WO2013173973A1 - 网络通信方法和装置 - Google Patents

Abstract

本发明实施例提供一种网络通信方法和装置，方法包括：物理主机上的VNC接收以所述物理主机为宿主机的、且与VNC存在映射关系的第一虚拟机发送的网络通信报文，网络通信报文中携带的源地址为第一虚拟机的地址，网络通信报文中携带的目的地址为第二虚拟机的地址、或其他物理主机的地址；物理主机从预设的VPN网络与VNC的对应关系中，选择出与物理主机上的VNC对应的VPN网络；物理主机通过选择出的VPN网络发送网络通信报文。虚拟网络通信装置包括报文截获模块、选择模块和第一发送模块。本发明实施例降低了对VPN内虚拟机的IP地址的设置限制。

Description

网络通信方法和装置 技术领域

本发明涉及通信技术， 尤其涉及一种网络通信方法和装置。 背景技术

在数据中心中， 不同用户的业务系统都有自己的计算机、 网络等基 设 施， 且不同业务系统的基础设施之间相互独立， 因此可以通过网络物理隔离 手段来保证业务系统之间的信息隔离， 防止业务系统的信息泄露。 比如， 财 务系统的计算机和网络与其他业务系统相隔离， 这样可以保证其他业务系统 的用户无法通过网络窃取财务系统内的数据。 虚拟化是指计算机元件在虚拟的基础上而不是真实的基础上运行， CPU 的虚拟化技术可以单 CPU模拟多 CPU并行， 允许一个平台同时运行多个操 作系统， 且应用程序都可以在相互独立的空间内运行而互不影响， 从而显著 提高计算机的工作效率。 由于虚拟化技术在提升工作效率方面的优势， 在数 据中心上应用虚拟化技术成为当前技术研究热点，但在数据中心虚拟化之后， 运行用户业务的不再是物理计算机而是安装在物理计算机上的虚拟机， 属于 不同租户的不同虚拟机可能运行在同一物理主机上， 由虚拟机组成的不同业 务系统会共享相同的网络基础设施。 此时难以实现信息系统的隔离， 如财务 系统和研发系统使用不同的虚拟机， 但不同的虚拟机运行在同一物理主机上 或者同处于同一网络内，则用户可以通过研发系统内的计算机通过地址欺骗、 网络监听等手段窃取财务系统的数据。 因此， 在出现不同的租户共享物理基 础设施时， 如何跨越物理边界将虚拟机划分为不同的虚拟网络， 并保证虚拟 网络之间的信息隔离成为保证虚拟化数据中心多租户安全的一项基本要求。

在现有技术中， 为了解决不同租户共享相同物理基础设施时的网络安全 问题， 通常需要在每个虚拟机的客 （Guest ) 系统内安装常规的虚拟专用网 ( Virtual Private Network; 以下简称： VPN )软件， 将属于不同业务系统的 虚拟机隔离在不同的 VPN网络内，从而实现相同业务网络内虚拟机的安全通 信， 并对网络流量进行加密， 防止网络通信内容被共享基础设施上的其他用 户窃取。

并且， 现有技术在配置虚拟机的 IP地址时， 不能将虛拟机的 IP地址与 物理主机的 IP地址设置为相同， 且需要将 VPN内的虚拟 IP地址与虚拟机的 真实 IP地址设置在不同的网段， 否则会引起网络内 IP地址冲突以及物理主 机中路由表的错乱。

因此现有技术为了实现虚拟机相关的安全通信所需进行的设置较为繁 琐。 发明内容 本发明实施例提供一种网络通信方法和装置， 解决了现有技术为了实 现虚拟机相关的安全通信所需进行的设置较为复杂的问题。 本发明实施例的第一个方面是提供一种网络通信方法， 包括： 物理主机上的虚拟专用网 VPN网卡 VNC接收以所述物理主机为宿主 机的、 且与所述 VNC存在映射关系的第一虚拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所述第一虚拟机的地址， 所述网络通 信报文中携带的目的地址为第二虚拟机的地址、 或其他物理主机的地址； 所述物理主机从预设的 VPN网络与 VNC的对应关系中， 选择出与所 述物理主机上的所述 VNC对应的 VPN网络；

所述物理主机通过选择出的 VPN网络发送所述网络通信报文。

本发明实施例的另一个方面是提供一种网络通信装置， 包括： 报文截获模块， 用于通过所述网络通信装置所在物理主机上的 VNC 接收以所述物理主机为宿主机的、 且与所述 VNC存在映射关系的第一虚 拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所述第一 虚拟机的地址， 所述网络通信报文中携带的目的地址为第二虚拟机的地 址、 或其他物理主机的地址；

选择模块， 用于从预设的 VPN网络与 VNC的对应关系中， 选择出与 所述物理主机上的所述 VNC对应的 VPN网络；

第一发送模块， 用于通过选择出的 VPN网络发送所述网络通信报文。 本发明实施例的技术效果是： 通过物理主机上的 VNC接收以该物理 主机为宿主机、 且与该 VNC存在映射关系的第一虚拟机发送的网络通信 报文， 根据预设的 VPN网络与 VNC之间的对应关系， 选择出所述 VPN 网卡对应的 VPN网络， 通过选择出的 VPN网絡发送所述网络通信报文。 该方案无需在每个虚拟机上都安装 VPN软件， 简化了设置流程， 允许虚 拟机的 IP地址与物理计算机的 IP地址相同， 允许安装在相同虚拟机管理 系统上分属于不同 VPN网络的不同虚拟机设置相同的 IP地址， 从而降低 了对 VPN内虚拟机的 IP地址的设置限制。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见 地， 下面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员 来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的 附图。

图 1为本发明网络通信方法实施例一的流程图；

图 2为本发明网络通信方法实施例二的流程图；

图 3为本发明网络通信方法实施例二中的虚拟机通信示意图一； 图 4为本发明网络通信方法实施例二中的虚拟机通信示意图二； 图 5为本发明网络通信方法实施例三的流程图；

图 6为本发明网络通信装置实施例一的结构图；

图 7为本发明网络通信装置实施例二的结构图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明网络通信方法实施例一的流程图， 如图 1所示， 本实施 例提供了一种网络通信方法， 可以具体包括如下步骤： 步骤 101 , 物理主机上的 VPN网卡 （ VPN Network Card; 以下筒称： VNC ) 接收以所述物理主机为宿主机的、 且与所述 VNC存在映射关系的 第一虛拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所 述第一虚拟机的地址， 所述网络通信报文中携带的目的地址为第二虚拟机 的地址、 或其他物理主机的地址。

本步骤可以具体为物理主机上的 VNC接收第一虚拟机发送的网络通 信报文， 在网络通信报文中分别携带源地址和目的地址。 此处的源地址可 以为发送该网络通信 文的第一虚拟机的 MAC地址或在所属 VPN网络中 的虚拟 IP地址， 目的地址可以为接收该网络通信 艮文的第二虚拟机的 MAC地址或在所属 VPN网络中的虚拟 IP地址， 目的地址也可以为接收 该网络通信艮文的其他物理主机的 MAC地址或在所属 VPN网络中的虚拟 IP地址。需要说明的是，虚拟 IP地址是指所在的 VPN网络所分配的地址， 其在所在的 VPN网络中是唯一的， 当然不同 VPN网络中的虚拟 IP地址 是可以重复的。 其中， 第一虚拟机为以该物理主机为宿主机、 且与该 VNC 存在映射关系的虚拟机， 第二虚拟机也可以为以该物理主机为宿主机、 且 与该物理主机上的 VNC存在映射关系的其他虚拟机， 第二虚拟机还可以 为以其他物理主机为宿主机、 且与所述第一虚拟机属于同一 VPN网络的 虚拟机。

步驟 102, 所述物理主机从预设的 VPN网络与 VNC的对应关系中， 选择出与所述物理主机上的所述 VNC对应的 VPN网络。

在截获到第一虚拟机发送的网络通信 文后，物理主机从预设的 VPN 网络与 VNC的对应关系中，选择出与接收所述网络通信报文的 VNC对应 的 VPN网络， 即获取第一虚拟机所属的 VPN网络， 从而获知该网络通信 艮文应该在哪个 VPN网络中发送。 在本实施例中， 物理主机上设置有多 个虚拟机和多个 VNC， 每个 VNC对应至少一个虚拟机 (即接收至少一个 虚拟机发来的网络通信报文 ) ， 每一个 VNC对应一个 VPN网络。 在虚拟 机进行通信之前， 可以根据预先配置的 VPN安全通信策略， 对 VPN网络 与 VNC之间的对应关系进行预先设置。

步驟 103 ,所述物理主机通过选择出的 VPN网络发送所述网络通信 4艮 文。 在选择出与物理主机上的 VNC对应的 VPN网络之后， 物理主机可以 通过选择出的 VPN网络发送该网络通信报文， 具体可以为将网络通信报 文发送到目的地址对应的第二虚拟机或其他物理主机上。 在本实施例中， 第一虚拟机可以向同属于一个物理主机的第二虚拟机发送网络通信报文， 也可以向不属于一个物理主机的第二虚拟机发送网络通信艮文， 还可以向 其他物理主机发送网络通信报文。 由于将第一虚拟机发送的所有网络通信 才艮文都通过对应的 VPN网络发送， 物理主机在同一 VPN网络中只能看到 通信双方主机的物理 IP地址而不会看到内层虚拟机的虛拟 IP地址， 同时 虚拟机在相互通信中只能看到虚拟机的虚拟 IP地址或 MAC地址，看不到 主机的物理 IP地址或 MAC地址，则起到了物理主机与虚拟机之间的网络 隔离作用。 当不同的虚拟机安装在相同的物理主机上时， 即使物理主机的 IP地址与虚拟机的虚拟 IP地址重合， 也不会出现地址冲突等现象， 或者 属于不同 VPN网络的虛拟机之间设置相同网段的 IP地址也无法相互通 信。 由此可见， 本实施例可以直接通过 VPN网络对虚拟机的所有对外流 量进行定向， 无需通过 Guest OS内的路由表来转发网络通信报文， 不再 通过 IP地址来区分流量， 实现了虚拟机之间的网络隔离， 从而可以取消 虚拟机间通信时对 IP地址的限制。

本实施例提供了一种网络通信方法， 通过物理主机上的 VNC接收以 该物理主机为宿主机、 且与该 VNC存在映射关系的第一虚拟机发送的网 络通信报文， 根据预设的 VPN网络与 VNC之间的对应关系， 选择出该 VNC对应的 VPN网络， 通过该 VPN网络发送网络通信艮文； 该方案无需 在每个虚拟机上都安装 VPN软件， 简化了设置流程 , 允许虚拟机的 IP地 址与物理计算机的 IP地址相同， 允许安装在相同虛拟机管理系统上分属 于不同 VPN网络的不同虚拟机设置相同的 IP地址， 从而降低了对 VPN 内虚拟机的 IP地址的设置限制。

图 2为本发明网络通信方法实施例二的流程图。 在本实施例中， 以物 理主机中的 VPN客户端为例， 对本实施例提供的网络通信方法进行介绍， 显然， 附图 2中的各步骤也可以由物理主机中的其他软件或硬件模块来执 行。

VPN客户端直接安装在主机操作系统 （ Host Operating System; 以下 简称： Host OS ) 或者主机操作系统中的虚拟机管理器 （ Hypervisor ) 内， 不再需要在虚拟机的 Guest OS内安装任何软件。 VPN客户端可管理一个 物理主机中多个分属于不同 VPN网絡的 VNC, VNC也是安装在主机操作 系统或者虚拟机管理器内。 "主机操作系统" 中的主机是指物理主机， 比 如： 物理主机上安装了 Linux系统， 在 Linux系统上又安装了 Vmware Desktop虚拟机 Hypervisor,用户用 Vmware Desktop上建立了一个虚拟机， 在该虚拟机中安装了 windows XP。 此时， 物理主机上的 Linux系统就是 Host OS , 虚拟机内安装的 Windows XP就是 Guest OS , VMware Desktop 软件就是 Hypervisor。

如图 2所示， 本实施例提供了一种网络通信方法， 可以具体包括如下 步骤：

步骤 201 , 物理主机中的 VPN客户端根据预先配置的 VPN安全通信 策略， 建立 VPN网络与 VNC之间的对应关系， 并将虚拟机内的网卡分别 映射在所述虚拟机所属的 VPN网络对应的 VNC上。

本实施例改变了现有技术中 VPN客户端的部署方式， 将 VPN客户端 安装在 Host OS或 Hypervisor上，在该 VPN客户端上设置至少一个 VNC, 每个 VNC对应一个 VPN网络， 而不再需要在各虚拟机的 Guest系统内安 装任何软件。 本实施例中 VPN客户端的主要功能是获取 VPN安全通信策 略， 并对 VNC进行管理。 本步驟为物理主机中的 VPN客户端根据预先配 置的 VPN安全通信策略， 建立 VPN网络与 VNC之间的对应关系， 并将 每个虚拟机机内的网卡分别映射在该虚拟机所属的 VPN网络对应的 VNC 上。 可选地， 在实际实施过程中， 可以由每个物理主机中的 VPN客户端 根据预先配置的 VPN安全通信策略， 建立 VPN网络与该物理主机上的 射在该虚拟机所属的 VPN网络对应的该物理主机的 VNC上； 也可以由其 中一个物理主机中的主控 VPN客户端根据预先配置的 VPN安全通信策 略， 建立 VPN网络与各物理主机上的 VNC之间的对应关系， 并将各物理 主机上的每个虛拟机机内的网卡分别映射在， 该虛拟机所属的 VPN网络 对应的、 该虚拟机所在物理主机的 VNC上， 并将建立的对应关系和映射 结果共享给其他物理主机中的受控 VPN客户端。 图 3为本发明网络通信方法实施例二中的虚拟机通信示意图， 如图 3 所示，假设虚拟网络中设置有三台物理主机 ,分别为 Host 1、 Host 2和 Host 3三个主机操作系统， 虛拟机 VMa和 VM1安装在 Hostl上， 虛拟机 VMb 和 VM2安装在 Host2上， 虚拟机 VMc、 VMd、 VM3、 VM4安装在 Host3 上。 其中， 预先配置虚拟机 VMa和 VMb、 VMc、 VMd属于 VPNa网絡， 虚拟机 VM1、 VM2、 VM3、 VM4属于 VPNl 网络， 两个 VPN网络相互隔 离。 在 Hostl 上设置有 VNCal和 VNC11两个虚拟网卡， 在 Host2 上设 置有 VNCa2和 VNC 12两个虚拟网卡，在 Host3 上设置有 VNCa3和 VNC 13 两个虚拟网卡。其中 VNCal、 VNCa2、 VNCa3对应于 VPNa网络， VNC11、 VNC12、 VNC13对应于 VPNl 网络。 本步驟为根据预先配置的 VPN安全 通信策略， 在各 VPN网络与各 VNC之间建立对应关系， 即建立 VPNa网 络与 VNCal、 VNCa2、 VNCa3之间的对应关系，建立 VPN1 网络与 VNC11、 VNC 12、 VNC 13之间的对应关系。 根据 VPN网络与 VNC之间的对应关 系， 将各虚拟机的虚拟网卡映射到所属 VPN网络对应的 VNC上， 即将 VMa的虚拟网卡映射到其所属的 VPN1 网络对应的 VNCal，将 VMb的虚 拟网卡映射到其所属的 VPN 1 网络对应的 VNCa2， 将 VMc、 VMd的虚拟 网卡映射到其所属的 VPN1 网络对应的 VNCa3 , 将 VM1的虚拟网卡映射 到其所属的 VPN2网络对应的 VNC11 , 将 VM2的虚拟网卡映射到其所属 的 VPN2网络对应的 VNC12, 将 VM3、 VM4的虚拟网卡映射到其所属的 VPN2网络对应的 VNC13。

步骤 202, 物理主机中的 VPN客户端根据预先配置的 VPN安全通信 策略， 与归属于同一 VPN网络的各虚拟机所在的其他物理主机之间建立 隧道。

本实施例中隧道建立在物理主机之间， 且一个隧道对应于一个 VPN 网络内的、分别设置在不同物理主机上的两个虚拟机。隧道建立过程如下： 物理主机 1 中的 VPN客户端在获得了该物理主机上的虚拟机发送的网络 通信报文的源、 目的地址， 以及此网络通信报文所归属的 VPN网络之后， 首先需要在该 VPN网络内查找该目的地址所标识的虚拟机所在的物理主 机 2的真实 IP地址 （互联网中的唯一地址 ) , 然后在物理主机 1与物理 主机 2之间建立隧道， 同时记录此条隧道与该网络 4艮文的源地址、 目的地 址以及该网络通信报文归属的 VPN网络之间的对应关系。 之后只要根据 网络通信 艮文的源地址、 目的地址、 所属 VPN网络， 便可以将网络通信 报文封装到对应的隧道。 其中， 隧道技术（ Tunneling )是一种通过使用互 联网络的基础设施在网络之间传递数据的方式。 使用隧道传递的数据（或 负载）可以是不同协议的数据帧或报文。 隧道协议将其它协议的数据帧或 报文重新封装然后通过隧道发送。

具体地， 可以在归属于同一 VPN网络的不同虚拟机所在的两个物理 主机之间建立只设置一条隧道， 也可以在归属于同一 VPN网络的不同虚 拟机所在的两个物理主机之间建立多条隧道。 以上述图 3为例， 对于第一 种隧道建立方法来说， 由于 VMb、 VMc和 VMd同属于 VPNa网络， 而 VMb设置在 Host2上， VMc和 VMd均设置在 Host3上， 则在 Host2和 Host3之间只需建立 VPNa网络内的一条隧道，该隧道通过 Host2和 Host3 的真实 IP地址标识。 对于第二种隧道建立方法来说， 则需要在 Host2和 Host3之间至少建立 VPNa网络内的两条隧道， 分别为 VMb和 VMc的虚 拟 IP地址标识的隧道， 以及 VMb和 VMd的虚拟 IP地址标识的隧道。

步骤 203， 物理主机上的 VPN网卡 VNC接收以所述物理主机为宿主 机的、 且与所述 VNC存在映射关系的第一虚拟机发送的网络通信报文。

本步驟为物理主机上的 VPN网卡 VNC接收以物理主机为宿主机的、 且与 VNC存在映射关系的第一虚拟机发送的网络通信报文， 网络通信报 文中携带的源地址为所述第一虚拟机的地址， 网络通信报文中携带的目的 地址为以其他物理主机为宿主机的第二虚拟机或其他物理主机的地址。 本 实施例中虚拟机之间发送的网络通信报文先被第一虚拟机对应的 VNC截 取， 该网络通信报文中携带源地址和目的地址。 此处的源地址可以为第一 虚拟机的 MAC地址或虚拟 IP地址， 目的地址可以为第二虚拟机或其他物 理主机的 MAC地址或虚拟 IP地址。 例如， 假设 VMa与 VMb进行通信， VMa向 VMb发送网络通信报文， 该网络通信报文中携带 VMa的虚拟 IP 地址和 VMb的虚拟 IP地址 , 该网络通信报文在发送到 VMb之前 , 先被 VMa所在的 Host 1上的 VNCal截获。

步驟 204,物理主机上的 VPN客户端从预设的 VPN网络与 VNC的对 应关系中， 选择出与所述物理主机上的 VNC对应的 VPN网络。 虚拟机发送的网络通信 文后， 物理主机上的 VPN客 户端根据接收到该网络通信报文的 VNC, 从预设的 VPN网络与 VNC的 对应关系中， 选择出与该接收到网络通信报文的 VNC对应的 VPN网络， 即获取第一虚拟机所属的 VPN网络， 从而获知该网络通信报文属于哪个 VPN网络。 在本实施例中， 物理主机上设置有多个虚拟机和多个 VNC， 每一个 VNC对应一个 VPN网络。以上述图 3为例， VPNa网络与 VNCal、 VNCa2、 VNCa3相对应， VPN1 网络与 VNC11、 VNC12. VNC13相对应， 物理主机上的 VNC在接收到一个网络通信报文后， 物理主机中的 VPN客 户端可以先根据 VPN网络与 VNC的对应关系， 选择接收网络通信报文的 该 VNC对应的 VPN网络。 例如， 当 VM1向 VM2发送网络通信艮文时， VNC11从 VM1接收到该网络通信报文， 则物理主机可以选择出 VNC11 对应的 VPN网络为 VPN1网络。

步驟 205 ,物理主机中的 VPN客户端根据预设隧道协议对网络通信 文进行封装后， 通过选择出的 VPN网络中的隧道， 发送封装后的网络通 信报文。

在本实施例中， 当物理主机接收到网络通信报文后， 如果第一虚拟机 与第二虚拟机并非对应同一个 VNC,则物理主机根据预设隧道协议先对该 网络通信报文进行封装， 后续通过隧道对该网络通信报文进行发送。 具体 地， 选择出的 VPN网络中， 从该物理主机出发可能只设置有一条默认隧 道， 也可能设置有一条以上隧道， 对于这两种不同情况， 物理主机利用不 同的方法来发送网络通信报文。 若选择出的 VPN网络从该物理主机出发 只有一条默认隧道， 则直接通过该默认隧道将封装后的网络通信报文发送 到第二虚拟机或其他物理主机， 无需根据网络通信报文的目的地址来选择 隧道。 若选择出的 VPN网络在该物理主机上有一条以上隧道， 这些隧道 具体与该 VPN网络内的虚拟机的虚拟地址相对应， 则物理主机先从该网 络通信报文中提取其携带的目的地址， 从隧道与地址的对应关系中， 选取 所述提取的目的地址对应的隧道， 然后通过选取的隧道将封装后的网络通 信才艮文发送到第二虚拟机或其他物理主机。 如图 3和图 4所示， 图 3具体 对应于一个 VPN网络中， 从一个物理主机出发有多条隧道的情况， 图 4 具体对应于一个 VPN网络中， 从一个物理主机出发只有一条默认隧道的 情况。

如图 4所示， 当 VPN网络中， 从一个物理主机出发只有一条默认隧 道时， 若 VMa向 VMb发送网络通信艮文， 则 VMa对应的 VNCal接收到 该网络通信报文后， 选择出 VNCal对应的 VPN网络为 VPNa, 则 Hostl 可以对该网络通信报文进行封装后， 直接通过 VPNa中从 Hostl 出发的默 认隧道将封装后的网络通信报文发送到 VMb,无需根据目的地址来选择隧 道。

在本实施例中， 当一个 VPN网絡中， 从一个物理主机出发有多条隧 道时， 针对图 3 , 在 Hostl上所建立的隧道与地址的对应关系表可以如下 表 1所示， 其中， 网络通信报文的目的地址可以为第二虚拟机或物理主机 的虚拟 IP地址或 MAC地址， 此处以虚拟 IP地址为例进行说明：

表 1 隧道与地址的对应关系表

如图 3所示，当 VMa向 VMb发送网络通信 4艮文时， VMa对应的 VNCal 接收到该网络通信报文， 并选择出 VNCal对应的 VPN网络为 VPNa。 而 VPNa中从 Hostl 出发存在多条隧道， Hostl从网络通信报文中提取其目的 地址为 10.0.0.2, 根据上述隧道与地址的对应关系表， 获取到对应的隧道 为 Tunnelal , 则 Hostl通过预定的隧道协议对所述网络通信 4艮文进行加密 后， 通过 Tunnelal发送。在本实施例中， 由于 VMa和 VMb归属于 VPNa, 凡是由 VMa和 VMb所发送的所有网络通信报文，即 VMa和 VMb所产生 的一切网络流量， 无论其属于何种协议， 其 IP地址如何设置， 均会被封 装在 VPNa中的 Tunnelal 中。 由于 VM1和 VM2归属于 VPN1 , 凡是由 VM1和 VM2所发送的所有网络通信报文， 即 VM1和 VM2所产生的一切 网络流量，无论其属于何种协议，其 IP地址如何设置，均会被封装在 VPN1 中的 Tunnell l中。 由此可见， 在本实施例中， 虚拟机产生的流量属于哪个 VPN不是由虚拟机自身的路由表决定的。

本实施例提供了一种网络通信方法， 通过物理主机上的 VNC接收以 该物理主机为宿主机、 且与该 VNC存在映射关系的第一虚拟机发送的网 络通信报文， 根据预设的 VPN网络与 VNC之间的对应关系， 选择出该 VNC对应的 VPN网络， 通过该 VPN网络发送网络通信 文； 本实施例允 许虚拟机的 IP地址与物理主机的 IP地址相同， 允许安装在相同虚拟机管 理系统上分属于不同 VPN网络的不同虚拟机设置相同的 IP地址， 从而取 消对 VPN内虚拟机 IP地址设置上的限制。 每个业务系统可以自行设置系 统内虚拟机的 IP地址， 不用考虑与主机或其他业务系统内部虚拟机的地 址冲突问题。

在本实施例中， 无需在 Guest OS上安装 VPN软件客户端， Guest OS 上的用户也不会感知到 VPN的存在， 从而无需根据不同的 Guest OS开发 不同的客户端， 在简化部署的同时， 也可以保证虚拟机上的用户无法对 VPN客户端进行任何操作， 从而无法干预 VPN安全策略。 本实施例中所 有虛拟机的网络流量均会被 VNC控制， 而 VNC对应特定的 VPN网络， 因此虚拟机之间的网络流量只会在 VPN网络内进行传输， 只能被该 VPN 网络内的其他节点接收处理， 归属于不同 VPN网络的虚拟机的流量则会 被 VPN隧道隔离。 在本实施例中， 以上述图 3为例， 如果设置虚拟机的 IP地址如下： VMa: 10.0.0.1 , VM1 : 10.0.0.1 , VMb: 10.0.0.2, VM2: 10.0.0.2, 当 VMa与 VMb进行通信时，网络通信报文会被 Host 1上的 VNCal处理， 并且发送到 Host 2上的 VNCa2, 再由 Host 2上的 VNCa2转发给 VMb, 上述过程由于 VNC的隔离作用， 网络通信报文不会被与 VMb的 IP地址 相同的 VM2收到。 另外， 由于 VNC对应的 VPN隧道的隔离作用， VMa 和 VMb, VM1和 VM2虽然分别安装在相同的主机上， 但不会发生地址冲 突， 且即使设置了相同网段的 IP地址也无法互相通信， 从而杜绝了虚拟 机绕开 VPN客户端在主机系统内相互通信的可能性。

图 5为本发明网络通信方法实施例三的流程图， 如图 5所示， 本实施 例提供了一种网络通信方法， 可以具体包括如下步驟：

步骤 501 , 物理主机中的 VPN客户端根据预先配置的 VPN安全通信 策略， 建立 VPN网络与 VNC之间的对应关系， 并将虚拟机内的网卡分别 映射在所述虚拟机所属的 VPN网络对应的、 该虚拟机所在物理主机的 VNC上， 本步驟可以与上述步驟 201类似， 此处不再赘述。

步骤 502, 物理主机上的 VPN网卡 VNC接收以所述物理主机为宿主 机的、 且与该 VNC存在映射关系的第一虚拟机发送的网络通信报文。

其中， 所述网络通信报文携带的源地址为所述第一虚拟机的地址， 所 述网络通信报文中携带的目的地址为第二虚拟机或其他物理主机的地址。

步驟 503，物理主机中的 VPN客户端判断所述第二虚拟机是否是以所 述物理主机为宿主机的、 映射在所述 VNC上的虚拟机， 如果是， 则执行 步骤 506, 否则执行步骤 504。

物理主机中的 VPN客户端判断第二虛拟机是否是该以物理主机为宿 主机的、 映射在 VNC上的虚拟机， 若第二虚拟机并非是以所述物理主机 为宿主机的、 映射在所述 VNC上的虚拟机 (即第二虚拟机与第一虚拟机 不是对应同一个物理主机上的同一个 VNC ) ， 进入步骤 504〜步骤 505; 若第二虚拟机是以所述物理主机为宿主机的、 映射在所述 VNC上的虚拟 机 （即第二虛拟机与第一虚拟机对应同一个 VNC ) 则进入步骤 506。

本实施例中网络通信报文中携带的目的地址为以该物理主机为宿主 机的、 对应同一个 VNC的第二虚拟机的地址。 即本实施例为在同一物理 主机上对应同一个 VNC的两个虚拟机之间发送网络通信报文， 本实施例 中虚拟机之间发送的网络通信报文先被第一虚拟机对应的 VNC截取。 此 处的源地址可以为第一虚拟机的 MAC地址或虚拟 IP地址， 目的地址可以 为第二虚拟机的 MAC地址或虚拟 IP地址。 例如， 以上述图 3为例， 假设 VMc与 VMd进行通信， VMc向 VMd发送网络通信报文， 该网络通信报 文中携带 VMc的虚拟 IP地址和 VMd的虚拟 IP地址， 该网络通信报文在 发送到 VMd之前， 先被 VMc所在的 Host3上的 VNCa3截获。

Host3上的 VPN客户端可以根据步骤 501 中 "将虚拟机内的网卡分别 映射在所述虚拟机所属的 VPN网络对应的 VNC上" 时存储的、 虚拟机的 地址与 VNC的映射关系来确认所述网络通信报文的目的方是否是与第一 虚拟机映射在同一个 VNC上的另一个虚拟机。

步骤 504, 物理主机从预设的 VPN网络与 VNC的对应关系中， 选择 出与所述物理主机上的 VNC对应的 VPN网络。本步骤可以与上述步骤 204 类似， 此处不再赘述。

步驟 505， 物理主机根据预设隧道协议对网络通信报文进行封装后， 通过选择出的 VPN网络中的隧道， 将封装后的网络通信报文发送到第二 虚拟机或其他物理主机。本步骤可以与上述步骤 205类似，此处不再赘述。

步驟 506,物理主机通过所述 VNC直接将网络通信报文发送到第二虚 拟机上。

由于本实施例具体为映射在同一个 VNC上的两个虚拟机之间进行通 信， 则无需通过 VPN网络中的隧道来发送网络通信报文。 当选择出该物 理主机上的 VNC对应的 VPN网络后 , 该物理主机可以直接通过该 VNC 将网络通信报文发送到该物理主机上的第二虚拟机上。仍以上述图 3为例， 假设 VMc向 VMd发送网络通信报文， VMc和 VMd均映射在 Host3的 VNCa3上， 则 Host3可以直接通过 VNCa3将网络通信艮文转发到 VMd 上。

需要说明的是： 附图 5所示的网络通信方法， 只是针对一个 VNC上 映射有至少两个虚拟机时的一种改进的解决方案， 若一个 VNC上只映射 有一个虚拟机时， 则无需执行步驟 503和步骤 506。 此外， 即使一个 VNC 上映射有至少两个虚拟机， 也可以有其他的解决方案， 例如， 釆用附图 2 所示的流程进行处理， 在步驟 204中， 选择出 VPN网络后， 在步骤 205 时， 通过选择出的 VPN网络中的任意一条隧道发送出去， 经过其他物理 主机上与所述选择出的 VPN网络对应的其他 VNC的多次转发， 仍然可以 最终达到与发送所述网络通信报文的第一虚拟机映射在同一个 VNC上的 第二虚拟机。

本实施例提供了一种网络通信方法， 通过物理主机上的 VNC接收以 该物理主机为宿主机、 且与该 VNC存在映射关系的第一虚拟机发送的网 絡通信报文， 若该网絡通信报文的目的端是与所述第一虚拟机映射在同一 个 VNC上的第二虚拟机， 则直接通过所述 VNC发送该网络通信报文； 本 实施例允许虚拟机的 IP地址与物理主机的 IP地址相同， 允许安装在相同 虚拟机管理系统上分属于不同 VPN网络的不同虚拟机设置相同的 IP地 址， 从而取消对 VPN内虚拟机 IP地址设置上的限制。 每个业务系统可以 自行设置系统内虚拟机的 IP地址， 不用考虑与主机或其他业务系统内部 虚拟机的地址冲突问题。

本领域普通技术人员可以理解： 实现上述各方法实施例的全部或部分 步骤可以通过程序指令相关的硬件来完成。 前述的程序可以存储于一计算 机可读取存储介质中。 该程序在执行时， 执行包括上述各方法实施例的步 驟； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存 储程序代码的介质。

图 6为本发明网络通信装置实施例一的结构图， 如图 6所示， 本实施 例提供了一种网络通信装置， 可以具体执行上述方法实施例一中的各个步 骤， 此处不再赘述。 本实施例提供的网络通信装置可以具体包括报文截获 模块 601、 选择模块 602和第一发送模块 603。 其中， 报文截获模块 601 用于接收以所述物理主机为宿主机的、 且与所述 VNC存在映射关系的第 一虚拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所述 第一虚拟机的地址， 所述网络通信报文中携带的目的地址为第二虚拟机的 地址、 或其他物理主机的地址。 选择模块 602用于从预设的 VPN网络与 VNC的对应关系中， 选择出与所述物理主机上的所述 VNC对应的 VPN 网络。 第一发送模块 603用于通过选择出的 VPN网络发送所述网络通信 报文。

图 7为本发明网络通信装置实施例二的结构图， 如图 7所示， 本实施 例提供了一种网络通信装置， 可以具体执行上述方法实施例二或实施例三 中的各个步骤， 此处不再赘述。 本实施例提供的网络通信装置在上述图 6 所示的基础之上， 第一发送模块 603可以具体包括封装单元 613和发送单 元 623。 其中， 封装单元 613用于根据预设隧道协议对所述网络通信报文 进行封装。 发送单元 623用于通过选择出的 VPN网络中的隧道， 发送封 装后的网络通信^ ^:艮文， 所述第二虚拟机为以其他物理主机为宿主机的虚拟 机。

具体地， 本实施例中的发送单元 623可以具体包括第一发送子单元 6231 , 第一发送子单元 6231用于若选择出的 VPN网络中从所述物理主机 出发只有一条默认隧道， 则通过所述默认隧道发送封装后的网络通信报 文。

进一步地， 本实施例中的发送单元 623还可以包括提取子单元 6232、 选取子单元 6233和第二发送子单元 6234。 其中， 提取子单元 6232用于若 选择出的 VPN网络中有至少两条隧道， 则从所述网络通信报文中提取目 的地址。 选取子单元 6233用于从隧道与地址的对应关系中 , 选取提取的 所述目的地址对应的隧道。 第二发送子单元 6234用于通过选取的隧道， 发送封装后的网络通信报文。

具体地， 本实施例中的选择模块 602可以具体用于当确认所述第二虚 拟机不是以所述物理主机为宿主机的、 且与所述 VNC存在映射关系虚拟 机时， 从预设的 VPN网络与 VNC的对应关系中， 选择出与所述物理主机 上的所述 VNC对应的 VPN网络。

进一步地， 本实施例提供的网络通信装置还可以包括第二发送模块

604。 第二发送模块 604用于当确认所述第二虚拟机是以所述物理主机为 宿主机的、 且与所述 VNC存在映射关系的虚拟机后， 通过所述 VNC直接 将所述网络通信报文发送到所述第二虚拟机上。

进一步地， 本实施例提供的虚拟网络通信装置还可以包括映射模块

605。 映射模块 605用于在所述物理主机上的 VPN网卡 VNC接收以所述 物理主机为宿主机的、 且与所述 VNC存在映射关系的第一虚拟机发送的 网络通信报文之前， 根据预先配置的 VPN安全通信策略， 建立 VPN网络 与 VNC之间的对应关系， 并将虚拟机内的网卡分别映射在宿主机上的所 述虚拟机所属的 VPN网络对应的 VNC；。

更进一步地，本实施例中的地址包括 MAC地址以及在所属 VPN网络 中的虚拟 IP地址。

本实施例提供了一种网络通信装置， 通过物理主机上的 VNC接收以 该物理主机为宿主机、 且与该 VNC存在映射关系的第一虚拟机发送的网 络通信报文， 根据预设的 VPN网络与 VNC之间的对应关系， 选择出所述 VPN网卡对应的 VPN网络，通过选择出的 VPN网络发送所述网络通信^！ 文。 该方案无需在每个虚拟机上都安装 VPN软件， 简化了设置流程， 允 许虚拟机的 IP地址与物理计算机的 IP地址相同， 允许安装在相同虚拟机 管理系统上分属于不同 VPN网络的不同虚拟机设置相同的 IP地址， 从而 降低了对 VPN内虚拟机的 IP地址的设置限制。

最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非 对其限制； 尽管参照前述各实施例对本发明进行了详细的说明， 本领域的 普通技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进 行修改， 或者对其中部分或者全部技术特征进行等同替换； 而这些修改或 者替换， 并不使相应技术方案的本质脱离本发明各实施例技术方案的范 围。

Claims

权 利 要 求 书

1、 一种网络通信方法， 其特征在于， 包括：

物理主机上的虚拟专用网 VPN网卡 VNC接收以所述物理主机为宿主 机的、 且与所述 VNC存在映射关系的第一虚拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所述第一虚拟机的地址， 所述网络通 信报文中携带的目的地址为第二虛拟机的地址、 或其他物理主机的地址； 所述物理主机从预设的 VPN网络与 VNC的对应关系中， 选择出与所 述物理主机上的所述 VNC对应的 VPN网络；

所述物理主机通过选择出的 VPN网络发送所述网络通信报文。

2、 根据权利要求 1所述的方法， 其特征在于， 所述物理主机通过选 择出的 VPN网络发送所述网络通信报文， 包括：

所述物理主机根据预设隧道协议对所述网络通信报文进行封装后， 通 过选择出的 VPN网络中的隧道， 发送封装后的网络通信报文， 所述第二 虚拟机为以其他物理主机为宿主机的虚拟机。

3、根据权利要求 2所述的方法，其特征在于，所述通过选择出的 VPN 网络中的隧道， 发送封装后的网络通信报文， 包括：

若选择出的 VPN网络中从所述物理主机出发只有一条默认隧道， 则 通过所述默认隧道发送封装后的网络通信报文。

4、根据权利要求 2所述的方法，其特征在于，所述通过选择出的 VPN 网络中的隧道， 发送封装后的网络通信报文， 包括：

若选择出的 VPN网络中从所述物理主机出发有至少两条隧道， 则从 所述网络通信报文中提取目的地址；

从隧道与地址的对应关系中， 选取提取的所述目的地址对应的隧道； 通过选取的隧道， 发送封装后的网络通信报文。

5、 根据权利要求 1所述的方法， 其特征在于， 在所述物理主机从预 设的 VPN网络与 VNC的对应关系中， 选择出与所述物理主机上的所述 VNC对应的 VPN网络之前， 还包括：

所述物理主机确认所述第二虚拟机不是以所述物理主机为宿主机的、 且与所述 VNC存在映射关系的虚拟机。

6、 根据权利要求 5所述的方法， 其特征在于， 所述物理主机确认所 述第二虚拟机是以所述物理主机为宿主机的、 且与所述 VNC存在映射关 系的虚拟机后， 还包括：

通过所述 VNC直接将所述网络通信报文发送到所述第二虛拟机上。

7、 根据权利要求 1所述的方法， 其特征在于， 在所述物理主机上的 VPN网卡 VNC接收以所述物理主机为宿主机的、 且与所述 VNC存在映 射关系的第一虚拟机发送的网络通信报文之前， 还包括：

所述物理主机根据预先配置的 VPN安全通信策略， 建立 VPN网络与 VNC之间的对应关系，并将虚拟机内的网卡分别映射在宿主机上的所述虚 拟机所属的 VPN网络 ^应的 VN ( 。

8、 根据权利要求 1-7中任一项所述的方法， 其特征在于， 所述地址包 括 MAC地址以及在所属 VPN网络中的虚拟 IP地址。

9、 一种网络通信装置， 其特征在于， 包括：

报文截获模块， 用于通过所述网络通信装置所在物理主机上的 VNC 接收以所述物理主机为宿主机的、 且与所述 VNC存在映射关系的第一虚 拟机发送的网络通信报文， 所述网络通信报文中携带的源地址为所述第一 虚拟机的地址， 所述网络通信报文中携带的目的地址为第二虚拟机的地 址、 或其他物理主机的地址；

选择模块， 用于从预设的 VPN网络与 VNC的对应关系中， 选择出与 所述物理主机上的所述 VNC对应的 VPN网络；

第一发送模块， 用于通过选择出的 VPN网络发送所述网络通信报文。

10、 根据权利要求 9所述的装置， 其特征在于， 所述第一发送模块包 括：

封装单元， 用于根据预设隧道协议对所述网络通信报文进行封装； 发送单元， 用于通过选择出的 VPN网络中的隧道， 发送封装后的网络 通信报文， 所述第二虚拟机为以其他物理主机为宿主机的虚拟机。

11、 根据权利要求 10所述的装置， 其特征在于， 所述发送单元包括： 第一发送子单元， 用于若选择出的 VPN网络中从所述物理主机出发 只有一条默认隧道， 则通过所述默认隧道发送封装后的网絡通信报文。

12、 根据权利要求 10所述的装置， 其特征在于， 所述发送单元包括： 提取子单元， 用于若选择出的 VPN网络中从所述物理主机出发有至 少两条隧道， 则从所述网络通信报文中提取目的地址；

选取子单元， 用于从隧道与地址的对应关系中， 选取提取的所述目的 地址对应的隧道；

第二发送子单元，用于通过选取的隧道，发送封装后的网络通信报文。

13、 根据权利要求 9所述的装置， 其特征在于， 所述选择模块具体用 于当确认所述第二虚拟机不是以所述物理主机为宿主机的、且与所述 VNC 存在映射关系的虚拟机时， 从预设的 VPN网络与 VNC的对应关系中， 选 择出与所述物理主机上的所述 VNC对应的 VPN网络。

14、 根据权利要求 13所述的装置， 其特征在于， 还包括：

第二发送模块， 用于当确认所述第二虚拟机是以所述物理主机为宿主 机的、 且与所述 VNC存在映射关系的虚拟机后， 通过所述 VNC直接将所 述网络通信报文发送到所述第二虚拟机上。

15、 根据权利要求 9所述的装置， 其特征在于， 还包括：

映射模块， 用于在所述物理主机上的 VPN网卡 VNC接收以所述物理 主机为宿主机的、 且与所述 VNC存在映射关系的第一虚拟机发送的网络 通信报文之前， 根据预先配置的 VPN 安全通信策略， 建立 VPN 网络与 VNC之间的对应关系 ,并将虚拟机内的网卡分别映射在宿主机上的所述虚 拟机所属的 VPN网络对应的 VNC。