[发明专利]一种南北向流量对称性引流的实现架构及方法

权利要求书

1.一种利用服务链进行南北向流量对称性引流的实现方法，其特征在于：实现架构包括虚拟路由器，SNAT 命名空间，中转虚拟机，透明防火墙和OVS网桥五个组件；

所述虚拟路由器存在于openstack的计算节点当中，表现为openstack环境中的一个网络命名空间qrouter，其实是lunix内核的单独一个namespace，其核心组成部分是端口和路由表；通过配置该namespace内的IP tables和IP rule，能够实现策略路由功能；

所述SNAT 命名空间存在于openstack的网络节点当中，本质上是一个虚拟路由器，底层为Lunix创建出来的一个namespace，负责将网络返回包送出；

所述中转虚拟机是与防火墙处于同一子网的一台虚拟机，操作系统不限，包含四个端口，其中两个用于接收策略路由的引导流量，另外两个作为服务链的逻辑起点和逻辑终点；

所述透明防火墙是一台具有防火墙程序的虚拟机，具有至少3个端口，其中一个是管理端口，而另外两个作为服务链的入端口和出端口；该虚拟机能够自动过滤进入的流量，由于是透明模式，报文从入端口进入后能够自动从出端口出来并且不修改任何内容；

所述OVS网桥存在于中转虚拟机中，连接有数个端口，其核心内容是流表，OVS网桥根据报文的特征匹配流表，再根据流表的动作指示决定下一步的走向；

先使用策略路由将流量引流至指定中转虚拟机，将中转虚拟机作为服务链的逻辑起点和逻辑终点；

具体包括以下步骤：

S1. 在openstack中为安全设备和中转机创建多个独立的网段；

S2. 添加中转虚拟机用于接收策略路由的引导流量与服务链节点的流量；

S3. 将透明防火墙部署到指定子网中，将防火墙的出端口与入端口放在不同的网络的子网中以避免广播风暴；

S4. 配置策略路由；

S5. 配置中转虚拟机的转发以及IP转换功能

在中转虚拟机上根据引流规则的变化实时下发IP地址转换规则，使反向流量通过防火墙时源地址为本地IP地址，从而使其通过防火墙验证；

所述步骤S5中，在中转虚拟机中构建OVS网桥架构，首先建立两个网桥br-sfc1与br-sfc2，将中转虚拟机SFC-forward的端口A、B添加至网桥br-sfc1上，将中转虚拟机SFC-forward的端口C、D添加至网桥br-sfc2上；

由于将网口添加到网桥上会导致网口的不可用，所以在网桥br-sfc1和br-sfc2上各添加两个veth peer用以承载原网口的MAC地址和IP地址；端口A、B、C、D对应的对接端口依次为veth0、veth1、veth2与veth3；

设置四个对接端口veth0、veth1、veth2与veth3的流量转发规则，采用openvswitch的流表规则设置方法，设置从veth0进的流量从veth1出，从veth1进的流量从veth0出，从veth3进的流量从veth2出，从veth2进的流量从veth3出；

中转虚拟机内部开启ip_forward转发、关闭firewalld.service设置；

通过端口号socket的服务动态设置OVS流表规则，包括floating ip与内网ip的转换规则；

在中转虚拟机上根据引流规则的变化实时下发IP地址转换规则，使反向流量通过防火墙时源地址为本地IP地址：

已知反向流量先由策略路由发往中转虚拟机SFC-forward的端口C，经网桥br-sfc2网桥导向端口D，则在网桥br-sfc2上设置流表规则，将本地IP转换成浮动IP；

然后反向流量途径防火墙发往中转虚拟机SFC-forward的端口B，经网桥br-sfc1网桥导向端口A，则在网桥br-sfc1上设置流表规则，将浮动IP转换成本地IP；

S6. 在计算节点上为防火墙添加服务链流表

更改服务链最后一跳的流量规则，从正常转发变为发往逻辑终点，避免透明防火墙的逻辑缺陷。

2.根据权利要求1所述的利用服务链进行南北向流量对称性引流的实现方法，其特征在于：所述步骤S1中，在openstack中建立neta、netb、netc、netd、nete五个网络，并在五个网络下面分别创建5个子网网段，将五个网段连接到路由器router1上，其中一个网段nete分配为Server网段供外界访问。