[发明专利]向虚拟覆盖网络流量提供服务

说明书

技术领域

本发明涉及数据中心基础设施，更具体地，本发明涉及在数据中心中向虚拟覆盖网络流量(network traffic)提供深度分组检测服务。

背景技术

虽然对于数据中心基础设施的弹性的需要已经讨论了很久，并且业界对于如何使数据中心更加敏捷已经设想了多种竞争性理念，但是较少强调虚拟化安全和服务。一些安全特征包括防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)等，一些服务包括加速器、虚拟私人网络(VPN)终止、负载均衡、流量压缩、智能成形、速率限制等。通过服务器虚拟化和分布式应用程序架构，在多个应用程序和客户端上共享基础设施变得越来越普遍，并且最近的趋势表明，随着应用程序变得越来越分布化，服务器对服务器通信(在数据中心中被称为东西流量(east-west traffic))有可能呈指数增长。

虚拟覆盖网络，诸如虚拟可扩展局域网(VXLAN)和其他虚拟覆盖网络，在原始网络分组的顶部使用封装在分组中的协议头来创建位置透明性。由于附加的封装协议头，现有的或传统的网络间元件(INE，诸如物理基础设施路由器和交换机等)不可能从原始分组内确定信息。这是因为覆盖协议头内部的原始分组被作为典型的数据有效载荷被封装到传统INE。此外，原始分组的这种缺乏可见性阻止了INE实现复杂的网络安全和服务。像虚拟可扩展局域网(VXLAN)的协议使用用户数据报协议/互联网协议(UDP/IP)来封装原始以太网分组以用于通过物理网络传输。原始以太网分组通过网络从始发方隧穿到最近的VXLAN网关。VXLAN网关将虚拟网络连接到非虚拟网络(具有物理组件的传统网络)。因为VXLAN网关理解(能够处理)VXLAN协议和隧道(tunnel)，所以它们具有识别封装的分组的能力。然而，目前，这些网关不能将服务或安全应用于流过其的流量。

发明内容

在一个实施例中，一种系统包括覆盖网络设备，该覆盖网络设备包括：适于与虚拟覆盖网络(VON)网关进行电通信的接口；适于从VON网关接收多个分组(packet)的逻辑部件；适于确定所述多个分组是否包括覆盖头(overlay header)的逻辑部件；适于对包括覆盖头的分组的内部分组进行解封的逻辑部件；适于对所述多个分组或解封的内部分组执行服务的逻辑部件；以及适于将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址、并且将封装的分组发送到VON网关的逻辑部件，或者在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关，以切换到非虚拟网络中的目的地地址的逻辑部件。

在另一实施例中，一种用于向虚拟覆盖网络上的网络流量提供服务的方法包括：接收包括多个分组的网络流量；确定所述多个分组是否包括覆盖头；终止隧道，并且对包括覆盖头的分组的内部分组进行解封；对所述多个分组或解封的内部分组执行服务；发起隧道，并且将被服务的内部分组或被服务的分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址，并且发送封装的分组，或者，在不将分组与覆盖头封装在一起的情况下发送被服务的分组，以切换到非虚拟网络中的目的地地址。

在又一实施例中，一种用于向虚拟覆盖网络上的网络流量提供服务的计算机程序产品，该计算机程序产品包括包含计算机可读程序代码的计算机可读存储介质，所述计算机可读程序代码包括：被配置为从VON网关接收包括多个分组的网络流量的计算机可读程序代码；被配置为确定所述多个分组是否包括覆盖头的计算机可读程序代码；被配置为对包括覆盖头的分组的内部分组进行解封的计算机可读程序代码；被配置为对所述多个分组或解封的内部分组执行服务的计算机可读程序代码；以及被配置为二选其一地执行以下操作的计算机可读程序代码：将所述内部分组或所述多个分组与覆盖头封装在一起以切换到虚拟网络中的目的地地址并且将封装的分组发送到VON网关，或者，在不将分组与覆盖头封装在一起的情况下将被服务的分组发送到VON网关，以切换到非虚拟网络中的目的地地址。

根据另一实施例，一种系统包括：适于与一个或多个虚拟网络和一个或多个非虚拟网络进行电通信的一个或多个接口；适于接收包括多个分组的网络流量的逻辑部件；适于确定所述分组是否包括覆盖头的逻辑部件；适于终止隧道并且对包括覆盖头的分组的内部分组进行解封的逻辑部件；适于确定将对所述分组执行服务并且对所述分组执行所述服务的逻辑部件；以及适于发起隧道、并且将被服务的分组与覆盖头封装在一起、并且将封装后的被服务的分组切换到虚拟网络中的目的地地址的逻辑部件，或者适于在不将被服务的分组与覆盖头封装在一起的情况下将所述被服务的分组切换到非虚拟网络中的目的地地址的逻辑部件。