CN102025535A - 虚拟机管理方法、装置及网络设备 - Google Patents
虚拟机管理方法、装置及网络设备 Download PDFInfo
- Publication number
- CN102025535A CN102025535A CN 201010549171 CN201010549171A CN102025535A CN 102025535 A CN102025535 A CN 102025535A CN 201010549171 CN201010549171 CN 201010549171 CN 201010549171 A CN201010549171 A CN 201010549171A CN 102025535 A CN102025535 A CN 102025535A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- network equipment
- port
- data message
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟机管理方法、装置及网络设备,方法包括:网络设备接收数据报文,并解析数据报文以获取数据报文中的MAC地址;网络设备根据MAC地址和预先存储的虚拟机MAC地址,识别发送数据报文的对象是否为虚拟机。采用本发明技术方案,可以识别出虚拟机,进而可以对虚拟机做进一步管理,例如安全策略配置等,克服了现有技术中网络设备因无法识别虚拟机造成的缺陷,利于从整体上提高网络设备对虚拟机进行管理的效率。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种虚拟机管理方法、装置及网络设备。
背景技术
服务器虚拟化是一种使得在单一物理服务器上可以运行多个虚拟服务器(业界又称为虚拟机)的技术,该物理服务器为多个虚拟机提供支持其运行的硬件资源抽象,例如虚拟基本输入输出系统(Basic Input Output System;简称为:BIOS)、虚拟处理器、虚拟内存和虚拟设备与输入输出(Input Output;简称为:IO)等,同时还为各个虚拟机提供良好的隔离性和安全性。例如:在采用服务器虚拟化技术之前,客户关系管理(Customer Relationship Management;简称为:CRM)系统、在线游戏和企业资源计划(Enterprise Resource Planning;简称为:ERP)系统需要在三台独立的物理服务器上运行;而在采用服务器虚拟化技术之后,上述三个应用可以运行在三个虚拟机上,而三个虚拟机被一台物理服务器托管。由此可见,服务器虚拟技术可以使物理服务器资源得到更加充分的利用。例如在数据中心环境的实际运行中通常会采用服务器虚拟化技术在一台物理服务器上安装多个系统,将一台物理服务器虚拟成多个虚拟机来使用,以提高物理服务器的利用率。
服务器实时迁移是一种在虚拟机运行过程中,将整个虚拟机的运行状态完整、快速的从原来所在的物理服务器(称为源物理服务器)上迁移到新的物理服务器(目标物理服务器)上的技术。整个虚拟机的迁移过程是平滑的,且对用户来说是透明的。由于虚拟化抽象了真实物理资源,因此,服务器实时迁移可以支持源物理服务器和目标物理服务器之间的异构性。服务器实时迁移需要通过源物理服务器上的虚拟机监视器(称为源虚拟机监视器)和目标物理服务器上的虚拟机监视器(目标虚拟机监视器)相互配合来完成虚拟机操作系统的内存或其他状态信息的拷贝。服务器实时迁移开始后,内存页面被不断地从源虚拟机监视器拷贝到目标虚拟机监视器;当最后一部分内存页面被拷贝到目标虚拟机监视器之后,由源虚拟机监视器和目标虚拟机监视器完成虚拟机的切换操作,目标物理服务器上的虚拟机开始运行,源物理服务器上的虚拟机被终止,服务器实时迁移完成。例如:在数据中心环境中,对系统硬件的维护和更新可以采用服务器实时迁移技术来完成,即将虚拟机从一台物理服务器上迁移到另一台物理服务器上,然后,对原来的物理服务器进行硬件维护;待维护完成后,再将虚拟机迁回到原来的物理服务器上,整个过程可以在不宕机的情况下完成,进一步提升数据中心环境中资源的利用率。
通常,物理服务器是通过挂接在网络设备上,通过网络设备与外界进行通讯的。其中,网络设备肩负着物理服务器上虚拟机对外通讯的数据流的安全性和可靠性传输等,因此,网络设备上会配置一些安全策略。当虚拟机发生迁移后,上述安全策略需要相应的被迁移到新的网络设备或新的端口上并在新的网络设备或新的端口上生效。但是,由于目前的网络设备无法感知到虚拟机的迁移,因此,待虚拟机迁移后,虚拟机所对应的安全策略只能由网络管理员手动或通过网管软件迁移到新的网络设备或新的端口上。上述操作方式不仅效率低,而且操作起来也极为不方便,因此,网络设备如何能够识别虚拟机的迁移成为目前服务器虚拟化技术中首要解决的问题。
发明内容
本发明提供一种虚拟机管理方法、装置及网络设备,用以识别虚拟机,从整体上提高管理虚拟机的效率。
本发明提供一种虚拟机管理方法,包括:
网络设备接收数据报文,并解析所述数据报文以获取所述数据报文中的介质访问控制地址;
所述网络设备根据所述介质访问控制地址和预先存储的虚拟机介质访问控制地址,识别发送所述数据报文的对象是否为虚拟机。
本发明提供一种虚拟机管理装置,包括:
接收模块,用于接收数据报文,并解析所述数据报文以获取所述数据报文中的介质访问控制地址;
识别模块,用于根据所述介质访问控制地址和预先存储的虚拟机介质访问控制地址,识别发送所述数据报文的对象是否为虚拟机。
本发明提供一种网络设备,包括本发明提供的任一虚拟机管理装置。
本发明提供的虚拟机管理方法、装置及网络设备,预先存储虚拟机介质访问控制地址,通过解析获取接收到的数据报文中的介质访问控制地址,并将数据报文中的介质访问控制地址和虚拟机介质访问控制地址进行比较,以此可以识别出发送数据报文的对象是否为虚拟机。通过本发明技术方案,网络设备可以识别虚拟机,进而可以对虚拟机做进一步管理,例如安全策略配置等,克服了现有技术中网络设备因无法识别虚拟机造成的缺陷,利于从整体上提高网络设备对虚拟机进行管理的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的虚拟机管理方法的流程图;
图2为本发明实施例二提供的虚拟机管理方法的流程图;
图3A为本发明实施例三提供的虚拟机管理方法的一种流程图;
图3B为本发明实施例三提供的虚拟机管理方法的另一种流程图;
图4A为本发明实施例四提供的虚拟机管理方法的流程图;
图4B为本发明实施例四提供的虚拟机管理方法所基于的网络拓扑结构示意图;
图5为本发明实施例五提供的虚拟机管理装置的结构示意图;
图6A为本发明实施例六提供的虚拟机管理装置的一种结构示意图;
图6B为本发明实施例六提供的虚拟机管理装置的另一种结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图1为本发明实施例一提供的虚拟机管理方法的流程图。本实施例的执行主体为网络设备,如图1所示,本实施例的方法包括:
步骤101,网络设备接收数据报文,并解析数据报文以获取数据报文中的介质访问控制(Media Access Control;简称为:MAC)地址;
在本实施例中,网络设备与服务器连接,服务器通过网络设备与外界进行通信。
步骤102,网络设备根据MAC地址和预先存储的虚拟机MAC地址,识别发送数据报文的对象是否为虚拟机。
其中,每个虚拟机都对应一个虚拟机MAC地址,在本发明各实施例中将虚拟机对应的MAC地址称为虚拟机MAC地址。具体的,在网络设备中预先存储有所在网络中的虚拟机MAC地址;当网络设备接收到数据报文时,将学习到的数据报文中的MAC地址与本地存储的虚拟机MAC地址进行比较;若比较结果为发现与学习到的MAC地址一致的虚拟机MAC地址,则确认发送数据报文的对象为运行于物理服务器上的虚拟机;反之,则确认发送数据报文的对象为非虚拟机。
本实施例提供的虚拟机管理方法,通过预先存储虚拟机MAC地址,使网络设备可以通过MAC地址学习和比较两个过程,自动识别出发送数据报文的对象是否为虚拟机,以达到识别虚拟机的目的,进而可以在识别出是虚拟机时对虚拟机进行后续管理操作,为提高对虚拟机进行管理时的便利性和效率打下了基础。
其中,各个虚拟机的生产商均有独自申请使用的虚拟机MAC地址,例如VM ware公司的虚拟机MAC地址字段有00-1C-14-XX-XX-XX。因此,在本发明各实施例中,可以由管理员预先为网络设备配置各个虚拟机生产商申请的虚拟机MAC地址,并通过软件升级或在线更新的方式更新这些虚拟机生产商的虚拟机MAC地址字段。
当网络设备接收到数据报文时,通过MAC地址学习和比较,一旦得到虚拟机生产商的虚拟机MAC地址,就可以认为感知到虚拟机的存在,即识别出虚拟机。
另外,本发明各实施例中的虚拟机MAC地址并不限于各个虚拟机生产商申请的虚拟机MAC地址,还可以是特殊配置的虚拟机MAC地址,例如在一个网络中的网络设备间预先约定特殊的虚拟机MAC地址,并由管理员手动为网络设备进行添加。其中,只有该网络中的网络设备能够识别所添加的MAC地址为虚拟机MAC地址。
进一步,本发明各实施例中的虚拟机MAC地址可以同时包括虚拟机生产商申请的虚拟机MAC地址和特殊约定使用的虚拟机MAC地址。其中,特殊约定的虚拟机MAC地址,可以满足部分虚拟机因特殊需要或原因不得不使用特殊MAC地址时的需求。
实施例二
图2为本发明实施例二提供的虚拟机管理方法的流程图。本实施例可基于实施例一实现,如图2所示,本实施例的虚拟机管理方法包括:
步骤201,网络设备接收数据报文,并解析数据报文以获取数据报文中的MAC地址;即网络设备进行MAC地址的学习。
步骤202,网络设备将学习到的MAC地址与预先存储的虚拟机MAC地址进行匹配,并判断是否匹配到与学习到的MAC地址相一致的虚拟机MAC地址;当判断结果为是时,说明匹配到与学习到的MAC地址相一致的虚拟机MAC地址,即识别出发送数据报文的对象为虚拟机,则继续执行步骤203;反之,说明未匹配到与学习到的MAC地址相一致的虚拟机MAC地址,即识别出发送数据报文的对象为非虚拟机,则执行步骤204。
步骤203,网络设备根据学习到的MAC地址和预先获取的虚拟机安全策略对应表,对接收到数据报文的端口进行安全策略配置,并结束。
在本发明各实施例中,虚拟机安全策略对应表是由网络设备预先获取的。其中,虚拟机安全策略对应表可以是由管理员根据网络状态、布局等情况手动配置的,也可以是由各网络设备通过信息交互相互学习到的。其中,由于相互学习获取虚拟机安全策略对应表的方式具有灵活方便、以及可随网络情况变化而自行变化等优点,而成为一种优选方式。
其中,虚拟机安全策略对应表中存储有各个虚拟机MAC地址以及与各个虚拟机MAC地址对应的安全策略。且虚拟机安全策略对应表中的虚拟机MAC地址与网络设备预先存储的虚拟机MAC地址相一致。因此,当网络设备经学习、匹配等操作识别到虚拟机MAC地址时,可以通过查询虚拟机安全策略对应表以获取发送数据报文的虚拟机对应的安全策略,并将该安全策略配置在网络设备的连接该虚拟机的端口(即接收到数据报文的端口)上,即将安全策略在该端口上对该虚拟机生效;在后续将根据该安全策略对该虚拟机的报文进行安全控制。
其中,网络设备主要通过安全策略来负责服务器对外通信时的数据流的安全和可靠传输。常用的实现安全策略的方式主要有配置访问控制列表(Access Control List;简称为:ACL)。其中,ACL是通过定义一些规则对网络设备的端口接收的数据报文进行控制:允许通过或丢弃。网络设备通过ACL可以在数据报文通过网络设备时对其进行分类过滤,并对从指定端口输入或者输出的数据报文进行检查,根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。ACL由一系列的表项组成,每个ACL对应表项包括满足该表项的匹配条件和满足匹配条件时的行为。而访问ACL的规则可以针对数据报文的源MAC或源网际协议(Internet Protocol;简称为:IP)地址、目标MAC或目标IP地址、上层协议,时间区域等信息。例如:只允许192.168.1.0/24这个网段的IP地址访问虚拟机时,则网络设备应该在该虚拟机连接的端口的输出方向上配置ACL,且ACL规则为:PERMIT(允许)源IP=192.168.1.0/24,并将该ACL规则在该端口上生效。其中,通过设置ACL的缺省规则为禁止其他数据报文通过,因此源IP地址不满足上述要求的数据报文将被过滤掉。
另外,网络设备还可以通过服务质量(Quality of Service;简称为:QOS)进行安全控制,例如:可以根据网络带宽的限制来进行安全控制。例如:只允许虚拟机发送10M的数据报文时,网络设备需要在虚拟机连接的端口上配置QOS带宽限制规则,QOS带宽限制规则为:rate limit 10M,并将该QOS带宽限制规则配置在该端口。
步骤204,网络设备对数据报文进行常规处理。例如:网络设备可以对数据报文中的各字段进行合法性检查;又例如:网络设备也可以根据数据报文中的目的MAC地址,查找MAC地址表,如果查询到该目的MAC地址,则将数据报文转发到相应的端口上;反之,则将数据报文广播到所有端口上。其中,本实施例中的常规处理是指对非虚拟机发送的数据报文进行的处理,该常规处理中也可能包括有安全性检测处理,在本实施例中并不对常规处理进行限定。
在此需要说明,在本实施例技术方案中,当虚拟机一直与网络设备的某一端口连接时,只需根据初始学习到的MAC地址对接收到虚拟机发送的数据报文的端口进行一次安全策略配置即可,无需在每次学习到MAC地址时均进行安全策略配置。
本实施例的虚拟机管理方法,通过预先存储虚拟机MAC地址、进行MAC地址学习、匹配和判断等操作,可以使网络设备识别虚拟机,并在识别出虚拟机之后根据预先获取的虚拟机安全策略对应表自行进行安全策略配置,以保证虚拟机与外界通信时的数据报文的安全和可靠传输;同时,本实施例基于对虚拟机的识别,可由网络设备对虚拟机进行安全策略配置,无须管理员手动操作,提高了配置安全策略的效率,可以更加方便地对虚拟机进行管理。
实施例三
图3A为本发明实施例三提供的虚拟机管理方法的一种流程图。本实施例可基于实施例一和实施例二实现,如图3A所示,本实施例的管理方法包括:
步骤301,网络设备接收数据报文,并解析数据报文以获取数据报文中的MAC地址;即网络设备进行MAC地址的学习。
步骤302,网络设备将学习到的MAC地址与预先存储的虚拟机MAC地址进行匹配,并判断是否匹配到与学习到的MAC地址相一致的虚拟机MAC地址;当判断结果为是时,执行步骤303;反之,执行步骤305。
步骤303,网络设备根据学习到的MAC地址和预先获取的虚拟机状态表,判断学习到的MAC地址对应的虚拟机是否发生迁移;若判断结果为是,则执行步骤304,若判断结果为否,则结束。
其中,网络设备接收到的该MAC地址对应的数据报文可能是由一直被一台服务器托管的虚拟机在新启动时发出的,也可能是由从一台服务器(物理服务器)迁移到另一台服务器上的虚拟机发出的。通过步骤303的判断操作可以识别上述虚拟机是否发生迁移。
其中,虚拟机状态表中存储有网络中各个网络设备连接的服务器上运行的虚拟机的状态信息,例如包括网络设备的端口、连接的服务器、服务器上对应该端口运行的虚拟机列表,以及虚拟机的MAC地址等信息。
步骤304,网络设备根据虚拟机状态表向虚拟机迁移前连接的网络设备发送失败通告报文,以告知虚拟机迁移前连接的网络设备对虚拟机的安全策略进行失效处理,并结束。
其中,当发现虚拟机是由一台服务器迁移到另一台服务器,需要通告原来的网络设备,以便告知迁移前连接的网络设备对连接虚拟机的端口上的安全策略进行删除,即失效操作。当迁移前连接的网络设备接收到失效通告报文后,可以解析获取通告报文中携带的虚拟机MAC地址,然后根据该虚拟机MAC地址对相应端口上的安全策略进行失效处理。这样可以保证安全策略迁移的完整性。
步骤305,网络设备对数据报文进行常规处理。
本实施例的虚拟机管理方法,通过预先存储虚拟机MAC地址、进行MAC地址学习、匹配和判断等操作,可以使网络设备识别虚拟机,并可识别出虚拟机的迁移,同时通过失效通告报文通告迁移前连接的网络设备使其对迁移前的安全策略进行失效操作,以完成安全策略的完整迁移;本实施例可以识别虚拟机和虚拟机迁移,解决了无法识别虚拟机和虚拟机的迁移问题,便于后续对安全策略的迁移或配置
上述技术方案,当网络设备识别出虚拟机时,无论该虚拟机是由一台服务器迁移到另一台服务的还是一直被一台服务器所托管的,网络设备需要在连接虚拟机的端口上进行安全策略配置。图3B所示为本发明实施例三提供的虚拟机管理方法的另一种结构示意图;图3B所示流程与图3A的区别在于在步骤302之后还包括步骤303a:网络设备根据学习到的MAC地址和预先获取的虚拟机安全策略对应表,对接收到数据报文的端口进行安全策略配置。
在此说明,无论是一直被一台物理服务器托管的虚拟机,还是发生迁移的虚拟机,在本实施例步骤303a中,网络设备只需根据初始学习到的MAC地址对接收虚拟机发送的数据报文的端口进行一次安全策略配置即可。
在此需要说明,步骤303a和步骤303两者没有先后顺序,即可以是先进行安全策略配置,然后执行是否迁移的判断;也可以是先判断是否发生迁移,然后再进行安全策略配置,此时可以将安全策略配置称为安全策略迁移。
进一步,本地网络设备在完成对虚拟机的安全策略配置之后,还可以将其各个端口上配置的安全策略以及与安全策略对应的虚拟机信息发送给其他网络设备,以便其他网络设备记录或更新所存储的信息。
本实施例的虚拟机管理方法,网络设备可以识别虚拟机和虚拟机的迁移,并在识别出虚拟机之后根据预先获取的虚拟机安全策略对应表自行进行安全策略配置,保证了虚拟机与外界通信时的数据报文的安全和可靠传输;而基于对虚拟机迁移的识别,网络设备可自行对虚拟机进行安全策略配置,无须管理员手动操作,提高了配置安全策略的效率,可以更加方便地对虚拟机进行管理。
其中,本实施例提供一种网络设备预先获取虚拟机安全策略对应表和虚拟机状态表的实施方式,但并不限于此。本实施例提供的实施方式包括:
步骤3031,在各个网络设备启动时,均发送第一管理报文,第一管理报文中包括网络设备的MAC地址和发送第一管理报文的端口信息,其中端口信息包括端口号以及端口的类型(例如是设备端口还是服务器端口)等信息。
步骤3033,作为本实施例的执行主体的网络设备接收其他网络设备发送的第一管理报文,根据第一管理报文识别出网络设备的设备端口和服务器端口;其中,网络设备不仅和服务器连接,同时也会与其他网络设备连接,与服务器连接的端口称为服务器端口,与网络设备连接的端口称为设备端口;其中,预先约定第一管理报文只能通过与网络设备连接的端口(即设备端口)发送,且只能通过设备端口接收。因此,网络设备可以将接收到第一管理报文的端口识别为设备端口,而其他端口则作为服务器端口。然后,各网络设备均可以根据上述实施例提供的方法在各自服务器端口上进行虚拟机识别、虚拟机安全策略配置或迁移等操作,或者也可以由管理员根据网络约定使用的虚拟机MAC地址在相应网络设备上进行安全策略配置。当各个网络设备配置完安全策略之后,可以通过各自的设备端口向除自己以外的其他网络设备发送其所配置的安全策略以及安全策略对应的虚拟机信息等信息。
步骤3035,作为本实施例的执行主体的网络设备通过设备端口接收其他网络设备发送的第二管理报文,第二管理报文中包括运行于其他网络设备的各个服务器端口上的虚拟机的信息和为处于运行状态的各虚拟机配置的安全策略;
步骤3037,作为本实施例执行主体的网络设备根据第二管理报文,生成虚拟机安全策略对应表和虚拟机状态表。
具体地,网络设备通过获取各个其他网络设备发送的第二管理报文中的虚拟机的信息、为各虚拟机配置的安全策略,以及相互间的对应关系,进行综合处理以生成虚拟机安全策略对应表,该虚拟机安全策略对应表中包括虚拟机的信息、安全策略以及安全策略和虚拟机之间的对应关系;而根据第二管理报文中的服务器端口信息(例如端口号)和对应的虚拟机信息(例如虚拟机MAC地址)生成虚拟机状态表,该虚拟机状态表包括虚拟机、虚拟机所处的服务器以及服务器所连接的网络设备的端口等信息以及上述信息的对应关系。因此,当作为执行主体的网络设备识别到虚拟机MAC地址时,可根据前一时刻的虚拟机状态表识别虚拟机是否发生迁移,如果虚拟机MAC地址同时出现在其他服务器端口上,说明该虚拟机发生了迁移,并对该虚拟机的安全策略进行相应迁移。
其中,若无需对虚拟机是否发生迁移进行识别时(例如实施例二所描述的场景),可以仅根据本实施例技术方案生成虚拟机安全策略对应表,而无需生成虚拟机状态表。
通过上述方式,各个网络设备均可以预先获取虚拟机安全策略对应表和/或虚拟机状态表。其中为了保证各个网络设备上的虚拟机安全策略对应表和虚拟机状态表能够跟随网络状态或虚拟机的迁移而相应变化,本实施例中还规定各个网络设备定时向其他网络设备发送第二管理报文,以供各网络设备实时获取其他网络设备上运行的虚拟机的信息以及处于运行状态的虚拟机所对应的安全策略,以据此对虚拟机安全策略对应表和/或虚拟机状态表进行更新。
进一步,在上述实施例中,在3033之后还包括步骤3034,即作为本实施例的执行主体的网络设备对其服务器端口上的虚拟机进行安全策略配置,并通过设备端口定时向其他网络设备发送运行于其各个服务器端口上的虚拟机的信息与为各虚拟机配置的安全策略(即第二管理报文),用于供其他网络设备预先生成虚拟机安全策略对应表和虚拟机状态表,以及更新虚拟机安全策略对应表和虚拟机状态表。
上述为本发明获取虚拟机安全策略对应表和虚拟机状态表的一种实施方式,该实施方式主要是通过根据预先约定的规则发送第一管理报文以供各个网络设备识别设备端口和服务器端口,然后,进行安全策略配置,并通过设备端口发送第二管理报文,以进行虚拟机和虚拟机对应的安全策略的全网统一操作,即在各个网络设备上均生成内容基本相同的虚拟机安全策略对应表和虚拟机状态表,进而为本发明各实施例的实施打下基础。
以下将通过具体实施例,结合网络拓扑结构详细说明本发明技术方案的流程。
实施例四
图4A为本发明实施例四提供的虚拟机管理方法的流程图;图4B为本发明实施例四提供的虚拟机管理方法所基于的网络拓扑结构示意图。如图4B所示,本实施例包括网络设备41、网络设备42、网络设备43、网络设备44以及服务器45和服务器46。网络设备41分别与网络设备42、网络设备43和网络设备44连接,服务器45和网络设备41连接,服务器46和网络设备42连接。其中网络设备41、网络设备42、网络设备43和网络设备44分别遵循预先约定的虚拟机统一管理机制,并且在各个网络设备上均配置了网络所使用的虚拟机MAC地址。则本实施例的方法包括:
步骤401,在网络设备41-网络设备44开机后均定时向外广播第一管理报文,声明自己支持虚拟机管理机制,并让其他网络设备知晓。其中,网络设备41-网络设备44将收到第一管理报文的端口,记为设备端口(Net-Port),根据虚拟机管理机制预先约定的规则可知:各网络设备只有通过设备端口向其他网络设备发送第一管理报文,而连接虚拟机的端口不会收到第一管理报文,因此可将其他未接收到第一管理报文的端口记为服务器端口(Server-Port)。基于此,在图4B所示网络拓扑中,存在设备端口51、52和53;服务器端口54和55。其中,第一管理报文的格式包括但并不限于以下信息字段:网络设备MAC地址;发送第一管理报文的当前网络设备的端口的编号;发送第一管理报文的当前网络设备的端口类型(例如是Server-Port还是Net-Port)。
步骤402,针对预先配置的虚拟机MAC地址,识别出虚拟机,并在网络设备上生成“虚拟机配置单元”,网络管理员将虚拟机的“安全策略”(即上文提到的ACL、QOS等策略)生效在这些“虚拟机配置单元”上。其中,因为网络设备的一个物理端口连接一台物理服务器,物理服务器上可以安装有多个虚拟机,因此网络设备的一个物理端口可以包含多个“虚拟机配置单元”,并在网络设备上生成多个虚拟机MAC地址与安全策略的对应关系。
步骤403,通过第二管理报文,把<虚拟机MAC地址,安全策略>的对应关系通过设备端口通告给全网支持虚拟机管理机制的所有其他网络设备。此时第二管理报文在第一管理报文的基础上增加了但并不限于以下字段:本网络设备的“Server-Port”列表及其总个数;本网络设备的虚拟机配置单元列表及其总个数;应用在每个虚拟机配置单元上的虚拟机MAC地址与安全策略的对应关系等。
基于上述,网络设备41-网络设备44上已经全部保存有虚拟机安全策略对应表了,为进行安全策略实时快速生效做好了准备。
步骤404,假设虚拟机从服务器45迁移到服务器46上,这时网络设备42立即通过MAC地址学习和虚拟机安全策略对应表中的信息获知虚拟机从服务器45上迁移到了服务器46上,并发现MAC地址是在服务器端口55上学习到的,则把该虚拟机MAC地址对应的安全策略生效在新的服务器端口55上。其中,与虚拟机MAC地址对应的安全策略只能生效在服务器端口(Server-Port)并随着MAC地址的变化而生效,不能生效在设备端口(net-port)。在此需要说明,在本实施例中虚拟机安全策略对应表中同时包括了网络中处于运行状态的虚拟机的信息、虚拟机所对应的安全策略信息以及虚拟机所在服务器信息;即在本实施例中网络设备不需要单独生成虚拟机状态表来存储虚拟机与虚拟机所在服务器及其对应关系的信息。
步骤405,在网络设备42上的新安全策略生效成功后,要通知原有网络设备41把原安全策略删除,以便完整达成“安全策略迁移”的过程。
通过上述方式可以解决现有网络设备对虚拟机应用安全策略无法独立进行自动迁移的问题,达到数据中心网络环境中全网智能化、自动化管理安全策略的目的。
实施例五
图5为本发明实施例五提供的虚拟机管理装置的结构示意图。如图5所示,本实施例的虚拟机管理装置包括:接收模块61和识别模块62。
其中,接收模块61,用于接收数据报文,并解析数据报文以获取数据报文中的MAC地址;识别模块62,与接收模块61连接,用于根据接收模块61获取的MAC地址和预先存储的虚拟机MAC地址,识别发送数据报文的对象是否为虚拟机。
本实施例提供的虚拟机管理装置,可用于执行本发明实施例提供的虚拟机管理方法的流程,通过预先存储虚拟机MAC地址,使网络设备可以通过MAC地址学习和比较两个过程,自动识别出发送数据报文的对象是否为虚拟机,以达到识别虚拟机的目的,进而可以在识别出是虚拟机时对虚拟机进行后续管理操作,为提高对虚拟机进行管理时的便利性和效率打下了基础。
实施例六
图6A为本发明实施例六提供的虚拟机管理装置的一种结构示意图。本实施例可基于实施例五实现,如图6A所示,本实施例的虚拟机管理装置还包括:第一配置模块63。
其中,第一配置模块63,与识别模块62连接,用于在识别模块62识别发送数据报文的对象为虚拟机时,根据MAC地址和预先获取的虚拟机安全策略对应表,对接收到的数据报文的端口进行安全策略配置。
本实施例的虚拟机管理装置,同样可用于执行本发明实施例提供的虚拟机管理方法的流程,通过预先存储虚拟机MAC地址、进行MAC地址学习、匹配和判断等操作,可以识别虚拟机,并在识别出虚拟机之后根据预先获取的虚拟机安全策略对应表自行进行安全策略配置,以保证虚拟机与外界通信时的数据报文的安全和可靠传输;同时,本实施例基于对虚拟机的识别,可自行对虚拟机进行安全策略配置,无须管理员手动操作,提高了配置安全策略的效率,可以更加方便地对虚拟机进行管理。
图6B为本发明实施例六提供的虚拟机管理装置的另一种结构示意图。如图6B所示,本实施例的虚拟机管理装置还包括:判断模块64和发送模块65。
当识别出发送数据报文的对象为虚拟机时,还可以识别该虚拟机是否发生迁移。判断模块64,分别与接收模块61和识别模块62连接,用于根据MAC地址和预先获取的虚拟机状态表,判断虚拟机是否发生迁移;发送模块65,与判断模块64连接,用于在判断模块64判断出虚拟机发生迁移时,根据虚拟机状态表向虚拟机迁移前连接的虚拟机管理装置发送失效通告报文,以告知迁移前连接的虚拟机管理装置对虚拟机的安全策略进行失效处理。
本实施例图6B所示的虚拟机管理装置,同样可用于执行本发明实施例提供的虚拟机管理方法的流程,在识别出虚拟机之后进一步判断虚拟机是否迁移,当发现虚拟机迁移时,通过向虚拟机迁移前连接的虚拟机管理装置发送失效通告报文,以使迁移前连接的虚拟机管理装置对相应端口上的安全策略进行失效处理,保证了安全策略随虚拟机的迁移而完全迁移。
其中,当识别出虚拟机时,无论是否对虚拟机的迁移进行识别,虚拟机管理装置均需要在相应端口上进行安全策略配置。基于此,如图6B所示,本实施例的虚拟机管理装置还包括:第二配置模块67,与识别模块62连接,用于在识别模块62识别出虚拟机时,根据MAC地址和预先获取的虚拟机安全策略对应表,对接收到的数据报文的端口进行安全策略配置。
其中,图6A中的第一配置模块63用于在识别出虚拟机而无需识别虚拟机是否发生迁移的情况下进行安全策略配置;而第二配置模块67用于在识别出虚拟机且需要识别虚拟机发生迁移的情况下进行安全策略配置。但在具体实施过程中,第一配置模块63和第二配置模块67可由不同模块分别来实现;也可以由同一模块来实现,并用于在不同情况下进行安全策略配置(在图6B中以一个配置模块为例,即第二配置模块67),本实施例并不对此进行限制。
基于上述技术方案,如图6B所示,本实施例的虚拟机管理装置还包括获取模块66,分别与第二配置模块67和判断模块64连接,用于预先获取虚拟机安全策略对应表和虚拟机状态表。具体的,该获取模块66包括:第一接收单元、第二接收单元和生成单元。其中,第一接收单元,用于接收其他虚拟机管理装置发送的第一管理报文,并根据第一管理报文识别出本地虚拟机管理装置的设备端口和服务器端口,所述第一管理报文包括其他网络设备的MAC地址、发送第一管理报文的端口信息;第二接收单元,用于通过设备端口接收其他虚拟机管理装置发送的第二管理报文,所述第二管理报文包括运行在其他虚拟机管理装置上的虚拟机信息和为该虚拟机配置的安全策略;生成单元,用于根据第二管理报文,生成包括虚拟机和安全策略对应关系的所述虚拟机安全策略对应表,以及包括处于运行状态的虚拟机信息的所述虚拟机状态表。在此需要说明,当不需要识别虚拟机是否发生迁移时,该生成单元可以只生成虚拟机安全策略对应表,而无需生成虚拟机状态表。
进一步,该获取模块66还包括:发送单元,用于对运行于本地虚拟机管理装置的服务器端口上的虚拟机进行安全策略配置,并通过设备端口定时向其他虚拟机管理装置发送运行于本地虚拟机管理装置的各个服务器端口上的虚拟机信息与为各虚拟机配置的安全策略(即第二管理报文),以供其他虚拟机管理装置预先生成虚拟机安全策略对应表和虚拟机状态表。同理,对于其他虚拟机管理装置而言,当仅需对虚拟机进行识别而无需识别虚拟机是否迁移时,可以仅生成虚拟机安全策略对应表而不生成虚拟机状态表,但具体是否生成虚拟机状态表本实施例并不做限定。
通过上述技术方案,本实施例的虚拟机管理装置可以以信息交互的方式预先获取其他虚拟机管理装置上运行的虚拟机的信息和为各虚拟机配置的安全策略,以及上述信息的对应关系,进而预先生成虚拟机安全策略对应表和虚拟机状态表,为本发明各实施例的实施提供基础。通过上述技术方案获取的其他虚拟机管理装置上的虚拟机信息、安全策略以及上述信息的对应关系更加准确和及时,且可对虚拟机安全策略对应表和虚拟机状态表及时更新,提高了基于获取的上述信息进行虚拟机管理的准确性和实时性。
实施例七
本发明实施例七提供一种网络设备,包括虚拟机管理装置。其中,虚拟机管理装置可以为本发明实施例提供的虚拟机管理装置,其工作原理和结构请参见本发明上述实施例的描述,在此不再赘述。本实施例的网络设备可以为与运行有虚拟机的物理服务器连接的各种网络设备,例如路由器、交换机,也可以是各种网关设备,可用于对虚拟机进行管理。
本实施例的网络设备具有本发明实施例提供的虚拟机管理装置,并可用于执行本发明实施例提供的虚拟机管理方法的流程,因此,采用本实施例的网络设备对虚拟机进行管理,可以自行识别虚拟机的迁移,并对虚拟机进行安全策略配置,无须管理员手动配置,提高了配置安全策略的效率,极大地提高了对虚拟机进行管理的便利性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种虚拟机管理方法,其特征在于,包括:
网络设备接收数据报文,并解析所述数据报文以获取所述数据报文中的介质访问控制地址;
所述网络设备根据所述介质访问控制地址和预先存储的虚拟机介质访问控制地址,识别发送所述数据报文的对象是否为虚拟机。
2.根据权利要求1所述的虚拟机管理方法,其特征在于,当所述网络设备识别出发送所述数据报文的对象为虚拟机时,根据所述介质访问控制地址和预先获取的虚拟机安全策略对应表,对接收到所述数据报文的端口进行安全策略配置。
3.根据权利要求1所述的虚拟机管理方法,其特征在于,当所述网络设备识别出发送所述数据报文的对象为虚拟机时,根据所述介质访问控制地址和预先获取的虚拟机状态表,判断所述虚拟机是否发生迁移;
当判断结果为所述虚拟机发生迁移时,所述网络设备根据所述虚拟机状态表向所述虚拟机迁移前连接的网络设备发送失效通告报文,以告知所还迁移前连接的网络设备对所述虚拟机的安全策略进行失效处理。
4.根据权利要求3所述的虚拟机管理方法,其特征在于,当所述网络设备识别出发送所述数据报文的对象为虚拟机时还包括:
所述网络设备根据所述介质访问控制地址和预先获取的虚拟机安全策略对应表,对接收到所述数据报文的端口进行安全策略配置。
5.根据权利要求4所述的虚拟机管理方法,其特征在于,所述网络设备预先获取所述虚拟机安全策略对应表和所述虚拟机状态表包括:
所述网络设备接收其他网络设备发送的第一管理报文,并根据所述第一管理报文识别出所述网络设备的设备端口和服务器端口,所述第一管理报文包括其他网络设备的介质访问控制地址和发送所述第一管理报文的端口信息;
所述网络设备通过所述设备端口接收所述其他网络设备发送的第二管理报文,所述第二管理报文包括运行在所述其他网络设备上的虚拟机的信息和为处于运行状态的虚拟机配置的安全策略;
所述网络设备根据所述第二管理报文,生成包括虚拟机和安全策略对应关系的所述虚拟机安全策略对应表,以及包括处于运行状态的虚拟机的信息的所述虚拟机状态表。
6.根据权利要求5所述的虚拟机管理方法,其特征在于,还包括:
所述网络设备对运行于所述服务器端口上的虚拟机进行安全策略配置,并通过所述设备端口定时向所述其他网络设备发送运行于所述服务器端口上的虚拟机的信息与为处于运行状态的虚拟机配置的安全策略,以供所述其他网络设备预先生成虚拟机安全策略对应表和虚拟机状态表。
7.一种虚拟机管理装置,其特征在于,包括:
接收模块,用于接收数据报文,并解析所述数据报文以获取所述数据报文中的介质访问控制地址;
识别模块,用于根据所述介质访问控制地址和预先存储的虚拟机介质访问控制地址,识别发送所述数据报文的对象是否为虚拟机。
8.根据权利要求7所述的虚拟机管理装置,其特征在于,还包括:
第一配置模块,用于在所述识别模块识别发送所述数据报文的对象为虚拟机时,根据所述介质访问控制地址和预先获取的虚拟机安全策略对应表,对接收到的所述数据报文的端口进行安全策略配置。
9.根据权利要求7所述的虚拟机管理装置,其特征在于,还包括:
判断模块,用于在所述识别模块识别发送所述数据报文的对象为虚拟机时,根据所述介质访问控制地址和预先获取的虚拟机状态表,判断所述虚拟机是否发生迁移;
发送模块,用于在所述判断模块判断出所述虚拟机发生迁移时,根据所述虚拟机状态表向所述虚拟机迁移前连接的虚拟机管理装置发送失效通告报文,以告知所述迁移前连接的虚拟机管理装置对所述虚拟机的安全策略进行失效处理。
10.根据权利要求9所述的虚拟机管理装置,其特征在于,还包括:
第二配置模块,用于在所述识别模块识别发送所述数据报文的对象为虚拟机时,根据所述介质访问控制地址和预先获取的虚拟机安全策略对应表,对接收到所述数据报文的端口进行安全策略配置。
11.根据权利要求10所述的虚拟机管理装置,其特征在于,还包括:获取模块;所述获取模块包括:
第一接收单元,用于接收其他虚拟机管理装置发送的第一管理报文,并根据所述第一管理报文识别出本地虚拟机管理装置的设备端口和服务器端口,所述第一管理报文包括其他网络设备的介质访问控制地址和发送所述第一管理报文的端口信息;
第二接收单元,用于通过所述设备端口接收所述其他虚拟机管理装置发送的第二管理报文,所述第二管理报文包括运行在所述其他虚拟机管理装置上的虚拟机的信息和为处于运行状态的虚拟机配置的安全策略;
生成单元,用于根据所述第二管理报文,生成包括虚拟机和安全策略对应关系的所述虚拟机安全策略对应表,以及包括处于运行状态的虚拟机的信息的所述虚拟机状态表。
12.根据权利要求11所述的虚拟机管理装置,其特征在于,所述获取模块还包括:
发送单元,用于对运行于本地虚拟机管理装置的服务器端口上的虚拟机进行安全策略配置,并通过所述设备端口定时向所述其他虚拟机管理装置发送运行于所述服务器端口上的虚拟机的信息与为处于运行状态的虚拟机配置的安全策略,以供所述其他虚拟机管理装置预先生成虚拟机安全策略对应表和虚拟机状态表。
13.一种网络设备,其特征在于,包括权利要求7-12任一项所述的虚拟机管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010549171A CN102025535B (zh) | 2010-11-17 | 2010-11-17 | 虚拟机管理方法、装置及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010549171A CN102025535B (zh) | 2010-11-17 | 2010-11-17 | 虚拟机管理方法、装置及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102025535A true CN102025535A (zh) | 2011-04-20 |
| CN102025535B CN102025535B (zh) | 2012-09-12 |
Family
ID=43866427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010549171A Active CN102025535B (zh) | 2010-11-17 | 2010-11-17 | 虚拟机管理方法、装置及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102025535B (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148715A (zh) * | 2011-05-17 | 2011-08-10 | 杭州华三通信技术有限公司 | 虚拟网络配置迁移的方法及设备 |
| CN102413041A (zh) * | 2011-11-08 | 2012-04-11 | 华为技术有限公司 | 安全策略迁移的方法、装置和系统 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103024090A (zh) * | 2011-09-20 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种识别用户终端的方法和系统 |
| CN103139167A (zh) * | 2011-11-30 | 2013-06-05 | 中兴通讯股份有限公司 | 一种虚拟站点迁移时关联虚拟站点的方法和装置 |
| CN103179192A (zh) * | 2013-02-07 | 2013-06-26 | 杭州华三通信技术有限公司 | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 |
| CN103220298A (zh) * | 2013-04-27 | 2013-07-24 | 西北工业大学 | Windows Virtual虚拟机远程检测方法 |
| CN103236963A (zh) * | 2013-04-25 | 2013-08-07 | 西北工业大学 | VMWare虚拟机远程检测方法 |
| CN103428106A (zh) * | 2012-05-16 | 2013-12-04 | 华为技术有限公司 | 虚拟机vm迁移后的报文处理的方法及其设备 |
| CN103856480A (zh) * | 2012-11-30 | 2014-06-11 | 国际商业机器公司 | 虚拟机迁移中的用户数据报协议分组迁移 |
| CN103891206A (zh) * | 2012-10-12 | 2014-06-25 | 华为技术有限公司 | 网络数据流检测状态的同步方法和设备 |
| CN103905383A (zh) * | 2012-12-26 | 2014-07-02 | 华为技术有限公司 | 一种数据报文转发方法、装置和系统 |
| CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
| CN104780071A (zh) * | 2015-04-21 | 2015-07-15 | 杭州华三通信技术有限公司 | 虚拟交换机的升级方法及装置 |
| CN104901923A (zh) * | 2014-03-04 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种虚拟机访问装置和方法 |
| CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN105763440A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文转发的方法和装置 |
| CN106375281A (zh) * | 2016-08-25 | 2017-02-01 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| WO2017028513A1 (zh) * | 2015-08-19 | 2017-02-23 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| WO2017113344A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
| CN107707551A (zh) * | 2017-10-09 | 2018-02-16 | 山东中创软件商用中间件股份有限公司 | 一种ip访问控制的方法和系统 |
| CN108259545A (zh) * | 2017-01-13 | 2018-07-06 | 新华三技术有限公司 | 端口安全策略扩散方法及装置 |
| CN108363611A (zh) * | 2017-11-02 | 2018-08-03 | 北京紫光恒越网络科技有限公司 | 虚拟机的安全管理方法、装置及全方位虚拟化系统 |
| CN109413082A (zh) * | 2018-11-12 | 2019-03-01 | 郑州云海信息技术有限公司 | 云计算系统中报文处理方法和装置 |
| CN110703899A (zh) * | 2019-09-09 | 2020-01-17 | 创新奇智(南京)科技有限公司 | 一种基于迁移学习的数据中心能效优化方法 |
| US10601728B2 (en) | 2015-12-31 | 2020-03-24 | Huawei Technologies Co., Ltd. | Software-defined data center and service cluster scheduling and traffic monitoring method therefor |
| CN110943880A (zh) * | 2019-11-07 | 2020-03-31 | 中国联合网络通信集团有限公司 | 设备管理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459618A (zh) * | 2009-01-06 | 2009-06-17 | 北京航空航天大学 | 虚拟机网络的数据包转发方法和装置 |
| US7561531B2 (en) * | 2005-04-19 | 2009-07-14 | Intel Corporation | Apparatus and method having a virtual bridge to route data frames |
| CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和系统 |
| CN101809943A (zh) * | 2007-09-24 | 2010-08-18 | 英特尔公司 | 用于虚拟端口通信的方法和系统 |
-
2010
- 2010-11-17 CN CN201010549171A patent/CN102025535B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7561531B2 (en) * | 2005-04-19 | 2009-07-14 | Intel Corporation | Apparatus and method having a virtual bridge to route data frames |
| CN101809943A (zh) * | 2007-09-24 | 2010-08-18 | 英特尔公司 | 用于虚拟端口通信的方法和系统 |
| CN101459618A (zh) * | 2009-01-06 | 2009-06-17 | 北京航空航天大学 | 虚拟机网络的数据包转发方法和装置 |
| CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和系统 |
Cited By (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148715A (zh) * | 2011-05-17 | 2011-08-10 | 杭州华三通信技术有限公司 | 虚拟网络配置迁移的方法及设备 |
| CN103024090B (zh) * | 2011-09-20 | 2015-07-01 | 阿里巴巴集团控股有限公司 | 一种识别用户终端的方法和系统 |
| CN103024090A (zh) * | 2011-09-20 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种识别用户终端的方法和系统 |
| CN102413041A (zh) * | 2011-11-08 | 2012-04-11 | 华为技术有限公司 | 安全策略迁移的方法、装置和系统 |
| CN102413041B (zh) * | 2011-11-08 | 2015-04-15 | 华为技术有限公司 | 安全策略迁移的方法、装置和系统 |
| CN103139167A (zh) * | 2011-11-30 | 2013-06-05 | 中兴通讯股份有限公司 | 一种虚拟站点迁移时关联虚拟站点的方法和装置 |
| CN103139167B (zh) * | 2011-11-30 | 2017-12-12 | 温州大学 | 一种虚拟站点迁移时关联虚拟站点的方法和装置 |
| WO2013159518A1 (en) * | 2012-04-23 | 2013-10-31 | Hangzhou H3C Technologies Co., Ltd. | Migration of a security policy of a virtual machine |
| CN102739645B (zh) * | 2012-04-23 | 2016-03-16 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103428106A (zh) * | 2012-05-16 | 2013-12-04 | 华为技术有限公司 | 虚拟机vm迁移后的报文处理的方法及其设备 |
| CN103428106B (zh) * | 2012-05-16 | 2016-11-23 | 华为技术有限公司 | 虚拟机vm迁移后的报文处理的方法及其设备 |
| US9729560B2 (en) | 2012-10-12 | 2017-08-08 | Huawei Technologies Co., Ltd. | Method and device for synchronizing network data flow detection status |
| CN103891206B (zh) * | 2012-10-12 | 2017-02-15 | 华为技术有限公司 | 网络数据流检测状态的同步方法和设备 |
| CN103891206A (zh) * | 2012-10-12 | 2014-06-25 | 华为技术有限公司 | 网络数据流检测状态的同步方法和设备 |
| CN103856480A (zh) * | 2012-11-30 | 2014-06-11 | 国际商业机器公司 | 虚拟机迁移中的用户数据报协议分组迁移 |
| CN103905383A (zh) * | 2012-12-26 | 2014-07-02 | 华为技术有限公司 | 一种数据报文转发方法、装置和系统 |
| CN103179192B (zh) * | 2013-02-07 | 2015-11-25 | 杭州华三通信技术有限公司 | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 |
| CN103179192A (zh) * | 2013-02-07 | 2013-06-26 | 杭州华三通信技术有限公司 | 虚拟服务器迁移的报文转发方法、系统及nat服务设备 |
| CN103236963A (zh) * | 2013-04-25 | 2013-08-07 | 西北工业大学 | VMWare虚拟机远程检测方法 |
| CN103220298A (zh) * | 2013-04-27 | 2013-07-24 | 西北工业大学 | Windows Virtual虚拟机远程检测方法 |
| CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
| CN104901923B (zh) * | 2014-03-04 | 2018-12-25 | 新华三技术有限公司 | 一种虚拟机访问装置和方法 |
| US10270782B2 (en) | 2014-03-04 | 2019-04-23 | Hewlett Packard Enterprise Development Lp | Virtual desktopaccess control |
| CN104901923A (zh) * | 2014-03-04 | 2015-09-09 | 杭州华三通信技术有限公司 | 一种虚拟机访问装置和方法 |
| CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN105450532B (zh) * | 2014-09-28 | 2018-10-09 | 新华三技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN104780071A (zh) * | 2015-04-21 | 2015-07-15 | 杭州华三通信技术有限公司 | 虚拟交换机的升级方法及装置 |
| CN104780071B (zh) * | 2015-04-21 | 2018-12-25 | 新华三技术有限公司 | 虚拟交换机的升级方法及装置 |
| US11570148B2 (en) | 2015-08-19 | 2023-01-31 | Huawei Cloud Computing Technologies Co., Ltd. | Method and apparatus for deploying security access control policy |
| WO2017028513A1 (zh) * | 2015-08-19 | 2017-02-23 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN108293001A (zh) * | 2015-12-31 | 2018-07-17 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
| CN108293001B (zh) * | 2015-12-31 | 2020-10-23 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
| US11237858B2 (en) | 2015-12-31 | 2022-02-01 | Huawei Technologies Co., Ltd. | Software-defined data center, and deployment method for service cluster therein |
| US10601728B2 (en) | 2015-12-31 | 2020-03-24 | Huawei Technologies Co., Ltd. | Software-defined data center and service cluster scheduling and traffic monitoring method therefor |
| WO2017113344A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 一种软件定义数据中心及其中的服务集群的部署方法 |
| CN105763440B (zh) * | 2016-01-29 | 2019-04-09 | 新华三技术有限公司 | 一种报文转发的方法和装置 |
| CN105763440A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文转发的方法和装置 |
| CN106375281A (zh) * | 2016-08-25 | 2017-02-01 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN106375281B (zh) * | 2016-08-25 | 2018-12-25 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN108259545B (zh) * | 2017-01-13 | 2021-04-27 | 新华三技术有限公司 | 端口安全策略扩散方法及装置 |
| CN108259545A (zh) * | 2017-01-13 | 2018-07-06 | 新华三技术有限公司 | 端口安全策略扩散方法及装置 |
| CN107707551A (zh) * | 2017-10-09 | 2018-02-16 | 山东中创软件商用中间件股份有限公司 | 一种ip访问控制的方法和系统 |
| CN108363611A (zh) * | 2017-11-02 | 2018-08-03 | 北京紫光恒越网络科技有限公司 | 虚拟机的安全管理方法、装置及全方位虚拟化系统 |
| CN109413082A (zh) * | 2018-11-12 | 2019-03-01 | 郑州云海信息技术有限公司 | 云计算系统中报文处理方法和装置 |
| CN110703899A (zh) * | 2019-09-09 | 2020-01-17 | 创新奇智(南京)科技有限公司 | 一种基于迁移学习的数据中心能效优化方法 |
| CN110703899B (zh) * | 2019-09-09 | 2020-09-25 | 创新奇智(南京)科技有限公司 | 一种基于迁移学习的数据中心能效优化方法 |
| CN110943880A (zh) * | 2019-11-07 | 2020-03-31 | 中国联合网络通信集团有限公司 | 设备管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102025535B (zh) | 2012-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
| CN112737690B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| EP2776925B1 (en) | Dynamic policy based interface configuration for virtualized environments | |
| CN101860534B (zh) | 网络切换方法、系统及接入设备、认证服务器 | |
| TWI702817B (zh) | 具有鏈路層發現之自動多機箱鏈路聚合組態 | |
| US20070101422A1 (en) | Automated network blocking method and system | |
| CN107332814B (zh) | 一种请求消息传输方法及装置 | |
| CN105704042A (zh) | 报文处理方法、bng及bng集群系统 | |
| CN102916826A (zh) | 网络接入的控制方法及装置 | |
| WO2015079284A1 (en) | Methods and systems for processing internet protocol packets | |
| US11283804B2 (en) | Group zoning and access control over a network | |
| CN111614476A (zh) | 设备配置方法、系统和装置 | |
| CN101459532A (zh) | 一种多网口设备自动组网的方法及设备 | |
| CN104270317A (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
| CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
| US20160344689A1 (en) | Network Management of Devices Residing Behind a Network Device | |
| CN101924700A (zh) | 报文处理方法、装置和网络设备 | |
| CN102263679A (zh) | 一种处理源角色信息的方法和转发芯片 | |
| CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
| CN101296196A (zh) | 一种鉴权方法及鉴权装置 | |
| CN107851005A (zh) | 使用多用户控制的系统安全 | |
| WO2017088504A1 (zh) | 一种虚拟化基站共享传输资源的方法及装置 | |
| CN118041819B (zh) | 一种数据处理方法、装置、设备以及计算机可读存储介质 | |
| CN116389173B (zh) | 一种企业生产网自组网实现方法、系统、介质及设备 | |
| CN114070830B (zh) | 互联网代理单臂部署架构、及互联网代理异地部署系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS Co.,Ltd. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |