[发明专利]一种安全资源池的流量编排方法及系统

权利要求书

1.一种安全资源池的流量编排方法，其特征在于，包括：

根据租户业务需求，通过安全资源池管理平台向安全资源池下发用于管理所述安全资源池中多个服务器的编排链，所述编排链用于表示来自租户的业务流量需要经过所述安全资源池中多个虚拟安全设备的顺序；

通过引流路由器将所述业务流量经二层交换机发送至所述安全资源池；

通过所述安全资源池中的编排器按照所述编排链对所述业务流量进行编排，并将编排后的流量经所述二层交换机送回所述引流路由器；

其中，所述安全资源池中的每个服务器透明部署一个编排器和多个虚拟安全设备，每个虚拟安全设备部署有两个业务口，并通过所述两个业务口与对应的所述编排器之间通信连接，每个所述编排器部署有一个对外互联口，并通过一个所述对外互联口与所述二层交换机之间通信连接，且每个所述编排器预分配有一个用于流量牵引的IP地址。

2.如权利要求1所述的方法，其特征在于，所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排，包括：

通过所述编排器识别所述业务流量对应的数据包的目的MAC地址，并根据所述目的MAC地址确定各个虚拟安全设备在所述编排链中的位置以及编排顺序；

按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排。

3.如权利要求2所述的方法，其特征在于，所述按照各个虚拟安全设备在所述编排链中的位置及编排顺序对所述业务流量进行编排，包括：

若所述编排链包括的各个虚拟安全设备在同一目标服务器中，且所述目的MAC地址是所述目标服务器中对应虚拟安全设备的业务口的MAC地址，或者所述目的MAC地址是所述目标服务器中所述编排器对应的对外互联口的MAC地址，则通过所述编排器将所述数据包直接发送给所述目的MAC地址对应的接口；

若所述目的MAC地址与所述目标服务器的MAC地址不同，则通过所述编排器将所述数据包发送给二层交换机，通过所述二层交换机将所述数据包由所述目标服务器发送给所述目的MAC地址对应的另一服务器。

4.如权利要求1所述的方法，其特征在于，在所述通过所述安全资源池中的所述编排器按照所述编排链对所述业务流量进行编排之前，所述方法还包括：

通过所述编排器确定对应的目标服务器所包括的多个业务接口和所述对外互联口，并收集各接口的MAC地址；

根据各接口构造arp数据包，建立各接口与MAC地址间的对应关系。

5.如权利要求4所述的方法，其特征在于，在所述建立各接口与MAC地址间的对应关系之后，所述方法还包括：

若接收到来自所述租户的arp请求的arp数据包，且所述arp数据包的IP地址与所述编排器预分配的IP地址相同，则通过所述编排器构造arp响应数据包，并将所述arp响应数据包放到发包队列中，并将所述arp响应数据包的发送接口设置为所述编排器预分配的IP地址对应的对外互联口；

若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，且所述arp数据包的目的MAC地址不是所述目标服务器的接口的MAC地址，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目标服务器的对外互联口。

6.如权利要求5所述的方法，其特征在于，在接收到来自所述租户的arp请求的arp数据包之后，所述方法还包括：

若所述arp数据包的IP地址与所述编排器预分配的IP地址不同，所述arp数据包的目的MAC地址是所述目标服务器的业务口的MAC地址，且收包接口是所述目标服务器的对外互联口，则通过所述编排器将所述arp数据包放到发包队列中，并将所述arp数据包的发送接口设置为所述目的MAC地址对应的业务口。