[发明专利]一种通用的安全资源池服务链实现方法及系统

权利要求书

1.一种通用的安全资源池服务链实现方法，其特征在于，包括：

配置安全资源池的网络对接装置、服务链引流装置及安全功能组件，所述网络对接装置包括路由器和/或交换设备，所述服务链引流装置包括交换设备，所述服务链引流装置中的交换设备支持自定义匹配域的灵活引流；

通过所述网络对接装置自动实现与客户业务流量的对接；

通过所述服务链引流装置以服务链数据包头部NSH的封包方式，将所述客户业务流量引流至所述安全功能组件；

在所述客户业务流量经过所述安全功能组件以后，通过所述服务链引流装置和所述网络对接装置将所述客户业务流量返回至客户业务中心系统或外网。

2.根据权利要求1所述的方法，其特征在于，所述通过所述网络对接装置自动实现与客户业务流量的对接，包括：

通过所述网络对接装置以路由模式实现与客户业务流量的对接；

或，

通过所述网络对接装置以网关模式实现与客户业务流量的对接；

或，

通过所述网络对接装置以透明模式实现与客户业务流量的对接。

3.根据权利要求2所述的方法，其特征在于，所述通过所述网络对接装置以路由模式实现与客户业务流量的对接，包括：

将所述路由器和所述网络对接装置中的交换设备连接，将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接，使得所述客户业务流量通过所述客户的物理核心策略路由器、所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后，实现与所述安全功能组件的对接；

或，

当所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时，将所述路由器和所述网络对接装置中的交换设备连接，将所述网络对接装置中的交换设备与客户的物理核心策略路由器连接，使得所述客户业务流量通过所述客户的物理核心策略路由器及所述网络对接装置中的交换设备后，实现与所述安全功能组件的对接。

4.根据权利要求2所述的方法，其特征在于，所述通过所述网络对接装置以网关模式实现与客户业务流量的对接，包括：

当所述安全资源池与所述客户业务中心系统处于不同二层网络，将所述路由器和所述网络对接装置中的交换设备连接，所述路由器具备策略路由功能，使得所述客户业务流量通过所述网络对接装置中的交换设备、所述路由器及所述服务链引流装置中的交换设备后，实现与所述安全功能组件的对接；

或，

当所述安全资源池与所述客户业务中心系统处于不同二层网络，且所述网络对接装置中交换设备与所述服务链引流装置中的交换设备合二为一时，将所述路由器和所述网络对接装置中的交换设备连接，所述路由器具备策略路由功能，使得所述客户业务流量通过所述网络对接装置中的交换设备后，实现与所述安全功能组件的对接；

或，

当所述安全资源池与所述客户业务中心系统处于同个二层网络，设置所述网络对接装置中的交换设备，使得所述客户业务流量通过所述网络对接装置中的交换设备后，实现与所述安全功能组件的对接。

5.根据权利要求2所述的方法，其特征在于，所述通过所述网络对接装置以透明模式实现与客户业务流量的对接，包括：

当所述安全资源池与所述客户业务中心系统处于同个二层网络，设置所述网络对接装置中的交换设备，使得所述客户业务流量通过所述网络对接装置中的交换设备后，实现与所述安全功能组件的对接。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述网络对接装置为虚拟的或物理的网络对接装置；

所述路由器至少具备ARP应答及代答，代发ARP包，运行路由协议，三层转发，引流及NAT功能；

所述服务链引流装置为虚拟的或物理的服务链引流装置；

所述交换设备至少具备二层交换，流分类，安全服务链引流，Proxy及overlay隧道功能；

所述安全功能组件为虚拟的或物理的安全功能组件。