CN103973578A - 一种虚拟机流量重定向的方法及装置 - Google Patents
一种虚拟机流量重定向的方法及装置 Download PDFInfo
- Publication number
- CN103973578A CN103973578A CN201310044891.6A CN201310044891A CN103973578A CN 103973578 A CN103973578 A CN 103973578A CN 201310044891 A CN201310044891 A CN 201310044891A CN 103973578 A CN103973578 A CN 103973578A
- Authority
- CN
- China
- Prior art keywords
- vlan
- layers
- virtual machine
- traffic messages
- send
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/4666—Operational details on the addition or the stripping of a tag in a frame, e.g. at a provider edge node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟机流量重定向的方法及装置。通过修改虚拟交换机功能模块,动态监测同VLAN不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量时,根据预先配置的策略修改虚拟机发送的报文VLAN,实现报文被重定向到外部的网络安全设备,从而实现服务器内部同VLAN不同虚拟机之间的二层流量的安全防护。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种同VLAN不同虚拟机之间的二层流量重定向的方法及装置。
背景技术
数据中心通常包括三个主要的组成部分:计算、网络和存储,这三个部分都在向虚拟化方向发展。其中作为计算资源的服务器的虚拟化是云计算中的核心技术之一,也是目前发展最为成熟的虚拟化技术。传统服务器由于服务器性能和网络通信端口的不匹配等问题导致服务器计算性能可能被闲置。而服务器的虚拟化技术,则可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作***和应用程序,从而有效提升服务器本身硬件资源的利用效率。
然而,虚拟化技术的应用使得传统的网络和服务器的管理边界变得模糊。传统的网络和服务器的管理分别属于不同的运维组织。服务器管理人员仅负责业务、数据安装,而网络管理员负责网络连通及服务器安全防护。但是,虚拟机引入后由于服务器内置了虚拟交换机VSwitch,处于同一VLAN的不同虚拟机之间的二层流量转发将直接通过虚拟交换机VSwitch交换转发,导致目前成熟的安全防护技术无法实施。
发明内容
有鉴于此,本发明提供一种虚拟机流量重定向的方法和装置,以解决上述现有技术中存在的不足。
本发明是通过如下技术方案实现的:
一种虚拟机流量重定向的装置,该装置应用于物理服务器上,其中该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其中所述装置包括:
策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则;
报文监测模块,用于动态监测同VLAN不同虚拟机之间的二层流量报文交互;
虚拟交换模块,用于当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量报文时,根据预先配置的VLAN标签转换规则,将虚拟机发送的二层流量报文中携带的第一VLAN替换为第二VLAN,并将该替换为第二VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
进一步地,所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,按照预定的安全规则对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,将该经过安全处理的二层流量报文携带的第二
VLAN替换为第三VLAN,并将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
进一步地,所述虚拟交换模块接收来自外部网络安全设备的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一VLAN后,根据目的MAC地址对该二层报文进行转发。
进一步地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向二层流量报文中携带的第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
本发明同时还提供一种虚拟机流量重定向的方法,所述方法应用于物理服务器上,其中该物理服务器已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其中所述方法包括:
步骤31,根据预定的策略,通过策略配置模块为同VLAN不同虚拟机之间发送的二层流量报文配置VLAN标签转换规则;
步骤32,通过报文监测模块监测是否存在同VLAN内不同虚拟机之间发送的二层流量报文,如果是,则进行步骤33;
步骤33,根据预设VLAN标签转换规则,通过虚拟交换模块将该二层流量报文中携带的第一VLAN替换为第二VLAN,且对该替换为第二VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
进一步地,在所述步骤33之后,还包括:
所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,并按照预定的安全规则,对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,并将该经过安全处理的二层流量报文携带的第二VLAN替换为第三VLAN,然后将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
进一步地,所述虚拟交换模块接收来自外部网络安全设备发送的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一VLAN后,根据目的MAC地址对该二层报文进行转发。
进一步地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向报文中携带的第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
与现有的技术相比,本发明通过修改虚拟交换机的功能模块,动态监测同VLAN不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量时,根据预先配置的VLAN标签转换规则修改虚拟机发送的报文VLAN,实现该报文被重定向到外部网络安全设备,从而实现服务器同VLAN不同虚拟机之间的二层流量的安全防护处理。
附图说明
图1为典型的物理服务器虚拟化之后的架构示意图。
图2为本发明虚拟机流量重定向的方法流程示意图。
图3为本发明虚拟机流量重定向的装置结构示意图。
具体实施方式
请参考图1,服务器的虚拟化架构是在物理服务器上引入虚拟化层,其是一种中间层虚拟化软件,主要用于创建虚拟机(Virtual Machine,VM),并为虚拟机分配合理的硬件资源,比如CPU中的一个或者多个内核(即CPU中集成的一个或多个完整的计算引擎)分配给虚拟机1等。虚拟机从逻辑功能上看,与传统的物理服务器并无区别,拥有自己的操作***,并可以在操作***之上安装各种应用。在数据中心的物理服务器被广泛虚拟化后,安全问题也就相应产生了。在计算机网络以及软件技术中,任何新增的功能都可能存在安全问题而需要加以考虑。虚拟化软件相当于在已知传统安全威胁(如针对操作***和应用程序的攻击)基础上引入了新的安全威胁。例如:针对虚拟化软件及对应管理平台的漏洞攻击。
在虚拟化环境下,单台物理服务器上的各虚拟机之间可能存在直接的二层流量交换。例如:当管理员将多个虚拟机规划在同一VLAN中时,在某应用场景下,如果虚拟机1和虚拟机2属于同一个VLAN,二者在同一个广播域,此时虚拟机1和虚拟机2之间的通信显然是不需要经过网关设备的。虚拟机1和虚拟机2可以通过ARP协议知晓对方的MAC地址,于是在发送二层报文时,直接使用对方的MAC地址作为其目的MAC地址,虚拟机1和虚拟机2互相通信时发送的报文到达虚拟交换机时,虚拟交换机就可以通过查找MAC地址表执行二层转发。通常这种二层交换并不需要经过外置的二层交换机。管理员对于该部分报文流量既不可控也不可见。
因此,管理员面临的挑战是如何确保虚拟机之间的互相访问符合预定的安全策略。如果该虚拟机之间的访问互访被允许,如何判断这些访问是否存在攻击行为。目前针对上述问题有一些解决方案,比如Cisco公司提出的Cisco802.1BR技术,该技术方案的设计思路是将虚拟机互访报文流量重定向到外部接入交换机或其他网络设备上的外置安全模块进行安全控制。在该方案中,将流量重定向到接入交换机的方式需要同时在Hypervisor层面、服务器网卡层面和接入交换机层面做出修改,具体来说:802.1BR技术需要在hypervisor层面进行重定向修改,并且每一个虚拟机需要有相应的虚拟通道和位于接入交换机上的虚拟端口,需要接入交换机做较大的修改来支持,技术实现难度大。
为此,为实现本发明目的,本发明采用的核心思想为:通过修改虚拟交换机的功能模块,动态监测同VLAN内的不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量,根据预先配置的策略修改虚拟机发送的报文VLAN,实现报文被自然重定向到外部网络安全设备,从而实现服务器内部同VLAN不同虚拟机之间的二层流量的安全防护。
为使本领域技术人员更加清楚和明白,以下结合附图及实施例详细说明本发明的具体实现方式。
请参考图2,为本发明一个实施方式中提供的一种实现虚拟机流量重定向的装置示意图。该装置应用于物理服务器上,其中该物理服务器可采用当前各种流行的硬件架构,包括CPU、内存、存储器以及网卡等基本硬件。另外,该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,所述装置包括:
策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则。
为实现本发明目的,在本发明中,所述VLAN标签转换规则需要管理员根据预定的策略事先在策略配置模块上配置好。其中所述VLAN标签转换规则具体表现为定义了哪些特征的数据流需要转换为哪种标签,定义示例如下表1所示:
表1
报文监测模块,用于动态监测同VLAN内不同虚拟机之间的二层流量报文交互。
虚拟交换模块,用于当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量报文时,则根据预先配置的VLAN标签转换规则,将虚拟机发送的二层流量报文携带的第一VLAN替换为第二VLAN,并将该替换为第二VLAN的报文发送到外部网络安全设备进行安全处理。
具体地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量时,所述虚拟交换模块根据预设的VLAN标签转换规则对虚拟机发送的二层流量报文VLAN(第一VLAN)进行替换,使得该二层流量报文中携带转换后的VLAN(第二VLAN)。经过这样的处理后,原先同VLAN不同虚拟机之间发送的二层流量就变成跨VLAN转发,那么,虚拟交换模块会认为原先同VLAN不同虚拟机之间的通信是三层间的IP通信,需要通过外部的网关设备才能实现。为此,虚拟交换模块会自然地将该二层流量报文发送到外部的网关设备,通过该网关设备将二层流量报文进一步发送到外置的网络安全设备,从而实现服务器内部不同虚拟机之间同VLAN的二层流量的安全防护。
所述外部网络安全设备接收到来自虚拟交换模块发送的二层流量报文后,按照预设的安全规则对该二层流量报文进行安全处理。进一步地,为了避免同VLAN不同虚拟机之间发送的反向二层流量报文不经过网络安全设备的处理直接发送到虚拟机上(因为此时外置的接入交换机可能已学习到正向二层流量报文的MAC地址等信息),在本发明实现方式中,优选地,还需要进一步根据预设的VLAN标签转换规则,对该经过安全处理的二层报文VLAN再次进行替换,其中该替换后的VLAN(第三VLAN)与经安全处理前的VLAN(第二VLAN)以及原始的VLAN(第一VLAN)不一样,并将该经过VLAN(第三VLAN)替换的报文发送给虚拟交换模块。
当所述虚拟交换模块接收到来自网络安全设备的经过安全处理的报文时,将该经过安全处理的报文中携带的VLAN(第三VLAN)替换为原始的VLAN(第一VLAN),然后,通过虚拟交换模块根据该二层报文的目的MAC地址对该二层报文进行转发。
当所述虚拟交换机收到反向报文时,根据标签转换规则将VLAN标签从第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理,由于反向报文的转发流程同正向报文的一致,在此不赘述。
下面以上述表1所示的VLAN标签转换规则为例进行说明。假设在某一应用场景下,所述报文监测模块监测到VLAN100内不同虚拟机(VM1发送到VM2)之间的二层流量到达时,此时需要根据预设的VLAN标签转换规则,将该二层流量的VLAN标签由100修改为10,然后通过虚拟交换模块经由外置接入交换机发送到网络安全设备进行安全处理。
进一步地,为了避免同VLAN不同虚拟机之间发送的反向二层流量报文(即VM2发送给VM1的VLAN为100的二层流量报文)不经过网络安全设备的处理直接发送到虚拟机上,所述外部网络安全设备需要根据预设的VLAN标签转换规则,将该经过安全处理的二层流量的VLAN标签由10替换为20,所述虚拟交换模块接收到携带有VLAN20的报文后,进一步将该VLAN20修改为100,然后,根据该二层报文的目的MAC地址对该二层报文进行转发。
当所述虚拟交换机收到反向报文时,根据标签转换规则将VLAN标签从第一VLAN100替换为第三VLAN20,确保反向报文同样经过外部网络安全设备处理,由于反向报文的转发流程同正向报文的一致,在此不赘述。进一步请参考图3所示,为本发明同VLAN不同虚拟机之间二层流量交互流程交互示意。在一种实施方式中,该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源。本发明装置可以理解为对服务器内部的虚拟交换机功能模块的改进,该装置运行在服务器上执行如下的处理过程。
步骤31,根据预定的策略,通过策略配置模块为同VLAN不同虚拟机之间发送的二层流量报文配置VLAN标签转换规则。
步骤32,通过报文监测模块监测是否存在同VLAN内不同虚拟机之间发送的二层流量报文,如果存在,则进行步骤33,否则,依照现有的技术对该报文丢弃或者由虚拟交换模块进行其他转发处理。
步骤33,根据预设VLAN标签转换规则,通过虚拟交换模块将该二层流量报文中携带的第一VLAN替换为第二VLAN,且将该替换为第二VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
具体地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量时,所述虚拟交换模块将根据预设的VLAN标签转换规则对虚拟机发送的二层流量报文VLAN(第一VLAN)进行替换,使得该二层流量报文中携带转换后的VLAN(第二VLAN)。经过这样的处理后,原先同VLAN不同虚拟机之间发送的二层流量就变成跨VLAN转发,那么,虚拟交换模块会认为原先同VLAN不同虚拟机之间的通信是三层的IP通信,需要通过外部的网关设备才能实现的。为此,虚拟交换模块会自然地将该二层流量报文发送到外部的网关设备。通过该网关设备,我们就可以将二层流量报文发送至外部网络安全设备进行安全处理,从而实现服务器内部不同虚拟机之间同VLAN的二层流量的安全防护。
进一步地,为了避免同VLAN不同虚拟机之间发送的反向二层流量报文不经过网络安全设备的处理直接发送到虚拟机上(因为此时外置的接入交换机可能已学习到正向二层流量报文的MAC地址等信息),所述外部网络安全设备按照预定的安全规则对该二层流量报文进行安全处理后,还需要根据预设的VLAN标签转换规则,对该经过安全处理的二层报文VLAN再次进行替换,其中该替换后的VLAN(第三VLAN)与经安全处理前的VLAN(第二VLAN)以及原始的VLAN(第一VLAN)不一样,并将该经过VLAN(第三VLAN)替换的报文发送给虚拟交换模块。
当所述虚拟交换模块接收到来自网络安全设备的经过安全处理的报文时,将该经过安全处理的报文中携带的VLAN(第三VLAN)替换为原始的VLAN(第一VLAN),然后,通过虚拟交换模块根据该二层报文的目的MAC地址对该二层报文进行转发。
当所述虚拟交换机收到反向报文时,根据标签转换规则将VLAN标签从第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。由于反向报文的转发流程同正向报文的一致,在此不赘述。
在本发明中,通过修改虚拟交换机的功能模块,动态监测同VLAN内的不同虚拟机之间的二层流量交互,对于同VLAN不同虚拟机之间的二层流量,根据预先配置的策略改变虚拟机发送的报文VLAN,实现报文被自然重定向到外部接入交换机,进而通过现有普通二层转发技术将虚拟机发送的二层流量转发到外置的网络安全设备,从而实现服务器内部同VLAN不同虚拟机之间的二层流量的安全防护。总体来说是充分利用已有资源,开发工作量非常少,成本得以极大程度的降低。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种虚拟机流量重定向的装置,该装置应用于物理服务器上,其中该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其特征在于,所述装置包括:
策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则;
报文监测模块,用于动态监测同VLAN不同虚拟机之间的二层流量报文交互;
虚拟交换模块,用于当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量报文时,根据预先配置的VLAN标签转换规则,将虚拟机发送的二层流量报文中携带的第一VLAN替换为第二VLAN,并将该替换为第二VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
2.如权利要求1所述的装置,其特征在于,所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,按照预定的安全规则对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,将该经过安全处理的二层流量报文携带的第二VLAN替换为第三VLAN,并将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
3.如权利要求1或2所述的装置,其特征在于,所述虚拟交换模块接收来自外部网络安全设备的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一VLAN后,根据目的MAC地址对该二层报文进行转发。
4.如权利要求1所述的装置,其特征在于,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向二层流量报文中携带的第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
5.一种虚拟机流量重定向的方法,所述方法应用于物理服务器上,其中该物理服务器已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其特征在于,所述方法包括:
步骤31,根据预定的策略,通过策略配置模块为同VLAN不同虚拟机之间发送的二层流量报文配置VLAN标签转换规则;
步骤32,通过报文监测模块监测是否存在同VLAN内不同虚拟机之间发送的二层流量报文,如果是,则进行步骤33;
步骤33,根据预设VLAN标签转换规则,通过虚拟交换模块将该二层流量报文中携带的第一VLAN替换为第二VLAN,且对该替换为第二VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
6.如权利要求4所述的方法,其特征在于,在所述步骤33之后,还包括:
所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,并按照预定的安全规则,对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,并将该经过安全处理的二层流量报文携带的第二VLAN替换为第三VLAN,然后将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
7.如权利要求4或5所述的方法,其特征在于,所述虚拟交换模块接收来自外部网络安全设备发送的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一VLAN后,根据目的MAC地址对该二层报文进行转发。
8.如权利要求5所述的方法,其特征在于,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向报文中携带的第一VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310044891.6A CN103973578B (zh) | 2013-01-31 | 2013-01-31 | 一种虚拟机流量重定向的方法及装置 |
US14/649,875 US9832040B2 (en) | 2013-01-31 | 2014-01-02 | Redirecting virtual machine traffic |
PCT/CN2014/070005 WO2014117641A1 (en) | 2013-01-31 | 2014-01-02 | Redirecting virtual machine traffic |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310044891.6A CN103973578B (zh) | 2013-01-31 | 2013-01-31 | 一种虚拟机流量重定向的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103973578A true CN103973578A (zh) | 2014-08-06 |
CN103973578B CN103973578B (zh) | 2018-06-19 |
Family
ID=51242638
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310044891.6A Active CN103973578B (zh) | 2013-01-31 | 2013-01-31 | 一种虚拟机流量重定向的方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9832040B2 (zh) |
CN (1) | CN103973578B (zh) |
WO (1) | WO2014117641A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及*** |
CN105072078A (zh) * | 2015-06-30 | 2015-11-18 | 北京奇虎科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN105337789A (zh) * | 2014-08-12 | 2016-02-17 | 北京启明星辰信息安全技术有限公司 | 一种监控虚拟网络流量的方法和装置 |
CN106850382A (zh) * | 2016-12-05 | 2017-06-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量牵引方法及装置 |
CN108337192A (zh) * | 2017-12-28 | 2018-07-27 | 华为技术有限公司 | 一种云数据中心中报文通信方法和装置 |
CN109088827A (zh) * | 2018-07-11 | 2018-12-25 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105450603A (zh) * | 2014-08-22 | 2016-03-30 | 杭州迪普科技有限公司 | 一种报文处理方法和装置 |
US10104000B2 (en) * | 2017-01-31 | 2018-10-16 | Hewlett Packard Enterprise Development Lp | Reducing control plane overload of a network device |
CN112152923B (zh) | 2019-06-28 | 2021-12-28 | 北京华为数字技术有限公司 | 用户面重路由方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101630270A (zh) * | 2009-07-22 | 2010-01-20 | 成都市华为赛门铁克科技有限公司 | 数据处理***和方法 |
CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机*** |
CN102255903A (zh) * | 2011-07-07 | 2011-11-23 | 广州杰赛科技股份有限公司 | 一种云计算虚拟网络与物理网络隔离安全方法 |
EP2484059A1 (en) * | 2009-09-30 | 2012-08-08 | Alcatel Lucent | Layer 2 seamless site extension of enterprises in cloud computing |
CN102710485A (zh) * | 2012-05-07 | 2012-10-03 | 深信服网络科技(深圳)有限公司 | 透明代理方法及代理服务器 |
CN102771090A (zh) * | 2009-12-23 | 2012-11-07 | 思杰***有限公司 | 用于基于策略的透明的客户机ip***的***和方法 |
CN103067270A (zh) * | 2013-01-08 | 2013-04-24 | 杭州华三通信技术有限公司 | 一种虚拟机互访安全控制方法及装置 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9444785B2 (en) | 2000-06-23 | 2016-09-13 | Cloudshield Technologies, Inc. | Transparent provisioning of network access to an application |
CN1297106C (zh) | 2003-04-15 | 2007-01-24 | 华为技术有限公司 | 对以太网交换机的用户端口之间进行隔离的方法 |
US9043792B1 (en) * | 2004-11-17 | 2015-05-26 | Vmware, Inc. | Virtual local area network (vlan) coordinator providing access to vlans |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
CN101383835B (zh) | 2008-10-21 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
US8369333B2 (en) * | 2009-10-21 | 2013-02-05 | Alcatel Lucent | Method and apparatus for transparent cloud computing with a virtualized network infrastructure |
US8953621B2 (en) * | 2010-09-10 | 2015-02-10 | Futurewei Technologies, Inc. | Specifying priority on a virtual station interface discovery and configuration protocol response |
WO2012116749A1 (en) * | 2011-03-03 | 2012-09-07 | Telefonaktiebolaget L M Ericsson (Publ) | Technique for managing an allocation of a vlan |
US8873398B2 (en) | 2011-05-23 | 2014-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing EPC in a cloud computer with openflow data plane |
US9363207B2 (en) * | 2011-06-24 | 2016-06-07 | Cisco Technology, Inc. | Private virtual local area network isolation |
US9215184B2 (en) | 2011-10-17 | 2015-12-15 | Hewlett-Packard Development Company, L.P. | Methods of and apparatus for managing non-congestion-controlled message traffic in a datacenter |
US8923149B2 (en) * | 2012-04-09 | 2014-12-30 | Futurewei Technologies, Inc. | L3 gateway for VXLAN |
US9210079B2 (en) * | 2012-08-14 | 2015-12-08 | Vmware, Inc. | Method and system for virtual and physical network integration |
US8978031B2 (en) * | 2012-08-21 | 2015-03-10 | International Business Machines Corporation | Processing of overlay networks using an accelerated network interface card |
US9178715B2 (en) * | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
US8931046B2 (en) * | 2012-10-30 | 2015-01-06 | Stateless Networks, Inc. | System and method for securing virtualized networks |
US9116727B2 (en) * | 2013-01-15 | 2015-08-25 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Scalable network overlay virtualization using conventional virtual switches |
-
2013
- 2013-01-31 CN CN201310044891.6A patent/CN103973578B/zh active Active
-
2014
- 2014-01-02 US US14/649,875 patent/US9832040B2/en active Active
- 2014-01-02 WO PCT/CN2014/070005 patent/WO2014117641A1/en active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机*** |
CN101630270A (zh) * | 2009-07-22 | 2010-01-20 | 成都市华为赛门铁克科技有限公司 | 数据处理***和方法 |
EP2484059A1 (en) * | 2009-09-30 | 2012-08-08 | Alcatel Lucent | Layer 2 seamless site extension of enterprises in cloud computing |
CN102771090A (zh) * | 2009-12-23 | 2012-11-07 | 思杰***有限公司 | 用于基于策略的透明的客户机ip***的***和方法 |
CN102255903A (zh) * | 2011-07-07 | 2011-11-23 | 广州杰赛科技股份有限公司 | 一种云计算虚拟网络与物理网络隔离安全方法 |
CN102710485A (zh) * | 2012-05-07 | 2012-10-03 | 深信服网络科技(深圳)有限公司 | 透明代理方法及代理服务器 |
CN103067270A (zh) * | 2013-01-08 | 2013-04-24 | 杭州华三通信技术有限公司 | 一种虚拟机互访安全控制方法及装置 |
Non-Patent Citations (1)
Title |
---|
江雪: "《云计算中的服务器虚拟化安全》", 《2012年互联网技术与应用国际学术会议论文集》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337789A (zh) * | 2014-08-12 | 2016-02-17 | 北京启明星辰信息安全技术有限公司 | 一种监控虚拟网络流量的方法和装置 |
CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及*** |
CN105072078A (zh) * | 2015-06-30 | 2015-11-18 | 北京奇虎科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN105072078B (zh) * | 2015-06-30 | 2019-03-26 | 北京奇安信科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN106850382A (zh) * | 2016-12-05 | 2017-06-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量牵引方法及装置 |
CN106850382B (zh) * | 2016-12-05 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种流量牵引方法及装置 |
CN108337192A (zh) * | 2017-12-28 | 2018-07-27 | 华为技术有限公司 | 一种云数据中心中报文通信方法和装置 |
CN108337192B (zh) * | 2017-12-28 | 2021-02-23 | 华为技术有限公司 | 一种云数据中心中报文通信方法和装置 |
CN109088827A (zh) * | 2018-07-11 | 2018-12-25 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
CN109088827B (zh) * | 2018-07-11 | 2019-12-13 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
Also Published As
Publication number | Publication date |
---|---|
US20150326407A1 (en) | 2015-11-12 |
WO2014117641A1 (en) | 2014-08-07 |
CN103973578B (zh) | 2018-06-19 |
US9832040B2 (en) | 2017-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103973578A (zh) | 一种虚拟机流量重定向的方法及装置 | |
US10742690B2 (en) | Scalable policy management for virtual networks | |
CN102457439B (zh) | 一种云计算***的虚拟交换***及其虚拟交换方法 | |
CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
EP3327994B1 (en) | Virtual network management | |
CN103905523A (zh) | 一种基于sdn的云计算网络虚拟化实现方法及*** | |
CN105530259A (zh) | 报文过滤方法及设备 | |
CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
CN102884761A (zh) | 用于云计算的虚拟交换覆盖 | |
CN105100026A (zh) | 一种报文安全转发方法及装置 | |
CN104869058A (zh) | 一种数据报文转发方法和装置 | |
US9647902B2 (en) | Virtualized network for virtualized guests as an independent overlay over a physical network | |
CN104104570A (zh) | Irf***中的聚合处理方法及装置 | |
CN105262685A (zh) | 一种报文处理方法和装置 | |
EP3821589B1 (en) | Session management in a forwarding plane | |
CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
CN105049419A (zh) | 基于异构多样性的拟态网络逐级交换路由*** | |
CN103067270B (zh) | 一种虚拟机互访安全控制方法及装置 | |
US9479438B2 (en) | Link aggregation based on virtual interfaces of VLANs | |
CN104104736A (zh) | 一种云服务器及其使用方法 | |
US20150046507A1 (en) | Secure Network Data | |
CN106161115A (zh) | 一种应用于vxlan的设备管理方法及装置 | |
CN102316035A (zh) | 集群路由器***中前后台通讯及数据安全处理方法 | |
EP2992441A1 (en) | Governing bare metal guests | |
CN111092828A (zh) | 网络操作方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |