CN102299929A - 虚拟机的访问控制方法、系统和装置 - Google Patents
虚拟机的访问控制方法、系统和装置 Download PDFInfo
- Publication number
- CN102299929A CN102299929A CN2011102745725A CN201110274572A CN102299929A CN 102299929 A CN102299929 A CN 102299929A CN 2011102745725 A CN2011102745725 A CN 2011102745725A CN 201110274572 A CN201110274572 A CN 201110274572A CN 102299929 A CN102299929 A CN 102299929A
- Authority
- CN
- China
- Prior art keywords
- physical machine
- packet
- virtual machine
- machine
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明实施例提出了一种虚拟机的访问控制方法、系统和装置。该方法包括:源物理机向交换机发送数据包,且数据包中标记有与所述源物理机上运行的源虚拟机所对应的标签;交换机将数据包转发至目的物理机,目的物理机上运行有目的虚拟机;目的物理机判断数据包中的标签及数据包的目的地址是否与目的虚拟机所对应的标签及目的虚拟机的IP地址均相同;如果均相同,则目的物理机将数据包发至所述目的虚拟机,否则,所述目的物理机拦截数据包。本发明实施例通过在数据包中标记标签从而能够隔离不同用户间的虚拟机访问,对于物理机来说只接收具有与其内部虚拟机的标签相同标签的数据包,如果不相同则将其拦截,有效地提高了网络安全。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种虚拟机的访问控制方法、系统和装置。
背景技术
随着云计算的飞速发展,在过去几年中云计算的概念、核心技术及其应用得到了政府、科研机构以及业界厂商的高度重视。从技术上来讲,云计算就是计算的虚拟化,即通过虚拟机实现云计算,从而带来虚拟化的网络访问问题。与传统网络相比,虚拟化网络的访问方式有了很大变化,因此不能采用原有的技术来规划现在的虚拟化网络。而虚拟化网络内各个虚拟机之间的隔离技术,作为实现虚拟化网络安全控制的必要步骤,成为了困扰云计算发展的瓶颈。
现有的实现虚拟机之间互相隔离的方法主要有两种方式,
第一种方式,利用iptables(ip表)防火墙对同一物理机上运行的多个虚拟机进行隔离。然而,利用iptables隔离多个虚拟机,需要在该物理机上手动添加iptables的规则,即添加不同IP地址的input\output\forward(输入\输出\转发)方法。
第二种方式,利用PVLAN(Private Virtual Local Area Network,专用虚拟局域网)技术隔离属于不同物理机之间的虚拟机。需要在交换机上进行配置,并将物理机与交换机连接的端口设置成isolated(隔离)。
从以上两种方式中可以看出,现有实现虚拟机之间互相隔离的方式都是基于交换机层面的控制,即一个交换机端口对应一个控制点。这无法解决多个虚拟机通过一个交换机端口发出数据包而导致的数据安全控制问题。例如,一个物理机与交换机的一个端口相连接,但是该物理机之上运行有多个虚拟机,此时交换机就无法获知接收到的数据包来自于该物理机上的哪一个虚拟机,从而无法进行有效的安全控制。同样地,同一个物理机内虚拟机之间数据流的控制,也没有通过交换机层面的控制,在物理机内部就完成了,因此对于这种不通过交换机的情况也无法进行有效地进行虚拟机之间的相互隔离,从而满足网络控制的安全需要。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一,为此,本发明的一个目的在于提出一种虚拟机的访问控制方法、系统和装置。
本发明实施例第一方面提出了一种虚拟机的访问控制方法,包括以下步骤:源物理机向交换机发送数据包,且所述数据包中标记有与所述源物理机上运行的源虚拟机所对应的标签;所述交换机将所述数据包转发至目的物理机,所述目的物理机上运行有目的虚拟机;所述目的物理机判断所述数据包中的标签及所述数据包的目的地址是否与所述目的虚拟机所对应的标签及所述目的虚拟机的IP地址均相同;如果均相同,则所述目的物理机将所述数据包发至所述目的虚拟机,否则,所述目的物理机拦截所述数据包。
本发明实施例第二方面提出了一种虚拟机的访问控制系统,包括:源物理机,所述源物理机上运行有源虚拟机,所述源物理机用于发送数据包,且所述数据包中标记有与所述源虚拟机所对应的标签;交换机,用于接收并转发所述源物理机发送的数据包;以及目的物理机,用于在接收到所述交换机转发的所述数据包之后,判断所述数据包中的标签及所述数据包的目的地址是否与所述目的虚拟机所对应的标签及所述目的虚拟机的IP地址均相同,如均相同,则所述目的物理机将所述数据包发至所述目的虚拟机,否则,所述目的物理机拦截所述数据包。
本发明实施例第三方面提出了一种物理机,所述物理机上运行有至少一个虚拟机,所述物理机包括:标记模块,用于在所述虚拟机发送的数据包中标记所述虚拟机的标签;发送模块,用于发送标记有标签的所述数据包。
本发明实施例第四方面提出了一种交换机,包括:第一接收模块,用于接收源物理机发送的数据包,其中,所述数据包中标记有与所述源物理机上运行的源虚拟机所对应的标签;轮询模块,用于根据所述标签对与所述交换机相连的其他物理机进行轮询,以确定在与所述交换机相连的其他物理机上是否运行有与所述数据包中的标签所对应的虚拟机;第二接收模块,用于接收与所述交换机相连的其他物理机的响应,并将响应的所述其他物理机确定为所述目的物理机,将所述目的物理机上运行的与所述数据包中的标签所对应的虚拟机确定为所述目的虚拟机;以及发送模块,用于将所述数据包发送至所述目的物理机。
本发明实施例提供的虚拟机的访问控制方法系统和装置,通过在数据包中标记标签从而能够隔离不同用户间的虚拟机访问,对于物理机来说只接收具有与其内部虚拟机的标签相同的标签的数据包,如果不相同则将其拦截,从而避免标签不同的数据包达到同一个虚拟机,即虚拟机仅能接收到具有与自身标签相同的标签的数据包,有效地提高了网络安全。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的虚拟机的访问控制方法流程图;
图2为本发明实施例的一个具体的标签配置示意图;
图3为本发明一个具体实施例的虚拟机的访问控制方法流程图;
图4为本发明实施例交换机转发数据包的流程图;
图5为本发明实施例的虚拟机的访问控制系统的结构图;
图6为本发明一个具体实施例的虚拟机的访问控制系统的结构图;
图7为本发明实施例的物理机的结构图;
图8为本发明实施例的交换机的结构图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
如图1所示,为本发明实施例的虚拟机的访问控制方法流程图,包括以下步骤:
步骤S101,源物理机向交换机发送数据包,且该数据包中标记有与源物理机上运行的源虚拟机所对应的标签。
步骤S102,交换机将数据包转发至目的物理机,该目的物理机上运行有目的虚拟机。
步骤S103,目的物理机判断数据包中的标签及数据包的目的地址是否与目的虚拟机所对应的标签及目的虚拟机的IP(Internet Protocol,网络协议)地址均相同。
步骤S104,如果均相同,则目的物理机将数据包发至目的虚拟机。
步骤S105,如果判断任一个不相同,则目的物理机拦截数据包。
在本发明的实施例中,需要对物理机上运行的一个或多个虚拟机预先配置标签,这样在虚拟机发送数据包时,物理机就会在该数据包中标记该虚拟机所对应的标签,从而其他虚拟机能够获知该数据包来自哪个虚拟机。在该实施例中,物理机可为服务器、计算机等硬件设备。此外,为了使得虚拟机能够跨越物理机进行通信,且能够获得有效的隔离,在该实施例中,还需要为两个相互通信的虚拟机(分别属于不同的物理机)设置相同的标签,这样才能够保证两个虚拟机能够跨越物理机进行通信。如图2所示,为本发明实施例的一个具体的标签配置示意图。例如对于源物理机100来说,如果其上运行的VM(VirtualMachine,虚拟机)110、VM120和VM130要与目的物理机200上运行的VM210、VM220和VM230分别通信的话,则要为其设置相同的标签,例如,VM110和VM210的标签均设为TAG1,VM120和VM220的标签均设为TAG2,VM130和VM230的标签均设为TAG3。
另外,还需要说明的是,虽然在该实施例中以每个物理机上运行多个虚拟机为例进行说明,然而在本发明的其他实施例中一个物理机之上也可以运行一个虚拟机。为了便于理解,以下实施例结合图2的结构进行说明。
如图3所示,为本发明一个具体实施例的虚拟机的访问控制方法流程图,该方法包括以下步骤:
步骤S301,源物理机100接收在源物理机100上运行的源虚拟机的数据包,例如VM110,其中,VM110具有标签TAG1。在该实施例中,对于同一个物理机来说,其内部虚拟机的标签均不相同,但可与其他物理机内部虚拟机的标签相同,从而可以跨越物理机进行通信。在该实施例中,源物理机100之上可运行一个虚拟机,也可以运行多个虚拟机。如果源物理机100之上有多个虚拟机,则其他虚拟机按照上述VM110的发送方式发送数据即可,在此不再赘述。
步骤S302,源物理机100在数据包中标记VM110(即源虚拟机)所对应的标签,例如TAG1,并将数据包发送至交换机300。参照图2,源物理机100与交换机300的第一端口310相连,通过第一端口310将该数据包(标记有标签的)发送至交换机300。
步骤S303,交换机300将数据包转发至目的物理机200。目的物理机200上运行有目的虚拟机。其中,在该实施例中,交换机300可与源物理机100和一个或多个其他物理机相连,在该实施例中,以图2的目的物理机200为例进行描述。其中,目的物理机200通过第二端口320与交换机300相连。当然在本发明的其他实施例中,交换机300可连接两个以上的物理机。
步骤S304,目的物理机200判断数据包中的标签及数据包目的地址是否与目的物理机200的VM210所对应的标签和VM210的IP地址均相同。
步骤S305,如果均相同,则目的物理机200将数据包发至对应的虚拟机,即VM210。例如参照图2所示,源物理机100的VM110与目的物理机200的VM210通信时,数据包的标签为TAG1,这样目的物理机在收到数据包之后判断数据包的标签为TAG1,从而将该数据包转发给VM210。
步骤S306,如果判断任一个不相同,则目的物理机200拦截该数据包。
具体地,如图4所示,为本发明实施例交换机转发数据包的流程图,当然在本发明的其他实施例中还可通过其他方式转发数据包。交换机将数据包转发至对应的虚拟机进一步包括:
步骤S401,交换机300获得数据包中的标签,并对与该交换机300相连的其他物理机进行轮询,以确定在其他物理机上是否运行有与数据包中的标签所对应的虚拟机,其他物理机是指源物理机以外的与交换机相连的物理机。其中,在本发明的实施例中,判断在其他物理机上是否运行有与所述数据包中的标签所对应的虚拟机具体可以为:判断物理机上是否运行有某个虚拟机,该虚拟机所对应的标签与数据包中的标签相同。
更为具体地,交换机300将该标签发送至与交换机300相连的其他物理机。在该实施例中,交换机300的轮询仅进行一次,即在VM110与VM210之间第一次交互时进行,在交换机300收到目的物理机200的响应之后,就知道VM210运行在目的物理机200中,并将目的物理机200的介质访问控制(Medium AccessControl;以下简称:MAC)地址与数据包的目的地址相关联,并加入存储在所述交换机中的MAC地址与IP地址的对应关系表中。从而交换机300再次收到VM110发给VM210的数据包之后,就可以根据该对应关系表进行发送。
步骤S402,其他物理机对收到的标签进行检查,以检查其上是否运行有与VM110的标签相对应的虚拟机。在本发明的实施例中,假设目的物理机200的VM210与VM110具有相同的标签。
步骤S403,当其他物理机中具有与源虚拟机100的标签相对应的虚拟机时,将该其他物理机确定为目的物理机,将该其他物理机上运行的与所述数据包中的标签相对应的虚拟机确定为所述目的虚拟机,并对交换机300进行响应。
更为具体地,在本发明的一个实施例中,VM210先进行响应并将自身的MAC地址发送给目的物理机200,目的物理机200保存该VM210的MAC地址与该VM210的IP地址的对应关系。目的物理机200将该物理机的MAC地址发送至交换机。
步骤S404,交换机300将该数据包的目标地址与物理机的MAC地址相关联,并加入存储在交换机300中的MAC地址与IP地址的对应关系表中,同时将数据包发送至响应的物理机,即目的物理机200。
以上步骤S401-404完成了物理机对交换机轮询的响应。如果物理机的MAC地址与IP地址的对应列表已存储在交换机300之中,则交换机300就可以无需轮询直接根据该对应关系表查找目的物理机200的MAC地址。
如图5所示,为本发明实施例的虚拟机的访问控制系统的结构图。该虚拟机的访问控制系统包括源物理机100、目的物理机200和交换机300。其中,源物理机100上运行有源虚拟机。源物理机100用于发送数据包,且数据包中标记有与源虚拟机所对应的标签。交换机300用于接收并转发源物理机100发送的数据包。目的物理机200用于在接收到交换机300转发的数据包之后,判断数据包中的标签及数据包的目的地址是否与目的虚拟机所对应的标签及目的虚拟机的IP地址均相同,如均相同,则目的物理机200将数据包发至对应的目的虚拟机,否则,目的物理机200拦截数据包。交换机300用于将源物理机100发送的数据包向目的物理机200转发。
在本发明的一个实施例中,交换机300的第一端口与源物理机100相连,交换机300的第二端口与目的物理机200相连。
如图6所示,为本发明一个具体实施例的虚拟机的访问控制系统的结构图。在上述图5所示实施例的基础上,交换机300可以进一步包括第一接收模块310、轮询模块320、确定模块330和发送模块340。其中,第一接收模块310用于接收源物理机100发送的数据包,及用于接收与交换机300相连的其他物理机对交换机300发出轮询的响应,其中,数据包中标记有与源虚拟机相对应的标签。轮询模块320用于根据数据包中的标签对与交换机300相连的其他物理机进行轮询,以确定在其他物理机上是否运行有与数据包中的标签所对应的虚拟机。确定模块330用于当第一接收模块310接收到其他物理机的响应时,将其他物理机确定为目的物理机200,将其他物理机上运行的与该数据包中的标签相对应的虚拟机确定为目的虚拟机;发送模块340用于将数据包发送至目的物理机200,即对轮询进行响应的物理机。
在本发明的一个实施例中,交换机300还包括存储模块350和创建模块360。存储模块350用于存储与交换机300相连的目的物理机的MAC地址与IP地址的对应关系表。创建模块360用于将数据包的目标地址与物理机的MAC地址相关联,并加入存储在存储模块350中的MAC地址与地址的对应关系表中。
进一步地,目的物理机200可以进一步包括第二接收模块210和响应模块220。第二接收模块210用于接收交换机300的轮询请求,其中,轮询请求中标记有数据包中的标签。响应模块220用于在目的物理机200中上运行有与数据包中的标签所对应的虚拟机时,将目的物理机200的MAC地址发送至交换机300以对交换机300进行响应。
本发明还提出了一种物理机,例如物理服务器等,且在物理机之上运行有至少一个虚拟机。如图7所示,为本发明实施例的物理机的结构图。该物理机500包括标记模块510和发送模块520。其中,标记模块510用于在虚拟机发送的数据包中标记虚拟机的标签。发送模块520用于发送标记有标签的数据包。
在本发明的一个实施例中,物理机500还可以包括接收模块、判断模块和响应模块。接收模块用于接收交换机的所轮询请求,其中,轮询请求中具有交换机轮询的标签。判断模块用于根据交换机的轮询请求判断在物理机500中的虚拟机是否具有与交换机轮询的标签相同的标签。响应模块用于在判断模块判断在物理机500中的虚拟机具有与交换机轮询的标签相同的标签时,将物理机500的MAC地址发送至交换机以对交换机进行响应。
本发明还提出了一种交换机,如图8所示,为本发明实施例的交换机的结构图。该交换机600包括第一接收模块610、轮询模块620、第二接收模块630和发送模块640。其中,第一接收模块610用于接收源物理机发送的数据包,其中,数据包中标记有与源物理机上运行的源虚拟机所对应的标签。轮询模块620用于根据标签对与交换机600相连的其他物理机进行轮询,以确定在与交换机600相连的其他物理机上是否运行有与数据包中的标签所对应的虚拟机。第二接收模块630用于接收与交换机600相连的物理机对交换机600发出轮询的响应,并将响应的其他物理机确定为目的物理机,将目的物理机上运行的与数据包中的标签所对应的虚拟机确定为目的虚拟机。发送模块640用于将数据包发送至目的物理机。
在本发明的一个实施例中,交换机600还可以包括存储模块和创建模块。存储模块用于存储与交换机600相连的目的物理机的MAC地址与IP地址的对应关系表。创建模块用于将数据包的目标地址与物理机的MAC地址相关联,并加入储在存储模块的MAC地址与地址的对应关系表中。
本发明实施例通过在数据包中标记标签从而能够隔离不同用户间的虚拟机访问,对于物理机来说只接收具有与其内部虚拟机的标签相同的标签的数据包,如果不相同则将其拦截,从而避免标签不同的数据包达到同一个虚拟机,即虚拟机仅能接收到具有与自身标签相同的标签的数据,有效地提高了网络安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
Claims (13)
1.一种虚拟机的访问控制方法,其特征在于,包括以下步骤:
源物理机向交换机发送数据包,且所述数据包中标记有与所述源物理机上运行的源虚拟机所对应的标签;
所述交换机将所述数据包转发至目的物理机,所述目的物理机上运行有目的虚拟机;
所述目的物理机判断所述数据包中的标签及所述数据包的目的地址是否与所述目的虚拟机所对应的标签及所述目的虚拟机的IP地址均相同;以及
如果均相同,则所述目的物理机将所述数据包发至所述目的虚拟机,否则,所述目的物理机拦截所述数据包。
2.如权利要求1所述的虚拟机的访问控制方法,其特征在于,所述交换机将所述数据包转发至目的物理机进一步包括:
所述交换机获得所述数据包中的标签,并对与所述交换机相连的其他物理机进行轮询,以确定在所述其他物理机上是否运行有与所述数据包中的标签所对应的虚拟机;
当所述其他物理机上运行有与所述数据包中的标签所对应的虚拟机时,对所述交换机进行响应;以及
所述交换机将所述其他物理机确定为所述目的物理机,将所述其他物理机上运行的与所述数据包中的标签相对应的虚拟机确定为所述目的虚拟机,并将所述数据包发送至所述目的物理机。
3.如权利要求2所述的虚拟机的访问控制方法,其特征在于,所述其他物理机对所述交换机进行响应进一步包括:
所述其他物理机将MAC地址发送至所述交换机;以及
所述交换机将所述数据包的目的地址与所述其他物理机的MAC地址相关联,并加入存储在所述交换机中的MAC地址与IP地址的对应关系表中。
4.如权利要求2所述的虚拟机的访问控制方法,其特征在于,所述源物理机与所述交换机的一个端口相连,所述其他物理机与所述交换机的另一个端口相连。
5.一种虚拟机的访问控制系统,其特征在于,包括:
源物理机,所述源物理机上运行有源虚拟机,所述源物理机用于发送数据包,且所述数据包中标记有与所述源虚拟机所对应的标签;
交换机,用于接收并转发所述源物理机发送的数据包;以及
目的物理机,用于在接收到所述交换机转发的所述数据包之后,判断所述数据包中的标签及所述数据包的目的地址是否与所述目的虚拟机所对应的标签及所述目的虚拟机的IP地址均相同,如均相同,则所述目的物理机将所述数据包发至所述目的虚拟机,否则,所述目的物理机拦截所述数据包。
6.如权利要求5所述的虚拟机的访问控制系统,其特征在于,所述交换机的第一端口与所述源物理机相连,所述交换机的第二端口与所述目的物理机相连。
7.如权利要求5所述的虚拟机的访问控制系统,其特征在于,所述交换机进一步包括:
第一接收模块,用于接收所述源物理机发送的数据包,及接收与所述交换机相连的其他物理机的响应,其中,所述数据包中标记有与所述源虚拟机相对应的标签;
轮询模块,用于根据所述数据包中的标签对与所述交换机相连的其他物理机进行轮询,以确定在所述其他物理机上是否运行有与所述数据包中的标签所对应的虚拟机;
确定模块,用于当所述第一接收模块接收到所述其他物理机的响应时,将所述其他物理机确定为所述目的物理机,将所述其他物理机上运行的与所述数据包中的标签相对应的虚拟机确定为所述目的虚拟机;以及
发送模块,用于将所述数据包发送至所述目的物理机。
8.如权利要求7所述的虚拟机的访问控制系统,其特征在于,所述目的物理机进一步包括:
第二接收模块,用于接收所述交换机的轮询请求,其中,所述轮询请求中标记有所述数据包中的标签;以及
响应模块,用于在所述目的物理机上运行有与所述数据包中的标签所对应的虚拟机时,将所述目的物理机的MAC地址发送至所述交换机以对所述交换机进行响应。
9.如权利要求8所述的虚拟机的访问控制系统,其特征在于,所述交换机还包括:
存储模块,用于存储与所述交换机相连的目的物理机的MAC地址与IP地址的对应关系表;以及
创建模块,用于将所述数据包的目标地址与所述目的物理机的MAC地址相关联,并加入存储在所述存储模块中的MAC地址与IP地址的对应关系表中。
10.一种物理机,其特征在于,所述物理机上运行有至少一个虚拟机,所述物理机包括:
标记模块,用于在所述虚拟机发送的数据包中标记所述虚拟机的标签;
发送模块,用于发送标记有标签的所述数据包。
11.如权利要求10所述的物理机,其特征在于,还包括:
接收模块,用于接收所述交换机的轮询请求,其中,所述轮询请求中标记有所述交换机所轮询的标签;以及
响应模块,用于在所述物理机上运行有与所述交换机所轮询的标签所对应的虚拟机时,将所述物理机的MAC地址发送至所述交换机以对所述交换机进行响应。
12.一种交换机,其特征在于,包括:
第一接收模块,用于接收源物理机发送的数据包,其中,所述数据包中标记有与所述源物理机上运行的源虚拟机所对应的标签;
轮询模块,用于根据所述标签对与所述交换机相连的其他物理机进行轮询,以确定在与所述交换机相连的其他物理机上是否运行有与所述数据包中的标签所对应的虚拟机;
第二接收模块,用于接收与所述交换机相连的其他物理机的响应,并将响应的所述其他物理机确定为所述目的物理机,将所述目的物理机上运行的与所述数据包中的标签所对应的虚拟机确定为所述目的虚拟机;以及
发送模块,用于将所述数据包发送至所述目的物理机。
13.如权利要求12所述的交换机,其特征在于,还包括:
存储模块,用于存储与所述交换机相连的目的物理机的MAC地址与IP地址的对应关系表;以及
创建模块,用于将所述数据包的目标IP地址与所述物理机的MAC地址相关联,并加入存储在所述存储模块中的MAC地址与IP地址的对应关系表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110274572.5A CN102299929B (zh) | 2011-09-15 | 2011-09-15 | 虚拟机的访问控制方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110274572.5A CN102299929B (zh) | 2011-09-15 | 2011-09-15 | 虚拟机的访问控制方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102299929A true CN102299929A (zh) | 2011-12-28 |
| CN102299929B CN102299929B (zh) | 2015-05-27 |
Family
ID=45360104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110274572.5A Active CN102299929B (zh) | 2011-09-15 | 2011-09-15 | 虚拟机的访问控制方法、系统和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102299929B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594707A (zh) * | 2012-03-21 | 2012-07-18 | 北京天地云箱科技有限公司 | 网络控制系统及网络交换适配器 |
| CN102929690A (zh) * | 2012-11-07 | 2013-02-13 | 曙光云计算技术有限公司 | 虚拟机访问控制的方法和装置 |
| CN103516705A (zh) * | 2012-06-26 | 2014-01-15 | 纬创资通股份有限公司 | 虚拟机的通信方法以及服务器端系统 |
| CN103516822A (zh) * | 2012-06-29 | 2014-01-15 | 同方股份有限公司 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
| CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
| CN103701822A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 访问控制方法 |
| CN104601467A (zh) * | 2014-12-31 | 2015-05-06 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| CN105450430A (zh) * | 2014-07-17 | 2016-03-30 | 华为技术有限公司 | 一种信息传输方法及装置 |
| CN106470155A (zh) * | 2015-08-14 | 2017-03-01 | 中国电信股份有限公司 | 一种虚拟机数据的转发方法、sdn控制器和sdn系统 |
| CN107045432A (zh) * | 2017-04-05 | 2017-08-15 | 何龙 | 多屏显示协同处理控制方法和系统 |
| CN107070959A (zh) * | 2017-06-28 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络隔离的方法和装置 |
| WO2018141242A1 (zh) * | 2017-02-06 | 2018-08-09 | 腾讯科技(深圳)有限公司 | 资源调度的方法、系统、服务器和存储介质 |
| CN108574719A (zh) * | 2017-04-19 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN108574718A (zh) * | 2017-04-19 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN111357246A (zh) * | 2017-07-10 | 2020-06-30 | 比吉斯合伙人有限公司 | 用于分组监视和重放的网络 |
| CN115913824A (zh) * | 2023-02-10 | 2023-04-04 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459618A (zh) * | 2009-01-06 | 2009-06-17 | 北京航空航天大学 | 虚拟机网络的数据包转发方法和装置 |
| CN101650667A (zh) * | 2009-08-31 | 2010-02-17 | 曙光信息产业(北京)有限公司 | 一种虚拟机管理系统及方法 |
| WO2011037104A1 (ja) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法 |
-
2011
- 2011-09-15 CN CN201110274572.5A patent/CN102299929B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459618A (zh) * | 2009-01-06 | 2009-06-17 | 北京航空航天大学 | 虚拟机网络的数据包转发方法和装置 |
| CN101650667A (zh) * | 2009-08-31 | 2010-02-17 | 曙光信息产业(北京)有限公司 | 一种虚拟机管理系统及方法 |
| WO2011037104A1 (ja) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594707A (zh) * | 2012-03-21 | 2012-07-18 | 北京天地云箱科技有限公司 | 网络控制系统及网络交换适配器 |
| CN103516705B (zh) * | 2012-06-26 | 2016-04-06 | 纬创资通股份有限公司 | 虚拟机的通信方法以及服务器端系统 |
| CN103516705A (zh) * | 2012-06-26 | 2014-01-15 | 纬创资通股份有限公司 | 虚拟机的通信方法以及服务器端系统 |
| CN103516822A (zh) * | 2012-06-29 | 2014-01-15 | 同方股份有限公司 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
| CN102929690A (zh) * | 2012-11-07 | 2013-02-13 | 曙光云计算技术有限公司 | 虚拟机访问控制的方法和装置 |
| CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
| CN103701822A (zh) * | 2013-12-31 | 2014-04-02 | 曙光云计算技术有限公司 | 访问控制方法 |
| CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| CN105099953B (zh) * | 2014-04-28 | 2018-06-19 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| CN105450430A (zh) * | 2014-07-17 | 2016-03-30 | 华为技术有限公司 | 一种信息传输方法及装置 |
| CN105450430B (zh) * | 2014-07-17 | 2019-02-26 | 华为技术有限公司 | 一种信息传输方法及装置 |
| CN104601467A (zh) * | 2014-12-31 | 2015-05-06 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| WO2016107379A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| CN104601467B (zh) * | 2014-12-31 | 2018-03-13 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| CN106470155A (zh) * | 2015-08-14 | 2017-03-01 | 中国电信股份有限公司 | 一种虚拟机数据的转发方法、sdn控制器和sdn系统 |
| US11442790B2 (en) | 2017-02-06 | 2022-09-13 | Tencent Technology (Shenzhen) Company Limited | Resource scheduling system, method and server for ensuring high availability of services |
| WO2018141242A1 (zh) * | 2017-02-06 | 2018-08-09 | 腾讯科技(深圳)有限公司 | 资源调度的方法、系统、服务器和存储介质 |
| CN107045432A (zh) * | 2017-04-05 | 2017-08-15 | 何龙 | 多屏显示协同处理控制方法和系统 |
| CN108574718A (zh) * | 2017-04-19 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN108574719A (zh) * | 2017-04-19 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN108574718B (zh) * | 2017-04-19 | 2021-03-26 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN108574719B (zh) * | 2017-04-19 | 2021-04-20 | 北京金山云网络技术有限公司 | 一种云主机创建方法及装置 |
| CN107070959A (zh) * | 2017-06-28 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络隔离的方法和装置 |
| CN111357246A (zh) * | 2017-07-10 | 2020-06-30 | 比吉斯合伙人有限公司 | 用于分组监视和重放的网络 |
| CN111357246B (zh) * | 2017-07-10 | 2022-03-15 | 比吉斯合伙人有限公司 | 用于分组监视和重放的网络 |
| CN115913824A (zh) * | 2023-02-10 | 2023-04-04 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
| CN115913824B (zh) * | 2023-02-10 | 2023-07-25 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102299929B (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102299929A (zh) | 虚拟机的访问控制方法、系统和装置 | |
| US9634991B2 (en) | Method, apparatus, host, and network system for processing packet | |
| US10135717B2 (en) | Transferring data in a gateway | |
| US10333845B2 (en) | Forwarding data packets | |
| US9973422B2 (en) | Traffic interconnection between virtual devices | |
| CN103200069B (zh) | 一种报文处理的方法和设备 | |
| CN102160328B (zh) | 用于协调分布式虚拟网络交换环境中的多播消息传送的中央控制器 | |
| CN101383778B (zh) | 基于网络双出口的报文传输方法和出口路由器 | |
| CN102164091A (zh) | 一种mac地址表建立方法及运营商边缘设备 | |
| CN104869042A (zh) | 报文转发方法和装置 | |
| CN107426077A (zh) | 用于实现物理网络和虚拟网络互通的方法和设备 | |
| CN105262667A (zh) | Overlay网络中控制组播传输的方法、装置 | |
| WO2015100042A1 (en) | Automatic resolution of vni to vlan mapping conflicts in dual-homed deployments | |
| CN106130819B (zh) | Vtep异常的检测方法及装置 | |
| CN108259635B (zh) | 一种arp表项学习方法和dr设备 | |
| CN104852840A (zh) | 一种控制虚拟机之间互访的方法及装置 | |
| CN105827495A (zh) | Vxlan网关的报文转发方法和设备 | |
| US9614749B2 (en) | Data processing system and method for changing a transmission table | |
| CN101635702A (zh) | 应用安全策略的数据包转发方法 | |
| CN102647370A (zh) | 具备ZigBee通信功能的WiFi路由器及WiFi网络和ZigBee网络之间的通信方法 | |
| CN108259295B (zh) | Mac地址同步方法及装置 | |
| CN105052106A (zh) | 用于接收和传输互联网协议(ip)数据包的方法和系统 | |
| CN103067270A (zh) | 一种虚拟机互访安全控制方法及装置 | |
| CN102572013A (zh) | 一种基于免费arp实现代理arp的方法及系统 | |
| CN104935509A (zh) | 一种纵向堆叠系统中防止产生环路的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160513 Address after: 214135 Jiangsu province Wuxi city Wuxi District Taihu international science and Technology Park Linghu Road No. 200 China Sensor Network International Innovation Park Room D2-622 Patentee after: Wuxi Tianyun Data Center Technology Co. Ltd. Address before: 100176, room six, building 18, building 1, North Street, No. 606, Sheng Bei street, Beijing economic and Technological Development Zone, Beijing Patentee before: Beijing Cloud-frame Technology Co., Ltd. |