公开(公告)号：CN115801391A

公开(公告)日：2023-03-14

申请号：CN202211421451.3

申请日：2022-11-14

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  胡章丰 ,  李彦君

IPC: H04L9/40 ,  H04L67/10

Abstract: 本发明涉及云计算技术领域，具体为一种使用Openstack安全组纳管云物理主机的方法包括以下步骤：接收前端发送过来的原生网络端口安全组配置信息；自动判断端口的类型，对于计算节点上的tap设备的规则，交还给neutron处理；将安全组的规则内容根据ACL规则的特点进行规则转化；有益效果为：本发明提出的使用Openstack安全组纳管云物理主机的方法及系统通过接收openstack内部安全组格式的配置信息，筛选出其中安全组配置端口为物理机的部分，对安全组规则进行转化，将其变为ACL规则，创建与交换机的会话窗口，配置ACL规则；实现了云虚机与云物理机安全规则的统一纳管，解决了云物理机ACL规则需要运维手动配置的问题。

公开(公告)号：CN112291252A

公开(公告)日：2021-01-29

申请号：CN202011201749.4

申请日：2020-11-02

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  张晖 ,  高传集

IPC: H04L29/06

Abstract: 本发明特别涉及一种南北向流量对称性引流的实现架构及方法。该南北向流量对称性引流的实现架构及方法，通过虚拟路由器实现策略路由功能；SNAT命名空间负责将网络返回包送出；中转虚拟机包含四个端口，其中两个用于接收策略路由的引导流量，另外两个作为服务链的逻辑起点和逻辑终点；透明防火墙具有管理端口，服务链的入端口和出端口至少3个端口；所述OVS网桥根据报文的特征匹配流表，再根据流表的动作指示决定下一步走向。该南北向流量对称性引流的实现架构及方法，能够成功地对来自外网的流量进行引导，有效支持透明防火墙在服务链当中的应用，保证网络往返报文的对称性能满足防火墙会话验证的需要。

公开(公告)号：CN112738293B

公开(公告)日：2023-03-10

申请号：CN202011598094.9

申请日：2020-12-29

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  胡章丰 ,  高雨 ,  李彦君 ,  任秋峥

IPC: H04L61/2503 ,  H04L61/255 ,  H04L45/586

Abstract: 本发明涉及云计算虚拟化领域，具体提供了一种虚机连通外网的方法，运用虚拟IP绑定Floating IP的方式，通过对SNAT和宿主机网桥的配置来对虚机访问外网的流量提供支持。与现有技术相比，本发明可以规避openstack在分布式路由模式中长期存在的问题，使VRRP协议在openstack虚机上可用。在数据上与以往的floating ip实现方式一致，无需修改openstack后端已有的数据库。

公开(公告)号：CN112291252B

公开(公告)日：2022-06-24

申请号：CN202011201749.4

申请日：2020-11-02

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  张晖 ,  高传集

IPC: H04L9/40

Abstract: 本发明特别涉及一种南北向流量对称性引流的实现架构及方法。该南北向流量对称性引流的实现架构及方法，通过虚拟路由器实现策略路由功能；SNAT命名空间负责将网络返回包送出；中转虚拟机包含四个端口，其中两个用于接收策略路由的引导流量，另外两个作为服务链的逻辑起点和逻辑终点；透明防火墙具有管理端口，服务链的入端口和出端口至少3个端口；所述OVS网桥根据报文的特征匹配流表，再根据流表的动作指示决定下一步走向。该南北向流量对称性引流的实现架构及方法，能够成功地对来自外网的流量进行引导，有效支持透明防火墙在服务链当中的应用，保证网络往返报文的对称性能满足防火墙会话验证的需要。

公开(公告)号：CN111654493B

公开(公告)日：2022-04-12

申请号：CN202010487878.8

申请日：2020-06-02

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  胡章丰 ,  李彦君

IPC: H04L9/40 ,  H04L67/10 ,  H04L45/00 ,  G06F9/455

Abstract: 本发明公开了一种Openstack中拦截指定流量的方法、系统、存储介质及电子设备，属于云计算和计算机网络领域，本发明要解决的技术问题为源SFC模块不支持将路由器端口设置为起始端口以及透明状态下的防火墙发出的报文其mac地址不正确，采用的技术方案为：该方法具体如下：在openstack中为安全设备创建单独的网段；将透明防火墙部署到指定子网中；添加SFC‑start虚拟机，用于接收策略路由的引导流量；添加SFC‑end虚拟机，用于接收服务链末端节点的流量；配置策略路由；设定分流器；使用SFC模块下发portchain流表。该系统包括虚拟路由器、SFC‑start虚拟机、SFC‑end虚拟机、透明防火墙和openswitch网桥。

公开(公告)号：CN112738293A

公开(公告)日：2021-04-30

申请号：CN202011598094.9

申请日：2020-12-29

Applicant: 浪潮云信息技术股份公司

Inventor： 朱小彧 ,  胡章丰 ,  高雨 ,  李彦君 ,  任秋峥

IPC: H04L29/12 ,  H04L12/713

Abstract: 本发明涉及云计算虚拟化领域，具体提供了一种虚机连通外网的方法，运用虚拟IP绑定Floating IP的方式，通过对SNAT和宿主机网桥的配置来对虚机访问外网的流量提供支持。与现有技术相比，本发明可以规避openstack在分布式路由模式中长期存在的问题，使VRRP协议在openstack虚机上可用。在数据上与以往的floating ip实现方式一致，无需修改openstack后端已有的数据库。