CN116346715B - 数据发送方法、流表安全组系统、电子设备及存储介质 - Google Patents

Abstract

本申请提供一种数据发送方法、流表安全组系统、电子设备及存储介质，属于通信技术领域。该方法包括：所述流表安全组系统接收通信单元发送的数据包，并采用所述第一表模块、所述第二表模块、所述第三表模块、所述第四表模块、所述第五表模块、所述第六表模块及所述第七表模块根据所述数据包中的目标地址及源地址转发所述数据包至所述目标地址对应的目标设备。本申请的方法，解决了安全组在运行过程中查询内核的链接状态导致的数据包转发效率低的问题。

Description

数据发送方法、流表安全组系统、电子设备及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种数据发送方法、流表安全组系统、电子设备及存储介质。

背景技术

随着计算机技术的不断发展，网络安全成为了人们日益关注的方向。

目前，现有技术中可以采用安全组来筛选输入流量和输出流量，从而使外部保护保护虚拟机网络不被其他非法用户访问，或避免虚拟机访问特定网络地址。

但是，发明人发现现有技术至少存在如下技术问题：现有的安全组在运行过程中会查询内核的链接状态，这会产生降低数据包转发效率的问题。

发明内容

本申请提供一种数据发送方法、流表安全组系统、电子设备及存储介质，用以解决数据包转发效率低的问题。

第一方面，本申请提供一种数据发送方法，应用于流表安全组系统，流表安全组系统包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，包括：

流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。

在一种可能的实现方式中，流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备，包括：第一表模块接收通信单元发送的数据包，若通信单元为有安全组的虚拟机，且数据包属于地址解析协议包或邻居通告报文，则将数据包发送至第二表模块，其中数据包中含有目标地址及源地址；第二表模块响应于目标地址为虚拟机地址，将数据包发送至第三表模块；第三表模块响应于数据包中的源地址合法且目标地址为虚拟机地址，将数据包发送至第四表模块；第四表模块将局域网标识写入数据包，并将数据包发送至第五表模块；第五表模块响应于数据包中含有局域网标识，且目标地址不属于预设的本地虚拟机地址，将数据包发送至第六表模块；第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块；第七表模块删除数据包中的局域网标识，得到不含局域网标识的数据包，并将不含局域网标识的数据包发送至目标地址对应的目标设备。

在一种可能的实现方式中，第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块，包括：第六表模块响应于含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将数据包发送至第七表模块。

在一种可能的实现方式中，流表安全组系统还包括：第八表模块及第九表模块；方法还包括：第一表模块响应于通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将数据包发送至第四表模块；第四表模块响应于通信单元为无安全组的虚拟机，将接收数据包的虚拟网卡端口的目标端口号写入第一寄存器，将通信单元的局域网标识写入第二寄存器，并将数据包发送至第五表模块；相应地，在第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块之后，还包括：第七表模块响应于数据包含有局域网标识、不符合预设的安全组规则或不符合预设的数据包规则，将数据包发送至第八表模块；第八表模块响应于数据包不符合安全组规则，删除数据包，响应于第一寄存器存储的端口号属于预设端口号，将数据包发送至第九表模块；第九表模块将数据包发送至目标地址对应的补丁端口，以使数据包传输至目标设备。

在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第一表模块响应于数据包为地址解析协议响应，且目标地址属于预设的本地虚拟机地址，将数据包发送至目标地址对应的目标设备。

在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第一表模块，将满足以下所有条件的数据包发送至第九表模块：通信单元为有安全组的虚拟机；数据包不属于地址解析协议包或邻居通告报文；目标地址不属于预设的本地虚拟机地址；数据包属于网际协议版本6邻居发现协议报文。

在一种可能的实现方式中，在第一表模块接收通信单元发送的数据包之后，还包括：第四表模块响应于数据包属于网际协议版本6邻居发现协议报文，将数据包发送至目标地址对应的目标设备。

第二方面，本申请提供一种流表安全组系统，包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块；第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，用于接收通信单元发送的数据包，并根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。

第三方面，本申请提供一种电子设备，包括：处理器，以及与处理器通信连接的存储器；存储器存储计算机执行指令；处理器执行存储器存储的计算机执行指令，使得处理器执行如第一方面描述的数据发送方法。

第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面描述的数据发送方法。

本申请提供的数据发送方法、流表安全组系统、电子设备及存储介质，采用流表安全组中的各表模块根据源地址及目标地址对接收到的数据包进行转发，实现不占用内核态即可对数据包进行筛选并转发，从而提高了数据转发速度。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的数据发送方法的应用场景示意图；

图2为本申请实施例提供的数据发送方法的流程示意图；

图3为本申请实施例提供的流表安全组系统的结构示意图；

图4为本申请实施例提供的电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

当前计算机和互联网技术快速发展，网络安全成为大众重要的关注内容。

现在可以采用安全组根据数据的特征筛选输入流量和输出流量，从而使受保护的虚拟机不受非法用户访问，也能当本地虚拟机不访问特定的网络地址。但是当前的安全组会查询内核态的链接状态，从而产生降低数据包转发性能的问题

针对上述技术问题，发明人提出如下技术构思：通过采用无状态安全组流表中的各表对接收到的数据包进行转发，实现对数据包的筛选和发送。

图1为本申请实施例提供的数据发送方法的应用场景示意图。如图1，该场景中，包括：通信单元101、流表安全组系统102、目标设备103。

在具体实现过程中，通信单元101可以是外部设备，也可以是局域网内的虚拟机、计算机等。

流表安全组系统102，可以安装在网桥上，可以由多个开放虚拟交换标准(openvswitch)流表组成。

目标设备103，可以是外部设备，也可以是局域网内的虚拟机、计算机等，具有数据收发功能。通信单元101和目标设备103可以同时是局域网内的虚拟机、计算机，也可以一个为外部设备，并一个为局域网内的虚拟机、计算机。

通信单元101及目标设备103，用于收发数据包，流表安全组系统102，用于筛选经过网桥的数据包，并将安全的数据包发送至目标设备103。

可以理解的是，本申请实施例示意的结构并不构成对数据发送方法的具体限定。在本申请另一些可行的实施方式中，上述架构可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置，具体可根据实际应用场景确定，在此不做限制。图1所示的场景可以由硬件，软件，或软件与硬件的组合实现。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

下述各表模块可以是Open vSwitch的流表。第一表模块可以是Open vSwitch中的表0、第二表模块可以是Open vSwitch中的表24、第三表模块可以是Open vSwitch中的表25、第四表模块可以是Open vSwitch中的表60、第五表模块可以是Open vSwitch中的表71、第六表模块可以是Open vSwitch中的表72、第七表模块可以是Open vSwitch中的表81、第八表模块可以是Open vSwitch中的表82、第九表模块可以是Open vSwitch中的表94。

图2为本申请实施例提供的数据发送方法的流程示意图。本申请实施例的执行主体可以是图1中的流表安全组系统102，也可以是安装有流表安全组系统的网桥、网卡等，流表安全组系统包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块。如图2所示，该方法包括：

S201：流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。

其中，第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块都是开放虚拟交换标准(Open vSwitch)流表。流表安全组系统接收通信单元发送的数据包，可以是流表安全组系统中的第一表模块接收数据包。目标地址可以是MAC(Media Access Control Address，媒体存储控制器)地址也可以是IP(Internet ProtocolAddress，互联网协议)地址。

从上述实施例的描述可知，本申请实施例通过采用流表安全组中的各表模块根据源地址及目标地址对接收到的数据包进行转发，实现不占用内核态即可对数据包进行筛选并转发，从而提高了数据转发速度。

在一种可能的实现方式中，上述步骤S201中，流表安全组系统接收通信单元发送的数据包，并采用第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备，包括：

S2011：第一表模块接收通信单元发送的数据包，若通信单元为有安全组的虚拟机，且数据包属于地址解析协议包或邻居通告报文，则将数据包发送至第二表模块，其中数据包中含有目标地址及源地址。

在本步骤中，通信单元是否为有安全组的虚拟机，可以由源地址确定，源地址可以是MAC地址或IP地址，源地址与通信单元对应，源地址与通信单元是否有安全组之间的对应关系，可以是预先设定的。

在一种可能的实现方式中，第一表模块判断通信单元是否有安全组，还可以是第一表模块自带的功能。

S2012：第二表模块响应于目标地址为虚拟机地址，将数据包发送至第三表模块。

在本步骤中，虚拟机地址可以是预先获取并存储的，获取方式可以是采用预设的程序或命令获取，也可以是工作人员预先输入的。可以是在虚拟机地址中查找目标地址，若能够查找到，则说明目标地址为虚拟机地址。

S2013：第三表模块响应于数据包中的源地址合法且目标地址为虚拟机地址，将数据包发送至第四表模块。

在本步骤中，源地址合法，可以是源地址符合预设的格式要求、源地址在预设的源地址列表中等。数据包可以是邻居通告(Neighbor Advertisemen，NA)报文类型的数据包。

S2014：第四表模块将局域网标识写入数据包，并将数据包发送至第五表模块。

在本步骤中，局域网标识例如“local_vlan”、“lv”等，局域网标识可以是工作人员预先设置的，本申请实施例对此不作特殊限制。

在一种可能的实现方式中，在本步骤之后第四表模块还会清空第一寄存器和第二寄存器，从而避免影响后续数据写入。

S2015：第五表模块响应于数据包中含有局域网标识，且目标地址不属于预设的本地虚拟机地址，将数据包发送至第六表模块。

在本步骤中，本地虚拟机地址可以是工作人员预先输入的，也可以是通过预设的程序或命令获取的。若在本队虚拟机地址中没有地址与目标地址匹配，则目标地址不属于预设的本地虚拟机地址。

在一种可能的实现方式中，本步骤第五表模块将数据包发送至第六表模块还需要数据包属于合法的IPv4协议或IPv6协议、源地址为本地虚拟机地址、入端口为本地虚拟机端口。检查本地虚拟机向外发包的合法性。

S2016：第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块。

在本步骤中，数据包的协议类型可以通过根据数据包中的协议字段确定，每种协议字段对应一种协议类型。

在一种可能的实现方式中，本步骤中第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块，具体包括：

第六表模块响应于含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将数据包发送至第七表模块。

在本步骤中，网际协议版本4动态主机配置协议即针对IPv4的DHCP(Dynamic HostConfiguration Protocol)协议，可以是DHCPv4客户端发送的数据包。网际协议版本6动态主机配置协议即针对IPv6的DHCP(Dynamic Host Configuration Protocol)协议，可以是DHCPv6客户端发送的数据包。用于网际协议版本4的控制报文协议，可以是用于IPv4的ICMP(Internet Control Message Protocol)。网际协议版本6即IPv6，多播接收方发现协议，即MLD(Multicast Listener Discovery)。

其中，网际协议版本6多播接收方发现协议，例如多播收听者查询信息(MulticastListener Query)、多播收听者汇报信息(Multicast Listener Report)、多播收听者结束信息(Multicast Listener Done)。用于网际协议版本4的控制报文协议，例如含有“RouterDiscovery,icmp_type＝9‘Router Advertisements’,icmp_type＝10‘RouterSolicitations’”的信息。

S2017：第七表模块删除数据包中的局域网标识，得到不含局域网标识的数据包，并将不含局域网标识的数据包发送至目标地址对应的目标设备。

在本步骤中，例如，原本数据包中含有局域网标识“local_vlan”将“local_vlan”删除，并将数据包根据MAC地址或IP地址发送至目标设备。

从上述实施例的描述可知，本申请实施例通过第一表模块接收通信单元发送的数据包，并在数据包属于地址解析协议包或邻居通告报文的情况下，将数据包发送至第二表模块，第二表模块在目标地址为虚拟机地址的情况下，将数据包发送至第三表模块，第三表模块在源地址合法且目标地址为虚拟机地址的情况下将数据包发送至第四表模块，第四表模块在数据包中写入局域网标识后将数据包发送至第五表模块，第五表模块在数据包中含有局域网标识且目标地址不属于本地虚拟机地址的情况下将数据包发送至第六表模块，第六表模块根据协议类型对数据包进行筛选，将符合要求的数据包发送至第七表模块，第七表模块删除数据包中的局域网标识后将数据包发送至目标设备，实现了在各表模块进行数据转发的过程中对数据进行筛选，从而让传输的数据是安全的，在不用查询内核态的情况下进行数据的传输，增加了数据传输效率。

在一种可能的实现方式中，流表安全组系统还包括：第八表模块及第九表模块。方法还包括：

S2018：第一表模块响应于通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将数据包发送至第四表模块。

在本步骤中，判断通信单元是否为无安全组虚拟机的方式可以与上述步骤S2011类似，通过源地址确定通信单元是否有安全组。

在一种可能的实现方式中，第一表模块响应于通信单元为无安全组的虚拟机，且数据包属于地址解析协议，则将数据包发送至第九表模块；第九表模块将这种数据包发送至常规(NORMAL)虚拟网卡。

S2019：第四表模块响应于通信单元为无安全组的虚拟机，将接收数据包的虚拟网卡端口的目标端口号写入第一寄存器，将通信单元的局域网标识写入第二寄存器，并将数据包发送至第五表模块。

在本步骤中，目标端口号可以与目标地址对应，将数据包中的虚拟网卡的目标端口号写入寄存器可以是工作人员对第四表模块进行了配置，使第四表模块会在通信单元为无安全组的虚拟机的情况下获取目标端口号，并将目标端口号写入寄存器。同样的，将通信单元的局域网标识写入第二寄存器也可以是工作人员对第四表模块进行了配置得到的功能。

相应地，在上述步骤S2016第六表模块响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块之后，还包括：

S2020：第七表模块响应于数据包含有局域网标识、不符合预设的安全组规则或不符合预设的数据包规则，将数据包发送至第八表模块。

在本步骤中，预设的安全组规则，可以是工作人员预先设置的。预设的数据包规则，例如数据包的格式需要是预设格式、类型需要是预设类型、大小在预设大小之内等，数据包规则也以是工作人员预先设定的。

S2021：第八表模块响应于数据包不符合安全组规则，删除数据包，响应于第一寄存器存储的端口号属于预设端口号，将数据包发送至第九表模块。

在本步骤中，预设端口号可以是本机端口号，可以是工作人员预先设置的，也可以是采用预设的程序或指令获取的。

S2022：第九表模块将数据包发送至目标地址对应的补丁端口，以使数据包传输至目标设备。

在本步骤中，可以是将数据包发送至目标地址对应的网桥，通过网桥发送至目标设备，其中网桥可以是隧道交换机(tunnel bridge)或物理网桥(physical bridge)。

从上述实施例的描述可知，本申请实施例通过第一表模块响应于通信单元为无安全组的虚拟机，且数据包不是地址解析协议响应，将数据包发送至第四表模块，第四表模块响应于通信单元为无安全组的虚拟机，将接收数据包的虚拟网卡端口的端口号写入第一寄存器，将通信单元的局域网标识写入第二寄存器，并将数据包发送至第五表模块，在数据包经第五表模块、第六表模块后到第七表模块，第七表模块在数据包含有局域网标识、不符合预设的安全组规则或不符合预设的数据包规则的情况下，将数据包发送至第八表模块，第八表模块在数据包不符合安全组规则，删除数据包，在第一寄存器存储的端口号属于预设端口号情况下，将数据包发送至第九表模块，第九表模块将数据包发送至目标地址对应的补丁端口，以使数据包传输至目标设备，实现了对本地虚拟机的出向数据包检查。

在一种可能的实现方式中，第五表模块，响应于目标端口的端口号属于没有安全组的端口，并且数据包的目标地址非本地物理地址，将数据包发送至第八表模块，由第八表模块进行筛选后发送至第九表模块。其中端口号与有没有安全组的属性可以有预设的对应关系，这个预设的对应关系可以是工作人员预先设定的。第五表模块，还会响应于数据包中含有局域网标识，目标地址对应的端口为没有安全组的端口，将数据包发送至第八表模块，由第八表模块进行筛选后发送至第九表模块。

在一种可能的实现方式中，流表安全组系统还包括第十表模块。第五表模块，还会响应于目的地址为本地虚拟机地址，且数据包中含有局域网标识或第二寄存器中存储有局域网标识，将数据包发送至第十表模块。其中，第十表模块可以是Open vSwitch中的表73。

第十表模块，响应于本机没有安全组的端口发出的数据包，并写入局域网标识发送至第七表模块。

在一种可能的实现方式中，在上述步骤S2011第一表模块接收通信单元发送的数据包之后，还包括：

S2023：第一表模块响应于数据包为地址解析协议响应，且目标地址属于预设的本地虚拟机地址，将数据包发送至目标地址对应的目标设备。

在本步骤中，数据包是否为地址解析协议响应，可以通过数据包中的协议类型字段确定。目标地址可以通过读取数据包中的目标地址字段获得。若能顾在预存储的本地虚拟机地址中查询到目标地址，则目标地址属于预设的本地虚拟机地址。将数据包发送至目标设备，可以是将数据包发送至虚拟机对应的端口。

从上述实施例的描述可知，本申请实施例通过第一表模块在数据包属于地址解析协议响应，且牧宝地址属于预设的本地虚拟机地址的情况下，直接将数据包发送至目标地址对应的目标设备，节省了后续数据转发的过程，增加了数据传输速度。

在一种可能的实现方式中，在上述步骤S2011，第一表模块接收通信单元发送的数据包之后，还包括：

S2024：第一表模块，将满足以下所有条件的数据包发送至第九表模块：

通信单元为有安全组的虚拟机。

数据包不属于地址解析协议包或邻居通告报文。

目标地址不属于预设的本地虚拟机地址。

数据包属于网际协议版本6邻居发现协议报文。

其中，通信单元是否是有安全组的虚拟机，可以通过源地址查询预设的地址与是否有安全组的对应关系得到，其中预设的地址与是否有安全组的对应关系可以是工作人员预先标定的，可以采用表格、字典、键值对等格式储存。数据包类型可以通过数据包中的协议类型字段确定。目标地址是否属于预设的本地虚拟机地址可以参见上述步骤S2023，在这里不再赘述。第九表模块会进行重定向流。

从上述实施例的描述可知，本申请实施例通过第一表模块在满足预设的条件下将数据包发送至第九表模块，实现了数据包的快速转发，增加了数据包的传输速度。

在一种可能的实现方式中，在上述步骤S2011，第一表模块接收通信单元发送的数据包之后，还包括：

S2025：第四表模块响应于数据包属于网际协议版本6邻居发现协议报文，将数据包发送至目标地址对应的目标设备。

在本步骤中，数据包类型可以通过数据包中的协议类型字段确定。

从上述实施例的描述可知，本申请实施例通过数据包属于IPv6邻居发现协议报文的情况下，将数据包直接发送至目标设备，实现了数据的快速转发，增加了数据包的传输速度。

在一种可能的实现方式中，第四表模块响应于经物理网桥及第一表模块接收到数据包，且目的地址属于预设的分布式虚拟路由的分布式公网网关的地址，将数据包发送至第九表模块。其中，目的地址可以是目的物理地址。第四表模块，还会响应于数据包是IPv6发现协议相关报文，且目标地址属于预设的本地虚拟机地址，直接将数据包发送至目标地址对应的虚拟机。除上述所有实施例以外的数据包，第四表模块会进行删除。除上述所有实施例外的其他情况，第四表模块会将数据包删除。

在一种可能的实现方式中，第五表模块会放行源地址为0.0.0.0、源物理地址合法，且数据包类型为DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)请求的数据包。还会放行IPv4和IPv6的多播数据包。除上述所有实施例外的其他情况，第五表模块会将数据包删除。

在一种可能的实现方式中，第六表模块，还可以丢弃本地虚拟机可能伪造的DHCPv4服务数据包或DHCPv6服务数据包，判定是否伪造可以是第六表模块自身的功能，也可以是经工作人员设置后得到的功能。第六表模块，还可以基于安全组出向规则的关键动作进行学习，其中安全组出向规则包含用户自定义规则、远端安全组规则、可用地址对规则。将匹配：源物理地址及源IP地址为本地地址、属于IPv4或IPv6协议、protocol协议、(端口范围最小值-端口范围最大值)、放行的IP地址。其中，protocol协议：支持输入[0-255]的任意值，其中0表示任意协议，常用的协议号有：icmp(1),icmpv6(58),tcp(6),udp(17)等。对于TCP(传输控制协议)、UDP(用户数据报协议)、DCCP(数据报拥塞控制协议)、SCTP(流控制传输协议)、UDP-Lite(轻量级用户数据协议)这些协议，(端口范围最小值-端口范围最大值)就是其端口号，对于ICMP(v4/v6)协议，(端口范围最小值-端口范围最大值)是ICMP(v4/v6)协议的code类型。第六表模块还会放行来自同安全组下其他虚拟机的数据包(remotesecurity group)。第六表模块还会学习上述实施例中通过的数据包的筛选流程，得到回向数据包筛选规则，即将源MAC作为回向包的目的MAC、将源IP作为回向包的目的IP、(匹配TCP/UDP等协议，匹配源四层端口位当前包的目的四层端口)在放行回向数据包时，会在数据包写入局域网标签，将回向包输出到原本输入的端口。学习到的流表在第七表模块。相反的，第七表模块也会学习入向数据包规则，并将学习到的规则配置至第六表模块。

第七表模块响应于第一寄存器中的端口号对应的虚拟机为无安全组虚拟机，将数据包发送至第九表模块。响应于数据包属于上述实施例中预设的协议类型，删除数据包中的局域网标识，并将数据包发送至目标地址对应的虚拟机端口。第七表模块，与第六表模块相同，同样会学习安全组入向规则，将学习到的规则发送至第六表模块，以使第六表模块根据学习到的规则进行回向包筛选。除上述所有实施例情况以外的经第七表模块的数据包，第七表模块会进行删除。

在一种可能的实现方式中，流表安全组系统还包括：第十一表模块、第十二表模块、第十三表模块、第十四表模块等。其中，第十一表模块可以是Open vSwitch中的表1，第十二表模块可以是Open vSwitch中的表2，第十三表模块可以是Open vSwitch中的表23，第十四表模块可以是Open vSwitch中的表59。

第一表模块响应于tunnel(隧道)端口接收到的数据包，且数据包的源地址属于非本地地址的分布式虚拟路由主机地址，将数据包发送至第十一表模块。第十一表模块将数据包中发送至目的端口的数据包的源地址修改为对应网关的地址。

第十三表模块，用于判断ovs-vswitch进程是否重启。

第十四表模块，用于执行虚拟网卡pps限速规则。

在一种可能的实现方式中，本节点虚拟机和本节点虚拟机通信：经过的表有第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块。虚拟机VM2发出的数据包，主要在第六表模块上对虚拟机VM2进行出向的安全组规则检查，安全组规则学习回向包的放行规则到table＝81；在第七表模块对该数据包做入向规则检查，符合安全组规则的，学习一条规则到第六表模块。最后到达本节点目的虚拟机VM1。对于回向包，从VM1发出，仍然经过第六表模块，命中学习到的流表，在第七表模块将是虚拟机VM2的入向检查,命中学习到的流表，直接放行，发送到虚拟机VM2。

两条学习流表发生在：第六表模块，针对虚拟机进行出向的安全组规则检查，并学习回向数据包的放行规则到第七表模块；在第七表模块，针对虚拟机VM1进行入向的安全组规则检查，并学习回向数据包的放行规则到第六表模块。

本节点虚拟机和外部目的通信：经过的表有第一表模块、第三表模块、第四表模块、第五表模块、第六表模块、第七表模块、第八表模块、第九表模块，最后出到相应的租户网络封装网桥，并最终出本计算节点。在第六表模块上对虚拟机VM1进行出向的安全组检查，学习入向放行规则到第十表模块，让回向包可以到达虚拟机VM1。

外部源访问本节点虚拟机：经过的表有第一表模块、第四表模块、第五表模块、第十表模块、第七表模块，最后到达本节点虚拟机。在第十表模块上对虚拟机VM1进行出向的安全组检查，学习出向放行规则到第六表模块,保证虚拟机VM1的响应数据包可以发出本节点。

虚拟网卡安全配置关闭的情况下，地址解析协议的处理过程如下：相关的端口没有安全组，端口安全开关没有开启。这类端口有dhcp的端口，网关端口等(虚拟机的端口也可以关闭)，在table0上有两个方向的ARP处理：

(1)ARP的目的查询IP是本机上的虚拟机，有打局域网标识时，直接送到对应端口。

(2)ARP从本机虚拟机出来的任意，直接送到第九表模块

第九表模块用标准流进行广播。基本流程为虚拟机VM2地址解析协议发出后，最后到达第九表模块，命中标准流，openvswitch会按照二层交换机的转发方式，学习地址解析协议包的源物理地址口，将地址解析协议报广播到局域网相同的口，因此VM1收到地址解析协议请求。VM1应答包发出后，到达第九表模块，命中标准流，发送到学习到的目的物理地址(即地址解析协议请求时的源物理地址对应的口。

虚拟网卡安全配置开启的情况下，地址解析协议请求相对未开启情况下需要经过第二表模块地址解析协议欺骗伪造过滤，以及第三表模块的源物理地址防欺骗。

放行外部发送进来的ICMPv6相关协议，ICMPv6相关协议类型ID包括133、134、135、136、137，分别对应IPv6邻居发现协议的路由请求、IPv6邻居发现协议的路由通告、IPv6邻居发现协议的邻居请求、IPv6邻居发现协议的邻居通告、IPv6邻居发现协议的路由跳转消息。放行外部发送进来的ICMPv6相关协议主要目的是放行邻居发现协议协议的相关数据，已保证虚拟机的IPv6无状态地址配置、IPv6地址的MAC学习等，能正常工作。虚拟机出的NA数据包要送到第二表模块。在第二表模块进行源地址检查后发送至第四表模块。在第四表模块进行目的地址的直接重定向，目的IPv6地址是某个虚拟机的，直接发到该虚拟机。

本申请实施例，通过在虚拟机增加一个状态防火墙的驱动，满足OpenStack虚拟机的安全组驱动实现机制标准，通过配置该驱动，实现上述实施例的数据发送方法，实现了安全组功能的同时增加了数据发送速度。

图3为本申请实施例提供的流表安全组系统的结构示意图。如图3所示，流表安全组系统300，包括：第一表模块301、第二表模块302、第三表模块303、第四表模块304、第五表模块305、第六表模块306及第七表模块307。

第一表模块301、第二表模块302、第三表模块303、第四表模块304、第五表模块305、第六表模块306及第七表模块307，用于接收通信单元发送的数据包，并根据数据包中的目标地址及源地址转发数据包至目标地址对应的目标设备。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

继续参考图3。在一种可能的实现方式中，第一表模块301，用于接收通信单元发送的数据包，若通信单元为有安全组的虚拟机，且数据包属于地址解析协议包或邻居通告报文，则将数据包发送至第二表模块302，其中数据包中含有目标地址及源地址。

第二表模块302，用于响应于目标地址为虚拟机地址，将数据包发送至第三表模块303。

第三表模块303，用于响应于数据包中的源地址合法且目标地址为虚拟机地址，将数据包发送至第四表模块304。

第四表模块304，用于将局域网标识写入数据包，并将数据包发送至第五表模块305。

第五表模块305，用于响应于数据包中含有局域网标识，且目标地址不属于预设的本地虚拟机地址，将数据包发送至第六表模块306。

第六表模块306，用于响应于含有局域网标识的数据包符合预设的协议类型，将数据包发送至第七表模块307。

第七表模块307，用于删除数据包中的局域网标识，得到不含局域网标识的数据包，并将不含局域网标识的数据包发送至目标地址对应的目标设备。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中，第六表模块306，用于响应于含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将数据包发送至第七表模块307。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中，流表安全组系统300还包括：第八表模块308及第九表模块309。方法还包括：

第一表模块301，还用于响应于通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将数据包发送至第四表模块304。

第四表模块304，还用于响应于通信单元为无安全组的虚拟机，将接收数据包的虚拟网卡端口的目标端口号写入第一寄存器，将通信单元的局域网标识写入第二寄存器，并将数据包发送至第五表模块305。

第七表模块307，还用于响应于数据包含有局域网标识、不符合预设的安全组规则或不符合预设的数据包规则，将数据包发送至第八表模块308。

第八表模块308，用于响应于数据包不符合安全组规则，删除数据包，响应于第一寄存器存储的端口号属于预设端口号，将数据包发送至第九表模块309。

第九表模块309，用于将数据包发送至目标地址对应的补丁端口，以使数据包传输至目标设备。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中，第一表模块301，还用于响应于数据包为地址解析协议响应，且目标地址属于预设的本地虚拟机地址，将数据包发送至目标地址对应的目标设备。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中第一表模块301，还用于将满足以下所有条件的数据包发送至第九表模块309：通信单元为有安全组的虚拟机。数据包不属于地址解析协议包或邻居通告报文。目标地址不属于预设的本地虚拟机地址。数据包属于网际协议版本6邻居发现协议报文。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中，第四表模块304，还用于响应于数据包属于网际协议版本6邻居发现协议报文，将数据包发送至目标地址对应的目标设备。

本实施例提供的系统，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

在一种可能的实现方式中，流表安全组系统还包括第十表模块310。第五表模块305，还会响应于目的地址为本地虚拟机地址，且数据包中含有局域网标识或第二寄存器中存储有局域网标识，将数据包发送至第十表模块310。第十表模块310，响应于本机没有安全组的端口发出的数据包，并写入局域网标识发送至第七表模块。

为了实现上述实施例，本申请实施例还提供了一种电子设备。

参考图4，其示出了适于用来实现本申请实施例的电子设备400的结构示意图，该电子设备400可以为终端设备或服务器。其中，终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal Digital Assistant，简称PDA)、平板电脑(Portable Android Device，简称PAD)、便携式多媒体播放器(Portable MediaPlayer，简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图4所示，电子设备400可以包括处理器(例如中央处理器、图形处理器等)401，以及与处理器通信连接的存储器402，存储器402，可以是只读存储器(Read Only Memory，简称ROM)处理器401其可以根据存储在存储器402中的程序、计算机执行指令或者从存储装置408加载到随机访问存储器(Random Access Memory，简称RAM)403中的程序而执行各种适当的动作和处理，实现上述任一实施例中的数据发送方法。在RAM 403中，还存储有电子设备400操作所需的各种程序和数据。处理装置401、存储器402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

通常，以下装置可以连接至I/O接口405：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406；包括例如液晶显示器(Liquid CrystalDisplay，简称LCD)、扬声器、振动器等的输出装置407；包括例如磁带、硬盘等的存储装置408；以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置409从网络上被下载和安装，或者从存储装置408被安装，或者从存储器402被安装。在该计算机程序被处理装置401执行时，执行本申请实施例的方法中限定的上述功能。

需要说明的是，本申请上述的计算机可读存储介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读存储介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备执行上述实施例所示的方法。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network，简称LAN)或广域网(Wide Area Network，简称WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该模块本身的限定，例如，第一表模块还可以被描述为“数据包接收与转发模块”。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

本申请还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机执行指令，当处理器执行计算机执行指令时，实现上述任一实施例中的数据发送方法的技术方案，其实现原理以及有益效果与数据发送方法的实现原理及有益效果类似，可参见数据发送方法的实现原理及有益效果，此处不再进行赘述。

在本申请的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

本申请还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时，实现上述任一实施例中的数据发送方法的技术方案，其实现原理以及有益效果与数据发送方法的实现原理及有益效果类似，可参见数据发送方法的实现原理及有益效果，此处不再进行赘述。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种数据发送方法，其特征在于，应用于流表安全组系统，所述流表安全组系统包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块，所述方法包括：

所述第一表模块接收通信单元发送的数据包，若所述通信单元为有安全组的虚拟机，且所述数据包属于地址解析协议包或邻居通告报文，则将所述数据包发送至所述第二表模块，其中所述数据包中含有目标地址及源地址；

所述第二表模块响应于所述目标地址为虚拟机地址，将所述数据包发送至所述第三表模块；

所述第三表模块响应于所述数据包中的所述源地址合法且所述目标地址为虚拟机地址，将所述数据包发送至所述第四表模块；

所述第四表模块将局域网标识写入所述数据包，并将所述数据包发送至第五表模块；

所述第五表模块响应于所述数据包中含有所述局域网标识，且所述目标地址不属于预设的本地虚拟机地址，将所述数据包发送至第六表模块；

所述第六表模块响应于含有所述局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块；

所述第七表模块删除所述数据包中的所述局域网标识，得到不含所述局域网标识的数据包，并将所述不含所述局域网标识的数据包发送至所述目标地址对应的目标设备。

2.根据权利要求1所述的方法，其特征在于，所述第六表模块响应于所述含有局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块，包括：

所述第六表模块响应于所述含有局域网标识的数据包属于网际协议版本4动态主机配置协议、网际协议版本6动态主机配置协议、用于网际协议版本4的控制报文协议或网际协议版本6多播接收方发现协议，将所述数据包发送至所述第七表模块。

3.根据权利要求1所述的方法，其特征在于，所述流表安全组系统还包括：第八表模块及第九表模块；所述方法还包括：

所述第一表模块响应于所述通信单元为无安全组的虚拟机，且数据包为非地址解析协议响应，将所述数据包发送至所述第四表模块；

所述第四表模块响应于所述通信单元为无安全组的虚拟机，将接收所述数据包的虚拟网卡端口的目标端口号写入第一寄存器，将所述通信单元的局域网标识写入第二寄存器，并将所述数据包发送至所述第五表模块；

相应地，在所述第六表模块响应于所述含有局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块之后，还包括：

所述第七表模块响应于所述数据包含有所述局域网标识、不符合预设的安全组规则或不符合预设的数据包规则，将所述数据包发送至所述第八表模块；

所述第八表模块响应于所述数据包不符合所述安全组规则，删除所述数据包，响应于所述第一寄存器存储的端口号属于预设端口号，将所述数据包发送至所述第九表模块；

所述第九表模块将所述数据包发送至所述目标地址对应的补丁端口，以使所述数据包传输至目标设备。

4.根据权利要求1所述的方法，其特征在于，在所述第一表模块接收通信单元发送的数据包之后，还包括：

所述第一表模块响应于所述数据包为地址解析协议响应，且所述目标地址属于预设的本地虚拟机地址，将所述数据包发送至所述目标地址对应的目标设备。

5.根据权利要求3所述的方法，其特征在于，在所述第一表模块接收通信单元发送的数据包之后，还包括：

所述第一表模块，将满足以下所有条件的数据包发送至所述第九表模块：

所述通信单元为有安全组的虚拟机；

所述数据包不属于地址解析协议包或邻居通告报文；

所述目标地址不属于预设的本地虚拟机地址；

所述数据包属于网际协议版本6邻居发现协议报文。

6.根据权利要求1至4任一项所述的方法，其特征在于，在所述第一表模块接收通信单元发送的数据包之后，还包括：

所述第四表模块响应于所述数据包属于网际协议版本6邻居发现协议报文，将所述数据包发送至所述目标地址对应的所述目标设备。

7.一种流表安全组系统，其特征在于，包括：第一表模块、第二表模块、第三表模块、第四表模块、第五表模块、第六表模块及第七表模块；

所述第一表模块，用于接收通信单元发送的数据包，若所述通信单元为有安全组的虚拟机，且所述数据包属于地址解析协议包或邻居通告报文，则将所述数据包发送至所述第二表模块，其中所述数据包中含有目标地址及源地址；

所述第二表模块，用于响应于所述目标地址为虚拟机地址，将所述数据包发送至所述第三表模块；

所述第三表模块，用于响应于所述数据包中的所述源地址合法且所述目标地址为虚拟机地址，将所述数据包发送至所述第四表模块；

所述第四表模块，用于将局域网标识写入所述数据包，并将所述数据包发送至第五表模块；

所述第五表模块，用于响应于所述数据包中含有所述局域网标识，且所述目标地址不属于预设的本地虚拟机地址，将所述数据包发送至第六表模块；

所述第六表模块，用于响应于含有所述局域网标识的数据包符合预设的协议类型，将所述数据包发送至所述第七表模块；

所述第七表模块，用于删除所述数据包中的所述局域网标识，得到不含所述局域网标识的数据包，并将所述不含所述局域网标识的数据包发送至所述目标地址对应的目标设备。

8.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

所述存储器存储计算机执行指令；

所述处理器执行所述存储器存储的计算机执行指令，使得所述处理器执行如权利要求1至6中任一项所述的数据发送方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至6中任一项所述的数据发送方法。

10.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时，用于实现如权利要求1至6中任一项所述的数据发送方法。