CN106603550A - 一种网络隔离方法及装置 - Google Patents
一种网络隔离方法及装置 Download PDFInfo
- Publication number
- CN106603550A CN106603550A CN201611237273.3A CN201611237273A CN106603550A CN 106603550 A CN106603550 A CN 106603550A CN 201611237273 A CN201611237273 A CN 201611237273A CN 106603550 A CN106603550 A CN 106603550A
- Authority
- CN
- China
- Prior art keywords
- message
- network
- network access
- label information
- destination address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本发明提供一种网络隔离方法及装置,方法包括:第一网络接入设备接收物理服务器发送的第一报文,第一报文携带有标签信息;物理服务器包括多个业务网桥,不同的业务网桥通过物理服务器的物理网卡与第一网络接入设备连接,标签信息由第一报文对应的业务网桥添加;第一网络接入设备在标签信息与第一报文对应的目的地址相匹配时,确定目的地址对应的第二网络接入设备;第一网络接入设备将第一报文通过网络核心设备发送给第二网络接入设备,以使第二网络接入设备将第一报文发送给目的地址对应的物理服务器,其中第一网络接入设备以及第二网络接入设备都与网络核心设备连接。实现了网络隔离,减少了布线难度,降低了网络维护成本。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种网络隔离方法及装置。
背景技术
在一个复杂的云计算环境中,为了满足各种服务要求,网络承载着多种类型的数据流量,如虚机业务流量、虚机管理流量、物理机管理流量、存储流量等等,从安全及网络稳定方面考虑,要求网络根据重要程度、流量类型进行隔离。
为了解决流量隔离的问题,业界传统的做法,是构建多张物理网络,分别承担业务、管理、存储等功能。通过网络物理隔离的方式,从而为上层的云计算业务提供一个稳定、安全的下层网络环境。
为了实现各种业务流量隔离,在当前的云计算网络中,建有业务网、管理网、存储网三张物理网络,每张网络均相互独立,部署独立的网络核心层、汇聚接入层物理交换机,服务器接入如图1所示。通过专用物理硬件和安全协议在不同物理网络,实现相关业务流量的转发及隔离。
但是现有技术中,利用物理隔离的方法实现不同业务流量的转发及隔离存在建设管理成本高、布线复杂的问题,即现有技术中不能提供一种建设成本低,布线简单,且易于对隔离的每张网络进行管理的隔离方法。
发明内容
本发明提供一种网络隔离方法及装置,用于解决现有技术中不能提供一种建设成本低,布线简单,且易于对隔离的每张网络进行管理的隔离方法的问题。
本发明实施例提供一种网络隔离方法,所述方法包括:
第一网络接入设备接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
所述第一网络接入设备在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
本发明实施例中,通过第一网络接入设备在确定第一报文中的标签信息与第一报文对应的目的地址是否匹配,并在确定匹配后,确定第一报文中的目的地址对应的第二网络设备,并将所述第一报文通过网络核心设备发送给第二网络接入设备,也就是说,在本发明实施例中,由于第一报文中的标签是根据物理服务器的业务网桥确定的,不同业务网桥的业务类型不同,实现了不同业务网桥的报文之间不互通,进一步实现了网络隔离,且不同业务网桥共用同一个物理网卡,减少了布线难度,降低了网络维护成本。
进一步地,所述第一网络接入设备通过如下方式确定所述标签信息与所述第一报文对应的目的地址相匹配,包括:
所述第一网络接入设备根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
所述第一网络接入设备根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
本发明实施例中,第一网络接入设备根据发送第一报文的业务网桥对应的业务属性以及接收第一报文的业务网桥的业务属性来确定是否需要转发,实现不同业务属性的业务网桥不能互通。
进一步地,所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,包括:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
所述第一网络接入设备将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
所述第一网络接入设备将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
本发明实施例中,本发明实施例中,使用虚拟可扩展局域网vxlan,网络稳定性好,有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。
本发明还提供一种网络隔离方法,包括:
物理服务器根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
所述待发送报文对应的业务网桥将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
所述待发送报文对应的业务网桥将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
本发明实施例中,当物理服务器中的业务网桥确定需要发送报文时,在报文中增加业务网桥对应的标签信息,且不同业务网桥通过汇聚网桥和物理网卡发送给网络接入设备,减少了布线,并实现了不同类型的业务网桥之间不互通。
进一步地,所述方法还包括:
当所述物理服务器中的任意一个业务网桥在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
若所述业务网桥确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
本发明实施例中,在物理服务器中的任意一个业务网桥在接收到第二报文时,会根据第二报文的标签信息确定是否与业务网桥的业务类型匹配,若匹配,则转发,否则不转发,实现了不同类型的业务网桥之间不互通的效果。
本发明还提供一种网络隔离装置,包括:
接收单元,用于接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
确定单元,用于在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
发送单元,用于将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
本发明实施例中,通过第一网络接入设备在确定第一报文中的标签信息与第一报文对应的目的地址是否匹配,并在确定匹配后,确定第一报文中的目的地址对应的第二网络设备,并将所述第一报文通过网络核心设备发送给第二网络接入设备,也就是说,在本发明实施例中,由于第一报文中的标签是根据物理服务器的业务网桥确定的,不同业务网桥的业务类型不同,实现了不同业务网桥的报文之间不互通,实现了网络隔离,且不同业务网桥共用同一个物理网卡,减少了布线难度,降低了网络维护成本。
进一步地,所述确定单元,具体用于:
根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
进一步地,所述发送单元,具体用于:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
本发明实施例还提供一种网络隔离装置,包括:
业务网桥确定单元,用于根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
添加单元,用于将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
第一报文发送单元,用于将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
本发明实施例中,当物理服务器中的业务网桥确定需要发送报文时,在报文中增加业务网桥对应的标签信息,且不同业务网桥通过汇聚网桥和物理网卡发送给网络接入设备,减少了布线,并实现了不同类型的业务网桥之间不互通。
进一步地,所述装置还包括:
第二报文获取单元,用于在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
第二报文发送单元,用于若确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的现有技术中网络隔离系统的结构示意图;
图2为本发明实施例提供的一种网络隔离系统的结构示意图;
图3为本发明实施例提供的一种网络隔离系统的结构示意图;
图4为本发明实施例提供的一种物理服务器的结构示意图;
图5为本发明实施例提供的一种网络隔离系统的结构示意图;
图6为本发明实施例提供的一种物理服务器的结构示意图;
图7为本发明实施例提供的一种网络隔离装置的结构示意图;
图8为本发明实施例提供的一种网络隔离装置的结构示意图;
图9为本发明实施例提供的一种网络隔离方法的流程示意图;
图10为本发明实施例提供的一种网络隔离方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供一种网络隔离系统,如图2所示,包括:
网络接入设备101,物理服务器103,网络核心设备102。
在本发明实施例中,物理服务器103有多个,且多个物理服务器103可以通过一个网络接入设备101与网络核心设备102连接,如图2所示,三个物理服务器103与一个网络接入设备101连接,网络接入设备101与网络核心设备102连接。
可选的,在本发明实施例中,如图3所示,一个网络核心设备102还可以同时连接两个网络接入设备101,为了区别图3中的两个网络接入设备101的作用,将两个网络接入设备101分别设置为第一网络接入设备1011以及第二网络接入设备1012。
在图3中,第一网络接入设备1011以及第二网络接入设备1012通过网络核心设备103进行通信。
物理服务器103的内容结构如图4所示,包括物理网卡1031,汇聚网桥1032,业务网桥1033以及物理服务器103承载的虚拟服务器1034。
在本发明实施例中,可以根据网络的服务不同,确定有几种不同的网络之间相互隔离,从而可以确定业务网桥1033的数量。例如,在本发明实施例中,根据网络承载的业务不同,需要实现业务网、管理网以及存储网的隔离,所以在物理服务器103中,设置有3个业务网桥1033,不同的业务网桥1033的业务类型不同,即一个业务网桥1033的业务类型为处理业务,一个业务网桥1033的业务类型为管理业务,一个业务网桥1033的业务类型为存储业务。
可选的,在本发明实施例中,为了实现高可用,即在网络核心设备102出现故障时还可以保证正常通信,如图5所示,可以设置两个网络核心设备102,一个为第一网络核心设备1021,一个为第二网络核心设备1022。
在图5中,第一网络接入设备1011与第一网络核心设备1021以及第二网络核心设备1022都连接,第二网络接入设备1012与第一网络核心设备1021以及第二网络核心设备1022都连接,且第一网络接入设备1011与第二网络接入设备1012不连接,第一网络核心设备1021与第二网络核心设备1022之间不连接。
可选的,在本发明实施例中,在图6中,为了高可用,物理服务器103包括两个物理网卡1031,两个物理网卡1031分别连接第一网络接入设备1011以及第二网络接入设备1012。
可选的,在本发明实施例中,两个物理网卡1031通过Bond技术将两个物理网卡1031卡看起来是一个单独的以太网接口设备并具有相同的IP地址。
可选的,在本发明实施例中,两个物理网卡1031为万兆网卡,所以在本发明实施例中,可以为物理服务器103提供20G的网络接入带宽,与现有技术相比,网络性价比高。
在本发明实施例中,三个业务网桥1033一个负责虚拟服务器1034的业务处理,另外两个业务网桥1033分别进行物理机103的管理以及物理机103的存储。
可选的,在本发明实施例中,如图6所示,负责虚拟服务器1034的业务处理的业务网桥1033负责虚拟服务器1034的业务处理以及负责虚拟服务器1034的管理处理。
当负责虚拟服务器1034的业务处理的业务网桥1033接收到虚拟服务器1034的待发送报文时,为待发送报文添加标签信息。
在本发明实施例中,不同的业务网桥1033对应的标签信息不同,负责虚拟服务器1034的业务处理的业务网桥1033为虚拟服务器1034中传输的待发送报文的类型为业务处理,则业务网桥1033为该待发送报文添加tag100的标签信息;若待发送报文的类型为虚拟服务器1034的管理报文,则业务网桥1033为该待发送报文添加tag200。
而负责物理服务器103管理的业务网桥1033为管理的物理服务器103发送的待发送报文添加tag300;负责物理服务器103存储的业务网桥1033为与该业务网桥1033连接的物理服务器103发送的待发送报文添加tag400。
在每个不同业务网桥1033在将待传输报文添加标签信息后,发送给汇聚网桥1032,汇聚网桥1032与物理网卡1031连接。
两个物理网卡1031通过Bond技术将添加过标签信息的待传输报文发送给第一网络接入设备1011。
可选的,在本发明实施例中,将添加过标签信息的待传输报文作为第一报文发送给第一网络接入设备1011。
可选的,在本发明实施例中,第一网络接入设备1011、第二网络接入设备1012、第一网络核心设备1021、第二网络核心设备1022都是vxlan中的节点设备。vxlan(virtualExtensible LAN)虚拟可扩展局域网,是一种overlay的网络技术,使用MAC in UDP的方法进行封装,共50字节的封装报文头。
在本发明实施例中,当第一网络接入设备1011接收到第一报文后,确定第一报文中的标签信息,以及第一报文的目的地址。例如,第一报文的源地址是图6中的物理服务器1中的一个虚拟服务器1034,第一报文的目的地址是物理服务器4中的一个虚拟服务器1034,为了更好的描述这两个虚拟服务器1034,分别用源服务器以及目的服务器来表示,第一报文中的标签信息是图6中业务网桥1033标记的tag100,即与业务网桥1033连接的源服务器向图5中的物理服务器4中承载的目的服务器发送的报文。
可选的,第一网络接入设备1011保存了目的服务器与标签信息的对应关系,保存了标签信息与属性信息标签信息。例如,第一报文中的tag100的标签信息为tag100,目的服务器对应的标签信息为tag100,第一网络接入设备101是vxlan中的节点设备,所以需要转换为属性信息来确定第一报文中的源地址以及目的地址对应的是否为同一种属性信息。
第一网络接入设备101确定了第一报文中的标签信息对应的属性信息为第一属性信息,而第一报文中的目的地址对应的标签信息对应的属性信息为第二属性信息,且第一属性信息与第二属性信息相同,则第一网络接入设备101确定可以转发第一报文;若第一网络接入设备101确定了第一属性信息与第二属性信息不同,则丢弃该第一报文,不进行转发,有效的实现了只有在确定第一报文中源地址与目的地址对应的属性信息相同时才会进行报文转发,有效的实现了不同网络之间的隔离。
可选的,在本发明实施例中,第一属性信息以及第二属性信息指的是vxlan报文中的VNI标识信息,即不同的标签信息对应的VNI不同。在发明实施例中,在第一报文中添加VNI报头后,再进行传输。
在本发明实施例中,当第一网络接入设备101确定需要转发第一报文后,根据保存在第一网络接入设备101中的目的地址与网络接入设备101的对应关系,确定第一报文中目的服务器对应的网络接入设备101,可选的,在本发明实施例中,第一报文对应的网络接入设备101为第二网络接入设备1012。则第一网络接入设备101将封装了VNI报头的第一报文发送给第一网络核心设备1021,经第一网络核心设备1021转发给第二网络接入设备1012。
当然,可选的,由于第二网络核心设备1022与第一网络接入设备1011以及第二网络接入设备1012都连接,第一网络接入设备1011也可以将封装VNI报头的第一报文发送给第二网络核心设备1022,并由第二网络核心设备1022发送给第二网络接入设备1012。
第二网络接入设备1012在接收到第一报文后,根据第一报文中的目的服务器确定该目的服务器的端口信息,第二网络接入设备1012在确定端口信息后经端口将第一报文发送给对应的物理服务器103,物理服务器103根据第一报文中的目的服务器的目的地址与标签信息的对应关系,确定第一报文的目的服务器对应的业务网桥1033,并转发给对应的业务网桥1033,业务网桥1033再将第一报文转发给目的服务器。
本发明实施例中,当业务网桥1033接收到第一报文时,还需要确定第一报文中的标签信息与业务网桥1033是否匹配,例如,若第一报文中的标签信息是tag100,业务网桥1033的业务类型对应的标签信息为tag100,则认为第一报文中的标签信息与业务网桥1033匹配,否则则认为不匹配,不会将第一报文转发给业务网桥1033连接的虚拟服务器1034或者物理机103。
基于同样的构思,本发明实施例还提供一种网络隔离装置,如图7所示,包括:
接收单元701,用于接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
确定单元702,用于在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
发送单元703,用于将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
进一步地,所述确定单元702,具体用于:
根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
进一步地,所述发送单元703,具体用于:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
基于同样的构思,本发明实施例还提供一种网络隔离装置,如图8所示,包括:
业务网桥确定单元801,用于根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
添加单元802,用于将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
第一报文发送单元803,用于将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
进一步地,所述装置还包括:
第二报文获取单元804,用于在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
第二报文发送单元805,用于若确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
基于同样的构思,本发明还提供一种网络隔离方法,如图9所示,包括:
步骤901,第一网络接入设备接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
步骤902,所述第一网络接入设备在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
步骤903,所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
进一步地,所述第一网络接入设备通过如下方式确定所述标签信息与所述第一报文对应的目的地址相匹配,包括:
所述第一网络接入设备根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
所述第一网络接入设备根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
进一步地,所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,包括:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
所述第一网络接入设备将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
所述第一网络接入设备将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
基于同样的构思,本发明还提供一种网络隔离方法,如图10所示,包括:
步骤1001,物理服务器根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
步骤1002,所述待发送报文对应的业务网桥将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
步骤1003,所述待发送报文对应的业务网桥将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
进一步地,所述方法还包括:
当所述物理服务器中的任意一个业务网桥在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
若所述业务网桥确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络隔离方法,其特征在于,所述方法包括:
第一网络接入设备接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
所述第一网络接入设备在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
2.根据权利要求1所述的方法,其特征在于,所述第一网络接入设备通过如下方式确定所述标签信息与所述第一报文对应的目的地址相匹配,包括:
所述第一网络接入设备根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
所述第一网络接入设备根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
3.根据权利要求2所述的方法,其特征在于,所述第一网络接入设备将所述第一报文通过网络核心设备发送给所述第二网络接入设备,包括:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
所述第一网络接入设备将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
所述第一网络接入设备将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
4.一种网络隔离方法,其特征在于,所述方法包括:
物理服务器根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
所述待发送报文对应的业务网桥将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
所述待发送报文对应的业务网桥将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当所述物理服务器中的任意一个业务网桥在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
若所述业务网桥确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
6.一种网络隔离装置,其特征在于,包括:
接收单元,用于接收物理服务器发送的第一报文,所述第一报文携带有标签信息;所述物理服务器包括多个业务网桥,不同的业务网桥通过所述物理服务器的物理网卡与所述第一网络接入设备连接,所述标签信息由所述第一报文对应的业务网桥添加;
确定单元,用于在所述标签信息与所述第一报文对应的目的地址相匹配时,确定所述目的地址对应的第二网络接入设备;
发送单元,用于将所述第一报文通过网络核心设备发送给所述第二网络接入设备,以使所述第二网络接入设备将所述第一报文发送给所述目的地址对应的物理服务器,其中所述第一网络接入设备以及第二网络接入设备都与所述网络核心设备连接。
7.根据权利要求6所述的装置,其特征在于,所述确定单元,具体用于:
根据所述标签信息以及所述标签信息与业务属性的对应关系确定与所述标签信息对应的第一业务属性;
根据所述目的地址以及所述目的地址与业务属性的对应关系确定所述目的地址对应的第二业务属性;
若所述第一业务属性与所述第二业务属性一致,则确定所述标签信息与所述第一报文对应的目的地址相匹配。
8.根据权利要求7所述的装置,其特征在于,所述发送单元,具体用于:
所述网络核心设备为虚拟可扩展局域网vxlan的节点设备;
将所述第一业务属性和所述第二网络接入设备的标识信息添加到所述第一报文的报头,得到封装后的第一报文;
将所述封装后的第一报文通过网络核心设备发送给所述第二网络接入设备。
9.一种网络隔离装置,其特征在于,包括:
业务网桥确定单元,用于根据待发送报文的业务类型确定所述待发送报文对应的业务网桥,所述物理服务器包括多个业务网桥,不同的业务网桥依次通过所述物理服务器的汇聚网桥和物理网卡,与网络接入设备连接;
添加单元,用于将所述待发送报文添加标签信息,得到第一报文,其中所述标签信息是根据所述业务网桥的业务类型确定的;
第一报文发送单元,用于将所述第一报文依次通过所述汇聚网桥和所述物理网卡发送给所述网络接入设备。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二报文获取单元,用于在接收到第二报文后,获取所述第二报文中的标签信息以及所述第二报文对应的目的地址;
第二报文发送单元,用于若确定所述第二报文中的标签信息与所述业务网桥的业务类型匹配时,则将所述第二报文发送给所述第二报文对应的目的地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611237273.3A CN106603550B (zh) | 2016-12-28 | 2016-12-28 | 一种网络隔离方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611237273.3A CN106603550B (zh) | 2016-12-28 | 2016-12-28 | 一种网络隔离方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106603550A true CN106603550A (zh) | 2017-04-26 |
| CN106603550B CN106603550B (zh) | 2019-08-13 |
Family
ID=58604686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611237273.3A Active CN106603550B (zh) | 2016-12-28 | 2016-12-28 | 一种网络隔离方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603550B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259350A (zh) * | 2017-10-24 | 2018-07-06 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN108282462A (zh) * | 2017-12-25 | 2018-07-13 | 曙光信息产业(北京)有限公司 | 一种隔离业务网和管理网的装置 |
| CN110086647A (zh) * | 2019-03-12 | 2019-08-02 | 国网辽宁省电力有限公司信息通信分公司 | 一种大数据信息中心网络架构方法 |
| CN113132435A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种存储、业务网分离的分布式训练网络系统及通信方法 |
| CN113132141A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种存储、业务网分离的分布式训练高效通信网络、方法 |
| CN113132138A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式训练网络系统及通信方法 |
| CN113132145A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种管理、训练网分离的分布式训练网络系统及通信方法 |
| CN113132442A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式存储网络系统及通信方法 |
| CN114024725A (zh) * | 2021-10-25 | 2022-02-08 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120166637A1 (en) * | 2006-05-25 | 2012-06-28 | Cisco Technology, Inc. | Method, device and medium for determining operations performed on a packet |
| CN104104513A (zh) * | 2014-07-22 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种云端多租户数据存储安全隔离方法 |
| WO2015149253A1 (zh) * | 2014-03-31 | 2015-10-08 | 华为技术有限公司 | 数据中心的虚拟网络管理方法及数据中心系统 |
| CN105939352A (zh) * | 2016-06-03 | 2016-09-14 | 汉柏科技有限公司 | 基于快转表的租户隔离方法和装置 |
| CN106209741A (zh) * | 2015-05-06 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 一种虚拟主机及隔离方法、资源访问请求处理方法及装置 |
-
2016
- 2016-12-28 CN CN201611237273.3A patent/CN106603550B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120166637A1 (en) * | 2006-05-25 | 2012-06-28 | Cisco Technology, Inc. | Method, device and medium for determining operations performed on a packet |
| WO2015149253A1 (zh) * | 2014-03-31 | 2015-10-08 | 华为技术有限公司 | 数据中心的虚拟网络管理方法及数据中心系统 |
| CN104104513A (zh) * | 2014-07-22 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种云端多租户数据存储安全隔离方法 |
| CN106209741A (zh) * | 2015-05-06 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 一种虚拟主机及隔离方法、资源访问请求处理方法及装置 |
| CN105939352A (zh) * | 2016-06-03 | 2016-09-14 | 汉柏科技有限公司 | 基于快转表的租户隔离方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 池生金: "多网隔离虚拟化云平台的设计与实现", 《中国优秀硕士学位论文全文库》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259350A (zh) * | 2017-10-24 | 2018-07-06 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN108259350B (zh) * | 2017-10-24 | 2021-02-26 | 新华三技术有限公司 | 一种报文传输方法、装置及机器可读存储介质 |
| CN108282462A (zh) * | 2017-12-25 | 2018-07-13 | 曙光信息产业(北京)有限公司 | 一种隔离业务网和管理网的装置 |
| CN108282462B (zh) * | 2017-12-25 | 2021-08-31 | 中科曙光信息产业成都有限公司 | 一种隔离业务网和管理网的装置 |
| CN110086647A (zh) * | 2019-03-12 | 2019-08-02 | 国网辽宁省电力有限公司信息通信分公司 | 一种大数据信息中心网络架构方法 |
| CN113132442A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式存储网络系统及通信方法 |
| CN113132138A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式训练网络系统及通信方法 |
| CN113132145A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种管理、训练网分离的分布式训练网络系统及通信方法 |
| CN113132141A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种存储、业务网分离的分布式训练高效通信网络、方法 |
| CN113132435A (zh) * | 2019-12-31 | 2021-07-16 | 深圳致星科技有限公司 | 一种存储、业务网分离的分布式训练网络系统及通信方法 |
| CN113132442B (zh) * | 2019-12-31 | 2023-02-21 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式存储网络系统及通信方法 |
| CN113132138B (zh) * | 2019-12-31 | 2023-02-28 | 深圳致星科技有限公司 | 一种基于虚拟网络的分布式训练网络系统及通信方法 |
| CN113132145B (zh) * | 2019-12-31 | 2023-04-11 | 深圳致星科技有限公司 | 一种管理、训练网分离的分布式训练网络系统及通信方法 |
| CN113132435B (zh) * | 2019-12-31 | 2023-05-23 | 深圳致星科技有限公司 | 一种存储、业务网分离的分布式训练网络系统及通信方法 |
| CN114024725A (zh) * | 2021-10-25 | 2022-02-08 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
| CN114024725B (zh) * | 2021-10-25 | 2023-06-20 | 全球能源互联网研究院有限公司南京分公司 | 一种容器间通信方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106603550B (zh) | 2019-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603550A (zh) | 一种网络隔离方法及装置 | |
| CN109660443B (zh) | 基于sdn的物理设备与虚拟网络通信方法和系统 | |
| US9154330B2 (en) | Method and device of link aggregation and method and system for transceiving MAC frames | |
| CN104506408B (zh) | 基于sdn的数据传输的方法及装置 | |
| CN104618194B (zh) | 软件定义网络报文监控方法和sdn控制器、交换设备 | |
| US20130107709A1 (en) | Distributed Chassis Architecture Having Integrated Service Appliances | |
| CN106559325A (zh) | 路径检测方法和装置 | |
| CN105099898B (zh) | 一种pppoe报文转发方法以及bras服务器 | |
| US9900238B2 (en) | Overlay network-based original packet flow mapping apparatus and method therefor | |
| CN105681198B (zh) | 一种业务链处理方法、设备及系统 | |
| CN110519075A (zh) | 基于sdn的物理主机与虚拟云主机的通信系统及方法 | |
| CN106559302A (zh) | 单播隧道建立方法、装置和系统 | |
| CN109617995A (zh) | 对租户集群vpc内部容器的管理系统、方法及电子设备 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN108512755B (zh) | 一种路由信息的学习方法及装置 | |
| CN106341333B (zh) | 应用于vxlan中的丢包定位方法和装置 | |
| CN107483279A (zh) | 一种基于以太网侦的本地批量操作网络设备的方法 | |
| CN105635335B (zh) | 社会资源接入方法、装置及系统 | |
| CN107579925A (zh) | 报文转发方法及装置 | |
| CN105812221B (zh) | 虚拟可扩展本地区域网络中数据传输的设备和方法 | |
| CN104184637B (zh) | 综采工作面数据传输系统及其数据传输方法 | |
| CN105933235B (zh) | 数据通信方法及装置 | |
| CN108093041A (zh) | 单通道vdi代理服务系统及实现方法 | |
| CN101645895A (zh) | 一种实现隧道安全的方法和设备 | |
| CN103580979B (zh) | 逻辑通道的建立方法及系统、边缘虚拟桥接站点及网桥 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |