本發(fā)明涉及計算機網絡技術領域，尤其是一種實時處理虛擬交換機網絡流量的虛擬化平臺。

背景技術：

現有技術中，虛擬化平臺通過在主機的虛擬網橋上加載防火墻/入侵檢測等網絡安全軟件，來檢測每個虛擬機的出/入網絡流量，以此保護虛擬機并抵抗各種形式的網絡攻擊。但上述平臺的虛擬網橋功能太單一，難以適應日漸復雜的虛擬網絡環(huán)境。為應對現實中的復雜網絡環(huán)境，現有的虛擬化平臺逐漸采用符合軟件定義網絡SDN標準的虛擬交換機，如OpenSwitch，但無法與虛擬交換機協(xié)同工作，無法有效保護主機上運行的虛擬交換機不遭受網絡攻擊。

技術實現要素：

本發(fā)明所要解決的技術問題在于，提供一種實時處理虛擬交換機網絡流量的虛擬化平臺，可以保證虛擬交換機各種功能的兼容性，不影響虛擬交換機的各種功能。

為解決上述技術問題，本發(fā)明提供一種實時處理虛擬交換機網絡流量的虛擬化平臺，包括主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連；虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創(chuàng)建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發(fā)主機系統(tǒng)內核通告設備熱插拔事件，監(jiān)聽程序實時監(jiān)控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監(jiān)聽程序創(chuàng)建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協(xié)同工作，執(zhí)行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。

優(yōu)選的，虛擬機發(fā)出的網絡流量或主機外部網絡收到的流量都先通過虛擬交換機的端口，流量入端口把流量交給網絡流量分發(fā)模塊，網絡流量分發(fā)模塊計算該從哪個端口出，把流量轉發(fā)到相應的流量出端口。

優(yōu)選的，虛擬設備包括端口、過濾模塊和用戶層接口，虛擬設備內部有2個端口，一個和虛擬機的虛擬網口連接，另一個和虛擬交換機的端口連接，接收和轉發(fā)網絡數據包；過濾模塊維護網絡連接的狀態(tài)信息，記錄網絡連接的端點信息，過濾模塊收到端口轉發(fā)過來的數據包之后，統(tǒng)計流量，更新網絡連接信息，過濾模塊將數據包傳遞給安全軟件掃描，直到安全軟件得出結論，該網絡連接是安全的還是惡意的，安全軟件得出結論之后，把信息通知給過濾模塊，過濾模塊更新網絡連接信息，網絡連接安全，過濾模塊會把數據包重定向給虛擬設備中的另一個端口，數據包最終會發(fā)送到目的地址，網絡連接是惡意的，安全軟件會發(fā)送重置信號給該網絡連接的兩端主機，終止該連接，如果后續(xù)還有數據包未處理，過濾模塊會簡單執(zhí)行丟包策略；監(jiān)聽程序需要動態(tài)創(chuàng)建虛擬設備，虛擬設備實現必要的用戶層接口供監(jiān)聽程序使用。

優(yōu)選的，虛擬機個數為3臺，虛擬交換機的個數為2臺。

優(yōu)選的，虛擬網口與虛擬設備的個數與虛擬機相對應。

本發(fā)明的有益效果為：通過在虛擬機的虛擬網口和虛擬交換機之間的通信鏈路中加入一個虛擬設備，來實時過來/阻斷進入和流出虛擬機的網絡數據包；新加入的虛擬設備對虛擬機和虛擬交換機都是透明的，保證虛擬交換機各種功能的兼容性；新加入的虛擬設備與系統(tǒng)現有模塊松散耦合，不會影響現有模塊的功能。

附圖說明

圖1是本發(fā)明的虛擬化平臺結構示意圖。

圖2是本發(fā)明的虛擬設備加入通信鏈路過程示意圖。

圖3是本發(fā)明的虛擬設備的結構示意圖。

具體實施方式

如圖1所示，一種實時處理虛擬交換機網絡流量的虛擬化平臺，包括主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連。

如圖2所示，為虛擬設備加入通信鏈路的過程示意圖。虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創(chuàng)建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發(fā)主機系統(tǒng)內核通告設備熱插拔事件，監(jiān)聽程序實時監(jiān)控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監(jiān)聽程序創(chuàng)建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協(xié)同工作，執(zhí)行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。安全軟件和過濾模塊進行通信，監(jiān)聽程序和用戶層接口進行通信。

虛擬機發(fā)出的網絡流量或主機外部網絡收到的流量都先通過虛擬交換機的端口，流量入端口把流量交給網絡流量分發(fā)模塊，網絡流量分發(fā)模塊計算該從哪個端口出，把流量轉發(fā)到相應的流量出端口。

如圖3所示，為虛擬設備的結構示意圖。虛擬設備包括端口、過濾模塊和用戶層接口，虛擬設備內部有2個端口，一個和虛擬機的虛擬網口連接，另一個和虛擬交換機的端口連接，接收和轉發(fā)網絡數據包；過濾模塊維護網絡連接的狀態(tài)信息，記錄網絡連接的端點信息，過濾模塊收到端口轉發(fā)過來的數據包之后，統(tǒng)計流量，更新網絡連接信息，過濾模塊將數據包傳遞給安全軟件掃描，直到安全軟件得出結論，該網絡連接是安全的還是惡意的，安全軟件得出結論之后，把信息通知給過濾模塊，過濾模塊更新網絡連接信息，網絡連接安全，過濾模塊會把數據包重定向給虛擬設備中的另一個端口，數據包最終會發(fā)送到目的地址，網絡連接是惡意的，安全軟件會發(fā)送重置信號給該網絡連接的兩端主機，終止該連接，如果后續(xù)還有數據包未處理，過濾模塊會簡單執(zhí)行丟包策略；監(jiān)聽程序需要動態(tài)創(chuàng)建虛擬設備，虛擬設備實現必要的用戶層接口供監(jiān)聽程序使用。

虛擬機個數為3臺，虛擬交換機的個數為2臺。虛擬網口與虛擬設備的個數與虛擬機相對應。

原來的網絡拓撲結構里面，虛擬網口和虛擬交換機的端口直連，為了保證虛擬交換機的功能100％兼容，虛擬設備與虛擬交換機相連的端口，必須提供和虛擬網口一樣的接口；某些惡意軟件，會探測網絡時延，例如啟動耗時多長，找個公網主機計算ICMP報文來回時間，如果時延大于經驗值，那么惡意軟件為避免被檢測到，會故意停止工作，基于這類惡意軟件的行為模式，虛擬設備植入通信鏈路的過程須盡可能的快。

盡管本發(fā)明就優(yōu)選實施方式進行了示意和描述，但本領域的技術人員應當理解，只要不超出本發(fā)明的權利要求所限定的范圍，可以對本發(fā)明進行各種變化和修改。