所描述的裝置實(shí)施例僅僅是示意性的����,其中作為分離部件說明的模塊或單元可以是或者也可以不是物理上分開的����,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方�,或者也可以分布到至少兩個(gè)網(wǎng)絡(luò)單元上?���?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊或單元來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動(dòng)的情況下��,即可以理解并實(shí)施�。
[0088]最后應(yīng)說明的是:以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍���。
【主權(quán)項(xiàng)】
1.一種服務(wù)鏈弓I流方法�,其特征在于��,所述方法包括: 將連接安全設(shè)備的安全端口從所有VLAN中移除�; 關(guān)閉所述安全端口的輸入輸出規(guī)則檢查; 關(guān)閉所述安全端口的地址學(xué)習(xí)功能�; 在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志,在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去�。2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去具體包括: 在流量輸出時(shí)查詢流量轉(zhuǎn)發(fā)表,根據(jù)所述流量轉(zhuǎn)發(fā)表中對(duì)應(yīng)的表項(xiàng)中的出口掩碼禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去����。3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,所述方法還包括: 在流量輸入時(shí)查詢流量轉(zhuǎn)發(fā)表,當(dāng)在連接任一安全設(shè)備的下行安全端口在服務(wù)鏈規(guī)劃流路徑上的前一端口上匹配到需要在所述任一安全設(shè)備上處理的第一流量時(shí)�����,將所述第一流量重定向到連接所述任一安全設(shè)備的下行安全端口。4.根據(jù)權(quán)利要求2或3所述的方法��,其特征在于����,所述出口掩碼中與禁止流量輸出端口的端口號(hào)對(duì)應(yīng)的掩碼位置I�����。5.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法���,其特征在于�, 所述在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志具體包括: 所述流量從原始輸入端口輸入進(jìn)行MAC地址學(xué)習(xí)時(shí)����,在學(xué)習(xí)到的地址表項(xiàng)中設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志,在流量從安全端口輸入時(shí)通過匹配所述地址表項(xiàng)對(duì)流量中的報(bào)文打上所述原始輸入端口對(duì)應(yīng)的入口標(biāo)志�����。6.一種服務(wù)鏈弓I流裝置�����,其特征在于,所述裝置包括: 端口設(shè)置模塊�,用于將連接安全設(shè)備的安全端口從所有VLAN中移除,用于關(guān)閉所述安全端口的輸入輸出規(guī)則檢查以及關(guān)閉所述安全端口的地址學(xué)習(xí)功能���; 流量標(biāo)記模塊��,用于在流量從安全端口輸入時(shí)為所述流量設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志����; 流量處理模塊����,用于在流量輸出時(shí)禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去。7.根據(jù)權(quán)利要求6所述的裝置����,其特征在于, 所述流量處理模塊具體用于在流量輸出時(shí)查詢流量轉(zhuǎn)發(fā)表�����,根據(jù)所述流量轉(zhuǎn)發(fā)表中對(duì)應(yīng)的表項(xiàng)中的出口掩碼禁止流量通過所述入口標(biāo)志對(duì)應(yīng)的端口轉(zhuǎn)發(fā)出去���。8.根據(jù)權(quán)利要求7所述的裝置��,其特征在于����, 所述流量處理模塊還用于在流量輸入時(shí)查詢流量轉(zhuǎn)發(fā)表,當(dāng)在連接任一安全設(shè)備的下行安全端口在服務(wù)鏈規(guī)劃流路徑上的前一端口上匹配到需要在所述任一安全設(shè)備上處理的第一流量時(shí)��,將所述第一流量重定向到連接所述任一安全設(shè)備的下行安全端口�����。9.根據(jù)權(quán)利要求7或8所述的裝置�,其特征在于���,所述出口掩碼中與禁止流量輸出端口的端口號(hào)對(duì)應(yīng)的掩碼位置I�。10.根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置�����,其特征在于����, 所述流量標(biāo)記模塊具體用于所述流量從原始輸入端口輸入進(jìn)行MAC地址學(xué)習(xí)時(shí),在學(xué)習(xí)到的地址表項(xiàng)中設(shè)置原始輸入端口對(duì)應(yīng)的入口標(biāo)志�����,在流量從安全端口輸入時(shí)通過匹配所述地址表項(xiàng)對(duì)流量中的報(bào)文打上所述原始輸入端口對(duì)應(yīng)的入口標(biāo)志。
【文檔編號(hào)】H04L12/721GK105978806SQ201610141619
【公開日】2016年9月28日
【申請(qǐng)日】2016年3月11日
【發(fā)明人】賴?yán)? 吳蘭萍
【申請(qǐng)人】北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司