CN108833305B - 主机的虚拟网络装置 - Google Patents
主机的虚拟网络装置 Download PDFInfo
- Publication number
- CN108833305B CN108833305B CN201810785117.3A CN201810785117A CN108833305B CN 108833305 B CN108833305 B CN 108833305B CN 201810785117 A CN201810785117 A CN 201810785117A CN 108833305 B CN108833305 B CN 108833305B
- Authority
- CN
- China
- Prior art keywords
- module
- vyos
- virtual
- data packet
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001914 filtration Methods 0.000 claims abstract description 9
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000000034 method Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000011330 nucleic acid test Methods 0.000 description 4
- 238000013519 translation Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种主机的虚拟网络架构,属于计算机领域。该主机包括至少一个网口,该虚拟网络架构包括至少一个虚拟机,该虚拟网络架构还包括:虚拟交换机模块、至少一个VyOS模块以及至少一个网桥,其中,所述虚拟交换机模块连接在所述至少一个网桥和所述至少一个VyOS模块之间,用于进行流表检查以将数据包转发至对应的网桥或对应的VyOS模块;所述至少一个VyOS模块中的每个VyOS模块与所述至少一个网口中的一者连接,用于对所述数据包进行过滤以及根据所述数据包的出口地址进行转发;所述至少一个网桥对应连接所述至少一个虚拟机,用于对所述数据包进行检查并转发至对应的虚拟机或所述虚拟交换机模块。本发明可以极大地节省设备成本,降低网络硬件的依赖。
Description
技术领域
本发明涉及计算机,具体地涉及主机的虚拟网络架构。
背景技术
云计算时代线下产品越来越丰富,需求与功能的需求也日益繁多,而这种变化往往导致IAAS层虚拟化网络的大规模调整,网络的调整对应物理网络上的架构调整,因此通用性不强。如果后期需要新的网络需求,传统虚拟网络架构将不利于扩展,各种性能以及安全方面需求也会受到限制。
传统虚拟网络的虚拟网络结构为网桥连接主机的网口,虚拟机连接网桥。该架构简单、易操作,维护人员不需要掌握复杂的虚拟化网络技术。其使用场景单一,功能简单,特别适用于小型企业内部及个人测试。但是这种架构存在以下问题:
用户对内部网络的管理无能为力,依赖外部设备;虚拟机需要高带宽实现内部数据交互严重依赖服务器网卡和交换机,造成成本过高。
发明内容
本发明实施例的目的是提供一种主机的虚拟网络架构,该主机的虚拟网络架构可以极大地节省设备成本,降低网络硬件的依赖。
为了实现上述目的,本发明实施例提供一种主机的虚拟网络架构,该主机包括至少一个网口,该虚拟网络架构包括至少一个虚拟机,该虚拟网络架构还包括:虚拟交换机模块、至少一个VyOS模块以及至少一个网桥,其中,所述虚拟交换机模块连接在所述至少一个网桥和所述至少一个VyOS模块之间,用于进行流表检查以将数据包转发至对应的网桥或对应的VyOS模块;所述至少一个VyOS模块中的每个VyOS模块与所述至少一个网口中的一者连接,用于对所述数据包进行过滤以及根据所述数据包的出口地址进行转发;所述至少一个网桥对应连接所述至少一个虚拟机,用于对所述数据包进行检查并转发至对应的虚拟机或所述虚拟交换机模块。
优选地,所述虚拟交换机模块进行流表检查包括:基于所述流表中的至少一个流表项的优先级,将所述数据包与所述至少一个流表项依次进行匹配;当有流表项匹配时,执行所匹配的流表项设置的指令;在无流表项匹配时,根据所述流表的配置执行操作,其中,该操作包括丢弃所述数据包、转发所述数据包至其它流表以及转发所述数据包至远程控制器。
优选地,所述至少一个VyOS模块中的每个VyOS模块包括:路由器,用于判断所述数据包的出口地址,在所述出口地址为所述VyOS模块的其它网关接口地址时,将所述数据包转发至对应的网关接口以进入所述虚拟交换机模块;在所述数据包的出口地址为网口地址时,将所述数据包转发至对应的网口。
优选地,所述至少一个VyOS模块中的每个VyOS模块还包括:防火墙,用于对从所述至少一个网口或所述路由器接收的所述数据包进行过滤。
优选地,所述至少一个网桥为Linux网桥。
优选地,所述虚拟交换机模块包括:Netflow模块,用于监控和统计所述虚拟交换机模块上的流量。
优选地,所述至少一个VyOS模块中的每个VyOS模块还包括:IP地址分配模块,用于在接收到IP地址分配请求时,为所述至少一个虚拟机分配IP地址。
优选地,其特征在于,所述至少一个VyOS模块中的每个VyOS模块还包括:域名模块,用于存储与所述至少一个虚拟机的IP地址映射的域名。
优选地,其特征在于,所述至少一个VyOS模块中的每个VyOS模块还包括:IP地址转换模块,用于将所述至少一个虚拟机的IP地址转换为公用IP地址。
通过上述技术方案,采用本发明提供的主机的虚拟网络架构,该主机包括至少一个网口,该虚拟网络架构包括至少一个虚拟机,该虚拟网络架构还包括:虚拟交换机模块、至少一个VyOS模块以及至少一个网桥,其中,所述虚拟交换机模块连接在所述至少一个网桥和所述至少一个VyOS模块之间;所述至少一个VyOS模块中的每个VyOS模块与所述至少一个网口中的一者连接;所述至少一个网桥对应连接所述至少一个虚拟机。将虚拟交换机和Vyos等模块融入到虚拟网络环境当中,提供二至四层的整套虚拟网络功能,极大地方便虚拟环境内部的网络定制,可以极大地节省设备成本,降低网络硬件的依赖。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1是本发明一实施例提供的主机的虚拟网络架构的示意图;
图2是本发明一实施例提供的流表的示意图;
图3是本发明另一实施例提供的主机的虚拟网络架构的示意图;
图4是本发明一实施例提供的虚拟机入流量的流程图;
图5是本发明一实施例提供的VyOS模块的示意图;以及
图6是本发明一实施例提供的主机的虚拟网络架构的应用示意图。
附图标记说明
1 网口 2 虚拟机
3 虚拟交换机模块 31 OpenvSwitch模块
4 Vyos模块 5 网桥
51 linux网桥 41 路由器
42 防火墙 43 IP地址分配模块
44 域名模块 45 IP地址转换模块。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
图1是本发明一实施例提供的主机的虚拟网络架构的示意图。如图1所示,该主机包括至少一个网口1,该虚拟网络架构包括至少一个虚拟机2,该虚拟网络架构还包括:虚拟交换机模块3、至少一个Vyos模块4以及至少一个网桥5,其中,所述虚拟交换机模块3连接在所述至少一个网桥5和所述至少一个Vyos模块4之间,用于进行流表检查以将数据包转发至对应的网桥5或对应的Vyos模块4;所述至少一个Vyos模块4中的每个Vyos模块4与所述至少一个网口1中的一者连接,用于对所述数据包进行过滤以及根据所述数据包的出口地址进行转发;所述至少一个网桥5对应连接所述至少一个虚拟机2,用于对所述数据包进行检查并转发至对应的虚拟机2或所述虚拟交换机模块3。
本发明中,为了应对新的网络需求,云计算网络部署在前期规划好底层网络之后,采用软件定义网络或者NFV的概念去实现虚拟化网络,将虚拟交换机3、路由器41、防火墙42等设备融入到虚拟网络环境当中,提供二至四层的整套虚拟网络功能,极大地方便虚拟环境内部的网络定制,配合软件定义路由器41、防火墙42和虚拟交换机3可以极大地节省设备成本、降低网络硬件的依赖。
本发明的虚拟网络架构主要包括:至少一个网桥5、虚拟交换机模块3以及至少一个Vyos模块4等,其中为了便于说明图1只展示了两个网桥5、两个网口1和一个Vyos模块4。Vyos模块4可以关联某些主机的网口1,提供网络中需要的路由、防火墙42、NAT、VPN和高可用等;虚拟交换机模块3可以关联另一些主机的网口1、Vyos模块4以及网桥5,提供VLAN、OpenFlow和NetFlow等功能;主机上生产的虚拟机2连接到自己对应的网桥5。主机的网口1和虚拟交换机之间可以连接Vyos模块4也可不连接,如连接Vyos模块4可以使用Vyos模块4提供的功能。
图2是本发明一实施例提供的流表的示意图。如图2所示,虚拟交换机具有至少一个流表,每个流表包括至少一个流表项,每个流表项包括匹配域、优先级、计数器、指令集、失效时间以及指示值(cookie)等。其中匹配域匹配以太网类型、Vlan ID、优先级、源IP地址、目的IP地址、源MAC、目的MAC、源端口和目的端口或者协议等,计数器统计与该流表项成功匹配的数据包数量,指令集应用到与该流表项成功匹配的数据包,包括可执行的动作指令,指示值被远程控制器用来筛选流统计、流修改或者流删除行为。
所述虚拟交换机模块3进行流表检查包括:基于所述流表中的至少一个流表项的优先级,将所述数据包与所述至少一个流表项依次进行匹配;当有流表项匹配时,执行所匹配的流表项设置的指令;在无流表项匹配时,根据所述流表的配置执行操作,其中,该操作包括丢弃所述数据包、转发所述数据包至其它流表以及转发所述数据包至远程控制器。
当有多个流表时,这些流表是按照数字顺序排列的,起始索引号从0开始,任何进入的数据包都会从第一个流表,即Table 0开始处理,后续的流表可能会被使用到,而这依赖于Table 0中匹配成功的流表项的输出结果。
当一个数据包被一个流表处理时,数据包会被逐次地依据优先级与该流里的所有流表项进行匹配,当发现匹配成功的流表项时,该流表项相关联的指令集将会被执行,这些指令可能会将该数据包显示地直接转发到后续的其他流表里(通过Goto指令)继续处理,在那里继续采取同样的方式来处理数据包。流表项只会将数据包继续往前(往索引号比当前大的流表)转发,而不会倒序转发,因此,如果最后一个流表中某个匹配成功的流表项不能将数据包继续转发到后续的流表,那么整个过程将在此终止,此时执行流表动作指令,通常是数据包被转发走。
假若一个数据包在一个流表里没有发现能够匹配成功的流表项,那么根据流表的配置执行:1)直接丢弃,2)继续转发给后续的流表,3)发送给远程控制器。
图3是本发明另一实施例提供的主机的虚拟网络架构的示意图。如图3所示,所述至少一个Vyos模块4中的每个Vyos模块4包括:
路由器41,用于判断所述数据包的出口地址,在所述出口地址为所述Vyos模块4的其它网关接口地址时,将所述数据包转发至对应的网关接口以进入所述虚拟交换机模块3;在所述数据包的出口地址为网口1地址时,将所述数据包转发至对应的网口1;
防火墙42,用于对从所述至少一个网口1或所述路由器41接收的所述数据包进行过滤。
本发明优选主机为Linux主机,则至少一个网桥5为Linux网桥51,虚拟交换机模块3优选为OpenvSwitch模块31。
图4是本发明一实施例提供的虚拟机入流量的流程图。如图4所示,使用本发明实施例的结构的虚拟机2入流量的步骤为:
步骤1:网口1获取流量,首先经过Vyos模块4的防火墙42部分进行过滤;如果策略通过则进入路由器41转发,否则丢弃数据包;
步骤2:数据包经过路由器41进行转发,到相应网段的接口;
步骤3:数据包进入OpenvSwitch模块31,流表检查,检查匹配则输出到指定端口,如需流转换则进行流转换,指定端口连接Linux网桥51;
步骤4:Linux网桥51寻址,流量被转发至虚拟机2。
对于流转换,如果要实现一个vlan汇聚功能,将vlan101和vlan102都转变成vlan10,则当有一个数据包进入交换机流表中,进行流表检查,如果tag为vlan101和vlan102的地址,将会被修改为vlan10以完成流转换。
另外,使用本发明实施例的结构的虚拟机2出流量的步骤为:
步骤1:虚拟机2流量发出,Linux网桥51获取流量;
步骤2:OpenvSwitch模块31获取到流量之后进行流表检查,直接输出到指定端口,指定端口连接Vyos模块4;
步骤3:路由器41如果获取到流量,查路由表转发至出口,出口若是其它网关接口地址时,则执行入流量步骤3和4,否则转发至防火墙42;
步骤4:防火墙42规则检查,放行则转发至网口1,拒绝则丢弃;
步骤5:流量已出主机。
另外,本发明还使用虚拟交换机模块3具有的Netflow模块来监控和统计虚拟交换机模块3上的流量。一个Netflow系统包括三个主要部分:探测器,采集器,报告系统。探测器用来监听网络数据的,采集器用来收集探测器传来的数据,报告系统用来从采集器收集到的数据产生易读的报告。
图5是本发明一实施例提供的Vyos模块的示意图。如图5所示,所述至少一个Vyos模块4中的每个Vyos模块4还包括:
IP地址分配模块43,即提供DHCP服务,用于在接收到IP地址分配请求时,为所述至少一个虚拟机2分配IP地址;
域名模块44,用于存储与所述至少一个虚拟机2的IP地址映射的域名。例如DNS模块,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
IP地址转换模块45,用于将所述至少一个虚拟机2的IP地址转换为公用IP地址。如NAT模块,当虚拟机2本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信时,可使用NAT模块进行地址转换。
图6是本发明一实施例提供的主机的虚拟网络架构的应用示意图。如图6所示,虚拟机2对外提供服务,处于不同的网段,内部之间需要通讯,但是如果没有物理三层设备(路由设备),用户无法跨网段访问虚拟机2。这种场景在传统架构下面需要物理三层设备的支持,而且网络结构以及硬件控制结构需要调整。在本发明实施例中,使用Vyos模块4提供物理三层设备的功能。
以下为实现步骤:
步骤1:用户1和用户2具有正常的IP地址,通过物理交换机和网口1连接;
步骤2:物理交换机传递用户1和用户2以及网口1的数据流;
步骤3:Vyos模块4中,防火墙42设置过滤规则,对源地址和目标地址以及端口访问进行限制;丢弃用户跨网段访问虚拟机2的数据流;
步骤4:Vyos模块4中,路由器41将数据流转发到相应网关接口上;
步骤5:数据流到达OpenvSwitch模块31,流表检查,数据流转发至Linux网桥51。通过NetFlow协议将内部网络流量统计转发到图形UI展示;
步骤6:Linux网桥51对数据包进行检查,转发至虚拟机2;
步骤7:数据流进入虚拟机2。
综上,本发明提供的主机的虚拟网络架构可以提供以下功能:
网络交换(802.1Q VLAN、STP、端口镜像等)、网络路由(BGP、OSPFv2、OSPFv3、RIP、RIPng、Policy-based routing等)、防火墙42和NAT(状态防火墙42、基于策略、基于区域、NAT地址转换等)、网络服务(DHCP、DNS缓存服务、Web代理、URL过滤、QoS等)、VPN服务(IPSec、VTI、OpenVPN、L2TP等)、高可用(VRRP、WAN故障转移和负载均衡等)以及监控和维护(SNMP、远程系统日志、Netflow)。
基于上面的主要功能,云计算领域下大部分线下产品的简单的、复杂的虚拟网络场景均可实现。它能做三层网络的安全互通,也能做到二层网络的安全隔离,还能对经过的流进行匹配修改。虚拟与物理网络的融合也简单,更利于产品节点的横向升缩。
通过上述技术方案,本发明实施例提供一种主机的虚拟网络架构,该主机包括至少一个网口,该虚拟网络架构包括至少一个虚拟机,该虚拟网络架构还包括:虚拟交换机模块、至少一个VyOS模块以及至少一个网桥,其中,所述虚拟交换机模块连接在所述至少一个网桥和所述至少一个VyOS模块之间;所述至少一个VyOS模块中的每个VyOS模块与所述至少一个网口中的一者连接;所述至少一个网桥对应连接所述至少一个虚拟机。将虚拟交换机和Vyos等模块融入到虚拟网络环境当中,提供二至四层的整套虚拟网络功能,极大地方便虚拟环境内部的网络定制,可以极大地节省设备成本,降低网络硬件的依赖。
以上结合附图详细描述了本发明实施例的可选实施方式,但是,本发明实施例并不限于上述实施方式中的具体细节,在本发明实施例的技术构思范围内,可以对本发明实施例的技术方案进行多种简单变型,这些简单变型均属于本发明实施例的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施例对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明实施例的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明实施例的思想,其同样应当视为本发明实施例所公开的内容。
Claims (6)
1.一种主机的虚拟网络装置,该主机包括至少一个网口,该虚拟网络装置包括至少一个虚拟机,其特征在于,该虚拟网络装置还包括:
虚拟交换机模块、至少一个VyOS模块以及至少一个网桥,其中,
所述虚拟交换机模块连接在所述至少一个网桥和所述至少一个VyOS模块之间,用于进行流表检查以将数据包转发至对应的网桥或对应的VyOS模块;
所述至少一个VyOS模块中的每个VyOS模块与所述至少一个网口中的一者连接,用于对所述数据包进行过滤以及根据所述数据包的出口地址进行转发;
所述至少一个网桥对应连接所述至少一个虚拟机,用于对所述数据包进行检查并转发至对应的虚拟机或所述虚拟交换机模块,
其中,所述至少一个VyOS模块中的每个VyOS模块包括:
路由器模块,用于判断所述数据包的出口地址,在所述数据包的出口地址为所述VyOS模块连接的所述网口的网口地址时,将所述数据包转发至对应的网口;
在所述出口地址为其它网口地址时,将所述数据包转发至所述虚拟交换机模块,
其中,所述至少一个VyOS模块中的每个VyOS模块还包括:
防火墙,用于对从所述至少一个网口或所述路由器模块接收的所述数据包进行过滤,
其中,所述虚拟交换机模块具有至少一个流表,每个流表包括至少一个流表项,
其中,所述虚拟交换机模块进行流表检查包括:
基于所述流表中的至少一个流表项的优先级,将所述数据包与所述至少一个流表项依次进行匹配;
当有流表项匹配时,执行所匹配的流表项设置的指令;
在无流表项匹配时,根据所述流表的配置执行操作,其中,该操作包括丢弃所述数据包、转发所述数据包至其它流表或者转发所述数据包至远程控制器。
2.根据权利要求1所述的主机的虚拟网络装置,其特征在于,所述至少一个网桥为Linux网桥。
3.根据权利要求1所述的主机的虚拟网络装置,其特征在于,所述虚拟交换机模块包括:
Netflow模块,用于监控和统计所述虚拟交换机模块上的流量。
4.根据权利要求1所述的主机的虚拟网络装置,其特征在于,所述至少一个VyOS模块中的每个VyOS模块还包括:
IP地址分配模块,用于在接收到IP地址分配请求时,为所述至少一个虚拟机分配IP地址。
5.根据权利要求4所述的主机的虚拟网络装置,其特征在于,所述至少一个VyOS模块中的每个VyOS模块还包括:
域名模块,用于存储与所述至少一个虚拟机的IP地址对应的域名。
6.根据权利要求4所述的主机的虚拟网络装置,其特征在于,所述至少一个VyOS模块中的每个VyOS模块还包括:
IP地址转换模块,用于将所述至少一个虚拟机的IP地址转换为公用IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810785117.3A CN108833305B (zh) | 2018-07-17 | 2018-07-17 | 主机的虚拟网络装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810785117.3A CN108833305B (zh) | 2018-07-17 | 2018-07-17 | 主机的虚拟网络装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108833305A CN108833305A (zh) | 2018-11-16 |
| CN108833305B true CN108833305B (zh) | 2024-04-05 |
Family
ID=64140661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810785117.3A Active CN108833305B (zh) | 2018-07-17 | 2018-07-17 | 主机的虚拟网络装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108833305B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889529B (zh) * | 2019-03-01 | 2021-06-08 | 国电南瑞科技股份有限公司 | 一种基于iptable的通信控制器的防火墙实现方法 |
| CN110213181B (zh) * | 2019-04-28 | 2021-01-29 | 华为技术有限公司 | 虚拟网络中的数据引流装置及数据引流方法 |
| CN111211982B (zh) * | 2019-12-30 | 2022-05-17 | 视联动力信息技术股份有限公司 | 数据转发方法及装置、电子设备、存储介质 |
| CN112887290B (zh) * | 2021-01-20 | 2022-07-15 | 深圳行云创新科技有限公司 | 基于kubernetes的网络安全访问的控制方法 |
| CN113806015B (zh) * | 2021-09-03 | 2023-12-12 | 上海云轴信息科技有限公司 | 一种基于arm架构的虚拟路由网络构建方法及设备 |
| CN115941389A (zh) * | 2022-11-15 | 2023-04-07 | 中电信量子科技有限公司 | 一种实现IPSec VPN二层组网的方法及IPSec VPN网关 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
| CN106888255A (zh) * | 2017-02-20 | 2017-06-23 | 郑州云海信息技术有限公司 | 一种云计算平台下虚拟化系统 |
| CN106953788A (zh) * | 2017-02-16 | 2017-07-14 | 北京西普阳光教育科技股份有限公司 | 一种虚拟网络控制器及控制方法 |
| CN107278359A (zh) * | 2016-11-09 | 2017-10-20 | 华为技术有限公司 | 云计算系统中报文处理的方法、主机和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9602334B2 (en) * | 2013-01-22 | 2017-03-21 | International Business Machines Corporation | Independent network interfaces for virtual network environments |
-
2018
- 2018-07-17 CN CN201810785117.3A patent/CN108833305B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468746A (zh) * | 2014-11-23 | 2015-03-25 | 国云科技股份有限公司 | 一种适用于云平台的分布式虚拟网络实现方法 |
| CN107278359A (zh) * | 2016-11-09 | 2017-10-20 | 华为技术有限公司 | 云计算系统中报文处理的方法、主机和系统 |
| CN106953788A (zh) * | 2017-02-16 | 2017-07-14 | 北京西普阳光教育科技股份有限公司 | 一种虚拟网络控制器及控制方法 |
| CN106888255A (zh) * | 2017-02-20 | 2017-06-23 | 郑州云海信息技术有限公司 | 一种云计算平台下虚拟化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108833305A (zh) | 2018-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833305B (zh) | 主机的虚拟网络装置 | |
| CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
| US10659347B2 (en) | Integrated heterogeneous software-defined network | |
| US20220174042A1 (en) | Network Architecture for Cloud Computing Environments | |
| US10887194B2 (en) | Context-sensitive command whitelisting for centralized troubleshooting tool | |
| Del Piccolo et al. | A survey of network isolation solutions for multi-tenant data centers | |
| US10911355B2 (en) | Multi-site telemetry tracking for fabric traffic using in-band telemetry | |
| EP3248331B1 (en) | Method for controlling switches to capture and monitor network traffic | |
| US9654395B2 (en) | SDN-based service chaining system | |
| CN106953788B (zh) | 一种虚拟网络控制器及控制方法 | |
| US20170026289A1 (en) | Aia enhancements to support lag networks | |
| WO2015127752A1 (zh) | 数据报文处理方法及装置 | |
| US11588682B2 (en) | Common connection tracker across multiple logical switches | |
| EP2369782B1 (en) | Multicasting within a distributed control plane of a switch | |
| US8798059B1 (en) | Optimizing private virtual local area networks (VLANs) | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN111083148A (zh) | 一种基于云计算领域实现vpn网关的方法 | |
| US10924397B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| CN108833284B (zh) | 一种云平台和idc网络的通信方法及装置 | |
| CN109729010B (zh) | 一种网络中确定流量传输路径的方法、设备和系统 | |
| WO2019123523A1 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| US20210352004A1 (en) | Multi-vrf and multi-service insertion on edge gateway virtual machines | |
| CN111131135B (zh) | 数据传输方法、系统、计算机可读存储介质及电子设备 | |
| JP2014230046A (ja) | ハブ別制御機能を有するipアドレス割当サーバ | |
| US8804708B1 (en) | Methods and apparatus for implementing access control at a network switch |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 0001, 1f, block B, No. 18, Zhongguancun Street, Haidian District, Beijing 100080 Applicant after: Beijing Xipu Sunshine Technology Co.,Ltd. Address before: Room 0001, 1f, block B, No. 18, Zhongguancun Street, Haidian District, Beijing 100080 Applicant before: BEIJING SIMPLEWARE EDUCATION TECHNOLOGY CO.,LTD. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |