[发明专利]一种基于OpenStack配置设备上行接口的方法和装置

说明书

本申请提供一种基于OpenStack配置设备上行接口的方法和装置，所述方法包括：当接收到用户主机发送的创建虚拟防火墙的请求时，向所述防火墙设备发送创建虚拟防火墙的命令，以及将预先建立的绑定关系中的VLAN ID发送至防火墙设备，以使所述防火墙设备创建虚拟防火墙以及从所述VLAN ID中获取目标VLAN ID；接收所述防火墙设备返回的所述目标VLAN ID，并根据所述绑定关系，获取与所述目标VLAN ID绑定的目标IP地址；将所述目标IP地址发送至所述防火墙设备，以使所述防火墙设备配置所述虚拟防火墙的上行接口，使得所述目标IP地址和所述目标VLAN ID分别成为所述上行接口的IP地址和VLAN ID。采用本申请提出的技术方法，实现自动配置设备的上行接口。

技术领域

本申请涉及网络通信技术领域，特别涉及一种基于OpenStack配置设备上行接口的方法和装置。

背景技术

OpenStack是一个实施简单、可大规模扩展、丰富、标准统一的云计算管理平台，几乎支持所有类型的云环境。OpenStack的服务端为由各种提供不同服务的站点组成的服务集群，通过各种互补的服务提供了基础设施即服务的解决方案，每个服务提供API以进行集成。

OpenStack覆盖了网络、虚拟化、操作系统、服务器等各个方面。其中，OpenStack包括多个不同服务类型的核心项目，比如计算、对象存储、镜像服务、身份服务、网络&地址管理(Neutron)等。

Neutron提供云计算的网络虚拟化技术，为OpenStack其它服务提供网络连接服务，为用户提供接口，可以定义Network、Subnet、Router，配置DHCP、DNS、负载均衡、L3服务、网络支持GRE、VLAN、FWaaS(FireWall as a Service，防火墙即服务)等。

其中，所述FWaaS通过软件实现防火墙的功能。由于通过软件实现功能，不如通过硬件设备实现功能那样强大，因此，通常使用硬件设备实现防火墙的功能来替换FWaaS。其中，防火墙设备一般部署在网络出口位置。

请参见图1，图1为现有技术中示出的一种基于OpenStack创建虚拟防火墙的网络连接示意图。在现有技术中，当用户操作OpenStack创建虚拟网络时，由于该虚拟网络无法直接访问外网，需要借助与外网连接的物理设备才能访问外网。同时，为了维护网络安全，需要通过防火墙设备进行网络隔离。因此，将防火墙设备作为该虚拟网络与外网的桥梁。为了建立该虚拟网络与防火墙设备的连接，防火墙设备需要通过虚拟化技术虚拟出虚拟防火墙，通过建立该虚拟网络与该虚拟防火墙的连接，实现该虚拟网络与防火墙设备的通信。

由于该虚拟网络通过OpenStack创建而成，因此该虚拟网络的配置数据保存在OpenStack服务端。该虚拟网络中的用户主机需要收发报文时，该报文均要经过OpenStack服务端。

此外，由于通过OpenSatck创建虚拟网络时，只在防火墙设备上配置该虚拟防火墙的下行接口，其中，所述下行接口是指该虚拟网络与该虚拟防护墙进行通信的虚拟接口，因此只能实现该虚拟网络与该虚拟防火墙设备的通信，并不能实现该虚拟网络与外网的通信。为了实现该虚拟网络与外网的通信，在现有技术中，防火墙设备管理员需要手动在防火墙设备上为该虚拟网络配置上行接口，其中，所述上行接口是指该虚拟防火墙与外网进行通信的虚拟接口。

防火墙设备管理员为该虚拟网络配置上行接口时，需要指定该上行接口的IP地址、VLAN ID、默认路由等，其中，默认路由中的下一跳设备为该防火墙设备的上游设备。为了实现上游设备与该虚拟防火墙的通信，上游设备的管理员也需要根据该上行接口的IP地址、VLAN ID等信息，手动在该上游设备上配置与该上行接口对应的接口，包括指定该接口的IP地址、VLAN ID、回程路由等。

在现有技术中，每创建一个虚拟防火墙，都需要防火墙设备的管理员在防火墙设备上手动配置上行接口，以及需要上游设备的管理员在上游设备上手动配置与该上行接口对应的接口。