[发明专利]在覆盖网络中应用安全性策略的方法和系统

说明书

技术领域

本发明涉及数据中心基础设施，更具体地，本发明涉及向数据中心中的虚拟覆盖网络流量提供深度分组检测服务(deep packet inspection services)。

背景技术

例如虚拟可扩展局域网(VXLAN)、分布式覆盖虚拟化以太网(DOVE)和其他的虚拟覆盖网络(Virtual Overlay Networks)利用在原始网络分组之上的分组中封装的协议头创建位置透明性。由于额外的封装协议头，例如物理基础架构路由器、交换机和其它现有的或传统的网络间组件(INEs)不可能确定来自原始分组内部的信息。这是因为在覆盖协议头内部的原始分组被封装为传统INEs的传统数据有效载荷。此外，这种对原始分组缺乏可见性阻止INEs实现复杂的网络安全性和服务。

协议像VXLAN使用用户数据报协议/网际协议(UDP/IP)来封装通过物理网络传输的源以太分组。源以太分组通过从发起者到最近的VXLAN网关的网络被隧道化。VXLAN网关将虚拟网络连接至非虚拟网络(具有物理组件的传统网络)。由于VXLAN网关理解(能够处理)VXLAN协议和隧道，它们有能力识别被封装的分组。

而且，在例如VXLAN或DOVE网络的覆盖网络中的属于公共租户(例如网络资源的单个用户例如公司、代理、个人等)的虚拟机可以被分成组(例如在VXLAN中具有不同虚拟网络标识符(VNID)的虚拟网络，在DOVE中具有不同域标识符或DOVE虚拟组(DVG)的域)，这样可以应用安全性策略规则来控制属于不同组的虚拟机之间的通信。应用安全性策略的一个典型的方法是使用在网络上可以访问的并且有能力应用特定安全性服务的物理安全性设备。

因此，为了将安全性服务应用于覆盖网络流量，流量必须被路由到物理安全性设备。然而，中间网络设备例如交换机、路由器等对覆盖流量不可见，因此不能理解一些流量应该被路由至物理安全性设备，而其它流量应该直接被路由至指定的目的地地址。

因此，一种允许适当的覆盖流量的方法和网络架构将是非常有益的，其中适当的覆盖流量需要应用的安全性服务被路由至物理安全性设备，从而直接路由于源虚拟机和目的地虚拟机之间的其它流量。

发明内容

在一个实施例中，一种在覆盖网络中应用安全性策略的方法包括：通过覆盖网络接收通信路径的请求，所述请求由所述覆盖网络中的第一物理交换机发送，其中所述第一物理交换机连接到分组的源，其中所述请求至少包括：分组，第一信息和第二信息；确定连接到所述分组的目的地的第二物理交换机；基于下列中的至少一项确定安全性策略是否要应用于所述分组：所述分组的内容，第一信息和第二信息，选择所述第一物理交换机和所述第二物理交换机之间的通信路径，其中当确定安全策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机，以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过安全设备将所述第一物理交换机连接到所述第二物理交换机；以及将所选择的通信路径发送至所述第一物理交换机。

在另一个实施例中，一种系统包括：将第一物理交换机连接到第二物理交换机的覆盖网络；与所述第一物理交换机和所述第二物理交换机通信的交换机控制器；安全设备，适于将安全性策略应用于通过所述覆盖网络发送的分组；连接到所述第一物理交换机的至少一个第一服务器，该第一服务器托管至少一个源虚拟机；连接到所述第二物理交换机的至少一个第二服务器，所述第二服务器托管至少一个目的地虚拟机；以及虚拟网络控制器，与至少一个所述第一物理交换机、所述第二物理交换机以及该覆盖网络通信，其中所述虚拟网络控制器包括：适于通过覆盖网络接收通信路径的请求的逻辑，所述请求由该覆盖网络中的第一物理交换机发送并包括以下中的至少一个：分组、关于产生所述分组的所述源虚拟机(VM)的第一信息和关于所述分组的目的地的第二信息；适于确定连接到所述分组的目的地的第二物理交换机的逻辑；适于基于下列中的至少一项确定安全性策略是否要应用于所述分组的逻辑：所述分组的内容、第一信息和第二信息；适于选择所述第一物理交换机和所述第二物理交换机之间的通信路径的逻辑，其中当确定安全性策略不应用于所述分组时，所选择的通信路径直接将所述第一物理交换机连接到所述第二个物理交换机；以及其中当确定安全性策略应用于所述分组时，所选择的通信路径通过所述安全设备将所述第一物理交换机连接到所述第二物理交换机；以及适于将所选择的通信路径发送至所述第一物理交换机的逻辑。