[发明专利]一种数据中心的安全资源池接入方法及系统有效
| 申请号: | 201711479197.1 | 申请日: | 2017-12-29 |
| 公开(公告)号: | CN108173694B | 公开(公告)日: | 2021-05-04 |
| 发明(设计)人: | 陈晓帆;马耀泉;古亮 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L12/24 | 分类号: | H04L12/24 |
| 代理公司: | 深圳市深佳知识产权代理事务所(普通合伙) 44285 | 代理人: | 王仲凯 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例公开了一种数据中心的安全资源池接入方法及系统,用于,用于将安全资源池以桥接或路由的模式接入数据中心。本发明实施例方法包括:配置安全资源池的网络对接装置、服务链引流装置和安全功能组件,网络对接装置包括路由器和/或交换设备,服务链引流装置包括交换设备,交换设备支持自定义匹配域的灵活引流;将安全功能组件通过服务链引流装置和网络对接装置以桥接模式或路由模式接入本地数据中心,使得服务链引流装置以服务链数据包头部NSH的封包方式,将本地数据中心的客户业务流量引流至安全功能组件。 | ||
| 搜索关键词: | 一种 数据中心 安全 资源 接入 方法 系统 | ||
配置安全资源池的网络对接装置、服务链引流装置和安全功能组件,所述网络对接装置包括路由器和/或交换设备,所述服务链引流装置包括所述交换设备,所述交换设备支持自定义匹配域的灵活引流;
将所述安全功能组件通过所述服务链引流装置和所述网络对接装置以桥接模式或路由模式接入本地数据中心,使得所述服务链引流装置以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件。
2.根据权利要求1所述的方法,其特征在于,所述路由器为虚拟的或物理的,所述路由器包括分布式路由器;所述交换设备为虚拟的或物理的,所述交换设备包括交换机,或交换机与二层交换模块的组合;
所述安全功能组件为虚拟的或物理的。
3.根据权利要求2所述的方法,其特征在于,所述将所述安全功能组件通过所述服务链引流装置和所述网络对接装置以桥接模式接入本地数据中心,包括:将所述安全功能组件通过所述交换机接入本地数据中心的叶交换机或接入交换机;
或,
将所述安全功能组件通过所述交换机与二层交换模块接入所述本地数据中心的叶交换机或接入交换。
4.根据权利要求2所述的方法,其特征在于,所述将所述安全功能组件通过所述服务链引流装置和所述网络对接装置以路由模式接入本地数据中心,包括:将所述安全功能组件通过所述交换机和所述分布式路由器接入本地数据中心的叶交换机或接入交换机;
或,
将所述安全功能组件通过交换机与二次交换模块以及分布式路由器接入所述本地数据中心的叶交换机或接入交换机。
5.根据权利要求2所述的方法,其特征在于,所述交换设备包括Open Vswitch或Vector Packet Processing,所述交换设备至少具有流分类,安全服务链引流,Proxy及overlay隧道的功能;所述分布式路由器可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块,所述分布式路由器至少具有ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
所述二层交换模块可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块,所述二层交换模块至少具有MAC地址学习,二层转发,二层引流,LAN或VLAN包头的封装及解封装的功能。
6.一种数据中心的安全资源池接入系统,其特征在于,包括:配置单元,用于配置安全资源池的网络对接装置、服务链引流装置和安全功能组件,所述网络对接装置包括路由器和/或交换设备,所述服务链引流装置包括所述交换设备,所述交换设备支持自定义匹配域的灵活引流;
接入单元,用于将所述安全功能组件通过所述服务链引流装置和所述网络对接装置以桥接模式或路由模式接入本地数据中心,使得所述服务链引流装置以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件。
7.根据权利要求6所述的系统,其特征在于,所述路由器为虚拟的或物理的,所述路由器包括分布式路由器;所述交换设备为虚拟的或物理的,所述交换设备包括交换机,或交换机与二层交换模块的组合;
所述安全功能组件为虚拟的或物理的。
8.根据权利要求7所述的系统,其特征在于,所述接入单元,包括:第一接入模块,用于将所述安全功能组件通过所述交换机接入本地数据中心的叶交换机或接入交换机,使得所述交换机以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件;
或,
第二接入模块,用于将所述安全功能组件通过所述交换机与二层交换模块接入所述本地数据中心的叶交换机或接入交换,使得所述交换机以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件。
9.根据权利要求7所述的系统,其特征在于,所述接入单元,包括:第三接入模块,用于将所述安全功能组件通过所述交换机和所述分布式路由器接入本地数据中心的叶交换机或接入交换机,使得所述交换机以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件;
或,
第四接入模块,用于将所述安全功能组件通过交换机与二次交换模块以及分布式路由器接入所述本地数据中心的叶交换机或接入交换机,使得所述交换机以服务链数据包头部NSH的封包方式,将所述本地数据中心的客户业务流量引流至所述安全功能组件。
10.根据权利要求7至9中任一项所述的系统,其特征在于,所述交换设备包括Open Vswitch或Vector Packet Processing,所述交换设备至少具有流分类,安全服务链引流,Proxy及overlay隧道的功能;所述分布式路由器可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块,所述分布式路由器至少具有ARP应答及代答,代发ARP包,运行路由协议,三层转发,引流及NAT功能;
所述二层交换模块可以为独立的虚拟软件或Open Vswitch的部分模块或Vector Packet Processing的部分模块,所述二层交换模块至少具有MAC地址学习,二层转发,二层引流,LAN或VLAN包头的封装及解封装的功能。
11.一种计算机装置,包括处理器,其特征在于,所述处理器执行存储于存储器上的计算机程序时,用于实现如权利要求1至5中任一项所述的数据中心的安全资源池接入方法。12.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至5中任一项所述的数据中心的安全资源池接入方法。该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711479197.1/,转载请声明来源钻瓜专利网。
- 上一篇:ONU自动配置管理方法
- 下一篇:一种云环境下流量监控系统及方法
