[发明专利]虚拟机报文转发方法、网络交换设备及通信系统有效
申请号: | 201210287044.8 | 申请日: | 2012-08-13 |
公开(公告)号: | CN102801729A | 公开(公告)日: | 2012-11-28 |
发明(设计)人: | 刘璞 | 申请(专利权)人: | 福建星网锐捷网络有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/56 |
代理公司: | 北京同立钧成知识产权代理有限公司 11205 | 代理人: | 刘芳 |
地址: | 350002 福建省福州市仓*** | 国省代码: | 福建;35 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 虚拟机 报文 转发 方法 网络 交换 设备 通信 系统 | ||
技术领域
本发明涉及网络通信技术,尤其涉及一种虚拟机报文转发方法、网络交换设备及通信系统,属于通信技术领域。
背景技术
虚拟机的出现使数据中心网络接入层出现了虚拟以太桥(Virtual Ethernet Bridge,VEB)的概念。目前服务器虚拟化环境中最常见的部署在虚拟机监视器(Virtual Machine Monitor,VMM)中的“VSwitch”就是一种软件VEB。图1为VEB的虚拟机报文发送流程的示意图,如图1所示,当报文的目的MAC地址在外部网络时,VSwitch直接将报文从物理网卡发向外部网络以太网交换机;当报文目的MAC地址是连接在相同VSwitch上的虚拟机(VM)时,则VSwitch通过静态MAC表来转发报文。
IEEE数据中心桥接(Data Center Bridging,DCB)任务组正在制定一套新标准-802.1Qbg边缘虚拟以太桥(Edge Virtual Bridging,EVB)。EVB标准是将虚拟以太网端口聚合器(Virtual Ethernet Port Aggregator,VEPA)作为基本实现方案。图2为VEPA的虚拟机报文发送流程的示意图,如图2所示,虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理,即使同一台服务器的虚拟机间流量,也将发往外部物理交换机进行查表处理,之后再180度掉头返回到服务器上,形成了所谓的“发卡弯”转发模式。
另外,EVB标准还定义了“多通道技术(Multichannel Technology)”,目的是实现传统VSwitch、VEPA和直接输入输出(Director IO)(一种硬件VEB)的混和部署方案。多通道技术将交换机端口或网卡划分为多个逻辑通道,并且各通道间逻辑隔离。每个逻辑通道可由用户根据需要定义成VEB、VEPA或Dircetor IO的任何一种。
基于现有的虚拟化的服务器和外部接入网络交换机实现多通道技术时,即使在同一台虚拟化的服务器上同时部署VEB、VEPA和Director IO三种虚拟机输入输出(IO)模式,但当虚拟机报文发送至外部接入网络交换机时,由于外部接入网络交换机无法区分不同IO模式的虚拟机,未实现不同模式的虚拟机的逻辑通道的隔离,使得任意虚拟机之间通过交换机转发报文,能够相互通信,造成严重的安全隐患。
发明内容
针对现有技术中存在的缺陷,本发明提供一种虚拟机报文转发方法、网络交换设备及通信系统,以使得网络交换设备在实现多通道技术时,对不同逻辑通道进行有效隔离,提高网络安全性。
根据本发明的一方面,提供一种虚拟机报文转发方法,包括:
网络交换设备获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
若所述虚拟机报文的目的虚拟机为所述网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
所述网络交换设备根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验,并仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
根据本发明的一方面,提供一种网络交换设备,包括:
封装报文获取模块,用于获取封装有源虚拟机的逻辑通道信息的虚拟机报文;
逻辑通道信息获取模块,用于若所述虚拟机报文的目的虚拟机为网络交换设备关联的虚拟机,则根据所述目的虚拟机的标识,获取所述目的虚拟机的逻辑通道信息;
合法性校验模块,用于根据所述源虚拟机的逻辑通道信息和所述目的虚拟机的逻辑通道信息,对所述虚拟机报文进行合法性校验;
解封装模块,用于仅当校验合法时,对所述虚拟机报文进行解封装,并发送至所述目的虚拟机。
根据本发明的一方面,提供一种通信系统,包括本发明提供的网络交换设备,以及与所述网络交换设备关联的虚拟机。
根据本发明提供的虚拟机报文转发方法、网络交换设备及通信系统,当存在待转发至网络交换设备所关联的虚拟机的虚拟机报文时,网络交换设备根据虚拟机报文的源虚拟机的逻辑通道信息和目的虚拟机的逻辑通道信息,对虚拟机报文进行合法性校验,并仅当校验合法时,执行对虚拟机报文的转发,实现源虚拟机与目的虚拟机之间的通信,从而使得网络交换设备在实现多通道技术时,能够对不同逻辑通道进行有效隔离,根据虚拟机对应的逻辑通道来限制不同虚拟机之间的通信,避免了由于任意虚拟机之间转发报文所带来的安全隐患,提高了网络安全性。
附图说明
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建星网锐捷网络有限公司,未经福建星网锐捷网络有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210287044.8/2.html,转载请声明来源钻瓜专利网。
- 上一篇:低压电流镜
- 下一篇:一种传力弹簧及安装有此弹簧的自行车架