CN111510435A - 一种网络安全策略迁移方法及装置 - Google Patents
一种网络安全策略迁移方法及装置 Download PDFInfo
- Publication number
- CN111510435A CN111510435A CN202010220241.2A CN202010220241A CN111510435A CN 111510435 A CN111510435 A CN 111510435A CN 202010220241 A CN202010220241 A CN 202010220241A CN 111510435 A CN111510435 A CN 111510435A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- communication address
- target
- switch
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络技术领域,特别涉及一种网络安全策略迁移方法及装置,该方法包括:接收目标服务器发送的第一类扩展报文,其中,该第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向该目标交换机发送的携带有该目标虚拟机的通信地址的扩展报文;向其它交换机发送携带有该目标交换机的通信地址和该目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于该目标虚拟机的通信地址,确定出该目标虚拟机的安全网络策略时,基于该目标交换机的通信地址发送携带有该目标虚拟机的安全网络策略的第三类扩展报文;接收其它交换机发送的携带有该目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署该目标虚拟机的网络安全策略。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种网络安全策略迁移方法及装置。
背景技术
对虚拟机限速等安全策略会配置在虚拟机所在服务器直连的接入交换机上,一旦虚拟机由源服务器迁移到另外一台服务器,需要将这些安全策略同时迁移到另外的接入交换机上,否则就无法对迁移后的虚拟机进行限速。
目前将接入交换机上的安全策略(使用硬件ACL规则实现)迁移,是通过SDN控制器实现的。SDN控制器可以控制一定范围内的所有交换机,虚拟机迁移前后的接入交换机应归属于同一个SDN控制器,所以SDN控制器可以将虚拟机迁移前的接入交换机上的安全策略删除,同时在虚拟机迁移后的接入交换机上增加该虚拟机对应的安全策略。
但是中小企业不一定会配备SDN控制器,因为SDN控制器需要增加成本,而中小企业网络简单,没有SDN控制器,网络功能也可以实现。因此,需要考虑没有SDN控制器时,如何实现安全策略随虚拟机一同迁移。
发明内容
本申请实施例提供一种网络安全策略迁移方法及装置,用以解决现有技术中存在的在无SDN控制器的应用场景中无法实现虚拟机安全策略迁移的问题。
本申请实施例提供的具体技术方案如下:
第一方面,本申请提供了一种网络安全策略迁移方法,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述方法包括:
接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;
向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;
接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
可选地,
所述第一类扩展报文为扩展后的第一LLDP报文,所述第一LLDP报文携带有第一TLV字段,所述第一TLV字段中携带有所述目标虚拟机的通信地址;
所述第二类扩展报文为扩展后的第二LLDP报文,所述第二LLDP报文携带有第二TLV字段,所述第二TLV字段中携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址;
所述第三类扩展报文为扩展后的第三LLDP报文,所述第三LLDP报文携带有第三TLV字段,所述第三TLV字段中携带有所述目标交换机的通信地址,所述目标虚拟机的通信地址和所述目标虚拟机对应的网络安全策略。
可选地,
所述目标虚拟机的通信地址为所述目标虚拟机的MAC地址和IP地址;
所述目标交换机的通信地址为所述目标交换机的MAC地址。
可选地,所述方法还包括:
接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
可选地,所述方法还包括:
若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机,以使得其它交换机基于接收到的该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略。
第二方面,本申请提供了一种网络安全策略迁移装置,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述装置包括:
第一接收单元,用于接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;
发送单元,用于向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;
第二接收单元,用于接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
可选地,
所述第一类扩展报文为扩展后的第一LLDP报文,所述第一LLDP报文携带有第一TLV字段,所述第一TLV字段中携带有所述目标虚拟机的通信地址;
所述第二类扩展报文为扩展后的第二LLDP报文,所述第二LLDP报文携带有第二TLV字段,所述第二TLV字段中携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址;
所述第三类扩展报文为扩展后的第三LLDP报文,所述第三LLDP报文携带有第三TLV字段,所述第三TLV字段中携带有所述目标交换机的通信地址,所述目标虚拟机的通信地址和所述目标虚拟机对应的网络安全策略。
可选地,
所述目标虚拟机的通信地址为所述目标虚拟机的MAC地址和IP地址;
所述目标交换机的通信地址为所述目标交换机的MAC地址。
可选地,所述装置还包括:
接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
可选地,所述装置还包括:
若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机。
第三方面,本申请提供了一种网络安全策略迁移装置,该网络安全策略迁移装置包括:
存储器,用于存储程序指令;
处理器,用于调用上述存储器中存储的程序指令,按照获得的程序执行上述第一方面中任一项方法。
第四方面,本申请提供一种计算机存储介质,该计算机可读存储介质存储有计算机可执行指令,上述计算机可执行指令用于使上述计算机执行上述第一方面中任一项方法。
本申请有益效果如下:
综上所述,本申请提供的网络安全策略迁移方法及装置,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述方法包括:接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
采用本申请提供的网络安全策略迁移方法,通过扩展报文携带迁移后的虚拟机的地址信息,从其它交换机中获取该迁移后的虚拟机的网络安全策略,且网络安全策略也是通过扩展后的报文携带的,实现了无SDN控制器的应用场景中,网络安全策略随着虚拟机进行迁移的功能。
附图说明
图1为本申请实施例提供的一种网络组网示意图;
图2为本申请实施例提供的一种网络安全策略迁移方法的流程示意图;
图3为本申请实施例提供的一种网络安全策略迁移装置的结构示意图;
图4为本申请实施例提供的另一种网络安全策略迁移装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,本申请实施例中术语“和”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
当本申请提及“第一”、“第二”、“第三”或者“第四”等序数词时,除非根据上下文其确实表达顺序之意,否则应当理解为仅仅是起区分之用。
下面将通过具体实施例对本申请的方案进行详细描述,当然,本申请并不限于以下实施例。
本申请提供了一种网络安全策略迁移方法及装置,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,该目标交换机可以是与服务器直连的任一物理交换机,各服务器中可以部署多个虚拟机。示例性的,参阅图1所示,为网络组网示意图,服务器1与物理交换机1直连,即物理交换机1下挂有服务器器1,物理交换机3与服务器2直连,物理交换机1与物理交换机3通过物理交换机2连接。在进行虚拟机迁移之前(如,虚拟机1从服务器1迁移至服务器2),服务器1中部署有虚拟机1和虚拟机2,服务器2中部署有虚拟机3,当执行完虚拟机迁移之后,服务器1中部署有虚拟机2,服务器2中部署有虚拟机1和虚拟机3,即虚拟机1从服务器1中迁移至服务器2。
实际应用中,针对部分或全部虚拟机在其所属服务器对应的物理交换机中配置有相应的网络安全策略,那么,在虚拟机1从服务器1迁移至服务器2时,需要将物理交换机1中针对虚拟机1配置的网络安全策略迁移至服务器2对应的物理交换机3中。
下面将通过具体实施例对本申请的方法实施例进行详细描述,示例性的,参阅图2所示,本申请提供的网络安全策略迁移方法的详细流程如下:
步骤200:接收目标服务器发送的第一类扩展报文,其中,上述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向上述目标交换机发送的携带有上述目标虚拟机的通信地址的扩展报文。
具体的,虚拟机在从一个服务器迁移至另一个服务器时,会主动发送免费ARP报文,参阅图1所示,虚拟机1从服务器1迁移至服务器2后,会主动发送免费ARP报文至服务器2上的虚拟交换机2,一种较佳地实现方式为,服务器上的虚拟交换机是openstack的neutron组件上的openvswitch,即一个开源的虚拟交换机。虚拟交换机2在接收到虚拟机1主动发送的免费ARP报文后,判断出该免费ARP报文是内部虚拟机发出的免费ARP报文时,则虚拟交换机2向直连的物理交换机(如,物理交换机3)发送第一类扩展报文,以通知物理交换机3从其它物理交换机(如,物理交换机1)获取虚拟机1对应的网络安全策略,该第一类扩展报文携带有虚拟机1的通信地址。
本申请实施例中,一种可选实施方式为,上述第一类扩展报文为扩展后的第一LLDP报文,上述第一LLDP报文携带有第一TLV字段,上述第一TLV字段中携带有上述目标虚拟机的通信地址。
进一步地,上述目标虚拟机的通信地址为上述目标虚拟机的MAC地址和IP地址。
也就是说,可以新增一种LLDP TLV,该新增的LLDP TLV携带虚拟机1的通信地址(如,MAC地址和/或IP地址),以告知物理交换机1从其它物理交换机获取虚拟机1的网络安全策略,即根据虚拟机1的通信地址获取与之对应的网络安全策略。
步骤210:向其它交换机发送携带有上述目标交换机的通信地址和上述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文。
具体地,目标交换机在接收到目标服务器(服务器中的虚拟交换机)发送的第一类扩展报文之后,向邻居交换机发送第二类扩展报文,本申请实施例中,一种较佳的实现方式为,上述第二类扩展报文为扩展后的第二LLDP报文,上述第二LLDP报文携带有第二TLV字段,上述第二TLV字段中携带有上述目标交换机的通信地址和上述目标虚拟机的通信地址。
进一步地,上述目标交换机的通信地址为上述目标交换机的MAC地址。即第二类扩展报文中携带有目标虚拟机的通信地址,该通信地址是用于确定所需获取到的网络安全策略的对象,还携带有目标交换机的通信地址,该通信地址用于其它交换机获取到目标虚拟机的网络安全策略之后,将对应的携带有网络安全策略的报文发送给目标交换机。
也就是说,可以新增第二种LLDP TLV,该新增的第二种LLDP TLV携带虚拟机1的通信地址(如,MAC地址和/或IP地址),还可以携带交换机3的通信地址(如,MAC地址)。
本申请实施例中,由图1可知,物理交换机2与物理交换机1和物理交换机3互为邻居交换机,那么,物理交换机3将携带第二种LLDP TLV的LLDP扩展报文发送给邻居交换机(如,物理交换机2),物理交换机2在接收到物理交换机3发送的携带第二种LLDP TLV的LLDP扩展报文后,查询本地的网络安全策略,判断是否存在与虚拟机1的通信地址对应的网络安全策略,由于虚拟机1在迁移之前,其网络安全策略未配置在物理交换机2上,那么,物理交换机2发现本地没有虚拟机1对应的网络安全策略,则会向其邻居交换机(物理交换机1,不会向接收该扩展报文的端口发送)转发携带第二种LLDP TLV的LLDP扩展报文,物理交换机1在接收到该LLDP扩展报文后,查询本地的网络安全策略,判断是否存在与虚拟机1的通信地址对应的网络安全策略,由于虚拟机1在迁移之前,其网络安全策略未配置在物理交换机1上,那么,物理交换机1确定本地存在与虚拟机1的通信地址对应的网络安全策略,就可以获取该网络安全策略,并根据物理交换机3的通信地址,将携带有虚拟机1的网络安全策略的第三类扩展报文发送给物理交换机3。
本申请实施例中,一种可选实施方式为,上述第三类扩展报文为扩展后的第三LLDP报文,上述第三LLDP报文携带有第三TLV字段,上述第三TLV字段中携带有上述目标交换机的通信地址,上述目标虚拟机的通信地址和上述目标虚拟机对应的网络安全策略。
也就是说,可以新增第三种LLDP TLV,该新增的第三种LLDP TLV携带虚拟机1的通信地址(如,MAC地址和/或IP地址),可以携带交换机3的通信地址(如,MAC地址),还可以携带虚拟机1的网络安全策略。
步骤220:接收其它交换机发送的携带有上述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署上述目标虚拟机的网络安全策略。
具体的,目标交换机在接收到其它交换机发送的携带有上述目标虚拟机的安全网络策略的第三类扩展报文后,可以直接在本地部署该目标交换机的网络安全策略。
例如,物理交换机1将携带虚拟机1的网络安全策略的LLDP扩展报文通过物理交换机2转发至物理交换机3,那么,物理交换机3在接收到携带虚拟机1的网络安全策略的LLDP扩展报文后,直接在本地部署虚拟机的网络安全策略,当然,物理交换机1在发送携带虚拟机1的网络安全策略的LLDP扩展报文后,还可以在本地删除虚拟机1的网络安全策略。
进一步地,本申请实施例中,该网络安全策略迁移方法还可以包括:
接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
更进一步地,若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机,以使得其它交换机基于接收到的该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略。
基于上述实施例,参阅图3所示,本申请实施例提供的一种网络安全策略迁移装置,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述装置包括第一接收单元30,第一发送单元31和第二接收单元32,其中,
第一接收单元30,用于接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;
第一发送单元31,用于向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;
第二接收单元32,用于接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
可选地,
所述第一类扩展报文为扩展后的第一LLDP报文,所述第一LLDP报文携带有第一TLV字段,所述第一TLV字段中携带有所述目标虚拟机的通信地址;
所述第二类扩展报文为扩展后的第二LLDP报文,所述第二LLDP报文携带有第二TLV字段,所述第二TLV字段中携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址;
所述第三类扩展报文为扩展后的第三LLDP报文,所述第三LLDP报文携带有第三TLV字段,所述第三TLV字段中携带有所述目标交换机的通信地址,所述目标虚拟机的通信地址和所述目标虚拟机对应的网络安全策略。
可选地,
所述目标虚拟机的通信地址为所述目标虚拟机的MAC地址和IP地址;
所述目标交换机的通信地址为所述目标交换机的MAC地址。
可选地,所述装置还包括接收:
第三接收单元,用于接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
确定单元,用于基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
生成单元,用于若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
可选地,所述装置还包括:
第二发送单元,用于若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机,以使得其它交换机基于接收到的该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略。
进一步地,参阅图4所示,本申请还提供了一种网络安全策略迁移装置,该网络安全策略迁移装置包括存储器40和处理器41,其中,
存储器40,用于存储程序指令;
处理器41,用于调用上述存储器40中存储的程序指令,按照获得的程序执行上述任一方法实施例。
更进一步地,本申请提供一种计算机存储介质,该计算机可读存储介质存储有计算机可执行指令,上述计算机可执行指令用于使上述计算机执行上述任一方法实施例。
综上所述,本申请提供的网络安全策略迁移方法及装置,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述方法包括:接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
采用本申请提供的网络安全策略迁移方法,通过扩展报文携带迁移后的虚拟机的地址信息,从其它交换机中获取该迁移后的虚拟机的网络安全策略,且网络安全策略也是通过扩展后的报文携带的,实现了无SDN控制器的应用场景中,网络安全策略随着虚拟机进行迁移的功能。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络安全策略迁移方法,其特征在于,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述方法包括:
接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;
向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;
接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
2.如权利要求1所述的方法,其特征在于,
所述第一类扩展报文为扩展后的第一LLDP报文,所述第一LLDP报文携带有第一TLV字段,所述第一TLV字段中携带有所述目标虚拟机的通信地址;
所述第二类扩展报文为扩展后的第二LLDP报文,所述第二LLDP报文携带有第二TLV字段,所述第二TLV字段中携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址;
所述第三类扩展报文为扩展后的第三LLDP报文,所述第三LLDP报文携带有第三TLV字段,所述第三TLV字段中携带有所述目标交换机的通信地址,所述目标虚拟机的通信地址和所述目标虚拟机对应的网络安全策略。
3.如权利要求2所述的方法,其特征在于,
所述目标虚拟机的通信地址为所述目标虚拟机的MAC地址和IP地址;
所述目标交换机的通信地址为所述目标交换机的MAC地址。
4.如权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机,以使得其它交换机基于接收到的该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略。
6.一种网络安全策略迁移装置,其特征在于,应用于组网中的目标交换机,所述目标交换机下挂有目标服务器,所述装置包括:
第一接收单元,用于接收所述目标服务器发送的第一类扩展报文,其中,所述第一类扩展报文是目标服务器检测到目标虚拟机迁移至本地时,向所述目标交换机发送的携带有所述目标虚拟机的通信地址的扩展报文;
发送单元,用于向其它交换机发送携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址的第二类扩展报文,以使得其它交换机在基于所述目标虚拟机的通信地址,确定出所述目标虚拟机的安全网络策略时,基于所述目标交换机的通信地址发送携带有所述目标虚拟机的安全网络策略的第三类扩展报文;
第二接收单元,用于接收其它交换机发送的携带有所述目标虚拟机的安全网络策略的第三类扩展报文,并在本地部署所述目标虚拟机的网络安全策略。
7.如权利要求6所述的装置,其特征在于,
所述第一类扩展报文为扩展后的第一LLDP报文,所述第一LLDP报文携带有第一TLV字段,所述第一TLV字段中携带有所述目标虚拟机的通信地址;
所述第二类扩展报文为扩展后的第二LLDP报文,所述第二LLDP报文携带有第二TLV字段,所述第二TLV字段中携带有所述目标交换机的通信地址和所述目标虚拟机的通信地址;
所述第三类扩展报文为扩展后的第三LLDP报文,所述第三LLDP报文携带有第三TLV字段,所述第三TLV字段中携带有所述目标交换机的通信地址,所述目标虚拟机的通信地址和所述目标虚拟机对应的网络安全策略。
8.如权利要求7所述的装置,其特征在于,
所述目标虚拟机的通信地址为所述目标虚拟机的MAC地址和IP地址;
所述目标交换机的通信地址为所述目标交换机的MAC地址。
9.如权利要求6-8任一项所述的装置,其特征在于,所述装置还包括:
接收邻居交换机发送的第二类扩展报文,其中,该第二类扩展报文携带有对应的虚拟机的通信地址和交换机的通信地址;
基于该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略;
若确定本地存在该虚拟机的通信地址对应的网络安全策略,则生成携带该虚拟机的通信地址,该交换机的通信地址和该虚拟机的通信地址对应的网络安全策略的第三类扩展报文,并根据该交换机的通信地址将该第三类扩展报文发送给该交换机。
10.如权利要求9所述的装置,其特征在于,所述装置还包括:
若确定本地不存在该虚拟机的通信地址对应的网络安全策略,则将该第二类扩展报文发送给其它交换机,以使得其它交换机基于接收到的该第二类扩展报文携带的虚拟机的通信地址,确定本地是否存在该虚拟机的通信地址对应的网络安全策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010220241.2A CN111510435B (zh) | 2020-03-25 | 2020-03-25 | 一种网络安全策略迁移方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010220241.2A CN111510435B (zh) | 2020-03-25 | 2020-03-25 | 一种网络安全策略迁移方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111510435A true CN111510435A (zh) | 2020-08-07 |
CN111510435B CN111510435B (zh) | 2022-02-22 |
Family
ID=71863936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010220241.2A Active CN111510435B (zh) | 2020-03-25 | 2020-03-25 | 一种网络安全策略迁移方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111510435B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113079040A (zh) * | 2021-03-24 | 2021-07-06 | 紫光华山科技有限公司 | 一种端口迁移方法及装置 |
CN114629820A (zh) * | 2022-03-25 | 2022-06-14 | 阿里巴巴(中国)有限公司 | 网络连通性检测方法、装置、设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
CN103428106A (zh) * | 2012-05-16 | 2013-12-04 | 华为技术有限公司 | 虚拟机vm迁移后的报文处理的方法及其设备 |
CN104202187A (zh) * | 2014-08-28 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
WO2015081766A1 (zh) * | 2013-12-04 | 2015-06-11 | 蓝盾信息安全技术有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
CN108363611A (zh) * | 2017-11-02 | 2018-08-03 | 北京紫光恒越网络科技有限公司 | 虚拟机的安全管理方法、装置及全方位虚拟化系统 |
CN109921992A (zh) * | 2019-03-26 | 2019-06-21 | 新华三技术有限公司 | 一种路径选择方法、装置、网络设备以及ed设备 |
-
2020
- 2020-03-25 CN CN202010220241.2A patent/CN111510435B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
US20150229641A1 (en) * | 2012-04-23 | 2015-08-13 | Hangzhou H3C Technologies Co., Ltd. | Migration of a security policy of a virtual machine |
CN103428106A (zh) * | 2012-05-16 | 2013-12-04 | 华为技术有限公司 | 虚拟机vm迁移后的报文处理的方法及其设备 |
CN103095722A (zh) * | 2013-02-01 | 2013-05-08 | 华为技术有限公司 | 一种更新网络安全表的方法及网络设备、dhcp服务器 |
WO2015081766A1 (zh) * | 2013-12-04 | 2015-06-11 | 蓝盾信息安全技术有限公司 | 一种基于sdn的虚拟机安全策略迁移的系统及方法 |
CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
CN104202187A (zh) * | 2014-08-28 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
CN108363611A (zh) * | 2017-11-02 | 2018-08-03 | 北京紫光恒越网络科技有限公司 | 虚拟机的安全管理方法、装置及全方位虚拟化系统 |
CN109921992A (zh) * | 2019-03-26 | 2019-06-21 | 新华三技术有限公司 | 一种路径选择方法、装置、网络设备以及ed设备 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113079040A (zh) * | 2021-03-24 | 2021-07-06 | 紫光华山科技有限公司 | 一种端口迁移方法及装置 |
CN113079040B (zh) * | 2021-03-24 | 2022-07-29 | 紫光华山科技有限公司 | 一种端口迁移方法及装置 |
CN114629820A (zh) * | 2022-03-25 | 2022-06-14 | 阿里巴巴(中国)有限公司 | 网络连通性检测方法、装置、设备及介质 |
CN114629820B (zh) * | 2022-03-25 | 2023-09-12 | 阿里巴巴(中国)有限公司 | 网络连通性检测方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111510435B (zh) | 2022-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11893409B2 (en) | Securing a managed forwarding element that operates within a data compute node | |
US9634991B2 (en) | Method, apparatus, host, and network system for processing packet | |
WO2017100365A1 (en) | Directing data traffic between intra-server virtual machines | |
CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
EP3451592B1 (en) | Packet transmission between vxlan domains | |
CN111510435B (zh) | 一种网络安全策略迁移方法及装置 | |
CN107276798B (zh) | 一种虚拟化网络服务功能链的实现方法及装置 | |
CN109104364B (zh) | 一种指定转发者选举方法和装置 | |
US9413635B2 (en) | Method for controlling generation of routing information, method for generating routing information and apparatuses thereof | |
CN111698167B (zh) | 一种报文处理方法及装置 | |
CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
CN112272166A (zh) | 一种流量处理方法、装置、设备及机器可读存储介质 | |
CN102932409A (zh) | 一种虚拟机在线迁移的方法和系统 | |
CN111371608B (zh) | 一种部署sfc业务链的方法、装置和介质 | |
CN107534577B (zh) | 一种网络业务实例化的方法及设备 | |
CN110795209B (zh) | 一种控制方法和装置 | |
RU2693903C1 (ru) | Способ, устройство и система обработки для расширенного порта | |
CN108023774B (zh) | 一种跨网关迁移的方法及装置 | |
CN107707661B (zh) | 一种负载均衡资源管理方法和装置 | |
CN111988446B (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
CN109525582B (zh) | 报文处理方法、系统及存储介质 | |
CN113992565A (zh) | 一种组播报文处理方法及装置 | |
CN113285952A (zh) | 网络漏洞封堵方法、装置、存储介质及处理器 | |
CN113794640B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |