[发明专利]一种安全资源池的实现方法及系统

权利要求书

1.一种安全资源池的实现方法，其特征在于，包括：

网络对接设备接收用户侧的目标流量包；

所述网络对接设备将所述目标流量包的五元组与自身存储的转发表进行匹配，以确定所述目标流量包对应的交换机目标转发端口，所述转发表指示五元组与交换机转发端口的对应关系；

所述网络对接设备将所述目标流量包转发给与所述目标转发端口连接的第一虚拟交换机，所述第一虚拟交换机为支持SDN网络的虚拟交换机；

所述第一虚拟交换机解析所述目标流量包中的匹配域字段，所述目标流量包包括至少两个匹配域字段；

所述第一虚拟交换机根据所述匹配域字段与本地存储的流表进行匹配，以确定所述目标流量包对应的安全服务链，所述流表指示预置类型的匹配域字段与安全服务链的对应关系，所述安全服务链指示对应的流量包按照预定的顺序经过安全资源池中预置数量的安全功能组件；

所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流，以完成对所述目标流量包的清洗。

2.根据权利要求1所述的方法，其特征在于，

所述匹配域字段包括但不限于：交换机入端口、源MAC地址、目的MAC地址、以太网类型、以太网标签、虚拟局域网VLAN优先级、源IP、目的IP、IP协议字段、IP服务类型、TCP/UDP源端口号、TCP/UDP目的端口号。

3.根据权利要求2所述的方法，其特征在于，所述网络对接设备包括：

第二虚拟交换机以及虚拟路由器，其中，

所述第二虚拟交换机用于接收所述目标流量包并根据对应的目的MAC地址将所述目标流量包转发给所述虚拟路由器；

所述虚拟路由器根据自身存储的所述转发表确定所述目标流量包对应的交换机目标转发端口。

4.根据权利要求2所述的方法，其特征在于，所述网络对接设备包括第三虚拟交换机，当接受到所述目标流量包之后，用于将所述目标流量包镜像到与所述第一虚拟交换机相连的所述目标转发端口。

5.根据权利要求3或4所述的方法，其特征在于，所述第一虚拟交换机根据安全服务链对所述目标流量包进行安全引流，包括：

所述第一虚拟交换机将安全服务链对应的服务链路径ID、服务链路径上各安全功能组件的编号及服务链元数据封装到所述目标流量包头部形成NSH标签；

所述第一虚拟交换机根据所述NSH标签中服务链路径ID及所述目标流量包当前所处的节点位置将所述目标流量包引流到下一节点。

6.根据权利要求5所述的方法，其特征在于，

当所述安全资源池中的目标安全功能组件不能识别所述NSH标签时，所述第一虚拟交换机通过代理proxy功能处理所述NSH标签，所述proxy功能包括：在安全服务链经过所述目标安全功能组件之前去除所述NSH标签，当安全服务链从所述目标安全功能组件回到所述第一虚拟交换机时，为安全服务链重新加上所述NSH标签。

7.据权利要求6所述的方法，其特征在于，

所述匹配域字段还包括租户ID，当多个租户使用相同IP地址时，所述第一虚拟交换机根据与本地存储的流表进行匹配，以确定使用相同IP地址的租户流量包的安全服务链。