一种虚拟机流量重定向的方法及装置制造方法
【专利摘要】本发明公开了一种虚拟机流量重定向的方法及装置。通过修改虚拟交换机功能模块,动态监测同VLAN不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量时,根据预先配置的策略修改虚拟机发送的报文VLAN,实现报文被重定向到外部的网络安全设备,从而实现服务器内部同VLAN不同虚拟机之间的二层流量的安全防护。
【专利说明】一种虚拟机流量重定向的方法及装置
【技术领域】
[0001]本发明涉及数据通信领域,尤其涉及一种同VLAN不同虚拟机之间的二层流量重定向的方法及装置。
【背景技术】
[0002]数据中心通常包括三个主要的组成部分:计算、网络和存储,这三个部分都在向虚拟化方向发展。其中作为计算资源的服务器的虚拟化是云计算中的核心技术之一,也是目前发展最为成熟的虚拟化技术。传统服务器由于服务器性能和网络通信端口的不匹配等问题导致服务器计算性能可能被闲置。而服务器的虚拟化技术,则可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作系统和应用程序,从而有效提升服务器本身硬件资源的利用效率。
[0003]然而,虚拟化技术的应用使得传统的网络和服务器的管理边界变得模糊。传统的网络和服务器的管理分别属于不同的运维组织。服务器管理人员仅负责业务、数据安装,而网络管理员负责网络连通及服务器安全防护。但是,虚拟机引入后由于服务器内置了虚拟交换机VSwitch,处于同一 VLAN的不同虚拟机之间的二层流量转发将直接通过虚拟交换机VSwitch交换转发,导致目前成熟的安全防护技术无法实施。
【发明内容】
[0004]有鉴于此,本发明提供一种虚拟机流量重定向的方法和装置,以解决上述现有技术中存在的不足。
[0005]本发明是通过如下技术方案实现的:
[0006]一种虚拟机流量重定向的装置,该装置应用于物理服务器上,其中该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其中所述装置包括:
[0007]策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则;
[0008]报文监测模块,用于动态监测同VLAN不同虚拟机之间的二层流量报文交互;
[0009]虚拟交换模块,用于当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量报文时,根据预先配置的VLAN标签转换规则,将虚拟机发送的二层流量报文中携带的第一 VLAN替换为第二 VLAN,并将该替换为第二 VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
[0010]进一步地,所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,按照预定的安全规则对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,将该经过安全处理的二层流量报文携带的第二
[0011]VLAN替换为第三VLAN,并将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。[0012]进一步地,所述虚拟交换模块接收来自外部网络安全设备的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一 VLAN后,根据目的MAC地址对该二层报文进行转发。
[0013]进一步地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向二层流量报文中携带的第一 VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
[0014]本发明同时还提供一种虚拟机流量重定向的方法,所述方法应用于物理服务器上,其中该物理服务器已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其中所述方法包括:
[0015]步骤31,根据预定的策略,通过策略配置模块为同VLAN不同虚拟机之间发送的二层流量报文配置VLAN标签转换规则;
[0016]步骤32,通过报文监测模块监测是否存在同VLAN内不同虚拟机之间发送的二层流量报文,如果是,则进行步骤33 ;
[0017]步骤33,根据预设VLAN标签转换规则,通过虚拟交换模块将该二层流量报文中携带的第一 VLAN替换为第二 VLAN,且对该替换为第二 VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
[0018]进一步地,在所述步骤33之后,还包括:
[0019]所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,并按照预定的安全规则,对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,并将该经过安全处理的二层流量报文携带的第二 VLAN替换为第三VLAN,然后将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
[0020]进一步地,所述虚拟交换模块接收来自外部网络安全设备发送的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一 VLAN后,根据目的MAC地址对该二层报文进行转发。
[0021]进一步地,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向报文中携带的第一 VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
[0022]与现有的技术相比,本发明通过修改虚拟交换机的功能模块,动态监测同VLAN不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量时,根据预先配置的VLAN标签转换规则修改虚拟机发送的报文VLAN,实现该报文被重定向到外部网络安全设备,从而实现服务器同VLAN不同虚拟机之间的二层流量的安全防护处理。
【专利附图】
【附图说明】
[0023]图1为典型的物理服务器虚拟化之后的架构示意图。
[0024]图2为本发明虚拟机流量重定向的方法流程示意图。
[0025]图3为本发明虚拟机流量重定向的装置结构示意图。
【具体实施方式】[0026]请参考图1,服务器的虚拟化架构是在物理服务器上弓I入虚拟化层,其是一种中间层虚拟化软件,主要用于创建虚拟机(Virtual Machine, VM),并为虚拟机分配合理的硬件资源,比如CPU中的一个或者多个内核(即CPU中集成的一个或多个完整的计算引擎)分配给虚拟机I等。虚拟机从逻辑功能上看,与传统的物理服务器并无区别,拥有自己的操作系统,并可以在操作系统之上安装各种应用。在数据中心的物理服务器被广泛虚拟化后,安全问题也就相应产生了。在计算机网络以及软件技术中,任何新增的功能都可能存在安全问题而需要加以考虑。虚拟化软件相当于在已知传统安全威胁(如针对操作系统和应用程序的攻击)基础上引入了新的安全威胁。例如:针对虚拟化软件及对应管理平台的漏洞攻击。
[0027]在虚拟化环境下,单台物理服务器上的各虚拟机之间可能存在直接的二层流量交换。例如:当管理员将多个虚拟机规划在同一 VLAN中时,在某应用场景下,如果虚拟机I和虚拟机2属于同一个VLAN,二者在同一个广播域,此时虚拟机I和虚拟机2之间的通信显然是不需要经过网关设备的。虚拟机I和虚拟机2可以通过ARP协议知晓对方的MAC地址,于是在发送二层报文时,直接使用对方的MAC地址作为其目的MAC地址,虚拟机I和虚拟机2互相通信时发送的报文到达虚拟交换机时,虚拟交换机就可以通过查找MAC地址表执行二层转发。通常这种二层交换并不需要经过外置的二层交换机。管理员对于该部分报文流量既不可控也不可见。
[0028]因此,管理员面临的挑战是如何确保虚拟机之间的互相访问符合预定的安全策略。如果该虚拟机之间的访问互访被允许,如何判断这些访问是否存在攻击行为。目前针对上述问题有一些解决方案,比如Cisco公司提出的Cisco802.1BR技术,该技术方案的设计思路是将虚拟机互访报文流量重定向到外部接入交换机或其他网络设备上的外置安全模块进行安全控制。在该方案中,将流量重定向到接入交换机的方式需要同时在Hypervisor层面、服务器网卡层面和接入交换机层面做出修改,具体来说:802.1BR技术需要在hypervisor层面进行重定向修改,并且每一个虚拟机需要有相应的虚拟通道和位于接入交换机上的虚拟端口,需要接入交换机做较大的修改来支持,技术实现难度大。
[0029]为此,为实现本发明目的,本发明采用的核心思想为:通过修改虚拟交换机的功能模块,动态监测同VLAN内的不同虚拟机之间的二层流量交互,当监测到同VLAN不同虚拟机之间的二层流量,根据预先配置的策略修改虚拟机发送的报文VLAN,实现报文被自然重定向到外部网络安全设备,从而实现服务器内部同VLAN不同虚拟机之间的二层流量的安全防护。
[0030]为使本领域技术人员更加清楚和明白,以下结合附图及实施例详细说明本发明的具体实现方式。
[0031]请参考图2,为本发明一个实施方式中提供的一种实现虚拟机流量重定向的装置示意图。该装置应用于物理服务器上,其中该物理服务器可采用当前各种流行的硬件架构,包括CPU、内存、存储器以及网卡等基本硬件。另外,该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,所述装置包括:
[0032]策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则。
[0033]为实现本发明目的,在本发明中,所述VLAN标签转换规则需要管理员根据预定的策略事先在策略配置模块上配置好。其中所述VLAN标签转换规则具体表现为定义了哪些特征的数据流需要转换为哪种标签,定义示例如下表1所示:
[0034]
【权利要求】
1.一种虚拟机流量重定向的装置,该装置应用于物理服务器上,其中该物理服务器上已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其特征在于,所述装置包括: 策略配置模块,用于根据预定的策略配置同VLAN不同虚拟机之间发送的二层流量报文的VLAN标签转换规则; 报文监测模块,用于动态监测同VLAN不同虚拟机之间的二层流量报文交互; 虚拟交换模块,用于当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的二层流量报文时,根据预先配置的VLAN标签转换规则,将虚拟机发送的二层流量报文中携带的第一 VLAN替换为第二 VLAN,并将该替换为第二 VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
2.如权利要求1所述的装置,其特征在于,所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,按照预定的安全规则对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,将该经过安全处理的二层流量报文携带的第二 VLAN替换为第三VLAN,并将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
3.如权利要求1或2所述的装置,其特征在于,所述虚拟交换模块接收来自外部网络安全设备的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一 VLAN后,根据目的MAC地址对该二层报文进行转发。
4.如权利要求1所述的装置,其特征在于,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向二层流量报文中携带的第一 VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备处理。
5.一种虚拟机流量重定向的方法,所述方法应用于物理服务器上,其中该物理服务器已创建一个或者多个虚拟机,并且为虚拟机已分配相应的硬件资源,其特征在于,所述方法包括: 步骤31,根据预定的策略,通过策略配置模块为同VLAN不同虚拟机之间发送的二层流量报文配置VLAN标签转换规则; 步骤32,通过报文监测模块监测是否存在同VLAN内不同虚拟机之间发送的二层流量报文,如果是,则进行步骤33; 步骤33,根据预设VLAN标签转换规则,通过虚拟交换模块将该二层流量报文中携带的第一 VLAN替换为第二 VLAN,且对该替换为第二 VLAN的二层流量报文发送到外部网络安全设备进行安全处理。
6.如权利要求4所述的方法,其特征在于,在所述步骤33之后,还包括: 所述外部网络安全设备接收来自虚拟交换模块发送的二层流量报文,并按照预定的安全规则,对该二层流量报文进行安全处理,并根据预设的VLAN标签转换规则,并将该经过安全处理的二层流量报文携带的第二 VLAN替换为第三VLAN,然后将该替换为第三VLAN的二层流量报文发送给虚拟交换模块。
7.如权利要求4或5所述的方法,其特征在于,所述虚拟交换模块接收来自外部网络安全设备发送的经过安全处理的二层流量报文,并将该二层流量报文内携带的第三VLAN替换为原始的第一 VLAN 后,根据目的MAC地址对该二层报文进行转发。
8.如权利要求5所述的方法,其特征在于,当所述报文监测模块监测到存在同VLAN不同虚拟机之间发送的反向二层流量报文时,所述虚拟交换模块根据预先配置的VLAN标签转换规则,将该反向报文中携带的第一 VLAN替换为第三VLAN,确保反向报文同样经过外部网络安全设备 处理。
【文档编号】H04L29/06GK103973578SQ201310044891
【公开日】2014年8月6日 申请日期:2013年1月31日 优先权日:2013年1月31日
【发明者】孙松儿, 韩小平 申请人:杭州华三通信技术有限公司