CN102801729B - 虚拟机报文转发方法、网络交换设备及通信*** - Google Patents
虚拟机报文转发方法、网络交换设备及通信*** Download PDFInfo
- Publication number
- CN102801729B CN102801729B CN201210287044.8A CN201210287044A CN102801729B CN 102801729 B CN102801729 B CN 102801729B CN 201210287044 A CN201210287044 A CN 201210287044A CN 102801729 B CN102801729 B CN 102801729B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- logical channel
- message
- switching equipment
- network switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟机报文转发方法、网络交换设备及通信***。该方法包括:网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文;若所述虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,并仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。本发明提供的虚拟机报文转发方法、网络交换设备及通信***,实现了多通道技术中的逻辑通道有效隔离。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种虚拟机报文转发方法、网络交换设备及通信***,属于通信技术领域。
背景技术
虚拟机的出现使数据中心网络接入层出现了虚拟以太桥(Virtual EthernetBridge,VEB)的概念。目前服务器虚拟化环境中最常见的部署在虚拟机监视器(Virtual Machine Monitor,VMM)中的“VSwitch”就是一种软件VEB。图1为VEB的虚拟机报文发送流程的示意图,如图1所示,当报文的目的MAC地址在外部网络时,VSwitch直接将报文从物理网卡发向外部网络以太网交换机;当报文目的MAC地址是连接在相同VSwitch上的虚拟机(VM)时,则VSwitch通过静态MAC表来转发报文。
IEEE数据中心桥接(Data Center Bridging,DCB)任务组正在制定一套新标准-802.1Qbg边缘虚拟以太桥(Edge Virtual Bridging,EVB)。EVB标准是将虚拟以太网端口聚合器(Virtual Ethernet Port Aggregator,VEPA)作为基本实现方案。图2为VEPA的虚拟机报文发送流程的示意图,如图2所示,虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理,即使同一台服务器的虚拟机间流量,也将发往外部物理交换机进行查表处理,之后再180度掉头返回到服务器上,形成了所谓的“发卡弯”转发模式。
另外,EVB标准还定义了“多通道技术(Multichannel Technology)”,目的是实现传统VSwitch、VEPA和直接输入输出(Director IO)(一种硬件VEB)的混和部署方案。多通道技术将交换机端口或网卡划分为多个逻辑通道,并且各通道间逻辑隔离。每个逻辑通道可由用户根据需要定义成VEB、VEPA或Dircetor IO的任何一种。
基于现有的虚拟化的服务器和外部接入网络交换机实现多通道技术时,即使在同一台虚拟化的服务器上同时部署VEB、VEPA和Director IO三种虚拟机输入输出(IO)模式,但当虚拟机报文发送至外部接入网络交换机时,由于外部接入网络交换机无法区分不同IO模式的虚拟机,未实现不同模式的虚拟机的逻辑通道的隔离,使得任意虚拟机之间通过交换机转发报文,能够相互通信,造成严重的安全隐患。
发明内容
针对现有技术中存在的缺陷,本发明提供一种虚拟机报文转发方法、网络交换设备及通信***,以使得网络交换设备在实现多通道技术时,对不同逻辑通道进行有效隔离,提高网络安全性。
根据本发明的一方面,提供一种虚拟机报文转发方法,包括:
网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
若所述虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,并仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
根据本发明的一方面,提供一种网络交换设备,包括:
封装报文获取模块,用于获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
逻辑通道信息获取模块,用于若所述虚拟机报文的目的虚拟机为网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
合法性校验模块,用于根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验;
解封装模块,用于仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
根据本发明的一方面,提供一种通信***,包括本发明提供的网络交换设备,以及与所述网络交换设备关联的虚拟机。
根据本发明提供的虚拟机报文转发方法、网络交换设备及通信***,当存在待转发至网络交换设备所关联的虚拟机的虚拟机报文时,网络交换设备根据虚拟机报文的源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对虚拟机报文进行合法性校验,并仅当校验合法时,执行对虚拟机报文的转发,实现源虚拟机与目的虚拟机之间的通信,从而使得网络交换设备在实现多通道技术时,能够对不同逻辑通道进行有效隔离,根据虚拟机对应的逻辑通道来限制不同虚拟机之间的通信,避免了由于任意虚拟机之间转发报文所带来的安全隐患,提高了网络安全性。
附图说明
图1为VEB的虚拟机报文发送流程的示意图。
图2为VEPA的虚拟机报文发送流程的示意图。
图3为本发明一个实施例的虚拟机报文转发方法的流程示意图。
图4为用于实现本发明实施例的通信***的一个示例的架构图。
图5为本发明实施例中实现虚拟机报文转发的通信过程示意图。
图6为多通道标签的一个示意图。
图7为本发明一个实施例的网络交换设备的结构示意图。
具体实施方式
本发明实施例的虚拟机报文转发方法由网络交换设备来执行,该网络交换设备例如为交换机和路由器等,本发明中不做限制。
实施例一
图3为本发明一个实施例的虚拟机报文转发方法的流程示意图。如图3所示,该虚拟机报文转发方法包括:
步骤301,网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
步骤302,若所述虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
步骤303,所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,并仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
具体地,网络交换设备为支持多种通信模式的虚拟机的通信,将自身的通信端口划分为多个逻辑通道,并且建立了各逻辑通道对应的逻辑通道模式(例如为VEB、VEPA等)以及各逻辑通道模式的通信规则,例如,VEB模式的逻辑通道,仅允许通信模式为VEB的虚拟机之间进行通信。各虚拟机均具有一个对应的逻辑通道信息,用于标识虚拟机对应的逻辑通道模式,例如,该逻辑通道信息可以是支持虚拟机的通信模式的逻辑通道模式的标识。
网络交换设备所获取的封装有源虚拟机的逻辑通道信息的虚拟机报文,既可以是从其它网络交换设备接收到的,也可以是该网络交换设备自身封装的,本实施例中对此不进行限制。
网络交换设备对该虚拟机报文进行解析,提取出所封装的源虚拟机的逻辑通道信息,并且获取该虚拟机报文所携带的目的虚拟机的标识,例如为目的虚拟机的MAC地址。网络交换设备能够获知自身关联的各虚拟机的标识,通过将虚拟机报文的目的虚拟机的标识与自身所关联的各虚拟机的标识进行比较,即可获知该虚拟机报文的目的虚拟机是否为自身关联的虚拟机。其中,网络交换设备所关联的虚拟机,是指部署在与网络交换设备连接的虚拟化的服务器中的虚拟机。
若虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则网络交换设备根据目的虚拟机的标识,获取目的虚拟机的逻辑通道信息。更为具体地,网络交换设备例如预先获取自身关联的各虚拟机的逻辑通道信息,并存储所述各虚拟机的标识与所述逻辑通道信息的映射关系。当需获取目的虚拟机的逻辑通道信息,根据目的虚拟机的标识,从已存储的多个映射关系中,查找对应的逻辑通道信息即可。此外,与网络交换设备关联的各虚拟机的逻辑通道信息也可以存储在独立于网络交换设备的任意其它设备中,当网络交换设备需获取目的虚拟机的逻辑通道信息,根据目的虚拟机的标识,对相应的设备发起查询请求,以获取目的虚拟机的逻辑通道信息。
网络交换设备在获取虚拟机报文的目的虚拟机的逻辑通道信息后,将目的虚拟机的逻辑通道信息与源虚拟机的逻辑通道信息进行比较,以对虚拟机报文进行合法性检验,即判断是否允许源虚拟机与目的虚拟机之间进行通信。
例如:源虚拟机的逻辑通道信息指示源虚拟机对应的逻辑通道模式为VEB模式,且VEB模式仅允许均为VEB模式的虚拟机之间进行通信;目的虚拟机的逻辑通道信息指示目的虚拟机对应的逻辑通道模式为VEPA模式,且VEPA模式仅允许均为VEPA模式的虚拟机之间进行通信。因此,根据目的虚拟机的逻辑通道信息和源虚拟机的逻辑通道信息,即可判定该源虚拟机与该目的虚拟机之间的通信是不合法的,即该虚拟机报文是不合法的,此时网络设备将虚拟机报文丢弃,不进行转发。
再例如:源虚拟机的逻辑通道信息指示源虚拟机对应的逻辑通道模式为VEB模式,且目的虚拟机的逻辑通道信息也指示目的虚拟机对应的逻辑通道模式为VEB模式,因此可判定该源虚拟机与该目的虚拟机之间的通信是合法的,即该虚拟机报文是合法的,此时网络设备对虚拟机报文所封装的源虚拟机的逻辑通道信息进行解封装,并发送至目的虚拟机。
上文中,仅以一个简单示例为例进行说明。此外,虚拟机的逻辑通道信息也可包括其它用于进行合法性校验的信息,例如,网络设备可根据需要对虚拟机进行分组,并将能够进行通信的虚拟机划分为同一组,此种场景下逻辑通道信息可包括虚拟机组标识,相应地,在合法性校验过程中,还需基于虚拟机组标识进行校验。针对此种场景的具体处理流程,在后续实施例中进行说明。
根据本实施例的虚拟机报文转发方法,当存在待转发至网络交换设备所关联的虚拟机的虚拟机报文时,网络交换设备根据虚拟机报文的源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对虚拟机报文进行合法性校验,并仅当校验合法时,执行对虚拟机报文的转发,实现源虚拟机与目的虚拟机之间的通信,从而使得网络交换设备在实现多通道技术时,能够对不同逻辑通道进行有效隔离,根据虚拟机对应的逻辑通道来限制不同虚拟机之间的通信,避免了由于任意虚拟机之间转发报文所带来的安全隐患,提高了网络安全性。
实施例二
进一步地,在上述实施例的虚拟机报文转发方法中,所述根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息,之前还包括:
所述网络交换设备获取自身关联的各虚拟机的逻辑通道信息,并存储所述各虚拟机的标识与所述逻辑通道信息的映射关系。
本实施例中,以一个具体场景为例,对网络交换设备获取自身关联的各虚拟机的逻辑通道信息的过程,进行详细说明。
图4为用于实现本发明实施例的通信***的一个示例的架构图。如图4所示,包括虚拟化服务器、虚拟化管理服务器、网络代理以及外部接入网络交换机。其中,该外部接入网络交换机为执行上述实施例的虚拟机报文转发方法的网络交换设备;虚拟化服务器中部署有VEB模式、VEPA模式和DirectIO模式的多个虚拟机;虚拟化管理服务器与虚拟化服务器连接,用于管理虚拟化服务器的虚拟机资源;网络代理与虚拟化管理服务器和外部接入网络交换机连接。
虚拟化管理服务器在虚拟化服务器中创建第一虚拟机VM1、第二虚拟机VM2、第三虚拟机VM3、第四虚拟机VM4和第五虚拟机VM5;各虚拟机的MAC地址分别为MAC1、MAC2、MAC3、MAC4和MAC5。虚拟化管理服务器分别为每个虚拟机创建虚拟网卡并设置通信模式,如图4所示,第一虚拟机VM1的虚拟网卡设置为Direct IO模式,第二虚拟机VM2和第三虚拟机VM3的虚拟网卡设置为VEPA模式,第四虚拟机VM4和第五虚拟机VM5的虚拟网卡设置为VEB模式。虚拟化管理服务器中存储第一虚拟机VM1-第五虚拟机VM5的相关信息。
网络代理利用虚拟化管理服务器对外提供的管理接口,登录虚拟化管理服务器,并获取虚拟机信息,包括虚拟机标识(例如为VM1)、虚拟机的MAC地址、虚拟机的虚拟网卡、通信模式设置,还可包括虚拟机的状态信息(例如为开启状态或关闭状态等)等。网络代理获取虚拟机的相关信息后,进行虚拟机的通道信息的整合,根据通信需求和预先定义的逻辑通道模式的规则,创建各虚拟机的逻辑通道信息,该逻辑通道信息例如包括逻辑通道模式标识和虚拟机组标识。其中,逻辑通道模式标识用于标识虚拟机所属的逻辑通道模式,不同的逻辑通道模式具有不同的通信规则;虚拟机组标识用于标识虚拟机所属的虚拟机组,只有分组内的成员(即同一虚拟机组内的虚拟机)可以进行相互通信。
表1为逻辑通道模式的规则定义表。如表1所示,预先定义四种逻辑通道模式,分别为逻辑通道0(Channel 0)、逻辑通道1(Channel 1)、逻辑通道2(Channel 2)和逻辑通道3(Channel 3)。其中,逻辑通道模式标识为“0”的Channel 0,是Direct IO模式,在该模式下,只允许同一分组内成员互访,不允许不同通信模式但同一分组的成员间互访;逻辑通道模式标识为“1”的Channel 1,是VEB模式,在该模式下,只允许同一分组内成员互访,不允许不同通信模式但同一分组的成员间互访;逻辑通道模式标识为“2”的Channel1,是VEPA模式,在该模式下,只允许同一分组内成员互访,不允许不同通信模式但同一分组的成员间互访;逻辑通道模式标识为“3”的Channel 3,是混合(MIX)模式,在该模式下,允许相同模式或不同模式但分组信息一致的成员互访,不允许不同分组成员间互访。网络代理例如根据业务需求,将第一虚拟机VM1和第五虚拟机VM5作为同一分组中的成员,划分在第一虚拟机组Group 1中,由于第一虚拟机组Group 1中包括了不同模式的虚拟机,所以将第一虚拟机组Group 1的逻辑通道模式设置为MIX模式,即Channel 3。
表1
网络代理创建各虚拟机的逻辑通道信息后,将各虚拟机的逻辑通道信息发送给外部接入网络交换机,并将逻辑通道信息转化成相应的内部配置,使设置生效。
外部接入网络交换机获取到虚拟机的逻辑通道信息后,利用虚拟机的逻辑通道信息对出入其端口的虚拟机报文进行相应操作,即:对来自第一虚拟机VM1-第五虚拟机VM5的虚拟机报文,封装相应的逻辑通道信息;对于发往第一虚拟机VM1-第五虚拟机VM5的报文,则解封装掉已封装的逻辑通道信息,还原虚拟机报文后发送对应的虚拟机。
本实施例的虚拟机报文转发方法中,虽然以由网络代理通过对虚拟机的相关信息进行融合,根据业务需求创建各虚拟机的逻辑通道信息,并将其提供给网络交换设备为例进行说明,但其并非用作对本发明技术方案的限制,本实施例中网络代理创建虚拟机的逻辑通道信息的过程,可以由网络交换设备来执行,即:网络交换设备可以接收外部设备提供的虚拟机的逻辑通道信息,也可根据虚拟化服务器中虚拟机的实际配置,以及虚拟机之间通信的业务需求,生成虚拟机的逻辑通道信息。
实施例三
在上述实施例的基础上,本实施例中,对网络交换设备执行的封装、解封装操作过程进行扩展说明。
具体地,图5为本发明实施例中实现虚拟机报文转发的通信过程示意图。图5中以实现关联在不同网络交换设备的虚拟机之间转发虚拟机报文为例,对虚拟机报文转发的通信过程进行说明。在图5中,假设第一网络交换设备SW1与第一虚拟化服务器连接,且第二网络交换设备SW2与第二虚拟化服务器连接,其中,第一网络交换设备SW1和第二网络交换设备SW2均能够执行本发明实施例的虚拟机报文转发方法。如图5所示,包括以下步骤:
步骤501,第一虚拟化服务器中的虚拟机向第一网络交换设备SW1发送虚拟机报文;
步骤502,第一网络交换设备SW1接收到虚拟机报文后,根据该虚拟机报文的源虚拟机的逻辑通道信息,为该虚拟机报文封装一个含有逻辑通道信息的标签,该标签符合802.1协议,例如定义为多通道标签(Multichannel TAG,M-TAG),并根据虚拟机报文的目的虚拟机,将封装有M-TAG的虚拟机报文通过网络发送至第二网络交换设备SW2;
具体地,图6为多通道标签的一个示意图。如图6所示,M-TAG包括四个字段:标签类型(EtherType)字段、优先权(PRI)字段、逻辑信道模式(ChannelMode,CM)字段和虚拟机组标识(Group ID)字段。其中,EtherType字段用于标识标签类型,遵循802.1q定义,默认为0x8100;PRI字段用于标识优先级,遵循802.1q定义,取值范围为0-7,该字段的具体取值可根据原虚拟机报文所携带的优先级信息进行设置;CM字段为逻辑通道模式标识,来自源虚拟机的逻辑通道信息,取值为0-3;Group ID字段为虚拟机组标识,来自源虚拟机的逻辑通道信息,取值为1-1023。
步骤503,第二网络交换设备SW2接收到封装有M-TAG的虚拟机报文,进行报文解析,识别出该虚拟机报文携带的M-TAG;获取目的虚拟机的逻辑通道信息,根据M-TAG所携带的源虚拟机的逻辑通道信息,和目的虚拟机的逻辑通道信息,进行合法性校验;若合法,则对封装有M-TAG的虚拟机报文进行解封装(即剥离M-TAG),并将解封装后的虚拟机报文发送给第二虚拟化服务器;若不合法,则丢弃报文。
根据本实施例的虚拟机报文转发方法,在执行虚拟机报文转发时,通过由虚拟机源虚拟机对应的网络交换设备,在虚拟机报文上封装源虚拟机的逻辑通道信息,并将封装后的报文发送至目的虚拟机对应的网络交换设备;目的虚拟机对应的网络交换设备接收到封装有源虚拟机的逻辑通道信息的虚拟机报文后,利用源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对该虚拟机报文进行合法性校验,并仅当校验合法时,对该虚拟机报文进行解封装并发送至目的虚拟机,从而实现了利用不同网络交换设备来转发虚拟机报文时,保持不同逻辑通道之间的隔离,提高网络安全性。
进一步地,在上述过程中,虽然以源虚拟机和目的虚拟机关联不同的网络交换设备为例,进行说明,但在实际应用中,源虚拟机和目的虚拟机也可以关联相同的网络交换设备。在这种场景下,封装和解封装均由同一网络交换设备来执行,即上述实施例一中提及的网络交换设备所获取的封装有源虚拟机的逻辑通道信息的虚拟机报文,是由自身进行封装获得的。
实施例四
在上述实施例的基础上,本实施例中,对网络交换设备对虚拟机报文进行合法性校验的过程进行扩展说明。
具体地,在上述实施例的虚拟机报文转发方法中,网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,具体包括:
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识相同,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,若是,则判定所述虚拟机报文合法,若否,则判定所述虚拟机报文不合法;
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识不同,则判断所述目的虚拟机的逻辑通道模式标识对应的逻辑通道模式,是否允许具有不同逻辑通道模式的虚拟机之间的通信;若否,则判定所述虚拟机报文不合法,若是,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,并当判断结果为相同时,判定所述虚拟机报文合法,否则,判定所述虚拟机报文不合法。
具体地,表2示出了源虚拟机和目的虚拟机的逻辑通道模式标识对应的校验结果。如表2所示,包括以下七种情形:
情形一、若源虚拟机的逻辑通道模式标识为“0”,目的虚拟机的逻辑通道模式标识为“0”或“3”,则继续执行分组校验,若源虚拟机的Group ID与目的虚拟机的Group ID相同,则判定合法,若不相同,则判定不合法,丢弃报文;
情形二、若源虚拟机的逻辑通道模式标识为“0”,目的虚拟机的逻辑通道模式标识为“1”或“2”,则判定不合法,丢弃报文;
情形三、若源虚拟机的逻辑通道模式标识为“1”,目的虚拟机的逻辑通道模式标识为“1”或“3”,则继续执行分组校验,若源虚拟机的Group ID与目的虚拟机的Group ID相同,则判定合法,若不相同,则判定不合法,丢弃报文;
情形四、若源虚拟机的逻辑通道模式标识为“1”,目的虚拟机的逻辑通道模式标识为“0”或“2”,则判定不合法,丢弃报文;
情形五、若源虚拟机的逻辑通道模式标识为“2”,目的虚拟机的逻辑通道模式标识为“2”或“3”,则继续执行分组校验,若源虚拟机的Group ID与目的虚拟机的Group ID相同,则判定合法,若不相同,则判定不合法,丢弃报文;
情形六、若源虚拟机的逻辑通道模式标识为“2”,目的虚拟机的逻辑通道模式标识为“0”或“1”,则判定不合法,丢弃报文;
情形七、若源虚拟机的逻辑通道模式标识为“3”,目的虚拟机的逻辑通道模式标识为“0”-“3”中任意一个,均继续执行分组校验,若源虚拟机的Group ID与目的虚拟机的Group ID相同,则判定合法,若不相同,则判定不合法,丢弃报文。
表2
源虚拟机 | 目的虚拟机 | 校验动作 |
0(Direct IO模式) | 0,3 | 继续执行分组校验; |
0(Direct IO模式) | 1,2 | 报文丢弃 |
1(VEPA模式) | 1,3 | 继续执行分组校验; |
1(VEPA模式) | 0,2 | 报文丢弃 |
2(VEB模式) | 2,3 | 继续执行分组校验; |
2(VEB模式) | 0,1 | 报文丢弃 |
3(MIX模式) | 0-3 | 继续执行分组校验 |
根据本实施例的虚拟机报文转发方法,根据虚拟机的逻辑通道模式以及虚拟机的虚拟机组标识进行校验,校验过程简捷,并且有效实现了各虚拟机间的访问为受控访问,符合虚拟机的逻辑通道的配置、逻辑通道的规则以及根据业务需求所划分的虚拟机组的要求。
实施例五
图7为本发明一个实施例的网络交换设备的结构示意图。如图7所示,该网络交换设备包括:
封装报文获取模块71,用于获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
逻辑通道信息获取模块72,用于若所述虚拟机报文的目的虚拟机为网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
合法性校验模块73,用于根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验;
解封装模块74,用于仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
本实施例的网络交换设备转发虚拟机报文的具体流程,与上述任一实施例的虚拟机报文转发方法相同,故此处不再赘述。
在实际的通信***中,该网络交换设备例如为网卡、交换机和路由器等。
根据本实施例的网络交换设备,当存在待转发至网络交换设备所关联的虚拟机的虚拟机报文时,网络交换设备根据虚拟机报文的源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对虚拟机报文进行合法性校验,并仅当校验合法时,执行对虚拟机报文的转发,实现源虚拟机与目的虚拟机之间的通信,从而使得网络交换设备在实现多通道技术时,能够对不同逻辑通道进行有效隔离,根据虚拟机对应的逻辑通道来限制不同虚拟机之间的通信,避免了由于任意虚拟机之间转发报文所带来的安全隐患,提高了网络安全性。
进一步地,在上述实施例的网络交换设备中,所述封装报文获取模块具体包括:
第一接收单元,用于接收所述网络交换设备接收经由所述源虚拟机对应的网络交换设备转发的虚拟机报文,所述虚拟机报文由所述源虚拟机对应的网络交换设备封装所述源虚拟机的逻辑通道信息;
或者,包括第二接收单元和封装单元,其中:
所述第二接收单元,用于接收未封装有源虚拟机的逻辑通道信息的虚拟机报文;
所述封装单元用于若所接收的虚拟机报文的源虚拟报文为所述网络交换设备关联的虚拟机,则将所述源虚拟机对应的逻辑通道信息,封装至所接收的虚拟机报文。
进一步地,在上述实施例的网络交换设备中,还包括:
外部转发模块,用于若所述虚拟机报文的目的虚拟机不为所述网络交换设备关联的虚拟机,则将所述虚拟机报文,发送至所述目的虚拟机关联的网络交换设备。
进一步地,在上述实施例的网络交换设备中,所述逻辑通道信息获取模块还用于获取所述网络交换设备关联的各虚拟机的逻辑通道信息,并存储所述各虚拟机的标识与所述逻辑通道信息的映射关系。
进一步地,在上述实施例的网络交换设备中,所述各虚拟机的逻辑通道信息包括逻辑通道模式标识和虚拟机组标识;
相应地,所述合法性校验模块具体用于:若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识相同,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,若是,则判定所述虚拟机报文合法,若否,则判定所述虚拟机报文不合法;
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识不同,则判断所述目的虚拟机的逻辑通道模式标识对应的逻辑通道模式,是否允许具有不同逻辑通道模式的虚拟机之间的通信;若否,则判定所述虚拟机报文不合法,若是,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,并当判断结果为相同时,判定所述虚拟机报文合法,否则,判定所述虚拟机报文不合法。
进一步地,在上述实施例的网络交换设备中,所述逻辑通道模式包括直接输入输出Director IO模式、虚拟以太桥VEB模式、虚拟以太网端口聚合器VEPA模式和混合模式,其中:
所述Director IO模式,仅允许逻辑通道模式标识为Director IO模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEB模式,仅允许逻辑通道模式标识为VEB模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEPA模式,仅允许逻辑通道模式标识为VEPA模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述混合模式,仅允许具有相同或不同逻辑通道模式、但具有相同虚拟机组标识的虚拟机之间的通信。
根据上述实施例的网络交换设备,根据虚拟机的逻辑通道模式以及虚拟机的虚拟机组标识对虚拟机报文进行合法性校验,校验过程简捷,并且有效实现了各虚拟机间的访问为受控访问,符合虚拟机的逻辑通道的配置、逻辑通道的规则以及根据业务需求所划分的虚拟机组的要求。
实施例六
本实施例提供一种通信***,包括上述实施例的网络交换设备,以及与网络交换设备关联的虚拟机。
此外,通信***中还可以包括例如实施例二中的虚拟化管理服务器以及网络代理,本实施例中不做限制。
本实施例的通信***中,虚拟机报文转发的具体流程与上述任一实施例的虚拟机报文转发方法相同,故此处不再赘述。
根据本实施例的通信***,当存在待转发至网络交换设备所关联的虚拟机的虚拟机报文时,网络交换设备根据虚拟机报文的源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对虚拟机报文进行合法性校验,并仅当校验合法时,执行对虚拟机报文的转发,实现源虚拟机与目的虚拟机之间的通信,从而使得网络交换设备在实现多通道技术时,能够对不同逻辑通道进行有效隔离,根据虚拟机对应的逻辑通道来限制不同虚拟机之间的通信,避免了由于任意虚拟机之间转发报文所带来的安全隐患,提高了网络安全性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种虚拟机报文转发方法,其特征在于,包括:
网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
若所述虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,并仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机;
所述各虚拟机的逻辑通道信息包括逻辑通道模式标识和虚拟机组标识;
相应地,所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,具体包括:
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识相同,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,若是,则判定所述虚拟机报文合法,若否,则判定所述虚拟机报文不合法;
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识不同,则判断所述目的虚拟机的逻辑通道模式标识对应的逻辑通道模式,是否允许具有不同逻辑通道模式的虚拟机之间的通信;若否,则判定所述虚拟机报文不合法,若是,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,并当判断结果为相同时,判定所述虚拟机报文合法,否则,判定所述虚拟机报文不合法。
2.根据权利要求1所述的虚拟机报文转发方法,其特征在于,所述网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文,具体包括:
所述网络交换设备接收经由所述源虚拟机对应的网络交换设备转发的虚拟机报文,所述虚拟机报文由所述源虚拟机对应的网络交换设备封装所述源虚拟机的逻辑通道信息;或者
所述网络交换设备接收未封装有源虚拟机的逻辑通道信息的虚拟机报文,若所接收的虚拟机报文的源虚拟机为所述网络交换设备关联的虚拟机,则所述网络交换设备将所述源虚拟机对应的逻辑通道信息,封装至所接收的虚拟机报文。
3.根据权利要求1所述的虚拟机报文转发方法,其特征在于,所述网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文,之后还包括:
若所述虚拟机报文的目的虚拟机不为所述网络交换设备关联的虚拟机,则所述网络交换设备将所述虚拟机报文,发送至所述目的虚拟机关联的网络交换设备。
4.根据权利要求1所述的虚拟机报文转发方法,其特征在于,所述根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息,之前还包括:
所述网络交换设备获取自身关联的各虚拟机的逻辑通道信息,并存储所述各虚拟机的标识与所述逻辑通道信息的映射关系。
5.根据权利要求1所述的虚拟机报文转发方法,其特征在于,所述逻辑通道模式包括直接输入输出Director IO模式、虚拟以太桥VEB模式、虚拟以太网端口聚合器VEPA模式和混合模式,其中:
所述Director IO模式的逻辑通道,仅允许逻辑通道模式标识为Director IO模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEB模式的逻辑通道,仅允许逻辑通道模式标识为VEB模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEPA模式的逻辑通道,仅允许逻辑通道模式标识为VEPA模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述混合模式的逻辑通道,仅允许具有相同或不同逻辑通道模式、但具有相同虚拟机组标识的虚拟机之间的通信。
6.一种网络交换设备,其特征在于,包括:
封装报文获取模块,用于获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
逻辑通道信息获取模块,用于若所述虚拟机报文的目的虚拟机为网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
合法性校验模块,用于根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验;
解封装模块,用于仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机;
所述各虚拟机的逻辑通道信息包括逻辑通道模式标识和虚拟机组标识;
相应地,所述合法性校验模块具体用于:若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识相同,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,若是,则判定所述虚拟机报文合法,若否,则判定所述虚拟机报文不合法;
若判断获知所述源虚拟机的逻辑通道模式标识与所述目的虚拟机的逻辑通道模式标识不同,则判断所述目的虚拟机的逻辑通道模式标识对应的逻辑通道模式,是否允许具有不同逻辑通道模式的虚拟机之间的通信;若否,则判定所述虚拟机报文不合法,若是,则判断所述源虚拟机的虚拟机组标识与所述目的虚拟机的虚拟机组标识是否相同,并当判断结果为相同时,判定所述虚拟机报文合法,否则,判定所述虚拟机报文不合法。
7.根据权利要求6所述的网络交换设备,其特征在于,所述封装报文获取模块具体包括:
第一接收单元,用于接收所述网络交换设备接收经由所述源虚拟机对应的网络交换设备转发的虚拟机报文,所述虚拟机报文由所述源虚拟机对应的网络交换设备封装所述源虚拟机的逻辑通道信息;
或者,包括第二接收单元和封装单元,其中:
所述第二接收单元,用于接收未封装有源虚拟机的逻辑通道信息的虚拟机报文;
所述封装单元用于若所接收的虚拟机报文的源虚拟机为所述网络交换设备关联的虚拟机,则将所述源虚拟机对应的逻辑通道信息,封装至所接收的虚拟机报文。
8.根据权利要求6所述的网络交换设备,其特征在于,还包括:
外部转发模块,用于若所述虚拟机报文的目的虚拟机不为所述网络交换设备关联的虚拟机,则将所述虚拟机报文,发送至所述目的虚拟机关联的网络交换设备。
9.根据权利要求6所述的网络交换设备,其特征在于,所述逻辑通道信息获取模块还用于获取所述网络交换设备关联的各虚拟机的逻辑通道信息,并存储所述各虚拟机的标识与所述逻辑通道信息的映射关系。
10.根据权利要求6所述的网络交换设备,其特征在于,所述逻辑通道模式包括直接输入输出Director IO模式、虚拟以太桥VEB模式、虚拟以太网端口聚合器VEPA模式和混合模式,其中:
所述Director IO模式,仅允许逻辑通道模式标识为Director IO模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEB模式,仅允许逻辑通道模式标识为VEB模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述VEPA模式,仅允许逻辑通道模式标识为VEPA模式、且具有相同虚拟机组标识的虚拟机之间的通信;
所述混合模式,仅允许具有相同或不同逻辑通道模式、但具有相同虚拟机组标识的虚拟机之间的通信。
11.一种通信***,其特征在于,包括权利要求6-10任一所述的网络交换设备,以及与所述网络交换设备关联的虚拟机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210287044.8A CN102801729B (zh) | 2012-08-13 | 2012-08-13 | 虚拟机报文转发方法、网络交换设备及通信*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210287044.8A CN102801729B (zh) | 2012-08-13 | 2012-08-13 | 虚拟机报文转发方法、网络交换设备及通信*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102801729A CN102801729A (zh) | 2012-11-28 |
CN102801729B true CN102801729B (zh) | 2015-06-17 |
Family
ID=47200692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210287044.8A Active CN102801729B (zh) | 2012-08-13 | 2012-08-13 | 虚拟机报文转发方法、网络交换设备及通信*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102801729B (zh) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103118149B (zh) * | 2013-03-04 | 2016-06-29 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
CN104219075B (zh) * | 2013-05-31 | 2017-10-24 | 新华三技术有限公司 | 一种基于开放流协议的lacp环路检测方法和装置 |
CN104508632B (zh) * | 2013-07-31 | 2018-03-13 | 华为技术有限公司 | 一种数据转发方法、装置及*** |
US9288135B2 (en) * | 2013-12-13 | 2016-03-15 | International Business Machines Corporation | Managing data flows in software-defined network using network interface card |
CN103825796A (zh) * | 2014-02-28 | 2014-05-28 | 神州数码网络(北京)有限公司 | 报文交互方法、终端站和网桥 |
CN105099953B (zh) * | 2014-04-28 | 2018-06-19 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
WO2015168946A1 (zh) * | 2014-05-09 | 2015-11-12 | 华为技术有限公司 | 快速输入输出报文处理方法、装置及*** |
CN105227499B (zh) * | 2014-07-03 | 2019-01-18 | 新华三技术有限公司 | 虚拟边缘端口汇聚器控制方法及vepa控制器 |
CN105721359B (zh) * | 2014-12-04 | 2019-11-15 | 中兴通讯股份有限公司 | Vxlan报文传输方法及装置 |
CN104601467B (zh) * | 2014-12-31 | 2018-03-13 | 华为技术有限公司 | 一种发送报文的方法和装置 |
WO2016106718A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种网络控制方法与虚拟交换机 |
CN106330585A (zh) * | 2015-06-29 | 2017-01-11 | 中兴通讯股份有限公司 | 流量监控方法、装置及*** |
CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护***及方法 |
CN107819811B (zh) * | 2016-09-14 | 2021-05-18 | 阿里巴巴集团控股有限公司 | 数据通信方法、装置及设备 |
CN107231316B (zh) * | 2017-06-27 | 2020-03-13 | 中国联合网络通信集团有限公司 | 报文的传输方法及装置 |
CN109905283A (zh) * | 2017-12-07 | 2019-06-18 | ***通信集团公司 | 一种流量统计方法、装置及计算机可读存储介质 |
CN109194742B (zh) * | 2018-09-04 | 2021-07-02 | 郑州云海信息技术有限公司 | 一种虚拟机控制台的连接方法、装置及存储介质 |
CN111865801B (zh) * | 2019-04-24 | 2021-10-22 | 厦门网宿有限公司 | 一种基于Virtio端口传输数据的方法和*** |
CN114765631A (zh) * | 2021-01-14 | 2022-07-19 | 华为技术有限公司 | 数据传输***、数据传输方法以及网络设备 |
CN113132969B (zh) * | 2021-03-03 | 2024-04-12 | 翱捷科技股份有限公司 | 一种多卡手机实现多个虚拟独立电话***的方法及装置 |
CN113098774B (zh) * | 2021-03-25 | 2023-01-03 | 北京金山云网络技术有限公司 | 一种报文转发方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102394831A (zh) * | 2011-11-28 | 2012-03-28 | 杭州华三通信技术有限公司 | 基于虚拟机vm迁移的流量不中断方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7174550B2 (en) * | 2003-05-12 | 2007-02-06 | International Business Machines Corporation | Sharing communications adapters across a plurality of input/output subsystem images |
US8700811B2 (en) * | 2010-05-25 | 2014-04-15 | Microsoft Corporation | Virtual machine I/O multipath configuration |
US8819235B2 (en) * | 2010-10-20 | 2014-08-26 | International Business Machines Corporation | Multi-adapter link aggregation for adapters with hardware based virtual bridges |
-
2012
- 2012-08-13 CN CN201210287044.8A patent/CN102801729B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102394831A (zh) * | 2011-11-28 | 2012-03-28 | 杭州华三通信技术有限公司 | 基于虚拟机vm迁移的流量不中断方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102801729A (zh) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102801729B (zh) | 虚拟机报文转发方法、网络交换设备及通信*** | |
CN103873374B (zh) | 虚拟化***中的报文处理方法及装置 | |
CN109660443B (zh) | 基于sdn的物理设备与虚拟网络通信方法和*** | |
CN105284080B (zh) | 数据中心的虚拟网络管理方法及数据中心*** | |
CN103621046B (zh) | 网络通信方法和装置 | |
US9118606B2 (en) | Method and apparatus for simulating IP multinetting | |
CN104685500B (zh) | 在覆盖网络中应用安全性策略的方法和*** | |
CN106685787B (zh) | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 | |
CN108337192B (zh) | 一种云数据中心中报文通信方法和装置 | |
US20140185615A1 (en) | Switch fabric support for overlay network features | |
CN104579695A (zh) | 一种数据转发装置和方法 | |
CN107819663A (zh) | 一种实现虚拟网络功能服务链的方法和装置 | |
CN104506408A (zh) | 基于sdn的数据传输的方法及装置 | |
CN103428094A (zh) | 开放流OpenFlow***中的报文转发方法及装置 | |
CN107395508B (zh) | 转发报文的方法和装置 | |
US20070171904A1 (en) | Traffic separation in a multi-stack computing platform using VLANs | |
CN104410541A (zh) | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 | |
CN110311860B (zh) | Vxlan下多链路负载均衡方法及装置 | |
CN107579898B (zh) | 一种多种容器间互联通信的方法及其装置 | |
CN104012057A (zh) | 用于网络光纤信道网络的灵活且可扩缩的增强的传输选择方法 | |
CN109995639A (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
CN102984043B (zh) | 组播数据流的转发方法及装置 | |
US10423434B2 (en) | Logical port authentication for virtual machines | |
CN106453023A (zh) | 一种用于物理设备与虚拟网络的通信方法、设备与*** | |
CN108259297B (zh) | 一种报文处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Fujian Xingwangruijie Network Co., Ltd. |
|
CP01 | Change in the name or title of a patent holder |