CN103067270A - 一种虚拟机互访安全控制方法及装置 - Google Patents
一种虚拟机互访安全控制方法及装置 Download PDFInfo
- Publication number
- CN103067270A CN103067270A CN2013100072522A CN201310007252A CN103067270A CN 103067270 A CN103067270 A CN 103067270A CN 2013100072522 A CN2013100072522 A CN 2013100072522A CN 201310007252 A CN201310007252 A CN 201310007252A CN 103067270 A CN103067270 A CN 103067270A
- Authority
- CN
- China
- Prior art keywords
- layer message
- tunnel
- message
- virtual
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟机互访安全控制方法及对应装置,该方法包括:A、根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则转C进行处理;B、根据二层报文的目的MAC地址对该二层报文进行转发;C、与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;D、接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文并转B进行转发。本发明可以避免对外部网络设备进行修改而引发的实现成本高昂的问题,并且服务器的改进也很简单。
Description
技术领域
本发明涉及虚拟化技术,尤其涉及一种虚拟机互访安全控制方法及装置。
背景技术
数据中心通常包括三个主要的组成部分:计算、网络和存储;这三个部分都在向虚拟化方向发展。其中作为计算资源的服务器的虚拟化是云计算中的核心技术之一,也是目前发展最为成熟的虚拟化技术。传统服务器由于服务器性能和网络通信端口的不匹配等问题导致服务器计算性能可能被闲置。而服务器的虚拟化技术,则可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作系统和应用程序,从而有效提升服务器本身硬件资源的利用效率。
发明内容
有鉴于此,本发明提供一种虚拟机互访安全控制装置,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,该装置包括:隧道处理模块、虚拟交换模块以及虚拟过滤模块;其中:
虚拟过滤模块,用于根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则将该二层报文提交隧道处理模块进行处理;
虚拟交换模块,用于根据二层报文的目的MAC地址对该二层报文进行转发;
隧道处理模块,用于与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;其中该隧道处理模块进一步用于接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块。
本发明还提供一种虚拟机互访安全控制方法,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,其中该方法包括以下步骤:
步骤A、根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则转步骤C进行处理;
步骤B、根据二层报文的目的MAC地址对该二层报文进行转发;
步骤C、与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;
步骤D、接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文并转步骤B进行转发。
本发明巧妙地利用隧道技术实现将虚拟机互访报文重定向到外部网络设备上进行安全检查,在实现上巧妙利用了各种成熟机制,可以避免对外部网络设备进行修改而引发的实现成本高昂的问题,并且服务器端的设计方案更加简洁且成本更低。
附图说明
图1是一种典型的物理服务器虚拟化之后的架构示意图。
图2是一种实施方式中服务器与外部网络设备逻辑层面交互示意图。
图3是一种实施方式中安全控制过程的处理流程图。
具体实施方式
请参考图1,服务器的虚拟化架构是在物理服务器上引入虚拟化层,其是一种中间层虚拟化软件,主要用于创建虚拟机(Virtual Machine,VM),并为虚拟机分配合理的硬件资源,比如CPU中的一个或者多个内核(即CPU中集成的一个或多个完整的计算引擎)分配给虚拟机1等。虚拟机从逻辑功能上看,与传统的物理服务器并无区别,拥有自己的操作系统,并可以在操作系统之上安装各种应用。在数据中心的物理服务器被广泛虚拟化后,安全问题也就相应产生了。在计算机网络以及软件技术中,任何新增的功能都可能存在安全问题而需要加以考虑。虚拟化软件相当于在已知传统安全威胁(如针对操作系统和应用程序的攻击)基础上引入了新的安全威胁。例如:针对虚拟化软件及对应管理平台的漏洞攻击。
在虚拟化环境下,单台物理服务器上的各虚拟机之间可能存在直接的二层流量交换,通常这种二层交换并不需要经过外置的二层交换机,管理员对于该部分报文流量既不可控也不可见。因此管理员面临的挑战是如何确保虚拟机之间的互相访问符合预定的安全策略。如果该虚拟机之间的访问互访被允许,如何判断这些访问是否存在攻击行为。目前针对上述问题有一些解决方案,比如Cisco公司提出的Cisco802.1BR技术,该技术方案的设计思路是将虚拟机互访报文流量重定向到外部接入交换机或其他网络设备上的外置安全模块进行安全控制。在该方案中,将流量重定向到接入交换机的方式需要同时在Hypervisor层面、服务器网卡层面和接入交换机层面做出修改,具体来说:802.1BR技术需要在hypervisor层面进行重定向修改,并且每一个虚拟机需要有相应的虚拟通道和位于接入交换机上的虚拟端口,需要接入交换机做较大的修改来支持,技术实现难度大。
请参考图2以及图3,本发明在一个实施方式中提供一种实现虚拟机互访控制装置以及对应的处理方法。该装置应用于物理服务器上,其中该物理服务器可采用当前各种流行的硬件架构,包括CPU、内存、存储器以及网卡等基本硬件。该装置包括:隧道处理模块、虚拟过滤模块以及虚拟交换模块。请参考图2的中虚拟机交互内部虚拟网络交互示意,在一种实施方式中,该装置可以理解为对服务器内部的虚拟交换机VSwitch功能的改进,该装置运行在服务器上执行如下的处理过程。
步骤101,服务器的虚拟化模块创建一个或者多个虚拟机,为虚拟机分配硬件资源;
步骤102,隧道处理模块,与负责安全处理的外部网络设备建立隧道连接;
步骤103,从自身的虚拟二层端口接收第一虚拟机发送的二层报文并将该二层报文提交给虚拟过滤模块处理;
步骤104,虚拟过滤模块根据预设过滤规则对该二层报文进行过滤,如果该二层报文命中所述过滤规则,则转步骤105由隧道处理模块对该二层报文进行处理,否则丢弃该报文或者转步骤10由虚拟交换模块继续处理。
步骤105,隧道处理模块,用于对二层报文进行隧道封装形成隧道报文,并通过隧道连接发送给所述负责安全处理的外部网络设备;
步骤106,外部网络设备从隧道上接收到来自服务器的隧道报文,对该隧道报文中进行解封装获得其中的二层报文;
步骤107,外部网络设备利用自身的安全处理模块按照预定的安全规则对该二层报文进行安全处理;并将通过安全处理的二层报文进行封装形成隧道报文,然后通过隧道连接发送给服务器;
步骤108,隧道处理模块接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块;
步骤109,虚拟交换模块,根据二层报文的目的MAC地址对该二层报文进行转发。
在本实施方式中,各个模块以及虚拟结构均可以理解为计算机程序在CPU上运行形成的逻辑模块或者结构,其代表了计算机程序的实体功能。目前,在数据中心中的主流物理服务器通常可以创建多个虚拟机,每个虚拟机所分配到的硬件资源不尽相同,各个虚拟机使用的操作系统以及上层应用也不尽相同。有的虚拟机可以作为Web服务器,有的虚拟机作为数据库服务器,有的虚拟机作为网络应用服务器,比如DNS服务器或者DHCP服务器,有的虚拟机可能作为其他应用服务器。这些虚拟机通常由虚拟化模块来创建,虚拟化模块可以依据用户的需求来分配硬件资源,而其上的操作系统以及应用通常由用户自行安装。
在传统网络中,几个物理上相互靠近的物理服务器需要接入网络时,人们通常使用交换机来实现这一目标。由于虚拟机本质功能上与服务器是相同的,虚拟机接入网络则由物理服务器内部虚拟交换机来实现。在本实施方式中,虚拟交换机也由作为中间层虚拟化软件的虚拟化模块创建,其包括虚拟交换模块,连接各个虚拟机的虚拟端口,虚拟过滤过滤模块以及隧道处理模块。虚拟交换机包括了很多普通物理交换机所具有的基础功能。比如说虚拟过滤模块的设计可以参考物理交换芯片中的ACL机制实现。
同一个物理服务器中的各个虚拟机之间存在通信需求,如果虚拟机被划分到不同的二层网络中,比如第一和第二虚拟机归分别被规划在不同的VLAN(Virtual Local Area Network,虚拟局域网)中,那么第一及第二虚拟机之间的互相访问最终是要通过外部的网关设备才能实现的,二者的通信在本质上是三层的IP通信,请参考图2中带有箭头的线条。由于三层通信会经过外部的网络设备,利用中间网络设备(比如接入交换机)上部署的安全控制模块就可以进行安全处理,这样可以确保双方的互访是相对安全可靠的。
事实上,管理员可能将多个虚拟机规划在同一个VLAN中。如果第一及第二虚拟机属于同一个VLAN,二者在同一个广播域,此时第一及第二虚拟机之间的通信是不需要经过网关设备的。第一及第二虚拟机可以通过ARP协议知晓对方的MAC地址,于是在发送二层报文时,使用的目的MAC地址就是对方的MAC地址,而三层通信中目的MAC地址通常是网关的MAC地址。第一及第二虚拟交换机互相通信时发送的报文到达虚拟交换机时,虚拟交换机可以查找MAC地址表执行二层转发。如果不做特别处理,这意味着两个虚拟机之间的二层通信过程中交互的报文是没有经过安全处理的。
在本发明中,第一虚拟机发送给第二虚拟机的报文到达虚拟交换机的虚拟端口时,虚拟交换机的各个模块可以对此进行控制。首先,可以执行步骤103将所有从虚拟端口(可理解为虚拟交换机的接入端口)收到的二层报文先送到虚拟过滤模块进行过滤。在不少应用场景中,不是所有的二层报文的处理流程都相同的,比如说,有一些类型的报文可以通过虚拟交换模块进行单纯的转发即可,有一些报文需要立即丢弃,还有一些报文则需要送到外部网络设备上进行安全处理。当然,需要说明的是,步骤103对于本发明来说并不是必须的。请参考表1的示例,过滤通常是基于报文的特征进行的,常用的包括源MAC地址、源IP地址、目的IP地址、目的MAC地址、Vlan以及协议类型等。
表1
隧道处理模块可以与一个负责安全处理的外部网络设备的多个虚拟实体或者多个负责安全处理的外部网络设备建立多条隧道连接。这样虚拟交换机的虚拟过滤模块可以将命中不同过滤规则的不同类型的报文通过不同的隧道连接进行发送,这样就可以实现不同VLAN或广播域的独立安全控制。请参考表1的示例,其中命中过滤规则1的二层报文将通过与该过滤规则对应的隧道0发送,而命中过滤规则2的将通过与该过滤规则对应的隧道1发送。当然,如果报文没有命中过滤规则,则按照正常的程序进行处理,比如丢弃该报文(可能命中了丢弃规则)或者送到虚拟交换模块进行二层转发。
二层报文送到隧道处理模块之后,隧道处理模块会将该二层报文作为封装对象进行隧道封装形成隧道报文。在优选的方式中,本发明采用GRE以GRE隧道技术,当然本发明并不排除其他隧道技术。在本实施方式中,考虑到访问外部网络设备需要通过三层通信进行,也就是说隧道报文可能需要经过三层设备的IP转发,GRE隧道采用Ethernet Over IP,因此GRE隧道技术作为三层隧道技术具有更广泛的适应性,对于外部网络设备具体位置的要求比较低;而采用二层隧道技术则要求负责安全处理的外部网络设备与服务器要在同一个二层网络内。请参考表2所示的隧道报文的格式的说明。
表2
如表2所示,对于GRE隧道来说,原始的二层报文是隧道报文的载荷。二层报文做做完GRE封装后,经过隧道连接传输到对端外部网络设备上后,经过外部网络设备使用自身的隧道处理模块执行解封装之后就可以得到其中承载的原始的二层报文,亦即二层报文在这一过程中被透明地传输到对端,二层报文本身未有发生实质变化。外部网络设备获得原始的二层报文之后就可以利用自身的安全处理模块进行安全处理。安全处理可以涉及多个层面,在优选的方式中可以对IP以上层级的内容进行处理,比如IP地址、端口号、TCP承载的应用等等。外部网络设备如何进行安全处理并不是本发明关注的重点,对于本发明而言外部网络设备的安全处理是一种可利用的安全处理资源而已。
外部网络设备的安全处理模块完成对原始二层报文的安全处理之后,如果二层报文通过了安全处理,则可以对该报文进行再次隧道封装,然后通过隧道连接发送回来。隧道处理模块收到外部网络设备返回的隧道报文之后,可以先进行解封装,获得原始的二层报文。此时的二层报文通过了安全处理,因此可以放心地进行转发了。此时隧道处理单元将原始的二层报文提交给虚拟交换模块,虚拟交换模块可以根据二层报文的目的MAC进行二层转发,假设目的MAC地址是第二虚拟机的MAC地址,虚拟交换模块查找自身的MAC转发表后通过相应的虚拟端口将二层报文发送给第二虚拟机。
在现有技术中,隧道技术的使用通常是为了跨越中间网络,构建虚拟专用网络VPN或者穿越NAT设备。在本发明中,则利用了隧道技术来将二层报文送到外部的安全处理模块上进行安全处理,再利用隧道接收处理后的二层报文,创新将隧道技术与安全处理机制进行了有机的融合。这样的实现方案充分考虑了现有很多外部网络设备都支持一种或者多种隧道技术,同时很多网络设备也都有安全处理模块这样的资源可以利用。本发明的实现方案总体来说是充分利用已有资源,利用相对成熟的设计去解决不同的问题。首先,这对于服务器上的虚拟交换机的改进相对比较简单,开发模块也较少;其次虚拟过滤模块以及隧道处理模块在现有物理网络设备上都有既有的相对成熟的方案可供参考,开发工作量非常少,成本非常低。相较于现有技术的重定向实现方案来说,开发工作量以及实现成本极大程度的降低。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种虚拟机互访安全控制装置,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,该装置包括:隧道处理模块、虚拟交换模块以及虚拟过滤模块;其特征在于:
虚拟过滤模块,用于根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则将该二层报文提交隧道处理模块进行处理;
虚拟交换模块,用于根据二层报文的目的MAC地址对该二层报文进行转发;
隧道处理模块,用于与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;其中该隧道处理模块进一步用于接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块。
2.如权利要求1所述的装置,其特征在于:所述隧道为GRE隧道。
3.如权利要求1所述的装置,其特征在于:所述隧道处理单元,进一步用于使用多个隧道接口与负责安全处理的外部网络设备建立多条隧道连接;所述虚拟过滤模块进一步用于将命中不同过滤规则的二层报文提交给对应的隧道接口。
4.如权利要求1所述的装置,其特征在于,虚拟过滤模块进一步用于在所述二层报文没有命中过滤规则时,将该二层报文提交给虚拟交换模块或者将该二层报文丢弃。
5.一种虚拟机互访安全控制方法,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,其特征在于,该方法包括以下步骤:
步骤A、根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则转步骤C进行处理;
步骤B、根据二层报文的目的MAC地址对该二层报文进行转发;
步骤C、与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;
步骤D、接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文并转步骤B进行转发。
6.如权利要求5所述的方法,其特征在于:所述隧道为GRE隧道。
7.如权利要求5所述的方法,其特征在于:
所述步骤C进一步包括:
使用多个隧道接口与负责安全处理的外部网络设备建立多条隧道连接;
所述步骤B进一步包括:
将命中不同过滤规则的二层报文提交给对应的隧道接口。
8.如权利要求5所述的方法,其特征在于:
所述步骤B进一步包括:
在所述二层报文没有命中过滤规则时,转步骤B进行转发或者将该二层报文丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310007252.2A CN103067270B (zh) | 2013-01-08 | 2013-01-08 | 一种虚拟机互访安全控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310007252.2A CN103067270B (zh) | 2013-01-08 | 2013-01-08 | 一种虚拟机互访安全控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103067270A true CN103067270A (zh) | 2013-04-24 |
CN103067270B CN103067270B (zh) | 2016-12-28 |
Family
ID=48109738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310007252.2A Active CN103067270B (zh) | 2013-01-08 | 2013-01-08 | 一种虚拟机互访安全控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103067270B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103973578A (zh) * | 2013-01-31 | 2014-08-06 | 杭州华三通信技术有限公司 | 一种虚拟机流量重定向的方法及装置 |
CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
CN106992915A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 一种报文解封装处理、数据写入方法及装置 |
CN108390812A (zh) * | 2018-05-30 | 2018-08-10 | 新华三技术有限公司 | 报文转发方法及装置 |
CN112272387A (zh) * | 2020-09-22 | 2021-01-26 | 国电南瑞科技股份有限公司 | 基于5g的低调度时延与高速接入方法、模组、终端及电力二次设备 |
CN115134194A (zh) * | 2022-06-22 | 2022-09-30 | 北京百度网讯科技有限公司 | 网络虚拟化的实现方法、系统、装置及程序产品 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101383835A (zh) * | 2008-10-21 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
US20090259759A1 (en) * | 2008-04-09 | 2009-10-15 | Hiroaki Miyajima | Terminal device, network connection method, and computer readable medium having program stored therein |
CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
CN102073821A (zh) * | 2011-01-27 | 2011-05-25 | 北京工业大学 | 基于xen平台的虚拟安全通信隧道的建立方法 |
US8108641B2 (en) * | 2006-06-19 | 2012-01-31 | Texas Instruments Incorporated | Methods, apparatus, and systems for secure demand paging and other paging operations for processor devices |
CN102457586A (zh) * | 2010-10-18 | 2012-05-16 | 中兴通讯股份有限公司 | 一种实现二层网络的扩展方法及扩展的二层网络 |
-
2013
- 2013-01-08 CN CN201310007252.2A patent/CN103067270B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8108641B2 (en) * | 2006-06-19 | 2012-01-31 | Texas Instruments Incorporated | Methods, apparatus, and systems for secure demand paging and other paging operations for processor devices |
US20090259759A1 (en) * | 2008-04-09 | 2009-10-15 | Hiroaki Miyajima | Terminal device, network connection method, and computer readable medium having program stored therein |
CN101383835A (zh) * | 2008-10-21 | 2009-03-11 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
CN102457586A (zh) * | 2010-10-18 | 2012-05-16 | 中兴通讯股份有限公司 | 一种实现二层网络的扩展方法及扩展的二层网络 |
CN102073821A (zh) * | 2011-01-27 | 2011-05-25 | 北京工业大学 | 基于xen平台的虚拟安全通信隧道的建立方法 |
Non-Patent Citations (1)
Title |
---|
孙松儿: "云计算环境下安全风险分析", 《信息安全》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103973578A (zh) * | 2013-01-31 | 2014-08-06 | 杭州华三通信技术有限公司 | 一种虚拟机流量重定向的方法及装置 |
CN103973578B (zh) * | 2013-01-31 | 2018-06-19 | 新华三技术有限公司 | 一种虚拟机流量重定向的方法及装置 |
CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
CN105450532B (zh) * | 2014-09-28 | 2018-10-09 | 新华三技术有限公司 | 软件定义网络中的三层转发方法及装置 |
CN106992915A (zh) * | 2016-01-21 | 2017-07-28 | 中兴通讯股份有限公司 | 一种报文解封装处理、数据写入方法及装置 |
CN106992915B (zh) * | 2016-01-21 | 2020-11-03 | 中兴通讯股份有限公司 | 一种报文解封装处理、数据写入方法及装置 |
CN108390812A (zh) * | 2018-05-30 | 2018-08-10 | 新华三技术有限公司 | 报文转发方法及装置 |
CN108390812B (zh) * | 2018-05-30 | 2020-07-07 | 新华三技术有限公司 | 报文转发方法及装置 |
CN112272387A (zh) * | 2020-09-22 | 2021-01-26 | 国电南瑞科技股份有限公司 | 基于5g的低调度时延与高速接入方法、模组、终端及电力二次设备 |
CN112272387B (zh) * | 2020-09-22 | 2022-03-11 | 国电南瑞科技股份有限公司 | 基于5g的低调度时延与高速接入方法、模组、终端及电力二次设备 |
CN115134194A (zh) * | 2022-06-22 | 2022-09-30 | 北京百度网讯科技有限公司 | 网络虚拟化的实现方法、系统、装置及程序产品 |
Also Published As
Publication number | Publication date |
---|---|
CN103067270B (zh) | 2016-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102299929B (zh) | 虚拟机的访问控制方法、系统和装置 | |
CN102884761A (zh) | 用于云计算的虚拟交换覆盖 | |
CN101605084B (zh) | 基于虚拟机的虚拟网络报文处理方法和系统 | |
CN102334111B (zh) | 为受管计算机网络提供逻辑联网功能 | |
CN103067270A (zh) | 一种虚拟机互访安全控制方法及装置 | |
CN102457439B (zh) | 一种云计算系统的虚拟交换系统及其虚拟交换方法 | |
CN104685507B (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
US20110274110A1 (en) | Method for preventing mac spoofs in a distributed virtual switch | |
CN115362662A (zh) | 智能网络接口卡的流量管理 | |
CN105530259A (zh) | 报文过滤方法及设备 | |
CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
CN107809365B (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
CN105591820A (zh) | 一种高可扩展的容器网络管理系统和方法 | |
CN102347900A (zh) | 整合虚拟和物理网络交换设备到异构交换域的方法和系统 | |
CN102164091A (zh) | 一种mac地址表建立方法及运营商边缘设备 | |
CN102255903A (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
CN103973578A (zh) | 一种虚拟机流量重定向的方法及装置 | |
CN105991387A (zh) | 虚拟扩展局域网的报文传输方法和装置 | |
CN105262685A (zh) | 一种报文处理方法和装置 | |
US9647902B2 (en) | Virtualized network for virtualized guests as an independent overlay over a physical network | |
CN102413190A (zh) | 一种基于云计算的网络架构及其虚拟网络管理方法 | |
CN106712988A (zh) | 一种虚拟网络管理方法及装置 | |
CN104468633B (zh) | 一种sdn南向安全代理产品 | |
CN105224385A (zh) | 一种基于云计算的虚拟化系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address |