技術領域

本發明涉及數據中心基礎設施，更具體地，本發明涉及向數據中心中的虛擬覆蓋網絡流量提供深度分組檢測服務(deep packet inspection services)。

背景技術

例如虛擬可擴展局域網(VXLAN)、分布式覆蓋虛擬化以太網(DOVE)和其他的虛擬覆蓋網絡(Virtual Overlay Networks)利用在原始網絡分組之上的分組中封裝的協議頭創建位置透明性。由于額外的封裝協議頭，例如物理基礎架構路由器、交換機和其它現有的或傳統的網絡間組件(INEs)不可能確定來自原始分組內部的信息。這是因為在覆蓋協議頭內部的原始分組被封裝為傳統INEs的傳統數據有效載荷。此外，這種對原始分組缺乏可見性阻止INEs實現復雜的網絡安全性和服務。

協議像VXLAN使用用戶數據報協議/網際協議(UDP/IP)來封裝通過物理網絡傳輸的源以太分組。源以太分組通過從發起者到最近的VXLAN網關的網絡被隧道化。VXLAN網關將虛擬網絡連接至非虛擬網絡(具有物理組件的傳統網絡)。由于VXLAN網關理解(能夠處理)VXLAN協議和隧道，它們有能力識別被封裝的分組。

而且，在例如VXLAN或DOVE網絡的覆蓋網絡中的屬于公共租戶(例如網絡資源的單個用戶例如公司、代理、個人等)的虛擬機可以被分成組(例如在VXLAN中具有不同虛擬網絡標識符(VNID)的虛擬網絡，在DOVE中具有不同域標識符或DOVE虛擬組(DVG)的域)，這樣可以應用安全性策略規則來控制屬于不同組的虛擬機之間的通信。應用安全性策略的一個典型的方法是使用在網絡上可以訪問的并且有能力應用特定安全性服務的物理安全性設備。

因此，為了將安全性服務應用于覆蓋網絡流量，流量必須被路由到物理安全性設備。然而，中間網絡設備例如交換機、路由器等對覆蓋流量不可見，因此不能理解一些流量應該被路由至物理安全性設備，而其它流量應該直接被路由至指定的目的地地址。

因此，一種允許適當的覆蓋流量的方法和網絡架構將是非常有益的，其中適當的覆蓋流量需要應用的安全性服務被路由至物理安全性設備，從而直接路由于源虛擬機和目的地虛擬機之間的其它流量。

發明內容

在一個實施例中，一種在覆蓋網絡中應用安全性策略的方法包括：通過覆蓋網絡接收通信路徑的請求，所述請求由所述覆蓋網絡中的第一物理交換機發送，其中所述第一物理交換機連接到分組的源，其中所述請求至少包括：分組，第一信息和第二信息；確定連接到所述分組的目的地的第二物理交換機；基于下列中的至少一項確定安全性策略是否要應用于所述分組：所述分組的內容，第一信息和第二信息，選擇所述第一物理交換機和所述第二物理交換機之間的通信路徑，其中當確定安全策略不應用于所述分組時，所選擇的通信路徑直接將所述第一物理交換機連接到所述第二個物理交換機，以及其中當確定安全性策略應用于所述分組時，所選擇的通信路徑通過安全設備將所述第一物理交換機連接到所述第二物理交換機；以及將所選擇的通信路徑發送至所述第一物理交換機。

在另一個實施例中，一種系統包括：將第一物理交換機連接到第二物理交換機的覆蓋網絡；與所述第一物理交換機和所述第二物理交換機通信的交換機控制器；安全設備，適于將安全性策略應用于通過所述覆蓋網絡發送的分組；連接到所述第一物理交換機的至少一個第一服務器，該第一服務器托管至少一個源虛擬機；連接到所述第二物理交換機的至少一個第二服務器，所述第二服務器托管至少一個目的地虛擬機；以及虛擬網絡控制器，與至少一個所述第一物理交換機、所述第二物理交換機以及該覆蓋網絡通信，其中所述虛擬網絡控制器包括：適于通過覆蓋網絡接收通信路徑的請求的邏輯，所述請求由該覆蓋網絡中的第一物理交換機發送并包括以下中的至少一個：分組、關于產生所述分組的所述源虛擬機(VM)的第一信息和關于所述分組的目的地的第二信息；適于確定連接到所述分組的目的地的第二物理交換機的邏輯；適于基于下列中的至少一項確定安全性策略是否要應用于所述分組的邏輯：所述分組的內容、第一信息和第二信息；適于選擇所述第一物理交換機和所述第二物理交換機之間的通信路徑的邏輯，其中當確定安全性策略不應用于所述分組時，所選擇的通信路徑直接將所述第一物理交換機連接到所述第二個物理交換機；以及其中當確定安全性策略應用于所述分組時，所選擇的通信路徑通過所述安全設備將所述第一物理交換機連接到所述第二物理交換機；以及適于將所選擇的通信路徑發送至所述第一物理交換機的邏輯。