CN107911313A - 一种在私有云中虚拟机端口流量外迁的方法 - Google Patents
一种在私有云中虚拟机端口流量外迁的方法 Download PDFInfo
- Publication number
- CN107911313A CN107911313A CN201711130396.1A CN201711130396A CN107911313A CN 107911313 A CN107911313 A CN 107911313A CN 201711130396 A CN201711130396 A CN 201711130396A CN 107911313 A CN107911313 A CN 107911313A
- Authority
- CN
- China
- Prior art keywords
- port
- flow
- address
- virtual machine
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在私有云中虚拟机端口流量外迁的方法,基于OVS(openvswitch)中openflow流表转发功能的技术,实现了虚拟机指定端口指定协议指定方向(进/出)流量的迁移,通过在目标端口抓包或者流量分析可以拿到源端口迁移出的流量数据,对源端口流量进行了流向重定向。在降低网络延迟与阻塞的同时,能够对保护虚拟机的网络安全。在网络出故障的时候,网络管理人员可以从目的端口通过分析源端口的外迁流量来找出网络存在问题的原因,快速定位。
Description
技术领域
本发明涉及一种基于OVS(openvswitch)中openflow流表转发功能的技术,具体涉及一种在私有云中虚拟机端口流量外迁的方法。
背景技术
近年来,国内越来越多的政企客户开始将重要业务转移到云端,同时对云计算价值的认知和认可度也大幅增加。不过,不管在传统的物理环境还是虚拟化平台,网络的服务质量都很重要。在传统的网络中,所有的报文都被无差别的对待,每个转发设备对所有的报文都采用FIFO(先入后出),它尽最大的努力将报文送到目的地,但对报文传送的可靠性,传送延迟等性能不提供任何保障。但在实际应用中,网络存在很大的问题,比如带宽、丢包率、网络延迟和阻塞等。随着云计算的发展,这些问题极大的影响的虚拟平台中的虚拟机的网络业务。在影响网络质量的同时也无法对虚拟机平台中的网络流量进行监测、控制。
传统网络内的流量控制都是基于一些流量控制工具或物理设备实现。网络流量控制器通过对流过边缘路由器的数据进行了分析、分类和调整,以达到保护关键数据流平稳传输的目的,该流量控制器降低了端对端的时延,同时也降低了传输中的时延抖动。或通过交换机的设置进行数据端口对端口的转发。这些只能控制物理层或不同网段间数据的流量的控制,在虚拟平台中,对同网段的虚拟机流量来说,效果并不显著。现有技术在虚拟平台中,无法有效的控制和监测虚拟机的网络流量,虚拟机无差别的接收或发送无效的报文容易造成网络延迟和阻塞。
发明内容
为了克服上述现有技术的不足,本发明的目的是提供一种在私有云中虚拟机端口流量外迁的方法,基于OVS(openvswitch)中openflow流表转发功能的技术,实现了虚拟机指定端口指定协议指定方向(进/出)流量的迁移,通过在目标端口抓包或者流量分析可以拿到源端口迁移出的流量数据,对源端口流量进行了流向重定向。在降低网络延迟与阻塞的同时,能够对保护虚拟机的网络安全。,在网络出故障的时候,网络管理人员可以从目的端口通过分析源端口的外迁流量来找出网络存在问题的原因,快速定位。
为了实现上述目的,本发明采用的技术方案是:
一种在私有云中虚拟机端口流量外迁的方法,其特征在于,包括以下步骤:
1)管理员创建云主机,并建立虚拟网卡与虚拟交换机上虚拟端口的连接,每个网卡在虚拟交换机上都会存在一个端口;
2)管理员为某一虚拟网卡设置外迁地址,该网卡与外迁地址直接可互相访问,若不通则无法添加成功。支持ICMP、TCP、UDP和ARP协议,支持指定外迁的端口及方向。
3)在为云主机配置外迁地址时,会在云主机虚拟网卡本身端口的基础上再次创建一个虚拟端口,此虚拟端口属性为vxlan,根据端口获取IP地址在openflow上的编号,监测源地址与目的地址能否ping通,若能通,通过在openvswitch上设置流表规则,控制虚拟交换机的流量走像,从而实现流量重定向。
本发明的有益效果是;
本次发明实现了一对多或多对一的端口流量外迁,可以分别在源端口和多个目的端口间建立多个独立的vxlan通道,在报问发送过程中,通过多个流表规则控制报文流向。
本发明已实现多点到点的端口外迁,此时只会在多个源端口和镜像端口之间建立一个独立的vxlan通道,在给源地址添加外迁地址时,会先判断此IP地址之前有没有与别的端口之前建立过通道,若没有则直接建立一个,若有则会判断新的流表规则与之前源地址建立的规则是否重复或存在包含于的关系,若重复则不在创建新的规则;若存在包含于的关系,最大的域生效。流经源端口的流量数据直接通过之前建立的通道转发到外迁端口,在报文转发的过程中,到同一外迁地址的通道唯一。
附图说明
图1为本发明基于openvswitch的端口流量外迁网络拓扑图。
图2为本发明基于openvswitch的流量外迁的流程图。
具体实施方式
以下结合附图及实施例对本发明进一步叙述。
如图1所示, 在主机node1上新建一个标准交换机,图1中虚拟机通过虚拟网卡
vm1-port连接在br-int的虚拟交换机上,目前ovs的网桥还没有实现iptables的功能,但
openstack又必须提供安全组服务,所以在VM1和虚拟交换机之间通过linux-brige进行桥
接,同时在配置外迁地址时,会在br-int上同时创建一个vxlan0的端口,建立vxlan通道,并
设置流表规则,此时通过vm1-port且符合流表规则的流量都通过vxlan通道转发给外迁目
的地址,外迁地址收到流量是即将流入或流出vm1的符合外迁规则的流量。通过vxlan通道
和openFlow上的流表规则,将vm1上的符合规则的流入或流出的流量外迁给外迁地址。这样
计算节点和计算节点这样就会点对点的形成一个以vxlan为基础的通信网络,互相之间通
过这个网络上进行大量的数据交换,实现流量重定向。
目前支持迁移的协议对应的条件字段如下:
dl_type=0x0800 <=>ip
dl_type=0x0806 <=>arp
dl_type=0x0800,nw_proto=1 <=> icmp
dl_type=0x0800,nw_proto=6 <=> tcp
dl_type=0x0800,nw_proto=17 <=> udp
实现流程:
创建指定remote_ip的vxlan通道,获取通道在openflow上的端口号
ovs-vsctl add-port bridge0 vxlan0 -- set interface vxlan0 type=vxlanoptions:remote_ip=172.16.110.141
2.获取需迁移端口ip和在openflow上的端口号
ovs-vsctl get Interface 10.10.132.124 of port
3.添加转发流表规则
ovs-ofctl add-flow br-int nw_dst=172.16.110.141,idle_timeout=0,dl_type=0x0800,nw_proto=1,actions=output:32
如图2,创建云主机完成后,在虚拟网桥br-int上生成一个虚拟网卡,在虚拟网桥上添加端口,给该虚拟机添加外迁地址时,在宿主机上配置vxlan通道,创建出另外一个虚拟端口,检查源地址与目的地址间网络是否能正常通信,设置openstwitck流表规则,关联源地址与目的地址间vxlan的通道。将流入或流出源地址的符合外迁规则的流量重定向到外迁地址,其余流量正常收发。
实现流程:
实施人员创建虚拟交换机br-int
1、请求创建云主机,云主机创建时会在openvswitch上创建对应的port并将信息返回给用户。
2、指定外迁流量的端口、协议及方向,指定外迁地址,在openvswitch上创建外迁地址的port,配置vxlan通道,通过port_id获取在openflow上的编码。
ovs-vsctl get Interface {源地址} of port
3、判断源地址与外迁地址是否能够ping通,若能在openvswitch上创建上设置相应外迁的流表规则。
ovs-ofctl add-flow br-int nw_dst={外迁地址址},idle_timeout=0,dl_type=0x0800,nw_proto=1,actions=output:32
4、源地址发送或接收数据流量,所有流量通过openvswitch转发。符合流表规则的数据直接重定向转发给外迁地址,源地址或目标地址接收不到该数据;不符合流表规则的数据可顺利被源地址或目标地址接收。
Claims (1)
1.一种在私有云中虚拟机端口流量外迁的方法,其特征在于,包括以下步骤:
1)管理员创建云主机,并建立虚拟网卡与虚拟交换机上虚拟端口的连接,每个网卡在虚拟交换机上都会存在一个端口;
2)管理员为某一虚拟网卡设置外迁地址,该网卡与外迁地址直接可互相访问,若不通则无法添加成功;
支持ICMP、TCP、UDP和ARP协议,支持指定外迁的端口及方向;
3)在为云主机配置外迁地址时,会在云主机虚拟网卡本身端口的基础上再次创建一个虚拟端口,此虚拟端口属性为vxlan,根据端口获取IP地址在openflow上的编号,监测源地址与目的地址能否ping通,若能通,通过在openvswitch上设置流表规则,控制虚拟交换机的流量走像,从而实现流量重定向。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711130396.1A CN107911313A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中虚拟机端口流量外迁的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711130396.1A CN107911313A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中虚拟机端口流量外迁的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107911313A true CN107911313A (zh) | 2018-04-13 |
Family
ID=61844141
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711130396.1A Withdrawn CN107911313A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中虚拟机端口流量外迁的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107911313A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113419812A (zh) * | 2021-05-20 | 2021-09-21 | 济南浪潮数据技术有限公司 | 一种虚拟化环境下端口转发测试方法、装置、设备及介质 |
CN114143076A (zh) * | 2021-11-29 | 2022-03-04 | 全球能源互联网研究院有限公司 | 一种电力物联网安全防护系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160277355A1 (en) * | 2015-03-18 | 2016-09-22 | Cisco Technology, Inc. | Inter-pod traffic redirection and handling in a multi-pod network environment |
CN106383736A (zh) * | 2016-09-21 | 2017-02-08 | 杭州华三通信技术有限公司 | 端口扩展方法和装置 |
CN106685787A (zh) * | 2017-01-03 | 2017-05-17 | 华胜信泰信息产业发展有限公司 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
CN106909439A (zh) * | 2017-02-27 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移控制方法及装置 |
CN107018058A (zh) * | 2017-03-30 | 2017-08-04 | 国家计算机网络与信息安全管理中心 | 一种云环境下共用vlan和vxlan通信的方法及系统 |
-
2017
- 2017-11-15 CN CN201711130396.1A patent/CN107911313A/zh not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160277355A1 (en) * | 2015-03-18 | 2016-09-22 | Cisco Technology, Inc. | Inter-pod traffic redirection and handling in a multi-pod network environment |
CN106383736A (zh) * | 2016-09-21 | 2017-02-08 | 杭州华三通信技术有限公司 | 端口扩展方法和装置 |
CN106685787A (zh) * | 2017-01-03 | 2017-05-17 | 华胜信泰信息产业发展有限公司 | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 |
CN106909439A (zh) * | 2017-02-27 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移控制方法及装置 |
CN107018058A (zh) * | 2017-03-30 | 2017-08-04 | 国家计算机网络与信息安全管理中心 | 一种云环境下共用vlan和vxlan通信的方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113419812A (zh) * | 2021-05-20 | 2021-09-21 | 济南浪潮数据技术有限公司 | 一种虚拟化环境下端口转发测试方法、装置、设备及介质 |
CN113419812B (zh) * | 2021-05-20 | 2022-03-11 | 济南浪潮数据技术有限公司 | 一种虚拟化环境下端口转发测试方法、装置、设备及介质 |
CN114143076A (zh) * | 2021-11-29 | 2022-03-04 | 全球能源互联网研究院有限公司 | 一种电力物联网安全防护系统 |
CN114143076B (zh) * | 2021-11-29 | 2024-01-19 | 全球能源互联网研究院有限公司 | 一种基于虚拟交换框架的电力物联网安全防护系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103326884B (zh) | Sdn网络中结合流检测和包检测的业务流感知系统及方法 | |
CN105850102B (zh) | 服务链的控制 | |
US10009267B2 (en) | Method and system for controlling an underlying physical network by a software defined network | |
US7512705B2 (en) | Truncating data units | |
CN104468462B (zh) | 分布式虚拟交换机系统的报文转发方法及设备 | |
CN107864061A (zh) | 一种在私有云中虚拟机端口限速和镜像的方法 | |
CN104022953A (zh) | 基于开放流Openflow的报文转发方法和装置 | |
EP3065360A1 (en) | Traffic cleaning method and device, and computer storage medium | |
EP3097672B1 (en) | Method of operating a network entity | |
JP2019500822A (ja) | 仮想マシンパケット制御 | |
EP2099180B1 (en) | Switching device and method for Layer-2 forwarding of OAM frames with multicast Layer-3 addresses | |
CN106789637B (zh) | 一种跨域业务互通的路径建立方法、控制器及系统 | |
EP3070879A1 (en) | Oam performance monitoring method and apparatus | |
CN104579894B (zh) | 分布式虚拟交换机系统的IGMP Snooping实现方法及装置 | |
CN107306215B (zh) | 一种数据处理方法、系统及节点 | |
KR101786620B1 (ko) | 소프트웨어 정의 네트워크에서 서브넷을 지원하는 방법, 장치 및 컴퓨터 프로그램 | |
KR101746105B1 (ko) | 서비스 체이닝이 가능한 오픈플로우 스위치 | |
CN107911313A (zh) | 一种在私有云中虚拟机端口流量外迁的方法 | |
Burakowski et al. | Virtualized network infrastructure supporting co-existence of Parallel Internets | |
CN104320322A (zh) | 一种报文控制方法和设备 | |
CN112105056A (zh) | 一种基于5gsa网络的码流传输方法和装置 | |
KR20210016802A (ko) | 소프트웨어 정의 네트워킹 환경에서 서버-클라이언트 기반의 네트워크 서비스를 위한 플로우 테이블을 최적화하는 방법 및 이를 위한 sdn 스위치 | |
Owada et al. | An Implementation of layer 2 overlay mesh network and edge computing platform for IoT | |
CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
CN111865805B (zh) | 一种组播gre报文处理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180413 |