CN110636036A - 一种基于SDN的OpenStack云主机网络访问控制的方法 - Google Patents

一种基于SDN的OpenStack云主机网络访问控制的方法 Download PDF

Info

Publication number
CN110636036A
CN110636036A CN201810665429.0A CN201810665429A CN110636036A CN 110636036 A CN110636036 A CN 110636036A CN 201810665429 A CN201810665429 A CN 201810665429A CN 110636036 A CN110636036 A CN 110636036A
Authority
CN
China
Prior art keywords
ovs
access control
data packet
iptables
sdn controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810665429.0A
Other languages
English (en)
Inventor
叶家炜
徐佳玮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fudan University
Original Assignee
Fudan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fudan University filed Critical Fudan University
Priority to CN201810665429.0A priority Critical patent/CN110636036A/zh
Publication of CN110636036A publication Critical patent/CN110636036A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及OpenStack中云主机内部网络访问控制领域,公开了一种基于SDN的OpenStack云主机网络访问控制的方法。本方法包括:将Linux网桥作为旁路连接在OVS上,根据需求决定数包是否要利用Linux网桥中的iptables加强访问控制检测;使用SDN控制器控制OpenStack中虚拟交换机的流表设定;提供让用户与Linux网桥交互的接口,用户可以通过iptables提供的远程编程接口库与iptables进行交互,根据需求直接增加删除或修改其中的转发规则;提供让用户通过SDN控制器控制访问控制规则的接口,用户可以通过SDN APP与SDN控制器交互,使得SDN控制器根据修改的规则作出决策,决定哪些数据包在转发时需要经过Linux网桥进行访问控制检测。本方法提高了云网络的安全性,具有较高的转发效率,和较高的灵活性。

Description

一种基于SDN的OpenStack云主机网络访问控制的方法
技术领域
本发明涉及OpenStack中云主机内部网络访问控制领域,特别涉及一种基于SDN的OpenStack云主机网络访问控制的方法。
背景技术
现有技术公开了云计算是一种以互联网为基础的计算,可根据需求向机及其他设备提供共享的计算机处理资源和数据,例如网络、服务器存储应用和服务等。实践显示,云计算使得对可配置资源共享池的按需访问成为可能,且这些访问是可以在任意时间和地点进行的;通过这种方式,用户可以花费最少的时间和精力迅速地得到所需求的资源;云计算提供的这三种服务以及些带来利益,使得它成为未来人们使用网络及计算资源的一种趋势。同时,目前国内外一些大型企业对云计算的使用以及快速发展的人工智能和大数据领域对云计算依赖,更加体现了云计算的重要性及未来发展趋势。
OpenStack是一个开源的云计算软件平台,它最早是在2010年7月由美国国家航天局(NASA)和Rackspace合作提出并研发的;该平台主要用于供基础设施即服务(IaaS),由几个相互关联的组件成,可以通过数据中心控制不同种类、不同厂商的硬件池,使用这些进行数据处理存储以及网络资源分配;用户可以通过一个基于Web的可视化界面(Dashboard)或者使用命令行工具或OpenStack提供的接口对其进行管理。OpenStack提供的几个核心项目为计算、对象存储、镜像服务、身份服务、网络及地址管理、块存储、可视化界面、测量、部署编排等。
Neutron是OpenStack的核心项目之一,前身为Quantum,用于提供“网络即服务(Networking as a service)”,即虚拟网络功能,它使得OpenStack云可以灵活地划分物理网络,在多租户环境下为每个提供独立的网络环境;通过给租户提供API创建自己需要的网络对象,Neutron可以构建丰富的网络拓扑,并在OpenStack云中配置相应的网络策略;此外,Neutron使得用户可以引入创新插件及构建高级网络服务,从而使租户对云网络的用变得更加个性化,能适应多种租户的需求;Neutron对Horizon GUI的支持也使得网络和虚拟机创建、管理更加方便与快捷。
软件定义网络(Software-Defined Networking,SDN)是一种实现网络虚拟化的新型网络架构,它允许网络管理员通过开放的可编程接口和经过抽象后的下层功能对网络进行动态的初始化、控制更改和管理;传统网络中的静态架构不支持动态、可伸缩的计算和存储需求,而SDN的引入使得这些需求以解决,它通过解耦及分离系统,将网络设备的控制平面与数据平面进行区别,使得管理员可以采用集中控制替代原有的分布式控制,从而达到更灵活、高效的管理和控制。
虽然目前OpenStack技术在云计算管理平台中获得了较为广泛的应用,但它的网络组件Neutron仍存在功能上的缺失及灵活性上的缺乏,无法满足云计算的全部需求;虽然目前的Neutron已经有了较多的功能,当遇到需要更改网络结构情况时显得不够灵活,因此Neutron与SDN技术的结合将是非常有前景的一个解决方案。
实践显示,OpenStack Neutron组件的扩展性较差,它的网络配置都是静态配置的,因而不能较好地支持虚拟化环境的动态特性;而SDN本身就是一个动态可编程的网络,Neutron与它的结合将可以很好地解决Neutron的扩展性问题;此外,由于OpenStack架构中的虚拟机与外部网络通信时都需要经过网络节点,因此网络容易成为整个架构的瓶颈并且容易出现单点故障问题,而目前OpenStack针对该问题提出的分布式路由(DistributedVirtual Routing)方案和高可用(High Availability)方案仍存在缺陷,因此利用SDN增强网络节点的带宽或者对网络节处流量进行分成为该问题一种候选解决方案。
此外,Neutron中的网络监控问题虽然可以通过OpenStack的测量组件进行解决,但这样的监控是不及时的,并且无法进行全面的数据采集,通过在Neutron中添加SDN控制器并添加监控的应用程序,可以及时且全面地对网络进行监控和分析。
在OpenStack的计算节点云主机端的数据包处理流程是:首先数据包流量从虚拟机IP内核发出,移交给TAP设备,TAP设备配合命名空间解决IP地址冲突的问题;然后TAP设备通过Linux网桥中继到虚拟交换机br-int上面,因为OVS无法实现带状态的防火墙规则,因此引入Linux网桥通过其安全组策略实现,Linux网桥使用配对设备连接br-int;虚拟交换机br-int是计算节点本地的虚拟交换设备,负责处理本地流量,负责对进出本地虚拟机的流量进行VLAN的标记或拆除;同一计算节点中的二层流量在本地完成转发,跨计算节点的流量和三层流量会被送至虚拟交OpenStack环境中的虚拟网络性能研究换机br-tun处理,虚拟交换机br-int与虚拟交换机br-tun的连接同样由veth配对设备实现;虚拟交换机通过将br-tun关联到计算节点的物理网卡,从而与网络节点或其它计算节点连通,同时负责流量出入本地节点前的处理,其中包括VLAN的封装。
如果单独使用OVS来完成云主机内部的网络访问控制,相比于Linux Bridge的iptables,它存在以下缺陷:首先OVS不支持连接状态跟踪(Connection Tracking),即OVS不能保存安全规则的状态信息,而iptables可以支持Linux的conntrack模块来完成状态防火墙,从而实现更高的性能;其次OVS完成访问控制功能依赖于它的流表,而流表存在刷新时间,因此OVS可能在某一个时刻产生响应较慢或者出现错误的情况,而iptables中的规则是不变,因此更加稳定与可靠。
OVS不支持连接状态跟踪及流表刷新问题,通过将iptables串接在OVS和虚拟机之间,利用iptables加强内部网络的访问控制,但是将TAP设备通过Linux网桥中继到虚拟交换机br-int上面会增加时延,降低数据包转发效率从而影响到整个网络的性能,并且在某些情况下,数据包可以只进行简单的访问检测,因而串接的方案显得效率低下。
基于现有技术的现状,本申请的发明人拟提供一种基于SDN的OpenStack云主机网络访问控制的方法。
发明内容
本发明的目的在于克服现有OpenStack环境中云主机侧OVS和Linux网桥串联架构的缺陷和不足,提供一种有效的实现OpenStack云主机访问控制的方法。具体涉及一种基于SDN的OpenStack云主机网络访问控制的方法。
本发明基于在现有架构中,TAP设备通过Linux网桥中继到虚拟交换机br-int上面会增加时延,降低数据包转发效率从而影响到整个网络的性能,并且在某些情况下,数据包可以只进行简单的访问检测不用经过Linux网桥。为了解决上述技术问题,本发明提出了一种基于SDN的OpenStack云主机网络访问控制的方法,所述方法包括:
将Linux网桥作为旁路连接在OVS上,根据需求决定数包是否要利用Linux网桥中的iptables加强访问控制检测的方法,既能保证和加强内部网络的安全性,同时又不降低数据包转发效率;
所述数据包的处理流程存在两种路径:对于需要进行访问控制检测的数据包,OVS将其转发到旁路的Linux网桥上,检测完毕后发回OVS进行之后的转发;对于不需要进行访问控制检测的数据包,OVS直接将其转发到下一个设备;
本方法中,首先使用SDN控制器控制OpenStack中虚拟交换机的流表设定;OpenStack云网络内部的数据包转发(东西流量)直接通过计算节点中的OVS完成,当OVS无法确定转发路径,即OVS的流表中没有存储关于该数据包的转发路径的规则时,会向SDN控制器发送Packet-In数据包询问,SDN控制器则通过Packet-Out消息告知OVS转发路径,OVS更新自己的流表后将数据包转发到正确的地址;对于Internet与虚拟机之间的通信(南北流量),则由计算节点OVS、网络节点的OVS、路由器以及连接外部的网桥共同完成;对于无法确定转发路径的数据包,计算节点或网络节点的OVS都会向SDN控制器询问后,待SDN控制器下发规则后再进行转发;
本方法中,增加让用户与Linux网桥交互的接口,用户可以通过iptables提供的远程编程接口库与iptables进行交互,根据需求直接增加删除或修改其中的转发规则;
本方法中,增加让用户通过SDN控制器控制访问控制规则的接口,用户也可以通过SDN APP与SDN控制器交互,使得SDN控制器根据修改的规则作出决策,决定哪些数据包在转发时需要经过Linux网桥进行访问控制检测。
更具体的,本发明的基于SDN的OpenStack云主机网络访问控制的方法,其包括:
将Linux网桥作为旁路连接在OVS上,根据需求决定数包是否要利用Linux网桥中的iptables加强访问控制检测;
使用SDN控制器控制OpenStack中虚拟交换机的流表设定;
提供让用户与Linux网桥交互的接口,用户可以通过iptables提供的远程编程接口库与iptables进行交互,根据需求直接增加删除或修改其中的转发规则;
提供让用户通过SDN控制器控制访问控制规则的接口,用户也可以通过SDN APP与SDN控制器交互,使得SDN控制器根据修改的规则作出决策,决定哪些数据包在转发时需要经过Linux网桥进行访问控制检测。
本方法中,Linux Bridge作为旁路连接在OVS和虚拟机之间,数据包在从虚拟机或者Internet发出后,在到达OVS匹配Flow entry时会根据SDN控制器下发在OVS中的规则选择是否要进行更一步的访问控制检测,即需转发给Linux Bridge以匹配其中的iptables规则;
本方法中,所述根据SDN控制器下发在OVS中的规则选择是否要进行更一步的访问控制检测中,云主机内部网络数据包的处理流程存在两种路径:对于需要进行访问控制检测的数据包,OVS将其转发到旁路的Linux网桥上,检测完毕后发回OVS进行之后的转发;对于不需要进行访问控制检测的数据包,OVS直接将其转发到下一个设备;
所述OVS匹配Flow entry中,对于从Linux Bridge发向OVS的数据包,直接根目地址进行转发,不再进行OVS流表项的匹配,SDN控制器将OVS流表中转发到Linux Bridge的选项放在最后;
本方法中,所述不需要进行访问控制检测的数据包,其中:
对于从某个云主机发出的数据包,在该虚拟主机侧不进行Linux Bridge转发规则的匹配,只在数据包的接收方考虑是否将其转发至Linux Bridge;
SDN控制器中存在该类型数据包不进行访问控制检测的规则。
本发明的技术效果在于:相比于只用OVS中的流表完成云主机内部网络访问控制方案而言,利用了Linux Bridge中的iptables来加强访问控制,提高了云网络的安全性;同时,相比于直接将Linux网桥串联在OVS和虚拟机之间的方案的优势是,该方法使得用户可以根据自己的需求定义是否要经过iptables进行更多地流表匹配,假如用户决定了某些包不需要经过iptables,那么这些包就可以直接从OVS转发到目的虚拟机,因而具有较高的转发效率;此外,在本发明的方案中用于对安全规则的修改是可以直接同步到iptables中的,相比于原有方案异步修改,具有较高的灵活性。
下面结合附图和具体实施例对本发明做进一步的说明。
附图说明
为了更加清楚的理解本发明的处理流程和优点,下面将对本发明中所使用的附图作简单的介绍,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明基于SDN的OpenStack云主机网络访问控制新架构的示意图;
图2示出了本发明中对于东西流量同一计算节点上的云主机之间数据包路径转发的流程示意图;
图3示出了本发明中对于东西流量不同计算节点上的云主机之间数据包路径转发的流程示意图;
图4示出了本发明中对于南北流量从云主机发向外部网络的数据包路径转发的流程示意图;
图5示出了本发明中对于南北流量从外部网络发向云主机的数据包路径转发的流程示意图。
具体实施方式
实施例1
如图1所示,在原来OpenStack和SDN集成方案架构中,修改原云主机、Linux网桥、OVS串联的结构,将Linux网桥作为OVS的旁路。其中,
云主机的访问控制过程是:Linux Bridge作为旁路连接在OVS和虚拟机之间,数据包在从虚拟机或者Internet发出后,在到达OVS匹配Flow entry时会根据SDN控制器下发在OVS中的规则选择是否要进行更一步的访问控制检测,即需转发给Linux Bridge以匹配其中的iptables规则;
若需要进行进一步的访问控制,OVS将数据包转发给Linux Bridge,否则OVS会将数据包直接转发出去;
增加让用户与Linux网桥交互的接口,用户可以通过iptables提供的远程编接口库与Linux Bridge进行交互,根据需求增删或者修改其中的转发规则;由于iptables会影响到Linux内核的模块,因此需要root权限,使用远程编接口库可以对iptables的规则进行批量修改;
增加一个SDN APP模块,用户通过SDN APP与SDN控制器进行交互,将其对iptables进行的修改告知控制器,使得可以根据修改的规则做出决策,决定哪些数据包在转发时需要经过旁路;
为了防止OVS将数据包转发到Linux网桥,网桥完成规则匹配后再转发回OVS后OVS再次把数据包发送到Linux网桥造成链路环回,本方法在OVS中增加一条规则:
对于从Linux Bridge发向OVS的数据包,直接根目地址进行转发,不再进行OVS流表项的匹配;
SDN控制器将OVS流表中转发到Linux Bridge的选项放在最后。
本方法设定对于从某个云主机发出的数据包,在该虚拟主机侧不进行LinuxBridge转发规则的匹配,只在数据包的接收方考虑是否将其转发至Linux Bridge;
新架构中的流量转发流程如下:
如图2所示,对于东西流量(云网络中内部的数据包转发),若属于相同计算节点上的云主机之间的数据包转发为例,假设有数据包从虚拟机1发往虚拟机2:
若数据包不需要经过Linux网桥,则它的转发路径为黑色箭头:VM1->OVS(ComputeNode 1)->VM2;
若数据包被判定为经过Linux网桥,则它的转发路径为黑色箭头+虚线箭头:VM1->OVS(Compute Node 1)->iptables->OVS(Compute Node 1)->VM2;
如图3所示,对于东西流量(云网络中内部的数据包转发),若属于不同计算节点上的云主机之间的数据包转发,假设有数据包从虚拟机1发往虚拟机2:
若数据包不需要经过Linux网桥,则它的转发路径为(黑色箭头部分):VM1->OVS(Compute Node 1)->OVS(Compute Node 2)->VM3;
若数据包被判定为要经过Linux网桥,则它的路径为(黑色箭头+虚线箭头):VM1->OVS(Compute Node 1)->OVS(Compute Node 2)->iptables->OVS(Compute Node 2)->VM3;
南北流量(指云网络与外部Internet之间的流量,这些需要经过网络节点及路由器与外部交互,分为从虚拟机流向外部网络的流量以及从外部网络流向虚拟机的流量。
如图4所示,对于南北流量,若方向是从云主机发向外部网络:
假设有一个数据包要从虚拟机1发往外部网络,由于数据包从虚拟机发出时不需要进行iptables规则匹配,因而它的转发过程为VM1->OVS(Compute Node1)->OVS(NetworkNode)->Router->br-ex->Internet。
如图5所示,对于南北流量,若方向是从外部网络发向云主机:
假设有一个数据包要从外部网络发往虚拟机1:
若数据包不需要经过Linux网桥,则它的转发路径为(黑色箭头部分):
Internet->br-ex->Router->OVS(Network Node)->OVS(Compute Node 1)->VM1;
若数据包被判定为要经过iptables,则它的路径为(黑色箭头+虚线箭头):
Internet->br-ex->Router->OVS(Network Node)->OVS(Compute Node 1)->iptables->OVS(Compute Node 1)->VM1

Claims (5)

1.一种基于SDN的OpenStack云主机网络访问控制的方法,其特征在于,其包括:
将Linux网桥作为旁路连接在OVS上,根据需求决定数包是否要利用Linux网桥中的iptables加强访问控制检测;
使用SDN控制器控制OpenStack中虚拟交换机的流表设定;
提供让用户与Linux网桥交互的接口,用户可以通过iptables提供的远程编程接口库与iptables进行交互,根据需求直接增加删除或修改其中的转发规则;
提供让用户通过SDN控制器控制访问控制规则的接口,用户还可以通过SDN APP与SDN控制器交互,使得SDN控制器根据修改的规则作出决策,决定哪些数据包在转发时需要经过Linux网桥进行访问控制检测。
2.根据权利要求1所述的方法,其特征在于,所述方法中,Linux Bridge作为旁路连接在OVS和虚拟机之间;
数据包在从虚拟机或者Internet发出后,在到达OVS匹配Flow entry时会根据SDN控制器下发在OVS中的规则选择是否要进行更一步的访问控制检测,即需转发给Linux Bridge以匹配其中的iptables规则。
3.根据权利要求2所述的方法,其特征在于,所述根据SDN控制器下发在OVS中的规则选择是否要进行更一步的访问控制检测中,
云主机内部网络数据包的处理流程存在两种路径:对于需要进行访问控制检测的数据包,OVS将其转发到旁路的Linux网桥上,检测完毕后发回OVS进行之后的转发;对于不需要进行访问控制检测的数据包,OVS直接将其转发到下一个设备。
4.根据权利要求2所述的方法,其特征在于,所述OVS匹配Flow entry中,
对于从Linux Bridge发向OVS的数据包,直接根目地址进行转发,不再进行OVS流表项的匹配,SDN控制器将OVS流表中转发到Linux Bridge的选项放在最后。
5.根据权利要求3根所述的方法,其特征在于,所述不需要进行访问控制检测的数据包,其中,
对于从某个云主机发出的数据包,在该虚拟主机侧不进行Linux Bridge转发规则的匹配,只在数据包的接收方考虑是否将其转发至Linux Bridge;
SDN控制器中存在该类型数据包不进行访问控制检测的规则。
CN201810665429.0A 2018-06-22 2018-06-22 一种基于SDN的OpenStack云主机网络访问控制的方法 Pending CN110636036A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810665429.0A CN110636036A (zh) 2018-06-22 2018-06-22 一种基于SDN的OpenStack云主机网络访问控制的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810665429.0A CN110636036A (zh) 2018-06-22 2018-06-22 一种基于SDN的OpenStack云主机网络访问控制的方法

Publications (1)

Publication Number Publication Date
CN110636036A true CN110636036A (zh) 2019-12-31

Family

ID=68968183

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810665429.0A Pending CN110636036A (zh) 2018-06-22 2018-06-22 一种基于SDN的OpenStack云主机网络访问控制的方法

Country Status (1)

Country Link
CN (1) CN110636036A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165432A (zh) * 2020-09-07 2021-01-01 广州锦行网络科技有限公司 一种实现OpenStack虚拟机与外部通信的方法
CN112165460A (zh) * 2020-09-10 2021-01-01 杭州安恒信息技术股份有限公司 流量检测方法、装置、计算机设备和存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN113572634A (zh) * 2021-06-22 2021-10-29 济南浪潮数据技术有限公司 一种实现云内网络与云外网络二层互通的方法及系统
CN114915492A (zh) * 2022-06-21 2022-08-16 杭州安恒信息技术股份有限公司 一种流量转发方法、装置、设备及介质
WO2023050663A1 (zh) * 2021-09-29 2023-04-06 苏州浪潮智能科技有限公司 一种虚拟网络性能加速方法、装置、设备及存储介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394130A (zh) * 2014-11-12 2015-03-04 国云科技股份有限公司 一种多租户虚拟网络隔离方法
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
US20150172201A1 (en) * 2013-12-13 2015-06-18 International Business Machiness Corporation Managing data flows in software-defined network using network interface card
US9379973B2 (en) * 2013-02-11 2016-06-28 Cisco Technology, Inc. Binary compatible extension architecture in an openflow compliant network environment
CN106230682A (zh) * 2016-07-15 2016-12-14 浪潮电子信息产业股份有限公司 一种基于openvswitch openflow协议实现的vxlan网络
CN106953788A (zh) * 2017-02-16 2017-07-14 北京西普阳光教育科技股份有限公司 一种虚拟网络控制器及控制方法
CN107278359A (zh) * 2016-11-09 2017-10-20 华为技术有限公司 云计算系统中报文处理的方法、主机和系统
WO2017199062A1 (en) * 2016-05-17 2017-11-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for enabling live virtual machine (vm) migration in software-defined networking networks
CN107819683A (zh) * 2017-10-25 2018-03-20 杭州安恒信息技术有限公司 安全资源池实现租户业务流量编排的方法、装置及电子设备
CN107959689A (zh) * 2018-01-10 2018-04-24 北京工业大学 一种云平台租户网络隔离测试方法
CN107995129A (zh) * 2017-11-30 2018-05-04 锐捷网络股份有限公司 一种nfv报文转发方法和装置
CN108039968A (zh) * 2017-12-12 2018-05-15 深圳市泰信通信息技术有限公司 网络优化方法、设备及计算机可读存储介质
CN108173696A (zh) * 2018-01-02 2018-06-15 上海陆家嘴国际金融资产交易市场股份有限公司 数据包处理方法、装置、计算机设备和存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9379973B2 (en) * 2013-02-11 2016-06-28 Cisco Technology, Inc. Binary compatible extension architecture in an openflow compliant network environment
US20150172201A1 (en) * 2013-12-13 2015-06-18 International Business Machiness Corporation Managing data flows in software-defined network using network interface card
CN104394130A (zh) * 2014-11-12 2015-03-04 国云科技股份有限公司 一种多租户虚拟网络隔离方法
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
WO2017199062A1 (en) * 2016-05-17 2017-11-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for enabling live virtual machine (vm) migration in software-defined networking networks
CN106230682A (zh) * 2016-07-15 2016-12-14 浪潮电子信息产业股份有限公司 一种基于openvswitch openflow协议实现的vxlan网络
CN107278359A (zh) * 2016-11-09 2017-10-20 华为技术有限公司 云计算系统中报文处理的方法、主机和系统
CN106953788A (zh) * 2017-02-16 2017-07-14 北京西普阳光教育科技股份有限公司 一种虚拟网络控制器及控制方法
CN107819683A (zh) * 2017-10-25 2018-03-20 杭州安恒信息技术有限公司 安全资源池实现租户业务流量编排的方法、装置及电子设备
CN107995129A (zh) * 2017-11-30 2018-05-04 锐捷网络股份有限公司 一种nfv报文转发方法和装置
CN108039968A (zh) * 2017-12-12 2018-05-15 深圳市泰信通信息技术有限公司 网络优化方法、设备及计算机可读存储介质
CN108173696A (zh) * 2018-01-02 2018-06-15 上海陆家嘴国际金融资产交易市场股份有限公司 数据包处理方法、装置、计算机设备和存储介质
CN107959689A (zh) * 2018-01-10 2018-04-24 北京工业大学 一种云平台租户网络隔离测试方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
PIYUSH RAMAN SRIVASTAVA: "Networking agent for overlay L2 routing and overlay to underlay external networks L3 routing using OpenFlow and Open vSwitch", 《2015 17TH ASIA-PACIFIC NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM (APNOMS)》 *
叶家炜: "云计算网络中多租户虚拟网络隔离的分布式实现研究", 《计算机应用与软件》 *
叶家炜: "基于Open vSwitch的虚拟网络访问控制研究-", 《计算机应用与软件》 *
马塞: "云计算中网络虚拟化技术的异构互通", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165432A (zh) * 2020-09-07 2021-01-01 广州锦行网络科技有限公司 一种实现OpenStack虚拟机与外部通信的方法
CN112165432B (zh) * 2020-09-07 2021-06-04 广州锦行网络科技有限公司 一种实现OpenStack虚拟机与外部通信的方法
CN112165460A (zh) * 2020-09-10 2021-01-01 杭州安恒信息技术股份有限公司 流量检测方法、装置、计算机设备和存储介质
CN112910877A (zh) * 2021-01-27 2021-06-04 浪潮云信息技术股份公司 基于openstack实现安全组黑名单的方法及系统
CN113572634A (zh) * 2021-06-22 2021-10-29 济南浪潮数据技术有限公司 一种实现云内网络与云外网络二层互通的方法及系统
CN113572634B (zh) * 2021-06-22 2023-04-07 济南浪潮数据技术有限公司 一种实现云内网络与云外网络二层互通的方法及系统
WO2023050663A1 (zh) * 2021-09-29 2023-04-06 苏州浪潮智能科技有限公司 一种虚拟网络性能加速方法、装置、设备及存储介质
US12057999B2 (en) 2021-09-29 2024-08-06 Inspur Suzhou Intelligent Technology Co., Ltd. Virtual network performance acceleration method, apparatus and device, and storage medium
CN114915492A (zh) * 2022-06-21 2022-08-16 杭州安恒信息技术股份有限公司 一种流量转发方法、装置、设备及介质
CN114915492B (zh) * 2022-06-21 2024-03-05 杭州安恒信息技术股份有限公司 一种流量转发方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN115699698B (zh) 虚拟l2网络中的环路防止
US11818040B2 (en) Systems and methods for a VLAN switching and routing service
US11652743B2 (en) Internet group management protocol (IGMP) of a layer-2 network in a virtualized cloud environment
CN110636036A (zh) 一种基于SDN的OpenStack云主机网络访问控制的方法
JP5976942B2 (ja) ポリシーベースのデータセンタネットワーク自動化を提供するシステムおよび方法
KR20210095890A (ko) 세분화된 네트워크 엘리먼트를 포함하는 로직 라우터
CN105052113A (zh) 针对网络设备的共同代理框架
US20210266255A1 (en) Vrf segregation for shared services in multi-fabric cloud networks
CN113225252B (zh) 双向转发检测bfd会话的建立方法、处理方法以及相关设备
JP2024503322A (ja) 仮想化されたクラウド環境におけるレイヤ2ネットワーキングストーム制御
Aly Generic controller adaptive load balancing (GCALB) for SDN networks
WO2024059818A1 (en) Connectivity for virtual private label clouds
US20230017053A1 (en) Service chaining in fabric networks
US11516291B2 (en) Secure communications of storage tenants that share a storage cluster system
Sierszeń et al. Software-Defined Automatization of Virtual Local Area Network Load Balancing in a Virtual Environment
Ran et al. A NaaS-enabled framework for service composition in software defined networking environment
CN116648691A (zh) 在虚拟化的云环境中使用访问控制列表的层2网络
CN116830547A (zh) 虚拟化云环境中的层2联网跨越端口

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20191231