[发明专利]网络转发方法及设备

说明书

本申请提供一种网络转发方法及设备，本申请利用安全网卡的邮箱消息机制，减少了CPU的消耗，实现了虚网关和虚拟机之间的报文传输通道，在获得高网络转发性能的同时，通过软件作逻辑控制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，还能够做到对网络安全可控。

技术领域

本申请涉及计算机领域，尤其涉及一种网络转发方法及设备。

背景技术

目前传统的开源软件，虚拟机和物理交换机之间进行网络报文的转发，性能普遍存在瓶颈1～2Mpps左右。

现有的虚拟化网络管理有两大种类：

1.使用虚拟网卡(vhost+virtionet)的模式，这种模式是使用软件的方式对网络进行管理，其转发性能较低；

2.使用单根输入输出虚拟化(SRIOV，Single-Root I/O Virtualization)的模式将网络报文直接传递给物理交换机，这种模式是使用硬件的方式对网络进行管理，可以做到接近线速，但是无法对网络报文内容进行访问控制，仅仅适合内部使用。

发明内容

本申请的一个目的是提供一种网络转发方法及设备，解决虚拟化网络中虚拟机和物理交换机之间进行网络报文的转发性能低和无法进行安全控制的问题。

根据本申请的一个方面，提供了一种网络转发方法，其中，该方法包括：

利用安全网卡的邮箱消息机制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输。

进一步的，上述方法中，利用安全网卡的邮箱消息机制，包括：

利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道；

利用安全网卡的邮箱消息机制，为所述虚拟网关分配一个与物理交换机通讯的外网邮箱通道。

进一步的，上述方法中，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道之后，还包括：

根据每个虚拟机的配置设置其对应的内网邮箱通道的带宽。

进一步的，上述方法中，利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道，包括：

禁止各个虚拟机之间通过邮箱通道进行直接的通讯，设置每个虚拟机只接收来自虚拟网关的网络报文。

进一步的，上述方法中，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，包括：

所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文；和/或

所述虚拟网关通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文。

进一步的，上述方法中，所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文，包括：

所述虚拟网关通过每个内网邮箱通道接收从虚拟机发来的内网报文，解析所述内网报文并进行访问控制检查，

若所述内网报文非法，则丢弃所述内网报文；

若所述内网报文合法，所述虚拟网关将所述内网报文重新封装成外网报文，并通过所述外网邮箱通道将所述外网报文发送给所述物理交换机。

进一步的，上述方法中，所述内网报文包括一对应于所述虚拟网关的虚拟局域网编号，所有内网报文统一使用同一个虚拟局域网编号，且该虚拟局域网编号不被所述物理交换机使用。