[发明专利]网络隔离方法和系统及代理设备

说明书

本公开提出一种网络隔离方法和系统及代理设备，涉及网络与信息安全领域。代理设备接收交换机发送的第一数据包；代理设备根据流空间确定第一数据包对应的网络切片，所述流空间定义了数据流对应的网络切片，以构建隔离的逻辑网络；代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写；代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。基于代理，实现网络隔离的更新与改进，省去了虚拟网桥对VLAN的相关操作，避免了VXLAN或者GRE转换的性能损耗，还简化了切片控制器对实时控制流的管理。

技术领域

本公开涉及网络与信息安全领域，特别涉及一种网络隔离方法、网络隔离系统及代理设备。

背景技术

目前二层网络隔离一般使用VLAN(Virtual Local Area Network，虚拟局域网)或者VXLAN(Virtual eXtensible Local Area Network，虚拟扩展局域网)、GRE(GenericRouting Encapsulation)通用路由封装等技术。由于VLAN支持数量有限，因此在私有云或者公有云等场景中，使用VXLAN或GRE技术。VXLAN或者GRE技术是在传输层外又包一层，涉及到拆包解包问题，影响网络效率。

发明内容

本公开实施例基于代理，实现网络隔离的更新与改进，省去了虚拟网桥对VLAN的相关操作，避免了VXLAN或者GRE转换的性能损耗。此外，将网络隔离从控制器中解耦，减少控制器的网络管理(如流表操作和问题排查)的复杂性，简化了切片控制器对实时控制流的管理。

本公开一些实施例提出一种网络隔离方法，包括：代理设备接收交换机发送的第一数据包；代理设备根据流空间确定第一数据包对应的网络切片，所述流空间定义了数据流对应的网络切片，以构建隔离的逻辑网络；代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写；代理设备将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器。

在一些实施例中，该网络隔离方法还包括：代理设备接收切片控制器发送的第二数据包；代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段；代理设备将重写后的第二数据包发送给相应的交换机。

在一些实施例中，代理设备对第一数据包中的能够识别不同网络切片的字段的匹配域内容进行重写包括：代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息。

在一些实施例中，代理设备将第一数据包中的能够识别不同网络切片的字段的匹配域内容重写为代理设备的信息包括：代理设备将第一数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由交换机的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第一数据包发送给第一数据包对应的网络切片对应的切片控制器之前，将第一数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为第一数据包对应的网络切片对应的切片控制器的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备根据切片控制器相应的网络切片，对第二数据包进行重写，使得重写后的第二数据包具有能够识别不同网络切片的字段包括：代理设备将第二数据包中的目的IP地址、目的端口号、目的MAC地址中的至少一个字段的匹配域内容，由代理设备的IP地址、端口号、MAC地址中的至少一个，重写为交换机的IP地址、端口号、MAC地址中的至少一个。

在一些实施例中，代理设备在将重写后的第二数据包发送给相应的交换机之前，将第二数据包中的源IP地址、源端口号、源MAC地址中的至少一个字段的匹配域内容，由切片控制器的IP地址、端口号、MAC地址中的至少一个，重写为代理设备的IP地址、端口号、MAC地址中的至少一个。