一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)�,該方法包括步驟:多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上����;在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻;通過(guò)防火墻控制虛擬機(jī)的IP包交換���;由所述虛擬機(jī)��、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)�,使得VLAN的數(shù)量突破現(xiàn)有技術(shù)中4096個(gè)的限制��,并可以根據(jù)需要實(shí)時(shí)動(dòng)態(tài)變化�����。
【專利說(shuō)明】—種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算【技術(shù)領(lǐng)域】,尤其涉及一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)�。
【背景技術(shù)】
[0002]以虛擬化為基礎(chǔ)的云計(jì)算技術(shù)是IT行業(yè)的一場(chǎng)技術(shù)革命,已經(jīng)成為了 IT行業(yè)未來(lái)發(fā)展的方向�����,這種趨勢(shì)使得IT基礎(chǔ)架構(gòu)的運(yùn)營(yíng)專業(yè)化程度不斷集中和提高���,從而對(duì)基礎(chǔ)架構(gòu)層面,特別是網(wǎng)絡(luò)層面提出了更高的要求����。其中的一個(gè)要求就是如何實(shí)現(xiàn)一個(gè)大規(guī)模虛擬機(jī)間的高效,安全地互聯(lián)互通網(wǎng)絡(luò)���。
[0003]現(xiàn)有技術(shù)中的處理方法是在服務(wù)器內(nèi)部虛擬出一個(gè)虛擬機(jī)交換機(jī)����,虛擬交換機(jī)在主機(jī)內(nèi)部提供了多個(gè)網(wǎng)卡的互聯(lián)以及為不同的網(wǎng)卡設(shè)定不同的VLAN標(biāo)簽功能�����。虛擬交換機(jī)與物理交換機(jī)間再級(jí)聯(lián)起來(lái)組成一個(gè)完整的網(wǎng)絡(luò)環(huán)境。但VLAN ID有4096的個(gè)數(shù)限制��,在云計(jì)算環(huán)境通常擁有數(shù)以億計(jì)的設(shè)備�,這個(gè)VLAN的數(shù)量明顯不夠,而且在虛擬機(jī)交換機(jī)配置VLAN后���,在物理交換機(jī)上也需要做相應(yīng)的配置更改后才聯(lián)合工作,這與云計(jì)算所要求的實(shí)時(shí)動(dòng)態(tài)變更是矛盾的�。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是提供一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)���,該方法包括步驟:多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上�;在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻����;通過(guò)防火墻控制虛擬機(jī)的IP包交換�;由所述虛擬機(jī)����、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)�,使得VLAN的數(shù)量突破現(xiàn)有技術(shù)中4096個(gè)的限制��,并可以根據(jù)需要實(shí)時(shí)動(dòng)態(tài)變化���。
[0005]根據(jù)本發(fā)明的一個(gè)方面�����,提供一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng)��,包括:
[0006]虛擬機(jī)控制單元,用于控制虛擬機(jī)的運(yùn)行并為虛擬機(jī)分配IP地址�����,發(fā)送IP包和/或接收IP包��;
[0007]防火墻����,用于控制每個(gè)虛擬機(jī)的IP包交換���;
[0008]物理機(jī)控制單元���,用于控制物理機(jī)的運(yùn)行并為物理機(jī)分配IP地址����,根據(jù)防火墻的控制對(duì)IP包進(jìn)行處理����;
[0009]由所述虛擬機(jī)��、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)��。
[0010]在上述系統(tǒng)中�,所述防火墻控制每個(gè)虛擬機(jī)的IP包交換包括:
[0011 ] 物理機(jī)控制單元為每個(gè)物理機(jī)分配IP地址��;
[0012]虛擬機(jī)控制單元為每個(gè)虛擬機(jī)分配IP地址�����;
[0013]防火墻控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式��;
[0014]防火墻控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式���;
[0015]當(dāng)所述物理機(jī)接收到IP包后,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)防火墻控制該IP包的發(fā)送方式�����。
[0016]在上述系統(tǒng)中����,所述IP包的發(fā)送方式包括:發(fā)送、內(nèi)部轉(zhuǎn)發(fā)����、阻止中的至少一種�����。
[0017]在上述系統(tǒng)中���,當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí),通過(guò)所述防火墻動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換��。
[0018]根據(jù)本發(fā)明的另一個(gè)方面����,提供一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法����,包括步驟:
[0019]S1�����、多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上�����;
[0020]S2����、在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻����;
[0021]S3�、通過(guò)防火墻控制每個(gè)虛擬機(jī)的IP包交換�;
[0022]S4���、由所述虛擬機(jī)���、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)��。
[0023]在上述方法中�����,所述步驟S3中通過(guò)防火墻控制每個(gè)虛擬機(jī)的IP包交換包括步驟:
[0024]S301�����、為每個(gè)物理機(jī)分配IP地址��;
[0025]S302��、為每個(gè)虛擬機(jī)分配IP地址�����;
[0026]S303���、通過(guò)防火墻控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式�����;
[0027]S304、通過(guò)防火墻控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式�����;
[0028]S305,當(dāng)所述物理機(jī)接收到IP包后����,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)防火墻控制該IP包的發(fā)送方式�����。
[0029]在上述方法中���,所述IP包的發(fā)送方式包括:發(fā)送��、內(nèi)部轉(zhuǎn)發(fā)��、阻止中的至少一種。
[0030]在上述方法中�����,當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí)�,通過(guò)所述防火墻動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換�����。
[0031]本發(fā)明提供一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法及系統(tǒng)�����,該方法包括步驟:多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上���;在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻���;通過(guò)防火墻控制虛擬機(jī)的IP包交換����;由所述虛擬機(jī)���、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò),使得VLAN的數(shù)量突破現(xiàn)有技術(shù)中4096個(gè)的限制,并可以根據(jù)需要實(shí)時(shí)動(dòng)態(tài)變化�����。
【專利附圖】
【附圖說(shuō)明】
[0032]圖1是本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng)的示意圖;
[0033]圖2是本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng)的系統(tǒng)結(jié)構(gòu)示意圖��;
[0034]圖3是本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法的處理流程圖;
[0035]圖4是本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法的子流程圖���。
【具體實(shí)施方式】
[0036]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了���,下面結(jié)合【具體實(shí)施方式】并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)該理解�����,這些描述只是示例性的�,而并非要限制本發(fā)明的范圍。此外�����,在以下說(shuō)明中�,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念�����。
[0037]現(xiàn)有技術(shù)中的處理方法是在服務(wù)器內(nèi)部虛擬出一個(gè)虛擬機(jī)交換機(jī),虛擬交換機(jī)在主機(jī)內(nèi)部提供了多個(gè)網(wǎng)卡的互聯(lián)以及為不同的網(wǎng)卡設(shè)定不同的VLAN標(biāo)簽功能�。虛擬交換機(jī)與物理交換機(jī)間再級(jí)聯(lián)起來(lái)組成一個(gè)完整的網(wǎng)絡(luò)環(huán)境�。但VLAN ID有4096的個(gè)數(shù)限制����,在云計(jì)算環(huán)境通常擁有數(shù)以億計(jì)的設(shè)備�,這個(gè)VLAN的數(shù)量明顯不夠��,而且在虛擬機(jī)交換機(jī)配置VLAN后,在物理交換機(jī)上也需要做相應(yīng)的配置更改后才聯(lián)合工作�����,這與云計(jì)算所要求的實(shí)時(shí)動(dòng)態(tài)變更是矛盾��。而本發(fā)明中提出了一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法����。
[0038]實(shí)施方式一
[0039]圖1是本發(fā)明中一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng)的示意圖,如圖1所示���,本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng)具體包括:
[0040]虛擬機(jī)控制單元101����,用于控制虛擬機(jī)的運(yùn)行并為虛擬機(jī)分配IP地址����,發(fā)送IP包和/或接收IP包�;
[0041]防火墻102����,用于控制每個(gè)虛擬機(jī)的IP包交換��;以及
[0042]物理機(jī)控制單元103��,用于控制物理機(jī)的運(yùn)行并為物理機(jī)分配IP地址�,根據(jù)防火墻102的控制對(duì)IP包進(jìn)行處理;
[0043]由所述虛擬機(jī)、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)��。
[0044]關(guān)于所述防火墻102對(duì)每個(gè)虛擬機(jī)的IP包交換進(jìn)行的控制�����,以下具體進(jìn)行說(shuō)明��。首先����,物理機(jī)控制單元103為每個(gè)物理機(jī)分配IP地址�。然后���,虛擬機(jī)控制單元101為每個(gè)虛擬機(jī)分配的IP地址�。然后���,防火墻102控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式��。本發(fā)明中�,IP包的發(fā)送方式包括:發(fā)送��、內(nèi)部轉(zhuǎn)發(fā)�����、阻止中的至少一種����。另外��,防火墻102控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式���。
[0045]當(dāng)所述物理機(jī)接收到IP包后,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)防火墻102控制該IP包的發(fā)送方式�����。同上所述��,本發(fā)明中�,IP包的發(fā)送方式包括:發(fā)送�����、內(nèi)部轉(zhuǎn)發(fā)����、阻止中的至少一種。
[0046]以下為了便于理解����,結(jié)合圖2進(jìn)行進(jìn)一步說(shuō)明。圖2是本發(fā)明的實(shí)施例一的系統(tǒng)結(jié)構(gòu)示意圖����。
[0047]如圖2所示�,物理機(jī)I內(nèi)部設(shè)有虛擬機(jī)1����、虛擬機(jī)2���,物理機(jī)2內(nèi)部設(shè)有虛擬機(jī)3�����、虛擬機(jī)4�,物理機(jī)I和物理機(jī)2之間通過(guò)廣域網(wǎng)絡(luò)連接,物理機(jī)I和物理機(jī)2上分別運(yùn)行防火墻102,當(dāng)要控制虛擬機(jī)1�����、虛擬機(jī)2�����、虛擬機(jī)3�、虛擬機(jī)4之間的IP包交互時(shí)��,則首先物理機(jī)控制單元103需要進(jìn)行如下設(shè)置:
[0048]一�、為物理機(jī)I配置IP地址IPA ��;
[0049]二��、為物理機(jī)2配置IP地址IPB。
[0050]接著�,虛擬機(jī)控制單元101為每個(gè)虛擬機(jī)分配IP地址.即,圖2中的上述虛擬機(jī)3���、虛擬機(jī)4設(shè)置如下:
[0051]三��、為虛擬機(jī)I配置IP地址IPl ���;
[0052]四、為虛擬機(jī)2配置IP地址IP2 �;
[0053]五、為虛擬機(jī)3配置IP地址IP3 �;
[0054]六、為虛擬機(jī)4配置IP地址IP4�。
[0055]由此���,虛擬機(jī)1����、虛擬機(jī)2�����、虛擬機(jī)3�、虛擬機(jī)4構(gòu)成三層虛擬網(wǎng)絡(luò)中的第一層��;物理機(jī)I和物理機(jī)2構(gòu)成三層虛擬網(wǎng)絡(luò)中的第二層,物理機(jī)I和物理機(jī)2之間通過(guò)廣域網(wǎng)絡(luò)構(gòu)成三層虛擬網(wǎng)絡(luò)中的第三層�。[0056]圖2中,按照上述方式完成設(shè)置之后�����,物理機(jī)I上的防火墻102按照如下方式控制IP包的交互:
[0057]a)所有數(shù)據(jù)源為IPl或者IP2的包都允許從物理機(jī)I上發(fā)出去����;
[0058]b)所有數(shù)據(jù)源為IP3或者IP4的包都允許發(fā)到物理機(jī)I上來(lái)�����;
[0059]c)數(shù)據(jù)源為IPl目標(biāo)為IP2的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā)�����;
[0060]d)數(shù)據(jù)源為IP2目標(biāo)為IPl的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā);
[0061]并且��,物理機(jī)2上的防火墻102按照如下方式控制IP包的交互:
[0062]a)所有數(shù)據(jù)源為IP3或者IP4的包都允許從物理機(jī)2上發(fā)出去;
[0063]b)所有數(shù)據(jù)源為IPl或者IP2的包都允許發(fā)到物理機(jī)2上來(lái)�����;
[0064]c)數(shù)據(jù)源為IP3目標(biāo)為IP4的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā)�����;
[0065]d)數(shù)據(jù)源為IP4目標(biāo)為IP3的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā)�;
[0066]上述系統(tǒng)中,當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí)����,通過(guò)所述防火墻102動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換��。關(guān)于這些���,將在第二實(shí)施方式中進(jìn)行說(shuō)明����。
[0067]以下,對(duì)本發(fā)明的基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法的具體處理流程進(jìn)行說(shuō)明��。
[0068]圖3是本發(fā)明的一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法的處理流程圖��,具體步驟如下:
[0069]在步驟SI中,多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上����;
[0070]在步驟S2中,在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻����;
[0071]在步驟S3中���,通過(guò)防火墻控制每個(gè)虛擬機(jī)的IP包交換;
[0072]在步驟S4中��,由所述虛擬機(jī)�、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)。
[0073]關(guān)于上述步驟S3���,以下進(jìn)一步進(jìn)行具體說(shuō)明�。
[0074]圖4是對(duì)本發(fā)明的上述步驟S3進(jìn)行具體說(shuō)明的子流程圖����,如圖4所示���,進(jìn)一步執(zhí)行如下步驟:
[0075]首先,S301中����,為每個(gè)物理機(jī)分配IP地址��。以下結(jié)合圖2進(jìn)行具體說(shuō)明�。
[0076]如上所述�,圖2是本發(fā)明的一種系統(tǒng)結(jié)構(gòu)示意圖����。如圖2所示����,物理機(jī)I內(nèi)部設(shè)有虛擬機(jī)1�����、虛擬機(jī)2�,物理機(jī)2內(nèi)部設(shè)有虛擬機(jī)3�、虛擬機(jī)4���,物理機(jī)I和物理機(jī)2之間通過(guò)廣域網(wǎng)絡(luò)連接��,物理機(jī)I和物理機(jī)2上分別運(yùn)行防火墻�����,當(dāng)要控制虛擬機(jī)1、虛擬機(jī)2���、虛擬機(jī)
3����、虛擬機(jī)4之間的IP包交互時(shí)�����,則首先需要進(jìn)行如下設(shè)置:
[0077]一�、為物理機(jī)I配置IP地址IPA ;
[0078]二����、為物理機(jī)2配置IP地址IPB����。
[0079]接著�,在S302中�,為每個(gè)虛擬機(jī)分配IP地址���,即�����,圖2中的上述虛擬機(jī)3��、虛擬機(jī)4設(shè)置如下:
[0080]三���、為虛擬機(jī)I配置IP地址IPl ;
[0081]四�、為虛擬機(jī)2配置IP地址IP2 �����;
[0082]五、為虛擬機(jī)3配置IP地址IP3 ��;
[0083]六����、為虛擬機(jī)4配置IP地址IP4。
[0084]由此��,虛擬機(jī)1��、虛擬機(jī)2�����、虛擬機(jī)3���、虛擬機(jī)4構(gòu)成三層虛擬網(wǎng)絡(luò)中的第一層;物理機(jī)I和物理機(jī)2構(gòu)成三層虛擬網(wǎng)絡(luò)中的第二層���,物理機(jī)I和物理機(jī)2之間通過(guò)廣域網(wǎng)絡(luò)構(gòu)成三層虛擬網(wǎng)絡(luò)中的第三層�。
[0085]接著�,在S303中���,通過(guò)防火墻控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式��。IP包的發(fā)送方式例如包括:發(fā)送�、內(nèi)部轉(zhuǎn)發(fā)��、阻止中的至少一種���。
[0086]然后���,在S304中�����,通過(guò)防火墻控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式。同上���,IP包的發(fā)送方式例如包括:發(fā)送��、內(nèi)部轉(zhuǎn)發(fā)���、阻止中的至少一種。
[0087]然后�,在S305中����,當(dāng)所述物理機(jī)接收到IP包后,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)防火墻控制該IP包的發(fā)送方式��。同上�,IP包的發(fā)送方式例如包括:發(fā)送�����、內(nèi)部轉(zhuǎn)發(fā)���、阻止中的至少一種。
[0088]具體而言���,例如���,圖2中�,物理機(jī)I上的防火墻按照如下方式控制IP包的交互:
[0089]a)所有數(shù)據(jù)源為IPl或者IP2的包都允許從物理機(jī)I上發(fā)出去�;
[0090]b)所有數(shù)據(jù)源為IP3或者IP4的包都允許發(fā)到物理機(jī)I上來(lái);
[0091]c)數(shù)據(jù)源為IPl目標(biāo)為IP2的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā)�;
[0092]d)數(shù)據(jù)源為IP2目標(biāo)為IPl的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā);
[0093]然后����,物理機(jī)2上的防火墻按照如下方式控制IP包的交互:
[0094]a)所有數(shù)據(jù)源為IP3或者IP4的包都允許從物理機(jī)2上發(fā)出去����;
[0095]b)所有數(shù)據(jù)源為IPl或者IP2的包都允許發(fā)到物理機(jī)2上來(lái)����;
[0096]c)數(shù)據(jù)源為IP3目標(biāo)為IP4的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā);
[0097]d)數(shù)據(jù)源為IP4目標(biāo)為IP3的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā)�����;
[0098]當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí)����,通過(guò)所述防火墻動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換。以下�,為了便于理解�����,簡(jiǎn)單示出一例進(jìn)行說(shuō)明���。
[0099]第二實(shí)施方式:
[0100]當(dāng)如圖2所示的虛擬三層網(wǎng)絡(luò)中虛擬機(jī)I和虛擬機(jī)4之間的交互狀態(tài)需要改變���,例如由相互連通變?yōu)椴煌〞r(shí)���,上述實(shí)施方式中的物理機(jī)1�、2上的防火墻分別按照如下方式控制IP包的交互:
[0101]物理機(jī)I上的防火墻變?yōu)榘凑障率龇绞娇刂艻P包的交互:
[0102]a)所有數(shù)據(jù)源為IPl或者IP2的包都允許從物理機(jī)I上發(fā)出去�����;
[0103]b)所有數(shù)據(jù)源為IP3或者IP4的包都允許發(fā)到物理機(jī)I上來(lái)�;
[0104]c)數(shù)據(jù)源為IPl目標(biāo)為IP2的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā);
[0105]d)數(shù)據(jù)源為IP2目標(biāo)為IPl的包在物理機(jī)I內(nèi)轉(zhuǎn)發(fā);
[0106]e)數(shù)據(jù)源為IPl目標(biāo)為IP4的包不允許發(fā)出去��;
[0107]物理機(jī)2上的防火墻變?yōu)榘凑障率龇绞娇刂艻P包的交互:
[0108]a)所有數(shù)據(jù)源為IP3或者IP4的包都允許從物理機(jī)2上發(fā)出去�;
[0109]b)所有數(shù)據(jù)源為IPl或者IP2的包都允許發(fā)到物理機(jī)2上來(lái)����;
[0110]c)數(shù)據(jù)源為IP3目標(biāo)為IP4的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā)�;
[0111]d)數(shù)據(jù)源為IP4目標(biāo)為IP3的包在物理機(jī)2內(nèi)轉(zhuǎn)發(fā);
[0112]e)數(shù)據(jù)源為IP4目標(biāo)為IPl的包不允許發(fā)出去�。
[0113]由此�����,本發(fā)明通過(guò)由所述虛擬機(jī)�、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)�����,使得VLAN的數(shù)量突破現(xiàn)有技術(shù)中4096個(gè)的限制�����,并可以根據(jù)需要實(shí)時(shí)動(dòng)態(tài)變化���。
[0114]應(yīng)當(dāng)理解的是�����,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說(shuō)明或解釋本發(fā)明的原理,而不構(gòu)成對(duì)本發(fā)明的限制���。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改���、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。此外����,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界�、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例���。
【權(quán)利要求】
1.一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)系統(tǒng),其特征在于�,包括: 虛擬機(jī)控制單元�����,用于控制虛擬機(jī)的運(yùn)行并為虛擬機(jī)分配IP地址�,發(fā)送IP包和/或接收IP包; 防火墻���,用于控制每個(gè)虛擬機(jī)的IP包交換�����; 物理機(jī)控制單元,用于控制物理機(jī)的運(yùn)行并為物理機(jī)分配IP地址����,根據(jù)防火墻的控制對(duì)IP包進(jìn)行處理����; 由所述虛擬機(jī)���、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于���, 所述防火墻按照如下方式控制所述每個(gè)虛擬機(jī)的IP包交換: 所述物理機(jī)控制單元為每個(gè)物理機(jī)分配IP地址����; 所述虛擬機(jī)控制單元為每個(gè)虛擬機(jī)分配IP地址�����; 所述防火墻控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式����; 所述防火墻控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式��; 當(dāng)所述物理機(jī)接收到IP包后,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)所述防火墻控制該IP包的發(fā)送方式���。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)��,其特征在于���, 所述IP包的發(fā)送方式包括:發(fā)送、內(nèi)部轉(zhuǎn)發(fā)���、阻止中的至少一種�����。
4.根據(jù)權(quán)利要求1至3任意一項(xiàng)所述的系統(tǒng)����,其特征在于�, 當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí),通過(guò)所述防火墻動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換��。
5.一種基于防火墻的三層網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)方法����,其特征在于�����,包括步驟: 步驟S1��、多個(gè)虛擬機(jī)運(yùn)行在至少一個(gè)物理機(jī)上����; 步驟S2����、在所述至少一個(gè)物理機(jī)上運(yùn)行防火墻�; 步驟S3�����、通過(guò)防火墻控制每個(gè)虛擬機(jī)的IP包交換����; 步驟S4、由所述虛擬機(jī)�、物理機(jī)和物理機(jī)之間的網(wǎng)絡(luò)構(gòu)成虛擬的三層網(wǎng)絡(luò)����。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于����, 所述步驟S3進(jìn)一步包括如下步驟: 步驟S301���、為每個(gè)物理機(jī)分配IP地址���; 步驟S302��、為每個(gè)虛擬機(jī)分配IP地址����; 步驟S303����、通過(guò)防火墻控制從每個(gè)虛擬機(jī)的IP地址發(fā)送出的IP包的發(fā)送方式���; 步驟S304�����、通過(guò)防火墻控制每個(gè)目的地址為特定虛擬機(jī)的IP地址的IP包的發(fā)送方式�; 步驟S305,當(dāng)所述物理機(jī)接收到IP包后��,根據(jù)該IP包的數(shù)據(jù)源地址和目的地址通過(guò)防火墻控制該IP包的發(fā)送方式��。
7.根據(jù)權(quán)利要求6所述的方法�����,其特征在于�����, 所述IP包的發(fā)送方式包括:發(fā)送、內(nèi)部轉(zhuǎn)發(fā)�����、阻止中的至少一種。
8.根據(jù)權(quán)利要求5至7任意一項(xiàng)所述的方法����,其特征在于��, 當(dāng)所述虛擬機(jī)和/或物理機(jī)的狀態(tài)發(fā)生變化時(shí)�,通過(guò)所述防火墻動(dòng)態(tài)地修改并控制每個(gè)虛擬機(jī)的IP包交換。
【文檔編號(hào)】H04L29/06GK103685235SQ201310580732
【公開(kāi)日】2014年3月26日 申請(qǐng)日期:2013年11月18日 優(yōu)先權(quán)日:2013年11月18日
【發(fā)明者】徐安 申請(qǐng)人:漢柏科技有限公司