CN105591873A - 一种虚拟机隔离方法和装置 - Google Patents
一种虚拟机隔离方法和装置 Download PDFInfo
- Publication number
- CN105591873A CN105591873A CN201510706157.0A CN201510706157A CN105591873A CN 105591873 A CN105591873 A CN 105591873A CN 201510706157 A CN201510706157 A CN 201510706157A CN 105591873 A CN105591873 A CN 105591873A
- Authority
- CN
- China
- Prior art keywords
- message
- vpn
- address
- vpc
- belongs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 26
- 238000005538 encapsulation Methods 0.000 claims abstract description 76
- 206010047289 Ventricular extrasystoles Diseases 0.000 claims abstract 28
- 238000005129 volume perturbation calorimetry Methods 0.000 claims abstract 28
- 238000006243 chemical reaction Methods 0.000 claims description 36
- 238000000034 method Methods 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 16
- 238000013519 translation Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 6
- 230000006855 networking Effects 0.000 description 2
- 101100263760 Caenorhabditis elegans vms-1 gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种虚拟机隔离方法和装置,技术方案为:网关设备与虚拟机所在物理服务器建立基于GRE实现的VPN隧道,在VPN隧道中传输虚拟机的报文时,将虚拟机所属VPC信息携带在GRE隧道封装报文的头部,以此实现VPC之间虚拟机的隔离。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种虚拟机(VirtualMachine,VM)隔离方法和装置。
背景技术
虚拟私有云(VirtualPrivateClouds,VPC)是一个公共云计算资源的动态配置池,需要使用加密协议、隧道协议和其他安全程序,在用户和云服务提供商之间传输数据。
在现有实现中,同一物理服务器上可能会部署多个VM,多个VM被划分到不同的VPC中,当在物理服务器和网关之间使用通用路由协议封装(GenericRoutingEncapsulation,GRE)协议进行数据传输时,不同VPC之间的VM无法实现数据隔离。
具体参见图1,图1是现有技术一种VPC组网示意图,物理服务器中有虚拟机VM1、VM2、VM3、VM4,其中,VM1、VM2被划分到VPC1,VM3、VM4被划分到VPC2。由于VM1、VM2、VM3、VM4部署在同一物理服务器,VPC1和VPC2共用一个网关。当物理服务器和网关之间建立GRE隧道并通过GRE隧道传输VM的数据流,数据流走相同的GRE隧道时,VM1、VM2、VM3、VM4的数据流量无法实现隔离。
发明内容
有鉴于此,本发明的目的在于一种VM隔离方法和装置,可以使用GRE隧道在VM所在物理服务器与网关设备之间传输数据时实现不同VPC的VM之间的数据隔离。
为了达到上述目的,本发明提供了如下技术方案:
一种VM隔离方法,应用于多个VPC共用的网关设备,其中,所述多个VPC分别属于不同VPN,网关设备中存储有各VPC信息及其所属VPN信息;各VPC的VM所在物理服务器与网关设备与之间建立有GRE隧道,该方法包括:
网关设备接收到用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文头部,将GRE封装报文发往目的VM所在物理服务器;
网关设备接收到VM侧的GRE封装报文时,根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN并解封装GRE封装报文,基于解封装报文所属VPN发送解封装报文。
一种VM隔离装置,应用于多个VPC共用的网关设备,其中,所述多个VPC分别属于不同VPN,网关设备中存储有各VPC信息及其所属VPN信息;网关设备与各VPC的VM所在物理服务器之间建立有GRE隧道,该装置应用于网关设备,包括:接收单元、处理单元、发送单元;
所述接收单元,用于接收用户侧的报文;用于接收VM侧的GRE封装报文;
处理单元,用于接收单元接收到来自用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文的头部,指示发送单元将GRE封装报文发往目的VM所在物理服务器;用于接收单元接收到VM侧的GRE封装报文时,解封装GRE封装报文并根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN,指示发送单元基于解封装报文所属VPN发送解封装报文。
由上面的技术方案可知,本发明中,网关设备与VM所在物理服务器之间通过GRE隧道传输VM的报文时,在GRE封装报文的头部携带VPC信息,通过GRE封装报文的头部携带的VPC信息的不同,将属于不同VPC的VM的报文区分开来,因此可以实现不同VPC的VM之间的流量隔离。
附图说明
图1是现有技术一种VPC组网示意图;
图2是现有技术GRE封装报文的头部格式示意图;
图3是本发明实施例GRE封装报文的头部格式示意图;
图4是本发明实施例一VM隔离方法流程图;
图5是本发明实施例二VM隔离方法流程图;
图6是本发明实施例VM隔离方法流程图;
图7是本发明实施例VM隔离装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并据实施例,对本发明的技术方案进行详细说明。
本发明中,网关设备与VM所在物理服务器之间使用GRE隧道进行VM的报文的传输时,为了实现不同VPC的VM之间的流量隔离,在GRE隧道封装报文的头部携带VPC信息,以此区分属于不同VPC的VM的报文。
现有技术中,GRE封装报文的头部(简称GRE头部)格式如图2所示,包括协议类型(ProtocolType)、版本(Ver)、标志(Flags)等必要字段外,还包括检验码(Checksum)、偏移(Offset)、键值(Key)等可选字段。在本发明中,对GRE封装报文的头部进行扩展,利用Key字段承载VPC信息,具体如图3所示,其中的Key字段替换为VPC字段,其他字段保持不变。
以下结合两个具体的实施例对本发明实现原理进行详细说明。
实施例一、
在公网IP地址充足的情况下,所有VM都可分配到一个公网IP地址。本实施例针对VM分配有公网IP地址的情况,给出了图4所示的VM隔离方案。
参见图4,图4是本发明实施例一VM隔离方法流程图,该方法应用于多个VPC共用的网关设备,所述多个VPC分别属于不同虚拟专用网(VirtualPrivateNetwork,VPN);各VPC的VM所在物理服务器与网关设备之间建立有GRE隧道,如图4所示,该方法主要包括以下步骤:
步骤401、预先在网关设备中存储各VPC信息及其所属VPN信息,在网关设备的公网连接端口上为各VPC创建对应的子接口并在该子接口上绑定该VPC所属VPN。
本实施例中,多个VPC分别属于不同VPN,VPC和VPN之间是一一对应的。可以预先将各VPC信息及其所属的VPN信息下发到网关设备进行存储,为了便于查找,可以直接将VPC信息作为VPN的名称下发给网关设备,网关设备直接可以通过VPN的名称获取到对应的VPC信息。
在网关设备的公网连接端口上创建各VPC对应的子接口,实质就是针对每个VPC,在网关设备的公网连接端口上创建一个子接口,并在该子接口上绑定该VPC所属VPN,使得该子接口和该VPC所属VPN对应起来。
步骤402、网关设备接收到用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文头部,根据路由表发送GRE封装报文到目的VM所在物理服务器。
用户侧的报文(也即用户发往VM的报文)需要经由网关设备转发至VM侧,网关设备转发报文到VM侧时,报文走GRE隧道转发,并在GRE封装报文的头部携带报文的目的VM所属VPC信息。
由于各VPC所属VPN与子接口之间是一一对应的,根据接收报文的子接口绑定的VPN就可以确定报文所属VPN。VPN又与VPC一一对应,因此,根据报文所属VPN就可以确定对应的VPC信息,该VPC信息就是报文的目的VM所属VPC信息,因此,在对报文进行GRE隧道封装时就可以将该VPC信息携带在GRE封装报文的头部,以此实现该VPC中VM的流量与其它VPC中VM的流量的隔离。
在将报文进行GRE隧道封装并在GRE封装报文的头部携带VPC信息后,根据路由表转发GRE隧道封装报文,GRE隧道封装报文最终被发送至目的VM所在物理服务器,由该物理服务器解封装GRE隧道封装报文后,根据解封装报文的目的IP地址将报文发送至目的VM。
步骤403、网关设备接收到VM侧的GRE封装报文时,根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN并解封装GRE封装报文,基于解封装报文所属VPN发送解封装报文。
VM侧的报文(也即VM发往用户的报文),需要经由VM所在物理服务器转发至网关设备,再由网关设备转发到公网并最终到达目的用户。VM所在物理服务器转发报文到网关设备时,报文走GRE隧道转发,并在GRE封装报文的头部携带该VM所属VPC信息。
由于VPN信息与VPC信息一一对应,因此,网关设备接收到VM侧的GRE封装报文后,可以对GRE封装报文进行解封装处理,另外根据GRE封装报文的头部携带的VPC信息还可以确定该VPC所属VPN,该VPN也是解封装报文所属VPN。因为各VPC所属VPN与子接口之间是一一对应的,确定了解封装报文所属VPN后,就可以将解封装报文从绑定该VPN的子接口(也即绑定了该VPN的子接口)发送出去。
实施例二、
在公网IP地址不足的情况下,可以为VM分配私网IP地址,网关设备通过配置网络地址转换(NetworkAddressTranslation,NAT),并在转发VM发往用户的或用户发往VM的报文的过程中,对报文进行NAT转换,可以实现多个VM共享使用少数公网IP地址。本实施例针对VM分配有私网IP地址的情况,给出了图5所示的VM隔离方案。
参见图5,图5是本发明实施例二VM隔离方法流程图,该方法应用于多个VPC共用的网关设备,所述多个VPC分别属于不同VPN;各VPC的VM所在物理服务器与网关设备之间建立有GRE隧道,如图4所示,该方法主要包括以下步骤:
步骤501、预先在网关设备中存储各VPC信息及其所属VPN信息,为各VPC所属VPN配置对应的公网IP地址池,并基于该VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的公网IP地址和私网IP地址之间的转换关系。
本实施例中,多个VPC分别属于不同VPN,VPC和VPN之间是一一对应的。可以预先将各VPC信息及其所属的VPN信息下发到网关设备进行存储,为了便于查找,可以直接将VPC信息作为VPN的名称下发给网关设备,网关设备直接可以通过VPN的名称获取到对应的VPC信息。
为各VPC所属VPN配置对应的公网IP地址池后,该公网IP地址池中的公网IP地址可用于所属VPN所对应的VPC中的VM的报文转发前的NAT转换。
基于该VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系,实质上就是预先将该VPC中各VM的私网IP地址和该公网地址池中的公网IP地址对应起来。
步骤502、网关设备接收到用户侧的报文时,确定报文所属VPN,根据该VPN对应的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文头部,根据路由表发送GRE封装报文到目的VM所在物理服务器。
用户侧的报文(也即用户发往VM的报文)需要经由网关设备转发至VM侧,网关设备转发报文到VM侧时,报文走GRE隧道转发,并在GRE封装报文的头部携带报文的目的VM所属VPC信息。
由于各VPC所属VPN配置有对应的公网IP地址池,如果报文的目的IP地址是某一VPN对应的公网IP地址池中的IP地址,则说明报文属于该VPN,因此,根据报文的目的IP地址和各VPC所属VPN配置有对应的公网IP地址池就可以确定报文所属VPN。VPN又与VPC一一对应,因此,根据报文所属VPN就可以确定对应的VPC信息,该VPC信息就是报文的目的VM所属VPC信息,因此,在对报文进行GRE隧道封装时就可以将该VPC信息携带在GRE封装报文的头部,以此实现该VPC中VM的流量与其它VPC中VM的流量的隔离。
本实施例中,由于VM使用私网IP地址,网关设备在将用户侧报文从GRE隧道转发之前,还需要先对报文进行NAT转换。此前在步骤501中,已经基于各VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系,因此在本步骤中,在确定报文所属VPN之后,就可以根据该VPN对应的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换。
在将报文进行GRE隧道封装并在GRE封装报文的头部携带VPC信息后,根据路由表转发GRE隧道封装报文,GRE隧道封装报文最终被发送至目的VM所在物理服务器,由该物理服务器解封装GRE隧道封装报文后,根据解封装报文的目的IP地址将报文发送至目的VM。
步骤503、网关设备接收到VM侧的GRE封装报文时,根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN并解封装GRE封装报文,根据属于该VPN的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将解封装报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换,根据路由表转发解封装报文。
VM侧的报文(也即VM发往用户的报文),需要经由VM所在物理服务器转发至网关设备,再由网关设备转发到公网并最终到达目的用户。VM所在物理服务器转发报文到网关设备时,报文走GRE隧道转发,并在GRE封装报文的头部携带该VM所属VPC信息。
由于VPN信息与VPC信息一一对应,因此,网关设备接收到VM侧的GRE封装报文后,可以对GRE封装报文进行解封装处理,另外根据GRE封装报文的头部携带的VPC信息还可以确定该VPC所属VPN,该VPN也是解封装报文所属VPN。
对GRE封装报文进行解封装处理得到的解封装报文,其源IP地址为私有IP地址,需要进行NAT转换。此前在步骤501中,已经基于各VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系,因此在本步骤中,在确定解封装报文所属VPN之后,就可以根据该VPN对应的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换。
在对解封装报文进行NAT转换后,根据路由表转发报文即可。
以上对本发明实施例VM隔离原理进行了详细说明,结合以上原理,本发明还提供了一种VM隔离方法和一种VM隔离装置,下面结合图6、图7进行说明。
参见图6,图6是本发明实施例VM隔离方法流程图,该方法应用于多个虚拟私有云VPC共用的网关设备,其中,所述多个VPC分别属于不同VPN,网关设备中存储有各VPC信息及其所属VPN信息;各VPC的VM所在物理服务器与网关设备与之间建立有GRE隧道,该方法包括:
步骤601、网关设备接收到用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文头部,将GRE封装报文发往目的VM所在物理服务器;
步骤602、网关设备接收到VM侧的GRE封装报文时,根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN并解封装GRE封装报文,基于解封装报文所属VPN发送解封装报文。
图6所示方法中,
预先在网关设备的公网连接端口上创建各VPC对应的子接口,并在该子接口上绑定该VPC所属VPN;
确定用户侧的报文所属VPN的方法为:根据接收报文的子接口绑定的VPN确定报文所属VPN;
基于解封装报文所属VPN发送解封装报文的方法为:确定绑定该VPN的子接口,将解封装报文从该子接口发送出去。
图6所示方法中,
预先为各VPC所属VPN配置对应的公网IP地址池,并基于该VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系;
确定用户侧的报文所属VPN的方法为:将对应的公网IP地址池中包含报文的目的IP地址的VPN确定为报文所属VPN;
确定报文所属VPN之后,对报文进行GRE隧道封装之前,进一步包括:根据属于该VPN的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换;
基于解封装报文所属VPN发送解封装报文的方法为:根据属于该VPN的VPC中各VM的私网IP地址和公网IP地址之间的转换关系,将解封装报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换,根据路由表转发解封装报文。
参见图7,图7是本发明实施例VM隔离装置的结构示意图,该装置应用于多个虚拟私有云VPC共用的网关设备,其中,所述多个VPC分别属于不同VPN,网关设备中存储有各VPC信息及其所属VPN信息;网关设备与各VPC的VM所在物理服务器之间建立有GRE隧道,如图7所示,该装置包括:接收单元701、处理单元702、发送单元703;其中,
接收单元701,用于接收用户侧的报文;用于接收VM侧的GRE封装报文;
处理单元702,用于接收单元701接收到来自用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文的头部,指示发送单元703将GRE封装报文发往目的VM所在物理服务器;用于接收单元701接收到VM侧的GRE封装报文时,解封装GRE封装报文并根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN,指示发送单元703基于解封装报文所属VPN发送解封装报文。
在本发明一实施例中,图7所示装置还包括配置单元704;
所述配置单元704,用于预先在网关设备的公网连接端口上创建各VPC对应的子接口,并在该子接口上绑定该VPC所属VPN;
所述处理单元702确定用户侧的报文所属VPN时,用于:根据接收报文的子接口绑定的VPN确定报文所属VPN;
所述发送单元703基于解封装报文所属VPN发送解封装报文时,用于:确定绑定该VPN的子接口,将解封装报文从该子接口发送出去。
在本发明另一实施例中,图7所示装置还包括基于不同实现的配置单元704;
所述配置单元704,用于预先为各VPC所属VPN配置对应的公网IP地址池,并基于该VPC所属VPN对应的公网IP地址池,通过NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系;
所述处理单元702确定用户侧的报文所属VPN时,用于:将对应的公网IP地址池中包含报文的目的IP地址的VPN确定为报文所属VPN;
所述处理单元702确定报文所属VPN之后,对报文进行GRE隧道封装之前,进一步用于:根据属于该VPN的VPC中各VM的私网IP地址和公网IP地址之间的转换关系,将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换;
所述发送单元703基于解封装报文所属VPN发送解封装报文时,用于:根据属于该VPN的VPC中各VM的私网IP地址和公网IP地址之间的转换关系,将解封装报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换,根据路由表转发解封装报文。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种虚拟机VM隔离方法,应用于多个虚拟私有云VPC共用的网关设备,其特征在于,所述多个VPC分别属于不同虚拟专用网VPN,网关设备中存储有各VPC信息及其所属VPN信息;各VPC的VM所在物理服务器与网关设备与之间建立有通用路由协议封装GRE隧道,该方法包括:
网关设备接收到用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文头部,将GRE封装报文发往目的VM所在物理服务器;
网关设备接收到VM侧的GRE封装报文时,根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN并解封装GRE封装报文,基于解封装报文所属VPN发送解封装报文。
2.根据权利要求1所述的方法,其特征在于,
预先在网关设备的公网连接端口上为各VPC创建对应的子接口,并在该子接口上绑定该VPC所属VPN;
确定用户侧的报文所属VPN的方法为:根据接收报文的子接口绑定的VPN确定报文所属VPN;
基于解封装报文所属VPN发送解封装报文的方法为:确定绑定该VPN的子接口,将解封装报文从该子接口发送出去。
3.根据权利要求1所述的方法,其特征在于,
预先为各VPC所属VPN配置对应的公网IP地址池,并基于该VPC所属VPN对应的公网IP地址池,通过网络地址转换NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系;
确定用户侧的报文所属VPN的方法为:将对应的公网IP地址池中包含报文的目的IP地址的VPN确定为报文所属VPN;
确定报文所属VPN之后,对报文进行GRE隧道封装之前,根据所述转换关系将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换;
基于解封装报文所属VPN发送解封装报文的方法为:根据所述转换关系,将解封装报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换,根据路由表转发解封装报文。
4.一种虚拟机VM隔离装置,应用于多个虚拟私有云VPC共用的网关设备,其特征在于,所述多个VPC分别属于不同虚拟专用网VPN,网关设备中存储有各VPC信息及其所属VPN信息;网关设备与各VPC的VM所在物理服务器之间建立有通用路由协议封装GRE隧道,该装置应用于网关设备,包括:接收单元、处理单元、发送单元;
所述接收单元,用于接收用户侧的报文;用于接收VM侧的GRE封装报文;
处理单元,用于接收单元接收到来自用户侧的报文时,确定报文所属VPN,对报文进行GRE隧道封装并将该VPN对应的VPC信息携带在GRE封装报文的头部,指示发送单元将GRE封装报文发往目的VM所在物理服务器;用于接收单元接收到VM侧的GRE封装报文时,解封装GRE封装报文并根据GRE封装报文的头部携带的VPC信息确定解封装报文所属VPN,指示发送单元基于解封装报文所属VPN发送解封装报文。
5.根据权利要求4所述的装置,其特征在于,该装置还包括配置单元;
所述配置单元,用于预先在网关设备的公网连接端口上为各VPC创建对应的子接口,并在该子接口绑定该VPC所属VPN;
所述处理单元确定用户侧的报文所属VPN时,用于:根据接收报文的子接口绑定的VPN确定报文所属VPN;
所述发送单元基于解封装报文所属VPN发送解封装报文时,用于:确定该绑定该VPN的子接口,将解封装报文从该子接口发送出去。
6.根据权利要求5所述的装置,其特征在于,该装置还包括配置单元;
所述配置单元,用于预先为各VPC所属VPN配置对应的公网IP地址池,并基于该VPC所属VPN对应的公网IP地址池,通过网络地址转换NAT配置该VPC中各VM的私网IP地址和公网IP地址之间的转换关系;
所述处理单元确定用户侧的报文所属VPN时,用于:将对应的公网IP地址池中包含报文的目的IP地址的VPN确定为报文所属VPN;
所述处理单元确定报文所属VPN之后,对报文进行GRE隧道封装之前,进一步用于:根据所述转换关系,将报文的目的IP地址进行从公网IP地址到私网IP地址的NAT转换;
所述发送单元基于解封装报文所属VPN发送解封装报文时,用于:根据属于该VPN的VPC中各VM的公网IP地址和私网IP地址之间的转换关系,将解封装报文的源IP地址进行从私网IP地址到公网IP地址的NAT转换,根据路由表转发解封装报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510706157.0A CN105591873B (zh) | 2015-10-27 | 2015-10-27 | 一种虚拟机隔离方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510706157.0A CN105591873B (zh) | 2015-10-27 | 2015-10-27 | 一种虚拟机隔离方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105591873A true CN105591873A (zh) | 2016-05-18 |
| CN105591873B CN105591873B (zh) | 2019-03-15 |
Family
ID=55931120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510706157.0A Active CN105591873B (zh) | 2015-10-27 | 2015-10-27 | 一种虚拟机隔离方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105591873B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108390812A (zh) * | 2018-05-30 | 2018-08-10 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN108462752A (zh) * | 2018-03-26 | 2018-08-28 | 深信服科技股份有限公司 | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 |
| CN108989175A (zh) * | 2018-07-26 | 2018-12-11 | 新华三技术有限公司 | 一种通信方法及装置 |
| CN109274570A (zh) * | 2017-07-18 | 2019-01-25 | 中国电信股份有限公司 | Vpn的构建方法、装置和计算机可读存储介质 |
| WO2020135659A1 (en) * | 2018-12-28 | 2020-07-02 | Alibaba Group Holding Limited | Overlay network routing using a programmable switch |
| WO2021093641A1 (zh) * | 2019-11-13 | 2021-05-20 | 中兴通讯股份有限公司 | 报文传输方法及系统,发送端vpn设备及gre拼接设备 |
| CN113302884A (zh) * | 2019-01-18 | 2021-08-24 | 威睿公司 | 公共云环境中的服务插入 |
| US11570104B2 (en) | 2019-01-18 | 2023-01-31 | Vmware, Inc. | Tunnel-based service insertion in public cloud environments |
| CN115913824A (zh) * | 2023-02-10 | 2023-04-04 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119273A (zh) * | 2007-09-10 | 2008-02-06 | 杭州华三通信技术有限公司 | 实现通用路由封装隧道穿越的方法及设备 |
-
2015
- 2015-10-27 CN CN201510706157.0A patent/CN105591873B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119273A (zh) * | 2007-09-10 | 2008-02-06 | 杭州华三通信技术有限公司 | 实现通用路由封装隧道穿越的方法及设备 |
Non-Patent Citations (1)
| Title |
|---|
| P. GARG ED.、Y. WANG ED.: "NVGRE: Network Virtualization Using Generic Routing Encapsulation", 《IETF RFC 7637》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274570B (zh) * | 2017-07-18 | 2021-04-20 | 中国电信股份有限公司 | Vpn的构建方法、装置和计算机可读存储介质 |
| CN109274570A (zh) * | 2017-07-18 | 2019-01-25 | 中国电信股份有限公司 | Vpn的构建方法、装置和计算机可读存储介质 |
| CN108462752A (zh) * | 2018-03-26 | 2018-08-28 | 深信服科技股份有限公司 | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 |
| CN108390812B (zh) * | 2018-05-30 | 2020-07-07 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN108390812A (zh) * | 2018-05-30 | 2018-08-10 | 新华三技术有限公司 | 报文转发方法及装置 |
| CN108989175B (zh) * | 2018-07-26 | 2020-10-02 | 新华三技术有限公司 | 一种通信方法及装置 |
| CN108989175A (zh) * | 2018-07-26 | 2018-12-11 | 新华三技术有限公司 | 一种通信方法及装置 |
| WO2020135659A1 (en) * | 2018-12-28 | 2020-07-02 | Alibaba Group Holding Limited | Overlay network routing using a programmable switch |
| CN113302884A (zh) * | 2019-01-18 | 2021-08-24 | 威睿公司 | 公共云环境中的服务插入 |
| US11570104B2 (en) | 2019-01-18 | 2023-01-31 | Vmware, Inc. | Tunnel-based service insertion in public cloud environments |
| US11627080B2 (en) | 2019-01-18 | 2023-04-11 | Vmware, Inc. | Service insertion in public cloud environments |
| WO2021093641A1 (zh) * | 2019-11-13 | 2021-05-20 | 中兴通讯股份有限公司 | 报文传输方法及系统,发送端vpn设备及gre拼接设备 |
| CN115913824A (zh) * | 2023-02-10 | 2023-04-04 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
| CN115913824B (zh) * | 2023-02-10 | 2023-07-25 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105591873B (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105591873B (zh) | 一种虚拟机隔离方法和装置 | |
| US11671367B1 (en) | Methods and apparatus for improving load balancing in overlay networks | |
| US11546288B2 (en) | Techniques for managing software defined networking controller in-band communications in a data center network | |
| US10171357B2 (en) | Techniques for managing software defined networking controller in-band communications in a data center network | |
| CN105591982B (zh) | 一种报文传输的方法和装置 | |
| JP6034979B2 (ja) | パケット転送方法と装置及びデータセンターネットワーク | |
| EP2579544B1 (en) | Methods and apparatus for a scalable network with efficient link utilization | |
| CN106992917B (zh) | 报文转发方法和装置 | |
| US9294302B2 (en) | Non-fragmented IP packet tunneling in a network | |
| EP3641245B1 (en) | Service routing packet processing method and apparatus, and network system | |
| CN106209643B (zh) | 报文转发方法及装置 | |
| CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和系统 | |
| CN104579954B (zh) | 报文跨域转发方法、装置及通信设备 | |
| US11296985B2 (en) | Normalized lookup and forwarding for diverse virtual private networks | |
| CN104869013B (zh) | 一种基于sdn的网关配置方法及sdn控制器 | |
| US9900238B2 (en) | Overlay network-based original packet flow mapping apparatus and method therefor | |
| CN102238230A (zh) | 用于在云计算中卸载隧道数据包的方法和系统 | |
| US20220239629A1 (en) | Business service providing method and system, and remote acceleration gateway | |
| CN108390812B (zh) | 报文转发方法及装置 | |
| CN109246016A (zh) | 跨vxlan的报文处理方法和装置 | |
| US9998376B2 (en) | Control device, communication system, control method, and non-transitory recording medium | |
| CN107579932B (zh) | 一种数据传输方法、设备和存储介质 | |
| KR20160062688A (ko) | 오버레이 네트워크 기반에서의 오리지널 패킷 플로우 매핑 장치 및 그 방법 | |
| EP2930881A1 (en) | Method and system for transmitting a protocol data unit via a telecommunications network, program and computer program product | |
| Yang et al. | Openflow-based IPv6 rapid deployment mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |