專利名稱:虛擬機報文轉(zhuǎn)發(fā)方法����、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),尤其涉及一種虛擬機報文轉(zhuǎn)發(fā)方法����、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng),屬于通信技術(shù)領(lǐng)域�。
背景技術(shù):
虛擬機的出現(xiàn)使數(shù)據(jù)中心網(wǎng)絡(luò)接入層出現(xiàn)了虛擬以太橋(Virtual EthernetBridge, VEB)的概念�。目前服務(wù)器虛擬化環(huán)境中最常見的部署在虛擬機監(jiān)視器(VirtualMachine Monitor, VMM)中的“VSwitch”就是一種軟件VEB。圖I為VEB的虛擬機報文發(fā)送流程的示意圖���,如圖I所示����,當(dāng)報文的目的MAC地址在外部網(wǎng)絡(luò)時�,VSwitch直接將報文從物理網(wǎng)卡發(fā)向外部網(wǎng)絡(luò)以太網(wǎng)交換機;當(dāng)報文目的MAC地址是連接在相同VSwitch上的虛擬機(VM)時���,則VSwitch通過靜態(tài)MAC表來轉(zhuǎn)發(fā)報文��。
IEEE數(shù)據(jù)中心橋接(Data Center Bridging, DCB)任務(wù)組正在制定一套新標準-802. IQbg邊緣虛擬以太橋(Edge Virtual Bridging, EVB)�。EVB標準是將虛擬以太網(wǎng)端口聚合器(Virtual Ethernet Port Aggregator,VEPA)作為基本實現(xiàn)方案。圖 2 為 VEPA的虛擬機報文發(fā)送流程的示意圖�,如圖2所示,虛擬機產(chǎn)生的網(wǎng)絡(luò)流量全部交給與服務(wù)器相連的物理交換機進行處理���,即使同一臺服務(wù)器的虛擬機間流量����,也將發(fā)往外部物理交換機進行查表處理�����,之后再180度掉頭返回到服務(wù)器上�����,形成了所謂的“發(fā)卡彎”轉(zhuǎn)發(fā)模式�����。另外����,EVB標準還定義了 “多通道技術(shù)(Multichannel Technology)”��,目的是實現(xiàn)傳統(tǒng)VSwitch����、VEPA和直接輸入輸出(Director 10)(一種硬件VEB)的混和部署方案�。多通道技術(shù)將交換機端口或網(wǎng)卡劃分為多個邏輯通道,并且各通道間邏輯隔離�。每個邏輯通道可由用戶根據(jù)需要定義成VEB、VEPA或Dircetor 10的任何一種��?;诂F(xiàn)有的虛擬化的服務(wù)器和外部接入網(wǎng)絡(luò)交換機實現(xiàn)多通道技術(shù)時,即使在同一臺虛擬化的服務(wù)器上同時部署VEB���、VEPA和Director 10三種虛擬機輸入輸出(10)模式�,但當(dāng)虛擬機報文發(fā)送至外部接入網(wǎng)絡(luò)交換機時����,由于外部接入網(wǎng)絡(luò)交換機無法區(qū)分不同10模式的虛擬機�,未實現(xiàn)不同模式的虛擬機的邏輯通道的隔離,使得任意虛擬機之間通過交換機轉(zhuǎn)發(fā)報文�,能夠相互通信,造成嚴重的安全隱患�。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)中存在的缺陷�,本發(fā)明提供一種虛擬機報文轉(zhuǎn)發(fā)方法�、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng),以使得網(wǎng)絡(luò)交換設(shè)備在實現(xiàn)多通道技術(shù)時����,對不同邏輯通道進行有效隔離,提高網(wǎng)絡(luò)安全性�。根據(jù)本發(fā)明的一方面,提供一種虛擬機報文轉(zhuǎn)發(fā)方法��,包括網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文�;若所述虛擬機報文的目的虛擬機為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則根據(jù)所述目的虛擬機的標識�����,獲取所述目的虛擬機的邏輯通道信息�����;所述網(wǎng)絡(luò)交換設(shè)備根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息���,對所述虛擬機報文進行合法性校驗��,并僅當(dāng)校驗合法時��,對所述虛擬機報文進行解封裝�,并發(fā)送至所述目的虛擬機。根據(jù)本發(fā)明的一方面�����,提供一種網(wǎng)絡(luò) 交換設(shè)備�����,包括封裝報文獲取模塊����,用于獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文;邏輯通道信息獲取模塊�,用于若所述虛擬機報文的目的虛擬機為網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則根據(jù)所述目的虛擬機的標識��,獲取所述目的虛擬機的邏輯通道信息��;合法性校驗?zāi)K�����,用于根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息��,對所述虛擬機報文進行合法性校驗���; 解封裝模塊����,用于僅當(dāng)校驗合法時���,對所述虛擬機報文進行解封裝���,并發(fā)送至所述目的虛擬機。根據(jù)本發(fā)明的一方面���,提供一種通信系統(tǒng)�,包括本發(fā)明提供的網(wǎng)絡(luò)交換設(shè)備����,以及與所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機。根據(jù)本發(fā)明提供的虛擬機報文轉(zhuǎn)發(fā)方法���、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng)��,當(dāng)存在待轉(zhuǎn)發(fā)至網(wǎng)絡(luò)交換設(shè)備所關(guān)聯(lián)的虛擬機的虛擬機報文時����,網(wǎng)絡(luò)交換設(shè)備根據(jù)虛擬機報文的源虛擬機的邏輯通道信息和目的虛擬機的邏輯通道信息,對虛擬機報文進行合法性校驗�,并僅當(dāng)校驗合法時,執(zhí)行對虛擬機報文的轉(zhuǎn)發(fā)��,實現(xiàn)源虛擬機與目的虛擬機之間的通信�,從而使得網(wǎng)絡(luò)交換設(shè)備在實現(xiàn)多通道技術(shù)時,能夠?qū)Σ煌壿嬐ǖ肋M行有效隔離����,根據(jù)虛擬機對應(yīng)的邏輯通道來限制不同虛擬機之間的通信,避免了由于任意虛擬機之間轉(zhuǎn)發(fā)報文所帶來的安全隱患��,提高了網(wǎng)絡(luò)安全性�����。
圖I為VEB的虛擬機報文發(fā)送流程的示意圖�。圖2為VEPA的虛擬機報文發(fā)送流程的示意圖。圖3為本發(fā)明一個實施例的虛擬機報文轉(zhuǎn)發(fā)方法的流程示意圖����。圖4為用于實現(xiàn)本發(fā)明實施例的通信系統(tǒng)的一個示例的架構(gòu)圖�����。圖5為本發(fā)明實施例中實現(xiàn)虛擬機報文轉(zhuǎn)發(fā)的通信過程示意圖。圖6為多通道標簽的一個示意圖��。圖7為本發(fā)明一個實施例的網(wǎng)絡(luò)交換設(shè)備的結(jié)構(gòu)示意圖�����。
具體實施例方式本發(fā)明實施例的虛擬機報文轉(zhuǎn)發(fā)方法由網(wǎng)絡(luò)交換設(shè)備來執(zhí)行�����,該網(wǎng)絡(luò)交換設(shè)備例如為交換機和路由器等��,本發(fā)明中不做限制���。實施例一圖3為本發(fā)明一個實施例的虛擬機報文轉(zhuǎn)發(fā)方法的流程示意圖�����。如圖3所示��,該虛擬機報文轉(zhuǎn)發(fā)方法包括步驟301��,網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文�����;步驟302����,若所述虛擬機報文的目的虛擬機為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則根據(jù)所述目的虛擬機的標識�����,獲取所述目的虛擬機的邏輯通道信息��;步驟303�,所述網(wǎng)絡(luò)交換設(shè)備根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息,對所述虛擬機報文進行合法性校驗�����,并僅當(dāng)校驗合法時����,對所述虛擬機報文進行解封裝,并發(fā)送至所述目的虛擬機����。具體地���,網(wǎng)絡(luò)交換設(shè)備為支持多種通信模式的虛擬機的通信��,將自身的通信端口劃分為多個邏輯通道�,并且建立了各邏輯通道對應(yīng)的邏輯通道模式(例如為VEB、VEPA等)以及各邏輯通道模式的通信規(guī)則��,例如��,VEB模式的邏輯通道�,僅允許通信模式為VEB的虛擬機之間進行通信。各虛擬機均具有一個對應(yīng)的邏輯通道信息���,用于標識虛擬機對應(yīng)的邏輯通道模式�����,例如�,該邏輯通道信息可以是支持虛擬機的通信模式的邏輯通道模式的標識�����。網(wǎng)絡(luò)交換設(shè)備所獲取的封裝有源虛擬機的邏輯通道信息的虛擬機報文,既可以是從其它網(wǎng)絡(luò)交換設(shè)備接收到的�,也可以是該網(wǎng)絡(luò)交換設(shè)備自身封裝的,本實施例中對此不進行限制����。網(wǎng)絡(luò)交換設(shè)備對該虛擬機報文進行解析,提取出所封裝的源虛擬機的邏輯通道信 息�,并且獲取該虛擬機報文所攜帶的目的虛擬機的標識,例如為目的虛擬機的MAC地址���。網(wǎng)絡(luò)交換設(shè)備能夠獲知自身關(guān)聯(lián)的各虛擬機的標識�,通過將虛擬機報文的目的虛擬機的標識與自身所關(guān)聯(lián)的各虛擬機的標識進行比較�����,即可獲知該虛擬機報文的目的虛擬機是否為自身關(guān)聯(lián)的虛擬機�����。其中��,網(wǎng)絡(luò)交換設(shè)備所關(guān)聯(lián)的虛擬機�,是指部署在與網(wǎng)絡(luò)交換設(shè)備連接的虛擬化的服務(wù)器中的虛擬機。若虛擬機報文的目的虛擬機為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機�,則網(wǎng)絡(luò)交換設(shè)備根據(jù)目的虛擬機的標識�,獲取目的虛擬機的邏輯通道信息����。更為具體地,網(wǎng)絡(luò)交換設(shè)備例如預(yù)先獲取自身關(guān)聯(lián)的各虛擬機的邏輯通道信息�����,并存儲所述各虛擬機的標識與所述邏輯通道信息的映射關(guān)系��。當(dāng)需獲取目的虛擬機的邏輯通道信息�����,根據(jù)目的虛擬機的標識��,從已存儲的多個映射關(guān)系中�,查找對應(yīng)的邏輯通道信息即可���。此外����,與網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的各虛擬機的邏輯通道信息也可以存儲在獨立于網(wǎng)絡(luò)交換設(shè)備的任意其它設(shè)備中�����,當(dāng)網(wǎng)絡(luò)交換設(shè)備需獲取目的虛擬機的邏輯通道信息,根據(jù)目的虛擬機的標識��,對相應(yīng)的設(shè)備發(fā)起查詢請求��,以獲取目的虛擬機的邏輯通道信息�����。網(wǎng)絡(luò)交換設(shè)備在獲取虛擬機報文的目的虛擬機的邏輯通道信息后��,將目的虛擬機的邏輯通道信息與源虛擬機的邏輯通道信息進行比較��,以對虛擬機報文進行合法性檢驗����,即判斷是否允許源虛擬機與目的虛擬機之間進行通信。例如源虛擬機的邏輯通道信息指示源虛擬機對應(yīng)的邏輯通道模式為VEB模式���,且VEB模式僅允許均為VEB模式的虛擬機之間進行通信�;目的虛擬機的邏輯通道信息指示目的虛擬機對應(yīng)的邏輯通道模式為VEPA模式��,且VEPA模式僅允許均為VEPA模式的虛擬機之間進行通信�����。因此,根據(jù)目的虛擬機的邏輯通道信息和源虛擬機的邏輯通道信息�����,即可判定該源虛擬機與該目的虛擬機之間的通信是不合法的�����,即該虛擬機報文是不合法的��,此時網(wǎng)絡(luò)設(shè)備將虛擬機報文丟棄�����,不進行轉(zhuǎn)發(fā)��。再例如源虛擬機的邏輯通道信息指示源虛擬機對應(yīng)的邏輯通道模式為VEB模式�,且目的虛擬機的邏輯通道信息也指示目的虛擬機對應(yīng)的邏輯通道模式為VEB模式�,因此可判定該源虛擬機與該目的虛擬機之間的通信是合法的,即該虛擬機報文是合法的��,此時網(wǎng)絡(luò)設(shè)備對虛擬機報文所封裝的源虛擬機的邏輯通道信息進行解封裝�����,并發(fā)送至目的虛擬機。上文中�����,僅以一個簡單示例為例進行說明����。此外,虛擬機的邏輯通道信息也可包括其它用于進行合法性校驗的信息�,例如,網(wǎng)絡(luò)設(shè)備可根據(jù)需要對虛擬機進行分組�����,并將能夠進行通信的虛擬機劃分為同一組�����,此種場景下邏輯通道信息可包括虛擬機組標識��,相應(yīng)地���,在合法性校驗過程中��,還需基于虛擬機組標識進行校驗���。針對此種場景的具體處理流程���,在后續(xù)實施例中進行說明。根據(jù)本實施例的虛擬機報文轉(zhuǎn)發(fā)方法���,當(dāng)存在待轉(zhuǎn)發(fā)至網(wǎng)絡(luò)交換設(shè)備所關(guān)聯(lián)的虛擬機的虛擬機報文時��,網(wǎng)絡(luò)交換設(shè)備根據(jù)虛擬機報文的源虛擬機的邏輯通道信息和目的虛擬機的邏輯通道信息���,對虛擬機報文進行合法性校驗,并僅當(dāng)校驗合法時����,執(zhí)行對虛擬機報文的轉(zhuǎn)發(fā)���,實現(xiàn)源虛擬機與目的虛擬機之間的通信����,從而使得網(wǎng)絡(luò)交換設(shè)備在實現(xiàn)多通道技術(shù)時,能夠?qū)Σ煌壿嬐ǖ肋M行有效隔離��,根據(jù)虛擬機對應(yīng)的邏輯通道來限制不同虛擬機之間的通信����,避免了由于任意虛擬機之間轉(zhuǎn)發(fā)報文所帶來的安全隱患,提高了網(wǎng)絡(luò)安全性�����。實施例二進一步地�,在上述實施例的虛擬機報文轉(zhuǎn)發(fā)方法中,所述根據(jù)所述目的虛擬機的標識���,獲取所述目的虛擬機的邏輯通道信息����,之前還包括所述網(wǎng)絡(luò)交換設(shè)備獲取自身關(guān)聯(lián)的各虛擬機的邏輯通道信息�,并存儲所述各虛擬機的標識與所述邏輯通道信息的映射關(guān)系。本實施例中����,以一個具體場景為例,對網(wǎng)絡(luò)交換設(shè)備獲取自身關(guān)聯(lián)的各虛擬機的邏輯通道信息的過程���,進行詳細說明�。圖4為用于實現(xiàn)本發(fā)明實施例的通信系統(tǒng)的一個示例的架構(gòu)圖。如圖4所示�,包括虛擬化服務(wù)器、虛擬化管理服務(wù)器��、網(wǎng)絡(luò)代理以及外部接入網(wǎng)絡(luò)交換機�。其中,該外部接入網(wǎng)絡(luò)交換機為執(zhí)行上述實施例的虛擬機報文轉(zhuǎn)發(fā)方法的網(wǎng)絡(luò)交換設(shè)備���;虛擬化服務(wù)器中部署有VEB模式�����、VEPA模式和Direct IO模式的多個虛擬機�����;虛擬化管理服務(wù)器與虛擬化服務(wù)器連接���,用于管理虛擬化服務(wù)器的虛擬機資源;網(wǎng)絡(luò)代理與虛擬化管理服務(wù)器和外部接入網(wǎng)絡(luò)交換機連接�。虛擬化管理服務(wù)器在虛擬化服務(wù)器中創(chuàng)建第一虛擬機VM1�、第二虛擬機VM2、第三虛擬機VM3、第四虛擬機VM4和第五虛擬機VM5 ;各虛擬機的MAC地址分別為MAC1�����、MAC2��、MAC3���、MAC4和MAC5����。虛擬化管理服務(wù)器分別為每個虛擬機創(chuàng)建虛擬網(wǎng)卡并設(shè)置通信模式�,如圖4所示,第一虛擬機VMl的虛擬網(wǎng)卡設(shè)置為Direct IO模式����,第二虛擬機VM2和第三虛擬機VM3的虛擬網(wǎng)卡設(shè)置為VEPA模式,第四虛擬機VM4和第五虛擬機VM5的虛擬網(wǎng)卡設(shè)置為VEB模式�����。虛擬化管理服務(wù)器中存儲第一虛擬機VMl-第五虛擬機VM5的相關(guān)信息����。網(wǎng)絡(luò)代理利用虛擬化管理服務(wù)器對外提供的管理接口���,登錄虛擬化管理服務(wù)器,并獲取虛擬機信息,包括虛擬機標識(例如為VMl)�、虛擬機的MAC地址、虛擬機的虛擬網(wǎng)卡���、通信模式設(shè)置��,還可包括虛擬機的狀態(tài)信息(例如為開啟狀態(tài)或關(guān)閉狀態(tài)等)等����。網(wǎng)絡(luò)代理獲取虛擬機的相關(guān)信息后�,進行虛擬機的通道信息的整合,根據(jù)通信需求和預(yù)先定義的邏輯通道模式的規(guī)則����,創(chuàng)建各虛擬機的邏輯通道信息,該邏輯通道信息例如包括邏輯通道模式標識和虛擬機組標識��。其中��,邏輯通道模式標識用于標識虛擬機所屬的邏輯通道模式�����,不同的邏輯通道模式具有不同的通信規(guī)則����;虛擬機組標識用于標識虛擬機所屬的虛擬機組,只有分組內(nèi)的成員(即同一虛擬機組內(nèi)的虛擬機)可以進行相互通信���。表I為邏輯通道模式的規(guī)則定義表����。如表I所示�,預(yù)先定義四種邏輯通道模式,分別為邏輯通道O (Channel O)��、邏輯通道I (Channel I)�����、邏輯通道2 (Channel 2)和邏輯通道3 (Channel 3)���。其中��,邏輯通道模式標識為“O”的Channel O�����,是Direct IO模式�����,在該模式下�,只允許同一分組內(nèi)成員互訪,不允許不同通信模式但同一分組的成員間互訪��;邏輯通道模式標識為“ I ”的Channel 1����,是VEB模式,在該模式下�,只允許同一分組內(nèi)成員互訪,不允許不同通信模式但同一分組的成員間互訪���;邏輯通道模式標識為“2”的Channel 1�,是VEPA模式����,在該模式下,只允許同一分組內(nèi)成員互訪��,不允許不同通信模式但同一分組的成員間互訪��;邏輯通道模式標識為“3”的Channel 3,是混合(MIX)模式��,在該模式下�,允許相同模式或不同模式但分組信息一致的成員互訪,不允許不同分組成員間互訪�����。網(wǎng)絡(luò)代理例如根據(jù)業(yè)務(wù)需求���,將第一虛擬機VMl和第五虛擬機VM5作為同一分組中的成員,劃分在第一虛擬機組Group I中�,由于第一虛擬機組Group I中包括了不同模式的虛擬機,所以將第一虛擬機組Group I的邏輯通道模式設(shè)置為MIX模式�,即Channel 3。表I
權(quán)利要求
1.一種虛擬機報文轉(zhuǎn)發(fā)方法�����,其特征在于��,包括 網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文�����; 若所述虛擬機報文的目的虛擬機為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則根據(jù)所述目的虛擬機的標識�,獲取所述目的虛擬機的邏輯通道信息; 所述網(wǎng)絡(luò)交換設(shè)備根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息����,對所述虛擬機報文進行合法性校驗,并僅當(dāng)校驗合法時�����,對所述虛擬機報文進行解封裝��,并發(fā)送至所述目的虛擬機����。
2.根據(jù)權(quán)利要求I所述的虛擬機報文轉(zhuǎn)發(fā)方法,其特征在于���,所述網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文�,具體包括 所述網(wǎng)絡(luò)交換設(shè)備接收經(jīng)由所述源虛擬機對應(yīng)的網(wǎng)絡(luò)交換設(shè)備轉(zhuǎn)發(fā)的虛擬機報文�,所述虛擬機報文由所述源虛擬機對應(yīng)的網(wǎng)絡(luò)交換設(shè)備封裝所述源虛擬機的邏輯通道信息;或者 所述網(wǎng)絡(luò)交換設(shè)備接收未封裝有源虛擬機的邏輯通道信息的虛擬機報文��,若所接收的虛擬機報文的源虛擬報文為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則所述網(wǎng)絡(luò)交換設(shè)備將所述源虛擬機對應(yīng)的邏輯通道信息�����,封裝至所接收的虛擬機報文���。
3.根據(jù)權(quán)利要求I所述的虛擬機報文轉(zhuǎn)發(fā)方法����,其特征在于�,所述網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文����,之后還包括 若所述虛擬機報文的目的虛擬機不為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則所述網(wǎng)絡(luò)交換設(shè)備將所述虛擬機報文�,發(fā)送至所述目的虛擬機關(guān)聯(lián)的網(wǎng)絡(luò)交換設(shè)備。
4.根據(jù)權(quán)利要求I所述的虛擬機報文轉(zhuǎn)發(fā)方法����,其特征在于,所述根據(jù)所述目的虛擬機的標識���,獲取所述目的虛擬機的邏輯通道信息�����,之前還包括 所述網(wǎng)絡(luò)交換設(shè)備獲取自身關(guān)聯(lián)的各虛擬機的邏輯通道信息����,并存儲所述各虛擬機的標識與所述邏輯通道信息的映射關(guān)系。
5.根據(jù)權(quán)利要求1-4任一所述的虛擬機報文轉(zhuǎn)發(fā)方法�����,其特征在于�����,所述各虛擬機的邏輯通道信息包括邏輯通道模式標識和虛擬機組標識����; 相應(yīng)地,所述網(wǎng)絡(luò)交換設(shè)備根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息�,對所述虛擬機報文進行合法性校驗,具體包括 若判斷獲知所述源虛擬機的邏輯通道模式標識與所述目的虛擬機的邏輯通道模式標識相同����,則判斷所述源虛擬機的虛擬機組標識與所述目的虛擬機的虛擬機組標識是否相同,若是�,則判定所述虛擬機報文合法�,若否�,則判定所述虛擬機報文不合法; 若判斷獲知所述源虛擬機的邏輯通道模式標識與所述目的虛擬機的邏輯通道模式標識不同�����,則判斷所述目的虛擬機的邏輯通道模式標識對應(yīng)的邏輯通道模式����,是否允許具有不同邏輯通道模式的虛擬機之間的通信;若否����,則判定所述虛擬機報文不合法,若是���,則判斷所述源虛擬機的虛擬機組標識與所述目的虛擬機的虛擬機組標識是否相同,并當(dāng)判斷結(jié)果為相同時�����,判定所述虛擬機報文合法�,否則,判定所述虛擬機報文不合法�����。
6.根據(jù)權(quán)利要求5所述的虛擬機報文轉(zhuǎn)發(fā)方法,其特征在于�����,所述邏輯通道模式包括直接輸入輸出Director IO模式��、虛擬以太橋VEB模式�����、虛擬以太網(wǎng)端口聚合器VEPA模式和混合模式�����,其中 所述Director IO模式的邏輯通道���,僅允許邏輯通道模式標識為Director IO模式�����、且具有相同虛擬機組標識的虛擬機之間的通信��; 所述VEB模式的邏輯通道�,僅允許邏輯通道模式標識為VEB模式、且具有相同虛擬機組標識的虛擬機之間的通信��; 所述VEPA模式的邏輯通道���,僅允許邏輯通道模式標識為VEPA模式�、且具有相同虛擬機組標識的虛擬機之間的通信�����; 所述混合模式的邏輯通道��,僅允許具有相同或不同邏輯通道模式�、但具有相同虛擬機組標識的虛擬機之間的通信。
7.—種網(wǎng)絡(luò)交換設(shè)備����,其特征在于,包括 封裝報文獲取模塊����,用于獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文����; 邏輯通道信息獲取模塊�,用于若所述虛擬機報文的目的虛擬機為網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機�,則根據(jù)所述目的虛擬機的標識,獲取所述目的虛擬機的邏輯通道信息�; 合法性校驗?zāi)K,用于根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息�,對所述虛擬機報文進行合法性校驗; 解封裝模塊����,用于僅當(dāng)校驗合法時,對所述虛擬機報文進行解封裝���,并發(fā)送至所述目的虛擬機�。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)交換設(shè)備���,其特征在于��,所述封裝報文獲取模塊具體包括 第一接收單元�����,用于接收所述網(wǎng)絡(luò)交換設(shè)備接收經(jīng)由所述源虛擬機對應(yīng)的網(wǎng)絡(luò)交換設(shè)備轉(zhuǎn)發(fā)的虛擬機報文�����,所述虛擬機報文由所述源虛擬機對應(yīng)的網(wǎng)絡(luò)交換設(shè)備封裝所述源虛擬機的邏輯通道信息�; 或者,包括第二接收單元和封裝單元�����,其中 所述第二接收單元�,用于接收未封裝有源虛擬機的邏輯通道信息的虛擬機報文;所述封裝單元用于若所接收的虛擬機報文的源虛擬報文為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機�,則將所述源虛擬機對應(yīng)的邏輯通道信息,封裝至所接收的虛擬機報文���。
9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)交換設(shè)備�����,其特征在于��,還包括 外部轉(zhuǎn)發(fā)模塊�����,用于若所述虛擬機報文的目的虛擬機不為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機,則將所述虛擬機報文���,發(fā)送至所述目的虛擬機關(guān)聯(lián)的網(wǎng)絡(luò)交換設(shè)備����。
10.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)交換設(shè)備,其特征在于����,所述邏輯通道信息獲取模塊還用于獲取所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的各虛擬機的邏輯通道信息,并存儲所述各虛擬機的標識與所述邏輯通道信息的映射關(guān)系���。
11.根據(jù)權(quán)利要求7-10任一所述的網(wǎng)絡(luò)交換設(shè)備��,其特征在于����,所述各虛擬機的邏輯通道信息包括邏輯通道模式標識和虛擬機組標識�����; 相應(yīng)地���,所述合法性校驗?zāi)K具體用于若判斷獲知所述源虛擬機的邏輯通道模式標識與所述目的虛擬機的邏輯通道模式標識相同����,則判斷所述源虛擬機的虛擬機組標識與所述目的虛擬機的虛擬機組標識是否相同,若是�����,則判定所述虛擬機報文合法�����,若否��,則判定所述虛擬機報文不合法���; 若判斷獲知所述源虛擬機的邏輯通道模式標識與所述目的虛擬機的邏輯通道模式標識不同����,則判斷所述目的虛擬機的邏輯通道模式標識對應(yīng)的邏輯通道模式�,是否允許具有不同邏輯通道模式的虛擬機之間的通信;若否��,則判定所述虛擬機報文不合法��,若是���,則判斷所述源虛擬機的虛擬機組標識與所述目的虛擬機的虛擬機組標識是否相同��,并當(dāng)判斷結(jié)果為相同時�,判定所述虛擬機報文合法��,否則����,判定所述虛擬機報文不合法。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)交換設(shè)備�,其特征在于,所述邏輯通道模式包括直接輸入輸出Director IO模式�、虛擬以太橋VEB模式、虛擬以太網(wǎng)端口聚合器VEPA模式和混合模式���,其中 所述Director IO模式��,僅允許邏輯通道模式標識為Director IO模式���、且具有相同虛擬機組標識的虛擬機之間的通信; 所述VEB模式���,僅允許邏輯通道模式標識為VEB模式��、且具有相同虛擬機組標識的虛擬機之間的通信����; 所述VEPA模式,僅允許邏輯通道模式標識為VEPA模式�����、且具有相同虛擬機組標識的虛擬機之間的通信���; 所述混合模式����,僅允許具有相同或不同邏輯通道模式�����、但具有相同虛擬機組標識的虛擬機之間的通信����。
13.—種通信系統(tǒng),其特征在于�,包括權(quán)利要求6-12任一所述的網(wǎng)絡(luò)交換設(shè)備,以及與所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機��。
全文摘要
本發(fā)明提供一種虛擬機報文轉(zhuǎn)發(fā)方法、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng)�����。該方法包括網(wǎng)絡(luò)交換設(shè)備獲取封裝有源虛擬機的邏輯通道信息的虛擬機報文����;若所述虛擬機報文的目的虛擬機為所述網(wǎng)絡(luò)交換設(shè)備關(guān)聯(lián)的虛擬機��,則根據(jù)所述目的虛擬機的標識���,獲取所述目的虛擬機的邏輯通道信息�����;所述網(wǎng)絡(luò)交換設(shè)備根據(jù)所述源虛擬機的邏輯通道信息和所述目的虛擬機的邏輯通道信息�����,對所述虛擬機報文進行合法性校驗���,并僅當(dāng)校驗合法時,對所述虛擬機報文進行解封裝�,并發(fā)送至所述目的虛擬機�。本發(fā)明提供的虛擬機報文轉(zhuǎn)發(fā)方法�����、網(wǎng)絡(luò)交換設(shè)備及通信系統(tǒng)����,實現(xiàn)了多通道技術(shù)中的邏輯通道有效隔離。
文檔編號H04L29/06GK102801729SQ20121028704
公開日2012年11月28日 申請日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者劉璞 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司