CN107147574A - 基于分布式虚拟路由器的报文转发方法和系统 - Google Patents

基于分布式虚拟路由器的报文转发方法和系统 Download PDF

Info

Publication number
CN107147574A
CN107147574A CN201610116243.0A CN201610116243A CN107147574A CN 107147574 A CN107147574 A CN 107147574A CN 201610116243 A CN201610116243 A CN 201610116243A CN 107147574 A CN107147574 A CN 107147574A
Authority
CN
China
Prior art keywords
main frame
message
main side
distributed virtual
interchanger
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610116243.0A
Other languages
English (en)
Other versions
CN107147574B (zh
Inventor
王晓成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Electronic Technology Co Ltd
Original Assignee
Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Electronic Technology Co Ltd filed Critical Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority to CN201610116243.0A priority Critical patent/CN107147574B/zh
Publication of CN107147574A publication Critical patent/CN107147574A/zh
Application granted granted Critical
Publication of CN107147574B publication Critical patent/CN107147574B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于分布式虚拟路由器的报文转发方法和系统,其方法包括:主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由第二交换机对报文进行标记后转发报文至对端主机;对端主机的接收路由器接收主端主机转发的报文并经对端主机的第一交换机根据标记传送报文至对端主机的分布式虚拟路由器;对端主机的分布式虚拟路由器创建报文对应的会话表,并经对端主机的第一交换机传送报文至对端主机的虚拟机;对端主机将报文对应的响应报文转发至主端主机,响应报文流经对端主机的分布式虚拟路由器和主端主机的分布式虚拟路由器。实现了通过分布式虚拟路由器对报文进行有状态转发,提高网络信息传递的安全性。

Description

基于分布式虚拟路由器的报文转发方法和系统
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于分布式虚拟路由器的报文转发方法和系统。
背景技术
在现代网络信息传递过程中,路由器是互联网络的枢纽,是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径发送网络信号。
传统的集中式路由器在进行转发时,经常会出现“发卡弯路”现象,对网络信息传递的稳定性造成不良影响。为解决传统的集中式路由器“发卡弯路”现象,引入分布式虚拟路由器,即不同主机部署相同的分布式虚拟路由器,使本主机内流量只经过本机路由器,从而避免“发卡弯路”。
但是,在传统分布式虚拟路由器的主机之间进行网络信息传递时,不同主机的VM(Virtual Machine,虚拟机)间在不同子进行网跨主机通信,发送端报文只经过主端主机DVR(Distributed Virtual Router,分布式虚拟路由器),不经过对端主机的DVR,使报文来回路径不一致,导致DVR上无法记录整个流的过程,从而无法实现报文的有状态转发,进而无法实现ALG(Application Layer Gateway,应用层网关)、ACL(Access Control List,访问控制列表)等操作,对网络信息传递的安全性造成影响。
发明内容
本发明的主要目的在于提出一种基于分布式虚拟路由器的报文转发方法和系统,旨在实现通过分布式虚拟路由器对报文进行有状态转发,进而提高网络信息传递的安全性。
为实现上述目的,本发明提供一种基于分布式虚拟路由器的报文转发方法,包括:
主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机;
所述对端主机的接收路由器接收所述主端主机转发的报文并发送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器;
所述对端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机的第一交换机;
所述对端主机的第一交换机传送所述报文至所述对端主机的虚拟机;
所述对端主机将所述报文对应的响应报文转发至所述主端主机,所述响应报文流经所述对端主机的分布式虚拟路由器和所述主端主机的分布式虚拟路由器。
优选地,所述主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机的步骤包括:
所述主端主机的虚拟机对所述报文进行封装,传送至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述报文至所述主端主机的分布式虚拟路由器;
所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机;
所述主端主机的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机。
优选地,所述对端主机将所述报文对应的响应报文转发至所述主端主机的步骤包括:
所述对端主机的虚拟机对所述响应报文进行封装,传送至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述响应报文至所述对端主机的分布式虚拟路由器;
所述对端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机的第二交换机;
所述对端主机的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机;
所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器;
所述主端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机的第一交换机;
所述主端主机的第一交换机传送所述响应报文至所述主端主机的虚拟机。
优选地,所述对端主机的接收路由器接收所述主端主机转发的报文并传送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器的步骤包括:
所述对端主机的接收路由器接收所述主端主机转发的报文,解析所述隧道封装;
所述对端主机的接收路由器识别所述报文是否具有所述标记;
若所述所述报文具有所述标记,则所述对端主机的接收路由器传送所述报文至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述报文至所述对端主机的分布式虚拟路由器;
所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器的步骤包括:
所述主端主机的接收路由器接收所述对端主机转发的响应报文,解析所述隧道封装;
所述主端主机的接收路由器识别所述响应报文是否具有所述标记;
若所述响应报文具有所述标记,则所述主端主机的接收路由器传送所述响应报文至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述响应报文至所述主端主机的分布式虚拟路由器。
优选地,所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的步骤包括:
所述主端主机的分布式虚拟路由器接收所述报文;
所述主端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;
若不存在,则所述主端主机的分布式虚拟路由器创建所述报文对应的会话表;
所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的步骤包括:
所述对端主机的分布式虚拟路由器接收所述报文;
所述对端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;
若不存在,则所述对端主机的分布式虚拟路由器创建所述报文对应的会话表。
本发明还提出一种基于分布式虚拟路由器的报文转发系统,包括:
主端主机,其中所述主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机;
对端主机,其中所述对端主机的接收路由器接收所述主端主机转发的报文并发送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器;所述对端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机的第一交换机;所述对端主机的第一交换机传送所述报文至所述对端主机的虚拟机;所述对端主机将所述报文对应的响应报文转发至所述主端主机,所述响应报文流经所述对端主机的分布式虚拟路由器和所述主端主机的的分布式虚拟路由器。
优选地,所述主端主机中,所述主端主机的虚拟机对所述报文进行封装,传送至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述报文至所述主端主机的分布式虚拟路由器;所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机;所述主端主机的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机。
优选地,所述对端主机中,所述对端主机的虚拟机对所述响应报文进行封装,传送至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述响应报文至所述对端主机的分布式虚拟路由器;所述对端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机的第二交换机;所述对端主机的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机;
所述主端主机中,所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器;所述主端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机的第一交换机;所述主端主机的第一交换机传送所述响应报文至所述主端主机的虚拟机。
优选地,所述对端主机中,所述对端主机的接收路由器接收所述主端主机转发的报文,解析所述隧道封装;所述对端主机的接收路由器识别所述报文是否具有所述标记;若所述所述报文具有所述标记,则所述对端主机的接收路由器传送所述报文至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述报文至所述对端主机的分布式虚拟路由器;
所述主端主机中,所述主端主机的接收路由器接收所述对端主机转发的响应报文,解析所述隧道封装;所述主端主机的接收路由器识别所述响应报文是否具有所述标记;若所述响应报文具有所述标记,则所述主端主机的接收路由器传送所述响应报文至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述响应报文至所述主端主机的分布式虚拟路由器。
优选地,所述主端主机中,所述主端主机的分布式虚拟路由器接收所述报文;所述主端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述主端主机的分布式虚拟路由器创建所述报文对应的会话表;
所述对端主机中,所述对端主机的分布式虚拟路由器接收所述报文;所述对端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述对端主机的分布式虚拟路由器创建所述报文对应的会话表。
本发明公开了一种基于分布式虚拟路由器的报文转发方法和系统,通过主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由第二交换机对报文进行标记后转发报文至对端主机;对端主机的接收路由器接收主端主机转发的报文并经对端主机的第一交换机根据标记传送报文至对端主机的分布式虚拟路由器;对端主机的分布式虚拟路由器创建报文对应的会话表,并经对端主机的第一交换机传送报文至对端主机的虚拟机;对端主机将报文对应的响应报文转发至主端主机,响应报文流经对端主机的分布式虚拟路由器和主端主机的分布式虚拟路由器,使报文的转发过程都经过了分布式虚拟路由器,得到了完整的流量回路。
由此,解决了现有技术中无法对报文进行有状态转发的问题。实现了通过分布式虚拟路由器对报文进行有状态转发,进而提高网络信息传递的安全性。
附图说明
图1是本发明基于分布式虚拟路由器的报文转发方法第一实施例的流程示意图;
图2是本发明实施例中所述主端主机的分布式虚拟路由器对报文进行转发,由主端主机的交换机对所述报文进行标记后转发所述报文至对端主机的一种流程示意图;
图3是本发明实施例中所述对端主机将所述报文对应的响应报文转发至所述主端主机的一种流程示意图;
图4是本发明实施例中所述对端主机的接收路由器接收所述主端主机转发的报文并传送至所述对端主机的交换机,由所述对端主机的交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器的一种流程示意图;
图5是本发明实施例中所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的交换机,由所述主端主机的交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器的一种流程示意图;
图6是本发明实施例中所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的交换机的一种流程示意图;
图7是本发明实施例中所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的交换机的一种流程示意图;
图8是本发明基于分布式虚拟路由器的报文转发系统第一实施例的结构示意图;
图9是本发明主端主机和对端主机进行报文转发的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过主端主机的分布式虚拟路由器对报文进行转发,由主端主机的交换机对报文标记后转发报文至对端主机;对端主机的接收路由器接收主端主机转发的报文并发送至对端主机的交换机,由对端主机的交换机根据标记传送报文至对端主机的分布式虚拟路由器;对端主机的分布式虚拟路由器创建会话表,并传送报文至对端主机的交换机;对端主机的交换机传送报文至对端主机的虚拟机;对端主机将报文对应的响应报文转发至主端主机,流经对端主机和主端主机的分布式虚拟路由器,由此,解决了现有技术中无法对报文进行有状态转发的问题,实现了通过分布式虚拟路由器对报文进行有状态转发,进而提高网络信息传递的安全性。
如图1所示,本发明第一实施例提出一种基于分布式虚拟路由器的报文转发方法,包括:
步骤S1,主端主机的分布式路由器分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机。
具体地,本实施例方案主要应用于网络通信系统中,当然也不限于其他能够实现信息传递的通信设备。本实施例以网络通信系统进行举例。
其中,网络通信系统中的主端主机的虚拟机对报文进行封装,传送至主端主机的第二交换机,由主端主机的第二交换机传送报文至主端主机的分布式虚拟路由器。
其中,网络通信系统中的主端主机为信息的主端,可以用于将需要转发的信息,以报文的形式转发至对端主机。
其中,主端主机设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,主端主机可以设置有VM(Virtual Machine,虚拟机)、DVS1(Distributed Virtual Switch,分布式虚拟交换机)、DVS2、接收路由器和DVR(Distributed Virtual Router,分布式虚拟路由器)。
其中,主端主机的VM封装报文,例如:源IP地址为10.1.1.10,源MAC(MediaAccess Control,介质访问控制层)地址为主端主机的VM的网卡MAC地址,目的地址IP为10.20.1.22,目的MAC地址为对端主机DVR的MAC地址;最后将上述封装的报文经网卡传送至主端主机的DVS1。
其中,主端主机的DVS1接收到主端主机的VM传送的报文后,对保存于DVS1的FDB表(Forwarding Data Base,MAC地址转发表)进行查询,若DVS接收到的上述报文为非过滤性报文,则对上述报文进行传送,传送至主端主机的DVR。FDB表用于维护交换机从它的所有端口接收MAC地址信息后所形成MAC地址表,当DVS1收到报文时,它将根据自己的FDB表来决定是将该报文进行过滤或者转发,同时为防止DVR在DVS1上的FDB表中出现接口变化,DVR与DVS1连接时会下发静态的FDB表。
在网络通信系统中的主端主机的虚拟机发送报文,传送至主端主机的第一交换机,由主端主机的第一交换机传送报文至主端主机的分布式虚拟路由器后,主端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机的第二交换机。
其中,主端主机的DVR在接收到主端主机的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT(NetworkAddress Translation,网络地址转换)信息、ALG(访问控制列表)信息等。
其中,若主端主机的DVR检测到不存在上述报文对应的SESSION表,则主端主机的DVR创建上述报文对应的SESSION表,该SESSION表保存有与上述报文对应的五元组信息、ALG信息和ACL信息等,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以通过直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机的DVS2,同时更新相关数据。
其中,若主端主机的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机的DVS2,同时更新相关数据。
在网络通信系统中的主端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机的第二交换机后,主端主机的第二交换机对报文进行隧道封装,并标记,通过预设隧道转发至对端主机。
其中,主端主机的DVS2接收到上述报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述报文为非过滤性报文,则对上述报文进行隧道封装,并在上述报文的头部打标记,例如,可以在上述报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
步骤S2,所述对端主机的接收路由器接收所述主端主机转发的报文并发送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器。
具体地,在网络通信系统中的主端主机的分布式虚拟路由器对报文进行转发,由主端主机的第二交换机对报文进行标记后转发报文至对端主机后,网络通信系统中的对端主机的接收路由器接收主端主机转发的报文并发送至对端主机的第一交换机,由对端主机的第一交换机根据标记传送报文至对端主机的分布式虚拟路由器。
其中,对端主机设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,对端主机可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,对端主机的接收路由器接收到主端主机的DVS2传送的报文后,对该报文进行隧道封装解析,再进行识别,若识别上述报文具有上述标记,则传送至对端主机的DVS1中,再由对端主机的DVS1传送至对端主机的DVR;若识别上述报文不具有上述标记,则不进行传送。
步骤S3,所述对端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机的第一交换机。
具体地,在网络通信系统中的对端主机的接收路由器接收主端主机转发的报文并发送至对端主机的第一交换机,由对端主机的第一交换机根据标记传送报文至对端主机的分布式虚拟路由器后,对端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至对端主机的第一交换机。
其中,对端主机的DVR在接收到对端主机的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表。
其中,若对端主机的DVR检测到不存在上述报文对应的SESSION表,则对端主机的DVR创建上述报文对应的SESSION表。
其中,若对端主机的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至对端主机的DVS1,同时更新相关数据。
步骤S4,所述对端主机的第一交换机传送所述报文至所述对端主机的虚拟机。
具体地,在网络通信系统中的对端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至对端主机的第一交换机后,对端主机的第一交换机传送报文至对端主机的虚拟机。
其中,对端主机的DVS1在接收到对端主机的DVR传送的报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述报文为非过滤性报文,则将报文传送至对端主机的VM。
步骤S5,所述对端主机将所述报文对应的响应报文转发至所述主端主机,所述响应报文流经所述对端主机的分布式虚拟路由器和所述主端主机的分布式虚拟路由器。
具体地,在网络通信系统中的对端主机的交换机传送报文至对端主机的虚拟机后,对端主机将报文对应的响应报文转发至主端主机。
其中,对端主机的VM在接收到报文后,对端主机的VM发送响应报文,传送至对端主机的DVS1,由对端主机的DVS1传送响应报文至对端主机的DVR;然后对端主机的DVR根据SESSION表,传送响应报文至对端主机的DVS2;然后对端主机的DVS2对响应报文进行隧道封装,并标记,通过预设隧道转发至主端主机;主端主机中,首先主端主机的路由器接收对端主机转发的响应报文,进行隧道解析并识别响应报文是否具有标记,若响应报文具有标记,则由主端主机的DVS2传送响应报文至主端主机的DVR;然后主端主机的DVR根据SESSION表,传送响应报文至主端主机的DVS1;最后主端主机DVS1传送响应报文至主端主机的VM。
其中,如图9所示,假设HOST1的VM与HOST2的VM进行通信,在具体实现时,可以采用如下方法:
1.HOST1的VM封装报文,设源IP地址为10.1.1.10,源MAC地址为HOST1的VM网卡MAC地址,目的IP地址为10.20.1.22,目的MAC地址为HOST2的DVR网卡MAC地址,经HOST1的VM的网卡将报文传送至HOST1的DVS1;
2.HOST1的DVS1接收到报文后,查FDB表,将报文传送至HOST1的DVR;
3.HOST1的DVR根据五元组查SESSION表,若报文无对应的SESION表,则建立对应的SESSION表,经10.20.1.1/24对应接口将报文传送至HOST1的DVS2,当有后续报文时,直接查找对应的SESSION表,更新相关数据,实现快速将报文传送至HOST1的DVS2;
4.HOST1的DVS2接收到报文后,查FDB表,在报文头部打标记,经VXLAN隧道(不限于VXLAN隧道)将报文转发至HOST2的接收路由器;
5.HOST2的接收路由器接收所述报文,传送报文至HOST2的DVS1中,HOST2的接收DVS1接收到报文后,由于报文已打标记,传送至HOST2的DVR1进行SESSION表创建返回至HOST2的DVS1,再由HOST2的DVS1经查FDB表后,将报文传送至HOST2的VM;
6.HOST2的VM2接收到报文后,进行响应报文操作,封装报文,源IP地址为10.20.1.22,源MAC地址为HOST2的VM网卡MAC地址,目的IP地址为10.1.1.10,目的MAC地址为HOST1的DVR的MAC地址,经HOST2的VM的网卡将报文传送至HOST2的DVS1;
7.HOST2的DVS1接收到报文后,查FDB表,将报文传送至HOST2的DVR;
8.HOST2的DVR接收报文到报文后,查SESSION表(步骤5中创建的),更新SESSION表,根据SESSION表传送至HOST2的DVS2;
9.HOST2的DVS2接收到报文后,查FDB表,在报文头部打标记,经VXLAN隧道(不限于VXLAN隧道)将报文转发至HOST1的接收路由器;
10.HOST1的接收路由器接收响应报文,并传送至HOST1的DVS1,HOST1的DVS1接收到报文后,由于报文已打标记,传送至HOST1的DVR更新SESSION表,SESSION表更新完成后将报文传送至HOST1的DVS1;
11.HOST1的DVS1接收到报文后,查FDB表,将报文传送至VM。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,通过标记报文的方式,将报文从DVS向DVR引流,使来回转发报文都经过DVR,可以保证DVR上报文来回路径一致,使DVR上有完整的来回流量,因此,可以实现DVR的有状态转发,进而可以实现ALG、ACL等功能,即实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图2,为本发明具体实施例中所述主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机的一种流程示意图。
作为一种实施方式,基于第一实施例中的方法的实施,上述步骤S1包括:
步骤S11,所述主端主机的虚拟机对所述报文进行封装,传送至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述报文至所述主端主机的分布式虚拟路由器。
具体地,网络通信系统中的主端主机的虚拟机对报文进行封装,传送至主端主机的第一交换机,由主端主机的第一交换机传送报文至主端主机的分布式虚拟路由器。
其中,网络通信系统中的主端主机为信息的主端,可以用于将需要转发的信息,以报文的形式转发至对端主机。
其中,主端主机设置有虚拟机、第一交换机、第二交换机、路由器和分布式虚拟路由器,在具体实现时,主端主机可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,主端主机的VM封装发送报文,例如:源IP地址为10.1.1.10,源MAC(Media Access Control,介质访问控制层)地址为主端主机的VM的网卡MAC地址,目的地址IP为10.20.1.22,目的MAC地址为对端主机DVR的MAC地址;最后将上述封装的报文经网卡传送至主端主机的DVS1。
其中,主端主机的DVS1接收到主端主机的VM传送的报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述报文为非过滤性报文,则对上述报文进行传送,传送至主端主机的DVR。FDB表用于维护交换机从它的所有端口接收MAC地址信息后所形成MAC地址表,当DVS1收到报文时,它将根据自己的FDB表来决定是将该报文进行过滤或者转发,同时为防止DVR在DVS1上的FDB表中出现接口变化,DVR与DVS1连接时会下发静态的FDB表。
步骤S12,所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机。
具体地,在网络通信系统中的主端主机的虚拟机对报文进行封装,传送至主端主机的第一交换机,由主端主机的第一交换机传送报文至主端主机的分布式虚拟路由器后,主端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机的第二交换机。
其中,主端主机的DVR在接收到主端主机的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
其中,若主端主机的DVR检测到不存在上述报文对应的SESSION表,则主端主机的DVR创建上述报文对应的SESSION表,该SESSION表保存有与上述报文对应的五元组信息、ALG信息和ACL信息等,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以通过直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机的DVS2,同时更新相关数据。
其中,若主端主机的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机的DVS2,同时更新相关数据。
步骤S13,所述主端主机的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机。
具体地,在网络通信系统中的主端主机的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机的第二交换机后,主端主机的第二交换机对报文进行隧道封装,并进行标记,通过隧道转发至对端主机。
其中,主端主机的DVS2接收到上述报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述报文为非过滤性报文,则对上述报文进行隧道封装,并在上述报文的头部打标记,例如,可以在上述报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图3,为本发明具体实施例中对端主机将所述报文对应的响应报文转发至所述主端主机的一种流程示意图。
作为一种实施方式,基于第一实施例中的方法的实施,上述步骤S5包括:
步骤S51,所述对端主机的虚拟机对所述响应报文进行封装,传送至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述响应报文至所述对端主机的分布式虚拟路由器。
具体地,在网络通信系统中的对端主机的第一交换机传送响应报文至对端主机的虚拟机后,对端主机的虚拟机对响应报文进行封装,传送至对端主机的第一交换机,由对端主机的第一交换机传送响应报文至对端主机的分布式虚拟路由器。
其中,对端主机设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,对端主机可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,对端主机的VM可以首先对响应报文进行封装,然后将上述封装的响应报文经网卡传送至对端主机的DVS1。
其中,对端主机的DVS1接收到对端主机的VM传送的响应报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述响应报文为非过滤性报文,则对上述响应报文进行传送,传送至对端主机的DVR。
步骤S52,所述对端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机的第二交换机。
具体地,在网络通信系统中的对端主机的虚拟机对响应报文进行封装,传送至对端主机的第一交换机,由对端主机的第一交换机传送响应报文至对端主机的分布式虚拟路由器后,对端主机的分布式虚拟路由器根据会话表,传送响应报文至对端主机的第二交换机。
其中,对端主机的DVR在接收到对端主机的DVS1传送的响应报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述响应报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
其中,若对端主机的DVR检测到存在上述响应报文对应的SESSION表,则对端主机的DVR直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至对端主机的DVS2,同时更新相关数据。
步骤S53,所述对端主机的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机。
具体地,在网络通信系统中的对端主机的分布式虚拟路由器根据会话表,传送响应报文至对端主机的第二交换机后,对端主机的第二交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机。
其中,对端主机的DVS2接收到上述响应报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述响应报文为非过滤性报文,则对上述报文进行隧道封装,并在上述响应报文的头部打标记,例如,可以在上述响应报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
步骤S54,所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器。
具体地,在网络通信系统中的对端主机的交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机后,网络通信系统中的主端主机的接收路由器接收对端主机转发的响应报文并传送至主端主机的第一交换机,由主端主机的第一交换机根据标记传送响应报文至主端主机的分布式虚拟路由器。
其中,主端主机设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,主端主机可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,主端主机的路由器接收到对端主机的DVS2传送的响应报文后,先对该响应报文进行隧道封装解析,再对该响应报文进行识别,若识别上述响应报文具有上述标记,则传送至主端主机的DVS1,由主端主机的DVS1传送至主端主机的DVR中;若识别上述响应报文不具有上述标记,则不进行传送。
步骤S55,所述主端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机的第一交换机。
具体地,在网络通信系统中的主端主机的接收路由器接收对端主机转发的响应报文并传送至主端主机的第一交换机,由主端主机的第一交换机根据标记传送响应报文至主端主机的分布式虚拟路由器后,主端主机的分布式虚拟路由器根据会话表,传送响应报文至主端主机的第一交换机。
其中,主端主机的DVR在接收到主端主机的DVS1传送的响应报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述响应报文是否存在对应的SESSION表。
其中,若对端主机的DVR检测到不存在上述响应报文对应的SESSION表,则主端主机控制主端主机的DVR直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机的DVS1,同时更新相关数据。
步骤S56,所述主端主机的第一交换机传送所述响应报文至所述主端主机的虚拟机。
具体地,在网络通信系统中的主端主机的分布式虚拟路由器根据会话表,传送响应报文至主端主机的第一交换机后,主端主机的第一交换机传送响应报文至主端主机的虚拟机。
其中,主端主机的DVS1在接收到主端主机的DVR传送的响应报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述响应报文为非过滤性报文,则将响应报文传送至主端主机的VM。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图4,为本发明实施例中对端主机的接收路由器接收所述主端主机转发的报文并传送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器的一种流程示意图。
作为一种实施方式,基于第一实施例中的方法的实施,上述步骤S2包括:
步骤S21,所述对端主机的接收路由器接收所述主端主机转发的报文,解析所述隧道封装。
具体地,在网络通信系统中的主端主机的第二交换机对报文进行隧道封装,并进行标记,通过隧道转发至对端主机后,网络通信系统中的对端主机的接收路由器接收主端主机转发的报文,解析隧道封装。
步骤S22,所述对端主机的接收路由器识别所述报文是否具有所述标记。
具体地,在网络通信系统中的对端主机的接收路由器接收主端主机转发的报文,解析隧道封装后,对端主机的接收路由器识别报文是否具有标记。
其中,对端主机的路由器接收到主端主机的DVS2传送的报文后,对该报文进行识别,例如:对报文报头的字段与预设的字段进行匹配,若成功匹配,则认为报文具有标记,否则,则认为报文不具有标记。
步骤S23,若所述所述报文具有所述标记,则所述对端主机的接收路由器传送所述报文至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述报文至所述对端主机的分布式虚拟路由器。
具体地,在网络通信系统中的对端主机识别到报文具有标记后,对端主机传送报文至对端主机的第一交换机,由对端主机的第一交换机传送报文至对端主机的分布式虚拟路由器。
其中,对端主机的路由器接收到主端主机的DVS2传送的报文后,对该报文进行识别,若识别上述报文具有上述标记,则传送至对端主机的DVS1,由对端主机的DVS1传送至对端主机对端主机的DVR中;若识别上述报文不具有上述标记,则不进行传送。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图5,为本发明实施例中主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器的一种流程示意图。
作为一种实施方式,基于第一实施例中的方法的实施,上述步骤S54包括:
步骤S541,所述主端主机的接收路由器接收所述对端主机转发的响应报文,解析所述隧道封装。
具体地,在网络通信系统中的对端主机的第二交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机后,网络通信系统中的主端主机的接收路由器接收对端主机转发的响应报文,解析隧道封装。
步骤S542,所述主端主机的接收路由器识别所述响应报文是否具有所述标记。
具体地,在网络通信系统中的主端主机的接收路由器接收对端主机转发的响应报文,解析隧道封装后,主端主机的接收路由器识别响应报文是否具有标记。
其中,主端主机的路由器接收到对端主机的DVS2传送的响应报文后,对该响应报文进行识别,例如:对报文报头的字段与预设的字段进行匹配,若成功匹配,则认为报文具有标记,否则,则认为报文不具有标记。
步骤S543,若所述响应报文具有所述标记,则所述主端主机的接收路由器传送所述响应报文至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述响应报文至所述主端主机的分布式虚拟路由器。
具体地,在网络通信系统中的主端主机识别到响应报文具有标记后,主端主机传送响应报文至主端主机的第一交换机,由主端主机的第一交换机传送响应报文至主端主机的分布式虚拟路由器。
其中,主端主机的路由器接收到对端主机的DVS2传送的响应报文后,对该响应报文进行识别,若识别上述响应报文具有上述标记,则传送至主端主机的DVS1,由主端主机的DVS1传送至主端主机的DVR中;若识别上述响应报文不具有上述标记,则不进行传送。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图6,为本发明实施例中主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的一种流程示意图。
作为一种实施方式,上述步骤S12包括:
步骤S121,所述主端主机的分布式虚拟路由器接收所述报文。
具体地,网络通信系统中的主端主机的分布式虚拟路由器接收报文。
步骤S122,所述主端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表。
具体地,在网络通信系统中的主端主机的分布式虚拟路由器接收报文后,主端主机的分布式虚拟路由器检测报文是否存在对应的会话表。
其中,主端主机的DVR根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
步骤S123,若不存在,则所述主端主机的分布式虚拟路由器创建所述报文对应的会话表。
具体地,若网络通信系统中的主端主机的分布式虚拟路由器检测到所述报文不存在,则主端主机的分布式虚拟路由器创建报文对应的会话表。
其中,主端主机控制主端主机的DVR创建上述报文对应的SESSION表,该SESSION表保存有五元组信息、ALG信息和ACL信息等,其中,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机的DVS2,同时更新相关数据。
其中,若主端主机的DVR检测到所述报文存在,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机的DVS2,同时更新相关数据。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,参照图7,为本发明实施例中主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的一种流程示意图。
作为一种实施方式,上述步骤S3包括:
步骤S31,所述对端主机的分布式虚拟路由器接收所述报文。
具体地,网络通信系统中的对端主机的分布式虚拟路由器接收报文。
步骤S32,所述对端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表。
具体地,在网络通信系统中的对端主机的分布式虚拟路由器接收报文后,对端主机的分布式虚拟路由器检测报文是否存在对应的会话表。
其中,对端主机的DVR根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
步骤S33,若不存在,则所述对端主机的分布式虚拟路由器创建所述报文对应的会话表。
具体地,若网络通信系统中的对端主机的分布式虚拟路由器检测到所述报文不存在,则对端主机的分布式虚拟路由器创建报文对应的会话表。
其中,对端主机控制对端主机的DVR创建上述报文对应的SESSION表,该SESSION表保存有五元组信息、ALG信息和ACL信息等,其中,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以根据已存有的五元组信息,通过直接查找对应的SESSION表,更新相关数据,从而实现快速转发至对端主机的DVS2。
其中,若对端主机的DVR检测到所述报文存在,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至对端主机的DVS2,同时更新相关数据。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发方法,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
基于上述实施例中方法的实施,本发明还提供了对应的系统实施例。
如图8所示,本发明第一实施例提出一种基于分布式虚拟路由器的报文转发系统,包括:主端主机A和对端主机B。
其中,上述主端主机A的特征为:主端主机A的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机A的第二交换机对所述报文进行标记后转发所述报文至对端主机B;
其中,上述对端主机B的特征为:对端主机B的接收路由器接收所述主端主机A转发的报文并发送至所述对端主机B的第一交换机,由所述对端主机B的第一交换机根据所述标记传送所述报文至所述对端主机B的分布式虚拟路由器;所述对端主机B的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机B的第一交换机;所述对端主机B的第一交换机传送所述报文至所述对端主机B的虚拟机;所述对端主机B将所述报文对应的响应报文转发至所述主端主机A,所述响应报文流经所述对端主机B的分布式虚拟路由器和所述主端主机A的的分布式虚拟路由器。
具体地,本实施例方案主要应用于网络通信系统中,当然也不限于其他能够实现信息传递的通信设备。本实施例以网络通信系统进行举例。
其中,网络通信系统中的主端主机A的虚拟机对报文进行封装,传送至主端主机A的第二交换机,由主端主机A的第二交换机传送报文至主端主机A的分布式虚拟路由器。
其中,网络通信系统中的主端主机A为信息的主端,可以用于将需要转发的信息,以报文的形式转发至对端主机B。
其中,主端主机A设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,主端主机A可以设置有VM(Virtual Machine,虚拟机)、DVS1(Distributed Virtual Switch,分布式虚拟交换机)、DVS2、接收路由器和DVR(Distributed Virtual Router,分布式虚拟路由器)。
其中,主端主机A的VM封装报文,例如:源IP地址为10.1.1.10,源MAC(Media Access Control,介质访问控制层)地址为主端主机A的VM的网卡MAC地址,目的地址IP为10.20.1.22,目的MAC地址为对端主机BDVR的MAC地址;最后将上述封装的报文经网卡传送至主端主机A的DVS1。
其中,主端主机A的DVS1接收到主端主机A的VM传送的报文后,对保存于DVS1的FDB表(Forwarding Data Base,MAC地址转发表)进行查询,若DVS接收到的上述报文为非过滤性报文,则对上述报文进行传送,传送至主端主机A的DVR。FDB表用于维护交换机从它的所有端口接收MAC地址信息后所形成MAC地址表,当DVS1收到报文时,它将根据自己的FDB表来决定是将该报文进行过滤或者转发,同时为防止DVR在DVS1上的FDB表中出现接口变化,DVR与DVS1连接时会下发静态的FDB表。
在网络通信系统中的主端主机A的虚拟机发送报文,传送至主端主机A的第一交换机,由主端主机A的第一交换机传送报文至主端主机A的分布式虚拟路由器后,主端主机A的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机A的第二交换机。
其中,主端主机A的DVR在接收到主端主机A的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT(NetworkAddress Translation,网络地址转换)信息、ALG(访问控制列表)信息等。
其中,若主端主机A的DVR检测到不存在上述报文对应的SESSION表,则主端主机A的DVR创建上述报文对应的SESSION表,该SESSION表保存有与上述报文对应的五元组信息、ALG信息和ACL信息等,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以通过直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机A的DVS2,同时更新相关数据。
其中,若主端主机A的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机A的DVS2,同时更新相关数据。
在网络通信系统中的主端主机A的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机A的第二交换机后,主端主机A的第二交换机对报文进行隧道封装,并标记,通过预设隧道转发至对端主机B。
其中,主端主机A的DVS2接收到上述报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述报文为非过滤性报文,则对上述报文进行隧道封装,并在上述报文的头部打标记,例如,可以在上述报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机B中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
在网络通信系统中的主端主机A的分布式虚拟路由器对报文进行转发,由主端主机A的第二交换机对报文进行标记后转发报文至对端主机B后,网络通信系统中的对端主机B的接收路由器接收主端主机A转发的报文并发送至对端主机B的第一交换机,由对端主机B的第一交换机根据标记传送报文至对端主机B的分布式虚拟路由器。
其中,对端主机B设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,对端主机B可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,对端主机B的接收路由器接收到主端主机A的DVS2传送的报文后,对该报文进行隧道封装解析,再进行识别,若识别上述报文具有上述标记,则传送至对端主机B的DVS1中,再由对端主机B的DVS1传送至对端主机B的DVR;若识别上述报文不具有上述标记,则不进行传送。
在网络通信系统中的对端主机B的接收路由器接收主端主机A转发的报文并发送至对端主机B的第一交换机,由对端主机B的第一交换机根据标记传送报文至对端主机B的分布式虚拟路由器后,对端主机B的分布式虚拟路由器创建报文对应的会话表,并传送报文至对端主机B的第一交换机。
其中,对端主机B的DVR在接收到对端主机B的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表。
其中,若对端主机B的DVR检测到不存在上述报文对应的SESSION表,则对端主机B的DVR创建上述报文对应的SESSION表。
其中,若对端主机B的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至对端主机B的DVS1,同时更新相关数据。
在网络通信系统中的对端主机B的分布式虚拟路由器创建报文对应的会话表,并传送报文至对端主机B的第一交换机后,对端主机B的第一交换机传送报文至对端主机B的虚拟机。
其中,对端主机B的DVS1在接收到对端主机B的DVR传送的报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述报文为非过滤性报文,则将报文传送至对端主机B的VM。
在网络通信系统中的对端主机B的交换机传送报文至对端主机B的虚拟机后,对端主机B将报文对应的响应报文转发至主端主机A。
其中,对端主机B的VM在接收到报文后,对端主机B的VM发送响应报文,传送至对端主机B的DVS1,由对端主机B的DVS1传送响应报文至对端主机B的DVR;然后对端主机B的DVR根据SESSION表,传送响应报文至对端主机B的DVS2;然后对端主机B的DVS2对响应报文进行隧道封装,并标记,通过预设隧道转发至主端主机A;主端主机A中,首先主端主机A的路由器接收对端主机B转发的响应报文,进行隧道解析并识别响应报文是否具有标记,若响应报文具有标记,则由主端主机A的DVS2传送响应报文至主端主机A的DVR;然后主端主机A的DVR根据SESSION表,传送响应报文至主端主机A的DVS1;最后主端主机ADVS1传送响应报文至主端主机A的VM。
其中,如图9所示,假设HOST1的VM与HOST2的VM进行通信,在具体实现时,可以采用如下方法:
1.HOST1的VM封装报文,设源IP地址为10.1.1.10,源MAC地址为HOST1的VM网卡MAC地址,目的IP地址为10.20.1.22,目的MAC地址为HOST2的DVR网卡MAC地址,经HOST1的VM的网卡将报文传送至HOST1的DVS1;
2.HOST1的DVS1接收到报文后,查FDB表,将报文传送至HOST1的DVR;
3.HOST1的DVR根据五元组查SESSION表,若报文无对应的SESION表,则建立对应的SESSION表,经10.20.1.1/24对应接口将报文传送至HOST1的DVS2,当有后续报文时,直接查找对应的SESSION表,更新相关数据,实现快速将报文传送至HOST1的DVS2;
4.HOST1的DVS2接收到报文后,查FDB表,在报文头部打标记,经VXLAN隧道(不限于VXLAN隧道)将报文转发至HOST2的接收路由器;
5.HOST2的接收路由器接收所述报文,传送报文至HOST2的DVS1中,HOST2的接收DVS1接收到报文后,由于报文已打标记,传送至HOST2的DVR1进行SESSION表创建返回至HOST2的DVS1,再由HOST2的DVS1经查FDB表后,将报文传送至HOST2的VM;
6.HOST2的VM2接收到报文后,进行响应报文操作,封装报文,源IP地址为10.20.1.22,源MAC地址为HOST2的VM网卡MAC地址,目的IP地址为10.1.1.10,目的MAC地址为HOST1的DVR的MAC地址,经HOST2的VM的网卡将报文传送至HOST2的DVS1;
7.HOST2的DVS1接收到报文后,查FDB表,将报文传送至HOST2的DVR;
8.HOST2的DVR接收报文到报文后,查SESSION表(步骤5中创建的),更新SESSION表,根据SESSION表传送至HOST2的DVS2;
9.HOST2的DVS2接收到报文后,查FDB表,在报文头部打标记,经VXLAN隧道(不限于VXLAN隧道)将报文转发至HOST1的接收路由器;
10.HOST1的接收路由器接收响应报文,并传送至HOST1的DVS1,HOST1的DVS1接收到报文后,由于报文已打标记,传送至HOST1的DVR更新SESSION表,SESSION表更新完成后将报文传送至HOST1的DVS1;
11.HOST1的DVS1接收到报文后,查FDB表,将报文传送至VM。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,通过标记报文的方式,将报文从DVS向DVR引流,使来回转发报文都经过DVR,可以保证DVR上报文来回路径一致,使DVR上有完整的来回流量,因此,可以实现DVR的有状态转发,进而可以实现ALG、ACL等功能,即实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述述主端主机A还包括以下特征,所述主端主机A的虚拟机对所述报文进行封装,传送至所述主端主机A的第一交换机,由所述主端主机A的第一交换机传送所述报文至所述主端主机A的分布式虚拟路由器;所述主端主机A的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机A的第二交换机;所述主端主机A的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机B。
具体地,网络通信系统中的主端主机A的虚拟机对报文进行封装,传送至主端主机A的第一交换机,由主端主机A的第一交换机传送报文至主端主机A的分布式虚拟路由器。
其中,网络通信系统中的主端主机A为信息的主端,可以用于将需要转发的信息,以报文的形式转发至对端主机B。
其中,主端主机A设置有虚拟机、第一交换机、第二交换机、路由器和分布式虚拟路由器,在具体实现时,主端主机A可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,主端主机A的VM封装发送报文,例如:源IP地址为10.1.1.10,源MAC(Media Access Control,介质访问控制层)地址为主端主机A的VM的网卡MAC地址,目的地址IP为10.20.1.22,目的MAC地址为对端主机BDVR的MAC地址;最后将上述封装的报文经网卡传送至主端主机A的DVS1。
其中,主端主机A的DVS1接收到主端主机A的VM传送的报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述报文为非过滤性报文,则对上述报文进行传送,传送至主端主机A的DVR。FDB表用于维护交换机从它的所有端口接收MAC地址信息后所形成MAC地址表,当DVS1收到报文时,它将根据自己的FDB表来决定是将该报文进行过滤或者转发,同时为防止DVR在DVS1上的FDB表中出现接口变化,DVR与DVS1连接时会下发静态的FDB表。
在网络通信系统中的主端主机A的虚拟机对报文进行封装,传送至主端主机A的第一交换机,由主端主机A的第一交换机传送报文至主端主机A的分布式虚拟路由器后,主端主机A的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机A的第二交换机。
其中,主端主机A的DVR在接收到主端主机A的DVS1传送的报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
其中,若主端主机A的DVR检测到不存在上述报文对应的SESSION表,则主端主机A的DVR创建上述报文对应的SESSION表,该SESSION表保存有与上述报文对应的五元组信息、ALG信息和ACL信息等,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以通过直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机A的DVS2,同时更新相关数据。
其中,若主端主机A的DVR检测到存在上述报文对应的SESSION表,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机A的DVS2,同时更新相关数据。
在网络通信系统中的主端主机A的分布式虚拟路由器创建报文对应的会话表,并传送报文至主端主机A的第二交换机后,主端主机A的第二交换机对报文进行隧道封装,并进行标记,通过隧道转发至对端主机B。
其中,主端主机A的DVS2接收到上述报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述报文为非过滤性报文,则对上述报文进行隧道封装,并在上述报文的头部打标记,例如,可以在上述报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机B中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述对端主机B还包括以下特征:所述对端主机B的虚拟机对所述响应报文进行封装,传送至所述对端主机B的第一交换机,由所述对端主机B的第一交换机传送所述响应报文至所述对端主机B的分布式虚拟路由器;所述对端主机B的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机B的第二交换机;所述对端主机B的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机A。
上述主端主机A还包括以下特征:所述主端主机A的接收路由器接收所述对端主机B转发的响应报文并传送至所述主端主机A的第一交换机,由所述主端主机A的第一交换机根据所述标记传送所述响应报文至所述主端主机A的分布式虚拟路由器;所述主端主机A的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机A的第一交换机;所述主端主机A的第一交换机传送所述响应报文至所述主端主机A的虚拟机。
具体地,在网络通信系统中的对端主机B的第一交换机传送响应报文至对端主机B的虚拟机后,对端主机B的虚拟机对响应报文进行封装,传送至对端主机B的第一交换机,由对端主机B的第一交换机传送响应报文至对端主机B的分布式虚拟路由器。
其中,对端主机B设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,对端主机B可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,对端主机B的VM可以首先对响应报文进行封装,然后将上述封装的响应报文经网卡传送至对端主机B的DVS1。
其中,对端主机B的DVS1接收到对端主机B的VM传送的响应报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述响应报文为非过滤性报文,则对上述响应报文进行传送,传送至对端主机B的DVR。
在网络通信系统中的对端主机B的虚拟机对响应报文进行封装,传送至对端主机B的第一交换机,由对端主机B的第一交换机传送响应报文至对端主机B的分布式虚拟路由器后,对端主机B的分布式虚拟路由器根据会话表,传送响应报文至对端主机B的第二交换机。
其中,对端主机B的DVR在接收到对端主机B的DVS1传送的响应报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对会话表进行查询,查询上述响应报文是否存在对应的会话表,在具体实现时,可以采用SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
其中,若对端主机B的DVR检测到存在上述响应报文对应的SESSION表,则对端主机B的DVR直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至对端主机B的DVS2,同时更新相关数据。
在网络通信系统中的对端主机B的分布式虚拟路由器根据会话表,传送响应报文至对端主机B的第二交换机后,对端主机B的第二交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机A。
其中,对端主机B的DVS2接收到上述响应报文后,对保存于DVS2的FDB表进行查询,若DVS2接收到的上述响应报文为非过滤性报文,则对上述报文进行隧道封装,并在上述响应报文的头部打标记,例如,可以在上述响应报文报头的字段中插入一个或一段可识别的字符,再经过预设的隧道转发至对端主机B中,该预设的隧道可以是VXLAN隧道、GRE隧道或者是其他能够进行报文转发的信息转发隧道。
在网络通信系统中的对端主机B的交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机A后,网络通信系统中的主端主机A的接收路由器接收对端主机B转发的响应报文并传送至主端主机A的第一交换机,由主端主机A的第一交换机根据标记传送响应报文至主端主机A的分布式虚拟路由器。
其中,主端主机A设置有虚拟机、第一交换机、第二交换机、接收路由器和分布式虚拟路由器,在具体实现时,主端主机A可以设置有VM、DVS1、DVS2、接收路由器和DVR。
其中,主端主机A的路由器接收到对端主机B的DVS2传送的响应报文后,先对该响应报文进行隧道封装解析,再对该响应报文进行识别,若识别上述响应报文具有上述标记,则传送至主端主机A的DVS1,由主端主机A的DVS1传送至主端主机A的DVR中;若识别上述响应报文不具有上述标记,则不进行传送。
在网络通信系统中的主端主机A的接收路由器接收对端主机B转发的响应报文并传送至主端主机A的第一交换机,由主端主机A的第一交换机根据标记传送响应报文至主端主机A的分布式虚拟路由器后,主端主机A的分布式虚拟路由器根据会话表,传送响应报文至主端主机A的第一交换机。
其中,主端主机A的DVR在接收到主端主机A的DVS1传送的响应报文后,根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述响应报文是否存在对应的SESSION表。
其中,若对端主机B的DVR检测到不存在上述响应报文对应的SESSION表,则主端主机A控制主端主机A的DVR直接查找对应的SESSION表,根据已存有的五元组信息,实现快速转发至主端主机A的DVS1,同时更新相关数据。
在网络通信系统中的主端主机A的分布式虚拟路由器根据会话表,传送响应报文至主端主机A的第一交换机后,主端主机A的第一交换机传送响应报文至主端主机A的虚拟机。
其中,主端主机A的DVS1在接收到主端主机A的DVR传送的响应报文后,对保存于DVS1的FDB表进行查询,若DVS1接收到的上述响应报文为非过滤性报文,则将响应报文传送至主端主机A的VM。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述对端主机B还包括以下特征:所述对端主机B的接收路由器接收所述主端主机A转发的报文,解析所述隧道封装;所述对端主机B的接收路由器识别所述报文是否具有所述标记;若所述所述报文具有所述标记,则所述对端主机B的接收路由器传送所述报文至所述对端主机B的第一交换机,由所述对端主机B的第一交换机传送所述报文至所述对端主机B的分布式虚拟路由器。
具体地,在网络通信系统中的主端主机A的第二交换机对报文进行隧道封装,并进行标记,通过隧道转发至对端主机B后,网络通信系统中的对端主机B的接收路由器接收主端主机A转发的报文,解析隧道封装。
在网络通信系统中的对端主机B的接收路由器接收主端主机A转发的报文,解析隧道封装后,对端主机B的接收路由器识别报文是否具有标记。
其中,对端主机B的路由器接收到主端主机A的DVS2传送的报文后,对该报文进行识别,例如:对报文报头的字段与预设的字段进行匹配,若成功匹配,则认为报文具有标记,否则,则认为报文不具有标记。
在网络通信系统中的对端主机B识别到报文具有标记后,对端主机B传送报文至对端主机B的第一交换机,由对端主机B的第一交换机传送报文至对端主机B的分布式虚拟路由器。
其中,对端主机B的路由器接收到主端主机A的DVS2传送的报文后,对该报文进行识别,若识别上述报文具有上述标记,则传送至对端主机B的DVS1,由对端主机B的DVS1传送至对端主机B对端主机B的DVR中;若识别上述报文不具有上述标记,则不进行传送。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述主端主机A还包括以下特征:所述主端主机A的接收路由器接收所述对端主机B转发的响应报文,解析所述隧道封装;所述主端主机A的接收路由器识别所述响应报文是否具有所述标记;若所述响应报文具有所述标记,则所述主端主机A的接收路由器传送所述响应报文至所述主端主机A的第一交换机,由所述主端主机A的第一交换机传送所述响应报文至所述主端主机A的分布式虚拟路由器。
具体地,在网络通信系统中的对端主机B的第二交换机对响应报文进行隧道封装,并进行标记,通过隧道转发至主端主机A后,网络通信系统中的主端主机A的接收路由器接收对端主机B转发的响应报文,解析隧道封装。
在网络通信系统中的主端主机A的接收路由器接收对端主机B转发的响应报文,解析隧道封装后,主端主机A的接收路由器识别响应报文是否具有标记。
其中,主端主机A的路由器接收到对端主机B的DVS2传送的响应报文后,对该响应报文进行识别,例如:对报文报头的字段与预设的字段进行匹配,若成功匹配,则认为报文具有标记,否则,则认为报文不具有标记。
在网络通信系统中的主端主机A识别到响应报文具有标记后,主端主机A传送响应报文至主端主机A的第一交换机,由主端主机A的第一交换机传送响应报文至主端主机A的分布式虚拟路由器。
其中,主端主机A的路由器接收到对端主机B的DVS2传送的响应报文后,对该响应报文进行识别,若识别上述响应报文具有上述标记,则传送至主端主机A的DVS1,由主端主机A的DVS1传送至主端主机A的DVR中;若识别上述响应报文不具有上述标记,则不进行传送。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述主端主机A还包括以下特征:所述主端主机A的分布式虚拟路由器接收所述报文;所述主端主机A的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述主端主机A的分布式虚拟路由器创建所述报文对应的会话表。
具体地,网络通信系统中的主端主机A的分布式虚拟路由器接收报文。
在网络通信系统中的主端主机A的分布式虚拟路由器接收报文后,主端主机A的分布式虚拟路由器检测报文是否存在对应的会话表。
其中,主端主机A的DVR根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
若网络通信系统中的主端主机A的分布式虚拟路由器检测到所述报文不存在,则主端主机A的分布式虚拟路由器创建报文对应的会话表。
其中,主端主机A控制主端主机A的DVR创建上述报文对应的SESSION表,该SESSION表保存有五元组信息、ALG信息和ACL信息等,其中,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机A的DVS2,同时更新相关数据。
其中,若主端主机A的DVR检测到所述报文存在,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至主端主机A的DVS2,同时更新相关数据。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
进一步的,为了更好地通过分布式虚拟路由器对报文进行有状态转发,上述对端主机B还包括以下特征:所述对端主机B的分布式虚拟路由器接收所述报文;所述对端主机B的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述对端主机B的分布式虚拟路由器创建所述报文对应的会话表。
具体地,网络通信系统中的对端主机B的分布式虚拟路由器接收报文。
在网络通信系统中的对端主机B的分布式虚拟路由器接收报文后,对端主机B的分布式虚拟路由器检测报文是否存在对应的会话表。
其中,对端主机B的DVR根据五元组(指源IP地址,源端口,目的IP地址,目的端口和传输层协议)对SESSION表进行查询,查询上述报文是否存在对应的SESSION表,SESSION表用于记录转发信息,例如:五元组信息、NAT信息、ALG信息等。
若网络通信系统中的对端主机B的分布式虚拟路由器检测到所述报文不存在,则对端主机B的分布式虚拟路由器创建报文对应的会话表。
其中,对端主机B控制对端主机B的DVR创建上述报文对应的SESSION表,该SESSION表保存有五元组信息、ALG信息和ACL信息等,其中,ALG信息用于识别本条流应用层协议流量,ACL信息用于根据ALG信息实现ACL拦截或者放通;当有后续报文需要进行转发时,可以根据已存有的五元组信息,通过直接查找对应的SESSION表,更新相关数据,从而实现快速转发至对端主机B的DVS2。
其中,若对端主机B的DVR检测到所述报文存在,则可以根据已存有的五元组信息,通过直接查找对应的SESSION表,实现快速转发至对端主机B的DVS2,同时更新相关数据。
通过上述方案,本发明提供了一种基于分布式虚拟路由器的报文转发系统,更好地实现了通过分布式虚拟路由器能够对报文进行有状态转发,进而更好地提高了网络信息传递的安全性。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于分布式虚拟路由器的报文转发方法,其特征在于,所述方法包括:
主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机;
所述对端主机的接收路由器接收所述主端主机转发的报文并发送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器;
所述对端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机的第一交换机;
所述对端主机的第一交换机传送所述报文至所述对端主机的虚拟机;
所述对端主机将所述报文对应的响应报文转发至所述主端主机,所述响应报文流经所述对端主机的分布式虚拟路由器和所述主端主机的分布式虚拟路由器。
2.根据权利要求1所述的方法,其特征在于,所述主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机的步骤包括:
所述主端主机的虚拟机对所述报文进行封装,传送至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述报文至所述主端主机的分布式虚拟路由器;
所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机;
所述主端主机的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机。
3.根据权利要求2所述的方法,其特征在于,所述对端主机将所述报文对应的响应报文转发至所述主端主机的步骤包括:
所述对端主机的虚拟机对所述响应报文进行封装,传送至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述响应报文至所述对端主机的分布式虚拟路由器;
所述对端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机的第二交换机;
所述对端主机的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机;
所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器;
所述主端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机的第一交换机;
所述主端主机的第一交换机传送所述响应报文至所述主端主机的虚拟机。
4.根据权利要求3所述的方法,其特征在于,所述对端主机的接收路由器接收所述主端主机转发的报文并传送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器的步骤包括:
所述对端主机的接收路由器接收所述主端主机转发的报文,解析所述隧道封装;
所述对端主机的接收路由器识别所述报文是否具有所述标记;
若所述所述报文具有所述标记,则所述对端主机的接收路由器传送所述报文至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述报文至所述对端主机的分布式虚拟路由器;
所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器的步骤包括:
所述主端主机的接收路由器接收所述对端主机转发的响应报文,解析所述隧道封装;
所述主端主机的接收路由器识别所述响应报文是否具有所述标记;
若所述响应报文具有所述标记,则所述主端主机的接收路由器传送所述响应报文至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述响应报文至所述主端主机的分布式虚拟路由器。
5.根据权利要求3所述的方法,其特征在于,所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的步骤包括:
所述主端主机的分布式虚拟路由器接收所述报文;
所述主端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;
若不存在,则所述主端主机的分布式虚拟路由器创建所述报文对应的会话表;
所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机的步骤包括:
所述对端主机的分布式虚拟路由器接收所述报文;
所述对端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;
若不存在,则所述对端主机的分布式虚拟路由器创建所述报文对应的会话表。
6.一种基于分布式虚拟路由器的报文转发系统,其特征在于,所述系统包括:
主端主机,其中所述主端主机的分布式虚拟路由器创建对应的会话表并对报文进行转发,由主端主机的第二交换机对所述报文进行标记后转发所述报文至对端主机;
对端主机,其中所述对端主机的接收路由器接收所述主端主机转发的报文并发送至所述对端主机的第一交换机,由所述对端主机的第一交换机根据所述标记传送所述报文至所述对端主机的分布式虚拟路由器;所述对端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述对端主机的第一交换机;所述对端主机的第一交换机传送所述报文至所述对端主机的虚拟机;所述对端主机将所述报文对应的响应报文转发至所述主端主机,所述响应报文流经所述对端主机的分布式虚拟路由器和所述主端主机的的分布式虚拟路由器。
7.根据权利要求6所述的系统,其特征在于,
所述主端主机中,所述主端主机的虚拟机对所述报文进行封装,传送至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述报文至所述主端主机的分布式虚拟路由器;所述主端主机的分布式虚拟路由器创建所述报文对应的会话表,并传送所述报文至所述主端主机的第二交换机;所述主端主机的第二交换机对所述报文进行隧道封装,并进行标记,通过所述隧道转发至对端主机。
8.根据权利要求7所述的系统,其特征在于,
所述对端主机中,所述对端主机的虚拟机对所述响应报文进行封装,传送至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述响应报文至所述对端主机的分布式虚拟路由器;所述对端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述对端主机的第二交换机;所述对端主机的第二交换机对所述响应报文进行隧道封装,并进行标记,通过所述隧道转发至所述主端主机;
所述主端主机中,所述主端主机的接收路由器接收所述对端主机转发的响应报文并传送至所述主端主机的第一交换机,由所述主端主机的第一交换机根据所述标记传送所述响应报文至所述主端主机的分布式虚拟路由器;所述主端主机的分布式虚拟路由器根据所述会话表,传送所述响应报文至所述主端主机的第一交换机;所述主端主机的第一交换机传送所述响应报文至所述主端主机的虚拟机。
9.根据权利要求8所述的系统,其特征在于,
所述对端主机中,所述对端主机的接收路由器接收所述主端主机转发的报文,解析所述隧道封装;所述对端主机的接收路由器识别所述报文是否具有所述标记;若所述所述报文具有所述标记,则所述对端主机的接收路由器传送所述报文至所述对端主机的第一交换机,由所述对端主机的第一交换机传送所述报文至所述对端主机的分布式虚拟路由器;
所述主端主机中,所述主端主机的接收路由器接收所述对端主机转发的响应报文,解析所述隧道封装;所述主端主机的接收路由器识别所述响应报文是否具有所述标记;若所述响应报文具有所述标记,则所述主端主机的接收路由器传送所述响应报文至所述主端主机的第一交换机,由所述主端主机的第一交换机传送所述响应报文至所述主端主机的分布式虚拟路由器。
10.根据权利要求8所述的系统,其特征在于,
所述主端主机中,所述主端主机的分布式虚拟路由器接收所述报文;所述主端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述主端主机的分布式虚拟路由器创建所述报文对应的会话表;
所述对端主机中,所述对端主机的分布式虚拟路由器接收所述报文;所述对端主机的分布式虚拟路由器检测所述报文是否存在对应的会话表;若不存在,则所述对端主机的分布式虚拟路由器创建所述报文对应的会话表。
CN201610116243.0A 2016-03-01 2016-03-01 基于分布式虚拟路由器的报文转发方法和系统 Active CN107147574B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610116243.0A CN107147574B (zh) 2016-03-01 2016-03-01 基于分布式虚拟路由器的报文转发方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610116243.0A CN107147574B (zh) 2016-03-01 2016-03-01 基于分布式虚拟路由器的报文转发方法和系统

Publications (2)

Publication Number Publication Date
CN107147574A true CN107147574A (zh) 2017-09-08
CN107147574B CN107147574B (zh) 2020-09-01

Family

ID=59783189

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610116243.0A Active CN107147574B (zh) 2016-03-01 2016-03-01 基于分布式虚拟路由器的报文转发方法和系统

Country Status (1)

Country Link
CN (1) CN107147574B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086676A (zh) * 2019-05-08 2019-08-02 深信服科技股份有限公司 一种分布式路由器的配置方法及相关设备
CN110650092A (zh) * 2019-09-24 2020-01-03 网易(杭州)网络有限公司 一种数据处理的方法和装置
CN113783910A (zh) * 2020-06-09 2021-12-10 阿里巴巴集团控股有限公司 一种数据转发的方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103118148A (zh) * 2013-01-31 2013-05-22 杭州华三通信技术有限公司 一种arp缓存更新方法和设备
CN103795622A (zh) * 2014-01-22 2014-05-14 杭州华三通信技术有限公司 一种报文转发方法及其装置
US8891536B2 (en) * 2012-05-03 2014-11-18 Futurewei Technologies, Inc. Layer-3 services for united router farm
US9231904B2 (en) * 2006-09-25 2016-01-05 Weaved, Inc. Deploying and managing networked devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231904B2 (en) * 2006-09-25 2016-01-05 Weaved, Inc. Deploying and managing networked devices
US8891536B2 (en) * 2012-05-03 2014-11-18 Futurewei Technologies, Inc. Layer-3 services for united router farm
CN103118148A (zh) * 2013-01-31 2013-05-22 杭州华三通信技术有限公司 一种arp缓存更新方法和设备
CN103795622A (zh) * 2014-01-22 2014-05-14 杭州华三通信技术有限公司 一种报文转发方法及其装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈雨新: "《一体化网络分布式多路径传输研究》", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086676A (zh) * 2019-05-08 2019-08-02 深信服科技股份有限公司 一种分布式路由器的配置方法及相关设备
CN110650092A (zh) * 2019-09-24 2020-01-03 网易(杭州)网络有限公司 一种数据处理的方法和装置
CN110650092B (zh) * 2019-09-24 2022-05-03 网易(杭州)网络有限公司 一种数据处理的方法和装置
CN113783910A (zh) * 2020-06-09 2021-12-10 阿里巴巴集团控股有限公司 一种数据转发的方法、装置及系统
CN113783910B (zh) * 2020-06-09 2024-02-13 阿里巴巴集团控股有限公司 一种数据转发的方法、装置及系统

Also Published As

Publication number Publication date
CN107147574B (zh) 2020-09-01

Similar Documents

Publication Publication Date Title
US11431650B2 (en) Multicast based on bit indexed explicit replication
WO2020233192A1 (zh) 一种为业务流提供业务服务的方法和装置
US9525563B2 (en) Forwarding packets in an edge device
CN109995634A (zh) 一种组播虚拟专用网络的承载方法和设备
CN104243318B (zh) Vxlan网络中的mac地址学习方法及装置
CN104954218B (zh) 分布式虚拟交换装置及转发方法
CN106603413B (zh) 通过指定路径传输流量的方法和装置
CN101155130B (zh) 学习mac地址的方法及传送vpls客户数据的系统及设备
CN103763207B (zh) 软件定义网络中的带内控制连接建立方法及设备
CN106603407A (zh) 组播地址的传输方法和装置
US20050086367A1 (en) Methods and apparatus for implementing multiple types of network tunneling in a uniform manner
US10498667B2 (en) Multicast based on bit indexed explicit replication
CN105337852B (zh) 更新业务流报文的处理方式的方法及装置
RU2007109068A (ru) Способы и устройства для поддержки vpn при управлении мобильностью
CN103841024B (zh) 一种家庭网关实现数据分流的方法和家庭网关
WO2002078283A3 (en) Network tunneling
WO2017107814A1 (zh) 一种传播QoS策略的方法、装置及系统
CN101115005A (zh) 一种实现边缘到边缘伪线仿真的方法和装置
CN107147574A (zh) 基于分布式虚拟路由器的报文转发方法和系统
CN106789657A (zh) 一种报文转发方法及装置
CN101656663A (zh) 一种mpls多播报文的转发方法、装置及系统
CN101159674A (zh) 一种报文路由交换装置及其方法
CN105337884A (zh) 基于逻辑端口实现多级报文编辑业务控制的方法及装置
CN104780090B (zh) Vpn组播传输的方法、装置、pe设备
WO2006108344A1 (fr) Procede de realisation de reseau prive virtuel

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518052 No. 1001 Nanshan Chi Park building A1 layer

Applicant after: SANGFOR TECHNOLOGIES Inc.

Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518052 No. 1001 Nanshan Chi Park building A1 layer

Applicant before: Sangfor Technologies Co.,Ltd.

GR01 Patent grant
GR01 Patent grant