CN103650430A - 报文处理方法、装置、主机和网络系统 - Google Patents

报文处理方法、装置、主机和网络系统 Download PDF

Info

Publication number
CN103650430A
CN103650430A CN201280000583.7A CN201280000583A CN103650430A CN 103650430 A CN103650430 A CN 103650430A CN 201280000583 A CN201280000583 A CN 201280000583A CN 103650430 A CN103650430 A CN 103650430A
Authority
CN
China
Prior art keywords
security domain
virtual machine
virtual
bridge
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280000583.7A
Other languages
English (en)
Other versions
CN103650430B (zh
Inventor
王雨晨
武雪平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103650430A publication Critical patent/CN103650430A/zh
Application granted granted Critical
Publication of CN103650430B publication Critical patent/CN103650430B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明实施例提供一种报文处理方法、装置、主机和网络系统,方法包括:物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。本发明实施例还提供另一种报文处理方法、装置、主机和网络系统。本发明实施例大大减轻了物理交换机的负担,提高虚拟网络的通信效率。

Description

报文处理方法、 装置、 主机和网络系统
技术领域 本发明涉及通信技术, 尤其涉及一种报文处理方法、 装置、 主机和网络 系统。 背景技术
在数据中心中, 不同用户的业务系统都有自己的计算机、 网络等基础设 施, 且不同业务系统的基础设施之间相互独立, 因此可以通过网络物理隔离 手段来保证业务系统之间的信息隔离, 防止业务系统的信息泄露。 比如, 财 务系统的计算机和网络与其他业务系统相隔离, 这样可以保证其他业务系统 的用户无法通过网络窃取财务系统内的数据。
虚拟化是指计算机元件在虚拟的基础上而不是真实的基础上运行, CPU 的虚拟化技术可以单 CPU模拟多 CPU并行, 允许一个平台同时运行多个操 作系统, 且应用程序都可以在相互独立的空间内运行而互不影响, 从而显著 提高计算机的工作效率。 由于虚拟化技术在提升工作效率方面的优势, 在数 据中心上应用虚拟化技术成为当前技术研究热点,但在数据中心虚拟化之后, 运行用户业务的不再是物理计算机而是安装在物理计算机上的虚拟机, 属于 不同租户的不同虚拟机可能运行在同一物理主机上, 由虚拟机组成的不同业 务系统会共享相同的网络基础设施。 此时难以实现信息系统的隔离, 如财务 系统和研发系统使用不同的虚拟机, 但不同的虚拟机运行在同一物理主机上 或者同处于同一网络内,则用户可以通过研发系统内的虚拟机通过地址欺骗、 网络监听等手段窃取财务系统的数据。 因此, 在出现不同的租户共享物理基 础设施时, 如何跨越物理边界将虚拟机划分为不同的虚拟网络, 并保证虚拟 网络之间的信息隔离成为保证虚拟化数据中心多租户安全的一项基本要求。
在现有技术中, 为了保证虚拟网络之间的信息隔离, 通常通过使虚拟机 的网络流量经过交换机, 即将物理主机上虚拟机生成的所有流量均发送到物 理主机之外的交换机上, 通过交换机对流量进行过滤控制处理, 交换机会像 处理普通主机的流量一样对来自于虚拟机的流量进行处理, 从而使用现有的 虚拟局域网 ( Virtual Local Area Network; 以下简称: VLAN )技术对虚拟机 进行隔离。
然而, 现有技术中虚拟机之间通信的所有流量均引到交换机进行处理, 极大地加重了交换机的负担。 发明内容 本发明提供一种报文处理方法、 装置、 主机和网络系统, 减轻物理交换 机的负担, 提高虚拟网络通信效率。
第一方面提供了一种报文处理方法, 包括:
物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟 机发送的网络报文, 所述网络报文中携带源 MAC地址和目标 MAC地址; 所述物理主机根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚 拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以 及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同时, 控制所述虚拟网桥丟弃所述网络报文。
在第一方面的第一种可能的实现方式中, 所述物理主机在所述源虚拟机 所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃 所述网络报文包括:
当所述目标 MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、 且所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 或所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制所述虚 拟网桥丟弃所述网络报文。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中, 所 当所述目标虚拟机与所述源虚拟机位于同一个物理主机时, 控制所述虚 拟网桥根据所述目标 MAC地址, 将所述网络艮文直接发送到所述物理主机 上的目标虚拟机上;
当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时, 控制所述 虚拟网桥将所述网络报文发送至物理交换机, 由所述物理交换机进行转发。
在第一方面的第三种可能的实现方式中, 所述物理主机在所述源虚拟机 所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃 所述网络报文包括:
当所述目标 MAC地址为广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制 所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制 所述虚拟网桥丟弃所述网络报文。
结合第一方面、 第一方面的第一种可能的实现方式、 第一方面的第二种 可能的实现方式, 或第一方面的第三种可能的实现方式, 在第一方面的第四 种实现方式中, 在所述分别从各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域之前,还包括: 所述物理主机将本机的 MAC分组策略上报给策略服务器,所述 MAC分 组策略包括所述物理主机上的虚拟机 MAC地址与安全域的对应关系;
所述物理主机从所在网络中的策略服务器中获取到局域网中的 MAC分 的对应关系。
结合第一方面的第四种实现方式, 在第一方面的第五种实现方式中, 在 所述物理主机将本机的 MAC分组策略上报给策略服务器后, 还包括:
当所述物理主机检测到本机的 MAC分组策略发生变化时, 将变化后的 MAC分组策略上报给所述策略服务器,以使所述策略服务器更新局域网中的 MAC分组策略。
第二方面提供了另一种报文处理方法, 包括:
物理主机通过该物理主机中的虚拟网桥接收物理交换机转发的网络报 文, 所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚 拟机发送的, 所述网络报文中携带源 MAC地址和目标 MAC地址;
所述物理主机根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚 拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以 及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同时, 控制所述虚拟网桥丟弃所述网络报文。
在第二方面的第一种可能的实现方式中, 所述物理主机在所述源虚拟机 所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃 所述网络报文包括:
当所述目标 MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、 且所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚 拟网桥根据所述目标 MAC地址将所述网络报文发送到所述物理主机上的目 标虚拟机上;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 或所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制所述虚 拟网桥丟弃所述网络报文。
在第二方面的第二种可能的实现方式中, 所述物理主机在所述源虚拟机 所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃 所述网络报文包括:
当所述目标 MAC地址为广播地址时:
若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同, 控制 若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同, 控 制所述虚拟网桥丟弃所述网络报文。
第三方面提供了一种报文处理装置, 包括:
第一策略获取模块, 用于获取各虚拟机 MAC地址与安全域的对应关系; 第一接收模块, 用于通过物理主机中的虚拟网桥接收所述物理主机上的 源虚拟机发送的网络报文,所述网络报文中携带源 MAC地址和目标 MAC地 址;
第一获耳 莫块, 用于根据所述第一接收模块接收的网络报文中携带的所 述源 MAC地址、 所述目标 MAC地址, 分别从所述第一策略获取模块获取到 的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安 全域以及目标虚拟机所属的安全域;
第一发送控制模块, 用于在所述第一获取模块获取到的所述源虚拟机所 属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所 述网络报文。
在第三方面的第一种可能的实现方式中, 所述第一发送控制模块包括: 第一发送单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域相同, 且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据所述目标 MAC地址发 送所述网络艮文;
第一丟弃单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同, 或所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
结合第三方面的第一种可能的实现方式, 在第三方面的第二种实现方式 中, 所述第一发送单元包括:
发送子单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 相同, 且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚 拟网桥对应的安全域相同, 且所述目标虚拟机与所述源虚拟机位于同一物理 主机时, 控制所述虚拟网桥根据所述目标 MAC地址将所述网络报文发送到 所述物理主机上的目标虚拟机上;
转发子单元, 用于当所述目标虚拟机与所述源虚拟机不在同一个物理主 机上时, 控制所述虚拟网桥将所述网络报文发送至物理交换机, 由所述物理 交换机进行转发。
在第三方面的第三种可能的实现方式中, 所述第一发送控制模块包括: 第一广播单元, 用于当所述目标 MAC地址为广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播; 第二丟弃单元, 用于当所述目标 MAC地址为广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 不同时, 控制所述虚拟网桥丟弃所述网络报文。
第四方面提供了一种报文处理装置, 包括:
第二策略获取模块, 用于获取各虚拟机 MAC地址与安全域的对应关系; 第二接收模块, 用于通过物理主机中的虚拟网桥接收物理交换机转发的 的网络报文, 所述网络报文是另一物理主机中的源虚拟机向所述物理主机中 的目标虚拟机发送的, 所述网络报文中携带源 MAC地址和目标 MAC地址; 第二获耳 莫块, 用于根据所述第二接收模块接收到的网络报文中携带的 所述源 MAC地址、 所述目标 MAC地址, 分别从所述第二策略获取模块获取 到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的 安全域以及目标虚拟机所属的安全域;
第二发送控制模块, 用于在所述第二获取模块获取到的所述源虚拟机所 属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所 述网络艮文。
在第四方面的第一种可能的实现方式中, 所述第二发送控制模块包括: 第二发送单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域相同, 且所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据所述目标 MAC地址将 所述网络报文发送到所述物理主机上的目标虚拟机上;
第三丟弃单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同, 或所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
在第四方面的第二种可能的实现方式中, 所述第二发送控制模块包括: 第二广播单元, 用于当所述目标 MAC地址为广播地址时, 若所述第二
有虚拟机; 第四丟弃单元, 用于当所述目标 MAC地址为广播地址时, 若所述第二 不相同, 控制所述虚拟网桥丟弃所述网络报文。
第五方面提供了一种源主机, 包括处理器, 还包括虚拟网桥和策略控制 器, 其中:
所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机 MAC地址与安全域的对应关系;
所述虚拟网桥被配置用于接收所述主机中的源虚拟机发送的网络报文, 所述网络报文中携带源 MAC地址和目标 MAC地址;
所述处理器被配置用于根据所述源 MAC地址、 所述目标 MAC地址, 分 别从所述策略控制器获取到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络报文。
在第五方面的第一种可能的实现方式中, 所述处理器具体用于根据所述 源 MAC地址、 所述目标 MAC地址, 分别从所述策略控制器获取到的各虚拟 机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及 目标虚拟机所属的安全域; 当所述目标 MAC地址为非广播地址时, 若所述 源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 且所述目标虚拟 机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据 所述目标 MAC地址发送所述网络报文; 若所述源虚拟机所属的安全域与所 述虚拟网桥对应的安全域不同, 或所述目标虚拟机所属的安全域与所述虚拟 网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
在第五方面的第二种可能的实现方式中, 所述处理器具体用于根据所述 源 MAC地址、 所述目标 MAC地址, 分别从所述策略控制器获取到的各虚拟 机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及 目标虚拟机所属的安全域; 当所述目标 MAC地址为广播地址时, 若所述源 虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时, 控制所述虚拟网 桥将所述网络报文通过物理交换机在局域网内广播; 若所述源虚拟机所属的 安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所述网 络报文。
第六方面提供了一种目标主机, 包括处理器, 还包括虚拟网桥和策略控 制器, 其中:
所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机 MAC地址与安全域的对应关系;
所述虚拟网桥被配置用于接收物理交换机转发的网络报文, 所述网络报 文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的, 所 述网络报文中携带源 MAC地址和目标 MAC地址;
所述处理器被配置用于根据所述源 MAC地址、 所述目标 MAC地址, 分 别从所述策略控制器获取到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络报文。
在第六方面的第一种可能的实现方式中, 所述处理器具体用于根据所述 源 MAC地址、 所述目标 MAC地址, 分别从各虚拟机 MAC地址与安全域的 对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 当所述目标 MAC地址为非广播地址时, 若所述源虚拟机所属的安全域与所 述虚拟网桥对应的安全域相同, 且所述目标虚拟机所属的安全域与所述虚拟 网桥对应的安全域相同, 控制所述虚拟网桥根据所述目标 MAC地址将所述 网络报文发送到目标虚拟机上; 若所述源虚拟机所属的安全域与所述虚拟网 桥对应的安全域不同, 或所述目标虚拟机所属的安全域与所述虚拟网桥对应 的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
在第六方面的第二种可能的实现方式中, 所述处理器具体用于根据所述 源 MAC地址、 所述目标 MAC地址, 分别从各虚拟机 MAC地址与安全域的 对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 当所述目标 MAC地址为广播地址时, 若所述虚拟网桥对应的安全域与所述 源虚拟机所属的安全域相同, 控制所述虚拟网桥将所述网络报文转发给映射 在所述虚拟网桥上的所有虚拟机; 若所述虚拟网桥对应的安全域与所述源虚 拟机所属的安全域不相同, 控制所述虚拟网桥丟弃所述网络报文。
第七方面提供了一种网络系统, 包括上述源主机, 目标主机, 以及策略 服务器, 所述策略服务器被配置用于向所述主机中的策略控制器提供各虚拟 机 MAC地址与安全域的对应关系。 。
在第七方面的第一种实现方式中, 所述策略服务器还用于接收所述主机 通过策略控制器上报的本机的 MAC分组策略,所述 MAC分组策略包括虚拟 机 MAC地址与安全域的对应关系;根据所述 MAC分组策略更新本地的各虚 拟机 MAC地址与安全域的对应关系。
本发明实施例的技术效果是: 物理主机通过虚拟网桥接收源虚拟机向目 标虚拟机发送的网络艮文,根据源 MAC地址和目标 MAC地址, 分别从虚拟 机 MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目 标虚拟机所属的安全域, 在源虚拟机所属的安全域与虚拟网桥对应的安全域 不同时, 控制虚拟网桥丟弃网络报文; 本实施例通过虚拟网桥实现了对网络 报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理, 从而大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍, 显而易见地, 下 面描述中的附图是本发明的一些实施例, 对于本领域普通技术人员来讲, 在 不付出创造性劳动性的前提下, 还可以根据这些附图获得其他的附图。
图 la为本发明 艮文处理方法实施例一的应用示意图;
图 lb为本发明 艮文处理方法实施例一的流程图;
图 2为本发明 艮文处理方法实施例二的流程图;
图 3为本发明 艮文处理方法实施例三的流程图;
图 4为本发明报文处理方法实施例三中虚拟局域网的应用场景示意图; 图 5为本发明 艮文处理方法实施例四的流程图;
图 6为本发明 艮文处理方法实施例五的流程图;
图 7为本发明报文处理方法实施例五中迁移前的虚拟局域网的应用场景 示意图;
图 8为本发明报文处理方法实施例五中迁移后的虚拟局域网的应用场景 示意图; 图 9为本发明报文处理装置实施例一的结构示意图;
图 10为本发明报文处理装置实施例二的结构示意图;
图 11为本发明报文处理装置实施例三的结构示意图;
图 12为本发明报文处理装置实施例四的结构示意图;
图 13为本发明主机实施例一的结构示意图;
图 14为本发明主机实施例二的结构示意图;
图 15为本发明网络系统实施例的结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发 明实施例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是全部的实施例。 基于 本发明中的实施例, 本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例, 都属于本发明保护的范围。
为了便于理解, 图 la为本发明 艮文处理方法实施例一的应用示意图。 该 图中的物理主机既可以是发送网络报文的源虚拟机所在的物理主机(即源主 机) , 也可以是网络报文的目的虚拟机所在的物理主机(即目标主机) 。 后 面将结合该示意图介绍本发明报文处理方法实施例。
图 lb为本发明报文处理方法实施例一的流程图, 如图 lb所示, 本实施 例提供了一种 文处理方法, 本实施例从源虚拟机所在的物理主机一侧对本 发明的方案进行具体说明, 本实施例提供的报文处理方法可以具体包括如下 步骤:
步骤 101 , 物理主机通过所述物理主机中的虚拟网桥接收所述物理主机 上的源虚拟机发送的网络艮文, 所述网络艮文中携带源 MAC 地址和目标 MAC地址。
所述网络报文的接收方可以是所述物理主机中的另一虚拟机, 也可以是 另一物理主机中的虚拟机。
可选地, 本实施例的一种具体实现方式为在安装虚拟机的物理主机 ( HOST ) 的操作系统( Operation System; 以下简称: OS )或者运行虚拟机 的虚拟机管理器(Hypervisor ) 内设置一个通信隔离器, 该通信隔离器可以采 用软件方式来实现, 如网络通信隔离软件。 通过该网络通信隔离软件设置并 管理一个策略控制器和至少一个虚拟网桥(Virtual Bridge; 以下简称: VB )。 虚拟网桥用软件的方式, 实现类似于物理网桥的功能(即在链路层实现中继, 对网络报文转发, 并可以隔离碰撞等) 。 在本实施例中, 一个虚拟网桥与一 个安全域相对应, 安装在物理主机上的虚拟机的虚拟网卡分别映射到该物理 主机上的一个虚拟网桥上, 其中虚拟机所属的安全域与所映射的虚拟网桥对 应的安全域相同, 从而建立虚拟机 MAC地址与安全域的对应关系。 其中, 安全域是指相互信任, 可以互相通信的计算机(即可以是物理主机, 也可以 是虚拟机) 的集合。 具体地, 在物理主机中安装虚拟机时, 上述网络通信隔 离软件向用户提供一个选项列表, 其中的每个选项都对应一个安全域, 接收 用户的选择结果, 从而将所安装的虚拟机的 MAC地址映射在选中的安全域 对应的虚拟网桥上。
可选地, 物理主机在建立了本物理主机上的虚拟机 MAC地址与安全域 的对应关系之后, 上述通信隔离器将包含本机中的虚拟机 MAC地址与安全 域的对应关系的 MAC分组策略, 通过策略控制器上报到所处网络中的策略 服务器, 也可以通过策略控制器获取其他物理主机的虚拟机 MAC地址与安 全域的对应关系。 通过上述机制, 各物理主机上的策略控制器能够分享各虚 拟机 MAC地址与安全域的对应关系, 以便后续确认如何发送报文。 在本实 施例中, 当源虚拟机向目标虚拟机发送网络报文时, 由于虚拟局域网中的各
截获。 本步骤为物理主机通过物理主机中的虚拟网桥接收源虚拟机向目标虚 拟机发送的网络报文, 此处的物理主机具体为源虚拟机所在的物理主机, 源 虚拟机向目标虚拟机发送网络报文时, 该网络报文中携带所述网络报文的源 MAC地址和目标 MAC地址。 其中, 源虚拟机对应的虚拟网桥即为源虚拟机 所属的安全域对应的虚拟网桥, 源 MAC地址为源虚拟机的 MAC地址, 目标 MAC地址为目标虚拟机的 MAC地址。
步骤 102, 物理主机根据源 MAC地址、 所述目标 MAC地址, 分别从各 虚拟机 MAC地址与安全域的对应关系中, 查询获取源虚拟机所属的安全域 以及目标虚拟机所属的安全域。 在本实施例中, 可以在策略服务器上存储局域网的 MAC分组策略, 策 略控制器可以从策略服务器上获取该 MAC分组策略。该 MAC分组策略可以 组策略, 可以将局域网划分为多个安全域, 同属于一个安全域的虚拟机的虚 拟网卡映射在该安全域对应的虚拟网桥上。 其中, 策略服务器可以设置在二 层网络上独立的一个服务器设备上。 当物理主机通过虚拟网桥接收到网络报 文时, 通信隔离器需要决定发送或丟弃该网络报文, 本步骤为物理主机中的 通信隔离器通过策略控制器从策略服务器获取包含各虚拟机 MAC地址与安 全域的对应关系的虚拟局域网的 MAC分组策略, 根据所属网络报文中的源 MAC地址、 目标 MAC地址,从各虚拟机 MAC地址与安全域的对应关系中, 分别查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域。具体地, 物理主机在接收到网络报文后, 先根据所述源 MAC地址, 从各虚拟机 MAC 地址与安全域的对应关系中, 查询获取源虚拟机所属的安全域; 并根据目标 MAC地址, 从各虚拟机 MAC地址与安全域的对应关系中, 查询获取目标虚 拟机所属的安全 i或。
步骤 103 , 物理主机在源虚拟机所属的安全域与虚拟网桥对应的安全域 不同时, 控制虚拟网桥丟弃网络报文。
当获取到源虚拟机所属的安全域和目标虚拟机所属的安全域后, 物理主 机会根据源虚拟机所属的安全域、 目标虚拟机所属的安全域, 以及虚拟网桥 自身对应的安全域, 控制虚拟网桥对接收到的网络报文进行具体的发送控制 处理,此处的发送控制处理为将该网络报文向目标虚拟机或物理交换机转发, 或者不再发送该网络报文, 即阻断此报文, 将该报文进行丟弃处理。 具体地, 在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时, 通信隔离器控制 虚拟网桥丟弃网络报文。 其中, 可以根据预设的该物理主机中虚拟网桥与安 全域的对应关系来获取虚拟网桥自身对应的安全域。 由此可见, 本实施例通 过虚拟网桥实现了对网络报文的过滤控制, 无需将虚拟机之间的所有流量均 发送到物理交换机来处理, 即使转发到物理交换机的网络报文也只需经过转 发, 无需过滤控制, 从而大大减轻物理交换机的负担。
本实施例提供了一种报文处理方法, 物理主机通过虚拟网桥接收源虚拟 机向目标虚拟机发送的网络艮文, 据源 MAC地址和目标 MAC地址, 分别 从虚拟机 MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域 以及目标虚拟机所属的安全域, 在源虚拟机所属的安全域与虚拟网桥对应的 安全域不同时, 控制虚拟网桥丟弃网络报文; 本实施例通过虚拟网桥实现了 对网络报文的过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机 来处理, 从而大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。
图 2为本发明报文处理方法实施例二的流程图, 如图 2所示, 本实施例 提供了一种报文处理方法, 本实施例从目标虚拟机所在的物理主机一侧对本 发明的方案进行具体说明, 本实施例提供的报文处理方法可以具体包括如下 步骤:
步骤 201 , 物理主机通过虚拟网桥接收物理交换机转发的网络报文, 所 述网络报文中携带源 MAC地址和目标 MAC地址。
本实施例为当源虚拟机与目标虚拟机不在同一物理主机上时, 源虚拟机 对应的虚拟网桥在经过过滤控制后, 通过物理交换机将网络报文发送到目标 虚拟机所在的物理主机上。 本步骤具体为物理主机通过虚拟网桥接收物理交 换机转发的网络报文, 该网络报文是另一物理主机中的源虚拟机向所述物理 主机中的目标虚拟机发送的,此处的物理主机为目标虚拟机所在的物理主机, 虚拟网桥为目标虚拟机所属的安全域对应的虚拟网桥, 在该虚拟艮文中携带 所述网络报文的源 MAC地址和目标 MAC地址。 其中, 源 MAC地址为源虚 拟机的 MAC地址 , 目标 MAC地址为目标虚拟机的 MAC地址。
步骤 202, 物理主机根据源 MAC地址、 目标 MAC地址, 分别从各虚拟 机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及 目标虚拟机所属的安全域。
当目标虚拟机所在的物理主机接收到网络报文时, 也需要对该网络报文 进行转发控制处理。 本步骤为目标虚拟机所在的物理主机根据源 MAC地址、 目标 MAC地址 ,以及通过策略控制器获取到的虚拟机 MAC地址与安全域的 对应关系中, 分别查询获得源虚拟机所属的安全域以及目标虚拟机所属的安 全域。 具体地, 目标虚拟机所在的物理主机在接收到网络报文后, 通信隔离 器先根据源 MAC地址,从各 MAC地址与安全域的对应关系中, 查询获取源 虚拟机所属的安全域; 并根据目标 MAC地址,从各 MAC地址与安全域的对 应关系中, 获取目标虚拟机所属的安全域。 可选地, 与实施例一相类似, 物理主机通过策略控制器从所处网络中的 策略控制器获取虚拟局域网的 MAC分组策略,所述虚拟局域网的 MAC分组 策略中包括各 MAC地址与安全域的对应关系。
步骤 203 , 物理主机在源虚拟机所属的安全域与虚拟网桥对应的安全域 不同时, 控制虚拟网桥丟弃网络报文。
当获取到源虚拟机所属的安全域和目标虚拟机所属的安全域后, 物理主 机根据源虚拟机所属的安全域、 目标虚拟机所属的安全域, 以及接收到所述 网络报文的虚拟网桥对应的安全域, 控制所述虚拟网桥对接收到的网络报文 进行具体的发送控制处理; 此处的发送控制处理为将该网络^¾文向映射在该 虚拟网桥上的虚拟机发送, 或者不再发送该网络报文, 即阻断此报文, 将该 报文进行丟弃处理。 具体地, 本步骤为在源虚拟机所属的安全域与虚拟网桥 对应的安全域不同时, 物理主机中的通信隔离器控制虚拟网桥丟弃所述网络 报文, 从而实现对网络报文的双重过滤, 保证了虚拟局域网的安全性。
本实施例提供了一种报文处理方法, 物理主机通过目标虚拟机对应的虚 据源 MAC地址和目标 MAC地址, 从各虚拟机 MAC地址与安全 i或的对应关 系中查询分别获取源虚拟机所属的安全域以及目标虚拟机所属的安全域, 在 源虚拟机所属的安全域与虚拟网桥对应的安全域不同时, 控制虚拟网桥丟弃 网络报文; 本实施例通过虚拟网桥实现了对网络报文的过滤控制, 无需将虚 拟机之间的所有流量均发送到物理交换机来处理, 从而大大减轻了物理交换 机的负担, 提高虚拟网络的通信效率。
图 3为本发明 艮文处理方法实施例三的流程图, 如图 3所示, 本实施例 提供了一种报文处理方法, 本实施例具体针对网络报文的目标 MAC地址为 非广播地址的情况, 本实施例可以具体包括如下步骤:
步骤 301,物理主机通过策略控制器从策略服务器获取各虚拟机 MAC地 址与安全域的对应关系。
在本实施例中, 物理主机先通过策略控制器从策略服务器获取各虚拟机 MAC地址与安全域的对应关系, 用于对网络报文进行过滤控制, 通过虚拟机 MAC地址与安全域的对应关系将虚拟局域网划分为多个安全域。 具体地, 策 略服务器上保存的各虚拟机 MAC地址与安全域的对应关系, 是由用户在各 物理主机上配置, 并通过各物理主机上的策略控制器向策略服务器上报的, 以使得各物理主机的 MAC分组策略可以在不同物理主机之间共享。 本实施 例可以在 HOST OS或者运行虚拟机的虚拟机管理器(Hypervisor ) 内设置一 个通信隔离器,在该通信隔离器中设置一个策略控制器和至少一个虚拟网桥; 由于虚拟机 MAC地址可以标识虚拟机, 而一个虚拟机对应一个虚拟网卡, 则可以由通信隔离器根据虚拟机 MAC地址与安全域的对应关系, 将各虚拟 机的虚拟网卡分别映射到各虚拟机所属的安全域对应的虚拟网桥上。
图 4为本发明报文处理方法实施例三中虚拟局域网的应用场景示意图, 为了简明起见, 在附图 4中仅以虚拟网络中有两个物理主机、 两个安全域的 情况进行说明,在包含更多物理主机和更多安全域的情况下的处理方案类似。 如图 4所示, 假设 VM1、 VM2、 VM5、 VM6属于安全域 1 , VM3、 VM4、 VM7、 VM8属于安全域 2, 安全域 1对应物理主机 1 中的虚拟网桥 11和物 理主机 2中的虚拟网桥 21 , 安全域 2对应物理主机 2中的虚拟网桥 12和物 理主机 2中的虚拟网桥 22, VM1、 VM2、 VM5、 VM6的 MAC地址分别为 MACl , MAC2、 MAC5、 MAC6, VM3、 VM4、 VM7、 VM8的 MAC地址分 别为 MAC3、 MAC4、 MAC7、 MAC8, VM1、 VM2 的虚拟网卡均映射在虚 拟网桥 11上, VM5、 VM6的虚拟网卡均映射在虚拟网桥 21上, MAC3、 MAC4 的虚拟网卡均映射在虚拟网桥 12上, MAC7、 MAC8的虚拟网卡均映射在虚 拟网桥 22上。
步骤 302, 源虚拟机所在的物理主机中的虚拟网桥接收源虚拟机向目标 虚拟机发送的网络艮文。
本步骤为源虚拟机所在的物理主机接收源虚拟机向目标虚拟机发送的网 络艮文, 该物理主机具体通过源虚拟机所属的安全域对应的虚拟网桥接收该 网络报文,该网络报文中携带所述网络报文的源 MAC地址和目标 MAC地址。 以图 4为例, VM1、 VM2发送的网络报文被对应的虚拟网桥 11截获, VM3、 VM4发送的网络报文被对应的虚拟网桥 12截获。 当 VM1向 VM2发送网络 报文时, 物理主机 1通过虚拟网桥 11接收到该网络报文, 该网络报文中可以 携带源 MAC地址 MAC1和目标 MAC地址 MAC2。 具体地, 物理主机在接 收到该网络艮文后, 通过该网络艮文的目标 MAC地址可以识别该网络报文 是否为广播报文, 当其目标 MAC地址为 "全 FF" 时, 该网络报文为广播报 文, 本实施例具体以网络报文为非广播报文为例进行说明, 后续实施例四中 将对广播报文的处理过程进行说明。
步骤 303 ,源虚拟机所在的物理主机根据源 MAC地址、 目标 MAC地址, 从各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安 全域以及目标虚拟机所属的安全域。
源虚拟机所在的物理主机接收到网络报文后, 源虚拟机所在的物理主机 中的通信隔离器根据源 MAC地址、 目标 MAC地址, 从各虚拟机 MAC地址 与安全域的对应关系中查询获得源虚拟机所属的安全域以及目标虚拟机所属 的安全域。 以图 4为例, 当物理主机 1通过虚拟网桥 11接收到 VM1发送到 VM2的网络艮文后, 根据虚拟机 MAC地址与安全域的对应关系可以获取到 MAC 1和 MAC2对应的安全域均为安全域 1 , 即获取到源虚拟机所属的安全 域和目标虚拟机所属的安全域均为安全域 1。
步骤 304, 源虚拟机所在的物理主机判断源虚拟机所属的安全域与接收 到网络报文的虚拟网桥对应的安全域是否相同, 如果是, 则执行步骤 305, 否则执行步骤 314。
源虚拟机所在的物理主机中的通信隔离器先判断源虚拟机所属的安全域 与接收到网络报文的虚拟网桥对应的安全域是否相同, 如果是, 则执行步骤 305, 否则执行步骤 314。 以上述图 4为例, 当物理主机 1通过虚拟网桥 11 接收到 VM1发送到 VM2的网络报文后, 获取到源虚拟机所属的安全域为安 全域 1 ,其与虚拟网桥 11对应的安全域相同,则执行步骤 305进行继续判断。
步骤 305 , 源虚拟机所在的物理主机判断目标虚拟机所属的安全域与接 收到网络报文的虚拟网桥对应的安全域是否相同, 如果是, 则执行步骤 306, 否则执行步骤 314。
当源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相 同时, 源虚拟机所在的物理主机中的通信隔离器继续判断目标虚拟机所属的 安全域与接收到网络报文的虚拟网桥对应的安全域是否相同, 如果是, 则执 行步骤 306, 否则执行步骤 314。 以上述图 4为例, 当物理主机 1通过虚拟网 桥 11接收到 VM1发送到 VM2的网络报文后, 获取到 VM1、 VM2所属的安 全域均与虚拟网桥 11对应的安全域相同,则执行步骤 306对报文进行转发处 理。 当物理主机 1通过虚拟网桥 11接收到 VM1发送到 VM3的网络报文后, 获取到 VM3 所属的安全域与虚拟网桥 11 对应的安全域不同, 则执行步骤
314, 直接将该网络报文进行丟弃处理。
步骤 306, 源虚拟机所在的物理主机判断目标虚拟机所在的物理主机与 源虚拟机所在的物理主机是否相同, 如果是, 则执行步骤 307, 否则执行步 骤 308。
当源虚拟机所属的安全域和目标虚拟机所属的安全域均与接收网络报文 的虚拟网桥对应的安全域相同时, 源虚拟机所在的物理主机中的通信隔离器 继续判断目标虚拟机所在的物理主机与源虚拟机所在的物理主机是否相同, 如果是, 则执行步骤 307, 否则执行步骤 308。 具体地, 物理主机根据虚拟机 在安装时选择的安全域, 可以建立并保存虚拟机 MAC地址和虚拟网桥的映 射关系。 此时可以根据上述映射关系确认源虚拟机和目标虚拟机是否映射在 同一个虚拟网桥上, 如果源虚拟机和目标虚拟机是映射在同一个虚拟网桥上 的 , 则显然源虚拟机和目标虚拟机所在的物理主机相同。
以上述图 4为例,当物理主机 1通过虚拟网桥 11接收到 VM1发送到 VM2 的网络报文后, 获取到 VM1与虚拟网桥 11对应的安全域相同, 且 VM2所 属的安全域与虚拟网桥 11对应的安全域相同, 且 VM1和 VM2均位于物理 主机 1上, 则执行步骤 307, 直接控制虚拟网桥 11将该网络报文直接发送到 VM2上。 当物理主机 1通过虚拟网桥 11接收到 VM1发送到 VM5的网络报 文后, 获取到 VM1所属的安全域与虚拟网桥 11对应的安全域相同, 且 VM5 所属的安全域与虚拟网桥 11对应的安全域相同, 但 VM1和 VM5分别位于 物理主机 1和物理主机 2上, 则执行步骤 308, 将该网络艮文通过物理交换 机进行转发。
步骤 307,源虚拟机所在的物理主机控制虚拟网桥根据目标 MAC地址将 所述网络报文发送到所述物理主机上的目标虚拟机上。
当源虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相 同, 且目标虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相 同, 且源虚拟机所在的物理主机中的通信隔离器继续判断目标虚拟机所在的 物理主机与源虚拟机所在的物理主机也相同时 , 源虚拟机所属安全域对应的 虚拟网桥可以根据目标 MAC地址将网络报文直接发送到其所在的物理主机 上的目标虚拟机上。 例如图 4中的 VM1和 VM2同属于安全域 1 , 且在同一 物理主机上, 则虚拟网桥 11可以将 VM1的网络报文直接发送到 VM2, 无需 经过物理交换机的处理, 降低了物理交换机的负担。
步骤 308, 源虚拟机所在的物理主机控制虚拟网桥将网络报文发送至物 理交换机, 以便所述物理交换机后续将所述网络报文发送至目标虚拟机所在 的物理主机中。
当源虚拟机所属的安全域与接收网络艮文的虚拟网桥对应的安全域相 同、 且目标虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相 同、 但目标虚拟机所在的物理主机与源虚拟机所在的物理主机不同时, 由于 两个虚拟机不在同一物理主机上, 则需要物理交换机的转发, 通信隔离器可 以控制源虚拟机所在的物理主机上的、 源虚拟机所属的安全域对应的虚拟网 桥将网络报文先发送到物理交换机上, 由物理交换机将该网络报文转发到目 标虚拟机所在的物理主机中目标虚拟机对应的虚拟网桥上。 例如图 4 中的 VM1和 VM5同属于安全域 1 , 但二者不在同一物理主机上, 则虚拟网桥 11 可以将 VM1的网络报文通过物理交换机先转发到 VM5所在的物理主机中其 对应的虚拟网桥 21上, 网络过滤功能的实现无需依赖物理交换机的过滤控制 处理, 物理交换机只需转发, 同样也可以降低物理交换机的负担。
步骤 309, 目标虚拟机所在物理主机中的虚拟网桥接收到物理交换机发 送的网络报文。
物理交换机对来自于虚拟机的网络报文和来自于物理主机的报文不区分 地执行相同的转发处理。 具体地, 物理交换机中保存有各 MAC地址(即包 括虚拟机的 MAC地址, 也包括物理主机的 MAC地址 )与交换机端口的映射 关系, 接收到网络报文后, 查询其目标 MAC地址对应的交换机端口, 然后 通过查询到的交换机端口将该网络报文转发出去。 例如, MAC5、 MAC6、 MAC7、 MAC8以及物理主机 2的 MAC地址都映射在同一个交换机端口上, 物理交换机将目标 MAC地址为 MAC5、 MAC6、 MAC7、 MAC8、 或物理主 机 2的 MAC地址的网络报文都发送给物理主机 2的网络接口中, 具体该网 络报文应该发送给 VM5、 WM6、 WM7、 VM8还是物理主机 2的操作系统 , 则需要根据虚拟机 MAC与虚拟网桥的映射关系, 由虚拟网桥进行进一步的 转发。 本实施例中仅描述一个虚拟机向另一个虚拟机发送的网络报文的处理 过程。 例如物理主机 2 ^据该物理主机上虚拟机 MAC地址和虚拟网桥的映 射关系, 控制目的虚拟机 WM5映射的虚拟网桥 21进行进一步转发。
步骤 310,目标虚拟机所在的物理主机根据所述网络报文的源 MAC地址、 目标 MAC地址,从各虚拟机 MAC地址与安全域的对应关系中查询获得源虚 拟机所属的安全域以及目标虚拟机所属的安全域。
可选地, 与实施例一相类似, 物理主机 2通过策略控制器从所处网络中 的策略控制器获取虚拟局域网的 MAC分组策略,所述虚拟局域网的 MAC分 组策略中包括各 MAC地址与安全域的对应关系。
步骤 311 , 目标虚拟机所在的物理主机判断源虚拟机所属的安全域与虚 拟网桥对应的安全域是否相同,如果是,则执行步骤 312,否则执行步骤 314。
本步骤为目标虚拟机所在的物理主机上, 目标虚拟机所属的安全域对应 的虚拟网桥接收到物理交换机转发的网络报文后, 该目标虚拟机所在的物理 主机中的通信隔离器判断源虚拟机所属的安全域与接收到网络报文的该虚拟 网桥对应的安全域是否相同, 如果是, 则执行步骤 312, 否则执行步骤 314。 其中, 由于源虚拟机和目标虚拟机同属于一个安全域, 则目标虚拟机所属的 安全域与源虚拟机所属的安全域相同, 例如图 4中的 VM 1和 VM5同属于安 全域 1 , 但二者不在同一物理主机上, VM5对应的虚拟网桥为物理主机 2上 的虚拟网桥 21 , 则物理主机 2在通过虚拟网桥 21接收到物理交换机转发的 网络报文后, 同样先判断 VM1所属的安全域是否与虚拟网桥 21对应的安全 域是否相同, 通过判断可知二者均为安全域 1 , 则可以继续后续判断步骤。
步骤 312, 目标虚拟机所在的物理主机判断目标虚拟机所属的安全域与 虚拟网桥对应的安全域是否相同, 如果是, 则执行步骤 313 , 否则执行步骤 314。
当目标虚拟机所在的物理主机中的通信隔离器获知源虚拟机所属的安全 域与接收到网络报文的虚拟网桥对应的安全域相同时, 此处的虚拟网桥具体 为目标虚拟机所属的安全域对应的虚拟网桥, 继续判断目标虚拟机所属的安 全域与接收到网络报文的该虚拟网桥对应的安全域是否相同, 如果是, 则执 行步骤 313 , 否则执行步骤 314。 仍以图 4中的 VM1-VM5为例, 物理主机 2 上的虚拟网桥 21获知 VM1所属的安全域与虚拟网桥 21对应的安全域相同, 继续判断 VM5所属的安全域是否与虚拟网桥 21对应的安全域是否相同, 通 过判断可知二者均为安全域 1 , 则可以执行步骤 313 , 直接将该网络报文转发 到 VM5上。
步骤 313 , 目标虚拟机所在的物理主机, 根据目标 MAC地址, 控制虚拟 网桥将网络报文发送到目标虚拟机上。
当目标虚拟机所在的物理主机获知源虚拟机所属的安全域与接收到网络 报文的虚拟网桥对应的安全域相同, 且目标虚拟机所属的安全域与接收到网 络报文的虚拟网桥对应的安全域相同, 目标虚拟机所在的物理主机根据目标 MAC地址将网络报文发送到物理主机上的目标虚拟机上,则实现了在源虚拟 机和目标虚拟机所对应的虚拟网桥上均对网络艮文进行过滤控制, 进一步提 高了虚拟局域网的安全性。
步骤 314, 目标虚拟机所在的物理主机控制虚拟网桥丟弃所述网络艮文。 当目标虚拟机对应的虚拟网桥获知源虚拟机所属的安全域与接收到网络 报文的虚拟网桥对应的安全域相同, 但目标虚拟机所属的安全域与接收到网 络艮文的虚拟网桥对应的安全域不同, 则目标虚拟机所在的物理主机中的通 信隔离器控制目标虚拟机所属的安全域对应的虚拟网桥对网络报文进行丟弃 处理, 阻断源虚拟机与目标虚拟机之间的通信, 则实现了在源虚拟机和目标 虚拟机所对应的虚拟网桥上均对网络报文进行过滤控制, 进一步提高了虚拟 局域网的安全性。
需要指出的是, 本实施例中的上述部分步骤之间没有严格的执行顺序的 限制, 如步骤 304和步骤 305可以互换, 步骤 311和步骤 312可以互换。
另外, 本实施例还可以防止 MAC欺骗攻击, 即防止用户通过恶意篡改 虚拟机的 MAC地址来进行欺骗攻击。 仍以上述图 4为例, 假设 VM2的用户 希望与安全域 2中的计算机进行通信, 则其将自身的 MAC地址篡改为 VM3 的 MAC地址, 即将 MAC2改为 MAC3 , 并试图使用篡改后的 MAC地址与 VM4进行通信;此时网络艮文的源 MAC地址为 MAC3 , 目标地址为 MAC4。 当 VM2使用 MAC3向 VM4发送网络报文时, 此前 VM2所映射的安全域 1 中的虚拟网桥 1接收到该网络报文时, 会发现源 MAC地址 MAC3不属于安 全域 1 , 因此虚拟网桥 1会阻断该网络报文的发送, 从而使得 VM2无法冒充 VM3对外通信。
本实施例提供了一种报文处理方法, 物理主机通过虚拟网桥接收物理交 源 MAC地址和目标 MAC地址,分别获取源虚拟机所属的安全域以及目标虚 拟机所属的安全域, 根据源虚拟机所属的安全域和目标虚拟机所属的安全域 对网络报文进行发送控制处理; 本实施例通过虚拟网桥实现了对网络报文的 过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机来处理, 从而 大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。
图 5为本发明 艮文处理方法实施例四的流程图, 如图 5所示, 本实施例 提供了一种报文处理方法, 本实施例具体针对网络报文的目标 MAC地址为 广播地址的情况, 本实施例可以具体包括如下步骤:
步骤 501,物理主机通过策略控制器从策略服务器获取各虚拟机 MAC地 址与安全域的对应关系, 本步骤可以与上述步骤 301类似, 此处不再赘述。
步骤 502, 源虚拟机所在的物理主机中的虚拟网桥接收源虚拟机向目标 虚拟机发送的网络艮文。
本步骤为源虚拟机所在的物理主机通过虚拟网桥接收源虚拟机向目标虚 拟机发送的网络艮文, 该虚拟网桥可以具体为源虚拟机所属的安全域对应的 虚拟网桥,该网络报文中携带所述网络报文的源 MAC地址、目标 MAC地址。 本实施例针对的是以太网广播报文的处理过程, 因此网络报文中携带的目标 MAC地址是以太网广播地址, 即该网络艮文的目标为局域网中的所有计算 机。 具体地, 物理主机在接收到该网络报文后, 通过该网络报文的目标 MAC 地址可以识别该网络报文是否为广播报文, 当其目标 MAC地址为 "全 FF" 时, 该网络报文为广播报文, 本实施例具体以网络报文为广播报文为例进行 说明。
步骤 503 ,源虚拟机所在的物理主机根据源 MAC地址,从各虚拟机 MAC 地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域。
由于目标虚拟机并不是一个特定的虚拟机, 则源虚拟机对应的虚拟机网 桥只获取源虚拟机所属的安全域, 具体获取方法与上述步骤 303 中类似, 此 处不再赘述。
步骤 504, 源虚拟机所在的物理主机判断源虚拟机所属的安全域与虚拟 网桥对应的安全域是否相同, 如果是, 则执行步骤 505, 否则执行步骤 509。
本步骤为源虚拟机所在的物理主机中的通信隔离器判断源虚拟机所属的 安全域与接收到网络报文的虚拟网桥对应的安全域是否相同, 如果是, 则执 行步骤 505, 直接将该网络报文在局域网中进行广播, 否则执行步骤 509, 将 该网络报文进行丟弃处理。
步骤 505 , 源虚拟机所在的物理主机将网络报文通过物理交换机在所述 局域网内广播。
当源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相 同时,源虚拟机所在的物理主机将网络报文通过物理交换机在局域网内广播。 以上述图 4为例 , 假设 VM1希望与 VM5通信, 但此时 VM1并不知道 VM5 的 MAC地址, 则 VM1会首先通过发送广播报文的方式向局域网中的所有计 算机机发送一个 ARP Request网络报文, 由于 VM1属于安全域 1 , 则该网络 报文会被虚拟网桥 11获取到,物理主机 1中的通信隔离器通过判断获知 VM1 所属的安全域与虚拟网桥 11相同时, 控制虚拟网桥 11将网络报文通过物理 交换机在该局域网内广播。
物理交换机对网络报文的转发过程请参照附图 3步骤 309中的描述, 在 这里不再赘述。
步骤 506, 局域网中接收到此网络报文的物理主机根据所述网络报文的 源 MAC地址,从各虚拟机 MAC地址与安全域的对应关系中查询获得源虚拟 机所属的安全域。
步骤 507, 局域网中接收到此网络报文的物理主机, 针对该物理主机中 的每个虚拟网桥, 判断源虚拟机所属的安全域与该虚拟网桥对应的安全域是 否相同, 如果是, 则执行步骤 508, 否则执行步骤 509。
当源虚拟机所在的物理交换机在局域网内广播该网络报文后, 局域网内 的所有虚拟网桥均会接收到该网络报文, 即局域网内的所有物理主机均通过 各自的虚拟网桥接收到该网络报文。 本步骤为局域网中接收到此网络报文的 物理主机中的通信隔离器, 判断源虚拟机所属的安全域与该虚拟网桥对应的 安全域是否相同, 如果是, 则执行步骤 508, 否则执行步骤 509。 仍以上述图 4为例, 当 VM1希望与 VM5通信, VM1通过广播报文的方式向局域网发送 网络报文, 虚拟网桥 11将此网络报文通过物理交换机在局域网内广播。 局域 网内的所有虚拟网桥都会通过物理交换机接收到上述广播报文, 并会根据广 播报文的源 MAC地址获得此源虚拟机所属的安全域, 各物理主机中的通信 隔离器判断此源虚拟机所属的安全域与局域网中接收到此报文的虚拟网桥对 应的安全域是否相同, 如果是, 则执行步骤 508, 否则执行步骤 509。 即当在 局域网中广播该网络报文后, 虚拟网桥 11、 虚拟网桥 12、 虚拟网桥 21和虚 拟网桥 12均会接收到该网络艮文, 则物理主机 1通过虚拟网桥 11和虚拟网 桥 12接收到该网络报文,物理主机 2通过虚拟网桥 21和虚拟网桥 22接收到 该网络报文, 物理主机 1分别判断虚拟网桥 11、 虚拟网桥 12对应的安全域 与源虚拟机所属的安全域是否相同物理主机 2分别判断虚拟网桥 21、 虚拟网 桥 22对应的安全域与源虚拟机所属的安全域是否相同; 通过判断, 虚拟网桥 11和虚拟网桥 21对应的安全域与之相同, 则虚拟网桥 11将该网络报文转发 给映射在其上的所有虚拟机, 即图中的 VM5、 VM6; 而虚拟网桥 12和虚拟 网桥 22对应的安全域与之不同,则虚拟网桥 12和 22将该网络报文进行丟弃 处理。
步骤 508 , 局域网中接收到此网络报文的物理主机, 控制对应的安全域 与源虚拟机所属的安全域相同的虚拟网桥, 将该网络报文转发给映射在其上 的所有虚拟机。
当与该网络报文的源虚拟机属于同一个安全域的虚拟网桥接收到网络报 文后, 该虚拟网桥会将该网络报文转发给映射在其上的所有虚拟机。 如图 4 所示, 此时如果 VM5 开机, VM5 将会接收虚拟网桥 22 转发的这个 ARP Request报文。
步骤 509, 局域网中接收到此网络报文的物理主机, 控制对应的安全域 与源虚拟机所属的安全域不同的虚拟网桥丟弃所述网络报文。
如果局域网内接收到此网络报文的虚拟网桥对应的安全域与源虚拟机所 属的安全域不相同时, 虚拟网桥会丟弃此报文。
本实施例提供了一种报文处理方法, 通过目标虚拟机对应的虚拟网桥接 收物理交换机转发的由源虚拟机发送的网络报文, 根据虚拟机 MAC地址与 安全域的对应关系和源 MAC地址, 获取源虚拟机所属的安全域, 根据源虚 拟机所属的安全域, 以及虚拟网桥对应的安全域, 对网络报文进行发送控制 处理; 本实施例通过虚拟网桥实现了对不同安全域中广播报文的隔离, 在此 过程中物理交换机中无需进行额外的过滤控制处理, 从而大大减轻了物理交 换机的负担, 提高虚拟网络的通信效率。
图 6为本发明报文处理方法实施例五的流程图, 如图 6所示, 本实施例 提供了一种报文处理方法, 本实施例具体应用于虚拟机迁移场景中, 虚拟机 迁移是指原本基于一个物理主机的硬件资源和处理资源实现的虚拟机, 转而 由另一个物理主机的硬件资源和处理资源来实现, 本实施例不对虚拟机迁移 的实现原理进行探讨, 只对在发生虚拟机迁移前后, 如何对不同安全域中的 网络报文实现隔离的方法进行介绍。
本实施例在上述实施例三或实施例四的基础之上, 还可以具体包括如下 步骤:
步骤 601 , 物理主机获取本机的 MAC分组策略。
在本实施例中, 在进行报文处理之前, 局域网中的各物理主机可以先获 取本机的 MAC分组策略, 该 MAC分组策略可以包括虚拟机 MAC地址与安 全域的对应关系。 MAC分组策略可以由用户根据实际情况自行设定, 其中, 虚拟网桥与安全域之间的对应关系也可以由用户根据实际情况来设定。 从用 户角度来说, 在物理主机上安装虚拟机时, 物理主机中的网络通信隔离软件 会弹出一个选项列表, 其中的每个选项都对应一个安全域。 由于一个虚拟机 对应一个虚拟机 MAC地址, 在虚拟机安装在物理主机上之后, 物理主机便 可以自动获取到该虚拟机的 MAC地址; 当接收到用户根据上述选项列表选 中的选项后, 在虚拟机安装完成后, 物理主机中的网络通信隔离软件便将该 立了该虚拟机 MAC地址与该虚拟机网桥所属的安全域之间的对应关系, 物 理主机便可以获取到该虚拟机 MAC地址与安全域之间的对应关系。 对于每 个虚拟机来说, 物理主机均可以通过上述过程获取到本机中的虚拟机 MAC 地址与安全域之间的对应关系。 同时, 物理主机还可以获取到用户设定的虚 拟网桥与安全域之间的对应关系。
步骤 602, 物理主机将本机的 MAC分组策略上报到策略服务器。
物理主机在获取到本机的 MAC分组策略后, 通过该物理主机中的策略 控制器, 将本机的 MAC分组策略, 即将本机中的虚拟机 MAC地址与安全域 的对应关系上报到策略服务器。 局域网中的各物理主机分别通过各自的策略 控制器, 将各自的 MAC分组策略上报到策略服务器, 策略服务器在本地保 存整个局域网中的 MAC分组策略, 后续, 一个物理主机通过其中的策略控 制器便可以从该策略服务器上获取其他物理主机的 MAC分组策略。 图 7为本发明报文处理方法实施例五中迁移前的虚拟局域网的应用场景 示意图, 如图 7所示, VM1-VM6的 MAC地址分别为 MAC1-MAC6, 防火 墙的 MAC地址为 MAC-F, 在虚拟机迁移之前, VM1、 VM2、 VM3、 VM4 安装在物理主机 1上, VM5安装在物理主机 2上, VM6安装在物理主机 3 上, 物理主机 1 中设置有虚拟网桥 11和虚拟网桥 12, 物理主机 2中设置有 虚拟网桥 21和虚拟网桥 22,物理主机 3中设置有虚拟网桥 31和虚拟网桥 32。 用户根据实际情况,将 VM1、 VM2的虚拟网卡映射在虚拟网桥 11上,将 VM3、 VM4的虚拟网卡映射在虚拟网桥 12上,将 VM5的虚拟网卡映射在虚拟网桥 22上, 将 VM6的虚拟网卡映射在虚拟网桥 32上, 同时设置虚拟网桥 11、 虚 拟网桥 21和虚拟网桥 31均属于安全域 1 , 虚拟网桥 12、虚拟网桥 22和虚拟 网桥 32均属于安全域 2。 物理主机 1可以获取到本机的 MAC分组策略为: VM1、 VM2与安全域 1具有对应关系, VM3、 VM4与安全域 2具有对应关 系, 此外还可以获知虚拟网桥 11与安全域 1具有对应关系, 虚拟网桥 12与 安全域 2具有对应关系; 物理主机 2可以获取到本机的 MAC分组策略为: VM5与安全域 2具有对应关系, 此外还可以获知虚拟网桥 21与安全域 1具 有对应关系, 虚拟网桥 22与安全域 2具有对应关系; 物理主机 3可以获取到 本机的 MAC分组策略为: VM6与安全域 2具有对应关系, 此外还可以获知 虚拟网桥 31与安全域 1具有对应关系, 虚拟网桥 32与安全域 2具有对应关 系。 然后物理主机 1通过策略控制器 1将本机的 MAC分组策略上报给策略 服务器, 物理主机 2通过策略控制器 2将本机的 MAC分组策略上报给策略 服务器, 物理主机 3通过策略控制器 3将本机的 MAC分组策略上报给策略 服务器。
步骤 603 , 若物理主机检测到本机的 MAC分组策略发生变化, 物理主机 将变化后的 MAC分组策略通过策略控制器上报到策略服务器。
在本实施例中, 物理主机还对本机的 MAC分组策略进行定期检测, 判 断该 MAC分组策略是否发生变化; 当本机的 MAC分组策略发生变化时, 物 理主机将变化后的 MAC分组策略通过策略控制器上报到策略服务器。
步骤 604, 策略服务器根据变化后的 MAC分组策略, 更新本地保存的局 域网的 MAC分组策略。
策略服务器接收各物理主机中的策略控制器发送的变化后的 MAC分组 策略,并根据变化后的 MAC分组策略更新本地保存的局域网的 MAC分组策 略,以使其他物理主机能够从策略服务器同步获取到更新后的局域网的 MAC 分组策略。 需要指出的时, 虚拟机迁移前后的报文处理过程可以与上述实施 例三或实施例四中描述的一致, 此处不再赘述。 可选地, 为了能够保证各物 理主机上 MAC分组策略的一致性, 策略服务器可以在每次发生更新后, 主 动向各物理主机中的策略控制器发送更新后的局域网的 MAC分组策略; 策 略服务器也可以按照设定的同步周期, 定期向各物理主机中的策略控制器发 送更新后的局域网的 MAC分组策略。
当虚拟机发生迁移时, 对应的 MAC分组策略可能会发生变化。 图 8为 本发明报文处理方法实施例五中迁移后的虚拟局域网的应用场景示意图, 如 图 8所示, 当虚拟机发生迁移后, VM1从物理主机 1迁移到物理主机 2上, VM2从物理主机 1迁移到物理主机 3上, 具体地, VM1的虚拟网卡被映射 到虚拟网桥 21上, VM2的虚拟网卡被映射到虚拟网桥 31上。 在虚拟机迁移 之后, 各物理主机检测到各自的 MAC分组策略发生变化, 则各物理主机将 各自变化后的 MAC分组策略上报到策略服务器。 由于虚拟网桥 21与虚拟网 桥 11同属于安全域 1 , 但虚拟网桥 31与虚拟网桥 12不属于同一个安全域。 当 VM1从物理主机 1迁移到物理主机 2上之后, 物理主机 2上的虚拟网桥 1 会从策略服务器获取 MAC分组策略, 从而实现对 VM1的流量控制, 可见, VM1在迁移之后仍可以与其他 VM正常通信,并不会出现由于迁移而导致的 通信中断的现象。
本领域普通技术人员可以理解: 实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。 前述的程序可以存储于一计算机可 读取存储介质中。 该程序在执行时, 执行包括上述各方法实施例的步骤; 而 前述的存储介质包括: ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码 的介质。
图 9为本发明报文处理装置实施例一的结构示意图, 如图 9所示, 本实 施例提供了一种报文处理装置, 可以具体执行上述方法实施例一中的各个步 骤, 此处不再赘述。 本实施例提供的报文处理装置可以具体包括第一策略获 取模块 901、第一接收模块 902、第一获取模块 903和第一发送控制模块 904。 其中, 第一策略获取模块 901用于获取各虚拟机 MAC地址与安全域的对应 关系。 第一接收模块 902用于通过物理主机中的虚拟网桥接收所述物理主机 上的源虚拟机发送的网络艮文, 所述网络艮文中携带源 MAC 地址和目标 MAC地址。第一获耳 莫块 903用于根据第一接收模块 902接收的网络报文中 携带的所述源 MAC地址、 所述目标 MAC地址, 分别从第一策略获取模块 901获取到的各虚拟机 MAC地址与安全域的对应关系中,查询获得源虚拟机 所属的安全域以及目标虚拟机所属的安全域。 第一发送控制模块 904用于在 第一获取模块 903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应 的安全域不同时, 控制所述虚拟网桥丟弃所述网络报文。
图 10为本发明报文处理装置实施例二的结构示意图, 如图 10所示, 本 实施例提供了一种报文处理装置, 可以具体执行上述方法实施例三或实施例 四中的各个步骤, 此处不再赘述。 本实施例提供的报文处理装置在上述图 9 所示的基础之上, 第一发送控制模块 904可以具体包括第一发送单元 914和 第一丟弃单元 924。 其中, 第一发送单元 914用于当目标 MAC地址为非广播 地址时, 若第一获取模块 903获取到的所述源虚拟机所属的安全域与所述虚 拟网桥对应的安全域相同, 且第一获耳 莫块 903获取到的所述目标虚拟机所 属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据所述 目标 MAC地址发送所述网络报文。第一丟弃单元 924用于当目标 MAC地址 为非广播地址时, 述第一获取模块 903获取到的所述源虚拟机所属的安全域 与所述虚拟网桥对应的安全域不同, 或第一获取模块 903获取到的所述目标 虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制所述虚拟网桥 丟弃所述网络报文。
进一步地, 本实施例中的第一发送单元 914 可以具体包括发送子单元 9141和转发子单元 9142。 其中, 发送子单元 9141用于当所述目标 MAC地 址为非广播地址时, 若第一获取模块 903获取到的所述源虚拟机所属的安全 域与所述虚拟网桥对应的安全域相同, 且第一获耳 莫块 903获取到的所述目 标虚拟机所属的安全域与虚拟网桥对应的安全域均相同时, 且所述目标虚拟 机所在的物理主机与所述源虚拟机所在的物理主机相同时, 控制所述虚拟网 桥根据所述目标 MAC地址将所述网络报文发送到所述物理主机上的目标虚 物理主机上时, 控制所述虚拟网桥将所述网络报文发送至物理交换机, 由所 述物理交换机进行转发。
在本实施例中, 第一发送控制模块 904可以包括第一广播单元 934和第 二丟弃单元 944。 其中, 第一广播单元 934用于当所述目标 MAC地址为广播 地址时, 若第一获取模块 903获取到的所述源虚拟机所属的安全域与所述虚 拟网桥对应的安全域相同时, 控制所述虚拟网桥将所述网络报文通过物理交 换机在局域网内广播。 第二丟弃单元 944用于当所述目标 MAC地址为广播 地址时, 若第一获取模块 903获取到的所述源虚拟机所属的安全域与所述虚 拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所述网络报文。
本实施例提供了一种报文处理装置, 物理主机通过虚拟网桥接收源虚拟 机向目标虚拟机发送的网络艮文, 据源 MAC地址和目标 MAC地址, 分别 从虚拟机 MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域 以及目标虚拟机所属的安全域, 在源虚拟机所属的安全域与虚拟网桥对应的 安全域不同时, 控制虚拟网桥丟弃网络报文; 本实施例通过虚拟网桥实现了 对网络报文的过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机 来处理, 从而大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。
图 11为本发明报文处理装置实施例三的结构示意图, 如图 11所示, 本 实施例提供了一种报文处理装置, 可以具体执行上述方法实施例二中的各个 步骤, 此处不再赘述。 本实施例提供的报文处理装置可以具体包括第二策略 获取模块 1101、 第二接收模块 1102、 第二获取模块 1103和第二发送控制模 块 1104。 其中, 第二策略获取模块 1101用于获取各虚拟机 MAC地址与安全 域的对应关系。第二接收模块 1102用于通过物理主机中的虚拟网桥接收物理 交换机转发的网络报文, 所述网络报文是另一物理主机中的源虚拟机向所述 物理主机中的目标虚拟机发送的, 所述网络报文中携带源 MAC地址和目标 MAC地址。第二获耳 莫块 1103用于根据第二接收模块 1102接收到的网络报 文中携带的所述源 MAC地址、 所述目标 MAC地址, 分别从第二策略获取模 块 1101获取到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚 拟机所属的安全域以及目标虚拟机所属的安全域。第二发送控制模块 1104用 于在第二获取模块 1103 获取到的所述源虚拟机所属的安全域与所述虚拟网 桥对应的安全域不同时, 控制所述虚拟网桥丟弃所述网络报文。
图 12为本发明报文处理装置实施例四的结构示意图, 如图 12所示, 本 实施例提供了一种报文处理装置, 可以具体执行上述方法实施例三或实施例 四中的各个步骤, 此处不再赘述。 本实施例提供的报文处理装置在上述图 11 所示的基础之上, 第二发送控制模块 1104可以包括第二发送单元 1114和第 广播地址时,若第二获取模块 1103获取到的所述源虚拟机所属的安全域与所 述虚拟网桥对应的安全域相同,且第二获耳 莫块 1103获取到的所述目标虚拟 机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据 所述目标 MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上。 模块 1103 获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同,或第二获取模块 1103获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
或者, 第二发送控制模块 1104可以包括第二广播单元 1134和第四丟弃 单元 1144。 其中, 第二广播单元 1134用于当所述目标 MAC地址为广播地址 时,若第二获取模块 1103获取到的所述虚拟网桥对应的安全域与所述源虚拟
广播地址时,若第二获取模块 1103获取到的所述虚拟网桥对应的安全域与所 述源虚拟机所属的安全域不相同, 控制所述虚拟网桥丟弃所述网络报文。
本实施例提供了一种报文处理装置, 物理主机通过虚拟网桥接收物理交 源 MAC地址和目标 MAC地址,分别获取源虚拟机所属的安全域以及目标虚 拟机所属的安全域, 根据源虚拟机所属的安全域和目标虚拟机所属的安全域 对网络报文进行发送控制处理; 本实施例通过虚拟网桥实现了对网络报文的 过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机来处理, 从而 大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。
图 13为本发明主机实施例一的结构示意图, 如图 13所示, 本实施例提 供了一种源主机, 该源主机可以具体执行上述方法实施例三或四中的各个步 骤, 此处不再赘述。 该源主机可以具体包括处理器 1301 , 源主机还可以包括 虚拟网桥 1302和策略控制器 1303。 其中, 策略控制器 1303被配置用于从所 处网络中的策略服务器中获取各虚拟机 MAC地址与安全域的对应关系。 虚 拟网桥 1302被配置用于接收所述主机中的源虚拟机发送的网络报文,所述网 络报文中携带源 MAC地址和目标 MAC地址。 处理器 1301被配置用于根据 所述源 MAC地址、 所述目标 MAC地址, 分别从策略控制器 1303获取到的 各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全 域以及目标虚拟机所属的安全域; 在所述源虚拟机所属的安全域与虚拟网桥 1302对应的安全域不同时, 控制所述虚拟网桥丟弃所述网络报文。
具体地, 本实施例中的处理器 1301具体用于根据所述源 MAC地址、 所 述目标 MAC地址, 分别从策略控制器 1303获取到的各虚拟机 MAC地址与 安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属 的安全域; 当所述目标 MAC地址为非广播地址时, 若所述源虚拟机所属的 安全域与虚拟网桥 1302对应的安全域相同,且所述目标虚拟机所属的安全域 与虚拟网桥 1302对应的安全域相同,控制虚拟网桥 1302根据所述目标 MAC 地址发送所述网络报文;若所述源虚拟机所属的安全域与虚拟网桥 1302对应 的安全域不同,或所述目标虚拟机所属的安全域与虚拟网桥 1302对应的安全 域不同, 控制虚拟网桥 1302丟弃所述网络报文。
具体地, 本实施例中的处理器 1301具体用于根据所述源 MAC地址、 所 述目标 MAC地址, 分别从策略控制器 1303获取到的各虚拟机 MAC地址与 安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属 的安全域; 当所述目标 MAC地址为广播地址时, 若所述源虚拟机所属的安 全域与虚拟网桥 1302对应的安全域相同时, 控制虚拟网桥 1302将所述网络 报文通过物理交换机在局域网内广播; 若所述源虚拟机所属的安全域与虚拟 网桥 1302对应的安全域不同时, 控制虚拟网桥 1302丟弃所述网络报文。
本实施例提供了一种源主机, 源主机通过虚拟网桥接收源虚拟机向目标 虚拟机发送的网络报文 , 根据源 MAC地址和目标 MAC地址 , 分别从虚拟机 MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标 虚拟机所属的安全域, 在源虚拟机所属的安全域与虚拟网桥对应的安全域不 同时, 控制虚拟网桥丟弃网络报文; 本实施例通过虚拟网桥实现了对网络报 文的过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机来处理, 从而大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。 图 14为本发明主机实施例二的结构示意图, 如图 14所示, 本实施例提 供了一种目标主机, 该目标主机可以具体执行上述方法实施例三或四中的各 个步骤, 此处不再赘述。 该目标主机可以具体包括处理器 1401 , 目标主机还 可以包括虚拟网桥 1402和策略控制器 1403。 策略控制器 1403被配置用于从 所处网络中的策略服务器中获取各虚拟机 MAC地址与安全域的对应关系。 虚拟网桥 1402被配置用于接收物理交换机转发的网络报文,所述网络报文是 另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的, 所述网 络报文中携带源 MAC地址和目标 MAC地址。 处理器 1401被配置用于根据 所述源 MAC地址、 所述目标 MAC地址, 分别从策略控制器 1403获取到的 各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全 域以及目标虚拟机所属的安全域; 在所述源虚拟机所属的安全域与虚拟网桥 1402对应的安全域不同时, 控制虚拟网桥 1402丟弃所述网络艮文。
具体地, 本实施例中的处理器 1401具体用于根据所述源 MAC地址、 所 述目标 MAC地址, 分别从各虚拟机 MAC地址与安全域的对应关系中, 查询 获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 当所述目标 MAC 地址为非广播地址时,若所述源虚拟机所属的安全域与虚拟网桥 1402对应的 安全域相同,且所述目标虚拟机所属的安全域与虚拟网桥 1402对应的安全域 标虚拟机上;若所述源虚拟机所属的安全域与虚拟网桥 1402对应的安全域不 同, 或所述目标虚拟机所属的安全域与虚拟网桥 1402对应的安全域不同, 控 制虚拟网桥 1402丟弃所述网络报文。
具体地, 本实施例中的处理器 1401具体用于根据所述源 MAC地址、 所 述目标 MAC地址, 分别从各虚拟机 MAC地址与安全域的对应关系中, 查询 获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 当所述目标 MAC 地址为广播地址时,若虚拟网桥 1402对应的安全域与所述源虚拟机所属的安 的所有虚拟机; 若虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相 同, 控制虚拟网桥 1402丟弃所述网络报文。
本实施例提供了一种目标主机, 目标主机通过虚拟网桥接收源虚拟机向 目标虚拟机发送的网络艮文,根据源 MAC地址和目标 MAC地址, 分别从虚 拟机 MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及 目标虚拟机所属的安全域, 在源虚拟机所属的安全域与虚拟网桥对应的安全 域不同时, 控制虚拟网桥丟弃网络报文; 本实施例通过虚拟网桥实现了对网 络报文的过滤控制, 无需将虚拟机之间的所有流量均发送到物理交换机来处 理, 从而大大减轻了物理交换机的负担, 提高虚拟网络的通信效率。
图 15为本发明网络系统实施例的结构示意图, 如图 15所示, 本实施例 还提供了一种网络系统, 该网络系统可以具体包括源主机 1501、 目标主机 1503以及策略服务器 1502, 源主机 1501可以具体如上述图 13所示、 目标主 机 1503如上述图 14所示, 策略服务器 1502被配置用于向源主机 1501、 或 目标主机 1503 中的策略控制器提供各虚拟机 MAC地址与安全域的对应关 系。 该策略服务器 1502可以通过各源主机 1501、 或目标主机 1503中的策略 控制器接收各主机上报的 MAC分组策略, 并在需要时使一个主机可以通过 策略控制器共享其他主机上的 MAC分组策略。
具体地, 本实施例中的策略服务器 1502还用于接收主机 1501、 或目标 主机 1503通过策略控制器上报的本机的 MAC分组策略, 所述 MAC分组策 略包括虚拟机 MAC地址与安全域的对应关系;根据 MAC分组策略更新本地 最后应说明的是: 以上各实施例仅用以说明本发明的技术方案, 而非对 其限制; 尽管参照前述各实施例对本发明进行了详细的说明, 本领域的普通 技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改, 或者对其中部分或者全部技术特征进行等同替换; 而这些修改或者替换, 并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (1)

  1. 权 利 要 求 书
    1、 一种报文处理方法, 其特征在于, 包括:
    物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟 机发送的网络报文, 所述网络报文中携带源 MAC地址和目标 MAC地址; 所述物理主机根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚 拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以 及目标虚拟机所属的安全域;
    所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同时, 控制所述虚拟网桥丟弃所述网络报文。
    2、 根据权利要求 1所述的方法, 其特征在于, 所述物理主机在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络 文, 包括:
    当所述目标 MAC地址为非广播地址时:
    若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、 且所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 或所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制所述虚 拟网桥丟弃所述网络报文。
    3、 根据权利要求 2所述的方法, 其特征在于, 所述控制所述虚拟网桥根 据所述目标 MAC地址发送所述网络艮文包括:
    当所述目标虚拟机与所述源虚拟机位于同一个物理主机时, 控制所述虚 拟网桥根据所述目标 MAC地址, 将所述网络报文直接发送到所述物理主机 上的目标虚拟机上;
    当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时, 控制所述 虚拟网桥将所述网络报文发送至物理交换机, 由所述物理交换机进行转发。
    4、 根据权利要求 1所述的方法, 其特征在于, 所述物理主机在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络 文, 包括:
    当所述目标 MAC地址为广播地址时: 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制 所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
    若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制 所述虚拟网桥丟弃所述网络报文。
    5、 根据权利要求 1至 4中任一所述的方法, 其特征在于, 在所述分别从 各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全 域以及目标虚拟机所属的安全域之前, 还包括:
    所述物理主机将本机的 MAC分组策略上报给策略服务器,所述 MAC分 组策略包括所述物理主机上的虚拟机 MAC地址与安全域的对应关系;
    所述物理主机从所在网络中的策略服务器中获取到局域网中的 MAC分 的对应关系。
    6、 根据权利要求 5所述的方法, 其特征在于, 在所述物理主机将本机的 MAC分组策略上报给策略服务器后, 还包括:
    当所述物理主机检测到本机的 MAC分组策略发生变化时, 将变化后的
    MAC分组策略上报给所述策略服务器,以使所述策略服务器更新局域网中的 MAC分组策略。
    7、 一种报文处理方法, 其特征在于, 包括:
    物理主机通过该物理主机中的虚拟网桥接收物理交换机转发的网络报 文, 所述网络艮文是另一物理主机中的源虚拟机向所述物理主机中的目标虚 拟机发送的, 所述网络报文中携带源 MAC地址和目标 MAC地址;
    所述物理主机根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚 拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以 及目标虚拟机所属的安全域;
    所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同时, 控制所述虚拟网桥丟弃所述网络报文。
    8、 根据权利要求 7所述的方法, 其特征在于, 所述物理主机在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络 文, 包括:
    当所述目标 MAC地址为非广播地址时: 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、 且所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚 拟网桥根据所述目标 MAC地址将所述网络报文发送到所述物理主机上的目 标虚拟机上;
    若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 或所 述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同, 控制所述虚 拟网桥丟弃所述网络报文。
    9、 根据权利要求 7所述的方法, 其特征在于, 所述物理主机在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络 文, 包括:
    当所述目标 MAC地址为广播地址时:
    若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同, 控制 若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同, 控 制所述虚拟网桥丟弃所述网络报文。
    10、 一种报文处理装置, 其特征在于, 包括:
    第一策略获取模块, 用于获取各虚拟机 MAC地址与安全域的对应关系; 第一接收模块, 用于通过物理主机中的虚拟网桥接收所述物理主机上的 源虚拟机发送的网络报文,所述网络报文中携带源 MAC地址和目标 MAC地 址;
    第一获耳 莫块, 用于根据所述第一接收模块接收的网络报文中携带的所 述源 MAC地址、 所述目标 MAC地址, 分别从所述第一策略获取模块获取到 的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安 全域以及目标虚拟机所属的安全域;
    第一发送控制模块, 用于在所述第一获取模块获取到的所述源虚拟机所 属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所 述网络报文。
    11、 根据权利要求 10所述的装置, 其特征在于, 所述第一发送控制模块 包括:
    第一发送单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域相同, 且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据所述目标 MAC地址发 送所述网络艮文;
    第一丟弃单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同, 或所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
    12、根据权利要求 11所述的装置,其特征在于,所述第一发送单元包括: 发送子单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 相同, 且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚 拟网桥对应的安全域相同, 且所述目标虚拟机与所述源虚拟机位于同一物理 主机时, 控制所述虚拟网桥根据所述目标 MAC地址将所述网络报文发送到 所述物理主机上的目标虚拟机上;
    转发子单元, 用于当所述目标虚拟机与所述源虚拟机不在同一个物理主 机上时, 控制所述虚拟网桥将所述网络报文发送至物理交换机, 由所述物理 交换机进行转发。
    13、 根据权利要求 10所述的装置, 其特征在于, 所述第一发送控制模块 包括:
    第一广播单元, 用于当所述目标 MAC地址为广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播; 第二丟弃单元, 用于当所述目标 MAC地址为广播地址时, 若所述第一 获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域 不同时, 控制所述虚拟网桥丟弃所述网络报文。
    14、 一种报文处理装置, 其特征在于, 包括:
    第二策略获取模块, 用于获取各虚拟机 MAC地址与安全域的对应关系; 第二接收模块, 用于通过物理主机中的虚拟网桥接收物理交换机转发的 网络报文, 所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的 目标虚拟机发送的 , 所述网络报文中携带源 MAC地址和目标 MAC地址; 第二获耳 莫块, 用于根据所述第二接收模块接收到的网络报文中携带的 所述源 MAC地址、 所述目标 MAC地址, 分别从所述第二策略获取模块获取 到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的 安全域以及目标虚拟机所属的安全域;
    第二发送控制模块, 用于在所述第二获取模块获取到的所述源虚拟机所 属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟弃所 述网络报文。
    15、 根据权利要求 14所述的装置, 其特征在于, 所述第二发送控制模块 包括:
    第二发送单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域相同, 且所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域相同, 控制所述虚拟网桥根据所述目标 MAC地址将 所述网络报文发送到所述物理主机上的目标虚拟机上;
    第三丟弃单元, 用于当所述目标 MAC地址为非广播地址时, 若所述第 二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全 域不同, 或所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述 虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
    16、 根据权利要求 14所述的装置, 其特征在于, 所述第二发送控制模块 包括:
    第二广播单元, 用于当所述目标 MAC地址为广播地址时, 若所述第二
    有虚拟机;
    第四丟弃单元, 用于当所述目标 MAC地址为广播地址时, 若所述第二 不相同, 控制所述虚拟网桥丟弃所述网络报文。
    17、 一种源主机, 包括处理器, 其特征在于, 还包括虚拟网桥和策略控 制器, 其中: 所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机 MAC地址与安全域的对应关系;
    所述虚拟网桥被配置用于接收所述主机中的源虚拟机发送的网络报文, 所述网络报文中携带源 MAC地址和目标 MAC地址;
    所述处理器被配置用于根据所述源 MAC地址、 所述目标 MAC地址, 分 别从所述策略控制器获取到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络报文。
    18、 根据权利要求 17所述的源主机, 其特征在于, 所述处理器具体用于 根据所述源 MAC地址、 所述目标 MAC地址, 分别从所述策略控制器获取到 的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安 全域以及目标虚拟机所属的安全域; 当所述目标 MAC地址为非广播地址时, 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 且所述目 标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同, 控制所述虚拟网 桥根据所述目标 MAC地址发送所述网络报文; 若所述源虚拟机所属的安全 域与所述虚拟网桥对应的安全域不同, 或所述目标虚拟机所属的安全域与所 述虚拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
    19、 根据权利要求 17所述的源主机, 其特征在于, 所述处理器具体用于 根据所述源 MAC地址、 所述目标 MAC地址, 分别从所述策略控制器获取到 的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安 全域以及目标虚拟机所属的安全域; 当所述目标 MAC地址为广播地址时, 若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时, 控制所 述虚拟网桥将所述网络报文通过物理交换机在局域网内广播; 若所述源虚拟 机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥丟 弃所述网络艮文。
    20、 一种目标主机, 包括处理器, 其特征在于, 还包括虚拟网桥和策略 控制器, 其中:
    所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机 MAC地址与安全 i或的对应关系; 所述虚拟网桥被配置用于接收物理交换机转发的网络报文, 所述网络报 文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的, 所 述网络报文中携带源 MAC地址和目标 MAC地址;
    所述处理器被配置用于根据所述源 MAC地址、 所述目标 MAC地址, 分 别从所述策略控制器获取到的各虚拟机 MAC地址与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域; 在所述源虚 拟机所属的安全域与所述虚拟网桥对应的安全域不同时, 控制所述虚拟网桥 丟弃所述网络报文。
    21、 根据权利要求 20所述的目标主机, 其特征在于, 所述处理器具体用 于根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚拟机 MAC地址 与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所 属的安全域; 当所述目标 MAC地址为非广播地址时, 若所述源虚拟机所属 的安全域与所述虚拟网桥对应的安全域相同, 且所述目标虚拟机所属的安全 域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标 MAC 地址将所述网络报文发送到目标虚拟机上; 若所述源虚拟机所属的安全域与 所述虚拟网桥对应的安全域不同, 或所述目标虚拟机所属的安全域与所述虚 拟网桥对应的安全域不同, 控制所述虚拟网桥丟弃所述网络报文。
    22、 根据权利要求 20所述的目标主机, 其特征在于, 所述处理器具体用 于根据所述源 MAC地址、 所述目标 MAC地址, 分别从各虚拟机 MAC地址 与安全域的对应关系中, 查询获得源虚拟机所属的安全域以及目标虚拟机所 属的安全域; 当所述目标 MAC地址为广播地址时, 若所述虚拟网桥对应的 安全域与所述源虚拟机所属的安全域相同, 控制所述虚拟网桥将所述网络报 文转发给映射在所述虚拟网桥上的所有虚拟机; 若所述虚拟网桥对应的安全 域与所述源虚拟机所属的安全域不相同, 控制所述虚拟网桥丟弃所述网络报 文。
    23、 一种网络系统, 包括权利要求 17-19 中任一项所述的源主机, 权利 要求 20-22 中任一项所述的目标主机, 以及策略服务器, 所述策略服务器被 配置用于向所述源主机或所述目标主机中的策略控制器提供各虚拟机 MAC 地址与安全域的对应关系。
    24、 根据权利要求 23所述的网络系统, 其特征在于, 所述策略服务器还 用于接收所述源主机或目标主机通过策略控制器上报的本机的 MAC分组策
CN201280000583.7A 2012-06-21 2012-06-21 报文处理方法、装置、主机和网络系统 Active CN103650430B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/077304 WO2013189059A1 (zh) 2012-06-21 2012-06-21 报文处理方法、装置、主机和网络系统

Publications (2)

Publication Number Publication Date
CN103650430A true CN103650430A (zh) 2014-03-19
CN103650430B CN103650430B (zh) 2016-06-22

Family

ID=49768040

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280000583.7A Active CN103650430B (zh) 2012-06-21 2012-06-21 报文处理方法、装置、主机和网络系统

Country Status (4)

Country Link
US (1) US9634991B2 (zh)
EP (2) EP3852316B1 (zh)
CN (1) CN103650430B (zh)
WO (1) WO2013189059A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991738A (zh) * 2015-02-27 2016-10-05 中国移动通信集团四川有限公司 一种云资源池中跨安全域资源共享的方法及系统
CN107645434A (zh) * 2017-09-27 2018-01-30 武汉集客科技有限公司 接口扩展型无线网桥及其配对方法
CN107645435A (zh) * 2017-09-27 2018-01-30 武汉集客科技有限公司 接口转换型无线网桥及其配对方法
CN109964451A (zh) * 2016-11-22 2019-07-02 亚马逊科技公司 虚拟网络验证服务
CN113238833A (zh) * 2021-05-27 2021-08-10 安天科技集团股份有限公司 特征数据传输方法、装置及存储介质
CN114640557A (zh) * 2022-03-18 2022-06-17 阿里云计算有限公司 网关以及云网络系统
CN115834202A (zh) * 2020-05-27 2023-03-21 Oppo广东移动通信有限公司 信息处理方法及装置、设备、计算机存储介质
US11671442B2 (en) 2018-06-27 2023-06-06 Amazon Technologies, Inc. Automated packetless network reachability analysis
US12126495B2 (en) 2021-08-11 2024-10-22 Amazon Technologies, Inc. Virtual network verification service

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10601653B2 (en) 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10880162B1 (en) 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US9634948B2 (en) * 2013-11-07 2017-04-25 International Business Machines Corporation Management of addresses in virtual machines
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US10243848B2 (en) 2015-06-27 2019-03-26 Nicira, Inc. Provisioning logical entities in a multi-datacenter environment
US20170142234A1 (en) * 2015-11-13 2017-05-18 Microsoft Technology Licensing, Llc Scalable addressing mechanism for virtual machines
WO2017127972A1 (zh) * 2016-01-25 2017-08-03 华为技术有限公司 一种数据传输方法以及宿主机
WO2017158407A1 (en) * 2016-03-18 2017-09-21 Telefonaktiebolaget Lm Ericsson (Publ) Using nano-services to secure multi-tenant networking in datacenters
CN109525601B (zh) * 2018-12-28 2021-04-27 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
US11121960B2 (en) * 2019-05-30 2021-09-14 International Business Machines Corporation Detecting and managing relocation of network communication endpoints in a distributed computing environment
US11799726B2 (en) 2020-04-06 2023-10-24 Vmware, Inc. Multi-site security groups
CN113630321A (zh) * 2020-05-08 2021-11-09 华为技术有限公司 一种数据处理方法和设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7447203B2 (en) * 2003-07-29 2008-11-04 At&T Intellectual Property I, L.P. Broadband access for virtual private networks
CN101739282A (zh) * 2008-11-18 2010-06-16 华为技术有限公司 一种虚拟机的管理方法、装置和系统
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法
CN102150399A (zh) * 2008-09-12 2011-08-10 思科技术公司 减少桥接网络中的泛洪
EP2413549A1 (en) * 2010-07-30 2012-02-01 Broadcom Corporation Distributed switch domain of heterogeneous components

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7756843B1 (en) * 2006-05-25 2010-07-13 Juniper Networks, Inc. Identifying and processing confidential information on network endpoints
US20080104661A1 (en) * 2006-10-27 2008-05-01 Joseph Levin Managing Policy Settings for Remote Clients
US8621561B2 (en) * 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
CN101668022B (zh) 2009-09-14 2012-09-12 陈博东 一种建立在虚拟机上的虚拟网络隔离系统及实现方法
US8767737B2 (en) * 2011-11-30 2014-07-01 Industrial Technology Research Institute Data center network system and packet forwarding method thereof
US9021547B1 (en) * 2011-12-21 2015-04-28 Juniper Networks, Inc. Fully integrated switching and routing in a security device
US9036508B2 (en) * 2012-02-29 2015-05-19 Verizon Patent And Licensing Inc. Layer two extensions
US8989188B2 (en) * 2012-05-10 2015-03-24 Cisco Technology, Inc. Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode
US9331872B2 (en) * 2012-05-22 2016-05-03 Cisco Technology, Inc. Implementing PVLANs in a large-scale distributed virtual switch

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7447203B2 (en) * 2003-07-29 2008-11-04 At&T Intellectual Property I, L.P. Broadband access for virtual private networks
CN102150399A (zh) * 2008-09-12 2011-08-10 思科技术公司 减少桥接网络中的泛洪
CN101739282A (zh) * 2008-11-18 2010-06-16 华为技术有限公司 一种虚拟机的管理方法、装置和系统
EP2413549A1 (en) * 2010-07-30 2012-02-01 Broadcom Corporation Distributed switch domain of heterogeneous components
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨卫平: "面向虚拟机的网络入侵检测系统", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊)》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991738A (zh) * 2015-02-27 2016-10-05 中国移动通信集团四川有限公司 一种云资源池中跨安全域资源共享的方法及系统
CN105991738B (zh) * 2015-02-27 2019-05-14 中国移动通信集团四川有限公司 一种云资源池中跨安全域资源共享的方法及系统
CN109964451A (zh) * 2016-11-22 2019-07-02 亚马逊科技公司 虚拟网络验证服务
CN109964451B (zh) * 2016-11-22 2022-06-07 亚马逊科技公司 用以提供虚拟网络验证服务的方法、系统
CN107645434A (zh) * 2017-09-27 2018-01-30 武汉集客科技有限公司 接口扩展型无线网桥及其配对方法
CN107645435A (zh) * 2017-09-27 2018-01-30 武汉集客科技有限公司 接口转换型无线网桥及其配对方法
US11671442B2 (en) 2018-06-27 2023-06-06 Amazon Technologies, Inc. Automated packetless network reachability analysis
CN115834202A (zh) * 2020-05-27 2023-03-21 Oppo广东移动通信有限公司 信息处理方法及装置、设备、计算机存储介质
CN113238833A (zh) * 2021-05-27 2021-08-10 安天科技集团股份有限公司 特征数据传输方法、装置及存储介质
CN113238833B (zh) * 2021-05-27 2023-09-05 安天科技集团股份有限公司 特征数据传输方法、装置及存储介质
US12126495B2 (en) 2021-08-11 2024-10-22 Amazon Technologies, Inc. Virtual network verification service
CN114640557A (zh) * 2022-03-18 2022-06-17 阿里云计算有限公司 网关以及云网络系统

Also Published As

Publication number Publication date
EP3852316B1 (en) 2022-10-26
US9634991B2 (en) 2017-04-25
WO2013189059A1 (zh) 2013-12-27
EP3852316A1 (en) 2021-07-21
CN103650430B (zh) 2016-06-22
US20150106913A1 (en) 2015-04-16
EP2852107B1 (en) 2021-03-03
EP2852107A4 (en) 2015-05-27
EP2852107A1 (en) 2015-03-25

Similar Documents

Publication Publication Date Title
CN103650430A (zh) 报文处理方法、装置、主机和网络系统
US9110703B2 (en) Virtual machine packet processing
US10320838B2 (en) Technologies for preventing man-in-the-middle attacks in software defined networks
EP2905930B1 (en) Processing method, apparatus and system for multicast
US20130315242A1 (en) Network Communication Method and Device
CN105262685B (zh) 一种报文处理方法和装置
EP3370385B1 (en) Packet forwarding applied to vxlan
CN103795602B (zh) 虚拟网络的网络策略配置方法及装置
US8380819B2 (en) Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network
EP3310025B1 (en) User migration
CN102664972B (zh) 一种虚拟网络中地址映射方法和装置
US20170264496A1 (en) Method and device for information processing
KR20160057433A (ko) 논리적 라우터
CN102571587B (zh) 报文转发方法和设备
CN104869058A (zh) 一种数据报文转发方法和装置
US20140282542A1 (en) Hypervisor Storage Intercept Method
WO2017107871A1 (zh) 访问控制方法和网络设备
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
US12088552B2 (en) Synchronizing dynamic host configuration protocol snoop information
CN108259379A (zh) 一种流量转发方法及装置
CN105264837A (zh) 一种数据报文的传输系统、传输方法和设备
WO2012103708A1 (zh) 媒体访问控制mac地址保护方法和交换机
CN109768909A (zh) 报文转发方法和装置
CN101043410B (zh) 实现移动vpn业务的方法及系统
CN110300064A (zh) 一种数据流量处理方法、设备及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant