一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法��、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例公開了一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法��、裝置和系統(tǒng)��,用于維持VM所在子網(wǎng)的網(wǎng)絡(luò)安全��。本發(fā)明實施例方法包括:當(dāng)虛擬機監(jiān)視器VMM接收到數(shù)據(jù)報文時�����,判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略���;若判斷結(jié)果為是����,則指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文����;若判斷結(jié)果為否,則根據(jù)非法配置處理策略進(jìn)行處理��。通過實施本發(fā)明技術(shù)方案�,能夠禁止轉(zhuǎn)發(fā)非法數(shù)據(jù)報文���,從而應(yīng)對虛擬機網(wǎng)絡(luò)配置參數(shù)的非法配置問題,保障虛擬化網(wǎng)絡(luò)的網(wǎng)絡(luò)安全����。
【專利說明】一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及硬件虛擬化【技術(shù)領(lǐng)域】�,尤其涉及一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法、裝置和系統(tǒng)����。【背景技術(shù)】
[0002]在硬件虛擬化技術(shù)中����,一臺物理服務(wù)器上能夠虛擬多臺虛擬機(VM,VirtualMachine),這些VM由安裝于該物理服務(wù)器上的虛擬機監(jiān)視器(VMM, Virtual MachineMonitor)進(jìn)行管理��。VMM工作于物理服務(wù)器與VM之間的中間軟件層�,VMM能夠協(xié)調(diào)VM對物理服務(wù)器硬件資源的訪問。當(dāng)物理服務(wù)器啟動并觸發(fā)VMM時�,VMM會加載所有VM并分配給每一臺VM預(yù)設(shè)的內(nèi)存、CPU�、網(wǎng)絡(luò)和磁盤資源。[0003]利用橋接或虛擬交換技術(shù),VM上的虛擬網(wǎng)卡通過虛擬接口(VIF���,VirtualInterface)與物理服務(wù)器的物理網(wǎng)卡進(jìn)行連接,從而實現(xiàn)VM之間或VM與物理網(wǎng)絡(luò)之間的通信�。
[0004]虛擬管理中心(Vcenter��,Virtual Center)對所管理的網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)資源進(jìn)行配置�,當(dāng)VMM創(chuàng)建VM時Vcenter需要為其配置網(wǎng)絡(luò)參數(shù)���。其中����,為VM分配IP地址常用方法包括:基于虛擬機模板(VM Template)的靜態(tài)分配方式和基于動態(tài)主機設(shè)置協(xié)議(DHCP���,Dynamic Host Configuration Protocol)的動態(tài)分配方式�。對于具有虛擬機管理員權(quán)限的VM租戶來說�,有權(quán)限在VM上對虛擬機網(wǎng)絡(luò)配置(VM Network Configuration)參數(shù)進(jìn)行修改。
[0005]但是��,租戶的錯誤配置可能導(dǎo)致VM與外界的通信出現(xiàn)異常����,還可能導(dǎo)致VM所在的子網(wǎng)網(wǎng)絡(luò)異常。另外,一旦該VM被非法入侵���,可能導(dǎo)致VM所在子網(wǎng)遭受網(wǎng)絡(luò)攻擊��,造成嚴(yán)重的網(wǎng)絡(luò)安全事故���。
【發(fā)明內(nèi)容】
[0006]為了解決上述問題,本發(fā)明實施例提供了一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法�、裝置和系統(tǒng),用于維持VM所在子網(wǎng)的網(wǎng)絡(luò)安全����。通過實施本發(fā)明技術(shù)方案,能夠禁止轉(zhuǎn)發(fā)非法數(shù)據(jù)報文����,從而應(yīng)對虛擬機網(wǎng)絡(luò)配置參數(shù)的非法配置問題,保障虛擬化網(wǎng)絡(luò)的網(wǎng)絡(luò)安全�����。
[0007]一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法�,包括:
[0008]當(dāng)虛擬機監(jiān)視器VMM接收到數(shù)據(jù)報文時,判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略�;
[0009]若判斷結(jié)果為是,則指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文;
[0010]若判斷結(jié)果為否�����,則根據(jù)非法配置處理策略進(jìn)行處理�。
[0011]一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法,包括:
[0012]指示虛擬機監(jiān)視器VMM創(chuàng)建第一虛擬機VM �����;
[0013]根據(jù)所述第一虛擬機VM的合法配置信息生成第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息�����;
[0014]通過預(yù)設(shè)接口向虛擬機監(jiān)視器VMM發(fā)送所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�。[0015]一種數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置,包括:
[0016]判斷單元���,用于當(dāng)虛擬機監(jiān)視器VMM接收到數(shù)據(jù)報文時��,判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略���;
[0017]處理單元,用于若所述判斷單元的判斷結(jié)果為是,則指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文�����;還用于若所述判斷單元的判斷結(jié)果為否����,則根據(jù)非法配置處理策略進(jìn)行處理。
[0018]一種數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置�,包括:
[0019]指示單元,用于指示虛擬機監(jiān)視器VMM創(chuàng)建第一虛擬機VM ��;
[0020]生成單元�,用于根據(jù)所述第一虛擬機VM的合法配置信息生成第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息���;
[0021]第三發(fā)送單元����,用于通過預(yù)設(shè)接口向虛擬機監(jiān)視器VMM發(fā)送所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�����。
[0022]一種數(shù)據(jù)報文轉(zhuǎn)發(fā)系統(tǒng)�����,包括:
[0023]如前所述的第一種數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置、虛擬機監(jiān)視器VMM��、如前所述的第二種數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置���,以及至少I個虛擬機����。
[0024]從以上技術(shù)方案可以看出���,本發(fā)明實施例具有以下優(yōu)點:
[0025]當(dāng)VMM接收到數(shù)據(jù)報文時���,假設(shè)該數(shù)據(jù)報文由第一 VM發(fā)出或發(fā)往第一 W�,則判斷該數(shù)據(jù)報文是否符合第一 VM的合法配置策略,從而檢測該數(shù)據(jù)報文的合法性�����。如果判斷結(jié)果顯示該數(shù)據(jù)報文合法���,則放行����,如果判斷結(jié)果顯示該數(shù)據(jù)報文非法,即該數(shù)據(jù)報文不符合第一 VM的合法配置策略�,說明第一 VM的虛擬機網(wǎng)絡(luò)配置參數(shù)被錯誤配置,因此該數(shù)據(jù)報文可能會導(dǎo)致第一 VM所在的子網(wǎng)網(wǎng)絡(luò)異常���,這時需要根據(jù)非法配置處理策略對該數(shù)據(jù)報文或第一 VM進(jìn)行處理���,從而保障網(wǎng)絡(luò)安全。
【專利附圖】
【附圖說明】
[0026]圖1為本發(fā)明第一實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)方法流程圖��;
[0027]圖2為本發(fā)明一種虛擬網(wǎng)絡(luò)示意圖��;
[0028]圖3為本發(fā)明第二實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)方法流程圖���;
[0029]圖4為本發(fā)明另一種虛擬網(wǎng)絡(luò)示意圖����;
[0030]圖5為本發(fā)明第二實施例的通知虛擬接口對雜收模式的支持狀態(tài)流程圖�;
[0031]圖6為本發(fā)明第三實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)方法流程圖;
[0032]圖7為本發(fā)明第四實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置結(jié)構(gòu)圖�;
[0033]圖8為本發(fā)明第五實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置結(jié)構(gòu)圖;
[0034]圖9為本發(fā)明第六實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置結(jié)構(gòu)圖���;
[0035]圖10為本發(fā)明第七實施例的數(shù)據(jù)報文轉(zhuǎn)發(fā)系統(tǒng)結(jié)構(gòu)圖。
【具體實施方式】
[0036] 下面將結(jié)合本發(fā)明中的說明書附圖,對發(fā)明中的技術(shù)方案進(jìn)行清楚���、完整地描述���,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例����?����;诒景l(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護(hù)的范圍�。
[0037]本發(fā)明實施例提供了一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法,用于維持VM所在子網(wǎng)的網(wǎng)絡(luò)安全�。通過實施本發(fā)明技術(shù)方案,能夠禁止轉(zhuǎn)發(fā)非法數(shù)據(jù)報文���,從而應(yīng)對虛擬機網(wǎng)絡(luò)配置參數(shù)的非法配置問題�����,保障虛擬化網(wǎng)絡(luò)的網(wǎng)絡(luò)安全�����。本發(fā)明實施例還提供與所述方法相關(guān)的裝置和系統(tǒng)�����,以下將分別對其進(jìn)行詳細(xì)說明��。
[0038]本發(fā)明第一實施例將對一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法進(jìn)行詳細(xì)說明���,本實施例所述的數(shù)據(jù)報文轉(zhuǎn)發(fā)方法具體流程請參見圖1,包括步驟:
[0039]101��、虛擬機監(jiān)視器VMM接收數(shù)據(jù)報文��。
[0040]數(shù)據(jù)報文中會攜帶源地址、目的地址或擬局域網(wǎng)(VLAN, Virtual LocalAreaNetwork)標(biāo)簽等信息��。源地址包括源網(wǎng)際協(xié)議(IP, Internet Protocol)地址和源媒體訪問控制(MAC��,Media Access Control)地址���,目的地址包括目的IP地址和目的MAC地址��。子網(wǎng)內(nèi)的VM—旦偽造IP地址���、MAC地址或自定義雜收模式(P-Mode, Promiscuous Mode)為可用,就可能非法監(jiān)聽子網(wǎng)內(nèi)的數(shù)據(jù)報文�����,利用VLAN標(biāo)簽還能夠發(fā)起網(wǎng)絡(luò)攻擊��。
[0041 ] 在本實施例中����,若數(shù)據(jù)報文的源VM或目的VM為本實施例VMM上的某一個VM,則稱該VM與該數(shù)據(jù)報文相關(guān)�。
[0042]請參見圖2���,在一臺物理服務(wù)器上虛擬出多臺VM���,這些VM由VMM201進(jìn)行管理����,VM的往來數(shù)據(jù)報文都會通過VMM201進(jìn)行轉(zhuǎn)發(fā)��,而Vcenter202則對某些VM所組成的子網(wǎng)進(jìn)行網(wǎng)絡(luò)管理����。在本實施例中,在VMM201上增加一個虛擬網(wǎng)絡(luò)監(jiān)視模塊2011 (VNMM�����,VirtualNetwork Monitoring Module),對VMM201所處理的數(shù)據(jù)報文進(jìn)行監(jiān)視�����。
[0043]結(jié)合圖2�����,在本步驟中,VMM201接收數(shù)據(jù)報文���。
[0044]102�、虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略�。
[0045]合法配置策略是在VM創(chuàng)建時所確定的,并且在后續(xù)使用過程中由Vcenter進(jìn)行合法修改��。VM的虛擬機網(wǎng)絡(luò)配置參數(shù)只有符合該合法配置策略時才能保證VM的對外通信���,并且不會對所在的子網(wǎng)網(wǎng)絡(luò)產(chǎn)生影響��。合法配置策略可以包括以下虛擬機網(wǎng)絡(luò)配置參數(shù):如IP地址��、MAC地址����、VLAN標(biāo)簽的使用狀態(tài)�、虛擬接口(VIF,Virtual Interface)對P-Mode的支持狀態(tài)等��,在本實施例中不對合法配置策略作具體限定���。
[0046]結(jié)合圖2��,在本步驟中�����,VNMM2011判斷數(shù)據(jù)報文是否符合與其相關(guān)的第一 VM203的
合法配置策略���。
[0047]若判斷結(jié)果為是,則觸發(fā)執(zhí)行步驟103�����,若判斷結(jié)果為否���,則觸發(fā)執(zhí)行步驟104�����。
[0048]103����、虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文����。
[0049]若判斷結(jié)果為是,說明該數(shù)據(jù)報文合法,與其相關(guān)的第一 VM的虛擬機網(wǎng)絡(luò)配置參數(shù)正常��,故在本步驟中���,結(jié)合圖2�����,VNMM2011指示VMM201按照正常流程轉(zhuǎn)發(fā)與第一 VM203相關(guān)的數(shù)據(jù)報文�����。
[0050]104�����、虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM根據(jù)非法配置處理策略進(jìn)行處理����。
[0051]若判斷結(jié)果為否��,說明該數(shù)據(jù)報文不合法�,與其相關(guān)的第一 VM的機網(wǎng)絡(luò)配置參數(shù)存在異常,故在本步驟中�,結(jié)合圖2����,VNMM2011需根據(jù)非法配置處理策略進(jìn)行處理��。
[0052]其中����,非法配置處理策略可以是單一策略���,也可以包含多個可選策略�,甚至是復(fù)合策略�,在本實施例中不對非法配置處理策略進(jìn)行具體限定,在后續(xù)實施例中將進(jìn)行詳細(xì)說明���。
[0053]在本實施例中�,當(dāng)VMM接收到數(shù)據(jù)報文時���,不限定該數(shù)據(jù)報文由第一 VM發(fā)出或發(fā)往第一 VM�。判斷該數(shù)據(jù)報文是否符合第一 VM的合法配置策略���,從而檢測該數(shù)據(jù)報文的合法性����。如果判斷結(jié)果顯示該數(shù)據(jù)報文合法,則放行����,如果判斷結(jié)果顯示該數(shù)據(jù)報文非法,即該數(shù)據(jù)報文不符合第一 VM的合法配置策略���,說明第一 VM的虛擬機網(wǎng)絡(luò)配置參數(shù)被錯誤配置�����,因此該數(shù)據(jù)報文可能會導(dǎo)致第一 VM所在的子網(wǎng)網(wǎng)絡(luò)異常����,這時需要根據(jù)非法配置處理策略對該數(shù)據(jù)報文或第一 VM進(jìn)行處理�����,從而保障網(wǎng)絡(luò)安全���。
[0054]本發(fā)明第二實施例將對第一實施例所述的一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法進(jìn)行補充說明��,本實施例所述的數(shù)據(jù)報文轉(zhuǎn)發(fā)方法具體流程請參見圖3��,包括步驟:
[0055]301�����、第一虛擬機VM啟動���。
[0056]在本實施例中�����,引入VNMM表項。VNMM表項用于記載VM的合法配置信息�����。在本實施例中����,VM的合法配置信息包括:虛擬機身份標(biāo)識(VM ID)、虛擬接口身份標(biāo)識(VIF ID)�����、IP地址分配方式���、IP地址�����、MAC地址�、VIF對P-Mode的支持狀態(tài)、VLAN標(biāo)簽使用狀態(tài)和非法配置處理策略���。一個實例���,可參見以下表1。
[0057]
【權(quán)利要求】
1.一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法����,其特征在于,包括: 當(dāng)虛擬機監(jiān)視器VMM接收到數(shù)據(jù)報文時���,判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略����; 若判斷結(jié)果為是�,則指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文; 若判斷結(jié)果為否����,則根據(jù)非法配置處理策略進(jìn)行處理���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,還包括: 當(dāng)所述第一虛擬機VM啟動時,通過預(yù)設(shè)接口接收虛擬管理中心Vcenter發(fā)送的第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項��,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息���; 所述判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略包括: 獲取所述數(shù)據(jù)報文中的網(wǎng)際協(xié)議IP地址和媒體訪問控制MAC地址�����; 判斷所述數(shù)據(jù)報文中的網(wǎng)際協(xié)議IP地址、媒體訪問控制MAC地址與所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項中的網(wǎng)際協(xié)議IP地址����、媒體訪問控制MAC地址是否匹配; 和/或�, 判斷所述數(shù)據(jù)報文的虛擬局域網(wǎng)VLAN標(biāo)簽的使用狀態(tài)與所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項記載的虛擬局域網(wǎng)VLAN標(biāo)簽的使用狀態(tài)是否匹配。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于����,所述非法配置處理策略包括第一策略和第二策略��, 所述根據(jù)非法配置處理策略進(jìn)行處理包括: 通過所述預(yù)設(shè)接口向所述虛擬管理中心Vcenter發(fā)送警告消息�; 當(dāng)采用第一策略時,丟棄所述數(shù)據(jù)報文���; 當(dāng)采用第二策略時�����,中斷所述第一虛擬機VM的網(wǎng)絡(luò)連接����。
4.根據(jù)權(quán)利要求2或3所述的方法�,其特征在于,還包括: 當(dāng)?shù)诙摂M機VM熱遷移到所述虛擬機監(jiān)視器VMM時��,通過所述預(yù)設(shè)接口接收所述虛擬管理中心Vcenter發(fā)送的第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項���,所述第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第二虛擬機VM的合法配置信息�。
5.根據(jù)權(quán)利要求2或3所述的方法,其特征在于�����,所述通過預(yù)設(shè)接口接收虛擬管理中心Vcenter發(fā)送的第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項之前進(jìn)一步包括: 當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為動態(tài)分配時���,所述虛擬機監(jiān)視器VMM向所述虛擬管理中心Vcenter發(fā)送所述動態(tài)網(wǎng)際協(xié)議IP地址��,使得所述虛擬管理中心Vcenter根據(jù)所述動態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項��。
6.根據(jù)權(quán)利要求2或3所述的方法�����,其特征在于��,還包括: 查詢所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項中虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài)��; 向所述虛擬機監(jiān)視器VMM發(fā)送所述虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài)����,使得所述虛擬機監(jiān)視器VMM根據(jù)所述虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài)向所述第一虛擬機VM轉(zhuǎn)發(fā)數(shù)據(jù)報文�����。
7.一種數(shù)據(jù)報文轉(zhuǎn)發(fā)方法���,其特征在于����,包括: 指示虛擬機監(jiān)視器VMM創(chuàng) 建第一虛擬機VM ���;根據(jù)所述第一虛擬機VM的合法配置信息生成第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項����,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息���; 通過預(yù)設(shè)接口向虛擬機監(jiān)視器VMM發(fā)送所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于��,所述根據(jù)所述第一虛擬機VM的合法配置信息生成第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項之后進(jìn)一步包括: 當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為靜態(tài)分配時�����,獲取所述第一虛擬機VM的靜態(tài)網(wǎng)際協(xié)議IP地址��,并根據(jù)所述靜態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�����; 當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為動態(tài)分配時��,獲取所述第一虛擬機VM的動態(tài)網(wǎng)際協(xié)議IP地址�,或接收所述虛擬網(wǎng)絡(luò)監(jiān)視模塊VMM發(fā)送的所述第一虛擬機VM的動態(tài)網(wǎng)際協(xié)議IP地址,并根據(jù)所述動態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項����。
9.根據(jù)權(quán)利要求7或8所述的方法,其特征在于��,還包括: 當(dāng)?shù)诙摂M機VM熱遷移到目標(biāo)虛擬機監(jiān)視器VMM時����,通過所述預(yù)設(shè)接口向所述目標(biāo)虛擬機監(jiān)視器VMM發(fā)送第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項,所述第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第二虛擬機VM的合法配置信息�����; 指示源虛擬機監(jiān)視器VMM刪除所存儲的第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�。
10.一種數(shù)據(jù)報文 轉(zhuǎn)發(fā)裝置,其特征在于�����,包括: 判斷單元�����,用于當(dāng)虛擬機監(jiān)視器VMM接收到數(shù)據(jù)報文時��,判斷所述數(shù)據(jù)報文是否符合與其相關(guān)的第一虛擬機VM的合法配置策略�����; 處理單元�,用于若所述判斷單元的判斷結(jié)果為是,則指示所述虛擬機監(jiān)視器VMM發(fā)送所述數(shù)據(jù)報文����;還用于若所述判斷單元的判斷結(jié)果為否,則根據(jù)非法配置處理策略進(jìn)行處理�。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于����,還包括: 第一接收單元,用于通過預(yù)設(shè)接口接收虛擬管理中心Vcenter發(fā)送的第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息�; 所述判斷單元進(jìn)一步包括: 獲取子單元���,用于獲取所述數(shù)據(jù)報文中的網(wǎng)際協(xié)議IP地址和媒體訪問控制MAC地址;第一判斷子單元�����,用于判斷所述數(shù)據(jù)報文中的網(wǎng)際協(xié)議IP地址�����、媒體訪問控制MAC地址與所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項中的網(wǎng)際協(xié)議IP地址��、媒體訪問控制MAC地址是否匹配��; 和/或����, 第二判斷子單元,用于判斷所述數(shù)據(jù)報文的虛擬局域網(wǎng)VLAN標(biāo)簽的使用狀態(tài)與所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項記載的虛擬局域網(wǎng)VLAN標(biāo)簽的使用狀態(tài)是否匹配�����。
12.根據(jù)權(quán)利要求11所述的裝置���,其特征在于�,所述非法配置處理策略包括第一策略和第二策略,所述處理單元進(jìn)一步包括: 警告子單元��,用于通過所述預(yù)設(shè)接口向所述虛擬管理中心Vcenter發(fā)送警告消息��; 第一處理子單元��,用于當(dāng)采用第一策略時���,丟棄所述數(shù)據(jù)報文;第二處理子單元���,用于當(dāng)采用第二策略時����,中斷所述第一虛擬機VM的網(wǎng)絡(luò)連接���。
13.根據(jù)權(quán)利要求11或12所述的裝置�,其特征在于�, 所述第一接收單元,還用于當(dāng)?shù)诙摂M機VM熱遷移到所述虛擬機監(jiān)視器VMM時����,通過所述預(yù)設(shè)接口接收所述虛擬管理中心Vcenter發(fā)送的第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項����,所述第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所 述第二虛擬機VM的合法配置信息�����。
14.根據(jù)權(quán)利要求11或12所述的裝置��,其特征在于����,所述虛擬機監(jiān)視器VMM包括: 第一發(fā)送單元,用于當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為動態(tài)分配時��,向所述虛擬管理中心Vcenter發(fā)送所述動態(tài)網(wǎng)際協(xié)議IP地址�����,使得所述虛擬管理中心Vcenter根據(jù)所述動態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項����。
15.根據(jù)權(quán)利要求11或12所述的裝置,其特征在于���,還包括: 查詢單元����,用于查詢所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項中虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài); 第二發(fā)送單元�,用于向所述虛擬機監(jiān)視器VMM發(fā)送所述虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài),使得所述虛擬機監(jiān)視器VMM根據(jù)所述虛擬接口 VIF對雜收模式P-Mode的支持狀態(tài)向所述第一虛擬機VM轉(zhuǎn)發(fā)數(shù)據(jù)報文��。
16.一種數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置�,其特征在于���,包括: 指示單元���,用于指示虛擬機監(jiān)視器VMM創(chuàng)建第一虛擬機VM ; 生成單元����,用于根據(jù)所述第一虛擬機VM的合法配置信息生成第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項,所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第一虛擬機VM的合法配置信息��; 第三發(fā)送單元��,用于通過預(yù)設(shè)接口向虛擬機監(jiān)視器VMM發(fā)送所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�����。
17.根據(jù)權(quán)利要求16所述的裝置,其特征在于���,所述數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置還包括: 第一獲取單元��,用于當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為靜態(tài)分配時���,獲取所述第一虛擬機VM的靜態(tài)網(wǎng)際協(xié)議IP地址; 第一維護(hù)單元����,用于根據(jù)所述靜態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項; 第二獲取單元����,用于當(dāng)所述第一虛擬機VM的網(wǎng)際協(xié)議IP地址分配方式為動態(tài)分配時,獲取所述第一虛擬機VM的動態(tài)網(wǎng)際協(xié)議IP地址��; 第二接收單元���,用于接收所述虛擬網(wǎng)絡(luò)監(jiān)視模塊VMM發(fā)送的所述第一虛擬機VM的動態(tài)網(wǎng)際協(xié)議IP地址��; 第二維護(hù)單元���,用于根據(jù)所述動態(tài)網(wǎng)際協(xié)議IP地址維護(hù)所述第一虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�����。
18.根據(jù)權(quán)利要求16或17所述的裝置��,其特征在于��, 所述第三發(fā)送單元�,還用于當(dāng)?shù)诙摂M機VM熱遷移到目標(biāo)虛擬機監(jiān)視器VMM時���,通過所述預(yù)設(shè)接口向所述目標(biāo)虛擬機監(jiān)視器VMM發(fā)送第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項�����,所述第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項用于記載所述第二虛擬機VM的合法配置信息; 刪除單元�,用于指示源虛擬機監(jiān)視器VMM刪除所存儲的第二虛擬網(wǎng)絡(luò)監(jiān)視模塊VNMM表項。
19.一種數(shù)據(jù)報文轉(zhuǎn)發(fā)系統(tǒng)��,其特征在于�����,包括: 如權(quán)利要求10至15任一項所述的數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置、虛擬機監(jiān)視器VMM���、如權(quán)利要求16至18任一項所述的數(shù)據(jù)報文轉(zhuǎn)發(fā)裝置�,以及至少I個虛擬機�。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于����,所述虛擬機監(jiān)視器VMM進(jìn)一步包括: 選取單元,用于選取支持雜收模式P-Mode的虛擬接口 VIF所對應(yīng)的虛擬機VM作為目標(biāo)虛擬機VM �����; 轉(zhuǎn)發(fā)單元��,用于向所 述目標(biāo)虛擬機VM轉(zhuǎn)發(fā)所述數(shù)據(jù)報文��。
【文檔編號】H04L29/06GK103905383SQ201210574592
【公開日】2014年7月2日 申請日期:2012年12月26日 優(yōu)先權(quán)日:2012年12月26日
【發(fā)明者】張喆, 鄭曉峰 申請人:華為技術(shù)有限公司