CN103905383A - 一种数据报文转发方法、装置和系统 - Google Patents
一种数据报文转发方法、装置和系统 Download PDFInfo
- Publication number
- CN103905383A CN103905383A CN201210574592.9A CN201210574592A CN103905383A CN 103905383 A CN103905383 A CN 103905383A CN 201210574592 A CN201210574592 A CN 201210574592A CN 103905383 A CN103905383 A CN 103905383A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- data message
- vnmm
- virtual
- list item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种数据报文转发方法、装置和系统,用于维持VM所在子网的网络安全。本发明实施例方法包括:当虚拟机监视器VMM接收到数据报文时,判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略;若判断结果为是,则指示所述虚拟机监视器VMM发送所述数据报文;若判断结果为否,则根据非法配置处理策略进行处理。通过实施本发明技术方案,能够禁止转发非法数据报文,从而应对虚拟机网络配置参数的非法配置问题,保障虚拟化网络的网络安全。
Description
技术领域
本发明涉及硬件虚拟化技术领域,尤其涉及一种数据报文转发方法、装置和系统。
背景技术
在硬件虚拟化技术中,一台物理服务器上能够虚拟多台虚拟机(VM,Virtual Machine),这些VM由安装于该物理服务器上的虚拟机监视器(VMM,Virtual Machine Monitor)进行管理。VMM工作于物理服务器与VM之间的中间软件层,VMM能够协调VM对物理服务器硬件资源的访问。当物理服务器启动并触发VMM时,VMM会加载所有VM并分配给每一台VM预设的内存、CPU、网络和磁盘资源。
利用桥接或虚拟交换技术,VM上的虚拟网卡通过虚拟接口(VIF,VirtualInterface)与物理服务器的物理网卡进行连接,从而实现VM之间或VM与物理网络之间的通信。
虚拟管理中心(Vcenter,Virtual Center)对所管理的网络内的网络资源进行配置,当VMM创建VM时Vcenter需要为其配置网络参数。其中,为VM分配IP地址常用方法包括:基于虚拟机模板(VM Template)的静态分配方式和基于动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)的动态分配方式。对于具有虚拟机管理员权限的VM租户来说,有权限在VM上对虚拟机网络配置(VM Network Configuration)参数进行修改。
但是,租户的错误配置可能导致VM与外界的通信出现异常,还可能导致VM所在的子网网络异常。另外,一旦该VM被非法入侵,可能导致VM所在子网遭受网络攻击,造成严重的网络安全事故。
发明内容
为了解决上述问题,本发明实施例提供了一种数据报文转发方法、装置和系统,用于维持VM所在子网的网络安全。通过实施本发明技术方案,能够禁止转发非法数据报文,从而应对虚拟机网络配置参数的非法配置问题,保障虚拟化网络的网络安全。
一种数据报文转发方法,包括:
当虚拟机监视器VMM接收到数据报文时,判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略;
若判断结果为是,则指示所述虚拟机监视器VMM发送所述数据报文;
若判断结果为否,则根据非法配置处理策略进行处理。
一种数据报文转发方法,包括:
指示虚拟机监视器VMM创建第一虚拟机VM;
根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
一种数据报文转发装置,包括:
判断单元,用于当虚拟机监视器VMM接收到数据报文时,判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略;
处理单元,用于若所述判断单元的判断结果为是,则指示所述虚拟机监视器VMM发送所述数据报文;还用于若所述判断单元的判断结果为否,则根据非法配置处理策略进行处理。
一种数据报文转发装置,包括:
指示单元,用于指示虚拟机监视器VMM创建第一虚拟机VM;
生成单元,用于根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
第三发送单元,用于通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
一种数据报文转发系统,包括:
如前所述的第一种数据报文转发装置、虚拟机监视器VMM、如前所述的第二种数据报文转发装置,以及至少1个虚拟机。
从以上技术方案可以看出,本发明实施例具有以下优点:
当VMM接收到数据报文时,假设该数据报文由第一VM发出或发往第一VM,则判断该数据报文是否符合第一VM的合法配置策略,从而检测该数据报文的合法性。如果判断结果显示该数据报文合法,则放行,如果判断结果显示该数据报文非法,即该数据报文不符合第一VM的合法配置策略,说明第一VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致第一VM所在的子网网络异常,这时需要根据非法配置处理策略对该数据报文或第一VM进行处理,从而保障网络安全。
附图说明
图1为本发明第一实施例的数据报文转发方法流程图;
图2为本发明一种虚拟网络示意图;
图3为本发明第二实施例的数据报文转发方法流程图;
图4为本发明另一种虚拟网络示意图;
图5为本发明第二实施例的通知虚拟接口对杂收模式的支持状态流程图;
图6为本发明第三实施例的数据报文转发方法流程图;
图7为本发明第四实施例的数据报文转发装置结构图;
图8为本发明第五实施例的数据报文转发装置结构图;
图9为本发明第六实施例的数据报文转发装置结构图;
图10为本发明第七实施例的数据报文转发系统结构图。
具体实施方式
下面将结合本发明中的说明书附图,对发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种数据报文转发方法,用于维持VM所在子网的网络安全。通过实施本发明技术方案,能够禁止转发非法数据报文,从而应对虚拟机网络配置参数的非法配置问题,保障虚拟化网络的网络安全。本发明实施例还提供与所述方法相关的装置和系统,以下将分别对其进行详细说明。
本发明第一实施例将对一种数据报文转发方法进行详细说明,本实施例所述的数据报文转发方法具体流程请参见图1,包括步骤:
101、虚拟机监视器VMM接收数据报文。
数据报文中会携带源地址、目的地址或拟局域网(VLAN,Virtual LocalArea Network)标签等信息。源地址包括源网际协议(IP,Internet Protocol)地址和源媒体访问控制(MAC,Media Access Control)地址,目的地址包括目的IP地址和目的MAC地址。子网内的VM一旦伪造IP地址、MAC地址或自定义杂收模式(P-Mode,Promiscuous Mode)为可用,就可能非法监听子网内的数据报文,利用VLAN标签还能够发起网络攻击。
在本实施例中,若数据报文的源VM或目的VM为本实施例VMM上的某一个VM,则称该VM与该数据报文相关。
请参见图2,在一台物理服务器上虚拟出多台VM,这些VM由VMM201进行管理,VM的往来数据报文都会通过VMM201进行转发,而Vcenter202则对某些VM所组成的子网进行网络管理。在本实施例中,在VMM201上增加一个虚拟网络监视模块2011(VNMM,Virtual Network Monitoring Module),对VMM201所处理的数据报文进行监视。
结合图2,在本步骤中,VMM201接收数据报文。
102、虚拟网络监视模块VNMM判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略。
合法配置策略是在VM创建时所确定的,并且在后续使用过程中由Vcenter进行合法修改。VM的虚拟机网络配置参数只有符合该合法配置策略时才能保证VM的对外通信,并且不会对所在的子网网络产生影响。合法配置策略可以包括以下虚拟机网络配置参数:如IP地址、MAC地址、VLAN标签的使用状态、虚拟接口(VIF,Virtual Interface)对P-Mode的支持状态等,在本实施例中不对合法配置策略作具体限定。
结合图2,在本步骤中,VNMM2011判断数据报文是否符合与其相关的第一VM203的合法配置策略。
若判断结果为是,则触发执行步骤103,若判断结果为否,则触发执行步骤104。
103、虚拟网络监视模块VNMM指示所述虚拟机监视器VMM发送所述数据报文。
若判断结果为是,说明该数据报文合法,与其相关的第一VM的虚拟机网络配置参数正常,故在本步骤中,结合图2,VNMM2011指示VMM201按照正常流程转发与第一VM203相关的数据报文。
104、虚拟网络监视模块VNMM根据非法配置处理策略进行处理。
若判断结果为否,说明该数据报文不合法,与其相关的第一VM的机网络配置参数存在异常,故在本步骤中,结合图2,VNMM2011需根据非法配置处理策略进行处理。
其中,非法配置处理策略可以是单一策略,也可以包含多个可选策略,甚至是复合策略,在本实施例中不对非法配置处理策略进行具体限定,在后续实施例中将进行详细说明。
在本实施例中,当VMM接收到数据报文时,不限定该数据报文由第一VM发出或发往第一VM。判断该数据报文是否符合第一VM的合法配置策略,从而检测该数据报文的合法性。如果判断结果显示该数据报文合法,则放行,如果判断结果显示该数据报文非法,即该数据报文不符合第一VM的合法配置策略,说明第一VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致第一VM所在的子网网络异常,这时需要根据非法配置处理策略对该数据报文或第一VM进行处理,从而保障网络安全。
本发明第二实施例将对第一实施例所述的一种数据报文转发方法进行补充说明,本实施例所述的数据报文转发方法具体流程请参见图3,包括步骤:
301、第一虚拟机VM启动。
在本实施例中,引入VNMM表项。VNMM表项用于记载VM的合法配置信息。在本实施例中,VM的合法配置信息包括:虚拟机身份标识(VM ID)、虚拟接口身份标识(VIF ID)、IP地址分配方式、IP地址、MAC地址、VIF对P-Mode的支持状态、VLAN标签使用状态和非法配置处理策略。一个实例,可参见以下表1。
| 参数名 | 内容说明 |
| VM ID | 由Vcenter定义 |
| VIF ID | 由Vcenter定义 |
| IP地址分配方式 | 静态分配/动态分配 |
| IP地址 | 具体IP地址 |
| MAC地址 | 具体MAC地址 |
| VIF对P-Mode的支持状态 | 支持/不支持 |
| VLAN标签使用状态 | 可用/不可用 |
| 非法配置处理策略 | 具体策略 |
表1
VM的IP地址分配方式包括两种:静态分配和动态分配。
静态分配具体可以基于虚拟机模板(VM Template)分配一个固定IP地址,也可以由Vcenter自行分配一个固定IP地址。一般来说静态分配方式下的IP地址若非修改不会改变,但是,为了提高灵活性,Vcenter常建立一个IP地址池,每次VM启动时从该IP地址池中取一个分配给VM。
动态分配具体可以为基于动态主机设置协议(DHCP,Dynamic HostConfiguration Protocol)服务器进行动态分配。VM每一次启动时会向DHCP服务器主动请求IP地址。
请参见图4,当第一VM401的IP地址分配方式为静态分配时,第一VM401启动后的IP地址与最后一次配置的固定IP地址相同,该固定IP地址是由Vcenter402指示VMM403创建第一VM401时就已经固定分配,且后续修改后也是固定的,Vcenter402会记录这个固定IP地址。当第一VM401的IP地址分配方式为动态分配时,第一VM401启动后会向DHCP服务器404请求动态IP地址。
在静态分配方式下,VMM并不参与Vcenter维护VNMM表项,而在动态分配方式下,VMM则参与了Vcenter维护VNMM表项。
在本实施例中,引入DHCP Snooping模块,DHCP Snooping模块为VMM的一个子模块,用于管理DHCP Snooping绑定表以及与Vcenter进行通信。DHCP Snooping模块与Vcenter之间通过自定义接口I2进行通信。
请参见图4,当第一VM401的IP地址分配方式为动态分配时,DHCPSnooping模块405获取DHCP Snooping绑定表中第一VM401的动态IP地址,并向Vcenter402转发该动态IP地址,使得Vcenter402根据所述动态IP地址维护第一VM401所对应的第一VNMM表项。
优选地,在动态分配方式下,MAC地址随动态IP地址一同传输。
如果VMM不支持DHCP Snooping绑定表,则Vcenter直接获取第一VM的动态IP地址。
302、虚拟网络监视模块VNMM通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项。
其中,第一VNMM表项用于记载第一VM的合法配置信息,该预设接口I1为自定义接口。
请参见图4,在本步骤中,Vcenter402通过接口I1向VNMM406发送与第一VM401相关的第一VNMM表项,优选地,VNMM406还能够通过接口I1主动从Vcenter402获取第一VNMM表项。
303、虚拟机监视器VMM接收数据报文。
结合图4,在本步骤中,VMM403接收数据报文,该数据报文携带源地址、目的地址、VLAN标签等内容。源地址包括源IP地址和源MAC地址,目的地址包括目的IP地址和目的MAC地址。
304、虚拟网络监视模块VNMM获取所述数据报文中的网际协议IP地址和媒体访问控制MAC地址。
在本实施例中,该数据报文与第一VM相关,即该数据报文由第一VM发出,此时该数据报文的源地址为第一VM的地址,或者发往第一VM,此时该数据报文的目的地址为第一VM的地址。
结合图4,在本步骤中,VNMM406获取数据报文中与第一VM401相关的IP地址和MAC地址。
305、虚拟网络监视模块VNMM判断所述数据报文中的网际协议IP地址、媒体访问控制MAC地址与所述第一虚拟网络监视模块VNMM表项中的网际协议IP地址、媒体访问控制MAC地址是否匹配。
在本实施例中,要判断数据报文是否合法,主要根据数据报文中的IP地址和MAC地址进行判断。
请参见图4,由于第一VNMM表项中记载了第一VM401的合法配置信息,其中包括第一VM401创建时所分配的IP地址和MAC地址。如果第一VM401是通过非法配置自身IP地址或MAC地址而与该数据报文相关的,在VNMM406判断数据报文中的IP地址、MAC地址与第一VNMM表项是否匹配时就会得到否定的结果,因为第一VM401并不能对第一VNMM表项进行修改。
优选地,由于当在数据报文中携带VLAN标签时能够造成VLAN跳跃攻击(VLAN Hopping),因此,在本实施例中,VNMM还需要判断数据报文的VLAN标签的使用状态与合第一VNMM表项记载的VLAN标签使用状态是否匹配。第一VNMM表项中表示VLAN标签使用状态的值可以为可用/不可用,或Enable/Disable。一般情况下,到达VIF的数据报文都不会携带VLAN标签,所以第一VNMM表项中VLAN标签的使用状态常设置为不可用。
优选地,在支持P-Mode技术的子网中,VM的合法配置信息还包括VIF对VM的P-Mode的支持状态。在现有技术中,一旦VIF对VM的P-Mode的支持状态被设置为支持,则该VM能够监听到子网内与自身不相关的数据报文。因此,本实施例的VNMM会定期将所有VIP对当前子网内所有VM的P-Mode的支持状态通知VMM,使得VMM有选择地进行数据报文的转发。具体流程请参见图5,包括步骤:
501、虚拟网络监视模块VNMM查询第一虚拟网络监视模块VNMM表项中虚拟接口VIF对杂收模式P-Mode的支持状态。
502、虚拟网络监视模块VNMM向虚拟机监视器VMM发送所述虚拟接口VIF对杂收模式P-Mode的支持状态。
VMM将根据所述虚拟接口VIF对杂收模式P-Mode的支持状态向所述第一虚拟机VM转发数据报文。
通过执行本步骤,VMM能够全面掌握物理服务器的VIF对VM的P-Mode的支持状态,在转发数据报文时不再向不支持P-Mode的VIF转发该数据报文。
若步骤305的判断结果为是,则触发执行步骤306,若判断结果为否,则触发执行步骤307。
306、虚拟网络监视模块VNMM指示所述虚拟机监视器VMM发送所述数据报文。
优选地,VMM发送数据报文可以包括:VMM选取支持P-Mode的VIF所对应的VM作为目标VM,并向所述目标VM转发该数据报文。
在本实施例中,子网支持P-Mode技术,请参见图4,VMM403全面掌握子网内所有VIF对MV的P-Mode的支持状态,在进行正常转发数据报文流程时,VMM403选取支持P-Mode的VIF所对应的VM作为目标VM。
307、虚拟网络监视模块VNMM通过所述预设接口向所述虚拟管理中心Vcenter发送警告消息。
如果步骤305的判断结果为否,说明该数据报文不合法,请参见图4,VNMM通过接口I1向Vcenter402发送警告消息,以记录系统日志或通知管理员进行相应处理等,在本实施例中不再赘述。
308、当采用第一策略时,虚拟网络监视模块VNMM丢弃所述数据报文。
在本实施例中,非法配置处理策略包括第一策略和第二策略。当非法配置处理策略设置为第一策略时,除了向Vcenter发送警告消息,VNMM还将直接丢弃该非法数据报文。
309、当采用第二策略时,虚拟网络监视模块VNMM中断所述第一虚拟机VM的网络连接。
当非法配置处理策略设置为第二策略时,除了向Vcenter发送警告消息,VNMM还将中断第一VM的网络连接,以防止第一VM持续影响子网网络。当然数据报文也会被丢弃。在网络连接中断预设时间后,可以恢复其连接,这里不作具体限定。
在本实施例中,当VMM接收到数据报文时,不限定该数据报文由第一VM发出或发往第一VM。判断该数据报文是否符合第一VM的合法配置策略,从而检测该数据报文的合法性。如果判断结果显示该数据报文合法,则放行,如果判断结果显示该数据报文非法,即该数据报文不符合第一VM的合法配置策略,说明第一VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致第一VM所在的子网网络异常,这时需要根据非法配置处理策略对该数据报文或第一VM进行处理,从而保障网络安全。
本发明第三实施例将对另一种数据报文转发方法进行详细说明。本实施例所述的数据报文转发方法具体流程请参见图6,包括步骤:
601、虚拟管理中心Vcenter指示虚拟机监视器VMM创建第一虚拟机VM。
请参见图4,VMM403上的所有VM包括第一VM401都是由Vcenter402指示创建的,因此,Vcenter402能够记录所有VM的合法配置信息。合法配置信息包括:VM ID、VIF ID、IP地址分配方式、IP地址、MAC地址、VIF对P-Mode的支持状态、VLAN标签使用状态和非法配置处理策略。
602、虚拟管理中心Vcenter根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项。
其中,第一VNMM表项用于记载第一VM的合法配置信息。
第一VNMM表项的一个实例,可参见第二实施例中的表1,这里不再赘述。
在第一VNMM表项生成之初可以不填入所有合法配置信息,待后续步骤进行维护。在本实施例中,IP地址就是根据实际情况进行维护的,另外,MAC地址也可采用类似方式进行维护,该维护过程如下,请参见图4:
当第一VM401的IP地址分配方式为静态分配时,Vcenter402获取第一VM401的静态IP地址,并根据该静态IP地址维护第一VNMM表项。
当第一VM401的IP地址分配方式为动态分配时,Vcenter402获取第一VM401的动态IP地址,或接收VMM403发送的该第一VM401的动态IP地址,并根据该动态IP地址维护第一VNMM表项。
在本实施例中,动态分配方式为DHCP动态分配,动态IP地址记载于DHCP Snooping绑定表中,DHCP Snooping模块405从该DHCP Snooping绑定表获取第一VM401的动态IP地址,然后通过接口I2向Vcenter402发送该动态IP地址。随后,Vcenter402向VNMM发送该第一VNMM表项。
603、虚拟管理中心Vcenter通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
其中,该预设接口I1为自定义接口。
请参见图4,在本步骤中,Vcenter402通过接口I1向VNMM406发送第一VNMM表项,优选地,VNMM406还能够通过接口I1主动从Vcenter402获取第一VNMM表项。
604、当第二虚拟机VM热迁移到目标虚拟机监视器VMM时,虚拟管理中心Vcenter通过所述预设接口向所述目标虚拟机监视器VMM发送第二虚拟网络监视模块VNMM表项。
其中,第二VNMM表项用于记载第二VM的合法配置信息。热迁移(LiveMigration)又称动态迁移或实时迁移,是指将源物理服务器(也就是源VMM)上的单个VM的运行状态完整保存下来,同时快速地恢复到目标物理服务器(也就是目标VMM)上。恢复以后,VM仍旧平滑运行,租户不会察觉到任何差异。
请参见图4,当源VMM408上的第二VM407热迁移到VMM403(目标VMM)时,Vcenter402通过接口I1向VMM403(目标VMM)发送第二VNMM表项。
605、虚拟管理中心Vcenter指示源虚拟机监视器VMM删除所存储的第二虚拟网络监视模块VNMM表项。
请参见图4,当第二VM407成功热迁移到VMM403(目标VMM),并且Vcenter402通过接口I1向VMM403(目标VMM)发送第二VNMM表项后,Vcenter402指示源VMM408删除所存储的第二VNMM表项。
在本实施例中,Vcenter在创建第一VM时生成对应的第一VNMM表项,该第一VNMM表项记载了第一VM的合法配置信息。Vcenter将第一VNMM表项发送给VNMM,使得VNMM对VMM接收到的数据报文进行监视,提高了网络安全。
本发明第四实施例将对一种数据报文转发装置进行详细说明,本实施例所述的数据报文转发装置中包含一个或多个单元用于实现前述方法的一个或多个步骤。因此,对前述方法中各步骤的描述适用于本数据报文转发装置中相应的单元。本实施例所述的数据报文转发装置具体结构请参见图7,包括:
判断单元701和处理单元702。判断单元701和处理单元702通信连接。本实施例所述的数据报文转发装置对应第一实施例中所描述的虚拟网络监视模块VNMM,能够加载于VMM上,用于对VMM所处理的数据报文进行监视。
判断单元701,用于当VMM接收到数据报文时,判断数据报文是否符合与其相关的第一VM的合法配置策略。
合法配置策略是在第一VM创建时所确定的,并且在后续使用过程中由Vcenter进行合法修改。第一VM的虚拟机网络配置参数只有符合该合法配置策略时才能保证第一VM的对外通信,并且不会对所在的子网网络产生影响。合法配置策略可以包括以下虚拟机网络配置参数:如IP地址、MAC地址、VLAN标签的使用状态、VIF的P-Mode的使用状态等,在本实施例中不对合法配置策略作具体限定。
处理单元702,用于若判断单元701的判断结果为是,则指示VMM发送该数据报文;还用于若判断单元701的判断结果为否,则根据非法配置处理策略进行处理。
若判断结果为是,说明该数据报文合法,与其相关的第一VM的虚拟机网络配置参数正常,若判断结果为否,说明该数据报文不合法,与其相关的第一VM的机网络配置参数存在异常。
其中,非法配置处理策略可以是单一策略,也可以包含多个可选策略,甚至是复合策略,在本实施例中不对非法配置处理策略进行具体限定,在后续实施例中将进行详细说明。
在本实施例中,当VMM接收到数据报文时,不限定该数据报文由第一VM发出或发往第一VM。判断单元701判断该数据报文是否符合第一VM的合法配置策略,从而检测该数据报文的合法性。如果判断结果显示该数据报文合法,则处理单元702指示VMM放行该数据报文,如果判断结果显示该数据报文非法,即该数据报文不符合第一VM的合法配置策略,说明第一VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致第一VM所在的子网网络异常,这时处理单元702需要根据非法配置处理策略对该数据报文或第一VM进行处理,从而保障网络安全。
本发明第五实施例将对第四实施例所述的数据报文转发装置进行补充说明,本实施例所述的数据报文转发装置中包含一个或多个单元用于实现前述方法的一个或多个步骤。因此,对前述方法中各步骤的描述适用于本数据报文转发装置中相应的单元。本实施例所述的数据报文转发装置具体结构请参见图8,包括:
第一接收单元801、判断单元802、查询单元803、第二发送单元804和处理单元805。本实施例所述的数据报文转发装置对应第二实施例中所描述的虚拟网络监视模块VNMM,能够加载于VMM上,用于对VMM所处理的数据报文进行监视。其中,第一接收单元801、判断单元802、处理单元805依次通信连接。查询单元803和第二发送单元804通信连接。
判断单元802进一步包括:获取子单元8021、第一判断子单元8022和第二判断子单元8023。其中,获取子单元8021与第一判断子单元8022通信连接。
处理单元805进一步包括:警告子单元8051、第一处理子单元8052和第二处理子单元8053。其中,警告子单元8051分别与第一处理子单元8052、第二处理子单元8053通信连接。
VMM进一步包括:第一发送单元81、选取单元82和转发单元83。其中,第一发送单元81与Vcenter通信连接,选取单元82与第二发送单元804、转发单元83通信连接。
第一接收单元801,用于通过预设接口接收心Vcenter发送的第一VNMM表项。
其中,第一VNMM表项用于记载第一VM的合法配置信息,该预设接口I1为自定义接口。
第一接收单元801,还用于当第二VM热迁移到VMM时,通过预设接口接收Vcenter发送的第二VNMM表项。
其中,第二VNMM表项用于记载第二VM的合法配置信息。
判断单元802,用于当VMM接收到数据报文时,判断数据报文是否符合与其相关的第一VM的合法配置策略。判断单元802具体包括:
获取子单元8021,用于获取数据报文中的IP地址和MAC地址。
在本实施例中,该数据报文与第一VM相关,即该数据报文由第一VM发出,此时该数据报文的源地址为第一VM的地址,或者发往第一VM,此时该数据报文的目的地址为第一VM的地址。
第一判断子单元8022,用于判断数据报文中的IP地址、MAC地址与第一VNMM表项中的IP地址、MAC地址是否匹配。
在本实施例中,要判断数据报文是否合法,主要根据数据报文中的IP地址和MAC地址进行判断。
第二判断子单元8023,用于判断数据报文的VLAN标签的使用状态与第一VNMM表项记载的VLAN标签使用状态是否匹配。
由于当在数据报文中携带VLAN标签时能够造成VLAN跳跃攻击(VLANHopping),因此,在本实施例中,还需要由第二判断子单元8023判断数据报文的VLAN标签的使用状态是否符合第一VNMM表项的对应记载。第一VNMM表项中表示VLAN标签使用状态的值可以为可用/不可用,或Enable/Disable。一般情况下,到达VIF的数据报文都不会携带VLAN标签,所以第一VNMM表项中VLAN标签的使用状态常设置为不可用。
在支持P-Mode技术的子网中,VM的合法配置信息还包括VIF对VM的的P-Mode的支持状态。在现有技术中,一旦VIF对VM的P-Mode的支持状态被设置为支持,则该VM能够监听到子网内与自身不相关的数据报文。因此,本实施例的VNMM会定期将所有VIF当前子网内所有VM的P-Mode的支持状态通知VMM,使得VMM有选择地进行数据报文的转发。
查询单元803,用于查询第一虚拟网络监视模块VNMM表项中虚拟接口VIF对杂收模式P-Mode的支持状态。
第二发送单元804,用于向所述虚拟机监视器VMM发送所述虚拟接口VIF对杂收模式P-Mode的支持状态。
因此,VMM能够全面掌握物理服务器的VIF对VM的P-Mode的支持状态,在转发数据报文时不再向不支持P-Mode的VIF转发该数据报文,即选取支持P-Mode的VIF所对应的VM作为目标VM,并向目标VM转发该数据报文。
处理单元805,用于若判断单元802的判断结果为是,则指示VMM发送所述数据报文;还用于若判断单元802的判断结果为否,则根据非法配置处理策略进行处理,非法配置处理策略包括第一策略和第二策略。处理单元805具体包括:
警告子单元8051,用于通过预设接口向Vcenter发送警告消息。
如果判断单元802的判断结果为否,说明该数据报文不合法,则警告子单元8051通过接口I1向Vcenter发送警告消息,以记录系统日志或通知管理员进行相应处理等,在本实施例中不再赘述。
第一处理子单元8052,用于当采用第一策略时,丢弃所述数据报文。
当非法配置处理策略设置为第一策略时,除了向Vcenter发送警告消息,第一处理子单元8052还将直接丢弃该非法数据报文。
第二处理子单元8053,用于当采用第二策略时,中断第一VM的网络连接。
当非法配置处理策略设置为第二策略时,除了向Vcenter发送警告消息,第二处理子单元8053还将中断第一VM的网络连接,以防止第一VM持续影响子网网络。当然数据报文也会被丢弃。在网络连接中断预设时间后,可以恢复其连接,这里不作具体限定。
第一发送单元81,用于当第一VM的IP地址分配方式为动态分配时,向Vcenter发送该动态IP地址,使得Vcenter根据该动态IP地址维护第一VNMM表项。
选取单元82,用于VMM选取支持P-Mode的VIF所对应的VM作为目标虚拟机VM。第二发送单元804定期向VMM发送所有VIF对P-Mode的支持状态。
转发单元83,用于向目标虚拟机VM转发所述数据报文。
在本实施例中,当VMM接收到数据报文时,不限定该数据报文由第一VM发出或发往第一VM。判断单元802判断该数据报文是否符合第一VM的合法配置策略,从而检测该数据报文的合法性。如果判断单元802的判断结果显示该数据报文合法,则处理单元805放行该数据报文,如果判断单元802的判断结果显示该数据报文非法,即该数据报文不符合第一VM的合法配置策略,说明第一VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致第一VM所在的子网网络异常,这时处理单元805需要根据非法配置处理策略对该数据报文或第一VM进行处理,从而保障网络安全。
本发明第六实施例将对另一种数据报文转发装置进行详细说明,本实施例所述的数据报文转发装置中包含一个或多个单元用于实现前述方法的一个或多个步骤。因此,对前述方法中各步骤的描述适用于本数据报文转发装置中相应的单元。本实施例所述的数据报文转发装置具体结构请参见图9,包括:
指示单元901、生成单元902、第一获取单元903、第一维护单元904、第二获取单元905、第二接收单元906、第二维护单元907、第三发送单元908和删除单元909。
其中,指示单元901与生成单元902通信连接,生成单元902分别与第三发送单元908、第一获取单元903、第二获取单元905、第二接收单元906通信连接,第一获取单元903与第一维护单元904通信连接,第二获取单元905、第二接收单元906分别与第二维护单元907通信连接,第三发送单元908、删除单元909分别与VNMM连接。
本实施例所述的数据报文转发装置对应第三实施例中所描述的虚拟管理中心Vcenter,用于对子网内的网络资源进行管理。
指示单元901,用于指示VMM创建第一VM。
VMM上的所有VM包括第一VM都是由指示单元901指示创建的,因此,Vcenter能够记录所有VM的合法配置信息。合法配置信息包括:VM ID、VIF ID、IP地址分配方式、IP地址、MAC地址、P-Mode使用状态、VLAN标签使用状态和非法配置处理策略。
生成单元902,用于根据第一VM的合法配置信息生成第一VNMM表项。
其中,第一VNMM表项用于记载第一VM的合法配置信息。
第一VNMM表项的一个实例,可参见第二实施例中的表1,这里不再赘述。
在第一VNMM表项生成之初可以不填入所有合法配置信息,待其它单元进行维护。第三发送单元903向VNMM发送该第一VNMM表项。
第一获取单元903,用于当第一VM的IP地址分配方式为静态分配时,获取第一VM的静态IP地址。
第一维护单元904,用于根据第一获取单元903所获取的静态IP地址维护第一VNMM表项。
第二获取单元905,用于当第一VM的IP地址分配方式为动态分配时,获取第一VM的动态IP地址。
第二接收单元906,用于接收VMM发送的第一VM的动态IP地址。
第二维护单元907,用于根据动态IP地址维护第一VNMM表项。
在本实施例中,动态分配方式为DHCP动态分配,动态IP地址记载于DHCP Snooping绑定表中,VMM发送的第一VM的动态IP地址的模块具体为DHCP Snooping模块。
第三发送单元908,用于通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
第三发送单元908,还用于当第二VM热迁移到目标VMM时,通过预设接口向目标VMM发送第二VNMM表项。
其中,第二VNMM表项用于记载第二VM的合法配置信息。热迁移(LiveMigration)又称动态迁移或实时迁移,是指将源物理服务器(也就是源VMM)上的单个VM的运行状态完整保存下来,同时快速地恢复到目标物理服务器(也就是目标VMM)上。恢复以后,VM仍旧平滑运行,租户不会察觉到任何差异。
删除单元909,用于指示源VMM删除所存储的第二VNMM表项。
当第二VM成功热迁移到目标VMM,并且Vcenter通过接口I1向目标VMM发送第二VNMM表项后,删除单元909指示源VMM删除所存储的第二VNMM表项。
在本实施例中,指示单元901在指示VMM创建第一VM时由生成单元902生成对应的第一VNMM表项,该第一VNMM表项记载了第一VM的合法配置信息。第三发送单元908将第一VNMM表项发送给VNMM,使得VNMM对VMM接收到的数据报文进行监视,提高了网络安全。
本发明第七实施例将对一种数据报文转发系统进行详细说明,本实施例所述的数据报文转发系统中包含一个或多个单元用于实现前述方法的一个或多个步骤。因此,对前述方法中各步骤的描述适用于本数据报文转发系统中相应的单元。请参见图10,本实施例所述的数据报文转发系统包括:
VNMM1001、VMM1002、Vcenter1003和至少1个VM1004。VNMM1001加载于VMM1002上,VMM1002与Vcenter1003通信连接,至少1个VM1004由VMM1002创建并管理。
其中,VNMM1001为如第五实施例所描述的数据报文转发装置,这里不再赘述。Vcenter1003为如第六实施例所描述的数据报文转发装置,这里不再赘述。
VMM1002进一步包括:
选取单元,用于选取支持杂收模式P-Mode的虚拟接口VIF所对应的虚拟机VM作为目标虚拟机VM。
转发单元,用于向该目标虚拟机VM转发数据报文。
在本实施例中,当VMM接收到数据报文时,不限定该数据报文由VM发出或发往VM。Vcenter在创建VM时生成对应的VNMM表项,该第一VNMM表项记载了VM的合法配置信息,Vcenter将VNMM表项发送给VNMM,VNMM据此判断该数据报文是否符合VM的合法配置策略,从而检测该数据报文的合法性。如果的判断结果显示该数据报文合法,则放行该数据报文,如果判断结果显示该数据报文非法,即该数据报文不符合VM的合法配置策略,说明VM的虚拟机网络配置参数被错误配置,因此该数据报文可能会导致VM所在的子网网络异常,这时VNMM需要根据非法配置处理策略对该数据报文或VM进行处理,从而保障网络安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种数据报文转发方法、装置和系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (20)
1.一种数据报文转发方法,其特征在于,包括:
当虚拟机监视器VMM接收到数据报文时,判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略;
若判断结果为是,则指示所述虚拟机监视器VMM发送所述数据报文;
若判断结果为否,则根据非法配置处理策略进行处理。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述第一虚拟机VM启动时,通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
所述判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略包括:
获取所述数据报文中的网际协议IP地址和媒体访问控制MAC地址;
判断所述数据报文中的网际协议IP地址、媒体访问控制MAC地址与所述第一虚拟网络监视模块VNMM表项中的网际协议IP地址、媒体访问控制MAC地址是否匹配;
和/或,
判断所述数据报文的虚拟局域网VLAN标签的使用状态与所述第一虚拟网络监视模块VNMM表项记载的虚拟局域网VLAN标签的使用状态是否匹配。
3.根据权利要求2所述的方法,其特征在于,所述非法配置处理策略包括第一策略和第二策略,
所述根据非法配置处理策略进行处理包括:
通过所述预设接口向所述虚拟管理中心Vcenter发送警告消息;
当采用第一策略时,丢弃所述数据报文;
当采用第二策略时,中断所述第一虚拟机VM的网络连接。
4.根据权利要求2或3所述的方法,其特征在于,还包括:
当第二虚拟机VM热迁移到所述虚拟机监视器VMM时,通过所述预设接口接收所述虚拟管理中心Vcenter发送的第二虚拟网络监视模块VNMM表项,所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息。
5.根据权利要求2或3所述的方法,其特征在于,所述通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项之前进一步包括:
当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时,所述虚拟机监视器VMM向所述虚拟管理中心Vcenter发送所述动态网际协议IP地址,使得所述虚拟管理中心Vcenter根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。
6.根据权利要求2或3所述的方法,其特征在于,还包括:
查询所述第一虚拟网络监视模块VNMM表项中虚拟接口VIF对杂收模式P-Mode的支持状态;
向所述虚拟机监视器VMM发送所述虚拟接口VIF对杂收模式P-Mode的支持状态,使得所述虚拟机监视器VMM根据所述虚拟接口VIF对杂收模式P-Mode的支持状态向所述第一虚拟机VM转发数据报文。
7.一种数据报文转发方法,其特征在于,包括:
指示虚拟机监视器VMM创建第一虚拟机VM;
根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
8.根据权利要求7所述的方法,其特征在于,所述根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项之后进一步包括:
当所述第一虚拟机VM的网际协议IP地址分配方式为静态分配时,获取所述第一虚拟机VM的静态网际协议IP地址,并根据所述静态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项;
当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时,获取所述第一虚拟机VM的动态网际协议IP地址,或接收所述虚拟网络监视模块VMM发送的所述第一虚拟机VM的动态网际协议IP地址,并根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。
9.根据权利要求7或8所述的方法,其特征在于,还包括:
当第二虚拟机VM热迁移到目标虚拟机监视器VMM时,通过所述预设接口向所述目标虚拟机监视器VMM发送第二虚拟网络监视模块VNMM表项,所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息;
指示源虚拟机监视器VMM删除所存储的第二虚拟网络监视模块VNMM表项。
10.一种数据报文转发装置,其特征在于,包括:
判断单元,用于当虚拟机监视器VMM接收到数据报文时,判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略;
处理单元,用于若所述判断单元的判断结果为是,则指示所述虚拟机监视器VMM发送所述数据报文;还用于若所述判断单元的判断结果为否,则根据非法配置处理策略进行处理。
11.根据权利要求10所述的装置,其特征在于,还包括:
第一接收单元,用于通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
所述判断单元进一步包括:
获取子单元,用于获取所述数据报文中的网际协议IP地址和媒体访问控制MAC地址;
第一判断子单元,用于判断所述数据报文中的网际协议IP地址、媒体访问控制MAC地址与所述第一虚拟网络监视模块VNMM表项中的网际协议IP地址、媒体访问控制MAC地址是否匹配;
和/或,
第二判断子单元,用于判断所述数据报文的虚拟局域网VLAN标签的使用状态与所述第一虚拟网络监视模块VNMM表项记载的虚拟局域网VLAN标签的使用状态是否匹配。
12.根据权利要求11所述的装置,其特征在于,所述非法配置处理策略包括第一策略和第二策略,所述处理单元进一步包括:
警告子单元,用于通过所述预设接口向所述虚拟管理中心Vcenter发送警告消息;
第一处理子单元,用于当采用第一策略时,丢弃所述数据报文;
第二处理子单元,用于当采用第二策略时,中断所述第一虚拟机VM的网络连接。
13.根据权利要求11或12所述的装置,其特征在于,
所述第一接收单元,还用于当第二虚拟机VM热迁移到所述虚拟机监视器VMM时,通过所述预设接口接收所述虚拟管理中心Vcenter发送的第二虚拟网络监视模块VNMM表项,所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息。
14.根据权利要求11或12所述的装置,其特征在于,所述虚拟机监视器VMM包括:
第一发送单元,用于当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时,向所述虚拟管理中心Vcenter发送所述动态网际协议IP地址,使得所述虚拟管理中心Vcenter根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。
15.根据权利要求11或12所述的装置,其特征在于,还包括:
查询单元,用于查询所述第一虚拟网络监视模块VNMM表项中虚拟接口VIF对杂收模式P-Mode的支持状态;
第二发送单元,用于向所述虚拟机监视器VMM发送所述虚拟接口VIF对杂收模式P-Mode的支持状态,使得所述虚拟机监视器VMM根据所述虚拟接口VIF对杂收模式P-Mode的支持状态向所述第一虚拟机VM转发数据报文。
16.一种数据报文转发装置,其特征在于,包括:
指示单元,用于指示虚拟机监视器VMM创建第一虚拟机VM;
生成单元,用于根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项,所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息;
第三发送单元,用于通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。
17.根据权利要求16所述的装置,其特征在于,所述数据报文转发装置还包括:
第一获取单元,用于当所述第一虚拟机VM的网际协议IP地址分配方式为静态分配时,获取所述第一虚拟机VM的静态网际协议IP地址;
第一维护单元,用于根据所述静态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项;
第二获取单元,用于当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时,获取所述第一虚拟机VM的动态网际协议IP地址;
第二接收单元,用于接收所述虚拟网络监视模块VMM发送的所述第一虚拟机VM的动态网际协议IP地址;
第二维护单元,用于根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。
18.根据权利要求16或17所述的装置,其特征在于,
所述第三发送单元,还用于当第二虚拟机VM热迁移到目标虚拟机监视器VMM时,通过所述预设接口向所述目标虚拟机监视器VMM发送第二虚拟网络监视模块VNMM表项,所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息;
删除单元,用于指示源虚拟机监视器VMM删除所存储的第二虚拟网络监视模块VNMM表项。
19.一种数据报文转发系统,其特征在于,包括:
如权利要求10至15任一项所述的数据报文转发装置、虚拟机监视器VMM、如权利要求16至18任一项所述的数据报文转发装置,以及至少1个虚拟机。
20.根据权利要求19所述的系统,其特征在于,所述虚拟机监视器VMM进一步包括:
选取单元,用于选取支持杂收模式P-Mode的虚拟接口VIF所对应的虚拟机VM作为目标虚拟机VM;
转发单元,用于向所述目标虚拟机VM转发所述数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210574592.9A CN103905383B (zh) | 2012-12-26 | 2012-12-26 | 一种数据报文转发方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210574592.9A CN103905383B (zh) | 2012-12-26 | 2012-12-26 | 一种数据报文转发方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905383A true CN103905383A (zh) | 2014-07-02 |
| CN103905383B CN103905383B (zh) | 2017-11-24 |
Family
ID=50996539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210574592.9A Active CN103905383B (zh) | 2012-12-26 | 2012-12-26 | 一种数据报文转发方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905383B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016107379A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| CN109413082A (zh) * | 2018-11-12 | 2019-03-01 | 郑州云海信息技术有限公司 | 云计算系统中报文处理方法和装置 |
| CN112769879A (zh) * | 2019-11-01 | 2021-05-07 | 上汽通用汽车有限公司 | 用于保护车载通信系统安全的方法和装置 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090187697A1 (en) * | 2008-01-22 | 2009-07-23 | Serebrin Benjamin C | Execute-Only Memory and Mechanism Enabling Execution From Execute-Only Memory for Minivisor |
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
-
2012
- 2012-12-26 CN CN201210574592.9A patent/CN103905383B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090187697A1 (en) * | 2008-01-22 | 2009-07-23 | Serebrin Benjamin C | Execute-Only Memory and Mechanism Enabling Execution From Execute-Only Memory for Minivisor |
| CN102025535A (zh) * | 2010-11-17 | 2011-04-20 | 福建星网锐捷网络有限公司 | 虚拟机管理方法、装置及网络设备 |
| WO2012077603A1 (ja) * | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016107379A1 (zh) * | 2014-12-31 | 2016-07-07 | 华为技术有限公司 | 一种发送报文的方法和装置 |
| CN109413082A (zh) * | 2018-11-12 | 2019-03-01 | 郑州云海信息技术有限公司 | 云计算系统中报文处理方法和装置 |
| CN112769879A (zh) * | 2019-11-01 | 2021-05-07 | 上汽通用汽车有限公司 | 用于保护车载通信系统安全的方法和装置 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113709052B (zh) * | 2020-05-21 | 2024-02-27 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905383B (zh) | 2017-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187459B2 (en) | Distributed load balancing system, health check method, and service node | |
| EP3404878B1 (en) | Virtual network apparatus, and related method | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| US7231660B1 (en) | Method and system for preventing unauthorized server interference in an internet protocol network | |
| US8472311B2 (en) | Systems, methods, and computer readable media for providing instantaneous failover of packet processing elements in a network | |
| EP2842285A1 (en) | Migration of a security policy of a virtual machine | |
| CN102025630A (zh) | 负载均衡方法及负载均衡系统 | |
| CN103534994A (zh) | 一种虚拟机迁移后实现通信的方法、设备和系统 | |
| US11082398B2 (en) | Method for securing a DHCP server from unauthorized client attacks in a software defined network | |
| CN111327668B (zh) | 网络管理方法、装置、设备和存储介质 | |
| CN101827138A (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| JP2010103695A (ja) | クラスタシステム、クラスタサーバ及びクラスタ制御方法 | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| CN103905383A (zh) | 一种数据报文转发方法、装置和系统 | |
| CN106790734B (zh) | 一种网络地址分配方法及装置 | |
| US20080172742A1 (en) | Information processing system | |
| CN103516821A (zh) | 地址解析方法及相应的系统、交换机和服务器 | |
| CN100493009C (zh) | 防范网际协议以太网中假冒主机的方法 | |
| CN113242299A (zh) | 多数据中心的容灾系统、方法、计算机设备及介质 | |
| CN102904761B (zh) | 一种nvr堆叠的方法和nvr | |
| CN111600971A (zh) | 一种设备管理的方法和设备管理的装置 | |
| JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
| EP3435615B1 (en) | Network service implementation method, service controller, and communication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |