本發明特別涉及一種南北向流量對稱性引流的實現架構及方法。該南北向流量對稱性引流的實現架構及方法，通過虛擬路由器實現策略路由功能；SNAT命名空間負責將網絡返回包送出；中轉虛擬機包含四個端口，其中兩個用于接收策略路由的引導流量，另外兩個作為服務鏈的邏輯起點和邏輯終點；透明防火墻具有管理端口，服務鏈的入端口和出端口至少3個端口；所述OVS網橋根據報文的特征匹配流表，再根據流表的動作指示決定下一步走向。該南北向流量對稱性引流的實現架構及方法，能夠成功地對來自外網的流量進行引導，有效支持透明防火墻在服務鏈當中的應用，保證網絡往返報文的對稱性能滿足防火墻會話驗證的需要。

技術領域

本發明涉及計算機網絡和云計算技術領域，特別涉及一種南北向流量對稱性引流的實現架構及方法。

背景技術

在網絡中，用戶的一次請求可能需要經過或使用不同的網絡功能，一般情況下，該請求需要經過的網絡功能的順序也是特定的，這條由流量所經過的不同的網絡功能所形成的路徑被稱為服務功能鏈(Service Function Chain，SFC)，換句話說服務功能鏈就是由不同的網絡服務功能通過特定的順序組合形成的一條串行鏈，該鏈的組合順序一般由某一具體的用戶請求來決定。

SDN(軟件定義網絡)和NFV(Network Function Virtualization，網絡功能虛擬化) 技術的出現，為服務功能鏈提供了一種高效的、動態的以及擴展性極強的部署方案。首先 SDN將網絡控制和數據轉發功能分開，以實現集中和可編程的網絡控制，SDN的特性正是簡化和增強網絡控制、靈活和高效的網絡管理以及提高網絡服務性能。SDN使整個網絡變得簡單和高效，為服務功能鏈的部署提供了優越的網絡環境，SDN控制器對網絡的整體控制，可以時刻保持對服務功能鏈狀態的感知。其次NFV利用了虛擬化的技術將服務功能與基礎設施分離。使得服務功能不再內嵌到某一個特定硬件中，這樣當某一個具體的網絡功能損壞時，只需要利用虛擬化技術重新初始化一個VNF，大大縮短了故障恢復時間，節省了人力成本，除此之外NFV也使得VNF的開發更簡單和高效以及VNF在后期的維護和擴展也更靈活。

Openstack作為當前開源Iaas云計算的一款主流產品，實現了SDN與NFV整合的集成環境，但在具體實現技術方面還有待提升的空間。SFC在配置過程中需要指定一個起始的端口，但是考慮到分布式路由等問題，目前的SFC模塊不支持將虛擬路由器的端口配置為起始端口，故而不方便攔截來自外網或某一子網的流量。SFC模塊在最后一個服務鏈節點走完后使用默認正常轉發的方式處理報文，這與橋接模式的透明防火墻的使用方式沖突。

而且，SFC模塊通過修改下一跳的目的mac地址來達到流量引導的目的，在使用透明模式的防護墻時，從防火墻出端口引出的流量其mac地址會是入端口的mac地址，從而無法繼續轉發。最后，國內目前大部分的透明防火墻產品需要通過來往流量的對稱性來判斷會話的保持與合法性，這要求往返流量都通過防火墻。

針對現有openstack等云計算平臺下的SFC問題以及透明模式的防火墻，本發明提出了一種南北向流量對稱性引流的實現架構及方法。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的南北向流量對稱性引流的實現架構及方法。

本發明是通過如下技術方案實現的：

一種南北向流量對稱性引流的實現架構及方法，其特征在于：包括虛擬路由器，SNAT 命名空間，中轉虛擬機，透明防火墻和OVS(Open VSwitch)網橋五個組件；

所述虛擬路由器存在于openstack的計算節點當中，表現為openstack環境中的一個網絡命名空間qrouter，其實是lunix內核的單獨一個namespace(命名空間)，其核心組成部分是端口和路由表；通過配置該namespace內的IP tables(防火墻)和IP rule(路由表)，能夠實現策略路由功能；