CN105407045A - 基于安全隔离的路由器虚拟化方法 - Google Patents

基于安全隔离的路由器虚拟化方法 Download PDF

Info

Publication number
CN105407045A
CN105407045A CN201510680839.9A CN201510680839A CN105407045A CN 105407045 A CN105407045 A CN 105407045A CN 201510680839 A CN201510680839 A CN 201510680839A CN 105407045 A CN105407045 A CN 105407045A
Authority
CN
China
Prior art keywords
router
virtual
plane layer
data
method based
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510680839.9A
Other languages
English (en)
Inventor
杨云
吴维农
卓灵
郑元兵
王吉哲
胡洛娜
肖静薇
吴烈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Chongqing Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510680839.9A priority Critical patent/CN105407045A/zh
Publication of CN105407045A publication Critical patent/CN105407045A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Abstract

本发明提供的基于安全隔离的路由器虚拟化方法,包括设置分层化架构,将路由器虚拟化划分为数据平面层、控制平面层和管理平面层;通过所述控制平面层将物理路由器虚拟为多个虚拟路由器;本发明扩大了路由器协议的支持范围,通过将数据进行平面抽象,支持多种不同网络协议的数据包处理需求,提高了数据平面的可扩展性,通过共享不同虚拟路由器数据平面之间的计算资源,节约了逻辑资源,本发明能够有效支持软硬件路由器实例的动态迁移,并使用局部动态可重构技术降低迁移开销,从而满足动态变化的应用需求。

Description

基于安全隔离的路由器虚拟化方法
技术领域
本发明涉及存储领域,尤其涉及一种基于安全隔离的路由器虚拟化方法。
背景技术
路由器是用于连接多个逻辑上分开的网络,是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号。路由器是互联网络的枢纽,目前已经广泛应用于各行各业。目前的路由器不仅可以连通不同的网络,还能选择数据传送的路径,并能阻隔非法的访问。路由器作为IP网的核心设备,其技术已成为当前信息产业的关键技术,其设备本身在数据通信中起到越来越重要的作用。当前,传输控制协议/网际协议(TCP/IP)体系结构面临挑战,未来互联网研究成为热点。未来互联网体系结构、协议、算法与实现技术在部署前都需要大量的理论分析与仿真实验,更需要在试验网络系统中进行评估与验证。由于路由器的封闭性与正常业务对试验的影响,在现有的互联网上实现、验证和部署新体系结构、新协议与新算法非常困难,这严重制约了互联网体系的发展和创新。
假设将传统路由器作为IP网络的核心,它将会产生如下问题:(1)增加了3层路由选择的时间,使得数据传输效率降低。(2)增加了改变节点的复杂度,使得增加,移动节点变得复杂。(3)设备价格昂贵、结构复杂,利用率不高,大大增加了子网互联的成本。如果仅仅提高路由器的硬件性能,并不能解决其瓶颈问题。因为路由器除了硬件支撑外,其复杂与强大的功能主要是通过软件来实现的。当流经路由器的流量超过其吞吐能力时,将引起路由器内部的拥塞。持续拥塞不仅会使转发的数据包被延误,更严重的是使流经路由器的数据包丢失。此外,路由器的复杂性还对网络的维护工作造成了沉重的负担。传统路由器难以满足现今高吞吐量,低成本的要求。
发明内容
有鉴于此,本发明提供一种基于安全隔离的路由器虚拟化方法,以解决上述问题。
本发明提供的基于安全隔离的路由器虚拟化方法,包括
设置分层化架构,将路由器虚拟化划分为数据平面层、控制平面层和管理平面层;
通过所述控制平面层将物理路由器虚拟为多个虚拟路由器;
通过数据平面层对数据包进行接受识别分类和转发,并通过所述数据平面层获取物理路由器的物理端口信息,建立虚拟路由器的网络端口与物理路由器的端口信息的映射关系;
所述虚拟路由器通过控制平面层与数据处理层进行信息交互;
通过所述管理平面层对所述多个虚拟路由器的参数进行管理配置。
进一步,所述虚拟路由器是将路由器虚拟出多个安全隔离的虚拟服务器,将每个虚拟服务器作为一个虚拟路由器。
进一步,所述控制平面层在接收到数据平面层的数据后,对属于不同转发信息库且前缀相同的条目进行合并,并将所述前缀对应的所有下一跳信息顺序存储。
进一步,所述控制平面层设有用于自定义配置虚拟路由器并使虚拟路由器运行不同的网络协议的网络信息管理模块。
进一步,所述数据平面层根据物理端口信息生成虚拟路由器的vid,并生成vlan与vid映射表。
进一步,所述虚拟路由器通过vlan与vid映射表确定数据平面层的物理设备,并将网络信息和映射表信息发送到对应的物理设备。
进一步,所述控制平面层通过PCI总线与物理路由器进行数据交互。
进一步,所述数据平面层的数据包接收机制为轮询方式,所述数据平面层的总线事务传递多个数据包地址。
进一步,所述数据平面层设置有数据包包头解析模块,所述数据包包头解析模块设有用于支持数据包包头任意比特域自由组合的任意比特抽取器。
本发明的有益效果:本发明提供的方法通过对传统路由器进行虚拟化,扩大了路由器协议的支持范围,能够支持多种不同网络协议的数据包处理需求,提高了数据平面的可扩展性,节约了资源,本发明能够有效支持软硬件路由器实例的动态迁移,并使用局部动态可重构技术降低迁移开销,从而满足动态变化的应用需求。
附图说明
下面结合附图和实施例对本发明作进一步描述:
图1是本发明的原理示意图。
图2是本发明的工作流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述:图1是本发明的原理示意图,图2是本发明的工作流程示意图。
如图1、2所示,本实施例中的基于安全隔离的路由器虚拟化方法,包括
设置分层化架构,将路由器虚拟化划分为数据平面层、控制平面层和管理平面层;
通过所述控制平面层将物理路由器虚拟为多个虚拟路由器;
通过数据平面层对数据包进行接受识别分类和转发,并通过所述数据平面层获取物理路由器的物理端口信息,建立虚拟路由器的网络端口与物理路由器的端口信息的映射关系;
所述虚拟路由器通过控制平面层与数据处理层进行信息交互;
通过所述管理平面层对所述多个虚拟路由器的参数进行管理配置。
在本实施例中,数据平面层负责网络数据包的接收识别分类以及转发,例如数据包的转发加速,数据的统一平面抽象化等;控制平面层集成了虚拟化模块,负责在一台物理路由器上实现多个相对独立的逻辑路由器,并且增加了对数据平面的控制,例如异常数据包的分析处理;管理平面层具有路由器的各项参数管理配置功能,主要负责多个虚拟路由器的各种协议的部署维护。
在本实施例中,虚拟路由器是将路由器虚拟出多个安全隔离的虚拟服务器,将每个虚拟服务器作为一个虚拟路由器,在一台物理路由器上实现多个相对独立的逻辑路由器,每个虚拟路由器拥有自身所有的用户程序进程,独立的root访问权限、IP地址、内存、处理器、文件、应用程序、系统库和配置文件等,不同的虚拟路由器可以独立运行一种或者多种路由协议。这样就把存储虚拟化的范围由局域网范围内的虚拟存储扩展到了广域虚拟存储。再进行路由的计算以及异常数据包的分析处理,以确定下一跳转发。
在本实施例中,所述控制平面层在接收到数据平面层的数据后,对属于不同转发信息库且前缀相同的条目进行合并,并将所述前缀对应的所有下一跳信息顺序存储。控制平面层在接收到数据平面层的数据后,转发表查找方法基于TCAM(ternarycontentaddressablememory,简称TCAM一种三态内容寻址存储器)实现FIB(ForwardInformationBase,转发信息库)存储,为支持数量线性增长的虚拟路由器实例的FIB,如果属于不同FIB的某条前缀相同(下一跳不必相同),可以将其合并成一条前缀,该前缀对应的所有下一跳信息顺序存储在SRAM(StaticRandomAccessMemory,静态随机存取存储器)中,例如,分属于两个FIB的条目<P,NH1>和<P,NH2>通过共享前缀可以合并成一个条目<P,[NH1,NH2]>。
在本实施例中,所述控制平面层设有用于自定义配置虚拟路由器并使虚拟路由器运行不同的网络协议的网络信息管理模块。网络信息管理模块提供了用户自定义配置虚拟路由器实例的功能,使得不同的虚拟路由器可以运行不同的网络协议,使其功能与物理路由器相同,如能实现路由器的学习和自动更新。
在本实施例中,所述数据平面层根据物理端口信息生成虚拟路由器的vid,并生成vlan与vid映射表,所述虚拟路由器通过vlan与vid映射表确定数据平面层的物理设备,并将网络信息和映射表信息发送到对应的物理设备。在完成系统配置后,不仅要保证虚拟路由器处于运行状态,而且要保证虚拟路由器处于用户配置的状态下提供路由控制管理功能,如路由表的发送和学习等。在实现与数据平面层的交互时,虚拟路由器需要根据其操作系统中保存的vlan与vid的映射表来确定数据平面层的物理设备。虚拟路由器将路由表等网络信息和映射表信息通过确定的数据平面发送到对应物理设备的数据平面层。
在本实施例中,所述控制平面层通过PCI总线与物理路由器进行数据交互,本实施例中的数据平面层采用NetFPGA专用硬件开发平台实现网络数据包的接收识别分类和转发,通过NetFPGA板卡与物理主机的PCI接口连接,通过本地物理主机上安装开源的Linux操作系统CentOS,并在Linux操作系统下安装NetFPGA的设备驱动程序,形成NetFPGA开发板与主机操作系统的接口,对NetFPGA的4个千兆以太网接口nf2c0,nf2c1,nf2c2,nf2c3进行配置,从而使得物理主机可以通过NetFPGA开发板上的以太网端口来收发数据分组。驱动程序将NetFPGA板卡的寄存器信息映射到主机内存中,主机通过对这些寄存器映像的读写,从而控制NetFPGA的运行模式,监控数据通道的工作情况。
在本实施例中,数据平面层的数据包接收机制为轮询方式,所述数据平面层的总线事务传递多个数据包地址,数据平面层对数据包接收机制进行优化,使用轮询方式代替了传统硬件的中断方式,其速度更加快捷,可靠性更好,鲁棒性更强。采用批处理方式,每次总线事务都传递多个数据包的地址;将网卡中多队列与不同CPU内核进行绑定,提高数据包处理的并行性。
在本实施例中,数据平面层设置有数据包包头解析模块,所述数据包包头解析模块设有用于支持数据包包头比特域的比特抽取与循环移位模块,从而支持用户自定义的查找关键字提取方式,支持新的协议类型。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于安全隔离的路由器虚拟化方法,其特征在于:包括
设置分层化架构,将路由器虚拟化划分为数据平面层、控制平面层和管理平面层;
通过所述控制平面层将物理路由器虚拟为多个虚拟路由器;
通过数据平面层对数据包进行接受识别分类和转发,并通过所述数据平面层获取物理路由器的物理端口信息,建立虚拟路由器的网络端口与物理路由器的端口信息的映射关系;
所述虚拟路由器通过控制平面层与数据处理层进行信息交互;
通过所述管理平面层对所述多个虚拟路由器的参数进行管理配置。
2.根据权利要求1所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述虚拟路由器是将路由器虚拟出多个安全隔离的虚拟服务器,将每个虚拟服务器作为一个虚拟路由器。
3.根据权利要求2所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述控制平面层在接收到数据平面层的数据后,对属于不同转发信息库且前缀相同的条目进行合并,并将所述前缀对应的所有下一跳信息顺序存储。
4.根据权利要求2所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述控制平面层设有用于自定义配置虚拟路由器并使虚拟路由器运行不同的网络协议的网络信息管理模块。
5.根据权利要求2所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述数据平面层根据物理端口信息生成虚拟路由器的vid,并生成vlan与vid映射表。
6.根据权利要求5所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述虚拟路由器通过vlan与vid映射表确定数据平面层的物理设备,并将网络信息和映射表信息发送到对应的物理设备。
7.根据权利要求1所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述控制平面层通过PCI总线与物理路由器进行数据交互。
8.根据权利要求7所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述数据平面层的数据包接收机制为轮询方式,所述数据平面层的总线事务传递多个数据包地址。
9.根据权利要求8所述的基于安全隔离的路由器虚拟化方法,其特征在于:所述数据平面层设置有数据包包头解析模块,所述数据包包头解析模块设有用于支持数据包包头比特域的比特抽取与循环移位模块。
CN201510680839.9A 2015-10-19 2015-10-19 基于安全隔离的路由器虚拟化方法 Pending CN105407045A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510680839.9A CN105407045A (zh) 2015-10-19 2015-10-19 基于安全隔离的路由器虚拟化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510680839.9A CN105407045A (zh) 2015-10-19 2015-10-19 基于安全隔离的路由器虚拟化方法

Publications (1)

Publication Number Publication Date
CN105407045A true CN105407045A (zh) 2016-03-16

Family

ID=55472304

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510680839.9A Pending CN105407045A (zh) 2015-10-19 2015-10-19 基于安全隔离的路由器虚拟化方法

Country Status (1)

Country Link
CN (1) CN105407045A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270856A (zh) * 2018-01-15 2018-07-10 赛特斯信息科技股份有限公司 基于Docker技术的逻辑CPE设备的虚拟化管理系统及其配置方法
CN110635999A (zh) * 2018-06-22 2019-12-31 复旦大学 一种基于路由器虚拟化技术的云计算平台网络控制方法
CN111669358A (zh) * 2019-03-08 2020-09-15 厦门网宿有限公司 一种批量处理vrouter网络隔离空间的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004098143A1 (en) * 2003-04-28 2004-11-11 Chantry Networks Inc. System and method for mobile unit session management across a wireless communication network
US20080172732A1 (en) * 2004-01-20 2008-07-17 Defeng Li System For Ensuring Quality Of Service In A Virtual Private Network And Method Thereof
CN102231708A (zh) * 2011-07-04 2011-11-02 清华大学 虚拟路由装置及其路由方法
CN102231709A (zh) * 2011-07-04 2011-11-02 清华大学 虚拟路由装置的控制平面结构及其控制方法
CN104917630A (zh) * 2015-04-15 2015-09-16 深圳市深信服电子科技有限公司 对虚拟网络进行恢复的方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004098143A1 (en) * 2003-04-28 2004-11-11 Chantry Networks Inc. System and method for mobile unit session management across a wireless communication network
US20080172732A1 (en) * 2004-01-20 2008-07-17 Defeng Li System For Ensuring Quality Of Service In A Virtual Private Network And Method Thereof
CN102231708A (zh) * 2011-07-04 2011-11-02 清华大学 虚拟路由装置及其路由方法
CN102231709A (zh) * 2011-07-04 2011-11-02 清华大学 虚拟路由装置的控制平面结构及其控制方法
CN104917630A (zh) * 2015-04-15 2015-09-16 深圳市深信服电子科技有限公司 对虚拟网络进行恢复的方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
葛敬国,贺 鹏,杨建华,张建华: "通用平台虚拟路由器转发性能测试与改进", 《电子科技大学学报 第43卷 第1期 2014年1月》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270856A (zh) * 2018-01-15 2018-07-10 赛特斯信息科技股份有限公司 基于Docker技术的逻辑CPE设备的虚拟化管理系统及其配置方法
CN108270856B (zh) * 2018-01-15 2020-12-18 赛特斯信息科技股份有限公司 基于Docker技术的逻辑CPE设备的虚拟化管理系统及其配置方法
CN110635999A (zh) * 2018-06-22 2019-12-31 复旦大学 一种基于路由器虚拟化技术的云计算平台网络控制方法
CN111669358A (zh) * 2019-03-08 2020-09-15 厦门网宿有限公司 一种批量处理vrouter网络隔离空间的方法和装置
CN111669358B (zh) * 2019-03-08 2022-08-30 厦门网宿有限公司 一种批量处理vrouter网络隔离空间的方法和装置

Similar Documents

Publication Publication Date Title
CN101656677B (zh) 一种报文分流处理方法及装置
CN111371779B (zh) 一种基于dpdk虚拟化管理系统的防火墙及其实现方法
US10263832B1 (en) Physical interface to virtual interface fault propagation
US9450780B2 (en) Packet processing approach to improve performance and energy efficiency for software routers
US10534601B1 (en) In-service software upgrade of virtual router with reduced packet loss
CN108781185B (zh) 提供用于网络设备的可编程包分类框架的系统和方法
US20210243247A1 (en) Service mesh offload to network devices
US8913613B2 (en) Method and system for classification and management of inter-blade network traffic in a blade server
RU2584449C2 (ru) Система управления связью, коммутационный узел и способ управления связью
US20100172257A1 (en) Internet Real-Time Deep Packet Inspection and Control Device and Method
US10630587B2 (en) Shared memory communication in software defined networking
CN105391635B (zh) 一种基于sdn的网络虚拟化方法
US10819640B1 (en) Congestion avoidance in multipath routed flows using virtual output queue statistics
US20220078119A1 (en) Network interface device with flow control capability
US20220174005A1 (en) Programming a packet processing pipeline
CN114301868B (zh) 快速生成虚拟容器浮动ip的方法及网络直通的方法和装置
CN105407045A (zh) 基于安全隔离的路由器虚拟化方法
US20180113627A1 (en) Method of Accessing Data for a Switch by Using Sub-flow Entry Tables
US9898069B1 (en) Power reduction methods for variable sized tables
RU2584471C1 (ru) УСТРОЙСТВО ДЛЯ ПРИЕМА И ПЕРЕДАЧИ ДАННЫХ С ВОЗМОЖНОСТЬЮ ОСУЩЕСТВЛЕНИЯ ВЗАИМОДЕЙСТВИЯ С OpenFlow КОНТРОЛЛЕРОМ
US8614946B1 (en) Dynamic switch port monitoring
Li et al. SDN components and OpenFlow
US20220291928A1 (en) Event controller in a device
US20220276809A1 (en) Interface between control planes
US9258273B2 (en) Duplicating packets efficiently within a network security appliance

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160316