WO2011147371A1 - 一种实现虚拟机间数据传输的方法和系统 - Google Patents
一种实现虚拟机间数据传输的方法和系统 Download PDFInfo
- Publication number
- WO2011147371A1 WO2011147371A1 PCT/CN2011/075359 CN2011075359W WO2011147371A1 WO 2011147371 A1 WO2011147371 A1 WO 2011147371A1 CN 2011075359 W CN2011075359 W CN 2011075359W WO 2011147371 A1 WO2011147371 A1 WO 2011147371A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- virtual machine
- data packet
- destination
- proxy server
- source
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
一种实现虚拟机间数据传输的方法和系统 本申请要求于 2011年 1月 19日提交中国专利局、 申请号为 201110021689.2、 发 明名称为 "一种实现虚拟机间数据传输的方法和系统"的中国专利申请的优先权, 其 全部内容通过引用结合在本申请中。 技术领域 本发明涉及网络数据传输领域, 更具体地说, 涉及一种实现虚拟机间数据传输的 方法和系统。 背景技术 随着虚拟化技术的产生和发展,用户可以在一台物理服务器上模拟出一个或者多 个虚拟机 (Virtual Machine, 简称 "VM")。 通常, 物理机可以作为两个或更多虚拟 机的主机。 当虚拟机创建成功之后, 用户可以任意启动虚拟机, 还可以停止已启动的 虚拟机, 之后还可以重新启动之前停止的虚拟机算机。
在实际应用中, 当用户重新启动已停止的虚拟机时, 网络可以为该再次启动的虚 拟机分配 IP (Internet Protocol, 网络之间互连的协议)地址。 对于该虚拟机来说, 其 当前被分配的 IP地址可能和停止之前该虚拟机分配到的 IP地址不同。 此外, 在虚拟 化的环境下, 由于系统管理、 虚拟机迁移等原因, 虚拟机的 IP地址也随时可能发生 变化。
然而, 传统的防火墙的隔离配置是基于 IP地址的, 当传统的防火墙应用到虚拟 化环境时, 无法动态的根据虚拟机 IP地址的变化重新调整配置, 即传统防火墙无法 满足虚拟化环境的需求。 发明内容
有鉴于此, 本发明实施例提供一种实现虚拟机间数据传输的方法和系统, 以避免 虚拟机 IP地址的变化对虚拟机间数据传输的影响。
本发明实施例提供一种实现虚拟机间数据传输的方法, 所述方法包括: 第一代理服务器接收源虚拟机发往目的虚拟机的数据包的信息,如果本地不存在 不允许源虚拟机向目的虚拟机发送数据包的信息时,则所述第一代理服务器向为所述
目的虚拟机服务的第二代理服务器转发所述数据包;否则所述第一代理服务器不发送 所述数据包;
所述第二代理服务器接收所述数据包,根据目的虚拟机接收数据包的权限信息判 断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则由所述第二代理服务 器将所述数据包转发至所述目的虚拟机, 如果不允许,所述第二代理服务器不发送所 述数据包。
本发明实施例又提供了一种实现虚拟机间数据传输的系统, 所述系统包括: 第一 代理服务器和第二代理服务器,
所述第一代理服务器, 用于接收源虚拟机发往目的虚拟机的数据包的信息, 如果 本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,则向为所述目的虚拟 机服务的第二代理服务器转发所述数据包;否则所述第一代理服务器不发送所述数据 包;
所述第二代理服务器, 用于接收所述数据包, 根据目的虚拟机接收数据包的权限 信息判断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则将所述数据包 转发至所述目的虚拟机, 如果不允许, 则不发送所述数据包。
同现有技术相比, 本发明实施例中, 代理服务器接收源虚拟机发往目的虚拟机的 数据包的信息, 当本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,将 数据包转发给第二代理服务器,从而使得虚拟机间的数据通信权限基于实际的虚拟机 进行, 而非仅基于虚拟机的 IP地址, 避免虚拟机 IP地址变化对虚拟机间数据传输的 影响, 在数据传输的过程中提供了虚拟机之间通信的安全性。 附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中 所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明的一 些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根 据这些附图获得其他的附图。
图 1为本发明实施例提供的实现虚拟机间数据传输的方法步骤流程示意图; 图 2为本发明实施例提供的网络系统架构图;
图 3为本发明实施例提供的实现虚拟机间数据传输的完整流程示意图; 图 4为本发明实施例提供的分属两个网络中的虚拟机间的数据传输流程示意图; 图 5 为本发明实施例提供的分属两个网络中的虚拟机间的另一种数据传输流程
示意图;
图 6为本发明实施例提供的实现虚拟机间数据传输的系统结构示意图; 图 7为本发明实施例提供的另一种实现虚拟机间数据传输的系统的架构示意图。 具体实施方式 下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。 基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其他实施例, 都属于本发明保护的范围。
为了避免虚拟机 IP地址的变化对虚拟机间数据传输的影响, 本发明实施例提供 了一种实现虚拟机间数据传输的方法。
本发明实施例提供了一种实现虚拟机间数据传输的方法, 如图 1所示, 所述方法 包括:
步骤 101 : 第一代理服务器接收源虚拟机发往目的虚拟机的数据包的信息, 如果 本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,则所述第一代理服务 器向为所述目的虚拟机服务的第二代理服务器转发所述数据包;否则所述第一代理服 务器不发送所述数据包;
步骤 102: 所述第二代理服务器接收所述数据包, 根据目的虚拟机接收数据包的 权限信息判断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则由所述第 二代理服务器将所述数据包转发至所述目的虚拟机, 如果不允许,所述第二代理服务 器不发送所述数据包。
需要说明的是, 步骤 101中, 第一代理服务器接收源虚拟机发往目的虚拟机的数 据包的信息, 所述数据包的信息包括以下至少一种:
源虚拟机发往目的虚拟机的数据包;
指示信息,所述指示信息用于向所述第一代理服务器指示所述源虚拟机向目的虚 拟机发送数据包。
当所述数据包的信息为源虚拟机发往目的虚拟机的数据包,第一代理服务器可以 获取数据包中携带的信息,根据本地是否存在不允许源虚拟机向目的虚拟机发送数据 包的信息确定是否将所述数据包发送给第二代理服务器;
或者,
所述数据包的信息也可以为源侧发送过来的指示信息,该指示信息用于向所述第
一代理服务器指示所述源虚拟机向目的虚拟机发送数据包,所述指示信息包括以下至 少一种: 源虚拟机的标识; 目的虚拟机的标识; 以及源虚拟机向目的虚拟机发送数据 包的协议类型。例如, 在某些具体场景下, 第一代理服务器可能拒绝转发某源虚拟机 发送的数据包、 拒绝向某目的虚拟机发送数据包或者拒绝转发某种协议类型的数据 包,即第一代理服务器可以根据上述指示信息包含内容的一个或多个判断是否转发数 据包。
步骤 102中,在第二代理服务器根据目的虚拟机接收数据包的权限信息判断是否 允许将所述数据包转发给所述目的虚拟机之前,所述第二代理服务器获取本地存储的 目的虚拟机接收数据包的权限信息; 或者,所述第二代理服务器向授权服务器请求获 取所述目的虚拟机接收数据包的权限信息。
步骤 101中,在所述第一代理服务器判断本地是否存在不允许源虚拟机向目的虚 拟机发送数据包的信息之前,本发明实施例还包括: 所述第一代理服务器通过获取所 述数据包的源地址确定源虚拟机, 如果所述源虚拟机属于本地虚拟机, 则确定所述数 据包的类型属于本地发出的数据包。
步骤 102中,在所述第二代理服务器判断是否将所述数据包转发给所述目的虚拟 机之前,本发明实施例还包括: 所述第二代理服务器通过获取所述数据包的目的地址 确定目的虚拟机, 如果所述目的虚拟机属于本地虚拟机, 则确定所述数据包的类型属 于本地接收的数据包。
进一步的, 当步骤 102中, 第二代理服务器判断结果为不允许所述源虚拟机将所 述数据包发送给所述目的虚拟机时,第二代理服务器还可以将不允许源虚拟机向目的 虚拟机发送数据包的信息发送给第一代理服务器,指示第一代理服务器保存所述不允 许源虚拟机向目的虚拟机发送数据包的信息,用于对第一代理服务收到的后续数据包 进行过滤。第二代理服务器发送的不允许源虚拟机向目的虚拟机发送数据包的信息可 以是本次判断结果中获取的,或者是由本次判断结果为不允许触发第二代理服务器将 本地已存的过滤规则作为不允许源虚拟机向目的虚拟机发送数据包的信息。
步骤 102中, 所述目的虚拟机接收数据包的权限信息包括以下至少一种: 源虚拟 机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的协议类型; 不允 许标志; 允许标志。 例如: 权限信息为 {不允许标志 }, 用于表示该第二代理服务器拒 绝所有数据包; 权限信息为 {源虚拟机的标识; 不允许标志 }, 用于表示拒绝接收该源 虚拟机标识对应的虚拟机发送的数据包; 权限信息为 {源虚拟机的标识; 允许标志 }, 用于表示允许接收该源虚拟机标识对应的虚拟机发送的数据包; 权限信息为 {源虚拟
机的标识; 目的虚拟机的标识; 允许标志 }, 用于表示允许向该目的虚拟机标识对应 的目的虚拟机转发该源虚拟机标识对应的虚拟机发送的数据包;本领域技术人员理解 的是, 本处权限信息的还有其他的合理的方式, 本处未一一穷举。
其中, 不允许源虚拟机向目的虚拟机发送数据包的信息包括以下至少一种: 源虚 拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的协议类型; 不 允许标志。 具体实施时, 可以将不允许标志设置为: No (否)、 Reject (拒绝)、 Drop (丢弃)、 Prohibit (禁止)、 X (叉)等否定性的文字、 缩写、 或者符号形式。 相应地, 可以将允许数据包外发的允许标识设置为: Yes (是)、 Allow (允许)、 Accept (接受)、 Approved (批准)、 V (对勾) 等肯定性的文字、 缩写、 或者符号形式。 上述配置信 息可以直接携带于数据包中, 也可以预置在代理服务器本地。
本发明实施例中, 源虚拟机标识和目的虚拟机标识指的是网络、应用、其他虚拟 机, 或者用户用来识别或者指定一个虚拟机的标志,例如源虚拟机标识和目的虚拟机 标识可以是下列信息中的一种: IP地址、 URI (Uniform Resource Identifier, 通用资 源标志符)或者是系统为每一虚拟机分配的特定字符串或者数字串; 数据包可以是任 何协议的数据, 例如数据包可以是下列一种或者多种协议类型的数据: UDP ( User Datagram Protocol, 用户数据包协议)、 HTTP (HyperText Transfer Protocol, 超文本传 输协议)、 SIP ( Session Initiation Protocol, 会话发起协议)。
如图 2所示, 为本发明实施例提供的应用的系统环境架构图。
代理服务器截获控制范围内的物理机 1至物理机 n内的虚拟机发送和接收的数据 流,并且根据授权信息(具体可以为不允许源虚拟机向目的虚拟机发送数据包的信息, 或目的虚拟机接收数据包的权限信息) 控制是否允许范围内的物理机 1 至物理机 n 内的虚拟机发送或者接收截获的数据流。
授权节点服务器保存虚拟机发送和接收数据流的授权信息,这些授权信息可以是 用户的签约数据, 也可以是用户动态设置到授权节点服务器上的数据。
授权节点服务器可以存储整个数据中心的虚拟机的授权信息,可以存储几个物理 机内的虚拟机的授权信息, 也可以存储一个物理机内的虚拟机的授权信息。
代理服务器可以管理整个数据中心的虚拟机发送和接收数据流,可以存储几个物 理机内的虚拟机发送和接收的数据流,也可以存储一个物理机内的虚拟机发送和接收 的数据流。
代理服务器可以位于物理机内部,授权节点服务器可以和代理服务器合设在同一 个物理实体中。
当代理服务器接收到管理范围内的虚拟机向外发送的数据包时,代理查看本地是 否存在不允许源虚拟机向目的虚拟机发送数据包的信息:
如果本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息:则将数据包发 送到目的虚拟机所在的网络;
如果本地存在不允许源虚拟机向目的虚拟机发送数据包"的信息, 则不发送该数 据包, 或者丢弃该数据包。
当代理服务器收到目的虚拟机为管理范围内的虚拟机的数据包时,代理服务器查 看本地是否存在目的虚拟机接收数据包的权限信息:
如果本地不存在目的虚拟机接收数据包的权限信息,代理可以获取目的虚拟机接 收数据包的权限信息, 包括:
代理服务器向授权节点服务器请求目的虚拟机接收数据包的权限信息,当授权节 点服务器向代理服务器反馈目的虚拟机接收数据包的权限信息时,则代理服务器可以 将目的虚拟机接收数据包的权限信息保存在本地(如果代理服务器和授权节点服务器 合设在一个物理实体中, 该步骤将对外不可见);
如果代理服务器本地存在目的虚拟机接收数据包的权限信息,则查看目的虚拟机 接收数据包的权限信息;
根据目的虚拟机接收数据包的权限信息进行判断,如果判断结果为允许源虚拟机 向目的虚拟机发送数据包, 则代理服务器将接收到的数据包发送给目的虚拟机; 如果 判断结果为不允许源虚拟机向目的虚拟机发送数据包,则不向目的虚拟机发送接收到 的数据包, 或者丢弃接收到的数据包,代理服务器还可以向源虚拟机所在的网络发送 不允许源虚拟机向目的虚拟机发送数据包的信息,具体的可以将该信息发送给为源虚 拟机服务的代理服务器,用于使得为源虚拟机服务的代理服务根据所述信息进行后续 数据包的过滤。
可见, 本发明实施例中, 代理服务器接收源虚拟机发往目的虚拟机的数据包的信 息, 当本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,将数据包转发 给为目的虚拟机服务器的代理服务器,为目的虚拟机服务的代理服务器根据目的虚拟 机接收数据包的权限信息判断是否允许将该数据包转发到目的虚拟机,从而使得虚拟 机间的数据通信权限基于实际的虚拟机进行, 而非仅基于虚拟机的 IP地址, 避免虚 拟机 IP地址变化对虚拟机间数据传输的影响, 在数据传输的过程中提供了虚拟机之 间通信的安全性。。
为了便于对本发明实施例技术方案的充分理解,下面将结合本发明实施例中的附
图, 对本发明实施例中的技术方案进行清楚、 完整的描述。
如图 3所示, 为本发明实施例提供的一种实现虚拟机间数据传输的流程示意图, 具体包括以下内容:
201: 代理服务器 (第一代理服务器) 接收数据包: 该数据包有可能是本地虚拟 机发出的数据包, 或者是发送到本地虚拟机的接收的数据包, 或者是远端数据目的方 发来的不允许源虚拟机向目的虚拟机发送数据包的信息。当接收到数据包时,执行步 骤 202进行数据包类型的判断, 根据数据包的类型再进行相应的操作;
202: 第一代理服务器判断数据包的类型: 如果数据包是来自于本地网络的内部, 或者数据包的源标识是本地虚拟机的标识, 则数据包的类型为本地发出的数据包,执 行步骤 211 ; 如果数据包是发送到本地网络内部的, 或者数据包的目的标识是本地虚 拟机的标识, 则数据包的类型为本地接收的数据包, 执行步骤 221 ; 如果数据包是远 端数据目的方发来的,并且数据包中包含"不允许源虚拟机向目的虚拟机发送数据包" 的信息,则数据包是不允许源虚拟机向目的虚拟机发送数据包的信息,执行步骤 231 ;
211: 第一代理服务器判断是否存在不允许源虚拟机向目的虚拟机发送数据包的 信息:根据接收到的数据包中的属性信息查找是否存在匹配的不允许源虚拟机向目的 虚拟机发送数据包的信息,如果不存在匹配的不允许源虚拟机向目的虚拟机发送数据 包的信息则执行步骤 212, 如果存在, 则执行步骤 213 ;
其中根据接收到的数据包中的属性信息查找是否存在匹配的不允许源虚拟机向 目的虚拟机发送数据包的信息,其中数据包中的属性信息包括以下至少一种: 源虚拟 机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的类型。
212: 第一代理服务器向目的虚拟机所在网络发送接收到的数据包;
213: 第一代理服务器丢弃接收到的数据包;
221: 为目的虚拟机服务的代理服务器 (第二代理服务器) 判断是否存在目的虚 拟机接收数据包的权限信息:根据接收到的数据包中的属性信息查找匹配的目的虚拟 机接收数据包的权限信息,如果不存在,则执行步骤 222,如果存在,则执行步骤 224;
222: 第二代理服务器获取目的虚拟机接收数据包的权限信息, 具体可以包括: 第二代理服务器可以在本地查询目的虚拟机接收数据包的权限信息,还可以向授权节 点服务器请求目的虚拟机接收数据包的权限信息;
其中向授权节点服务器请求目的虚拟机接收数据包的权限信息可以包含下列步 骤:
222A: 第二代理服务器向授权节点服务器发送目的虚拟机接收数据包的权限信
息的请求消息;
221B: 授权节点服务器反馈携带目的虚拟机接收数据包的权限信息的响应。 其中目的虚拟机接收数据包的权限信息的请求消息包括以下至少一种:源虚拟机 的标识; 目的虚拟机标识; 源虚拟机向目的虚拟机发送数据包的类型; 允许标识; 不 允许标识。
其中授权节点服务器中的目的虚拟机接收数据包的权限信息可以来自于用户 的签约数据,或者用户通过网页等工具将目的虚拟机接收数据包的权限信息设置在授 权节点服务器中。
223: 第二代理服务器保存目的虚拟机接收数据包的权限信息;
224: 根据目的虚拟机接收数据包的权限信息判断是否允许接收该数据包, 例如: 如果 "目的虚拟机接收数据包的权限信息包含允许标识, 则执行步骤 225, 如果目的 虚拟机接收数据包的权限信息包含不允许标识则执行步骤 226;
225: 将接收到的数据包转发给目的虚拟机。
226: 丢弃接收到的数据包;
227: 向源虚拟机所在的网络发送携带不允许源虚拟机向目的虚拟机发送数据包 的信息的消息,可以将源虚拟机标识作为所述消息的目的标识, 或者将为源虚拟机服 务传递的代理实体的标识 (例如第一代理服务器的标识) 作为所述消息的目的标识。
231: 第一代理服务器保存不允许源虚拟机向目的虚拟机发送数据包的信息。 如图 4所示,为本发明实施例提供的一种分属两个网络中的虚拟机间的数据传输 流程示意图;
本实施例的前提条件: 在本实施例中, 虚拟机 -1 是源虚拟机, 虚拟机 -2 是目的 虚拟机, 代理 -1 (即为第一代理服务器) 控制虚拟机 -1发送的数据包, 代理 -2 (即为 第二代理服务器)控制虚拟机 -2接收的数据包,授权节点服务器是保存数据传递授权 信息的服务器, 代理 -2 可以向授权节点服务器查询目的虚拟机接收数据包的权限信 息。 需要说明的是: 授权节点服务器可以和代理 -2 在同一个实体中, 此时, 代理 -2 和授权节点之间的交互过程可以对外不可见。
301: 虚拟机 -1发送数据包, 数据包的源 IP地址是虚拟机 -1的 IP地址, 数据包 的 IP地址是虚拟机 -2的 IP地址;
302: 代理 -1接收到虚拟机 -1发出的数据包, 代理 -1发现数据源 IP是虚拟机 -1 的 IP地址, 并且数据包来自于代理 -1控制的网络内, 因此确定收到的数据包是本地 发出的数据包, 代理 -1在本地查找和数据包源 IP地址、 目的 IP地址、 以及数据包协
议类型匹配的不允许源虚拟机向目的虚拟机发送数据包的信息,查找结果为不存在数 据包源 IP地址、 目的 IP地址、 以及数据包协议类型匹配的不允许源虚拟机向目的虚 拟机发送数据包的信息;
需要说明的是, 数据包源 IP地址、 目的 IP地址、 以及数据包协议类型均非查找 的必要条件, 可以根据其中的一项或多项进行查找。
303: 代理 -1向虚拟机 -2所在的网络转发接收到的数据包;
304: 代理 -2发现数据包目的 IP是虚拟机 -2的 IP地址, 因此确定收到的数据包 是本地接收的数据包, 代理 -2在本地查找和数据包源 IP地址、 目的 IP地址、 以及数 据包协议类型匹配的目的虚拟机接收数据包的权限信息,查找结果为不存在和数据包 源 IP地址、 目的 IP地址、 以及数据包协议类型匹配的目的虚拟机接收数据包的权限 信息;
305: 代理 -2向授权节点服务器发送目的虚拟机接收数据包的权限信息的请求消 息,其中包括数据包源 IP地址、 目的 IP地址、 以及数据包协议类型中的一项或多项;
306: 授权节点服务器向代理 -2发送目的虚拟机接收数据包的权限信息的响应消 息,其中携带目的虚拟机接收数据包的权限信息,所述目的虚拟机接收数据包的权限 信息可以包括允许源虚拟机向目的虚拟机发送数据包的标识: Allow;
需要说明的是, 当授权节点服务器和代理 -2在同一个实体中时,步骤 305和步骤 306可以是内部的函数调用或者数据库查询, 步骤 305和步骤 306可以对外不可见。
307: 代理 -2保存接收到的目的虚拟机接收数据包的权限信息;
308: 代理 -2查看接收到的目的虚拟机接收数据包的权限信息, 由于目的虚拟机 接收数据包的权限信息包括允许源虚拟机向目的虚拟机发送数据包的标识 Allow, 因 此代理 -2允许虚拟机 -2接收该数据包;
309: 代理 -2向虚拟机 -2转发接收到的数据包。
如图 5所示,为本发明实施例提供的分属两个网络中的虚拟机间的另一种数据传 输流程示意图, 包括以下步骤:
本实施例的前提条件与上一实施例相同。
401-403: 同上一实施例的步骤 301至步骤 303 ;
404: 代理 -2发现数据目的 IP是虚拟机 -2的 IP地址, 并且数据包来自于代理 -2 控制的网络之外, 因此确定收到的数据包是本地接收的数据包,代理 -2在本地查找与 数据包源 IP地址、 目的 IP地址、 以及数据包协议类型匹配的目的虚拟机接收数据包 的权限信息, 查找结果为存在和数据包源 IP地址、 目的 IP地址、 以及数据包协议类
型匹配的目的虚拟机接收数据包的权限信息;
需要说明的是,代理 -2本地不存在目的虚拟机接收数据包的权限信息的情况同上 一实施例, 可以参考实施例一中的步骤 304至步骤 306, 只是步骤 306反馈的目的虚 拟机接收数据包的权限信息包括不允许源向目的发送数据包的标识: Reject。
405: 代理 -2查看目的虚拟机接收数据包的权限信息, 目的虚拟机接收数据包的 权限信息包括不允许源向目的发送数据包的标识 Reject,因此代理 -2拒绝虚拟机 -2接 收该数据包;
406: 代理 -2丢弃接收到的数据包;
407: 代理 -2向代理 -1发送不允许源虚拟机向目的虚拟机发送数据包的信息, 其 中可以包含: 源虚拟机 IP地址、 目的虚拟机 IP地址、 以及不允许标识, 还可以包含 不允许源虚拟机向目的虚拟机发送数据包的协议类型,例如: 不允许源虚拟机向目的 虚拟机发送 HTTP数据包;
408: 代理 -1保存接收到的不允许源虚拟机向目的虚拟机发送数据包的信息。 通过上述实施例可见,第一代理服务器接收源虚拟机发往目的虚拟机的数据包的 信息, 当本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,将数据包转 发给第二代理服务器,第二代理服务器根据目的虚拟机接收数据包的权限信息判断是 否允许将接收到的数据包发送给目的虚拟机, 进一步的, 当结果为不允许时, 可以将 不允许源虚拟机向目的虚拟机发送数据包的信息发送给第一代理服务器,使得第一代 理服务器可以根据该信息进行后续数据包的过滤。因此,本发明实施例给出的实现控 制虚拟计算机数据传递的方法,能够有效的控制虚拟计算机能够发送和允许接收的数 据流,使得虚拟机间的数据通信权限基于实际的虚拟机进行,而非仅基于虚拟机的 IP 地址,有效的避免了虚拟机数据通信权限设置随着虚拟计算机 IP地址的变化而变化, 在数据传输的过程中提供了虚拟机之间通信的安全性,避免了虚拟计算机受到网络风 暴的攻击。
相应上述实现虚拟机间数据传输的方法实施例,本发明实施例还提供了一种实现 虚拟机间数据传输的系统, 包括: 第一代理服务器 601和第二代理服务器 602, 所述第一代理服务器 601, 用于接收源虚拟机发往目的虚拟机的数据包的信息, 如果本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,则向为所述目的 虚拟机服务的第二代理服务器 602 转发所述数据包; 否则所述第一代理服务器 601 不发送所述数据包;
所述第二代理服务器 602, 用于接收所述数据包, 根据目的虚拟机接收数据包的
权限信息判断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则将所述数 据包转发至所述目的虚拟机, 如果不允许, 则不发送所述数据包。
其中, 所述数据包的信息至少包括以下至少一种:
源虚拟机发往目的虚拟机的数据包;
指示信息,所述指示信息用于向所述第一代理服务器指示所述源虚拟机向目的虚 拟机发送数据包。
所述指示信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 以及源虚拟机向目的虚拟机发送数据包的 协议类型。
所述不允许源虚拟机向目的虚拟机发送数据包的信息包括以下至少一种: 源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的协议 类型; 不允许标志。
当所述第二代理服务器 602 的判断结果为不允许所述源虚拟机将所述数据包发 送给所述目的虚拟机时, 所述第二代理服务器 602还用于向所述第一代理服务器 601 发送不允许源虚拟机向目的虚拟机发送数据包的信息,所述不允许源虚拟机向目的虚 拟机发送数据包的信息包括以下至少一种: 源虚拟机的标识; 目的虚拟机的标识; 源 虚拟机向目的虚拟机发送数据包的协议类型; 不允许标志;
所述第一代理服务器 601还用于接收并保存所述第二代理服务器 602发送的不允 许源虚拟机向目的虚拟机发送数据包的信息。
进一步的, 所述系统还包括:
授权节点服务器 603, 用于根据所述第二代理服务器 602的请求, 向所述第二代 理服务器 602发送所述目的虚拟机接收数据包的权限信息。
授权节点服务器 603用于保存虚拟机发送和接收数据包的权限信息,这些权限信 息可以是用户的签约数据,也可以是用户通过网页等工具动态设置到授权节点服务器 603上的数据。授权节点服务器 603可以存储与之连接的物理机下所有虚拟机的权限 信息, 也可以存储一台物理机内若干虚拟机的权限信息。
授权节点服务器 603可以是一台独立于代理服务器的专用服务器, 当然, 也可以 是代理服务器内的功能模块,由代理服务器兼具预置目的虚拟机接收数据包的权限信 息的功能。
当代理服务器获取到授权节点服务器 603 中的目的虚拟机接收数据包的权限信 息时,将从所述授权节点服务器中获得的所述权限信息存储于本地,便于后续再次接
收到该源虚拟机发出的数据包的处理。
如图 7所示,为本发明实施例提供的另一种实现虚拟机间数据传输的系统的架构 示意图, 其中:
第一代理服务器 601包括: 第一数据接收模块 701, 第一选择模块 702, 发出数 据控制模块 703 ;
第二代理服务器 602包括: 接收数据控制模块 704, 第二数据接收模块 705, 第 二选择模块 706。
第一数据接收模块 701, 用于接收源虚拟机发送给目的虚拟机的数据包; 第一选择模块 702, 用于判断接收到的数据包类型:
1: 如果接收到的数据包是第一代理服务器管理范围内的虚拟机发出的数据或者 该第一代理服务器管理范围内的虚拟机发出数据包的指示信息,则选择发出数据控制 模块 703处理该数据包;
2: 如果接收到的数据包是不允许源虚拟机向目的虚拟机发送数据包的信息, 则 通过发出数据控制模块 703 中的第一信息存储模块将接收到的不允许源虚拟机向目 的虚拟机发送数据包的信息保存在本地。
需要说明的是, 在具体实现时, 当第一代理服务器为目的虚拟机服务的代理服务 器时,第一代理服务器还可以包括接收数据控制模块 704,所述第一选择模块还可以: 3: 如果接收到的数据包是目的为第一代理服务器管理范围内的虚拟机的数据包或者 目的为该第一代理服务器管理范围内的虚拟机的数据包的指示信息,则选择接收数据 控制模块 704处理该数据。
发送数据控制模块 703控制管理范围内的虚拟机是否可以向目的发送数据,其中 包括: 第一信息查找模块 7031, 第一信息存储模块 7032, 发出数据转发模块 7033, 发出数据丢弃模块 7034。
第一信息查找模块 7031, 用于查找本地是否存在不允许源虚拟机向目的虚拟机 发送数据包的信息, 如果本地不存在不允许源虚拟机向目的虚拟机发送数据包的信 息, 则通过发出数据转发模块 7033将接收到的数据包转发给目的虚拟机; 如果本地 存在不允许源虚拟机向目的虚拟机发送数据包的信息, 则通过发出数据丢弃模块 7034丢弃接收到的数据包。
第一信息存储模块 7032, 用于将接收到的不允许源虚拟机向目的虚拟机发送数 据包的信息保存在本地。
第二数据接收模块 705, 用于接收第一代理服务器转发的数据包;
第二选择模块 706, 用于判断接收到的数据包类型, 由于该数据包为第一代理服 务器转发过来的数据包, 因此, 选择接收数据控制模块 704处理该数据。
需要说明的是,第二代理服务器中的第二数据接收模块 5和第二选择模块 6与第 一代理服务器相同,在某些场景下,第一代理服务器和第二代理服务器是可以相互转 化的, 即彼此都可以作为数据包的转发方和接收方。
接收数据控制模块 704 控制管理范围内的虚拟机是否可以接收源虚拟机发送的 数据, 其中包括: 第二信息找模块 7041, 权限信息获取模块 7042, 第二信息存储模 块 7043,权限信息判断模块 7044,接收数据转发模块 7045,接收数据丢弃模块 7046, 信息发送模块 7047。
第二信息查找模块 7041 在本地查找是否存在目的虚拟机接收数据包的权限信 息, 如果不存在, 则通过权限信息获取模块 7042获取目的虚拟机接收数据包的权限 信息。
权限信息获取模块 7042向授权节点服务器 603请求目的虚拟机接收数据包的权 限信息, 授权节点服务器 603向第二信息获取模块 7042反馈目的虚拟机接收数据包 的权限信息, 第二信息存储模块 7043将授权节点服务器 603反馈的目的虚拟机接收 数据包的权限信息保存在本地。
权限信息判断模块 7044用于判断是否允许源虚拟机向目的虚拟机发送数据包: 1: 如果目的虚拟机接收数据包的权限信息为允许源虚拟机向目的虚拟机发送数 据包, 则通过接收数据转发模块 7045将接收到的数据转发给目的虚拟机;
2: 如果接收数据为不允许源虚拟机向目的虚拟机发送数据包, 则通过接收数据 丢弃模块 7046丢弃接收到的数据,通过信息发送模块 7047向源虚拟机所在的网络发 送不允许源虚拟机向目的虚拟机发送数据包的信息。
本发明实施例提供了一种代理服务器,接收源虚拟机发往目的虚拟机的数据包的 信息, 当本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时,将数据包转 发给目的虚拟机,所述代理服务器还可以用于根据目的虚拟机接收数据包的权限信息 判断是否允许将接收到的数据包发送给目的虚拟机。因此,本发明实施例给出的代理 服务器能够有效的控制虚拟计算机能够发送和允许接收的数据流,使得虚拟机间的数 据通信权限基于实际的虚拟机进行, 而非仅基于虚拟机的 IP地址, 有效的避免了虚 拟机数据通信权限设置随着虚拟计算机 IP地址的变化而变化, 在数据传输的过程中 提供了虚拟机之间通信的安全性, 避免了虚拟计算机受到网络风暴的攻击。
对于系统实施例而言, 由于其基本相应于方法和设备实施例, 所以描述得比较简
单,相关之处参见方法和设备实施例的部分说明即可。 以上所描述的设备实施例仅仅 是示意性的, 其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开 的, 作为单元显示的部件可以是或者也可以不是物理单元, 即可以位于一个地方, 或 者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块 来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下, 即 可以理解并实施。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介 质中, 该程序在执行时, 可包括如上述各方法的实施例的流程。 其中, 所述的存储介 质可为磁碟、 光盘、 只读存储记忆体 (Read-Only Memory, ROM) 或随机存储记忆 体 (Random Access Memory, RAM) 等。
对所公开的实施例的上述说明, 使本领域专业技术人员能够实现或使用本发明。 对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定 义的一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其它实施例中实 现。 因此, 本发明实施例将不会被限制于本文所示的这些实施例, 而是要符合与本文 所公开的原理和新颖特点相一致的最宽的范围。
Claims
1、 一种实现虚拟机间数据传输的方法, 其特征在于, 所述方法包括: 第一代理服务器接收源虚拟机发往目的虚拟机的数据包的信息,如果本地不 存在不允许源虚拟机向目的虚拟机发送数据包的信息时,则所述第一代理服务器 向为所述目的虚拟机服务的第二代理服务器转发所述数据包;否则所述第一代理 服务器不发送所述数据包;
所述第二代理服务器接收所述数据包,根据目的虚拟机接收数据包的权限信 息判断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则由所述第二 代理服务器将所述数据包转发至所述目的虚拟机, 如果不允许, 所述第二代理服 务器不发送所述数据包。
2、 根据权利要求 1所述的实现虚拟机间数据传输的方法, 其特征在于, 所 述数据包的信息至少包括以下至少一种:
源虚拟机发往目的虚拟机的数据包;
指示信息,所述指示信息用于向所述第一代理服务器指示所述源虚拟机向目 的虚拟机发送数据包。
3、 根据权利要求 2所述的实现虚拟机间数据传输的方法, 其特征在于, 所 述指示信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的 协议类型。
4、 根据权利要求 1所述的实现虚拟机间数据传输的方法, 其特征在于, 所 述不允许源虚拟机向目的虚拟机发送数据包的信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的 协议类型; 不允许标志。
5、 根据权利要求 1所述的实现虚拟机间数据传输的方法, 其特征在于, 所 述方法还包括:
所述第二代理服务器获取本地存储的目的虚拟机接收数据包的权限信息;或 者,
所述第二代理服务器向授权服务器请求获取所述目的虚拟机接收数据包的 权限信息。
6、 根据权利要求 1所述的实现虚拟机间数据传输的方法, 其特征在于, 在 所述第一代理服务器判断本地是否存在不允许源虚拟机向目的虚拟机发送数据 包的信息之前, 所述方法还包括:
所述第一代理服务器通过获取所述数据包的源地址确定源虚拟机,如果所述 源虚拟机属于本地虚拟机, 则确定所述数据包的类型属于本地发出的数据包。
7、 根据权利要求 1所述的实现虚拟机间数据传输的方法, 其特征在于, 在 所述第二代理服务器判断是否将所述数据包转发给所述目的虚拟机之前,所述方 法还包括:
所述第二代理服务器通过获取所述数据包的目的地址确定目的虚拟机,如果 所述目的虚拟机属于本地虚拟机,则确定所述数据包的类型属于本地接收的数据 包。
8、 根据权利要求 3所述的实现虚拟机间数据传输的方法, 其特征在于, 在 第二代理服务器判断是否将所述数据包转发给所述目的虚拟机之后,如果所述判 断结果为不允许所述源虚拟机将所述数据包发送给所述目的虚拟机,则所述方法 还包括:
所述第二代理服务器向所述第一代理服务器发送不允许源虚拟机向目的虚 拟机发送数据包的信息,所述不允许源虚拟机向目的虚拟机发送数据包的信息包 括以下至少一种: 源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机 发送数据包的协议类型; 不允许标志。
9、 根据权利要求 8所述的实现虚拟机间数据传输的方法, 其特征在于, 所 述方法还包括:
所述第一代理服务器接收并保存所述第二代理服务器发送的不允许源虚拟 机向目的虚拟机发送数据包的信息。
10、根据权利要求 1或 5所述的实现虚拟机间数据传输的方法,其特征在于, 所述目的虚拟机接收数据包的权限信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的 协议类型; 不允许标志; 允许标志。
11、 一种实现虚拟机间数据传输的系统, 其特征在于, 所述系统包括: 第一 代理服务器 601和第二代理服务器 602,
所述第一代理服务器 601, 用于接收源虚拟机发往目的虚拟机的数据包的信 息, 如果本地不存在不允许源虚拟机向目的虚拟机发送数据包的信息时, 则向为 所述目的虚拟机服务的第二代理服务器 602转发所述数据包;否则所述第一代理 服务器 601不发送所述数据包;
所述第二代理服务器 602, 用于接收所述数据包, 根据目的虚拟机接收数据 包的权限信息判断是否允许将所述数据包转发给所述目的虚拟机, 如果允许, 则 将所述数据包转发至所述目的虚拟机, 如果不允许, 则不发送所述数据包。
12、 根据权利要求 11所述的实现虚拟机间数据传输的系统, 其特征在于, 所述数据包的信息至少包括以下至少一种:
源虚拟机发往目的虚拟机的数据包;
指示信息,所述指示信息用于向所述第一代理服务器指示所述源虚拟机向目 的虚拟机发送数据包。
13、 根据权利要求 12所述的实现虚拟机间数据传输的系统, 其特征在于, 所述指示信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 以及源虚拟机向目的虚拟机发送数据 包的协议类型。
14、 根据权利要求 11所述的实现虚拟机间数据传输的系统, 其特征在于, 所述不允许源虚拟机向目的虚拟机发送数据包的信息包括以下至少一种:
源虚拟机的标识; 目的虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的 协议类型; 不允许标志。
15、 根据权利要求 11所述的实现虚拟机间数据传输的系统, 其特征在于, 所述系统还包括:
授权节点服务器 603, 用于根据所述第二代理服务器 602的请求, 向所述第 二代理服务器 602发送所述目的虚拟机接收数据包的权限信息。
16、 根据权利要求 11所述的实现虚拟机间数据传输的系统, 其特征在于, 当所述第二代理服务器 602 的判断结果为不允许所述源虚拟机将所述数据 包发送给所述目的虚拟机时,所述第二代理服务器 602还用于向所述第一代理服 务器 601发送不允许源虚拟机向目的虚拟机发送数据包的信息,所述不允许源虚 拟机向目的虚拟机发送数据包的信息包括以下至少一种: 源虚拟机的标识; 目的 虚拟机的标识; 源虚拟机向目的虚拟机发送数据包的协议类型; 不允许标志; 所述第一代理服务器 601还用于接收并保存所述第二代理服务器 602发送的 不允许源虚拟机向目的虚拟机发送数据包的信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110021689.2 | 2011-01-19 | ||
| CN2011100216892A CN102075537B (zh) | 2011-01-19 | 2011-01-19 | 一种实现虚拟机间数据传输的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2011147371A1 true WO2011147371A1 (zh) | 2011-12-01 |
Family
ID=44033881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2011/075359 WO2011147371A1 (zh) | 2011-01-19 | 2011-06-03 | 一种实现虚拟机间数据传输的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102075537B (zh) |
| WO (1) | WO2011147371A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795752A (zh) * | 2012-10-31 | 2014-05-14 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机分享系统及方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075537B (zh) * | 2011-01-19 | 2013-12-04 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
| CN102739795A (zh) * | 2012-07-04 | 2012-10-17 | 深圳市京华科讯科技有限公司 | 应用于虚拟化环境的网络代理数据转发系统及方法 |
| CN103856460A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种访问控制的方法、装置及系统 |
| CN104219260B (zh) * | 2013-05-30 | 2017-12-12 | 中国电信股份有限公司 | 同一物理机内虚拟机间数据交换的方法、系统与物理主机 |
| CN103458003B (zh) * | 2013-08-15 | 2016-11-16 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN104601428B (zh) * | 2014-12-23 | 2018-10-09 | 广州亦云信息技术有限公司 | 虚拟机之间的通信方法 |
| CN105721487B (zh) * | 2016-03-07 | 2019-07-26 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
| WO2018018640A1 (zh) * | 2016-07-29 | 2018-02-01 | 华为技术有限公司 | 信息交互方法、装置及系统 |
| CN111262901B (zh) * | 2019-07-29 | 2021-03-26 | 深圳百灵声学有限公司 | 多对多通信系统及其运行方法 |
| CN112104744B (zh) * | 2020-03-30 | 2022-09-09 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN115913824B (zh) * | 2023-02-10 | 2023-07-25 | 中航金网(北京)电子商务有限公司 | 跨vpc的虚拟服务器通信方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060256106A1 (en) * | 2005-05-13 | 2006-11-16 | Scarlata Vincent R | Method and apparatus for migrating software-based security coprocessors |
| TW201007574A (en) * | 2008-08-13 | 2010-02-16 | Inventec Corp | Internet server system and method of constructing and starting a virtual machine |
| CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 |
| CN101867511A (zh) * | 2009-04-20 | 2010-10-20 | 华为技术有限公司 | 流控帧发送方法、相关设备及系统 |
| CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101031141B (zh) * | 2006-02-28 | 2011-11-09 | 华为技术有限公司 | 安全通信方法 |
| CN101207604B (zh) * | 2006-12-20 | 2012-03-28 | 联想(北京)有限公司 | 一种虚拟机系统及其通信处理方法 |
| CN101631110B (zh) * | 2008-07-15 | 2013-01-02 | 国际商业机器公司 | 基于相对位置动态确定连接建立机制的装置和方法 |
| US20110110377A1 (en) * | 2009-11-06 | 2011-05-12 | Microsoft Corporation | Employing Overlays for Securing Connections Across Networks |
| CN101867571A (zh) * | 2010-05-12 | 2010-10-20 | 上海电机学院 | 基于协同多个移动代理的智能网络入侵防御系统 |
-
2011
- 2011-01-19 CN CN2011100216892A patent/CN102075537B/zh active Active
- 2011-06-03 WO PCT/CN2011/075359 patent/WO2011147371A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060256106A1 (en) * | 2005-05-13 | 2006-11-16 | Scarlata Vincent R | Method and apparatus for migrating software-based security coprocessors |
| TW201007574A (en) * | 2008-08-13 | 2010-02-16 | Inventec Corp | Internet server system and method of constructing and starting a virtual machine |
| CN101867511A (zh) * | 2009-04-20 | 2010-10-20 | 华为技术有限公司 | 流控帧发送方法、相关设备及系统 |
| CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 |
| CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795752A (zh) * | 2012-10-31 | 2014-05-14 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机分享系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075537A (zh) | 2011-05-25 |
| CN102075537B (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2011147371A1 (zh) | 一种实现虚拟机间数据传输的方法和系统 | |
| US10122622B2 (en) | Exchanging application metadata for application context aware service insertion in service function chain | |
| WO2019201043A1 (zh) | 网络通信方法、系统、设备及存储介质 | |
| EP2863615B1 (en) | Method, push system, and relevant devices for setting up push session | |
| WO2017114362A1 (zh) | 一种报文转发方法、装置和系统 | |
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| US20130232278A1 (en) | IPv4 Data Center Support for IPv4 and IPv6 Visitors | |
| WO2012106892A1 (zh) | 一种业务流处理的方法、装置及系统 | |
| WO2011140795A1 (zh) | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 | |
| WO2014154040A1 (zh) | 访问控制方法及设备、系统 | |
| US20120173727A1 (en) | Internet Access Control Apparatus, Method and Gateway Thereof | |
| WO2012151904A1 (zh) | 一种数据报文转发方法及装置 | |
| WO2015014187A1 (zh) | 一种支持多租户的数据转发方法和装置 | |
| JP2018536363A (ja) | アクセス制御リストを動的に生成するための方法およびシステム | |
| WO2014023003A1 (zh) | 控制数据传输的方法、装置和系统 | |
| WO2016107379A1 (zh) | 一种发送报文的方法和装置 | |
| WO2014086023A1 (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
| CN112615810B (zh) | 一种访问控制方法及装置 | |
| WO2014056200A1 (zh) | 网络数据流检测状态的同步方法和设备 | |
| WO2011160587A1 (zh) | 一种双栈终端连接网络的方法及系统 | |
| WO2013020429A1 (zh) | 网络处理器镜像实现方法及网络处理器 | |
| WO2009000214A1 (fr) | Procédé et dispositif pour configurer des données de configuration du réseau d'accès utilisateur | |
| CN112929264B (zh) | 业务流量传输方法、系统及网络设备 | |
| WO2010099680A1 (zh) | 私网用户对同侧私网设备访问的实现方法及系统 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 11786143 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 11786143 Country of ref document: EP Kind code of ref document: A1 |