[发明专利]一种数据中心的安全资源池接入方法及系统

说明书

本发明实施例公开了一种数据中心的安全资源池接入方法及系统，用于，用于将安全资源池以桥接或路由的模式接入数据中心。本发明实施例方法包括：配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种数据中心的安全资源池接入方法及系统。

背景技术

随着安全资源池的概念逐渐被大众接受，安全资源池的部署方案也逐渐增多起来。

现代数据中心一般的部署方式是三层网络结构，即核心层-汇聚层-接入层，或两层网络结构，即leaf-Spine(叶节点-脊节点)结构。其中，三层网络结构适合于南北向流量占多数的传统数据中心或园区网中，二层网络结构适合于东西向流量占多数的新型数据中心。安全资源池作为安全功能组件的集合，以整体的方式接入到数据中心，以用于提高数据中心的安全能力。目前，无论是三层网络还是二层网络，安全资源池和数据中心都在物理出口核心路由器的同一侧，需要安全资源池以二层桥接模式接入到数据中心里。

而现有的安全资源池的部署方式如附图1所示，即安全资源池和数据中心分别位于物理出口核心路由的两侧，在附图1中针对南北向流量，是在客户核心路由器处将流量通过策略路由引到安全资源池进行检测、清洗以及加密解密。安全资源池内一般采用一层虚拟/物理路由或两层虚拟/物理路由进行再次引流操作。如果是两层虚拟/物理路由，第一层路由根据数据包中租户ID(IP网段、VLAN ID等)，将流量引导至不同租户的安全资源池网关(不同的第二次路由)，由这个网关通过策略路由实现安全服务链，即让流量按顺序依次经过不同的安全功能组件。如果只有一层虚拟/物理路由，则直接根据客户ID，实现安全服务链。

而目前这种安全资源池的接入方法，主要存在以下弊端：

1、在客户侧，需要客户的物理路由器支持策略路由功能；

2、无法实现安全资源池以二层桥接(不使用路由器)的模式部署；

3、目前的安全资源池引流方法，通过策略路由实现的服务链不灵活，匹配域有限(一般根据数据包来到路由器的端口和数据包的源/目的IP地址)，策略管理复杂，容易产生冲突。特别是对于一层虚拟/物理路由结构，策略路由表更复杂。

发明内容

本发明实施例提供了一种数据中心的安全资源池接入方法，能够以二层桥接或路由模式接入数据中心，且通过服务链引流装置以自定义匹配域和服务链数据包头部NSH的封包方式，简化引流相关的转发表项，实现流表项管理的简洁化及自动化。

本发明实施例第一方面提供了一种数据中心的安全资源池接入方法，包括：

配置安全资源池的网络对接装置、服务链引流装置和安全功能组件，网络对接装置包括路由器和/或交换设备，服务链引流装置包括交换设备，交换设备支持自定义匹配域的灵活引流；

将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心，使得服务链引流装置以服务链数据包头部NSH的封包方式，将本地数据中心的客户业务流量引流至安全功能组件。

可选的，路由器为虚拟的或物理的，路由器包括分布式路由器；

交换设备为虚拟的或物理的，交换设备包括交换机，或交换机与二层交换模块的组合；

安全功能组件为虚拟的或物理的。

可选的，将安全功能组件通过服务链引流装置和网络对接装置以桥接模式接入本地数据中心，包括：