防火墙集群实现方法及装置制造方法及图纸

本申请提出防火墙集群实现方法及装置。应用于包括SDN控制器、一个或多个vFW节点和分流交换机的防火墙集群中，各个vFW节点为所述分流交换机的等价下一跳，方法包括：SDN控制器实时监控防火墙集群中的各vFW节点的负载；当SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时，创建新vFW节点；SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流，更新第一业务流对应的第一流表项，并将更新后的第一流表项下发给分流交换机，所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至新vFW节点。本申请实现了防火墙集群的动态伸缩。

【技术实现步骤摘要】
防火墙集群实现方法及装置
本申请涉及防火墙
，尤其涉及防火墙集群实现方法及装置。
技术介绍
软件定义网络(SoftwareDefinedNetwork，SDN)是Emulex网络一种新型网络创新架构，其核心技术OpenFlow(开放流)通过将网络设备控制面与数据面分离开来，从而实现网络流量的灵活控制。SDN架构将控制平面从网络交换机和路由器中的数据平面分离出来，SDN控制器实现网络拓扑的收集、路由的计算、流表的生成及下发、网络的管理与控制等功能，网络层设备仅负责流量的转发及策略的执行。转发与控制分离带来了控制逻辑集中，SDN控制器拥有网络的全局静态拓扑、全网的动态转发表信息、全网络的资源利用率、故障状态等，从而也开放了网络能力，通过集中的SDN控制器实现网络资源的统一管理、整合以及虚拟化后，采用规范化的北向接口为上层应用提供按需的网络资源及服务，实现网络能力开放，按需提供。NFV(NetworkFunctionsVirtualizations，网络功能虚拟化)是ETSI(EuropeanTelecommunicationStandardsInstitute，欧洲电信标准协会)的一个ISG(IndustrySpecificationGroup，工业规范组)。在NFV方法中，各种网元变成了独立的应用，可以灵活部署在基于标准的服务器、存储器、交换机构建的统一平台上，这样软硬件解耦，每个应用可以通过快速增加或减少虚拟资源来达到快速缩、扩容的目的，大大提升网络的弹性。NFV的最终目标是，通过基于行业标准的x86服务器、存储器和交换设备，来取代通信网的那些私有专用的网元设备。由此带来的好处是，一方面基于x86标准的IT设备成本低廉，能够为运营商节省巨大的投资成本，另一方面开放的API接口，也能帮助运营商获得更多、更灵活的网络能力。为了实现上述目标，NFV的技术基础就是目前IT业界的云计算和虚拟化技术，通用的COTS(CommercialOff-The-Shelf，商用现成品)计算/存储/网络硬件设备通过虚拟化技术可以分解为多种虚拟资源，供上层各种应用使用，同时通过虚拟化技术，可以使得应用与硬件解耦，使得资源的供给速度大大提高，从物理硬件的数天缩短到数分钟。NFV定义的技术架构如图1所示，具体地：同当前网络架构(独立的业务网络+OSS(OperationsSupportSystem，运营支撑系统))相比，NFV从纵向和横向上进行了解构，按照NFV设计，从纵向看分为三层：1)NFVI(NFVInfrastructure，NFV基础设施)层：从云计算的角度看，NFVI层就是一个资源池。NFVI映射到物理基础设施就是多个地理上分散的数据中心，通过高速通信网连接起来。NFVI需要将物理计算/存储/交换资源通过虚拟化转换为虚拟的计算/存储/交换资源池。2)虚拟网络层：虚拟网络层对应的就是目前各个电信业务网络，每个物理网元映射为一个虚拟网元(VNF，VirtualNetworkFunction)，VNF所需资源需要分解为虚拟的计算/存储/交换资源，由NFVI来承载，VNF之间的接口依然采用传统网络定义的信令接口(3GPP+ITU-T)，VNF的业务网管依然采用NE-EMS-NMS(NetworkElement-networkElementManagementSystem-NetworkManagementSystem，网元-网元管理系统-网络管理系统)体制。3)运营支撑层：运营支撑层就是目前的OSS/BSS(BusinessSupportSystem，业务支撑系统)，需要为虚拟化进行必要的修改和调整。从横向看，分为两个域：1)业务网络域：就是目前的各电信业务网络。2)管理编排域：同传统网络的最大区别就是，NFV增加了一个管理编排(Management&Orchestration，MANO)域，MANO域负责对整个NFVI资源的管理和编排，负责业务网络和NFVI资源的映射和关联，负责OSS业务资源流程的实施等，MANO域内部包括VIM(VirtualInfrastructureManagement，虚拟基础设施管理)，VNFM(VirtualNetworkFunctionManagement，虚拟网元管理)和Orchestrator(编排者)三个实体，分别完成对NFVI、VNF和NS(NetworkService，业务网络提供的网络服务)三个层次的管理。按照NFV的技术原理，一个业务网络可以分解为一组VNF和VNF链路(VNFL，VNFLink)，表示为VNF-FG(VNFForwardingGraph，VNF转发图)，然后每个VNF可以分解为一组VNFC(VNFComponent，VNF组件)和内部连接图，每个VNFC映射为一个VM(VirtualMachine，虚拟机)；对于每个VNFL，对应着一个IP连接，需要分配一定的链路资源如：流量、QoS(QualityofService，服务质量)、路由等参数。通过这样的编排流程，一个业务网络可以通过MANO域来自顶向下分解，直到可分配的资源，然后对应VM等资源由NFVI来分配，对应VNFL资源需要同承载网网管系统交互，由IP承载网来分配。NFV是一个宏大的架构，对传统网络部署方式是颠覆性的变化。NFV拓展了运营商基础设施范围，将数据中心设备/承载网设备/虚拟化软件系统/MANO系统均转化为基础设施，业务部署均转化为软件部署，业务网络资源与负荷实时匹配，资源利用效率得到最大提升。采用NFV架构后，电信网络的自动化管理和敏捷性将大为提升，一个电信设备的部署周期从几个月缩短为几个小时，扩容周期从几周扩展到几分钟，电信网络新业务部署周期将从数月级缩短到数周级，电信运营商将真正具备“大象跳舞”的能力。目前的防火墙堆叠技术是通过堆叠技术将多台物理防火墙设备进行堆叠后，逻辑上形成一台防火墙设备。图2为四台物理防火墙设备堆叠的示例图。
技术实现思路
本申请实施例提供防火墙集群实现方法及装置。本申请的技术方案是这样实现的：一种防火墙集群实现方法，应用于包括SDN控制器、一个或多个虚拟防火墙vFW节点和分流交换机的防火墙集群中，各个vFW节点为所述分流交换机的等价下一跳，该方法包括：SDN控制器实时监控防火墙集群中的各vFW节点的负载；当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时，创建新vFW节点；所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流，更新所述第一业务流对应的第一流表项，并将更新后的第一流表项下发给所述分流交换机，所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。一种防火墙集群实现装置，位于SDN控制器上，所述SDN控制器与一个或多个虚拟防火墙vFW节点以及分流交换机共同组成防火墙集群，且，各个vFW节点为所述分流交换机的等价下一跳，该装置包括：NFV管理模块：实时监控防火墙集群中的各vFW节点的负载，当检测到一个或多个vFW节点的负载高于预设第一阈值时，创建新vFW节点；流管理模块：当有新vFW节点加入防火墙集群时，从所有原vFW节点的业务流中选取待迁移的第一业务流，更本文档来自技高网...

【技术保护点】
一种防火墙集群实现方法，其特征在于，应用于包括软件定义网络SDN控制器、一个或多个虚拟防火墙vFW节点和分流交换机的防火墙集群中，各个vFW节点为所述分流交换机的等价下一跳，该方法包括：SDN控制器实时监控防火墙集群中的各vFW节点的负载；当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时，创建新vFW节点；所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流，更新所述第一业务流对应的第一流表项，并将更新后的第一流表项下发给所述分流交换机，所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。

【技术特征摘要】
1.一种防火墙集群实现方法，其特征在于，应用于包括软件定义网络SDN控制器、一个或多个虚拟防火墙vFW节点和分流交换机的防火墙集群中，各个vFW节点为所述分流交换机的等价下一跳，该方法包括：SDN控制器实时监控防火墙集群中的各vFW节点的负载；当所述SDN控制器检测到一个或多个vFW节点的负载高于预设第一阈值时，创建新vFW节点；所述SDN控制器从所有原vFW节点的业务流中选取待迁移的第一业务流，更新所述第一业务流对应的第一流表项，并将更新后的第一流表项下发给所述分流交换机，所述更新后的第一流表项指示所述分流交换机将接收的所述第一业务流发送至所述新vFW节点。2.根据权利要求1所述的方法，其特征在于，所述更新所述第一业务流对应的第一流表项之前，该方法还包括：所述SDN控制器将所述第一业务流的标识及新vFW节点标识通知给所述所有原vFW节点；所述SDN控制器接收所述原vFW节点发送的第一通知消息，所述第一通知消息为所述原vFW节点将所述第一业务流对应的会话信息同步至所述新vFW节点后发送。3.根据权利要求1所述的方法，其特征在于，所述更新所述第一业务流的对应的第一流表项，包括：将所述第一流表项的下一跳更新为所述新vFW节点。4.根据权利要求1所述的方法，其特征在于，所述SDN控制器实时监控防火墙集群中的各vFW节点的负载进一步包括：当所述SDN控制器检测到一个或多个vFW节点的负载低于预设第二阈值时，从所述低于预设第二阈值的vFW节点中选择待退出的vFW节点，将所述待退出的vFW节点上的第二业务流确定为待迁移的业务流，并确定所述第二业务流迁移的目的vFW节点；所述SDN控制器更新所述第二业务流对应的第二流表项，并将更新后的第二流表项下发给所述分流交换机，所述更新后的第二流表项用于指示所述分流交换机将接收的所述第二业务流发送至所述目的vFW节点。5.根据权利要求4所述的方法，其特征在于，更新所述第二业务流对应的第二流表项之前，该方法还包括：所述SDN控制器将所述第二业务流的标识和所述目的vFW节点标识通知给所述待退出的vFW节点；所述SDN控制器接收所述待退出的vFW节点发送的第二通知消息，所述第二通知消息为所述待退出的vFW节点将所述第二业务流对应的会话信息同步至所述目的vFW节点后发送。6.根据权利要求4所述的方法，其特征在于，所述更新所述第二业务流对应的第二流表项，包括：将所述第二流表项的下一跳更新为所述目的vFW节点。7.根据权利要求1所述的方法，其特征在于，各vFW节点不具备NAT业务和VPN业务功能时，所述方法进一步包括：当接收到分流交换机发来的业务流的报文时，所述SDN控制器通过HASH算法从所述各vFW节点中选择一个vFW节点并通知给所述分流交换机，以使所述分流交换机将该业务流的报文转发至选择的vFW节点。8.根据权利要求1所述的方法，其特征在于，各vFW节点具备NAT业务和VPN业务功能时，所述方法进一步包括：所述SDN控制器将NAT地址池中的NAT地址分配给各vFW节点；当接收到分流交换机发来的业务流报文时，所述SDN控制器从所述报文中解析出VPN报文，根据所述VPN报文的目的地址查找对应的vFW节点，所述目的地址为NAT地址，并生成相应的流表项下发给所述分流交换机，所述生成的流表项指示所述分流交换机将所述VPN报文转发至所述查找到的vFW节点。9.一种防火墙...

【专利技术属性】
技术研发人员：谢东，管树发，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江,33