安全引流系统、云主机及安全引流方法与流程

1.本发明涉及网络安全技术领域，具体涉及安全引流系统、云主机及安全引流方法。


背景技术：

2.随着云计算概念的不断落地和推广, 目前云主机已经得到了非常广泛的使用。网络安全设备可以从硬件设备转换为网络功能虚拟化（network functions virtualization，nfv）设备，直接安装在云主机上。在云网络部署环境中，将报文引入到云主机的nfv设备，nfv设备对数据包进行过滤处理（例如过滤虚假源互联网协议（internet protocol，ip）地址等异常信息）后重新送往外部网络，能够提升网络安全性。
3.目前，在软件定义网络（software define network，sdn）中一般直接通过外部物理交换机的虚拟局域网（virtual lan，vlan）接口将报文引入nfv设备。在这种情况下，nfv设备上配置的ip对vlan接口是可见的，很难对nfv设备使用的ip进行保密，影响网络安全。


技术实现要素：

4.有鉴于此，本发明提供了一种安全引流系统，以解决无法对nfv设备使用的ip进行保密导致的网络安全性低的问题。
5.第一方面，本发明提供了一种安全引流系统，所述系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送所述报文；私有网络模块，所述私有网络模块设置在云主机上，所述私有网络模块包括所述虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，所述虚拟交换机根据静态路由信息控制所述第一虚拟路由器将所述报文发送至目标虚拟网络安全设备，所述静态路由信息包括所述目标虚拟网络安全设备的ip地址，所述目标虚拟网络安全设备为所述至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述ip地址为至少一个子网中的其中一个子网的ip地址，所述私有网络模块内配置所述至少一个子网。
6.根据本发明实施例提供的安全引流系统，第一物理交换机接收到来自于网络设备的报文之后，将报文发送至私有网络模块中的虚拟交换机。虚拟交换机接收到报文之后，将报文转发至第一虚拟路由器，并根据静态路由信息控制第一虚拟路由器将报文转发至目标虚拟网络安全设备。其中，虚拟网络安全设备的ip地址为私有网络模块中至少一个子网中的其中一个子网的ip地址，子网属于私有网络模块的私网，对外部网络不可见。即在本发明实施例提供的安全引流系统中，虚拟网络安全设备的ip地址对物理交换机是不可见的，能够对虚拟网络安全设备使用的ip地址进行保密，进而提升网络的安全性。
7.在一种可选的实施方式中，所述系统还包括虚拟网络控制模块，所述虚拟网络控制模块用于向所述虚拟交换机发送所述静态路由信息。
8.在一种可选的实施方式中，所述系统包括n个所述私有网络模块，所述n个所述私有网络模块分别设置在n个所述云主机上，n为大于或者等于2的整数，所述私有网络模块还包括：双向链路检测模块，用于确定所述第一虚拟路由器和n个所述目标虚拟网络安全设备
之间的n条数据链路是否正常；所述虚拟网络控制模块具体用于：根据数据链路是否正常确定并向所述虚拟交换机发送所述静态路由信息，所述目标虚拟网络安全设备为所述n个所述云主机中具有所述目标功能，且和所述第一虚拟路由器之间的数据链路正常的虚拟网络安全设备。
9.根据本发明实施例提供的安全引流系统，通过在n个云主机上分别配置n个私有网络模块，并根据数据链路是否正常确定并向虚拟交换机发送静态路由信息，能够避免第一虚拟路由器向故障或者失联的目标nfv设备转发报文，提高安全引流系统的引流效率。
10.在一种可选的实施方式中，当至少两条数据链路正常时，所述静态路由信息为等价多路径静态路由信息。
11.根据本发明实施例提供的安全引流系统，由于配置了等价多路径静态路由信息，可以配置负载均衡策略，使得流量在多个目标虚拟网络安全设备之间进行负载分担。
12.在一种可选的实施方式中，所述双向链路检测模块还用于确定所述n个所述云主机中任意两个所述云主机之间的隧道状态是否正常；所述虚拟网络控制模块还用于根据隧道状态是否正常确定目标云主机，所述目标云主机与所述第一虚拟路由器绑定，所述目标云主机为所述n个所述云主机中的其中一个云主机。
13.根据本发明实施例提供的安全引流系统，将第一虚拟路由器和目标云主机进行绑定，能够避免第一物理交换机中的mac表项漂移导致的网络不稳定问题，根据隧道状态是否正常确定目标云主机，能够避免将第一虚拟路由器绑定在故障的云主机上，保证第一虚拟路由器能够将报文引入目标虚拟网络安全设备。
14.在一种可选的实施方式中，所述虚拟网络控制模块具体用于：将所述n个所述云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。
15.在本实施例中，可以将第一虚拟路由器绑定在隧道状态正常的数量最多的云主机上，使安全引流系统以在更多的云主机上进行负载均衡策略。
16.在一种可选的实施方式中，所述n个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：若隧道状态正常的数量最大的云主机包括多个，则将所述隧道状态正常的数量最大的云主机中优先级最高云主机确定为所述目标云主机。
17.在本实施例中，可以避免云主机隧道状态正常的数量相同导致的安全引流系统无法确定目标云主机的情况。
18.在一种可选的实施方式中，所述n个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述n个所述云主机中隧道状态正常的数量大于或者等于预设值的云主机。
19.在本实施例中，可以直接确定优先级最大的云主机的隧道状态正常数量是否超过预设值，若是，则可以在不确定其他云主机的隧道状态的情况下，直接确定目标云主机，提高安全引流系统的引流效率。
20.在一种可选的实施方式中，所述私有网络模块还包括第二虚拟路由器，所述虚拟交换机通过所述第二虚拟路由器从所述目标虚拟网络安全设备处获取第一报文，并向所述第一物理交换机发送所述第一报文，所述第一报文为经过所述目标虚拟网络安全设备处理的所述报文。
21.根据本发明实施例提供的安全引流系统，不仅可以将报文引入目标虚拟网络安全
设备，还可以通过第二虚拟路由器和虚拟交换机将经过目标虚拟网络设备处理的报文（第一报文）转发至第一物理交换机，进而送往终端设备。
22.在一种可选的实施方式中，所述虚拟网络控制模块包括北向数据库单元、后台管理单元、南向数据库单元和控制单元；所述北向数据库单元，用于存储来自于云管理平台的路由配置信息；所述后台管理单元，用于将所述路由配置信息转化为逻辑流表；所述南向数据库单元，用于存储所述逻辑流表；所述控制单元，用于将所述逻辑流表转换为所述静态路由信息，并向所述虚拟交换机发送所述静态路由信息。
23.在一种可选的实施方式中，所述系统还包括第二物理交换机，所述虚拟网络控制模块通过所述第二物理交换机接收来自于所述云管理平台的所述路由配置信息。
24.根据本实施例提供的安全引流系统，通过设置两个不同的硬件网卡和两个物理交换机（第一物理交换机和第二物理交换机），能够将数据转发链路和控制链路进行物理分离，保证流量之间互不影响。
25.在一种可选的实施方式中，所述系统还包括所述云主机，所述第一物理交换机通过所述云主机的物理网卡与所述虚拟交换机连接。
26.第二方面，本发明提供了一种云主机，所述云主机包括上述第一方面或其对应的任一实施方式所述的安全引流系统的私有网络模块，或者所述云主机包括上述第一方面或其对应的任一实施方式所述的安全引流系统的私有网络模块和虚拟网络控制模块。
27.第三方面，本发明提供了一种安全引流方法，所述方法应用于上述第一方面或其对应的任一实施方式所述的安全引流系统，所述方法包括：私有网络模块通过第一物理交换机接收来自于网络设备的报文；所述私有网络模块根据静态路由信息控制第一虚拟路由器向目标虚拟网络安全设备发送所述报文，所述静态路由信息包括所述目标虚拟网络安全设备的ip地址，所述目标虚拟网络安全设备为至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述ip地址为至少一个子网中的其中一个子网的ip地址，私有网络模块内配置所述至少一个子网。
28.在一种可选的实施方式中，安全引流系统包括虚拟网络控制模块和n个私有网络模块，所述n个私有网络模块分别设置在n个云主机上，所述私有网络模块包括双向链路检测模块，n为大于或者等于2的整数，所述方法还包括：所述虚拟网络控制模块通过所述双向链路检测模块确定所述第一虚拟路由器和n个目标虚拟网络安全设备之间的n条数据链路是否正常；所述虚拟网络控制模块根据数据链路是否正常确定所述静态路由信息；所述虚拟网络控制模块向所述私有网络模块发送静态路由信息。
29.在一种可选的实施方式中，所述方法还包括：所述虚拟网络控制模块通过双向链路检测模块确定所述n个云主机中任意两个所述云主机之间的隧道状态是否正常；所述虚拟网络控制模块根据隧道状态是否正常确定目标云主机，所述目标云主机为所述n个云主机中的其中一个云主机；所述虚拟网络控制模块将所述私有网络模块的所述第一虚拟路由器与所述目标云主机绑定。
30.在一种可选的实施方式中，所述虚拟网络控制模块根据隧道状态是否正常确定目标云主机，包括：将所述n个云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。
31.在一种可选的实施方式中，所述n个云主机均配置不同的优先级，所述将所述n个
云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机，包括：若隧道状态正常的数量最大的云主机包括多个，则将多个所述隧道状态正常的数量最大的云主机中优先级最高的云主机确定为所述目标云主机。
32.在一种可选的实施方式中，所述n个云主机均配置不同的优先级，所述虚拟网络控制模块根据隧道状态是否正常确定目标云主机，包括：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述n个云主机中隧道状态正常的数量大于或者等于预设值的云主机。
33.第四方面，本发明提供了一种计算机设备，包括：前述第一方面或其对应的任一实施方式的安全引流系统、存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，使安全引流系统执行上述第三方面或其对应的任一实施方式的安全引流方法。
34.第五方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第三方面或其对应的任一实施方式的安全引流方法。
附图说明
35.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1是根据本发明实施例的一种安全引流系统的结构示意图；图2是根据本发明实施例的另一种安全引流系统的结构示意图；图3是根据本发明实施例的再一种安全引流系统的结构示意图；图4是根据本发明实施例的又一种安全引流系统的结构示意图；图5是根据本发明实施例的包含多个私有网络模块的一种安全引流系统的结构示意图；图6是根据本发明实施例的包含多个私有网络模块的另一种安全引流系统的结构示意图；图7是根据本发明实施例的一种安全引流方法的流程示意图；图8是根据本发明实施例的另一种安全引流方法的流程示意图；图9是根据本发明实施例的再一种安全引流方法的流程示意图；图10是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
37.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.随着互联网技术的不断发展，用户都积极将数据保存在云主机。在网络攻击问题
日益突出的情况下，保护云主机的安全至关重要。
39.对于送往云主机的报文，首先经过网络安全设备的处理，将使得云主机获得较好的防护，对于sdn网络具有重要意义。在云计算兴起之前，一般是在网络入口处添加硬件防火墙等网络安全设备。随着云计算的不断发展，为了方便管理和降低运营成本，可以基于虚拟化技术将网络安全设备虚拟化为nfv设备，直接安装在云主机上。在此基础上，如何将报文引流到云主机上的nfv设备成为了重中之重。目前，在sdn网络中，一搬直接通过外部物理交换机的vlan接口引入nfv设备。这种情况下，nfv设备上配置的ip地址对于vlan接口是可见的，很难对nfv设备使用的ip进行保密。
40.有鉴于此，本发明实施例提供了一种安全引流系统，能够在不暴露nfv设备的ip地址的情况下，将报文从物理交换机引入nfv设备，提升网络的安全性。
41.图1是根据本发明实施例的一种安全引流系统的结构示意图。如图1所示，本发明实施例提供的安全引流系统100包括第一物理交换机110和私有网络（virtual private cloud，vpc）模块120。
42.其中，第一物理交换机110用于接收网络设备的报文。示例性的，网络设备可以为云服务器、物理服务器、计算机、笔记本电脑等设备。示例性的，第一物理交换机110可以为三层交换机或者核心交换机。
43.vpc模块120设置在云主机210上，包括虚拟交换机121、第一虚拟路由器122、和至少一个虚拟网络安全设备（即前述的nfv设备）。也就是说，vpc模块120包括一个或者多个nfv设备。例如，如图1所示，vpc模块120包括nfv_0、nfv_1、以及nfv_2三个nfv设备。
44.第一物理交换机110还用于向虚拟交换机121发送报文，虚拟交换机121接收到报文之后，根据静态路由信息控制第一虚拟路由器（virtual router，vr）122将报文发送至目标虚拟网络安全设备（即目标nfv设备）。目标nfv设备为至少一个nfv设备中具有目标功能的nfv设备。静态路由信息包括目标nfv设备的ip地址。
45.具体地，每个nfv设备具有相应的功能。例如，nfv_0设备为用于识别攻击行为并且报警的网络安全设备，nfv_1设备为用于实时监控网络行为，中断、调整、或者隔离网络非法行为的网络安全设备。nfv_2设备为用于识别和修复漏洞的网络安全设备。
46.示例性的，vpc模块120中配置一个或者多个nfv设备，用户根据自己的需求订阅相应功能的nfv设备（即目标nfv设备）。目标nfv设备可以为一个或者多个。
47.图2是本发明实施例的另一种安全引流系统的结构示意图。例如，如图2所示，用户1订阅的nfv设备为nfv_0、nfv_1、以及nfv_2，即来自于用户1的报文的目标nfv设备为nfv_0、nfv_1、以及nfv_2。用户2的订阅的nfv设备为nfv_0、nfv_2、以及nfv_6，即来自于用户2的报文的目标nfv设备为nfv_0、nfv_2、以及nfv_6。其中，不同的用户对应的目标nfv设备可能相同，也可能不同。
48.需要说明的是，vpc模块120内还创建至少一个子网。nfv设备的ip地址与至少一个子网中的其中一个子网的ip地址对应。即nfv设备使用的ip地址为子网的ip地址。
49.示例性的，不同用户的目标nfv设备属于不同的子网。例如，如图2所示，用户1的目标nfv设备nfv_0、nfv_1、以及nfv_2与子网1连接，nfv_2还有子网2连接。用户2的目标nfv设备nfv_0、nfv_2、以及nfv_6与子网3连接，nfv_6还有子网4连接。
50.示例性的，第一物理交换机110通过vlan接口a将报文发送至虚拟交换机121。虚拟
交换机121接收到报文后，将报文转发至第一虚拟路由器122，并控制第一虚拟路由器122将报文发送至ip地址与静态路由信息中的ip地址相同的nfv设备（即目标nfv设备）。例如，如图1中所示的nfv_0。
51.根据本发明实施例提供的安全引流系统100，第一物理交换机110接收到来自于网络设备的报文之后，将报文发送至vpc模块120中的虚拟交换机121。虚拟交换机121接收到报文之后，将报文转发至第一虚拟路由器122，并根据静态路由信息控制第一虚拟路由器122将报文转发至目标nfv设备。其中，nfv设备的ip地址为vpc模块120中至少一个子网中的其中一个子网的ip地址，子网属于vpc模块120的私网，对外部网络不可见。即在本发明实施例提供的安全引流系统100中，nfv设备的ip地址对外部物理交换机是不可见的，能够对nfv设备使用的ip地址进行保密，进而提升网络的安全性。
52.进一步地，如图1所示，在一些可选的实施方式中，vpc模块120还包括第二虚拟路由器123，虚拟交换机121通过第二虚拟路由器123从目标nfv设备处获取第一报文，并向第一物理交换机110发送第一报文，进而通过第一物理交换机110将第一报文送往终端设备。
53.其中，第一报文可以为经过目标nfv设备处理后的报文。
54.示例性的，终端设备可以为服务器集群、个人电脑、计算机、手机等设备。
55.下面结合附图1对报文在本实例提供的安全引流系统100中的流向进行说明。
56.如图1所示，用户1订阅的nfv设备为nfv_0、nfv_1、以及nfv_2，第一虚拟路由器122与虚拟交换机121、子网1连接，nfv_0、nfv_1、以及nfv_2均与子网1连接。第二虚拟路由器123与虚拟交换机121、子网2连接，nfv_2与子网2连接。示例性的，nfv_0的ip地址为192.168.0.2、nfv_1的ip地址为192.168.0.3、以及nfv_2的ip地址为192.168.0.4。
57.虚拟交换机121中配置相应的静态路由信息，指示位于第一虚拟路由器122中的报文的下一跳的ip地址为192.168.0.2（即nfv_0的ip地址）。当来自于公网的用户1的报文到达第一物理交换机110之后，第一物理交换机110通过vlan接口a将报文发送至vpc模块120的虚拟交换机121。虚拟交换机121将报文转发至第一虚拟路由器122，并根据静态路由信息控制第一虚拟路由器122将报文转发至nfv_0。nfv_0对报文进行处理之后，指定报文下一跳的ip地址为192.168.0.3（即nfv_1的ip地址），将经过处理的报文转发至nfv_1。nfv_1对接收到的报文进行处理之后，指定报文下一跳的ip地址为192.168.0.4（即nfv_2的ip地址），将经过处理的报文转发至nfv_2。nfv_2对接收到的报文进行处理。虚拟交换机121通过第二虚拟路由器123从nfv_2处获取经过nfv_2处理的报文（即第一报文），并通过vlan接口b将第一报文转发至第一物理交换机110。第一物理交换机110接收到第一报文之后，根据配置信息将第一报文发送至相应的终端设备。
58.应理解，报文传输可以是双向的，上述示例只是报文从公网到终端设备的转发路径，报文从终端设备到公网的转发路径与上述过程类似，在此不再赘述。
59.根据本发明实施例提供的安全引流系统100，不仅可以将报文引入目标nfv设备，还可以通过第二虚拟路由器123和虚拟交换机121将经过目标nfv设备处理的报文（第一报文）转发至第一物理交换机110，进而送往终端设备。
60.图3是根据本发明实施例提供的再一种安全引流系统的结构示意图。如图3所示，安全引流系统100还可以包括虚拟网络控制（open virtual network，ovn）模块130。ovn模块130用于向虚拟交换机121发送静态路由信息。
61.示例性的，如图3所示，ovn模块130包括北向（northbound，nb）数据库单元131、后台管理（northd）单元132、南向（southbound，sb）数据库单元133及控制（controller）单元134。其中，北向数据库单元131用于存储来自于云管理平台（cloud management software，cms）的路由配置信息，后台管理单元132用于将路由配置信息转换成逻辑流表，并将逻辑流表存储在南向数据库单元133，控制单元134将逻辑流表转换成openflow协议格式的静态路由信息，并下发到虚拟交换机121的底层网桥上，使虚拟交换机121可以根据静态路由信息将报文引入目标nfv设备。
62.进一步地，在一些可选的实施方式中，如图3所示，安全引流系统100还包括第二物理交换机140。ovn模块130通过第二物理交换机140接收来自于cms的路由配置信息。
63.示例性的，ovn模块130也配置在云主机210上，云主机210上至少配置2个物理网卡（network interface card，nic）。例如，如图3所示的nic_0和nic_1，第一物理交换机110通过云主机210上的其中一个物理网卡与vpc模块120连接。例如，第一物理交换机110与nic_0的两个网口eth0和eth1连接，nic_0与虚拟交换机121连接。第二物理交换机140通过云主机210上的另一个物理网卡与ovn模块130连接。例如，第二物理交换机140与nic_1的两个网口eth2和eth3连接，nic_1与北向数据库单元131连接。
64.根据本实施例提供的安全引流系统100，通过设置两个不同的硬件网卡和两个物理交换机（第一物理交换机110和第二物理交换机140），能够将数据转发链路和控制链路进行物理分离，保证流量之间互不影响。
65.为了避免云主机故障或者失联导致目标nfv设备无法使用的问题，在一些可选的实施方式中，安全引流系统100包括n个vpc模块120，n个vpc模块120分别设置在n个云主机上，n为大于或者等于2的整数。
66.其中，vpc模块120还包括双向链路检测（bidirectional forwarding detection，bfd）模块，该bfd模块用于确定第一虚拟路由器122和n个目标nfv设备之间的n条链路是否正常。例如，如图4所示，安全引流系统100包括2个vpc模块120，其中一个vpc模块120配置在云主机210上，另一个vpc模块120配置在云主机220上，云主机210和云主机220互为备份。另外，为了清楚描述报文的转发路径，将云主机220中的目标nfv设备nfv_0、nfv_1、以及nfv_2重新命名为nfv_3、nfv_4、以及nfv_5。其中，nfv_0和nfv_3相同，nfv_1和nfv_4相同，nfv_2和nfv_5相同。示例性的，nfv_3的ip地址可以为192.168.0.5、nfv_4的ip地址可以为192.168.0.6、以及nfv_5的ip地址可以为192.168.0.7。
67.根据上述实施例的描述，第一虚拟路由器122需要将报文引入目标nfv设备nfv_0和nfv_3。此时，bfd模块用于检测确定第一虚拟路由器122和nfv_0之间的数据链路是否正常，以及用于检测确定第一虚拟路由器122和云nfv_3之间的数据链路是否正常。
68.ovn模块130用于根据数据链路是否正常确定静态路由信息，以及向虚拟交换机121发送静态路由信息。其中，目标nfv设备为n个云主机中具有目标功能，且和第一虚拟路由器122之间的数据链路正常的nfv设备。例如，参见图4，若第一虚拟路由器122和nfv_0之间的数据链路正常，第一虚拟路由器122和nfv_3之间的数据链路不正常，则目标nfv设备为nfv_0设备，静态路由信息指示位于第一虚拟路由器122中的报文的下一跳的ip地址为192.168.0.2（即nfv_0的ip地址）。若第一虚拟路由器122和nfv_0之间的数据链路不正常，第一虚拟路由器122和nfv_3之间的数据链路正常，则目标nfv设备为nfv_3设备，静态路由
信息指示位于第一虚拟路由器122中的报文的下一跳的ip地址为192.168.0.5（即nfv_3的ip地址）。若第一虚拟路由器122和nfv_0之间的数据链路，以及第一虚拟路由器122和nfv_3之间的数据链路均正常，则目标nfv设备为nfv_0设备和nfv_3设备，静态路由信息指示位于第一虚拟路由器122中的报文的下一跳的ip地址为192.168.0.2和192.168.0.5。
69.进一步地，在一些可选的实施方式中，若至少两条数据链路正常，则静态路由信息为等价多路径(equal-cost multi-path，ecmp)静态路由信息。例如，报文的源ip地址为100.100.100.100/24，目的ip地址分别为200.200.200.200/24。若第一虚拟路由器122和nfv_0之间的数据链路，以及第一虚拟路由器122和nfv_3之间的数据链路均正常，那么配置的ecmp静态路由信息可以如表1所示。
70.表1根据本发明实施例提供的安全引流系统100，由于配置了ecmp静态路由信息，可以配置负载均衡策略，使得报文在多个目标nfv设备之间进行负载分担。
71.需要说明的是，在上述实施例中，第一虚拟路由器122配置在多个云主机上，在第一虚拟路由器122和第一物理交换机110通信时，可能存在报文一会儿从云主机210进入，一会儿从云主机220进入的情况，导致第一物理交换机110学习到的媒体存取控制位址（media access control address，mac）表项出现漂移，网络不稳定的问题。为了解决网络不稳定问题，在vpc模块120具有n个的情况下，需要将第一虚拟路由器122绑定在n个云主机中的其中一个云主机上，防止第一物理交换机110的mac表项漂移。
72.同理，在vpc模块120包括第二虚拟路由器123、且vpc模块120具有n个的情况下，也需要将第二虚拟路由器123绑定在n个云主机中的其中一个云主机上。
73.示例性的，第一虚拟路由器122上的接口porta配置ip地址为10.10.10.10，第二虚拟路由器123上的接口portb配置ip地址为20.20.20.20，并将第一虚拟路由器122和第二虚拟路由器123与云主机210进行绑定。此时，从第一物理交换机110转发的下一跳地址为10.10.10.10的报文都会转发到云主机210，进而送到porta。从目标nfv设备转发的下一跳地址为20.20.20.20的经过处理的报文转发至portb之后，从云主机210的portb转发至第一物理交换机110。
74.进一步地，将第一虚拟路由器122和n个云主机中的其中一个云主机进行绑定之后，为了避免绑定的云主机故障或者离线导致的无法将报文引入nfv设备的问题，在一些可选的实施方式中，bfd模块还用于确定n个云主机中任意两个云主机之间的隧道状态是否正常。
75.例如，如图5所示，安全引流系统100包括3个vpc模块120，3个vpc模块120分别配置在云主机210、云主机220、以及云主机230上。bfd模块还用于确定云主机210和云主机220之间的隧道状态是否正常、云主机210和云主机230之间的隧道状态是否正常、以及云主机220和云主机230之间的隧道状态是否正常。
76.应理解，在图5中，nfv_8和nfv_0、nfv_3的功能相同，nfv_7和nfv_1、nfv_4的功能相同，nfv_6和nfv_2、nfv_5的功能相同。
77.ovn模块130用于根据隧道状态是否正常确定目标云主机。其中，目标云主机与第一虚拟路由器122绑定，且目标云主机为n个云主机中的其中一个云主机。
78.下面对ovn模块130根据隧道状态是否正常确定目标云主机的方式进行详细说明。
79.可选的，将n个云主机中隧道状态正常的数量最大的云主机确定为目标云主机。
80.例如，如图5所示，若云主机210和云主机220之间的隧道状态不正常、云主机210和云主机230之间的隧道状态正常，以及云主机220和云主机230之间的隧道状态正常，则对于云主机210来说，云主机210只和云主机230之间的隧道状态正常，即云主机210的隧道状态正常的数量为1。对于云主机220来说，云主机220只和云主机230之间的隧道状态正常，即云主机220的隧道状态正常的数量为1。对于云主机230来说，云主机230和云主机210之间的隧道状态正常，云主机230和云主机220的隧道状态也正常，即云主机230的隧道正常的数量为2。此时，将3个云主机中隧道状态正常的数量最大的云主机为云主机230，将云主机230确定为目标云主机。
81.根据上述方式确定目标云主机，可以将第一虚拟路由器122绑定在隧道状态正常的数量最多的云主机上，使安全引流系统100可以在更多的云主机上进行负载均衡策略。
82.进一步地，为了避免云主机隧道状态正常的数量相同，导致安全引流系统100无法确定目标云主机的情况，n个云主机均配置不同的优先级，若隧道状态正常的数量最大的云主机包括多个，则将多个隧道状态正常的数量最大的云主机中优先级最高的云主机确定为目标云主机。
83.例如，设置云主机210的优先级为1、云主机220的优先级为2、以及云主机230的优先级为3。即云主机230的优先级大于云主机220，云主机220的优先级大于云主机210的优先级。若云主机210和云主机220之间的隧道状态、云主机210和云主机230之间的隧道状态、以及云主机220和云主机230之间的隧道状态均正常，则云主机210、云主机220和云主机230的隧道状态正常的数量均为2。此时，云主机210、云主机220和云主机230均为隧道状态正常的数量最大的云主机。在这种情况下，将3个云主机中优先级最大的云主机（云主机230）确定为目标云主机。
84.可选的，n个云主机均配置不同的优先级，将第一云主机中优先级最高的云主机确定为目标云主机。
85.其中，第一云主机为n个云主机中隧道状态正常的数量大于或者等于预设值的云主机。预设值可以由工作人员配置或者安全引流系统100根据历史数据确定。例如，预设值可以为1、2等数值。
86.示例性的，设置云主机230的优先级大于云主机220，云主机220的优先级大于云主机210的优先级。预设值为1。若云主机210和云主机220之间的隧道状态正常、云主机210和云主机230之间的隧道状态不正常、以及云主机220和云主机230之间的隧道状态正常，则对于云主机230来说，云主机230只和云主机220之间的隧道状态正常，即云主机230的隧道正常的数量为1。该值等于预设值，云主机230为第一云主机，可直接将云主机230确定为目标云主机。
87.若预设值为2，则云主机230的隧道正常的数量小于预设值，此时，除了云主机230之外优先级最大的云主机为云主机220，继续确定云主机220的隧道状态正常的数量。对于云主机220来说，云主机220和云主机230之间的隧道状态、云主机220和云主机210之间的隧
道状态均正常，即云主机220的隧道状态正常的数量为2。此时，云主机220为第一云主机，将云主机220确定为目标云主机。
88.根据上述方式确定目标云主机，可以直接确定优先级最大的云主机的隧道状态正常数量是否超过预设值，若是，则可以在不确定其他云主机的隧道状态的情况下，直接确定目标云主机，提高安全引流系统100的引流效率。
89.下面对ovn模块130确定n个云主机中每个云主机隧道状态正常的数量的过程进行说明。
90.示例性的，n个云主机中的每个云主机上配置隧道ip地址。ovn模块130还包括n-1个子控制单元，控制单元134配置在n个云主机中的其中一个云主机上，n-1个子控制单元分别配置在n个云主机中除配置控制单元134之外的n-1个云主机上。n-1个子控制单元通过第二物理交换机140与ovn模块130通信连接。
91.例如，如图6所示，安全引流系统100包括3个vpc模块120，3个vpc模块120分别设置在云主机210、云主机220以及云主机230上。云主机210的隧道ip地址为172.16.0.1，云主机220的隧道ip地址为172.16.0.2，云主机230的隧道ip地址为172.16.0.3。ovn模块130还包括两个子控制单元，分别为第一子控制单元135和第二子控制单元136。北向数据库单元131、后台管理单元132、南向数据库单元133和控制单元134配置在云主机210上。第一子控制单元135配置在云主机220上。第二子控制单元136配置在云主机230上。控制单元134通过bdf模块确定云主机210的隧道状态正常的数量，并写入南向数据库单元133。第一子控制单元135确定云主机220的隧道状态正常的数量，并写入南向数据库单元133。第二子控制单元136确定云主机230的隧道状态正常的数量，并写入南向数据库单元133。
92.在确定3个云主机的隧道状态正常的数量之后，后台管理单元132读取南向数据库单元133中记载的3个云主机中每个云主机的隧道状态正常的数量，并按照从大到小的顺序进行排列，将3个云主机中隧道状态正常的数量最大的云主机确定为目标云主机。
93.示例性的，若3个云主机中每个云主机的隧道状态的数量均为0，后台管理单元132随机将3个云主机中的其中一个云主机确定为目标云主机。
94.在本实施例中，由后台管理单元132确定目标云主机能够避免将第一虚拟路由器122绑定到一个与南向数据库单元133失联的云主机上。
95.需要注意的是，为了避免将多个第一虚拟路由器122绑定在同一个云主机上，每次创建第一虚拟路由器122时，根据云主机配置的优先级信息进行负载均衡，保证各个新创建的第一虚拟路由器122可以均衡的绑定到多个云主机上。其中，每次新建第一虚拟路由器122，cms可以将云主机的优先级信息挂接到新建的第一虚拟路由器122上。
96.本实施例还提供了一种云主机，该云主机包括上述任一实施例所提供的vpc模块120。或者，该云主机包括上述任一实施例提供的vpc模块120和ovn模块130。
97.本实施例还提供了一种安全引流方法，可用于上述的安全引流系统100。图7是根据本发明实施例的一种安全引流方法的流程示意图。如图7所示，该方法包括如下步骤：步骤s701，vpc模块通过第一物理交换机接收来自于网络设备的报文。
98.示例性的，第一物理交换机可以为三层交换机或者核心交换机。
99.步骤s702，vpc模块根据静态路由信息控制第一虚拟路由器向目标nfv设备发送报文。
100.其中，静态路由信息包括目标nfv设备的ip地址，目标nfv设备为至少一个nfv设备中具有目标功能的nfv设备。ip地址为至少一个子网中的其中一个子网的ip地址，vpc模块内配置至少一个子网。
101.在本实施例中，nfv设备使用的ip地址为vpc模块120内创建的子网的ip地址，而且子网属于vpc模块120的私网，对外部网络不可见。即在本发明实施例提供的安全引流方法中，nfv设备的ip地址对物理交换机是不可见的，能够对nfv设备使用的ip地址进行保密，进而提升网络的安全性。
102.进一步地，在步骤s702之前，安全引流方法还包括：步骤a1，ovn模块向vpc模块发送静态路由信息。相应地，vpc模块接收静态路由信息。
103.安全引流系统包括n个vpc模块，n个vpc模块分别设置在n个云主机上，n为大于或者等于2的整数。图8是根据本发明实施例的另一种安全引流方法的流程示意图。如图8所示，该方法包括如下步骤：步骤s801，ovn模块通过bfd模块确定第一虚拟路由器和n个目标nfv设备之间的n条数据链路是否正常。
104.步骤s802，ovn模块根据数据链路是否正常确定静态路由信息。
105.步骤s803，ovn模块向vpc模块发送静态路由信息。相应地，vpc模块接收静态路由信息。
106.其中，步骤s803和步骤a1相同。
107.步骤s804，vpc模块通过第一物理交换机接收来自于网络设备的报文。
108.其中，步骤s804和步骤s701相同。
109.步骤s805，vpc模块根据静态路由信息控制第一虚拟路由器向目标nfv设备发送报文。
110.其中，步骤s805和步骤s702相同。
111.在本实施例中，ovn模块根据数据链路是否正常确定静态路由信息，可以避免第一虚拟路由器向故障或者失联的目标nfv设备转发报文，提高安全引流系统的引流效率。
112.图9是根据本发明实施例的再一种安全引流方法的流程示意图。如图9所示，该方法包括如下步骤：步骤s901，ovn模块通过bfd模块确定n个云主机中任意两个云主机之间的隧道状态是否正常。
113.步骤s902，ovn模块根据隧道状态是否正常确定目标云主机。
114.可选的，步骤s902具体可以为：ovn模块将n个云主机中隧道状态正常的数量最大的云主机确定为目标云主机。
115.进一步地，在隧道状态正常的数量最大的云主机包括多个的情况下，ovn模块将多个隧道状态正常的数量最大的云主机中优先级最高云主机确定为目标云主机。
116.可选的，步骤s902具体可以为：将第一云主机中优先级最高的云主机确定为目标云主机。
117.其中，第一云主机为n个云主机中隧道状态正常的数量大于或者等于预设值的云主机。
118.步骤s903，ovn模块将vpc模块的第一虚拟路由器与目标云主机绑定。
119.步骤s904，ovn模块通过bfd模块确定第一虚拟路由器和n个目标nfv设备之间的n条数据链路是否正常。
120.其中，步骤s904和步骤s801相同。
121.步骤s905，ovn模块根据数据链路是否正常确定静态路由信息。
122.其中，步骤s905和步骤s802相同。
123.步骤s906，ovn模块向vpc模块发送静态路由信息。相应地，vpc模块接收静态路由信息。
124.其中，步骤s906和步骤s803相同。
125.步骤s907，vpc模块通过第一物理交换机接收来自于网络设备的报文。
126.其中，步骤s907和步骤s804相同。
127.步骤s908，vpc模块根据静态路由信息控制第一虚拟路由器向目标nfv设备发送报文。
128.其中，步骤s908和步骤s805相同。
129.在本实施例中，将第一虚拟路由器和目标云主机进行绑定，能够避免第一物理交换机中的mac表项漂移导致的网络不稳定问题，根据隧道状态是否正常确定目标云主机，能够避免将第一虚拟路由器绑定在故障的云主机上，保证第一虚拟路由器能够将报文引入目标虚拟网络安全设备。
130.本实施例中的安全引流系统100是以功能模块的形式来呈现，这里的模块可以指专用集成电路（application specific integrated circuit，asic），执行一个或多个软件或固定程序的处理器和存储器，和/或其他可以提供上述功能的器件。
131.本发明实施例还提供一种计算机设备，具有上述实施例提供的安全引流系统100。
132.请参阅图10，图10是本发明可选实施例提供的一种计算机设备的结构示意图，如图10所示，该计算机设备包括：一个或多个处理器1010、存储器1020，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示gui的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图10中以一个处理器1010为例。
133.处理器1010可以是中央处理器，网络处理器或其组合。其中，处理器1010还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。
134.其中，存储器1020存储有可由至少一个处理器1010执行的指令，以使至少一个处理器1010执行实现上述实施例示出的方法。
135.存储器1020可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的
数据等。此外，存储器1020可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器1020可选包括相对于处理器1010远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、内部网、局域网、移动通信网及其组合。
136.存储器1020可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器1020还可以包括上述种类的存储器的组合。
137.该计算机设备还包括通信接口1030，用于该计算机设备与其他设备或通信网络通信。
138.本发明实施例还提供了一种计算机可读存储介质，上述根据本发明实施例的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。
139.虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

技术特征：
1.一种安全引流系统，其特征在于，所述系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送所述报文；私有网络模块，所述私有网络模块设置在云主机上，所述私有网络模块包括所述虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，所述虚拟交换机根据静态路由信息控制所述第一虚拟路由器将所述报文发送至目标虚拟网络安全设备，所述静态路由信息包括所述目标虚拟网络安全设备的ip地址，所述目标虚拟网络安全设备为所述至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述ip地址为至少一个子网中的其中一个子网的ip地址，所述私有网络模块内配置所述至少一个子网。2.根据权利要求1所述的系统，其特征在于，所述系统还包括虚拟网络控制模块，所述虚拟网络控制模块用于向所述虚拟交换机发送所述静态路由信息。3.根据权利要求2所述的系统，其特征在于，所述系统包括n个所述私有网络模块，所述n个所述私有网络模块分别设置在n个所述云主机上，n为大于或者等于2的整数，所述私有网络模块还包括：双向链路检测模块，用于确定所述第一虚拟路由器和n个所述目标虚拟网络安全设备之间的n条数据链路是否正常；所述虚拟网络控制模块具体用于：根据数据链路是否正常确定并向所述虚拟交换机发送所述静态路由信息，所述目标虚拟网络安全设备为所述n个所述云主机中具有所述目标功能，且和所述第一虚拟路由器之间的数据链路正常的虚拟网络安全设备。4.根据权利要求3所述的系统，其特征在于，当至少两条数据链路正常时，所述静态路由信息为等价多路径静态路由信息。5.根据权利要求3或4所述的系统，其特征在于，所述双向链路检测模块还用于确定所述n个所述云主机中任意两个所述云主机之间的隧道状态是否正常；所述虚拟网络控制模块还用于根据隧道状态是否正常确定目标云主机，所述目标云主机与所述第一虚拟路由器绑定，所述目标云主机为所述n个所述云主机中的其中一个云主机。6.根据权利要求5所述的系统，其特征在于，所述虚拟网络控制模块具体用于：将所述n个所述云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。7.根据权利要求6所述的系统，其特征在于，所述n个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：若隧道状态正常的数量最大的云主机包括多个，则将多个所述隧道状态正常的数量最大的云主机中优先级最高的云主机确定为所述目标云主机。8.根据权利要求5所述的系统，其特征在于，所述n个所述云主机均配置不同的优先级，所述虚拟网络控制模块具体用于：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述n个所述云主机中隧道状态正常的数量大于或者等于预设值的云主机。9.根据权利要求1至4中任一项所述的系统，其特征在于，所述私有网络模块还包括第二虚拟路由器，所述虚拟交换机通过所述第二虚拟路由器从所述目标虚拟网络安全设备处获取第一报文，并向所述第一物理交换机发送所述第一报文，所述第一报文为经过所述目标虚拟网络安全设备处理的所述报文。10.根据权利要求2至4中任一项所述的系统，其特征在于，所述虚拟网络控制模块包括
北向数据库单元、后台管理单元、南向数据库单元和控制单元；所述北向数据库单元，用于存储来自于云管理平台的路由配置信息；所述后台管理单元，用于将所述路由配置信息转化为逻辑流表；所述南向数据库单元，用于存储所述逻辑流表；所述控制单元，用于将所述逻辑流表转换为所述静态路由信息，并向所述虚拟交换机发送所述静态路由信息。11.根据权利要求10所述的系统，其特征在于，所述系统还包括第二物理交换机，所述虚拟网络控制模块通过所述第二物理交换机接收来自于所述云管理平台的所述路由配置信息。12.根据权利要求1至4中任一项所述的系统，其特征在于，所述系统还包括所述云主机，所述第一物理交换机通过所述云主机的物理网卡与所述虚拟交换机连接。13.一种云主机，其特征在于，所述云主机包括如权利要求1至11中任一项所述的安全引流系统的私有网络模块，或者所述云主机包括如权利要求2至11中任一项所述的安全引流系统的私有网络模块和虚拟网络控制模块。14.一种安全引流方法，其特征在于，所述方法应用于如权利要求1至12中任一项所述的安全引流系统，所述方法包括：私有网络模块通过第一物理交换机接收来自于网络设备的报文；所述私有网络模块根据静态路由信息控制第一虚拟路由器向目标虚拟网络安全设备发送所述报文，所述静态路由信息包括所述目标虚拟网络安全设备的ip地址，所述目标虚拟网络安全设备为至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，所述ip地址为至少一个子网中的其中一个子网的ip地址，私有网络模块内配置所述至少一个子网。15.根据权利要求14所述的方法，其特征在于，所述安全引流系统包括虚拟网络控制模块和n个私有网络模块，所述n个私有网络模块分别设置在n个云主机上，所述私有网络模块包括双向链路检测模块，n为大于或者等于2的整数，所述方法还包括：所述虚拟网络控制模块通过所述双向链路检测模块确定所述第一虚拟路由器和n个目标虚拟网络安全设备之间的n条数据链路是否正常，所述目标虚拟网络安全设备为所述n个云主机中具有所述目标功能，且和所述第一虚拟路由器之间的数据链路正常的虚拟网络安全设备；所述虚拟网络控制模块根据数据链路是否正常确定所述静态路由信息；所述虚拟网络控制模块向所述私有网络模块发送所述静态路由信息。16.根据权利要求15所述的方法，其特征在于，所述方法还包括：所述虚拟网络控制模块通过所述双向链路检测模块确定所述n个云主机中任意两个云主机之间的隧道状态是否正常；所述虚拟网络控制模块根据隧道状态是否正常确定目标云主机，所述目标云主机为所述n个云主机中的其中一个云主机；所述虚拟网络控制模块将所述私有网络模块的所述第一虚拟路由器与所述目标云主机绑定。17.根据权利要求16所述的方法，其特征在于，所述虚拟网络控制模块根据隧道状态是
否正常确定目标云主机，包括：将所述n个云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机。18.根据权利要求17所述的方法，其特征在于，所述n个云主机均配置不同的优先级，所述将所述n个云主机中隧道状态正常的数量最大的云主机确定为所述目标云主机，包括：若隧道状态正常的数量最大的云主机包括多个，则将多个所述隧道状态正常的数量最大的云主机中优先级最高的云主机确定为所述目标云主机。19.根据权利要求16所述的方法，其特征在于，所述n个云主机均配置不同的优先级，所述虚拟网络控制模块根据隧道状态是否正常确定目标云主机，包括：将第一云主机中优先级最高的云主机确定为所述目标云主机，所述第一云主机为所述n个云主机中隧道状态正常的数量大于或者等于预设值的云主机。20.一种计算机设备，其特征在于，包括：存储器、处理器和如权利要求1至11中任一项所述的安全引流系统，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，使所述安全引流系统执行权利要求14至19中任一项所述的安全引流方法。

技术总结
本发明涉及网络安全技术领域，公开了一种安全引流系统、云主机及安全引流方法，该系统包括：第一物理交换机，用于接收来自于网络设备的报文，以及向虚拟交换机发送报文；私有网络模块，设置在云主机上，私有网络模块包括虚拟交换机、第一虚拟路由器和至少一个虚拟网络安全设备，虚拟交换机根据静态路由信息控制第一虚拟路由器将报文发送至目标虚拟网络安全设备，静态路由信息包括目标虚拟网络安全设备的IP地址，目标虚拟网络安全设备为至少一个虚拟网络安全设备中具有目标功能的虚拟网络安全设备，IP地址为至少一个子网中的其中一个子网的IP地址。本发明提供的安全引流系统能够对NFV设备使用的IP地址进行保密，提升网络的安全性。全性。全性。


技术研发人员：王传雷 王培辉
受保护的技术使用者：苏州浪潮智能科技有限公司
技术研发日：2023.07.11
技术公布日：2023/8/9