流量转发方法、装置、电子设备和计算机可读存储介质与流程

本公开涉及通信，尤其涉及一种流量转发方法及装置、电子设备和计算机可读存储介质。

背景技术：

1、本部分旨在为权利要求书中陈述的本公开的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

2、为了应对复杂多变的网络威胁和入侵，用户部署了越来越多的安全服务，流量经过的安全服务也越来越多。然而在部署大量安全服务的同时如何降低网络时延和减少故障点成为当前面临的一大挑战。

3、因此，本技术要解决的技术问题是如何减小部署安全服务带来的时延、减小故障点影响。

技术实现思路

1、本公开的目的在于提供一种流量转发方法、装置、电子设备以及计算机可读存储介质，能够减小流量在转发过程中安全服务带来的时延和故障点的影响。

2、本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

3、本公开实施例提供了一种流量转发方法，包括：sdn控制器接收待转发流量；所述sdn控制器为所述待转发流量确定多个网络安全设备；所述sdn控制器获取所述多个网络安全设备之间的安全服务依赖关系；所述sdn控制器根据所述安全服务依赖关系为所述多个网络安全设备生成安全服务依赖拓扑图，其中所述安全服务依赖拓扑图用来描述所述多个网络安全设备之间的依赖关系；所述sdn控制器根据所述安全服务依赖拓扑图为所述待转发流量生成流表，其中在所述流表中具备相同依赖关系的网络安全设备对所述待转发流量进行并行的安全检验；所述sdn控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转。

4、在一些实施例中，所述sdn控制器为所述待转发流量确定多个网络安全设备，包括：所述sdn控制器根据预设策略为所述待转发流量创建安全服务链，所述安全服务链包括所述多个网络安全设备，所述安全服务链用于指示在所述预设策略下所述待转发流量在所述多个网络安全设备之间的串行流转顺序。

5、在一些实施例中，所述sdn控制器根据所述安全服务依赖拓扑图为所述待转发流量生成流表，包括：根据所述安全服务依赖拓扑图将所述多个网络安全设备进行服务分层，其中在所述安全服务依赖拓扑图中具备相同服务依赖关系的网络安全设备在同一服务层次中，所述待转发流量在相邻服务层次之间进行流转；基于所述安全服务依赖拓扑图在所述安全服务链中为所述多个网络安全设备标注服务层次标识，其中具备相同服务层次标识的网络安全设备对所述待转发流量进行并行的安全检验；根据标注有所述服务层次标识的所述安全服务链生成所述流表。

6、在一些实施例中，所述多个网络安全设备包括第一网络安全设备、第二网络安全设备和第三网络安全设备，其中所述第二网络安全设备和所述第三网络安全设备具有相同的服务层次标识；其中，所述sdn控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转，包括：所述sdn控制器将所述流表下发给所述第一网络安全设备对应的第一虚拟交换机、所述第二网络安全设备和所述第三网络安全设备对应的第二虚拟交换机，以便所述第一虚拟交换机和所述第二虚拟交换机根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转。

7、在一些实施例中，所述sdn控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转，还包括：所述sdn控制器根据所述流表将所述待转发流量转发给所述第一虚拟交换机；所述第一虚拟交换机将所述待转发流量转发给所述第一网络安全设备以便进行安全校验；在所述第一网络安全设备对所述待转发流量校验完成后，所述第一虚拟交换机从所述第一网络安全设备接收所述待转发流量；所述第一虚拟交换机根据所述流表将所述待转发流量转发给所述第二虚拟交换机；所述第二虚拟交换机根据所述流表将待转发流量同时转发给所述第二网络安全设备和所述第三网络安全设备，以便所述第二网络安全设备和所述第三网络安全设备并行的对所述待转发流量进行安全检验；所述第二虚拟交换机从所述第二网络安全设备和所述第三网络安全设备接收经过安全验证的所述待转发流量，以便将所述待转发流量根据所述流表继续进行转发。

8、在一些实施例中，所述多个网络安全设备还包括第四网络安全设备和第五网络安全设备，其中所述第四网络安全设备和所述第五网络安全设备具有相同的服务层次标识；所述sdn控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转，还包括：所述sdn控制器将所述流表下发给所述第三网络安全设备和所述第四网络安全设备对应的第三虚拟交换机，以便所述第一虚拟交换机、所述第二虚拟交换机和所述第三虚拟交换机根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转。

9、在一些实施例中，所述第二网络安全设备的服务层次标识与所述第四网络安全设备的服务层次标识是相邻的服务层次标识；其中，所述sdn控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转，还包括：所述sdn控制器根据所述流表将所述待转发流量转发给所述第一虚拟交换机；所述第一虚拟交换机将所述待转发流量转发给所述第一网络安全设备以便进行安全校验；在所述第一网络安全设备对所述待转发流量校验完成后，所述第一虚拟交换机从所述第一网络安全设备接收所述待转发流量；所述第一虚拟交换机根据所述流表将所述待转发流量转发给所述第二虚拟交换机；所述第二虚拟交换机根据所述流表将待转发流量同时转发给所述第二网络安全设备和所述第三网络安全设备，以便所述第二网络安全设备和所述第三网络安全设备并行的对所述待转发流量进行安全检验；所述第二虚拟交换机从所述第二网络安全设备和所述第三网络安全设备接收经过安全验证的所述待转发流量；所述第二虚拟交换机根据所述流表将所述待转发流量转发给所述第三虚拟交换机；所述第三虚拟交换机根据所述流表将所述待转发流量同时转发给所述第四网络安全设备和所述第五网络安全设备，以便所述第四网络安全设备和所述第五网络安全设备并行的对所述待转发流量进行安全检验。

10、本公开实施例提供了一种流量转发装置，包括：待转发流量接收模块、网络安全设备确定模块、安全服务依赖关系获取模块、安全服务依赖拓扑图生成模块、流表生成模块和流转控制模块。

11、其中，所述待转发流量接收模块用于接收待转发流量；所述网络安全设备确定模块可以用于为所述待转发流量确定多个网络安全设备；所述安全服务依赖关系获取模块可以用于获取所述多个网络安全设备之间的安全服务依赖关系；所述安全服务依赖拓扑图生成模块可以用于根据所述安全服务依赖关系为所述多个网络安全设备生成安全服务依赖拓扑图，其中所述安全服务依赖拓扑图用来描述所述多个网络安全设备之间的依赖关系；所述流表生成模块可以用于根据所述安全服务依赖拓扑图为所述待转发流量生成流表，其中在所述流表中具备相同依赖关系的网络安全设备对所述待转发流量进行并行的安全检验；所述流转控制模块可以用于控制器根据所述流表控制所述待转发流量在所述多个网络安全设备之间流转。

12、本公开实施例提出一种电子设备，该电子设备包括：存储器和处理器；所述存储器用于存储计算机程序指令；所述处理器调用所述存储器存储的所述计算机程序指令，用于实现上述任一项所述的流量转发方法。

13、本公开实施例提出一种计算机可读存储介质，其上存储有计算机程序指令，实现如上述任一项所述的流量转发方法。

14、本公开实施例提出一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机程序指令，该计算机程序指令存储在计算机可读存储介质中。从计算机可读存储介质读取该计算机程序指令，处理器执行该计算机程序指令，实现上述流量转发方法。

15、本公开实施例提供的流量转发方法、装置及电子设备和计算机可读存储介质，一方面可以通过sdn控制器中的预设策略确定流量需要经过的多个网络安全设备，以便通过该多个网络安全设备对该流量进行安全验证；另一方面可以通过安全服务依赖关系确定网络安全设备之间的依赖关系，以便依赖关系相同的网络安全设备能够并行的对流量进行处理，从而减小流量在转发过程中安全服务带来的时延和故障点影响。

16、应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。