[发明专利]一种云计算中虚拟机流量在安全域中的传输方法及装置

权利要求书

1.一种云计算中虚拟机流量在安全域中的传输方法，其特征在于，所述方法包括：

虚拟机将第一流量报文发送至虚拟交换机；

虚拟交换机接收所述第一流量报文后，对第一流量报文进行改造，并添加标识标签，进行可扩展虚拟局域网络封装，生成第二流量报文；

通过租户网关对所述第二流量报文进行分析，根据所述标识标签将第二流量报文经过预设的安全域路径进行流量清洗，最后将其进行传输。

2.根据权利要求1所述的方法，其特征在于，执行所述虚拟机将第一流量报文发送至虚拟交换机的步骤之前，所述方法还包括：

控制器通过Openflow下发流表至虚拟交换机、通过Netconf下发配置至租户网关。

3.根据权利要求2所述的方法，其特征在于，当所述方法应用于东西向二层流量进行传输时，虚拟交换机接收所述第一流量报文后，对第一流量报文进行改造，并添加标识标签，进行可扩展虚拟局域网络封装，生成第二流量报文的步骤，包括：

虚拟交换机接收所述第一流量报文后，通过预设流表中的匹配域与第一流量报文进行匹配，对封装后的第一流量报文的外层源IP报头和外层目的IP报头的服务类型字段进行定位；

对每个所述服务类型字段的后两位比特位进行改造，分别得到第一SPL字段和第二SPL字段，

通过虚拟交换机对所述第一SPL字段和第二SPL字段的值进行修改并作为标识标签；

对第一流量报文进行可扩展虚拟局域网络封装，生成第二流量报文；

将所述第二流量报文发送至租户网关。

4.根据权利要求2所述的方法，其特征在于，当所述方法应用于东西向三层流量进行传输时，虚拟交换机接收所述第一流量报文后，对第一流量报文进行改造，并添加标识标签，进行可扩展虚拟局域网络封装，生成第二流量报文的步骤，包括：

虚拟交换机接收所述第一流量报文后，虚拟交换机与租户网关建立可扩展虚拟局域网络隧道，对第一流量报文进行可扩展虚拟局域网络封装，将封装后的第一流量报文发送至租户网关；

租户网关接收第一流量报文对其进行解封，对第一流量报文的外层源IP报头和外层目的IP报头的服务类型字段进行定位；

对每个所述服务类型字段的后两位比特位进行改造，分别得到第一SPL字段和第二SPL字段；

通过租户网关对所述第一SPL字段和第二SPL字段的值进行修改并作为标识标签；

租户网关重新对第一流量报文进行可扩展虚拟局域网络封装，生成第二流量报文。

5.根据权利要求2所述的方法，其特征在于，当所述方法应用于南北向流量进行传输时，虚拟交换机接收所述第一流量报文后，对第一流量报文进行改造，并添加标识标签，进行可扩展虚拟局域网络封装，生成第二流量报文的步骤，包括：

虚拟交换机接收所述第一流量报文后，虚拟交换机与租户网关建立可扩展虚拟局域网络隧道，对第一流量报文进行可扩展虚拟局域网络封装，将封装后的第一流量报文发送至租户网关；

租户网关接收第一流量报文对其进行解封，对第一流量报文的内层源IP报头和内层目的IP报头的服务类型字段进行定位；

对每个所述服务类型字段的后两位比特位进行改造，分别得到第一SPL字段和第二SPL字段；

通过租户网关对所述第一SPL字段和第二SPL字段的值进行修改并作为标识标签；

租户网关重新对第一流量报文进行可扩展虚拟局域网络封装，生成第二流量报文。