一种近源安全能力池的流量调度的方法及装置制造方法及图纸

技术编号：41529172 阅读：3 留言：0更新日期：2024-06-03 23:04

本发明专利技术公开一种近源安全能力池的流量调度的方法及装置，其中，该方法包括：城域网的MB节点与资源池内部的vGW节点建立双向SRv6TE隧道，分别用于引流和回注；为每个资源池内部的vGW节点和租户安全能力分配身份标识SID；vGW节点向MB节点发布标识租户业务路径的BSID；MB节点通过引流策略将租户流量重定向到标识租户业务路径的BSID；vGW节点根据标识租户业务路径的BSID所编排的SID列表进行流量的转发，从而实现资源池内部流量的路径编排。该方法及装置提高了网络安全防护的灵活定制和可编排能力，满足网络安全能力的可快速扩展的要求。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及安全防护，尤其是一种近源安全能力池的流量调度的方法及装置。

技术介绍

1、为满足企业用户对安全防护能力多层次可定制的需求，在运营商云网融合的技术驱动下，云资源池应运而生。安全能力资源池技术方案主要基于边缘云技术、自动化云端部署安全防护能力，通过软件化、服务化的安全能力为用户提供实时安全保障，并可直接借助安全管理平台对所需安全能力进行统一管理与配置，极大地提升了安全能力的使用效率，降低了使用成本。

2、现有的近源安全能力资源池流量调度方案主要有pbr策略以及mpls专线等，通过pbr或者mpls技术方案，将城域网流量引入安全能力池，对用户流量进行安全防护。pbr策略依赖于网络拓扑，需要逐跳配置，将城域网流量引入到资源池，配置较为复杂；而mpls专线的成本较高。

技术实现思路

1、为解决现有技术存在的上述问题，本专利技术提供一种近源安全能力池的流量调度的方法及装置，提高了网络安全防护的灵活定制和可编排能力，满足网络安全能力的可快速扩展的要求。

2、为实现上述目的，本专利技术采用下述技术方案：

3、在本专利技术一实施例中，提出了一种近源安全能力池的流量调度的方法，该方法包括：

4、城域网的mb节点与资源池内部的vgw节点建立双向srv6te隧道，分别用于引流和回注；

5、为每个资源池内部的vgw节点和租户安全能力分配身份标识sid；

6、vgw节点向mb节点发布标识租户业务路径的bsid；

8、vgw节点根据标识租户业务路径的bsid所编排的sid列表进行流量的转发，从而实现资源池内部流量的路径编排。

9、进一步地，mb节点通过bgp flowspec发布引流策略，将租户流量引入srv6 te引流隧道。

10、进一步地，租户安全能力通过sid标识租户身份，根据sid所标识的租户进行安全策略处理以及sid的处理，并转发给vgw节点。

11、进一步地，vgw节点集群部署，每个vgw节点对外发布相同的locator作为underlay网络寻址路由。

12、在本专利技术一实施例中，还提出了一种近源安全能力池的流量调度的装置，该装置包括：

13、城域网的mb节点，用于与资源池内部的vgw节点建立srv6te引流隧道；通过引流策略将租户流量重定向到标识租户业务路径的bsid；

14、资源池内部的vgw节点，用于与城域网的mb节点建立srv6te回注隧道；向mb节点发布标识租户业务路径的bsid；根据标识租户业务路径的bsid所编排的sid列表进行流量的转发，从而实现资源池内部流量的路径编排。

15、进一步地，mb节点通过bgp flowspec发布引流策略，将租户流量引入srv6 te引流隧道。

16、进一步地，租户安全能力通过sid标识租户身份，根据sid所标识的租户进行安全策略处理以及sid的处理，并转发给vgw节点。

17、进一步地，vgw节点集群部署，为每个vgw节点分配身份标识sid；每个vgw节点对外发布相同的locator作为underlay网络寻址路由。

18、在本专利技术一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述近源安全能力池的流量调度的方法。

19、在本专利技术一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行近源安全能力池的流量调度的方法的计算机程序。

20、有益效果：

21、1、本专利技术提高了网络安全防护的灵活定制和可编排能力。

22、2、本专利技术满足网络安全能力的低时延、可快速扩展的要求。

本文档来自技高网...

【技术保护点】

1.一种近源安全能力池的流量调度的方法，其特征在于，该方法包括：

2.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述MB节点通过BGP flowspec发布引流策略，将租户流量引入SRv6 TE引流隧道。

3.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述租户安全能力通过SID标识租户身份，根据SID所标识的租户进行安全策略处理以及SID的处理，并转发给vGW节点。

4.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述vGW节点集群部署，每个vGW节点对外发布相同的locator作为underlay网络寻址路由。

5.一种近源安全能力池的流量调度的装置，其特征在于，该装置包括：

6.根据权利要求5所述的近源安全能力池的流量调度的装置，其特征在于，所述MB节点通过BGP flowspec发布引流策略，将租户流量引入SRv6 TE引流隧道。

7.根据权利要求5所述的近源安全能力池的流量调度的装置，其特征在于，所述租户安全能力通过SID标识租户身份，根

8.根据权利要求5所述的近源安全能力池的流量调度的装置，其特征在于，所述vGW节点集群部署，为每个vGW节点分配身份标识SID；每个vGW节点对外发布相同的locator作为underlay网络寻址路由。

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-4任一项所述方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1-4任一项所述方法的计算机程序。

...

【技术特征摘要】

1.一种近源安全能力池的流量调度的方法，其特征在于，该方法包括：

2.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述mb节点通过bgp flowspec发布引流策略，将租户流量引入srv6 te引流隧道。

3.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述租户安全能力通过sid标识租户身份，根据sid所标识的租户进行安全策略处理以及sid的处理，并转发给vgw节点。

4.根据权利要求1所述的近源安全能力池的流量调度的方法，其特征在于，所述vgw节点集群部署，每个vgw节点对外发布相同的locator作为underlay网络寻址路由。

5.一种近源安全能力池的流量调度的装置，其特征在于，该装置包括：

6.根据权利要求5所述的近源安全能力池的流量调度的装置，其特征在于，所述mb节点通过b...

【专利技术属性】
技术研发人员：何文娟，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人