CN103650430B - 报文处理方法、装置、主机和网络系统 - Google Patents
报文处理方法、装置、主机和网络系统 Download PDFInfo
- Publication number
- CN103650430B CN103650430B CN201280000583.7A CN201280000583A CN103650430B CN 103650430 B CN103650430 B CN 103650430B CN 201280000583 A CN201280000583 A CN 201280000583A CN 103650430 B CN103650430 B CN 103650430B
- Authority
- CN
- China
- Prior art keywords
- security domain
- virtual machine
- bridge
- network message
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种报文处理方法、装置、主机和网络系统,方法包括:物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。本发明实施例还提供另一种报文处理方法、装置、主机和网络系统。本发明实施例大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
Description
技术领域
本发明涉及通信技术,尤其涉及一种报文处理方法、装置、主机和网络系统。
背景技术
在数据中心中,不同用户的业务系统都有自己的计算机、网络等基础设施,且不同业务系统的基础设施之间相互独立,因此可以通过网络物理隔离手段来保证业务系统之间的信息隔离,防止业务系统的信息泄露。比如,财务系统的计算机和网络与其他业务系统相隔离,这样可以保证其他业务系统的用户无法通过网络窃取财务系统内的数据。
虚拟化是指计算机元件在虚拟的基础上而不是真实的基础上运行,CPU的虚拟化技术可以单CPU模拟多CPU并行,允许一个平台同时运行多个操作系统,且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。由于虚拟化技术在提升工作效率方面的优势,在数据中心上应用虚拟化技术成为当前技术研究热点,但在数据中心虚拟化之后,运行用户业务的不再是物理计算机而是安装在物理计算机上的虚拟机,属于不同租户的不同虚拟机可能运行在同一物理主机上,由虚拟机组成的不同业务系统会共享相同的网络基础设施。此时难以实现信息系统的隔离,如财务系统和研发系统使用不同的虚拟机,但不同的虚拟机运行在同一物理主机上或者同处于同一网络内,则用户可以通过研发系统内的虚拟机通过地址欺骗、网络监听等手段窃取财务系统的数据。因此,在出现不同的租户共享物理基础设施时,如何跨越物理边界将虚拟机划分为不同的虚拟网络,并保证虚拟网络之间的信息隔离成为保证虚拟化数据中心多租户安全的一项基本要求。
在现有技术中,为了保证虚拟网络之间的信息隔离,通常通过使虚拟机的网络流量经过交换机,即将物理主机上虚拟机生成的所有流量均发送到物理主机之外的交换机上,通过交换机对流量进行过滤控制处理,交换机会像处理普通主机的流量一样对来自于虚拟机的流量进行处理,从而使用现有的虚拟局域网(VirtualLocalAreaNetwork;以下简称:VLAN)技术对虚拟机进行隔离。
然而,现有技术中虚拟机之间通信的所有流量均引到交换机进行处理,极大地加重了交换机的负担。
发明内容
本发明提供一种报文处理方法、装置、主机和网络系统,减轻物理交换机的负担,提高虚拟网络通信效率。
第一方面提供了一种报文处理方法,包括:
物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;
所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第一方面的第一种可能的实现方式中,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文包括:
当所述目标MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文包括:
当所述目标虚拟机与所述源虚拟机位于同一个物理主机时,控制所述虚拟网桥根据所述目标MAC地址,将所述网络报文直接发送到所述物理主机上的目标虚拟机上;
当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时,控制所述虚拟网桥将所述网络报文发送至物理交换机,由所述物理交换机进行转发。
在第一方面的第三种可能的实现方式中,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文包括:
当所述目标MAC地址为广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
结合第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种实现方式中,在所述分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域之前,还包括:
所述物理主机将本机的MAC分组策略上报给策略服务器,所述MAC分组策略包括所述物理主机上的虚拟机MAC地址与安全域的对应关系;
所述物理主机从所在网络中的策略服务器中获取到局域网中的MAC分组策略,所述局域网中的MAC分组策略中包括各虚拟机MAC地址与安全域的对应关系。
结合第一方面的第四种实现方式,在第一方面的第五种实现方式中,在所述物理主机将本机的MAC分组策略上报给策略服务器后,还包括:
当所述物理主机检测到本机的MAC分组策略发生变化时,将变化后的MAC分组策略上报给所述策略服务器,以使所述策略服务器更新局域网中的MAC分组策略。
第二方面提供了另一种报文处理方法,包括:
物理主机通过该物理主机中的虚拟网桥接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址;
所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第二方面的第一种可能的实现方式中,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文包括:
当所述目标MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
在第二方面的第二种可能的实现方式中,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文包括:
当所述目标MAC地址为广播地址时:
若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;
若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
第三方面提供了一种报文处理装置,包括:
第一策略获取模块,用于获取各虚拟机MAC地址与安全域的对应关系;
第一接收模块,用于通过物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;
第一获取模块,用于根据所述第一接收模块接收的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从所述第一策略获取模块获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
第一发送控制模块,用于在所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第三方面的第一种可能的实现方式中,所述第一发送控制模块包括:
第一发送单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文;
第一丢弃单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
结合第三方面的第一种可能的实现方式,在第三方面的第二种实现方式中,所述第一发送单元包括:
发送子单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述目标虚拟机与所述源虚拟机位于同一物理主机时,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
转发子单元,用于当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时,控制所述虚拟网桥将所述网络报文发送至物理交换机,由所述物理交换机进行转发。
在第三方面的第三种可能的实现方式中,所述第一发送控制模块包括:
第一广播单元,用于当所述目标MAC地址为广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
第二丢弃单元,用于当所述目标MAC地址为广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
第四方面提供了一种报文处理装置,包括:
第二策略获取模块,用于获取各虚拟机MAC地址与安全域的对应关系;
第二接收模块,用于通过物理主机中的虚拟网桥接收物理交换机转发的的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址;
第二获取模块,用于根据所述第二接收模块接收到的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从所述第二策略获取模块获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
第二发送控制模块,用于在所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第四方面的第一种可能的实现方式中,所述第二发送控制模块包括:
第二发送单元,用于当所述目标MAC地址为非广播地址时,若所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
第三丢弃单元,用于当所述目标MAC地址为非广播地址时,若所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
在第四方面的第二种可能的实现方式中,所述第二发送控制模块包括:
第二广播单元,用于当所述目标MAC地址为广播地址时,若所述第二获取模块获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;
第四丢弃单元,用于当所述目标MAC地址为广播地址时,若所述第二获取模块获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
第五方面提供了一种源主机,包括处理器,还包括虚拟网桥和策略控制器,其中:
所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机MAC地址与安全域的对应关系;
所述虚拟网桥被配置用于接收所述主机中的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;
所述处理器被配置用于根据所述源MAC地址、所述目标MAC地址,分别从所述策略控制器获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第五方面的第一种可能的实现方式中,所述处理器具体用于根据所述源MAC地址、所述目标MAC地址,分别从所述策略控制器获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为非广播地址时,若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文;若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
在第五方面的第二种可能的实现方式中,所述处理器具体用于根据所述源MAC地址、所述目标MAC地址,分别从所述策略控制器获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为广播地址时,若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
第六方面提供了一种目标主机,包括处理器,还包括虚拟网桥和策略控制器,其中:
所述策略控制器被配置用于从所处网络中的策略服务器中获取各虚拟机MAC地址与安全域的对应关系;
所述虚拟网桥被配置用于接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址;
所述处理器被配置用于根据所述源MAC地址、所述目标MAC地址,分别从所述策略控制器获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
在第六方面的第一种可能的实现方式中,所述处理器具体用于根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为非广播地址时,若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到目标虚拟机上;若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
在第六方面的第二种可能的实现方式中,所述处理器具体用于根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为广播地址时,若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
第七方面提供了一种网络系统,包括上述源主机,目标主机,以及策略服务器,所述策略服务器被配置用于向所述主机中的策略控制器提供各虚拟机MAC地址与安全域的对应关系。
在第七方面的第一种实现方式中,所述策略服务器还用于接收所述主机通过策略控制器上报的本机的MAC分组策略,所述MAC分组策略包括虚拟机MAC地址与安全域的对应关系;根据所述MAC分组策略更新本地的各虚拟机MAC地址与安全域的对应关系。
本发明实施例的技术效果是:物理主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,分别从虚拟机MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明报文处理方法实施例一的应用示意图;
图1b为本发明报文处理方法实施例一的流程图;
图2为本发明报文处理方法实施例二的流程图;
图3为本发明报文处理方法实施例三的流程图;
图4为本发明报文处理方法实施例三中虚拟局域网的应用场景示意图;
图5为本发明报文处理方法实施例四的流程图;
图6为本发明报文处理方法实施例五的流程图;
图7为本发明报文处理方法实施例五中迁移前的虚拟局域网的应用场景示意图;
图8为本发明报文处理方法实施例五中迁移后的虚拟局域网的应用场景示意图;
图9为本发明报文处理装置实施例一的结构示意图;
图10为本发明报文处理装置实施例二的结构示意图;
图11为本发明报文处理装置实施例三的结构示意图;
图12为本发明报文处理装置实施例四的结构示意图;
图13为本发明主机实施例一的结构示意图;
图14为本发明主机实施例二的结构示意图;
图15为本发明网络系统实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解,图1a为本发明报文处理方法实施例一的应用示意图。该图中的物理主机既可以是发送网络报文的源虚拟机所在的物理主机(即源主机),也可以是网络报文的目的虚拟机所在的物理主机(即目标主机)。后面将结合该示意图介绍本发明报文处理方法实施例。
图1b为本发明报文处理方法实施例一的流程图,如图1b所示,本实施例提供了一种报文处理方法,本实施例从源虚拟机所在的物理主机一侧对本发明的方案进行具体说明,本实施例提供的报文处理方法可以具体包括如下步骤:
步骤101,物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址。
所述网络报文的接收方可以是所述物理主机中的另一虚拟机,也可以是另一物理主机中的虚拟机。
可选地,本实施例的一种具体实现方式为在安装虚拟机的物理主机(HOST)的操作系统(OperationSystem;以下简称:OS)或者运行虚拟机的虚拟机管理器(Hypervisor)内设置一个通信隔离器,该通信隔离器可以采用软件方式来实现,如网络通信隔离软件。通过该网络通信隔离软件设置并管理一个策略控制器和至少一个虚拟网桥(VirtualBridge;以下简称:VB)。虚拟网桥用软件的方式,实现类似于物理网桥的功能(即在链路层实现中继,对网络报文转发,并可以隔离碰撞等)。在本实施例中,一个虚拟网桥与一个安全域相对应,安装在物理主机上的虚拟机的虚拟网卡分别映射到该物理主机上的一个虚拟网桥上,其中虚拟机所属的安全域与所映射的虚拟网桥对应的安全域相同,从而建立虚拟机MAC地址与安全域的对应关系。其中,安全域是指相互信任,可以互相通信的计算机(即可以是物理主机,也可以是虚拟机)的集合。具体地,在物理主机中安装虚拟机时,上述网络通信隔离软件向用户提供一个选项列表,其中的每个选项都对应一个安全域,接收用户的选择结果,从而将所安装的虚拟机的MAC地址映射在选中的安全域对应的虚拟网桥上。
可选地,物理主机在建立了本物理主机上的虚拟机MAC地址与安全域的对应关系之后,上述通信隔离器将包含本机中的虚拟机MAC地址与安全域的对应关系的MAC分组策略,通过策略控制器上报到所处网络中的策略服务器,也可以通过策略控制器获取其他物理主机的虚拟机MAC地址与安全域的对应关系。通过上述机制,各物理主机上的策略控制器能够分享各虚拟机MAC地址与安全域的对应关系,以便后续确认如何发送报文。在本实施例中,当源虚拟机向目标虚拟机发送网络报文时,由于虚拟局域网中的各虚拟机的虚拟网卡分别映射在虚拟机所在物理主机上,各虚拟机所属的安全域对应的虚拟网桥上,因此虚拟机向外发送的报文均先被其对应的虚拟网桥截获。本步骤为物理主机通过物理主机中的虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,此处的物理主机具体为源虚拟机所在的物理主机,源虚拟机向目标虚拟机发送网络报文时,该网络报文中携带所述网络报文的源MAC地址和目标MAC地址。其中,源虚拟机对应的虚拟网桥即为源虚拟机所属的安全域对应的虚拟网桥,源MAC地址为源虚拟机的MAC地址,目标MAC地址为目标虚拟机的MAC地址。
步骤102,物理主机根据源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域。
在本实施例中,可以在策略服务器上存储局域网的MAC分组策略,策略控制器可以从策略服务器上获取该MAC分组策略。该MAC分组策略可以具体为局域网中各虚拟机MAC地址与安全域的对应关系。通过设置MAC分组策略,可以将局域网划分为多个安全域,同属于一个安全域的虚拟机的虚拟网卡映射在该安全域对应的虚拟网桥上。其中,策略服务器可以设置在二层网络上独立的一个服务器设备上。当物理主机通过虚拟网桥接收到网络报文时,通信隔离器需要决定发送或丢弃该网络报文,本步骤为物理主机中的通信隔离器通过策略控制器从策略服务器获取包含各虚拟机MAC地址与安全域的对应关系的虚拟局域网的MAC分组策略,根据所属网络报文中的源MAC地址、目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中,分别查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域。具体地,物理主机在接收到网络报文后,先根据所述源MAC地址,从各虚拟机MAC地址与安全域的对应关系中,查询获取源虚拟机所属的安全域;并根据目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中,查询获取目标虚拟机所属的安全域。
步骤103,物理主机在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文。
当获取到源虚拟机所属的安全域和目标虚拟机所属的安全域后,物理主机会根据源虚拟机所属的安全域、目标虚拟机所属的安全域,以及虚拟网桥自身对应的安全域,控制虚拟网桥对接收到的网络报文进行具体的发送控制处理,此处的发送控制处理为将该网络报文向目标虚拟机或物理交换机转发,或者不再发送该网络报文,即阻断此报文,将该报文进行丢弃处理。具体地,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,通信隔离器控制虚拟网桥丢弃网络报文。其中,可以根据预设的该物理主机中虚拟网桥与安全域的对应关系来获取虚拟网桥自身对应的安全域。由此可见,本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,即使转发到物理交换机的网络报文也只需经过转发,无需过滤控制,从而大大减轻物理交换机的负担。
本实施例提供了一种报文处理方法,物理主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,分别从虚拟机MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图2为本发明报文处理方法实施例二的流程图,如图2所示,本实施例提供了一种报文处理方法,本实施例从目标虚拟机所在的物理主机一侧对本发明的方案进行具体说明,本实施例提供的报文处理方法可以具体包括如下步骤:
步骤201,物理主机通过虚拟网桥接收物理交换机转发的网络报文,所述网络报文中携带源MAC地址和目标MAC地址。
本实施例为当源虚拟机与目标虚拟机不在同一物理主机上时,源虚拟机对应的虚拟网桥在经过过滤控制后,通过物理交换机将网络报文发送到目标虚拟机所在的物理主机上。本步骤具体为物理主机通过虚拟网桥接收物理交换机转发的网络报文,该网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,此处的物理主机为目标虚拟机所在的物理主机,虚拟网桥为目标虚拟机所属的安全域对应的虚拟网桥,在该虚拟报文中携带所述网络报文的源MAC地址和目标MAC地址。其中,源MAC地址为源虚拟机的MAC地址,目标MAC地址为目标虚拟机的MAC地址。
步骤202,物理主机根据源MAC地址、目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。
当目标虚拟机所在的物理主机接收到网络报文时,也需要对该网络报文进行转发控制处理。本步骤为目标虚拟机所在的物理主机根据源MAC地址、目标MAC地址,以及通过策略控制器获取到的虚拟机MAC地址与安全域的对应关系中,分别查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。具体地,目标虚拟机所在的物理主机在接收到网络报文后,通信隔离器先根据源MAC地址,从各MAC地址与安全域的对应关系中,查询获取源虚拟机所属的安全域;并根据目标MAC地址,从各MAC地址与安全域的对应关系中,获取目标虚拟机所属的安全域。
可选地,与实施例一相类似,物理主机通过策略控制器从所处网络中的策略控制器获取虚拟局域网的MAC分组策略,所述虚拟局域网的MAC分组策略中包括各MAC地址与安全域的对应关系。
步骤203,物理主机在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文。
当获取到源虚拟机所属的安全域和目标虚拟机所属的安全域后,物理主机根据源虚拟机所属的安全域、目标虚拟机所属的安全域,以及接收到所述网络报文的虚拟网桥对应的安全域,控制所述虚拟网桥对接收到的网络报文进行具体的发送控制处理;此处的发送控制处理为将该网络报文向映射在该虚拟网桥上的虚拟机发送,或者不再发送该网络报文,即阻断此报文,将该报文进行丢弃处理。具体地,本步骤为在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,物理主机中的通信隔离器控制虚拟网桥丢弃所述网络报文,从而实现对网络报文的双重过滤,保证了虚拟局域网的安全性。
本实施例提供了一种报文处理方法,物理主机通过目标虚拟机对应的虚拟网桥接收物理交换机转发的由源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中查询分别获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图3为本发明报文处理方法实施例三的流程图,如图3所示,本实施例提供了一种报文处理方法,本实施例具体针对网络报文的目标MAC地址为非广播地址的情况,本实施例可以具体包括如下步骤:
步骤301,物理主机通过策略控制器从策略服务器获取各虚拟机MAC地址与安全域的对应关系。
在本实施例中,物理主机先通过策略控制器从策略服务器获取各虚拟机MAC地址与安全域的对应关系,用于对网络报文进行过滤控制,通过虚拟机MAC地址与安全域的对应关系将虚拟局域网划分为多个安全域。具体地,策略服务器上保存的各虚拟机MAC地址与安全域的对应关系,是由用户在各物理主机上配置,并通过各物理主机上的策略控制器向策略服务器上报的,以使得各物理主机的MAC分组策略可以在不同物理主机之间共享。本实施例可以在HOSTOS或者运行虚拟机的虚拟机管理器(Hypervisor)内设置一个通信隔离器,在该通信隔离器中设置一个策略控制器和至少一个虚拟网桥;由于虚拟机MAC地址可以标识虚拟机,而一个虚拟机对应一个虚拟网卡,则可以由通信隔离器根据虚拟机MAC地址与安全域的对应关系,将各虚拟机的虚拟网卡分别映射到各虚拟机所属的安全域对应的虚拟网桥上。
图4为本发明报文处理方法实施例三中虚拟局域网的应用场景示意图,为了简明起见,在附图4中仅以虚拟网络中有两个物理主机、两个安全域的情况进行说明,在包含更多物理主机和更多安全域的情况下的处理方案类似。如图4所示,假设VM1、VM2、VM5、VM6属于安全域1,VM3、VM4、VM7、VM8属于安全域2,安全域1对应物理主机1中的虚拟网桥11和物理主机2中的虚拟网桥21,安全域2对应物理主机2中的虚拟网桥12和物理主机2中的虚拟网桥22,VM1、VM2、VM5、VM6的MAC地址分别为MAC1、MAC2、MAC5、MAC6,VM3、VM4、VM7、VM8的MAC地址分别为MAC3、MAC4、MAC7、MAC8,VM1、VM2的虚拟网卡均映射在虚拟网桥11上,VM5、VM6的虚拟网卡均映射在虚拟网桥21上,MAC3、MAC4的虚拟网卡均映射在虚拟网桥12上,MAC7、MAC8的虚拟网卡均映射在虚拟网桥22上。
步骤302,源虚拟机所在的物理主机中的虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文。
本步骤为源虚拟机所在的物理主机接收源虚拟机向目标虚拟机发送的网络报文,该物理主机具体通过源虚拟机所属的安全域对应的虚拟网桥接收该网络报文,该网络报文中携带所述网络报文的源MAC地址和目标MAC地址。以图4为例,VM1、VM2发送的网络报文被对应的虚拟网桥11截获,VM3、VM4发送的网络报文被对应的虚拟网桥12截获。当VM1向VM2发送网络报文时,物理主机1通过虚拟网桥11接收到该网络报文,该网络报文中可以携带源MAC地址MAC1和目标MAC地址MAC2。具体地,物理主机在接收到该网络报文后,通过该网络报文的目标MAC地址可以识别该网络报文是否为广播报文,当其目标MAC地址为“全FF”时,该网络报文为广播报文,本实施例具体以网络报文为非广播报文为例进行说明,后续实施例四中将对广播报文的处理过程进行说明。
步骤303,源虚拟机所在的物理主机根据源MAC地址、目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。
源虚拟机所在的物理主机接收到网络报文后,源虚拟机所在的物理主机中的通信隔离器根据源MAC地址、目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。以图4为例,当物理主机1通过虚拟网桥11接收到VM1发送到VM2的网络报文后,根据虚拟机MAC地址与安全域的对应关系可以获取到MAC1和MAC2对应的安全域均为安全域1,即获取到源虚拟机所属的安全域和目标虚拟机所属的安全域均为安全域1。
步骤304,源虚拟机所在的物理主机判断源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤305,否则执行步骤314。
源虚拟机所在的物理主机中的通信隔离器先判断源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤305,否则执行步骤314。以上述图4为例,当物理主机1通过虚拟网桥11接收到VM1发送到VM2的网络报文后,获取到源虚拟机所属的安全域为安全域1,其与虚拟网桥11对应的安全域相同,则执行步骤305进行继续判断。
步骤305,源虚拟机所在的物理主机判断目标虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤306,否则执行步骤314。
当源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同时,源虚拟机所在的物理主机中的通信隔离器继续判断目标虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤306,否则执行步骤314。以上述图4为例,当物理主机1通过虚拟网桥11接收到VM1发送到VM2的网络报文后,获取到VM1、VM2所属的安全域均与虚拟网桥11对应的安全域相同,则执行步骤306对报文进行转发处理。当物理主机1通过虚拟网桥11接收到VM1发送到VM3的网络报文后,获取到VM3所属的安全域与虚拟网桥11对应的安全域不同,则执行步骤314,直接将该网络报文进行丢弃处理。
步骤306,源虚拟机所在的物理主机判断目标虚拟机所在的物理主机与源虚拟机所在的物理主机是否相同,如果是,则执行步骤307,否则执行步骤308。
当源虚拟机所属的安全域和目标虚拟机所属的安全域均与接收网络报文的虚拟网桥对应的安全域相同时,源虚拟机所在的物理主机中的通信隔离器继续判断目标虚拟机所在的物理主机与源虚拟机所在的物理主机是否相同,如果是,则执行步骤307,否则执行步骤308。具体地,物理主机根据虚拟机在安装时选择的安全域,可以建立并保存虚拟机MAC地址和虚拟网桥的映射关系。此时可以根据上述映射关系确认源虚拟机和目标虚拟机是否映射在同一个虚拟网桥上,如果源虚拟机和目标虚拟机是映射在同一个虚拟网桥上的,则显然源虚拟机和目标虚拟机所在的物理主机相同。
以上述图4为例,当物理主机1通过虚拟网桥11接收到VM1发送到VM2的网络报文后,获取到VM1与虚拟网桥11对应的安全域相同,且VM2所属的安全域与虚拟网桥11对应的安全域相同,且VM1和VM2均位于物理主机1上,则执行步骤307,直接控制虚拟网桥11将该网络报文直接发送到VM2上。当物理主机1通过虚拟网桥11接收到VM1发送到VM5的网络报文后,获取到VM1所属的安全域与虚拟网桥11对应的安全域相同,且VM5所属的安全域与虚拟网桥11对应的安全域相同,但VM1和VM5分别位于物理主机1和物理主机2上,则执行步骤308,将该网络报文通过物理交换机进行转发。
步骤307,源虚拟机所在的物理主机控制虚拟网桥根据目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上。
当源虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相同,且目标虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相同,且源虚拟机所在的物理主机中的通信隔离器继续判断目标虚拟机所在的物理主机与源虚拟机所在的物理主机也相同时,源虚拟机所属安全域对应的虚拟网桥可以根据目标MAC地址将网络报文直接发送到其所在的物理主机上的目标虚拟机上。例如图4中的VM1和VM2同属于安全域1,且在同一物理主机上,则虚拟网桥11可以将VM1的网络报文直接发送到VM2,无需经过物理交换机的处理,降低了物理交换机的负担。
步骤308,源虚拟机所在的物理主机控制虚拟网桥将网络报文发送至物理交换机,以便所述物理交换机后续将所述网络报文发送至目标虚拟机所在的物理主机中。
当源虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相同、且目标虚拟机所属的安全域与接收网络报文的虚拟网桥对应的安全域相同、但目标虚拟机所在的物理主机与源虚拟机所在的物理主机不同时,由于两个虚拟机不在同一物理主机上,则需要物理交换机的转发,通信隔离器可以控制源虚拟机所在的物理主机上的、源虚拟机所属的安全域对应的虚拟网桥将网络报文先发送到物理交换机上,由物理交换机将该网络报文转发到目标虚拟机所在的物理主机中目标虚拟机对应的虚拟网桥上。例如图4中的VM1和VM5同属于安全域1,但二者不在同一物理主机上,则虚拟网桥11可以将VM1的网络报文通过物理交换机先转发到VM5所在的物理主机中其对应的虚拟网桥21上,网络过滤功能的实现无需依赖物理交换机的过滤控制处理,物理交换机只需转发,同样也可以降低物理交换机的负担。
步骤309,目标虚拟机所在物理主机中的虚拟网桥接收到物理交换机发送的网络报文。
物理交换机对来自于虚拟机的网络报文和来自于物理主机的报文不区分地执行相同的转发处理。具体地,物理交换机中保存有各MAC地址(即包括虚拟机的MAC地址,也包括物理主机的MAC地址)与交换机端口的映射关系,接收到网络报文后,查询其目标MAC地址对应的交换机端口,然后通过查询到的交换机端口将该网络报文转发出去。例如,MAC5、MAC6、MAC7、MAC8以及物理主机2的MAC地址都映射在同一个交换机端口上,物理交换机将目标MAC地址为MAC5、MAC6、MAC7、MAC8、或物理主机2的MAC地址的网络报文都发送给物理主机2的网络接口中,具体该网络报文应该发送给VM5、WM6、WM7、VM8还是物理主机2的操作系统,则需要根据虚拟机MAC与虚拟网桥的映射关系,由虚拟网桥进行进一步的转发。本实施例中仅描述一个虚拟机向另一个虚拟机发送的网络报文的处理过程。例如物理主机2根据该物理主机上虚拟机MAC地址和虚拟网桥的映射关系,控制目的虚拟机WM5映射的虚拟网桥21进行进一步转发。
步骤310,目标虚拟机所在的物理主机根据所述网络报文的源MAC地址、目标MAC地址,从各虚拟机MAC地址与安全域的对应关系中查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。
可选地,与实施例一相类似,物理主机2通过策略控制器从所处网络中的策略控制器获取虚拟局域网的MAC分组策略,所述虚拟局域网的MAC分组策略中包括各MAC地址与安全域的对应关系。
步骤311,目标虚拟机所在的物理主机判断源虚拟机所属的安全域与虚拟网桥对应的安全域是否相同,如果是,则执行步骤312,否则执行步骤314。
本步骤为目标虚拟机所在的物理主机上,目标虚拟机所属的安全域对应的虚拟网桥接收到物理交换机转发的网络报文后,该目标虚拟机所在的物理主机中的通信隔离器判断源虚拟机所属的安全域与接收到网络报文的该虚拟网桥对应的安全域是否相同,如果是,则执行步骤312,否则执行步骤314。其中,由于源虚拟机和目标虚拟机同属于一个安全域,则目标虚拟机所属的安全域与源虚拟机所属的安全域相同,例如图4中的VM1和VM5同属于安全域1,但二者不在同一物理主机上,VM5对应的虚拟网桥为物理主机2上的虚拟网桥21,则物理主机2在通过虚拟网桥21接收到物理交换机转发的网络报文后,同样先判断VM1所属的安全域是否与虚拟网桥21对应的安全域是否相同,通过判断可知二者均为安全域1,则可以继续后续判断步骤。
步骤312,目标虚拟机所在的物理主机判断目标虚拟机所属的安全域与虚拟网桥对应的安全域是否相同,如果是,则执行步骤313,否则执行步骤314。
当目标虚拟机所在的物理主机中的通信隔离器获知源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同时,此处的虚拟网桥具体为目标虚拟机所属的安全域对应的虚拟网桥,继续判断目标虚拟机所属的安全域与接收到网络报文的该虚拟网桥对应的安全域是否相同,如果是,则执行步骤313,否则执行步骤314。仍以图4中的VM1-VM5为例,物理主机2上的虚拟网桥21获知VM1所属的安全域与虚拟网桥21对应的安全域相同,继续判断VM5所属的安全域是否与虚拟网桥21对应的安全域是否相同,通过判断可知二者均为安全域1,则可以执行步骤313,直接将该网络报文转发到VM5上。
步骤313,目标虚拟机所在的物理主机,根据目标MAC地址,控制虚拟网桥将网络报文发送到目标虚拟机上。
当目标虚拟机所在的物理主机获知源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同,且目标虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同,目标虚拟机所在的物理主机根据目标MAC地址将网络报文发送到物理主机上的目标虚拟机上,则实现了在源虚拟机和目标虚拟机所对应的虚拟网桥上均对网络报文进行过滤控制,进一步提高了虚拟局域网的安全性。
步骤314,目标虚拟机所在的物理主机控制虚拟网桥丢弃所述网络报文。
当目标虚拟机对应的虚拟网桥获知源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同,但目标虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域不同,则目标虚拟机所在的物理主机中的通信隔离器控制目标虚拟机所属的安全域对应的虚拟网桥对网络报文进行丢弃处理,阻断源虚拟机与目标虚拟机之间的通信,则实现了在源虚拟机和目标虚拟机所对应的虚拟网桥上均对网络报文进行过滤控制,进一步提高了虚拟局域网的安全性。
需要指出的是,本实施例中的上述部分步骤之间没有严格的执行顺序的限制,如步骤304和步骤305可以互换,步骤311和步骤312可以互换。
另外,本实施例还可以防止MAC欺骗攻击,即防止用户通过恶意篡改虚拟机的MAC地址来进行欺骗攻击。仍以上述图4为例,假设VM2的用户希望与安全域2中的计算机进行通信,则其将自身的MAC地址篡改为VM3的MAC地址,即将MAC2改为MAC3,并试图使用篡改后的MAC地址与VM4进行通信;此时网络报文的源MAC地址为MAC3,目标地址为MAC4。当VM2使用MAC3向VM4发送网络报文时,此前VM2所映射的安全域1中的虚拟网桥1接收到该网络报文时,会发现源MAC地址MAC3不属于安全域1,因此虚拟网桥1会阻断该网络报文的发送,从而使得VM2无法冒充VM3对外通信。
本实施例提供了一种报文处理方法,物理主机通过虚拟网桥接收物理交换机转发的由源虚拟机向目标虚拟机发送的网络报文,根据MAC分组策略、源MAC地址和目标MAC地址,分别获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,根据源虚拟机所属的安全域和目标虚拟机所属的安全域对网络报文进行发送控制处理;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图5为本发明报文处理方法实施例四的流程图,如图5所示,本实施例提供了一种报文处理方法,本实施例具体针对网络报文的目标MAC地址为广播地址的情况,本实施例可以具体包括如下步骤:
步骤501,物理主机通过策略控制器从策略服务器获取各虚拟机MAC地址与安全域的对应关系,本步骤可以与上述步骤301类似,此处不再赘述。
步骤502,源虚拟机所在的物理主机中的虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文。
本步骤为源虚拟机所在的物理主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,该虚拟网桥可以具体为源虚拟机所属的安全域对应的虚拟网桥,该网络报文中携带所述网络报文的源MAC地址、目标MAC地址。本实施例针对的是以太网广播报文的处理过程,因此网络报文中携带的目标MAC地址是以太网广播地址,即该网络报文的目标为局域网中的所有计算机。具体地,物理主机在接收到该网络报文后,通过该网络报文的目标MAC地址可以识别该网络报文是否为广播报文,当其目标MAC地址为“全FF”时,该网络报文为广播报文,本实施例具体以网络报文为广播报文为例进行说明。
步骤503,源虚拟机所在的物理主机根据源MAC地址,从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域。
由于目标虚拟机并不是一个特定的虚拟机,则源虚拟机对应的虚拟机网桥只获取源虚拟机所属的安全域,具体获取方法与上述步骤303中类似,此处不再赘述。
步骤504,源虚拟机所在的物理主机判断源虚拟机所属的安全域与虚拟网桥对应的安全域是否相同,如果是,则执行步骤505,否则执行步骤509。
本步骤为源虚拟机所在的物理主机中的通信隔离器判断源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤505,直接将该网络报文在局域网中进行广播,否则执行步骤509,将该网络报文进行丢弃处理。
步骤505,源虚拟机所在的物理主机将网络报文通过物理交换机在所述局域网内广播。
当源虚拟机所属的安全域与接收到网络报文的虚拟网桥对应的安全域相同时,源虚拟机所在的物理主机将网络报文通过物理交换机在局域网内广播。以上述图4为例,假设VM1希望与VM5通信,但此时VM1并不知道VM5的MAC地址,则VM1会首先通过发送广播报文的方式向局域网中的所有计算机机发送一个ARPRequest网络报文,由于VM1属于安全域1,则该网络报文会被虚拟网桥11获取到,物理主机1中的通信隔离器通过判断获知VM1所属的安全域与虚拟网桥11相同时,控制虚拟网桥11将网络报文通过物理交换机在该局域网内广播。
物理交换机对网络报文的转发过程请参照附图3步骤309中的描述,在这里不再赘述。
步骤506,局域网中接收到此网络报文的物理主机根据所述网络报文的源MAC地址,从各虚拟机MAC地址与安全域的对应关系中查询获得源虚拟机所属的安全域。
步骤507,局域网中接收到此网络报文的物理主机,针对该物理主机中的每个虚拟网桥,判断源虚拟机所属的安全域与该虚拟网桥对应的安全域是否相同,如果是,则执行步骤508,否则执行步骤509。
当源虚拟机所在的物理交换机在局域网内广播该网络报文后,局域网内的所有虚拟网桥均会接收到该网络报文,即局域网内的所有物理主机均通过各自的虚拟网桥接收到该网络报文。本步骤为局域网中接收到此网络报文的物理主机中的通信隔离器,判断源虚拟机所属的安全域与该虚拟网桥对应的安全域是否相同,如果是,则执行步骤508,否则执行步骤509。仍以上述图4为例,当VM1希望与VM5通信,VM1通过广播报文的方式向局域网发送网络报文,虚拟网桥11将此网络报文通过物理交换机在局域网内广播。局域网内的所有虚拟网桥都会通过物理交换机接收到上述广播报文,并会根据广播报文的源MAC地址获得此源虚拟机所属的安全域,各物理主机中的通信隔离器判断此源虚拟机所属的安全域与局域网中接收到此报文的虚拟网桥对应的安全域是否相同,如果是,则执行步骤508,否则执行步骤509。即当在局域网中广播该网络报文后,虚拟网桥11、虚拟网桥12、虚拟网桥21和虚拟网桥12均会接收到该网络报文,则物理主机1通过虚拟网桥11和虚拟网桥12接收到该网络报文,物理主机2通过虚拟网桥21和虚拟网桥22接收到该网络报文,物理主机1分别判断虚拟网桥11、虚拟网桥12对应的安全域与源虚拟机所属的安全域是否相同物理主机2分别判断虚拟网桥21、虚拟网桥22对应的安全域与源虚拟机所属的安全域是否相同;通过判断,虚拟网桥11和虚拟网桥21对应的安全域与之相同,则虚拟网桥11将该网络报文转发给映射在其上的所有虚拟机,即图中的VM5、VM6;而虚拟网桥12和虚拟网桥22对应的安全域与之不同,则虚拟网桥12和22将该网络报文进行丢弃处理。
步骤508,局域网中接收到此网络报文的物理主机,控制对应的安全域与源虚拟机所属的安全域相同的虚拟网桥,将该网络报文转发给映射在其上的所有虚拟机。
当与该网络报文的源虚拟机属于同一个安全域的虚拟网桥接收到网络报文后,该虚拟网桥会将该网络报文转发给映射在其上的所有虚拟机。如图4所示,此时如果VM5开机,VM5将会接收虚拟网桥22转发的这个ARPRequest报文。
步骤509,局域网中接收到此网络报文的物理主机,控制对应的安全域与源虚拟机所属的安全域不同的虚拟网桥丢弃所述网络报文。
如果局域网内接收到此网络报文的虚拟网桥对应的安全域与源虚拟机所属的安全域不相同时,虚拟网桥会丢弃此报文。
本实施例提供了一种报文处理方法,通过目标虚拟机对应的虚拟网桥接收物理交换机转发的由源虚拟机发送的网络报文,根据虚拟机MAC地址与安全域的对应关系和源MAC地址,获取源虚拟机所属的安全域,根据源虚拟机所属的安全域,以及虚拟网桥对应的安全域,对网络报文进行发送控制处理;本实施例通过虚拟网桥实现了对不同安全域中广播报文的隔离,在此过程中物理交换机中无需进行额外的过滤控制处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图6为本发明报文处理方法实施例五的流程图,如图6所示,本实施例提供了一种报文处理方法,本实施例具体应用于虚拟机迁移场景中,虚拟机迁移是指原本基于一个物理主机的硬件资源和处理资源实现的虚拟机,转而由另一个物理主机的硬件资源和处理资源来实现,本实施例不对虚拟机迁移的实现原理进行探讨,只对在发生虚拟机迁移前后,如何对不同安全域中的网络报文实现隔离的方法进行介绍。
本实施例在上述实施例三或实施例四的基础之上,还可以具体包括如下步骤:
步骤601,物理主机获取本机的MAC分组策略。
在本实施例中,在进行报文处理之前,局域网中的各物理主机可以先获取本机的MAC分组策略,该MAC分组策略可以包括虚拟机MAC地址与安全域的对应关系。MAC分组策略可以由用户根据实际情况自行设定,其中,虚拟网桥与安全域之间的对应关系也可以由用户根据实际情况来设定。从用户角度来说,在物理主机上安装虚拟机时,物理主机中的网络通信隔离软件会弹出一个选项列表,其中的每个选项都对应一个安全域。由于一个虚拟机对应一个虚拟机MAC地址,在虚拟机安装在物理主机上之后,物理主机便可以自动获取到该虚拟机的MAC地址;当接收到用户根据上述选项列表选中的选项后,在虚拟机安装完成后,物理主机中的网络通信隔离软件便将该虚拟机的虚拟网卡映射在选中的安全域对应的那个虚拟网桥上之后,从而建立了该虚拟机MAC地址与该虚拟机网桥所属的安全域之间的对应关系,物理主机便可以获取到该虚拟机MAC地址与安全域之间的对应关系。对于每个虚拟机来说,物理主机均可以通过上述过程获取到本机中的虚拟机MAC地址与安全域之间的对应关系。同时,物理主机还可以获取到用户设定的虚拟网桥与安全域之间的对应关系。
步骤602,物理主机将本机的MAC分组策略上报到策略服务器。
物理主机在获取到本机的MAC分组策略后,通过该物理主机中的策略控制器,将本机的MAC分组策略,即将本机中的虚拟机MAC地址与安全域的对应关系上报到策略服务器。局域网中的各物理主机分别通过各自的策略控制器,将各自的MAC分组策略上报到策略服务器,策略服务器在本地保存整个局域网中的MAC分组策略,后续,一个物理主机通过其中的策略控制器便可以从该策略服务器上获取其他物理主机的MAC分组策略。
图7为本发明报文处理方法实施例五中迁移前的虚拟局域网的应用场景示意图,如图7所示,VM1-VM6的MAC地址分别为MAC1-MAC6,防火墙的MAC地址为MAC-F,在虚拟机迁移之前,VM1、VM2、VM3、VM4安装在物理主机1上,VM5安装在物理主机2上,VM6安装在物理主机3上,物理主机1中设置有虚拟网桥11和虚拟网桥12,物理主机2中设置有虚拟网桥21和虚拟网桥22,物理主机3中设置有虚拟网桥31和虚拟网桥32。用户根据实际情况,将VM1、VM2的虚拟网卡映射在虚拟网桥11上,将VM3、VM4的虚拟网卡映射在虚拟网桥12上,将VM5的虚拟网卡映射在虚拟网桥22上,将VM6的虚拟网卡映射在虚拟网桥32上,同时设置虚拟网桥11、虚拟网桥21和虚拟网桥31均属于安全域1,虚拟网桥12、虚拟网桥22和虚拟网桥32均属于安全域2。物理主机1可以获取到本机的MAC分组策略为:VM1、VM2与安全域1具有对应关系,VM3、VM4与安全域2具有对应关系,此外还可以获知虚拟网桥11与安全域1具有对应关系,虚拟网桥12与安全域2具有对应关系;物理主机2可以获取到本机的MAC分组策略为:VM5与安全域2具有对应关系,此外还可以获知虚拟网桥21与安全域1具有对应关系,虚拟网桥22与安全域2具有对应关系;物理主机3可以获取到本机的MAC分组策略为:VM6与安全域2具有对应关系,此外还可以获知虚拟网桥31与安全域1具有对应关系,虚拟网桥32与安全域2具有对应关系。然后物理主机1通过策略控制器1将本机的MAC分组策略上报给策略服务器,物理主机2通过策略控制器2将本机的MAC分组策略上报给策略服务器,物理主机3通过策略控制器3将本机的MAC分组策略上报给策略服务器。
步骤603,若物理主机检测到本机的MAC分组策略发生变化,物理主机将变化后的MAC分组策略通过策略控制器上报到策略服务器。
在本实施例中,物理主机还对本机的MAC分组策略进行定期检测,判断该MAC分组策略是否发生变化;当本机的MAC分组策略发生变化时,物理主机将变化后的MAC分组策略通过策略控制器上报到策略服务器。
步骤604,策略服务器根据变化后的MAC分组策略,更新本地保存的局域网的MAC分组策略。
策略服务器接收各物理主机中的策略控制器发送的变化后的MAC分组策略,并根据变化后的MAC分组策略更新本地保存的局域网的MAC分组策略,以使其他物理主机能够从策略服务器同步获取到更新后的局域网的MAC分组策略。需要指出的时,虚拟机迁移前后的报文处理过程可以与上述实施例三或实施例四中描述的一致,此处不再赘述。可选地,为了能够保证各物理主机上MAC分组策略的一致性,策略服务器可以在每次发生更新后,主动向各物理主机中的策略控制器发送更新后的局域网的MAC分组策略;策略服务器也可以按照设定的同步周期,定期向各物理主机中的策略控制器发送更新后的局域网的MAC分组策略。
当虚拟机发生迁移时,对应的MAC分组策略可能会发生变化。图8为本发明报文处理方法实施例五中迁移后的虚拟局域网的应用场景示意图,如图8所示,当虚拟机发生迁移后,VM1从物理主机1迁移到物理主机2上,VM2从物理主机1迁移到物理主机3上,具体地,VM1的虚拟网卡被映射到虚拟网桥21上,VM2的虚拟网卡被映射到虚拟网桥31上。在虚拟机迁移之后,各物理主机检测到各自的MAC分组策略发生变化,则各物理主机将各自变化后的MAC分组策略上报到策略服务器。由于虚拟网桥21与虚拟网桥11同属于安全域1,但虚拟网桥31与虚拟网桥12不属于同一个安全域。当VM1从物理主机1迁移到物理主机2上之后,物理主机2上的虚拟网桥1会从策略服务器获取MAC分组策略,从而实现对VM1的流量控制,可见,VM1在迁移之后仍可以与其他VM正常通信,并不会出现由于迁移而导致的通信中断的现象。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图9为本发明报文处理装置实施例一的结构示意图,如图9所示,本实施例提供了一种报文处理装置,可以具体执行上述方法实施例一中的各个步骤,此处不再赘述。本实施例提供的报文处理装置可以具体包括第一策略获取模块901、第一接收模块902、第一获取模块903和第一发送控制模块904。其中,第一策略获取模块901用于获取各虚拟机MAC地址与安全域的对应关系。第一接收模块902用于通过物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址。第一获取模块903用于根据第一接收模块902接收的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从第一策略获取模块901获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。第一发送控制模块904用于在第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
图10为本发明报文处理装置实施例二的结构示意图,如图10所示,本实施例提供了一种报文处理装置,可以具体执行上述方法实施例三或实施例四中的各个步骤,此处不再赘述。本实施例提供的报文处理装置在上述图9所示的基础之上,第一发送控制模块904可以具体包括第一发送单元914和第一丢弃单元924。其中,第一发送单元914用于当目标MAC地址为非广播地址时,若第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且第一获取模块903获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文。第一丢弃单元924用于当目标MAC地址为非广播地址时,述第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或第一获取模块903获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
进一步地,本实施例中的第一发送单元914可以具体包括发送子单元9141和转发子单元9142。其中,发送子单元9141用于当所述目标MAC地址为非广播地址时,若第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且第一获取模块903获取到的所述目标虚拟机所属的安全域与虚拟网桥对应的安全域均相同时,且所述目标虚拟机所在的物理主机与所述源虚拟机所在的物理主机相同时,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上。转发子单元9142用于当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时,控制所述虚拟网桥将所述网络报文发送至物理交换机,由所述物理交换机进行转发。
在本实施例中,第一发送控制模块904可以包括第一广播单元934和第二丢弃单元944。其中,第一广播单元934用于当所述目标MAC地址为广播地址时,若第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播。第二丢弃单元944用于当所述目标MAC地址为广播地址时,若第一获取模块903获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
本实施例提供了一种报文处理装置,物理主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,分别从虚拟机MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图11为本发明报文处理装置实施例三的结构示意图,如图11所示,本实施例提供了一种报文处理装置,可以具体执行上述方法实施例二中的各个步骤,此处不再赘述。本实施例提供的报文处理装置可以具体包括第二策略获取模块1101、第二接收模块1102、第二获取模块1103和第二发送控制模块1104。其中,第二策略获取模块1101用于获取各虚拟机MAC地址与安全域的对应关系。第二接收模块1102用于通过物理主机中的虚拟网桥接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址。第二获取模块1103用于根据第二接收模块1102接收到的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从第二策略获取模块1101获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域。第二发送控制模块1104用于在第二获取模块1103获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
图12为本发明报文处理装置实施例四的结构示意图,如图12所示,本实施例提供了一种报文处理装置,可以具体执行上述方法实施例三或实施例四中的各个步骤,此处不再赘述。本实施例提供的报文处理装置在上述图11所示的基础之上,第二发送控制模块1104可以包括第二发送单元1114和第三丢弃单元1124。其中,第二发送单元1114用于当所述目标MAC地址为非广播地址时,若第二获取模块1103获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且第二获取模块1103获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上。第三丢弃单元1124用于当所述目标MAC地址为非广播地址时,若第二获取模块1103获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或第二获取模块1103获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
或者,第二发送控制模块1104可以包括第二广播单元1134和第四丢弃单元1144。其中,第二广播单元1134用于当所述目标MAC地址为广播地址时,若第二获取模块1103获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机。第四丢弃单元1144用于当所述目标MAC地址为广播地址时,若第二获取模块1103获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
本实施例提供了一种报文处理装置,物理主机通过虚拟网桥接收物理交换机转发的由源虚拟机向目标虚拟机发送的网络报文,根据MAC分组策略、源MAC地址和目标MAC地址,分别获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,根据源虚拟机所属的安全域和目标虚拟机所属的安全域对网络报文进行发送控制处理;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图13为本发明主机实施例一的结构示意图,如图13所示,本实施例提供了一种源主机,该源主机可以具体执行上述方法实施例三或四中的各个步骤,此处不再赘述。该源主机可以具体包括处理器1301,源主机还可以包括虚拟网桥1302和策略控制器1303。其中,策略控制器1303被配置用于从所处网络中的策略服务器中获取各虚拟机MAC地址与安全域的对应关系。虚拟网桥1302被配置用于接收所述主机中的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址。处理器1301被配置用于根据所述源MAC地址、所述目标MAC地址,分别从策略控制器1303获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;在所述源虚拟机所属的安全域与虚拟网桥1302对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
具体地,本实施例中的处理器1301具体用于根据所述源MAC地址、所述目标MAC地址,分别从策略控制器1303获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为非广播地址时,若所述源虚拟机所属的安全域与虚拟网桥1302对应的安全域相同,且所述目标虚拟机所属的安全域与虚拟网桥1302对应的安全域相同,控制虚拟网桥1302根据所述目标MAC地址发送所述网络报文;若所述源虚拟机所属的安全域与虚拟网桥1302对应的安全域不同,或所述目标虚拟机所属的安全域与虚拟网桥1302对应的安全域不同,控制虚拟网桥1302丢弃所述网络报文。
具体地,本实施例中的处理器1301具体用于根据所述源MAC地址、所述目标MAC地址,分别从策略控制器1303获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为广播地址时,若所述源虚拟机所属的安全域与虚拟网桥1302对应的安全域相同时,控制虚拟网桥1302将所述网络报文通过物理交换机在局域网内广播;若所述源虚拟机所属的安全域与虚拟网桥1302对应的安全域不同时,控制虚拟网桥1302丢弃所述网络报文。
本实施例提供了一种源主机,源主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,分别从虚拟机MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图14为本发明主机实施例二的结构示意图,如图14所示,本实施例提供了一种目标主机,该目标主机可以具体执行上述方法实施例三或四中的各个步骤,此处不再赘述。该目标主机可以具体包括处理器1401,目标主机还可以包括虚拟网桥1402和策略控制器1403。策略控制器1403被配置用于从所处网络中的策略服务器中获取各虚拟机MAC地址与安全域的对应关系。虚拟网桥1402被配置用于接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址。处理器1401被配置用于根据所述源MAC地址、所述目标MAC地址,分别从策略控制器1403获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;在所述源虚拟机所属的安全域与虚拟网桥1402对应的安全域不同时,控制虚拟网桥1402丢弃所述网络报文。
具体地,本实施例中的处理器1401具体用于根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为非广播地址时,若所述源虚拟机所属的安全域与虚拟网桥1402对应的安全域相同,且所述目标虚拟机所属的安全域与虚拟网桥1402对应的安全域相同,控制虚拟网桥1402根据所述目标MAC地址将所述网络报文发送到目标虚拟机上;若所述源虚拟机所属的安全域与虚拟网桥1402对应的安全域不同,或所述目标虚拟机所属的安全域与虚拟网桥1402对应的安全域不同,控制虚拟网桥1402丢弃所述网络报文。
具体地,本实施例中的处理器1401具体用于根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;当所述目标MAC地址为广播地址时,若虚拟网桥1402对应的安全域与所述源虚拟机所属的安全域相同,控制虚拟网桥1402将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;若虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制虚拟网桥1402丢弃所述网络报文。
本实施例提供了一种目标主机,目标主机通过虚拟网桥接收源虚拟机向目标虚拟机发送的网络报文,根据源MAC地址和目标MAC地址,分别从虚拟机MAC地址与安全域的对应关系中查询获取源虚拟机所属的安全域以及目标虚拟机所属的安全域,在源虚拟机所属的安全域与虚拟网桥对应的安全域不同时,控制虚拟网桥丢弃网络报文;本实施例通过虚拟网桥实现了对网络报文的过滤控制,无需将虚拟机之间的所有流量均发送到物理交换机来处理,从而大大减轻了物理交换机的负担,提高虚拟网络的通信效率。
图15为本发明网络系统实施例的结构示意图,如图15所示,本实施例还提供了一种网络系统,该网络系统可以具体包括源主机1501、目标主机1503以及策略服务器1502,源主机1501可以具体如上述图13所示、目标主机1503如上述图14所示,策略服务器1502被配置用于向源主机1501、或目标主机1503中的策略控制器提供各虚拟机MAC地址与安全域的对应关系。该策略服务器1502可以通过各源主机1501、或目标主机1503中的策略控制器接收各主机上报的MAC分组策略,并在需要时使一个主机可以通过策略控制器共享其他主机上的MAC分组策略。
具体地,本实施例中的策略服务器1502还用于接收主机1501、或目标主机1503通过策略控制器上报的本机的MAC分组策略,所述MAC分组策略包括虚拟机MAC地址与安全域的对应关系;根据MAC分组策略更新本地的局域网中各虚拟机MAC地址与安全域的对应关系。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (18)
1.一种报文处理方法,其特征在于,包括:
物理主机通过所述物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;
所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
2.根据权利要求1所述的方法,其特征在于,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文,包括:
当所述目标MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
3.根据权利要求2所述的方法,其特征在于,所述控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文包括:
当所述目标虚拟机与所述源虚拟机位于同一个物理主机时,控制所述虚拟网桥根据所述目标MAC地址,将所述网络报文直接发送到所述物理主机上的目标虚拟机上;
当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时,控制所述虚拟网桥将所述网络报文发送至物理交换机,由所述物理交换机进行转发。
4.根据权利要求1所述的方法,其特征在于,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文,包括:
当所述目标MAC地址为广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
5.根据权利要求1至4中任一所述的方法,其特征在于,在所述分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域之前,还包括:
所述物理主机将本机的MAC分组策略上报给策略服务器,所述MAC分组策略包括所述物理主机上的虚拟机MAC地址与安全域的对应关系;
所述物理主机从所在网络中的策略服务器中获取到局域网中的MAC分组策略,所述局域网中的MAC分组策略中包括各虚拟机MAC地址与安全域的对应关系。
6.根据权利要求5所述的方法,其特征在于,在所述物理主机将本机的MAC分组策略上报给策略服务器后,还包括:
当所述物理主机检测到本机的MAC分组策略发生变化时,将变化后的MAC分组策略上报给所述策略服务器,以使所述策略服务器更新局域网中的MAC分组策略。
7.一种报文处理方法,其特征在于,包括:
物理主机通过该物理主机中的虚拟网桥接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址;
所述物理主机根据所述源MAC地址、所述目标MAC地址,分别从各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
8.根据权利要求7所述的方法,其特征在于,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文,包括:
当所述目标MAC地址为非广播地址时:
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同、且所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
若所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
9.根据权利要求7所述的方法,其特征在于,所述物理主机在所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文,包括:
当所述目标MAC地址为广播地址时:
若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;
若所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
10.一种报文处理装置,其特征在于,包括:
第一策略获取模块,用于获取各虚拟机MAC地址与安全域的对应关系;
第一接收模块,用于通过物理主机中的虚拟网桥接收所述物理主机上的源虚拟机发送的网络报文,所述网络报文中携带源MAC地址和目标MAC地址;
第一获取模块,用于根据所述第一接收模块接收的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从所述第一策略获取模块获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
第一发送控制模块,用于在所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
11.根据权利要求10所述的装置,其特征在于,所述第一发送控制模块包括:
第一发送单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址发送所述网络报文;
第一丢弃单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
12.根据权利要求11所述的装置,其特征在于,所述第一发送单元包括:
发送子单元,用于当所述目标MAC地址为非广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第一获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述目标虚拟机与所述源虚拟机位于同一物理主机时,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
转发子单元,用于当所述目标虚拟机与所述源虚拟机不在同一个物理主机上时,控制所述虚拟网桥将所述网络报文发送至物理交换机,由所述物理交换机进行转发。
13.根据权利要求10所述的装置,其特征在于,所述第一发送控制模块包括:
第一广播单元,用于当所述目标MAC地址为广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同时,控制所述虚拟网桥将所述网络报文通过物理交换机在局域网内广播;
第二丢弃单元,用于当所述目标MAC地址为广播地址时,若所述第一获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
14.一种报文处理装置,其特征在于,包括:
第二策略获取模块,用于获取各虚拟机MAC地址与安全域的对应关系;
第二接收模块,用于通过物理主机中的虚拟网桥接收物理交换机转发的网络报文,所述网络报文是另一物理主机中的源虚拟机向所述物理主机中的目标虚拟机发送的,所述网络报文中携带源MAC地址和目标MAC地址;
第二获取模块,用于根据所述第二接收模块接收到的网络报文中携带的所述源MAC地址、所述目标MAC地址,分别从所述第二策略获取模块获取到的各虚拟机MAC地址与安全域的对应关系中,查询获得源虚拟机所属的安全域以及目标虚拟机所属的安全域;
第二发送控制模块,用于在所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同时,控制所述虚拟网桥丢弃所述网络报文。
15.根据权利要求14所述的装置,其特征在于,所述第二发送控制模块包括:
第二发送单元,用于当所述目标MAC地址为非广播地址时,若所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,且所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域相同,控制所述虚拟网桥根据所述目标MAC地址将所述网络报文发送到所述物理主机上的目标虚拟机上;
第三丢弃单元,用于当所述目标MAC地址为非广播地址时,若所述第二获取模块获取到的所述源虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,或所述第二获取模块获取到的所述目标虚拟机所属的安全域与所述虚拟网桥对应的安全域不同,控制所述虚拟网桥丢弃所述网络报文。
16.根据权利要求14所述的装置,其特征在于,所述第二发送控制模块包括:
第二广播单元,用于当所述目标MAC地址为广播地址时,若所述第二获取模块获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域相同,控制所述虚拟网桥将所述网络报文转发给映射在所述虚拟网桥上的所有虚拟机;
第四丢弃单元,用于当所述目标MAC地址为广播地址时,若所述第二获取模块获取到的所述虚拟网桥对应的安全域与所述源虚拟机所属的安全域不相同,控制所述虚拟网桥丢弃所述网络报文。
17.一种网络系统,其特征在于,包括第一报文处理装置与第二报文处理装置,所述第一报文处理装置为如权利要求10-13中任一项所述的报文处理装置,所述第二报文处理装置为如权利要求14-16中任一项所述的报文处理装置,以及策略服务器,所述策略服务器被配置用于向所述第一报文处理装置或所述第二报文处理装置中的策略控制器提供各虚拟机MAC地址与安全域的对应关系。
18.根据权利要求17所述的网络系统,其特征在于,所述策略服务器还用于接收所述第一报文处理装置或第二报文处理装置通过策略控制器上报的本机的MAC分组策略,所述MAC分组策略包括虚拟机MAC地址与安全域的对应关系;根据所述MAC分组策略更新本地的各虚拟机MAC地址与安全域的对应关系。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/077304 WO2013189059A1 (zh) | 2012-06-21 | 2012-06-21 | 报文处理方法、装置、主机和网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103650430A CN103650430A (zh) | 2014-03-19 |
| CN103650430B true CN103650430B (zh) | 2016-06-22 |
Family
ID=49768040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280000583.7A Active CN103650430B (zh) | 2012-06-21 | 2012-06-21 | 报文处理方法、装置、主机和网络系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9634991B2 (zh) |
| EP (2) | EP3852316B1 (zh) |
| CN (1) | CN103650430B (zh) |
| WO (1) | WO2013189059A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10135677B1 (en) | 2012-07-06 | 2018-11-20 | Cradlepoint, Inc. | Deployment of network-related features over cloud network |
| US10560343B1 (en) | 2012-07-06 | 2020-02-11 | Cradlepoint, Inc. | People centric management of cloud networks via GUI |
| US10601653B2 (en) | 2012-07-06 | 2020-03-24 | Cradlepoint, Inc. | Implicit traffic engineering |
| US10110417B1 (en) | 2012-07-06 | 2018-10-23 | Cradlepoint, Inc. | Private networks overlaid on cloud infrastructure |
| US10177957B1 (en) | 2012-07-06 | 2019-01-08 | Cradlepoint, Inc. | Connecting a cloud network to the internet |
| US10880162B1 (en) | 2012-07-06 | 2020-12-29 | Cradlepoint, Inc. | Linking logical broadcast domains |
| US9634948B2 (en) * | 2013-11-07 | 2017-04-25 | International Business Machines Corporation | Management of addresses in virtual machines |
| US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
| US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
| CN105991738B (zh) * | 2015-02-27 | 2019-05-14 | 中国移动通信集团四川有限公司 | 一种云资源池中跨安全域资源共享的方法及系统 |
| US10243848B2 (en) | 2015-06-27 | 2019-03-26 | Nicira, Inc. | Provisioning logical entities in a multi-datacenter environment |
| US20170142234A1 (en) * | 2015-11-13 | 2017-05-18 | Microsoft Technology Licensing, Llc | Scalable addressing mechanism for virtual machines |
| WO2017127972A1 (zh) * | 2016-01-25 | 2017-08-03 | 华为技术有限公司 | 一种数据传输方法以及宿主机 |
| WO2017158407A1 (en) * | 2016-03-18 | 2017-09-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Using nano-services to secure multi-tenant networking in datacenters |
| US10469324B2 (en) * | 2016-11-22 | 2019-11-05 | Amazon Technologies, Inc. | Virtual network verification service |
| CN107645434A (zh) * | 2017-09-27 | 2018-01-30 | 武汉集客科技有限公司 | 接口扩展型无线网桥及其配对方法 |
| CN107645435A (zh) * | 2017-09-27 | 2018-01-30 | 武汉集客科技有限公司 | 接口转换型无线网桥及其配对方法 |
| US11108805B2 (en) | 2018-06-27 | 2021-08-31 | Amazon Technologies, Inc. | Automated packetless network reachability analysis |
| CN109525601B (zh) * | 2018-12-28 | 2021-04-27 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
| US11121960B2 (en) * | 2019-05-30 | 2021-09-14 | International Business Machines Corporation | Detecting and managing relocation of network communication endpoints in a distributed computing environment |
| US11799726B2 (en) | 2020-04-06 | 2023-10-24 | Vmware, Inc. | Multi-site security groups |
| CN113630321A (zh) * | 2020-05-08 | 2021-11-09 | 华为技术有限公司 | 一种数据处理方法和设备 |
| JP2023533134A (ja) * | 2020-05-27 | 2023-08-02 | オッポ広東移動通信有限公司 | 情報処理方法及び装置、機器、コンピュータ記憶媒体 |
| CN113238833B (zh) * | 2021-05-27 | 2023-09-05 | 安天科技集团股份有限公司 | 特征数据传输方法、装置及存储介质 |
| CN114640557B (zh) * | 2022-03-18 | 2024-07-30 | 阿里云计算有限公司 | 网关以及云网络系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447203B2 (en) * | 2003-07-29 | 2008-11-04 | At&T Intellectual Property I, L.P. | Broadband access for virtual private networks |
| CN101739282A (zh) * | 2008-11-18 | 2010-06-16 | 华为技术有限公司 | 一种虚拟机的管理方法、装置和系统 |
| CN101951384A (zh) * | 2010-09-29 | 2011-01-19 | 南京信息工程大学 | 一种分布式安全域逻辑边界保护方法 |
| CN102150399A (zh) * | 2008-09-12 | 2011-08-10 | 思科技术公司 | 减少桥接网络中的泛洪 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5684800A (en) * | 1995-11-15 | 1997-11-04 | Cabletron Systems, Inc. | Method for establishing restricted broadcast groups in a switched network |
| US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US7756843B1 (en) * | 2006-05-25 | 2010-07-13 | Juniper Networks, Inc. | Identifying and processing confidential information on network endpoints |
| US20080104661A1 (en) * | 2006-10-27 | 2008-05-01 | Joseph Levin | Managing Policy Settings for Remote Clients |
| US8621561B2 (en) * | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
| CN101668022B (zh) | 2009-09-14 | 2012-09-12 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 |
| US9118591B2 (en) * | 2010-07-30 | 2015-08-25 | Broadcom Corporation | Distributed switch domain of heterogeneous components |
| US8767737B2 (en) * | 2011-11-30 | 2014-07-01 | Industrial Technology Research Institute | Data center network system and packet forwarding method thereof |
| US9021547B1 (en) * | 2011-12-21 | 2015-04-28 | Juniper Networks, Inc. | Fully integrated switching and routing in a security device |
| US9036508B2 (en) * | 2012-02-29 | 2015-05-19 | Verizon Patent And Licensing Inc. | Layer two extensions |
| US8989188B2 (en) * | 2012-05-10 | 2015-03-24 | Cisco Technology, Inc. | Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode |
| US9331872B2 (en) * | 2012-05-22 | 2016-05-03 | Cisco Technology, Inc. | Implementing PVLANs in a large-scale distributed virtual switch |
-
2012
- 2012-06-21 EP EP20210846.0A patent/EP3852316B1/en active Active
- 2012-06-21 WO PCT/CN2012/077304 patent/WO2013189059A1/zh active Application Filing
- 2012-06-21 EP EP12879232.2A patent/EP2852107B1/en active Active
- 2012-06-21 CN CN201280000583.7A patent/CN103650430B/zh active Active
-
2014
- 2014-12-18 US US14/575,592 patent/US9634991B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447203B2 (en) * | 2003-07-29 | 2008-11-04 | At&T Intellectual Property I, L.P. | Broadband access for virtual private networks |
| CN102150399A (zh) * | 2008-09-12 | 2011-08-10 | 思科技术公司 | 减少桥接网络中的泛洪 |
| CN101739282A (zh) * | 2008-11-18 | 2010-06-16 | 华为技术有限公司 | 一种虚拟机的管理方法、装置和系统 |
| CN101951384A (zh) * | 2010-09-29 | 2011-01-19 | 南京信息工程大学 | 一种分布式安全域逻辑边界保护方法 |
Non-Patent Citations (1)
| Title |
|---|
| 面向虚拟机的网络入侵检测系统;杨卫平;《中国优秀硕士学位论文全文数据库 信息科技辑(月刊)》;20100615;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3852316B1 (en) | 2022-10-26 |
| CN103650430A (zh) | 2014-03-19 |
| US9634991B2 (en) | 2017-04-25 |
| WO2013189059A1 (zh) | 2013-12-27 |
| EP3852316A1 (en) | 2021-07-21 |
| US20150106913A1 (en) | 2015-04-16 |
| EP2852107B1 (en) | 2021-03-03 |
| EP2852107A4 (en) | 2015-05-27 |
| EP2852107A1 (en) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103650430B (zh) | 报文处理方法、装置、主机和网络系统 | |
| EP4183121B1 (en) | Systems and methods for a vlan switching and routing service | |
| CN110088732B (zh) | 一种数据包处理方法、主机和系统 | |
| EP2905930B1 (en) | Processing method, apparatus and system for multicast | |
| CN103621046B (zh) | 网络通信方法和装置 | |
| US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
| US8670450B2 (en) | Efficient software-based private VLAN solution for distributed virtual switches | |
| CN104301321B (zh) | 一种实现分布式网络安全防护的方法及系统 | |
| US20130301425A1 (en) | Preventing Leaks Among Private Virtual Local Area Network Ports Due to Configuration Changes in a Headless Mode | |
| CN112470436A (zh) | 使用srv6和bgp的多云连通性 | |
| EP2924951B1 (en) | Configuration of networks using switch device access of remote server | |
| US20150180959A1 (en) | Network interface controller supporting network virtualization | |
| WO2016066119A1 (en) | Deployment of virtual extensible local area network | |
| US20120317566A1 (en) | Virtual machine packet processing | |
| EP2924949B1 (en) | Configuration of networks using client device access of remote server | |
| EP2842285A1 (en) | Migration of a security policy of a virtual machine | |
| US20140044134A1 (en) | Duplicate mac address detection | |
| CN104852846B (zh) | 一种数据转发控制方法及系统 | |
| CN110301125B (zh) | 虚拟机的逻辑端口认证 | |
| US10708198B1 (en) | Methods and apparatus to reduce packet flooding and duplicate packets in a multi-fabric virtual network | |
| US20160205033A1 (en) | Pool element status information synchronization method, pool register, and pool element | |
| US11234122B2 (en) | Packet forwarding in a wireless mesh network | |
| US11606333B1 (en) | Synchronizing dynamic host configuration protocol snoop information | |
| CN105264837A (zh) | 一种数据报文的传输系统、传输方法和设备 | |
| CN107623636B (zh) | 一种用户隔离方法和交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |