安全资源池中基于安全服务链解析的流量分类控制方法与流程

1.本发明涉及信息安全技术领域，尤指一种安全资源池中基于安全服务链解析的流量分类控制方法。


背景技术：

2.在信息安全领域中，随着云计算和虚拟化技术的发展，基于虚拟化技术的安全资源池成为了一种解决网络安全问题的一种新的解决方案。安全资源池是基于虚拟化技术，通过把传统安全产品虚拟化后，以虚拟机的形态部署和运行在专门的安全资源池虚拟化服务器上，并通过专用的交换机连接这些服务器组成一个安全资源池。由于安全产品被集中部署在了安全资源池上，因此对于串行接入的网络安全设备如防火墙等，就不能直接串行接入在用户的网络环境中，而需要通过流量引流的技术来实现让网络流量串行通过安全资源池中的串行安全设备。
3.安全服务链是对数据报文在网络中传递时按照业务逻辑所要求的既定顺序，穿过多个安全服务节点的流程的描述，这些安全服务节点包括如防火墙、入侵检测、网页web应用防火墙等。在安全资源池的应用场景中，使用软件定义网络(software defined network，sdn)技术引流是安全服务链的常用实现方案之一，具体的是使用一台物理的sdn交换机作为安全资源池的接入交换机，来实现流量到安全资源池中物理服务器的引流。
4.但是使用物理sdn交换机构建安全资源池存在有两个问题：其一是sdn交换机的流表芯片价格高昂，且无法存储太多流表项目，当用户网络环境比较大比较复杂时，经常会造成流表项爆炸而使得sdn交换机无法正常工作。其二是各个厂家sdn交换机中对应实现的openflow协议标准不统一，在很多指定厂家的项目中一些基于高版本openflow协议的功能无法实现。


技术实现要素：

5.本发明实施例提供一种安全资源池中基于安全服务链解析的流量分类控制方法，用以解决现有技术中采用sdn物理交换机进行安全资源池中流量引流时流表项目数量限制和兼容性较低的问题。
6.本发明实施例提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于安全服务链控制中心，包括：
7.根据用户配置的安全服务链，调用所述云安全管理平台在安全资源池的至少一个物理服务器上创建所述安全服务链对应的至少一个安全虚拟机，并调用所述云安全管理平台在每个创建有安全虚拟机的物理服务器创建虚拟交换机；其中所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，所述虚拟交换机与所在的物理服务器上的各安全虚拟机连接，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理；
8.根据所述安全服务链和所述安全虚拟机对应的网络信息生成流量分类控制器对
应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机；以使所述流量分类控制器根据所述第一引流策略将接收的核心交换机发送的数据包中网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，通过安全资源池物理交换机发送给第一虚拟交换机；以及以使所述虚拟交换机根据所述第二引流策略将接收的数据包发给对应的安全虚拟机进行安全服务处理，并根据所述第三引流策略将完成安全服务处理的数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，通过安全资源池物理交换机发送给所述下一个节点；
9.其中，所述第一虚拟交换机是各虚拟交换机中，与实现所述安全服务链指示的第一个安全服务处理的安全虚拟机连接的虚拟交换机。
10.可选地，若所述虚拟交换机所在的物理服务器不为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
11.若所述虚拟交换机所在的物理服务器为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为所述核心交换机。
12.可选地，所述安全虚拟机对应的网络信息包括所述安全虚拟机所在的物理服务器的媒体存取控制位mac地址和所述安全虚拟机对应的虚拟交换机的端口号。
13.基于同一发明构思，本发明实施例还提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于流量分类控制器，包括：
14.接收核心交换机传输的数据包；
15.确定所述数据包与第一引流策略匹配时，将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述第一虚拟交换机所在的物理服务器；
16.其中，所述第一引流策略是安全服务链控制中心根据用户设置的安全服务链和所述第一虚拟交换机对应的网络信息生成并下发给所述流量分类控制器的引流策略。
17.可选地，确定所述数据包与第一引流策略匹配之前，还包括：
18.确定所述数据包属于南北向流量；
19.所述方法还包括：
20.确定所述数据包属于东西向流量时，将东西向流量的数据包解封装及解密后分发给旁路安全设备所在的物理服务器。
21.可选地，确定所述数据包属于南北向流量或东西向流量，包括：
22.根据所述数据包的虚拟局域网身份标识符vlan id或虚拟拓展局域网身份标识符vxlan id，确定所述数据包属于南北向流量或东西向流量。
23.可选地，根据下列方式中至少一项的结果为相同确定所述数据包与第一引流策略匹配：
24.判断所述数据包中的vlan id与所述第一引流策略中配置的vlan id是否相同；
25.判断所述数据包中的vxlan id与所述第一引流策略中配置的vxlan id是否相同；
26.判断所述数据包中的网际互连协议ip地址与所述第一引流策略中配置的ip是否
相同。
27.可选地，将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息，包括：
28.将所述数据包中的接收端mac地址修改为所述第一引流策略指示的第一虚拟交换机所在的物理服务器的mac地址。
29.基于同一发明构思，本发明实施例还提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于安全资源池中的物理服务器，包括：
30.根据云安全管理平台的指示创建至少一个安全虚拟机，并创建与所述安全虚拟机连接的虚拟交换机；其中所述云安全管理平台是根据安全服务链控制中心的调用向所述物理服务器进行指示，所述安全服务链控制中心是根据用户配置的安全服务链调用所述云安全服务管理平台；所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理；
31.通过所述虚拟交换机接收安全资源池交换机转发的数据包，确定所述数据包匹配第二引流策略后，根据所述第二引流策略将所述数据包发送给对应的安全虚拟机；通过所述安全虚拟机对所述虚拟交换机发送的数据包进行安全服务处理后，将所述数据包返回给所述虚拟交换机；
32.通过所述虚拟交换机确定所述数据包匹配第三引流策略后，将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述下一个节点；
33.其中，所述第二引流策略和所述第三引流策略是所述安全服务链控制中心根据用户设置的安全服务链和所述安全服务链对应的安全虚拟机对应的网络信息生成并下发给所述虚拟交换机的。
34.可选地，若所述物理服务器没有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
35.若所述物理服务器有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为核心交换机。
36.可选地，根据下列方式中至少一项的结果为相同确定所述数据包匹配所述第二引流策略/所述第三引流策略：
37.判断所述数据包中的vlan id与所述第二引流策略/所述第三引流策略中配置的vlan id是否相同；
38.判断所述数据包中的虚拟拓展局域网vxlan id与所述第二引流策略/所述第三引流策略中配置的vxlan id是否相同；
39.判断所述数据包中的ip地址与所述第二引流策略/所述第三引流策略中配置的ip是否相同；
40.判断所述数据包进入至虚拟交换机的端口号与所述第二引流策略/所述第三引流策略中配置的端口号是否相同。
41.可选地，通过所述虚拟交换机将所述数据包中的网络信息修改为所述第三引流策
略指示的下一个节点的网络信息，包括：
42.通过所述虚拟交换机将所述数据包中的接收端mac地址修改为所述第三引流策略指示的下一个节点的所在的物理服务器的mac地址。
43.可选地，通过所述虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机，包括：
44.通过所述虚拟交换机根据所述第二引流策略将所述数据包通过所述第二引流策略指示的虚拟交换机端口发送给对应的安全虚拟机。
45.基于同一发明构思，本发明实施例还提供了一种安全服务链控制中心，包括：
46.安全服务链配置单元，用于根据用户配置的安全服务链，调用所述云安全管理平台在安全资源池的至少一个物理服务器上创建所述安全服务链对应的至少一个安全虚拟机，并调用所述云安全管理平台在每个创建有安全虚拟机的物理服务器创建虚拟交换机；其中所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，所述虚拟交换机与所在的物理服务器上的各安全虚拟机连接，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理；
47.引流策略配置单元，用于根据所述安全服务链和所述安全虚拟机对应的网络信息生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机；以使所述流量分类控制器根据所述第一引流策略将接收的核心交换机发送的数据包中网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，通过安全资源池物理交换机发送给第一虚拟交换机；以及以使所述虚拟交换机根据所述第二引流策略将接收的数据包发给对应的安全虚拟机进行安全服务处理，并根据所述第三引流策略将完成安全服务处理的数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，通过安全资源池物理交换机发送给所述下一个节点；
48.其中，所述第一虚拟交换机是各虚拟交换机中，与实现所述安全服务链指示的第一个安全服务处理的安全虚拟机连接的虚拟交换机。
49.基于同一发明构思，本发明实施例还提供了一种流量分类控制器，包括：
50.数据包接收单元，用于接收核心交换机传输的数据包；
51.串行引流单元，用于确定所述数据包与第一引流策略匹配时，将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述第一虚拟交换机所在的物理服务器；
52.其中，所述第一引流策略是安全服务链控制中心根据用户设置的安全服务链和所述第一虚拟交换机对应的网络信息生成并下发给所述流量分类控制器的引流策略。
53.基于同一发明构思，本发明实施例还提供了一种物理服务器，包括：
54.安全服务配置单元，用于与根据云安全管理平台的指示创建至少一个安全虚拟机，并创建与所述安全虚拟机连接的虚拟交换机；其中所述云安全管理平台是根据安全服务链控制中心的调用向所述物理服务器进行指示，所述安全服务链控制中心是根据用户配置的安全服务链调用所述云安全服务管理平台；所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，每个安全虚拟机用于实现所述安全服务链指示
的一个安全服务处理；
55.流量引入单元，用于通过所述虚拟交换机接收安全资源池交换机转发的数据包，确定所述数据包匹配第二引流策略后，根据所述第二引流策略将所述数据包发送给对应的安全虚拟机；通过所述安全虚拟机对所述虚拟交换机发送的数据包进行安全服务处理后，将所述数据包返回给所述虚拟交换机；
56.流量引出单元，用于通过所述虚拟交换机确定所述数据包匹配第三引流策略后，将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述下一个节点；
57.其中，所述第二引流策略和所述第三引流策略是所述安全服务链控制中心根据用户设置的安全服务链和所述安全服务链对应的安全虚拟机对应的网络信息生成并下发给所述虚拟交换机的。
58.基于同一发明构思，本发明实施例还提供了一种电子设备，包括：处理器和用于存储所述处理器可执行指令的存储器；
59.其中，所述处理器被配置为执行所述指令，以实现所述的应用于安全服务链控制中心的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于流量分类控制器的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于物理服务器的安全资源池中基于安全服务链解析的流量分类控制方法。
60.基于同一发明构思，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被用于实现所述的应用于安全服务链控制中心的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于流量分类控制器的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于物理服务器的安全资源池中基于安全服务链解析的流量分类控制方法。
61.本发明有益效果如下：
62.本发明实施例提供的安全资源池中基于安全服务链解析的流量分类控制方法，在不采用sdn物理交换机的前提下，实现了根据细粒度软件定义的安全服务链，控制流量进入安全资源池交换机后，向安全资源池中的物理服务器进行流量分发。避免了sdn物理交换机支持的软件定义的安全服务链细粒度流量引流在大型复杂网络环境中可能导致的流表项目不够用的问题，系统能够支持更多的安全服务链下发和同时使用。同时，由于方案没有采用sdn物理交换机，可以采用普通的二层交换机进行数据包转发，降低了成本。
附图说明
63.图1为本发明实施例应用的安全服务系统的结构示意图；
64.图2为本发明实施例中数据包在安全服务系统中的流动方向示意图；
65.图3为本发明实施例提供的应用于安全服务链控制中心的安全资源池中基于安全服务链解析的流量分类控制方法的流程示意图；
66.图4为本发明实施例提供的应用于流量分类控制器的安全资源池中基于安全服务链解析的流量分类控制方法；
67.图5为本发明实施例提供的应用于物理服务器的安全资源池中基于安全服务链解
析的流量分类控制方法；
68.图6为本发明实施例提供的安全服务链控制中心的结构示意图之一；
69.图7为本发明实施例提供的安全服务链控制中心的结构示意图之二；
70.图8为本发明实施例提供的流量分类控制器的结构示意图之一；
71.图9为本发明实施例提供的流量分类控制器的结构示意图之二；
72.图10为本发明实施例提供的物理服务器的结构示意图；
73.图11为本发明实施例提供的电子设备的结构示意图。
具体实施方式
74.为使本发明的上述目的、特征和优点能够更为明显易懂，下面将结合附图和实施例对本发明做进一步说明。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式；相反，提供这些实施方式使得本发明更全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构，因而将省略对它们的重复描述。本发明中所描述的表达位置与方向的词，均是以附图为例进行的说明，但根据需要也可以做出改变，所做改变均包含在本发明保护范围内。本发明的附图仅用于示意相对位置关系不代表真实比例。
75.需要说明的是，在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。说明书后续描述为实施本技术的较佳实施方式，然所述描述乃以说明本技术的一般原则为目的，并非用以限定本技术的范围。本技术的保护范围当视所附权利要求所界定者为准。
76.下面结合附图，对本发明实施例提供的安全资源池中基于安全服务链解析的流量分类控制方法进行具体说明。
77.本发明实施例提供的安全资源池中基于安全服务链解析的流量分类控制方法可以应用于如图1所示的安全服务系统中，所述安全服务系统包括云安全管理平台、核心交换机、安全服务链控制中心、流量分类控制器、安全资源池物理交换机及安全资源池的至少一个物理服务器。其中，所述安全资源池的物理服务器用于实现对流量的安全服务处理；所述云安全管理平台、所述安全服务链控制中心、所述流量分类控制器可以分别以硬件设备的形式被设置为一个单独的物理服务器，或者上述三者中的任意设备也可以虚拟机的形式被部署在安全资源池中的任意的物理服务器中。
78.下面以所述安全服务系统中各设备实现流量分类控制的步骤来展开说明各设备的作用。
79.在流量分类控制的配置阶段：
80.s10、安全服务链控制中心确定用户配置的安全服务链。安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理。
81.在具体实施过程中，不同的用户配置的安全服务链可能是不同的，那么相应地后续步骤中涉及的物理服务器、安全虚拟机及相互之间的各种对应关系也会不同，本文主要以某一个用户配置的安全服务链为例进行说明。
82.在具体实施过程中，安全服务链控制中心通过向用户提供可视化界面来配置安全
服务链，包括配置安全服务链对应的安全服务处理，调整安全服务处理之间的顺序，维护安全服务链和安全服务处理之间的对应关系。
83.s11、安全服务链控制中心根据用户配置的安全服务链，调用云安全管理平台在安全资源池的至少一个物理服务器上创建所述安全服务链对应的至少一个安全虚拟机，并在每个创建有安全虚拟机的物理服务器创建虚拟交换机；其中所述虚拟交换机与所在的物理服务器上的各安全虚拟机连接，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理。
84.s12、云安全管理平台根据安全服务链控制中心的调用创建安全虚拟机和虚拟交换机后，向安全服务链控制中心返回各安全虚拟机对应的网络信息。
85.s13、安全服务链控制中心根据安全服务链和各安全虚拟机对应的网络信息生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机。
86.s14、流量分类控制器接收并保存第一引流策略，虚拟交换机接收并保存第二引流策略和第三引流策略。
87.在流量分类控制的实现阶段：
88.s20、核心交换机接收数据包并发送给流量分类控制器。
89.在具体实施过程中，流量分类控制器的网卡与核心交换机直接连接，核心交换机通过策略路由将接收的数据包发送给流量分类控制器。
90.s22、流量分类控制器判断所述数据包是否与第一引流策略匹配；若匹配，则将所述数据包中的网络信息修改为所述第一引流策略指示的下一个节点的网络信息后，将所述数据包转发至安全资源池物理交换机。其中，所述第一引流策略指示的下一个节点为第一虚拟交换机，所述第一虚拟交换机是各虚拟交换机中，与实现所述安全服务链指示的第一个安全服务处理的安全虚拟机连接的虚拟交换机。
91.需要说明的是，本文主要是以某一个用户配置的安全服务链为例对流量分类控制方法进行说明的，而实际上所述安全服务系统可以同时为多名用户对应的数据包进行安全服务处理，那么流量分类控制器中可以保存有对应不同用户的安全服务链的第一引流策略，若所述数据包与上文所述的第一引流策略不匹配，所述数据包可能会与另一个安全服务链对应的第一引流策略匹配，此处不再展开说明。
92.s23、安全资源池物理交换机将数据包转发至所述数据包中携带的网络信息指示的节点。
93.s24、物理服务器通过虚拟交换机接收安全资源池交换机转发的数据包。
94.s25、物理服务器通过虚拟交换机判断所述数据包是否匹配第二引流策略。
95.若所述步骤s25的结果为是，执行步骤s26。
96.s26、物理服务器的虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机。
97.s27、物理服务器通过安全虚拟机对虚拟交换机发送的数据包进行安全服务处理后，将所述数据包返回给虚拟交换机。
98.在具体实施过程中，如果所述物理服务器上创建有与所述安全服务链对应的多个安全虚拟机，那么需要返回所述步骤s25来判断返回给虚拟交换机的数据包是否还需要在
所述物理服务器上进行其它的安全服务处理，并在所述数据包完成在所述物理服务器上应当进行的所有安全服务处理时再执行步骤s28。
99.s28、物理服务器通过所述虚拟交换机判断所述数据包是否匹配第三引流策略。
100.若所述步骤s28的结果为是，执行步骤s29。
101.需要说明的是，本文主要是以某一个用户配置的安全服务链为例对流量分类控制方法进行说明的，而实际上所述安全服务系统可以同时为多名用户对应的数据包进行安全服务处理，那么同一个虚拟交换机中可以保存有对应不同用户的安全服务链的第二引流策略/第三引流策略，若所述数据包与上文所述的第二引流策略/第三引流策略不匹配，所述数据包可能会与另一个安全服务链对应的第二引流策略/第三引流策略匹配，此处不再展开说明。
102.s29、物理服务器通过所述虚拟交换机将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，将所述数据包转发至安全资源池物理交换机。
103.若所述物理服务器不为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；若所述物理服务器为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为所述核心交换机。返回所述步骤s23。
104.通过上述步骤，数据包从核心交换机进入安全资源池，并在安全资源池中的各物理服务器上按照安全服务链指示的安全服务处理顺序，经过各安全虚拟机的安全服务处理后返回至核心交换机的回注端口以离开安全资源池。
105.这样，通过本发明实施例提供的流量分类控制方法，在不采用sdn物理交换机的前提下，实现了根据细粒度软件定义的安全服务链，控制流量进入安全资源池交换机后，向安全资源池中的物理服务器进行流量分发。避免了sdn物理交换机支持的软件定义的安全服务链细粒度流量引流在大型复杂网络环境中可能导致的流表项目不够用的问题，系统能够支持更多的安全服务链下发和同时使用。同时，由于方案没有采用sdn物理交换机，可以采用普通的二层交换机进行数据包转发，降低了成本。
106.可选地，在所述步骤s22之前，流量分类控制器还用于执行如下步骤：
107.s21、流量分类控制器判断所述数据包属于南北向流量或东西向流量。
108.若所述数据包属于南北向流量，执行所述步骤s22；若所述数据包属于东西向流量，执行步骤s30。
109.s30、流量分类控制器将所述数据包解封装及解密后，分发给旁路安全设备所在的物理服务器。
110.这样，流量分类控制器能够同时支持对东西向流量的旁路引流处理需求和南北向流量的串行引流处理需求。
111.可选地，所述步骤s21、流量分类控制器判断所述数据包属于南北向流量或东西向流量包括：
112.流量分类控制器根据所述数据包的虚拟局域网身份标识符vlan id或虚拟拓展局域网身份标识符vxlan id，判断所述数据包属于南北向流量或东西向流量。
113.可选地，所述安全虚拟机对应的网络信息包括所述安全虚拟机所在的物理服务器的媒体存取控制位(media access control，mac)地址和所述安全虚拟机对应的虚拟交换机的端口号。
114.可选地，流量分类控制器根据下列方式中至少一项的结果相同判断所述数据包与第一引流策略匹配：
115.(1)判断所述数据包中的虚拟局域网(virtual local area network，vlan)身份标识符(identity document，id)与所述第一引流策略中配置的vlan id是否相同。
116.(2)判断所述数据包中的虚拟拓展局域网(virtual extensible local area network，vxlan)id与所述第一引流策略中配置的vxlan id是否相同。
117.(3)判断所述数据包中的网际互连协议(internet protocol，ip)地址与所述第一引流策略中配置的ip是否相同。
118.可选地，物理服务器通过虚拟交换机根据下列方式中至少一项的结果相同判断所述数据包与第二引流策略/所述第三引流策略匹配：
119.(1)判断所述数据包中的vlan id与所述第二引流策略/所述第三引流策略中配置的vlan id是否相同。
120.(2)判断所述数据包中的虚拟拓展局域网vxlan id与所述第二引流策略/所述第三引流策略中配置的vxlan id是否相同。
121.(3)判断所述数据包中的ip地址与所述第二引流策略/所述第三引流策略中配置的ip是否相同。
122.(4)判断所述数据包进入至虚拟交换机的端口号与所述第二引流策略/所述第三引流策略中配置的端口号是否相同。
123.可选地，流量分类控制器/物理服务器通过所述虚拟交换机将所述数据包中的网络信息修改为所述第一引流策略/所述第三引流策略指示的下一个节点的网络信息，包括：
124.流量分类控制器/物理服务器通过所述虚拟交换机将所述数据包中的接收端mac地址修改为所述第一引流策略/所述第三引流策略指示的下一个节点的mac地址。
125.所述步骤s23、安全资源池物理交换机将数据包转发至所述数据包中携带的网络信息指示的节点，包括：
126.安全资源池物理交换机将数据包进行二层转发至所述数据包中携带的网络信息指示的节点。
127.可选地，所述步骤s26、物理服务器的虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机，包括：
128.物理服务器的虚拟交换机根据所述第二引流策略将所述数据包通过所述第二引流策略指示的虚拟交换机端口发送给对应的安全虚拟机。
129.如图2所示，下面以一种具体的示例对上述过程进行展开说明，其中图2中为便于理解只标记了数据在不同设备之间传输时的部分步骤。
130.在流量分类控制的配置阶段：
131.【1】安全服务链控制中心确定用户配置的安全服务链。所述安全服务链用于指示数据包在所述安全资源池中需要依次进行虚拟防火墙(virtual firewall，vfw)和虚拟网站应用级入侵防御系统(virtual web application firewall，vwaf)两个安全服务处理。
132.【2】安全服务链控制中心根据用户配置的安全服务链，调用云安全管理平台在安全资源池的物理服务器server1上创建所述虚拟防火墙对应的安全虚拟机vfw1，在安全资源池的物理服务器server2上创建所述虚拟网站应用级入侵防御系统对应的安全虚拟机vwaf1，并在物理服务器server1、server2分别创建虚拟交换机vs1、vs2；其中物理服务器server1的虚拟交换机vs1与vfw1连接，物理服务器server2的虚拟交换机vs2与vwaf1连接。
133.【3】云安全管理平台根据安全服务链控制中心的调用创建安全虚拟机vfw1、vwaf1和虚拟交换机后，向安全服务链控制中心返回物理服务器server1、server2的mac地址mac1、mac2，和vs1、vs2的端口号(其中vfw1在vs1上的入端口为port1，出端口为port2，vs1的上行端口为port5；vwaf1在vs2上的入端口为port3，出端口为port4，vs2的上行端口为port6)。
134.【4】安全服务链控制中心根据安全服务链和物理服务器server1、server1的mac地址和vs1、vs2的端口号生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机。
135.例如，vs1的第二引流策略为：
136.ovs-ofctl add-flow flow0,dl_vlan＝id1,in_port＝port5,actions＝output:port1
137.即，把入端口是port5，vlan_id＝id1的数据包从出端口port1发出。
138.vs1的第三引流策略为：
139.ovs-ofctl add-flow flow0,in_port＝port2,actions＝mod_dl_dst:mac2,output:port5
140.即，把入端口是port2的数据包的mac地址修改为mac2，并从出端口port5发出。
141.vs2的第二引流策略为：
142.ovs-ofctl add-flow flow0,dl_vlan＝id1,in_port＝port6,actions＝output:port3
143.即，把入端口是port6，vlan_id＝id1的数据包从出端口port3发出。
144.vs2的第三引流策略为：
145.ovs-ofctl add-flow flow0,in_port＝port4,actions＝mod_dl_dst:mac3,output:port6
146.即，把入端口是port4的数据包的mac地址修改为mac3(核心交换机的mac地址)，并从出端口port6发出。
147.【5】流量分类控制器接收并保存第一引流策略，虚拟交换机接收并保存第二引流策略和第三引流策略。
148.在流量分类控制的实现阶段：
149.【6】核心交换机接收数据包并发送给流量分类控制器。流量分类控制器的网卡与核心交换机直接连接，核心交换机通过策略路由将接收的数据包发送给流量分类控制器。
150.【7】流量分类控制器根据所述数据包中的vlan id为id1判断所述数据包属于南北向流量。
151.【8】流量分类控制器根据所述数据包中的vlan id为id1确定与第一引流策略匹配，将所述数据包中的接收端mac地址修改为mac1后，将所述数据包转发至安全资源池物理
交换机。
152.【9】安全资源池物理交换机将数据包二层转发物理服务器server1的物理网卡。
153.【10】物理服务器server1通过虚拟交换机vs1的端口port5接收所述数据包。
154.【11】物理服务器server1通过虚拟交换机vs1根据所述数据包的vlan id为id1和所述数据包进入至虚拟交换机的端口号port5，确定匹配vs1的第二引流策略。
155.【12】物理服务器server1的虚拟交换机vs1根据vs1的第二引流策略将所述数据包通过端口port1发送给安全虚拟机vfw1。
156.【13】物理服务器server1通过安全虚拟机vfw1对虚拟交换机发送的数据包进行安全服务处理后，将所述数据包通过虚拟交换机vs1的端口port2返回给虚拟交换机vs1。
157.【14】物理服务器server1通过虚拟交换机vs1根据所述数据包进入至虚拟交换机的端口号port2，确定匹配vs1的第三引流策略。
158.【15】物理服务器server1通过所述虚拟交换机vs1将所述数据包中的接收端mac地址修改为mac2后，将所述数据包转发至安全资源池物理交换机。
159.【16】安全资源池物理交换机将数据包二层转发物理服务器server2的物理网卡。
160.【17】物理服务器server2通过虚拟交换机vs2的端口port6接收所述数据包。
161.【18】物理服务器server2通过虚拟交换机vs2根据所述数据包的vlan id为id1和所述数据包进入至虚拟交换机的端口号port6，确定匹配vs2的第二引流策略。
162.【19】物理服务器server2的虚拟交换机vs2根据vs2的第二引流策略将所述数据包通过端口port3发送给安全虚拟机vwaf1。
163.【20】物理服务器server2通过安全虚拟机vwaf1对虚拟交换机vs2发送的数据包进行安全服务处理后，将所述数据包通过虚拟交换机vs2的端口port3返回给虚拟交换机vs2。
164.【21】物理服务器server2通过虚拟交换机vs2根据所述数据包进入至虚拟交换机vs2的端口号port3，确定匹配vs2的第三引流策略。
165.【22】物理服务器server2通过所述虚拟交换机vs2将所述数据包中的接收端mac地址修改为mac3后，将所述数据包转发至安全资源池物理交换机。
166.【23】安全资源池物理交换机将数据包二层转发核心交换机的回注端口。
167.基于上述发明构思，本发明实施例还提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于安全服务链控制中心，如图3所示，包括：
168.s101、根据用户配置的安全服务链，调用所述云安全管理平台在安全资源池的至少一个物理服务器上创建所述安全服务链对应的至少一个安全虚拟机，并调用所述云安全管理平台在每个创建有安全虚拟机的物理服务器创建虚拟交换机；其中所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，所述虚拟交换机与所在的物理服务器上的各安全虚拟机连接，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理。
169.s102、根据所述安全服务链和所述安全虚拟机对应的网络信息生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机；以使所述流量分类控制器根据所述第一引流策略将接收的核心交换机发送的数据包中网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，通过安全资源池物理交换机发送给第一虚拟交换机；以及以使所述
虚拟交换机根据所述第二引流策略将接收的数据包发给对应的安全虚拟机进行安全服务处理，并根据所述第三引流策略将完成安全服务处理的数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，通过安全资源池物理交换机发送给所述下一个节点；
170.其中，所述第一虚拟交换机是各虚拟交换机中，与实现所述安全服务链指示的第一个安全服务处理的安全虚拟机连接的虚拟交换机。
171.可选地，若所述虚拟交换机所在的物理服务器不为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
172.若所述虚拟交换机所在的物理服务器为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为所述核心交换机。
173.可选地，所述安全虚拟机对应的网络信息包括所述安全虚拟机所在的物理服务器的mac地址和所述安全虚拟机对应的虚拟交换机的端口号。
174.基于同一发明构思，本发明实施例还提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于流量分类控制器，如图4所示，包括：
175.s201、接收核心交换机传输的数据包。
176.s203、判断所述数据包是否与第一引流策略匹配。
177.若所述步骤s203的结果为是，执行步骤s204。
178.s204、将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述第一虚拟交换机所在的物理服务器；
179.其中，所述第一引流策略是安全服务链控制中心根据用户设置的安全服务链和所述第一虚拟交换机对应的网络信息生成并下发给所述流量分类控制器的引流策略。
180.可选地，所述步骤s203之前，还包括：
181.s202、判断所述数据包属于南北向流量或东西向流量。
182.若所述步骤s202的结果为所述数据包属于南北向流量，执行所述步骤s203；若所述步骤s202的结果为所述数据包属于东西向流量，执行步骤s205。
183.s205、将东西向流量的数据包解封装及解密后分发给旁路安全设备所在的物理服务器。
184.可选地，s202、判断所述数据包属于南北向流量或东西向流量，包括：
185.根据所述数据包的vlan id或vxlan id，判断所述数据包属于南北向流量或东西向流量。
186.可选地，根据下列方式中至少一项的结果为相同确定所述数据包与第一引流策略匹配：
187.判断所述数据包中的vlan id与所述第一引流策略中配置的vlan id是否相同；
188.判断所述数据包中的vxlan id与所述第一引流策略中配置的vxlan id是否相同；
189.判断所述数据包中的网际互连协议ip地址与所述第一引流策略中配置的ip是否相同。
190.可选地，所述步骤s204中，将所述数据包中的网络信息修改为所述第一引流策略
指示的第一虚拟交换机的网络信息，包括：
191.将所述数据包中的接收端mac地址修改为所述第一引流策略指示的第一虚拟交换机所在的物理服务器的mac地址。
192.基于同一发明构思，本发明实施例还提供了一种安全资源池中基于安全服务链解析的流量分类控制方法，应用于安全资源池中的物理服务器，如图5所示，包括：
193.s301、根据云安全管理平台的指示创建至少一个安全虚拟机，并创建与所述安全虚拟机连接的虚拟交换机；其中所述云安全管理平台是根据安全服务链控制中心的调用向所述物理服务器进行指示，所述安全服务链控制中心是根据用户配置的安全服务链调用所述云安全服务管理平台；所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理。
194.s302、通过所述虚拟交换机接收安全资源池交换机转发的数据包。
195.s303、通过所述虚拟交换机判断所述数据包是否匹配第二引流策略。
196.若所述步骤s303的结果为是，执行步骤s304。
197.s304、通过所述虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机。
198.s305、通过所述安全虚拟机对所述虚拟交换机发送的数据包进行安全服务处理后，将所述数据包返回给所述虚拟交换机。
199.在具体实施过程中，如果所述物理服务器中创建有与所述安全服务链对应的多个安全虚拟机，那么需要返回所述步骤s303判断返回给虚拟交换机的数据包是否还需要在所述物理服务器上进行其它的安全服务处理，并在所述数据包完成在所述物理服务器上应当进行的所有安全服务处理时再执行步骤s306。
200.s306、通过所述虚拟交换机判断所述数据包是否匹配第三引流策略。
201.若所述步骤s306的结果为是，执行步骤s307。
202.s307、通过所述虚拟交换机将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息。
203.s308、通过所述虚拟交换机将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述下一个节点；
204.其中，所述第二引流策略和所述第三引流策略是所述安全服务链控制中心根据用户设置的安全服务链和所述安全服务链对应的安全虚拟机对应的网络信息生成并下发给所述虚拟交换机的。
205.可选地，若所述物理服务器没有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
206.若所述物理服务器有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为核心交换机。
207.可选地，根据下列方式中至少一项的结果为相同确定所述数据包匹配所述第二引流策略/所述第三引流策略：
208.判断所述数据包中的vlan id与所述第二引流策略/所述第三引流策略中配置的vlan id是否相同；
209.判断所述数据包中的虚拟拓展局域网vxlan id与所述第二引流策略/所述第三引流策略中配置的vxlan id是否相同；
210.判断所述数据包中的ip地址与所述第二引流策略/所述第三引流策略中配置的ip是否相同；
211.判断所述数据包进入至虚拟交换机的端口号与所述第二引流策略/所述第三引流策略中配置的端口号是否相同。
212.可选地，所述步骤s307、通过所述虚拟交换机将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息，包括：
213.通过所述虚拟交换机将所述数据包中的接收端mac地址修改为所述第三引流策略指示的下一个节点的所在的物理服务器的mac地址。
214.可选地，所述步骤s304、通过所述虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机，包括：
215.通过所述虚拟交换机根据所述第二引流策略将所述数据包通过所述第二引流策略指示的虚拟交换机端口发送给对应的安全虚拟机。
216.基于同一发明构思，本发明实施例还提供了一种安全服务链控制中心，如图6所示，包括：
217.安全服务链配置单元u101，用于根据用户配置的安全服务链，调用所述云安全管理平台在安全资源池的至少一个物理服务器上创建所述安全服务链对应的至少一个安全虚拟机，并调用所述云安全管理平台在每个创建有安全虚拟机的物理服务器创建虚拟交换机；其中所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，所述虚拟交换机与所在的物理服务器上的各安全虚拟机连接，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理；
218.引流策略配置单元u102，用于根据所述安全服务链和所述安全虚拟机对应的网络信息生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略，并对应下发给所述流量分类控制器和所述虚拟交换机；以使所述流量分类控制器根据所述第一引流策略将接收的核心交换机发送的数据包中网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，通过安全资源池物理交换机发送给第一虚拟交换机；以及以使所述虚拟交换机根据所述第二引流策略将接收的数据包发给对应的安全虚拟机进行安全服务处理，并根据所述第三引流策略将完成安全服务处理的数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，通过安全资源池物理交换机发送给所述下一个节点；
219.其中，所述第一虚拟交换机是各虚拟交换机中，与实现所述安全服务链指示的第一个安全服务处理的安全虚拟机连接的虚拟交换机。
220.可选地，若所述虚拟交换机所在的物理服务器不为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
221.若所述虚拟交换机所在的物理服务器为实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机所在的物理服务器，则所述下一个节点为所述核心交换机。
222.可选地，所述安全虚拟机对应的网络信息包括所述安全虚拟机所在的物理服务器
的媒体存取控制位mac地址和所述安全虚拟机对应的虚拟交换机的端口号。
223.在本技术所提供的实施例中，应该理解到，以上所描述的安全服务链控制中心实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机存储介质中。
224.例如，在具体实施过程中，如图7所示，所述安全服务链控制中心包括安全服务链管理模块、安全资源拓扑管理模块、安全服务链解析执行引擎、流量分类控制策略分发引擎，其中：
225.安全服务链管理模块用于管理所述安全服务链及所述安全服务链与安全虚拟机的对应关系；例如通过向用户提供可视化界面来配置安全服务链，包括配置安全服务链对应的安全服务处理，调整安全服务处理之间的顺序，维护安全服务链和安全服务处理之间的对应关系。
226.安全资源拓扑管理模块用于管理安全虚拟机的网络信息；包括对物理服务器mac地址管理、安全服务处理与物理服务器对应关系管理、安全虚拟机与物理服务器对应关系管理、安全虚拟机和虚拟交换机的连接端口号对应关系管理；
227.安全服务链解析执行引擎用于根据所述安全服务链和所述安全虚拟机对应的网络信息生成流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略；
228.流量分类控制策略分发引擎用于将流量分类控制器对应的第一引流策略、虚拟交换机对应的第二引流策略和第三引流策略对应下发给所述流量分类控制器和所述虚拟交换机。
229.更进一步地，所述流量分类控制策略分发引擎包括流量分类策略适配器、sdn策略适配器，其中：
230.所述流量分类策略适配器用于将流量分类控制器对应的第一引流策略下发给所述流量分类控制器；
231.所述流量分类控制策略分发引擎中的sdn策略适配器用于将虚拟交换机对应的第二引流策略和第三引流策略对应下发给虚拟交换机。
232.由于所述的安全服务链控制中心的工作原理与所述的安全资源池中基于安全服务链解析的流量分类控制方法基本一致，故可以参见方法的实施，此处不再赘述。
233.基于同一发明构思，本发明实施例还提供了一种流量分类控制器，如图8所示，包括：
234.数据包接收单元u201，用于接收核心交换机传输的数据包；
235.串行引流单元u203，用于确定所述数据包与第一引流策略匹配时，将所述数据包
中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述第一虚拟交换机所在的物理服务器；
236.其中，所述第一引流策略是安全服务链控制中心根据用户设置的安全服务链和所述第一虚拟交换机对应的网络信息生成并下发给所述流量分类控制器的引流策略。
237.可选地，所述流量分类控制器还包括：
238.流量分类单元u202，用于判断所述数据包属于南北向流量或东西向流量；
239.旁路引流单元u204，用于确定所述数据包属于东西向流量时，将东西向流量的数据包解封装及解密后分发给旁路安全设备所在的物理服务器。
240.可选地，确定所述数据包属于南北向流量或东西向流量，包括：
241.根据所述数据包的虚拟局域网身份标识符vlan id或虚拟拓展局域网身份标识符vxlan id，确定所述数据包属于南北向流量或东西向流量。
242.可选地，根据下列方式中至少一项的结果为相同确定所述数据包与第一引流策略匹配：
243.判断所述数据包中的vlan id与所述第一引流策略中配置的vlan id是否相同；
244.判断所述数据包中的vxlan id与所述第一引流策略中配置的vxlan id是否相同；
245.判断所述数据包中的网际互连协议ip地址与所述第一引流策略中配置的ip是否相同。
246.可选地，将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息，包括：
247.将所述数据包中的接收端mac地址修改为所述第一引流策略指示的第一虚拟交换机所在的物理服务器的mac地址。
248.在本技术所提供的实施例中，应该理解到，以上所描述的流量分类控制器实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机存储介质中。
249.在具体实施过程中，如图9所示，所述流量分类控制器包括流量数据收发模块和安全服务链流量分发模块，其中：
250.流量数据收发模块用于接收核心交换机传输的数据包，和将数据包转发至安全资源池物理交换机；
251.安全服务链流量分发模块包括流量分类引擎、流量复制引擎、串行服务链处理引擎、协议解封装引擎、安全套接字协议(secure sockets layer，ssl)卸载引擎、旁路服务链处理引擎；
252.流量分类引擎用于判断所述数据包属于南北向流量或东西向流量；
253.流量复制引擎用于对南北向流量的所述数据包进行复制；
254.串行服务链处理引擎用于将所述数据包中的网络信息修改为所述第一引流策略指示的第一虚拟交换机的网络信息；
255.协议解封装引擎应用对所述东西向流量的数据包进行解封装；
256.ssl卸载引擎用于对所述东西向流量的数据包进行解密；
257.旁路服务链处理引擎用于将所述东西向流量的数据包分发给旁路安全设备所在的物理服务器。
258.由于所述的流量分类控制器的工作原理与所述的安全资源池中基于安全服务链解析的流量分类控制方法基本一致，故可以参见方法的实施，此处不再赘述。
259.基于同一发明构思，本发明实施例还提供了一种物理服务器，如图10所示，包括：
260.安全服务配置单元u301，用于与根据云安全管理平台的指示创建至少一个安全虚拟机，并创建与所述安全虚拟机连接的虚拟交换机；其中所述云安全管理平台是根据安全服务链控制中心的调用向所述物理服务器进行指示，所述安全服务链控制中心是根据用户配置的安全服务链调用所述云安全服务管理平台；所述安全服务链用于指示数据包在所述安全资源池中需要依次进行的安全服务处理，每个安全虚拟机用于实现所述安全服务链指示的一个安全服务处理；
261.流量引入单元u302，用于通过所述虚拟交换机接收安全资源池交换机转发的数据包，确定所述数据包匹配第二引流策略后，根据所述第二引流策略将所述数据包发送给对应的安全虚拟机；通过所述安全虚拟机对所述虚拟交换机发送的数据包进行安全服务处理后，将所述数据包返回给所述虚拟交换机；
262.流量引出单元u303，用于通过所述虚拟交换机确定所述数据包匹配第三引流策略后，将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息后，将所述数据包转发至安全资源池物理交换机；以使所述安全资源池物理交换机将所述数据包发送给所述下一个节点；
263.其中，所述第二引流策略和所述第三引流策略是所述安全服务链控制中心根据用户设置的安全服务链和所述安全服务链对应的安全虚拟机对应的网络信息生成并下发给所述虚拟交换机的。
264.可选地，若所述物理服务器没有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为实现下一个安全服务处理的安全虚拟机对应的虚拟交换机；
265.若所述物理服务器有用于实现所述安全服务链指示的最后一个安全服务处理的安全虚拟机，则所述下一个节点为核心交换机。
266.可选地，根据下列方式中至少一项的结果为相同确定所述数据包匹配所述第二引流策略/所述第三引流策略：
267.判断所述数据包中的vlan id与所述第二引流策略/所述第三引流策略中配置的vlan id是否相同；
268.判断所述数据包中的虚拟拓展局域网vxlan id与所述第二引流策略/所述第三引流策略中配置的vxlan id是否相同；
269.判断所述数据包中的ip地址与所述第二引流策略/所述第三引流策略中配置的ip是否相同；
270.判断所述数据包进入至虚拟交换机的端口号与所述第二引流策略/所述第三引流策略中配置的端口号是否相同。
271.可选地，通过所述虚拟交换机将所述数据包中的网络信息修改为所述第三引流策略指示的下一个节点的网络信息，包括：
272.通过所述虚拟交换机将所述数据包中的接收端mac地址修改为所述第三引流策略指示的下一个节点的所在的物理服务器的mac地址。
273.可选地，通过所述虚拟交换机根据所述第二引流策略将所述数据包发送给对应的安全虚拟机，包括：
274.通过所述虚拟交换机根据所述第二引流策略将所述数据包通过所述第二引流策略指示的虚拟交换机端口发送给对应的安全虚拟机。
275.在本技术所提供的实施例中，应该理解到，以上所描述的物理服务器实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机存储介质中。
276.由于所述的物理服务器的工作原理与所述的安全资源池中基于安全服务链解析的流量分类控制方法基本一致，故可以参见方法的实施，此处不再赘述。
277.基于同一发明构思，本发明实施例还提供了一种电子设备，如图11所示，包括：处理器和用于存储所述处理器可执行指令的存储器；
278.其中，所述处理器被配置为执行所述指令，以实现所述的应用于安全服务链控制中心的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于流量分类控制器的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于物理服务器的安全资源池中基于安全服务链解析的流量分类控制方法。
279.在具体实施过程中，所述设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器110、存储器120、计算机可读存储介质130，所述存储器120和/或计算机可读存储介质130中包括一个或一个以上应用程序131或数据132。所述存储器120和/或计算机可读存储介质130中还可以包括一个或一个以上操作系统133，例如windows、mac os、linux、ios、android、unix、freebsd等。其中，存储器120和计算机可读存储介质130可以是短暂存储或持久存储。所述应用程序131可以包括一个或一个以上所述模块(图11中未示出)，每个模块可以包括一系列指令操作。更进一步地，处理器110可以设置为与计算机可读存储介质130通信，在所述设备上执行存储介质130中的一系列指令操作。所述设备还可以包括一个或一个以上电源(图11中未示出)；一个或一个以上网络接口140，所述网络接
口140包括有线网络接口141和/或无线网络接口142；一个或一个以上输入/输出接口143。
280.基于同一发明构思，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被用于实现所述的应用于安全服务链控制中心的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于流量分类控制器的安全资源池中基于安全服务链解析的流量分类控制方法，或者实现所述的应用于物理服务器的安全资源池中基于安全服务链解析的流量分类控制方法。
281.本发明实施例提供的安全资源池中基于安全服务链解析的流量分类控制方法，在不采用sdn物理交换机的前提下，实现了根据细粒度软件定义的安全服务链，控制流量进入安全资源池交换机后，向安全资源池中的物理服务器进行流量分发。避免了sdn物理交换机支持的软件定义的安全服务链细粒度流量引流在大型复杂网络环境中可能导致的流表项目不够用的问题，系统能够支持更多的安全服务链下发和同时使用。同时，由于方案没有采用sdn物理交换机，可以采用普通的二层交换机进行数据包转发，降低了成本。
282.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
283.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
284.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
285.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
286.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。