基本虛擬網(wǎng)絡(luò)環(huán)境內(nèi)的服務(wù)插入的制作方法
【專利摘要】一種基本虛擬網(wǎng)絡(luò)環(huán)境內(nèi)的服務(wù)插入���。本發(fā)明提供了一種處理系統(tǒng)包括:第一服務(wù)器,其具有第一服務(wù)模塊�;以及第一服務(wù)交換機(jī);其中�����,第一服務(wù)器和第一服務(wù)交換機(jī)被配置為用于在虛擬機(jī)與虛擬交換機(jī)之間邏輯耦合��;其中�,第一服務(wù)器包括第一通信接口和第二通信接口,第二通信接口被配置為與第一服務(wù)交換機(jī)通信�����。第二通信接口與在虛擬交換機(jī)上的多個(gè)基于虛擬機(jī)的網(wǎng)絡(luò)段相關(guān)聯(lián)�,多個(gè)基于虛擬機(jī)的網(wǎng)絡(luò)段分別與多個(gè)虛擬機(jī)對(duì)應(yīng);其中��,第一通信接口與在虛擬交換機(jī)上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)����。此處理系統(tǒng)可以在同一網(wǎng)絡(luò)上的多個(gè)虛擬機(jī)間插入網(wǎng)絡(luò)和安全服務(wù)。
【專利說明】
基本虛擬網(wǎng)絡(luò)環(huán)境內(nèi)的服務(wù)插入
技術(shù)領(lǐng)域
[0001 ]本申請(qǐng)涉及虛擬計(jì)算機(jī)環(huán)境內(nèi)的服務(wù)插入�����,例如�,企業(yè)虛擬化服務(wù)器群、私有數(shù)據(jù)中心���、公有云(public cloud)或混合云等����。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)功能虛擬化(Network Funct1n Virtualizat1n�,簡(jiǎn)稱為NFV)中,網(wǎng)絡(luò)服務(wù)是虛擬化的��。在某些情況下,能夠?qū)⒕W(wǎng)絡(luò)服務(wù)部署為與虛擬機(jī)(Virtual Machine�����,簡(jiǎn)稱為VM)相鄰�����,并且在數(shù)據(jù)中心內(nèi)的任何兩個(gè)VM之間或者在任何VM與互聯(lián)網(wǎng)之間的通信上提供服務(wù)��。在虛擬化計(jì)算環(huán)境中����,某些軟件定義網(wǎng)絡(luò)(Software-defined NetworkingJI^ISSND)可以用于實(shí)現(xiàn)服務(wù)插入。
[0003]小型數(shù)據(jù)中心通常不需要SND解決方案來管理其網(wǎng)絡(luò)���。然而�,部署虛擬化服務(wù)依然需要引入SND解決方案���。
【發(fā)明內(nèi)容】
[0004]在本發(fā)明中描述的一個(gè)或多個(gè)實(shí)施方案提供了一種技術(shù)����,用于將虛擬化服務(wù)在無需任何SND支持的前提下,插入基本的虛擬化計(jì)算環(huán)境內(nèi)����。
[0005]—種處理系統(tǒng),包括:第一服務(wù)器�,該第一服務(wù)器具有第一服務(wù)模塊;以及第一服務(wù)交換機(jī);其中��,所述第一服務(wù)器和所述第一服務(wù)交換機(jī)被配置為用于在多個(gè)虛擬機(jī)與虛擬交換機(jī)之間提供邏輯耦合;其中��,所述第一服務(wù)器包括第一通信接口和第二通信接口����,所述第二通信接口被配置為與所述第一服務(wù)交換機(jī)通信����。
[0006]可選地,所述第一通信接口被配置為與所述虛擬交換機(jī)通信�����。
[0007]可選地��,所述第一服務(wù)交換機(jī)包括第三通信接口���,其被配置為與所述多個(gè)虛擬機(jī)通信��。第三通信接口可以包括子接口�����,用于與相應(yīng)的虛擬機(jī)通信����。
[0008]可選地,所述第一服務(wù)交換機(jī)被配置為提供基于VM的網(wǎng)絡(luò)段�。
[0009]可選地,所述基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng)�。
[0010]可選地,所述虛擬交換機(jī)也被配置為提供原始網(wǎng)絡(luò)段���,其中���,所述第一服務(wù)器提供映射,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段�。
[0011 ] 可選地,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段是基于VLAN���、網(wǎng)橋�����、VMware端口組��。
[0012]可選地��,一個(gè)虛擬機(jī)被配置為通過所述第一服務(wù)器與另一個(gè)虛擬機(jī)通信���。
[0013]可選地�����,所述第一服務(wù)模塊包括防火墻、IPS��、WAF���、QoS或DPI��。
[0014]可選地�,所述第一服務(wù)模塊被配置為提供虛擬化的功能����。
[0015]可選地,處理系統(tǒng)進(jìn)一步包括所述虛擬交換機(jī)。
[0016]可選地���,所述虛擬交換機(jī)包括Linux網(wǎng)橋��、Open vSwitch��、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)�����。
[0017]可選地��,所述第一通信接口被配置為通過第一trunk接口與所述虛擬交換機(jī)通信��,并且所述第二通信接口被配置為通過第二 trunk接口與所述第一服務(wù)交換機(jī)通信���。
[0018]可選地,處理系統(tǒng)進(jìn)一步包括:第二服務(wù)器��,其具有第二服務(wù)模塊���;以及第二服務(wù)交換機(jī);其中�,所述第二服務(wù)器和所述第二服務(wù)交換機(jī)被配置為用于在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合����。
[0019]可選地�����,所述第一服務(wù)器�����、所述第一服務(wù)交換機(jī)����、所述第二服務(wù)器以及所述第二服務(wù)交換機(jī)在邏輯上串聯(lián)耦合����。
[0020]可選地�����,所述服務(wù)器被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)�����。
[0021]一種數(shù)據(jù)中心包括處理系統(tǒng)�、附加處理系統(tǒng)��、以及物理交換機(jī)����,其中����,所述處理系統(tǒng)和所述附加處理系統(tǒng)與所述物理交換機(jī)耦合,并且��,所述附加處理系統(tǒng)包括:第二服務(wù)器���,其具有第二服務(wù)模塊���;以及第二服務(wù)交換機(jī);其中,所述第二服務(wù)器和所述第二服務(wù)交換機(jī)被配置為用于在附加多個(gè)虛擬機(jī)與附加虛擬交換機(jī)之間邏輯耦合���。
[0022]—種實(shí)現(xiàn)處理系統(tǒng)的方法包括:提供第一服務(wù)器�����,其具有第一服務(wù)模塊;提供第一服務(wù)交換機(jī)����;以及在多個(gè)虛擬機(jī)與虛擬交換機(jī)之間邏輯耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī);其中,所述第一服務(wù)器包括第一通信接口和第二通信接口��,所述第二通信接口被配置為與所述第一服務(wù)交換機(jī)通信����。
[0023]可選地,所述第一通信接口被配置為與所述虛擬交換機(jī)通信��。
[0024]可選地��,所述第一服務(wù)交換機(jī)包括第三通信接口�,其被配置為與所述多個(gè)虛擬機(jī)通信。
[0025]可選地����,所述方法還包括在所述第一服務(wù)交換機(jī)上提供基于VM的網(wǎng)絡(luò)段。
[0026]可選地�,所述基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng)。
[0027]可選地��,所述虛擬交換機(jī)被配置為提供原始網(wǎng)絡(luò)段���,其中,所述方法還包括在所述第一服務(wù)器上提供映射�����,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段。
[0028]可選地��,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段系基于VLAN�、網(wǎng)橋、VMware端口組�。
[0029 ] 可選地,所述第一服務(wù)模塊包括防火墻��、IPS�����、WAF���、QoS或DPI���。
[0030]可選地,所述第一服務(wù)模塊被配置為提供虛擬化的功能����。
[0031 ] 可選地,所述虛擬交換機(jī)包括Linux網(wǎng)橋�、Open vSwitch���、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)。
[0032]可選地�����,在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī)的行為包括通過第一 trunk接口連通地耦合所述第一服務(wù)器和所述虛擬交換機(jī)��,并且通過第二 trunk接口連通地耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī)�。
[0033]可選地,所述方法還包括:提供第二服務(wù)器���,其具有第二服務(wù)模塊;提供第二服務(wù)交換機(jī);并且在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合所述第二服務(wù)器和所述第二服務(wù)交換機(jī)�。
[0034]可選地�,所述第一服務(wù)器、所述第一服務(wù)交換機(jī)����、所述第二服務(wù)器以及所述第二服務(wù)交換機(jī)在邏輯上串聯(lián)耦合。
[0035]可選地���,所述方法還包括將所述服務(wù)器配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。
[0036]一種處理系統(tǒng)包括:服務(wù)模塊;第一通信接口���,用于與虛擬交換機(jī)通信��,所述虛擬交換機(jī)被配置為與多個(gè)虛擬機(jī)通信;第二通信接口�,用于與所述虛擬交換機(jī)通信;其中,所述服務(wù)模塊���、所述第一通信接口以及所述第二通信接口是服務(wù)器的一部分;其中�,所述第一通信接口與在所述虛擬交換機(jī)上的多個(gè)基于VM的網(wǎng)絡(luò)段相關(guān)聯(lián)�,所述多個(gè)基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng);其中,所述第二通信接口與在所述虛擬交換機(jī)上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)�����。
[0037]可選地��,所述服務(wù)器包括映射��,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段��。
[0038]可選地�,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段系基于VLAN、網(wǎng)橋��、VMware端口組。
[0039 ] 可選地��,所述服務(wù)模塊包括防火墻�����、IPS�、WAF、QoS或DPI��。
[0040]可選地����,所述服務(wù)模塊被配置為提供虛擬化的功能。
[0041 ]可選地���,處理系統(tǒng)進(jìn)一步包括所述虛擬交換機(jī)�。
[0042]可選地���,所述虛擬交換機(jī)包括Linux網(wǎng)橋��、Open vSwitch�、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)�����。
[0043]可選地,所述第一通信接口被配置為通過第一trunk接口與所述虛擬交換機(jī)通信��,并且所述第二通信接口被配置為通過第二 trunk接口與所述服務(wù)交換機(jī)通信����。
[0044]可選地����,所述服務(wù)器被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。
[0045]一種數(shù)據(jù)中心包括處理系統(tǒng)�����、附加處理系統(tǒng)����、以及物理交換機(jī),其中���,所述處理系統(tǒng)和所述附加處理系統(tǒng)與所述物理交換機(jī)耦合�����,其中����,所述附加處理系統(tǒng)包括:附加服務(wù)模塊;第三通信接口,用于與附加虛擬交換機(jī)通信�,所述虛擬交換機(jī)被配置為與附加多個(gè)虛擬機(jī)通信;以及第四通信接口�,用于與所述附加虛擬交換機(jī)通信;其中,所述附加服務(wù)模塊��、所述第三通信接口以及所述第四通信接口是附加服務(wù)器的一部分��。
[0046]—種實(shí)現(xiàn)系統(tǒng)處理的方法包括:提供服務(wù)器��,其具有服務(wù)模塊;第一通信接口 ���;以及第二通信接口���,其中,所述第一通信接口被配置為用于與虛擬交換機(jī)通信���,其中�,所述第二通信接口被配置為用于與所述虛擬交換機(jī)通信��,所述虛擬交換機(jī)被配置為與多個(gè)虛擬機(jī)通信;以及通過使:所述第一通信接口與在所述虛擬交換機(jī)上的多個(gè)基于VM的網(wǎng)絡(luò)段相關(guān)聯(lián)�����,所述多個(gè)基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng);并且所述第二通信接口與在所述虛擬交換機(jī)上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)���,邏輯耦合所述服務(wù)器和所述虛擬交換機(jī)。
[0047]可選地���,所述方法還包括在所述虛擬交換機(jī)上提供基于VM的網(wǎng)絡(luò)段��。
[0048]可選地���,所述方法還包括在所述服務(wù)器上提供映射,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段����。
[0049]可選地,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段基于VLAN���、網(wǎng)橋���、VMware端口組���。
[0050]可選地,所述服務(wù)模塊包括防火墻��、IPS���、WAF���、QoS或DPI。
[0051 ]可選地���,所述服務(wù)模塊被配置為提供虛擬化的功能����。
[0052]可選地���,所述虛擬交換機(jī)包括Linux網(wǎng)橋�����、Open vSwitch�����、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)����。
[0053]可選地,邏輯耦合所述服務(wù)器和所述虛擬交換機(jī)的行為包括通過第一trunk接口連通地耦合所述服務(wù)器和所述虛擬交換機(jī)�����,并且通過第二 trunk接口連通地耦合所述服務(wù)器和所述虛擬交換機(jī)�。
[0054]可選地,所述方法還包括將所述服務(wù)器配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)�����。
[0055]通過以下【具體實(shí)施方式】部分的詳細(xì)描述���,本發(fā)明其他和進(jìn)一步的方面和特征將變的顯而易見。
【附圖說明】
[0056]附圖示出了實(shí)施方式的設(shè)計(jì)和用途����,其中,相似的元件由相同的參考數(shù)字表示�����。這些附圖不一定按比例繪出。為了更好地理解本發(fā)明和本發(fā)明獲得的優(yōu)點(diǎn)和目的�����,將更具體地描述本發(fā)明的實(shí)施方式�����,并在附圖中示出����。這些附圖僅僅描述了典型的實(shí)施方式,并不用于限制本發(fā)明的保護(hù)范圍����。
[0057]圖1示出了沒有服務(wù)插入的虛擬機(jī)(VM)部署場(chǎng)景;
[0058]圖2A示出了根據(jù)某些實(shí)施方式的處理系統(tǒng)�;
[0059]圖2B示出了圖2A所示處理系統(tǒng)的變化;
[0060]圖3示出了根據(jù)其他實(shí)施方式的另一個(gè)處理系統(tǒng)��;
[0061 ]圖4示出了根據(jù)其他實(shí)施方式的另一個(gè)處理系統(tǒng)�;
[0062]圖5示出了根據(jù)其他實(shí)施方式的另一個(gè)處理系統(tǒng);以及
[0063]圖6示出了可以實(shí)現(xiàn)在本發(fā)明中描述的實(shí)施方式的專業(yè)處理系統(tǒng)的一個(gè)實(shí)例���。
【具體實(shí)施方式】
[0064]在后文中參照附圖���,描述各種實(shí)施方式�。需要注意的是�,附圖不一定按比例繪出,并且在所有附圖中�����,相似結(jié)構(gòu)或功能的元件由相似的參考數(shù)字表示�����。還需要注意的是����,附圖僅僅在于幫助理解本發(fā)明的實(shí)施方式����。附圖并非旨在用作本發(fā)明的詳盡描述或者用作對(duì)本發(fā)明的范圍的限制。此外�,示出的實(shí)施方式不需要顯示所有方面或優(yōu)點(diǎn)。即使不這樣顯示或者不這樣明確描述�,結(jié)合特定的實(shí)施方式描述的方面或優(yōu)點(diǎn)也不限于這些實(shí)施方式,還可以在任何其他實(shí)施方式中實(shí)施�����。
[0065]在虛擬化處理系統(tǒng)中,每個(gè)物理服務(wù)器托管一個(gè)或多個(gè)虛擬交換機(jī)以及連接至虛擬交換機(jī)的多個(gè)用戶虛擬機(jī)(VM)�����?���?梢栽谔摂M交換機(jī)上配置多個(gè)廣播域(網(wǎng)絡(luò)段)。在相同網(wǎng)絡(luò)段上的用戶VM可以通過虛擬交換機(jī)彼此通信�。虛擬化網(wǎng)絡(luò)功能/服務(wù)可以在服務(wù)VM(月艮務(wù)器)上運(yùn)行。這些服務(wù)器可以在與其他用戶VM相同的虛擬交換機(jī)上連接�����。然而��,在虛擬交換機(jī)上沒有SDN支持的情況下�,在相同網(wǎng)絡(luò)段上的兩個(gè)用戶VM之間的通信不會(huì)通過服務(wù)器。
[0066]為了說明以上要點(diǎn)��,參照?qǐng)D1����,該圖示出了沒有服務(wù)插入的虛擬機(jī)(VM)部署場(chǎng)景�����。具體地���,該圖顯示了在虛擬化數(shù)據(jù)中心內(nèi)的用戶VM設(shè)置。數(shù)據(jù)中心可以包含多個(gè)物理服務(wù)器����,在圖中顯示了多個(gè)物理服務(wù)器中的一個(gè)服務(wù)器(即,物理服務(wù)器104)��。如圖中所示��,物理服務(wù)器104通過物理連接101連接至數(shù)據(jù)中心網(wǎng)絡(luò)�。在服務(wù)器104上,配置虛擬交換機(jī)100�。虛擬交換機(jī)100可以是單個(gè)虛擬交換機(jī),或者也可以包含多個(gè)子交換機(jī)��。而且��,在物理服務(wù)器104內(nèi)�����,用戶VM 400連接至虛擬交換機(jī)100���。在示出的實(shí)例中���,用戶VM 400屬于不同的用戶網(wǎng)絡(luò)。具體地����,用戶¥111和用戶¥112屬于第一用戶網(wǎng)絡(luò),并且用戶¥121�、用戶¥122以及用戶VM23屬于第二用戶網(wǎng)絡(luò)。因此���,在虛擬交換機(jī)100上配置兩個(gè)相應(yīng)的網(wǎng)絡(luò)段Segl 102和Seg2103����,分別用于第一用戶網(wǎng)絡(luò)和第二用戶網(wǎng)絡(luò)�。結(jié)果,VMll���、VM12連接至網(wǎng)絡(luò)段Segl 103����,并且VM21、VM22以及VM23連接至網(wǎng)絡(luò)段Seg2�����。
[0067]在圖1所示的設(shè)置中��,虛擬交換機(jī)100會(huì)傳輸VM之間的網(wǎng)絡(luò)流量����。如果在相同的虛擬交換機(jī)100上連接新服務(wù)VM,那么以上VM流量將不通過新服務(wù)VM�����。為了在相同的網(wǎng)絡(luò)段上連接的VM之間插入服務(wù)���,虛擬交換機(jī)100需要被配置為支持高級(jí)功能配置����,例如����,流表配置(flow rule configurat1n)。而且���,必須部署附加的控制器模塊(例如���,SDN控制器)用于控制虛擬交換機(jī)100?�;镜奶摂M化數(shù)據(jù)中心可能不具備用來實(shí)現(xiàn)這種服務(wù)的插入的先進(jìn)的虛擬交換機(jī)和SDN解決方案�。
[0068]圖2A示出了根據(jù)一些實(shí)施方式的處理系統(tǒng),尤其示出了一種服務(wù)插入技術(shù)����。如圖中所示,在物理服務(wù)器上配置虛擬交換機(jī)100����。虛擬交換機(jī)100通過物理連接(上行鏈路)101連接至數(shù)據(jù)中心網(wǎng)絡(luò)。通過非限制性實(shí)例��,虛擬交換機(jī)100可以包括Linux網(wǎng)橋���、OpenvSwitch���、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)�。
[0069]在虛擬交換機(jī)100上配置兩個(gè)網(wǎng)絡(luò)段Segl 102和Seg2 103�。因此,虛擬交換機(jī)100具有與在圖1所示的設(shè)置相同或相似的設(shè)置�。需要注意的是,如在本說明書中所使用的��,術(shù)語“段”或“網(wǎng)絡(luò)段”表示網(wǎng)絡(luò)的任何劃分��。例如���,網(wǎng)絡(luò)段可以是廣播域(或廣播域的一部分)����,其是計(jì)算機(jī)或通信網(wǎng)絡(luò)的邏輯劃分���。廣播域可以在相同的段內(nèi)或者可以與其他段橋接�?�?梢允褂肰LAN��、網(wǎng)橋���、端口組或任何其他技術(shù)�,產(chǎn)生段。
[0070]如圖2A中所示��,處理系統(tǒng)包括服務(wù)VM(虛擬機(jī))200����,服務(wù)VM 200通過trunk接口201連接至虛擬交換機(jī)100��。處理系統(tǒng)還包括服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))300���,服務(wù)虛擬交換機(jī)300通過另一個(gè)trunk接口 202連接至服務(wù)器200�。多個(gè)VM 400(在該實(shí)例中�����,VMl 1�、VM12、VM21���、VM22以及VM23)連接至服務(wù)虛擬交換機(jī)300���。在示出的實(shí)施方式中,服務(wù)器200包括:第一通信接口���,用于通過trunk接口 202與服務(wù)交換機(jī)300通信�;以及第二通信接口,用于通過trunk接口 201與虛擬交換機(jī)100通信��。在某些情況下���,第一和第二通信接口可以是相應(yīng)的trunk接 P�����。
[0071 ]如前面參照?qǐng)D1所討論的��,用戶VMll和VM12最初連接至在虛擬交換機(jī)100上的Segl102��。因此�����,在圖2A所示的部署中����,為這些用戶VM����,在服務(wù)交換機(jī)300上配置了2個(gè)基于VM的網(wǎng)絡(luò)段SI和S2 103 JMl I和VM12分別連接至這些段����。而且����。如前面參照?qǐng)D1所討論的,VM21�、VM22以及VM23連接至在虛擬交換機(jī)100上的Seg2 103����。因此,在圖2A所示的部署中��,在服務(wù)交換機(jī)300上配置了3個(gè)基于VM的網(wǎng)絡(luò)段S3�、S4以及S5 301。顆21�、VM22以及VM23分別連接至這些網(wǎng)絡(luò)段。
[0072]在服務(wù)器200上��,在通信接口上配置2個(gè)網(wǎng)絡(luò)段Segl和Seg2 206��,在該通信接口上連接trunk接口 201����。確保Segl和Seg2 206在虛擬交換機(jī)100上具有與Segl 102和Seg2 103相同的網(wǎng)絡(luò)連接性���。而且,在服務(wù)器200上���,在trunk接口 202上配置5個(gè)網(wǎng)絡(luò)段S1����、S2����、S3、S4以及S5 205��。網(wǎng)絡(luò)段205與在服務(wù)交換機(jī)300上的網(wǎng)絡(luò)段301的配置對(duì)應(yīng)�����。這確保每個(gè)VM 400可以到達(dá)在服務(wù)器200上的網(wǎng)絡(luò)段205��。在某些情況下��,服務(wù)器200可以被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)���。在其他情況下�����,映射可以基于其他參數(shù)�。
[0073]由于用戶VMll和用戶VM12原本是連接至在虛擬交換機(jī)100上的Segl102,所以在服務(wù)交換機(jī)(與VMll和VM12對(duì)應(yīng))上的段SI和S2與在服務(wù)器200上的Segl相關(guān)�����。同樣����,段S3�、S4以及S5與在服務(wù)器200上的Seg2相關(guān)�����。服務(wù)器200提供從原始網(wǎng)絡(luò)段映射到VM的網(wǎng)絡(luò)段的映射���?��;谶@個(gè)映射,在發(fā)送給某個(gè)段時(shí),數(shù)據(jù)包被加上相應(yīng)的標(biāo)簽���。例如����,數(shù)據(jù)包可以被服務(wù)交換機(jī)300和/或虛擬交換機(jī)100加標(biāo)簽�。在某些情況下,服務(wù)器200也可以為數(shù)據(jù)包加標(biāo)簽和/或修改數(shù)據(jù)包的標(biāo)簽�����。通過非限制性實(shí)例���,基于VM的網(wǎng)絡(luò)段可以是VLAN�����、網(wǎng)橋����、VMware端口組���。
[0074]如圖2A中所示����,服務(wù)器200包括服務(wù)模塊204。服務(wù)模塊204被配置為提供一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)�。通過非限制性實(shí)例,服務(wù)模塊204可以被配置為提供一個(gè)或多個(gè)防火墻功能��、一個(gè)或多個(gè)入侵防護(hù)功能���、一個(gè)或多個(gè)WAF功能���、一個(gè)或多個(gè)QoS功能、一個(gè)或多個(gè)DPI功能等��、或者前述的任何組合��。而且��,任何或所有上述功能可以是虛擬化的功能�。因此��,服務(wù)模塊204可以包括防火墻��、IPS�、WAF、QoS、DPI或者前述的任何組合����。而且,在某些情況下��,服務(wù)模塊204可以包括映射模塊���,用以提供基于VM的網(wǎng)絡(luò)段與和虛擬交換機(jī)100相關(guān)聯(lián)的原始網(wǎng)絡(luò)段之間的映射��。在其他情況下�,服務(wù)器200可以包括另一個(gè)模塊�,用于提供這種段映射功能。在其他實(shí)施方式中����,服務(wù)器200可以包括多個(gè)服務(wù)模塊204。
[0075]現(xiàn)在描述兩個(gè)數(shù)據(jù)包流實(shí)例����,以說明圖2A的處理系統(tǒng)可以提供服務(wù)插入的方式。在第一實(shí)例中��,用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包并且從互聯(lián)網(wǎng)中接收數(shù)據(jù)包����。在用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包時(shí)�,首先將數(shù)據(jù)包發(fā)送給其網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)����,然后,默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送給在互聯(lián)網(wǎng)上的其他節(jié)點(diǎn)����。在這個(gè)實(shí)例中,可以通過trunk接口連接101到達(dá)默認(rèn)網(wǎng)關(guān)�。而且,在這個(gè)實(shí)例中�����,假設(shè)在虛擬交換機(jī)和VMl2上的所有端口已知默認(rèn)網(wǎng)關(guān)上的接口的MAC地址���。數(shù)據(jù)包離開用戶VM12并且進(jìn)入在服務(wù)交換機(jī)300上的段S2�����。基于MAC查找���,服務(wù)交換機(jī)300通過trunk接口 202轉(zhuǎn)發(fā)數(shù)據(jù)包��,并且數(shù)據(jù)包到達(dá)在服務(wù)器200上的段S2�����。這個(gè)數(shù)據(jù)包路徑由箭頭500表示�����。在服務(wù)器200內(nèi)��,由用于數(shù)據(jù)包的服務(wù)模塊204提供一個(gè)或多個(gè)服務(wù)���,然后�,將數(shù)據(jù)包轉(zhuǎn)發(fā)給段Segl����,由箭頭501表示。然后����,服務(wù)器200通過trunk接口201傳輸數(shù)據(jù)包,然后��,數(shù)據(jù)包在原始虛擬交換機(jī)100上到達(dá)段Segl 102。這個(gè)路徑由箭頭502表示�����。然后���,通過trunk接口 101將數(shù)據(jù)包發(fā)送給默認(rèn)網(wǎng)關(guān)��,由箭頭503表示����。
[0076]在互聯(lián)網(wǎng)上的服務(wù)器返回?cái)?shù)據(jù)包����,返回?cái)?shù)據(jù)包首先到達(dá)默認(rèn)網(wǎng)關(guān)。然后�����,返回?cái)?shù)據(jù)包通過trunk接口連接101在原始虛擬交換機(jī)100上到達(dá)段Segl 102����,由箭頭504表示。將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器200上的Segl,由箭頭505表示����。返回?cái)?shù)據(jù)包穿過服務(wù)模塊204�����,服務(wù)模塊為數(shù)據(jù)包提供一個(gè)或多個(gè)服務(wù)����,由箭頭506表示,����。然后,返回?cái)?shù)據(jù)包在段S2上傳輸并且到達(dá)用戶VM12�,由箭頭507表示。
[0077]如在以上實(shí)例中所示���,通過服務(wù)交換機(jī)300和服務(wù)器200�,將期望的服務(wù)插入在用戶VM12與互聯(lián)網(wǎng)之間的數(shù)據(jù)包路徑內(nèi)����。
[0078]圖2A的處理系統(tǒng)還可以在相同的網(wǎng)絡(luò)段上的兩個(gè)用戶VM之間的通信路徑內(nèi)提供期望的服務(wù),例如����,在用戶VM22與用戶VM23之間的通信路徑內(nèi)�����。在參照?qǐng)D1描述的原始部署中��,用戶VM22和用戶VM23連接至在虛擬交換機(jī)100上的段Seg2 103���。因此,服務(wù)在這種類型的部署中不能插入在用戶VM22與用戶VM23之間的通信路徑內(nèi)�。
[0079]在圖2A所示的配置中,用戶VM22和用戶VM23連接至在服務(wù)交換機(jī)300上的獨(dú)立網(wǎng)絡(luò)段�����。由于用戶VM22和用戶VM23連接至2個(gè)不同的網(wǎng)絡(luò)段S4和S5�,所以這兩個(gè)用戶不能在服務(wù)交換機(jī)300上彼此直接通信。用戶VM23將數(shù)據(jù)包發(fā)送給在服務(wù)交換機(jī)300上的段S5�����,然后��,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器200上的段S5,由數(shù)據(jù)包路徑600表示�����。根據(jù)在服務(wù)模塊204內(nèi)的服務(wù)規(guī)則配置��,服務(wù)模塊204將數(shù)據(jù)包轉(zhuǎn)發(fā)給S4��,由箭頭601表示�����。然后�����,在服務(wù)交換機(jī)300上的段S4內(nèi)�����,將數(shù)據(jù)包發(fā)送給用戶VM22����,由箭頭602表示���。通過服務(wù)交換機(jī)300和基于VM的網(wǎng)絡(luò)段的配置����,在兩個(gè)用戶VM之間的通信可以穿過服務(wù)器200,所述服務(wù)器給在這兩個(gè)用戶VM之間通信的數(shù)據(jù)包提供了期望的服務(wù)���。
[0080]在一些實(shí)施方式中�����,圖2A的處理系統(tǒng)可以通過一種方法實(shí)現(xiàn)��,該方法包括(I)提供服務(wù)器200�����,其具有服務(wù)模塊204; (2)提供服務(wù)交換機(jī)300;以及(3)在現(xiàn)有用戶VM 400與現(xiàn)有虛擬交換機(jī)100之間邏輯耦合所述服務(wù)器200和所述服務(wù)交換機(jī)300����。邏輯耦合的行為可以包括將用戶VM 400從原始虛擬交換機(jī)100移動(dòng)到服務(wù)交換機(jī)300�。而且,邏輯耦合的行為可以包括通過第一 trunk接口連通地親合服務(wù)器200和虛擬交換機(jī)100����,并且通過第二 trunk接口連通地耦合服務(wù)器200和服務(wù)交換機(jī)300�。
[0081 ]該方法還可以包括在服務(wù)交換機(jī)300上產(chǎn)生基于VM的網(wǎng)絡(luò)段�,其與多個(gè)用戶VM400對(duì)應(yīng)。該方法還可以包括在服務(wù)器200上提供映射(例如�,映射模塊),用于將虛擬交換機(jī)100上的原始網(wǎng)絡(luò)段映射到基于VM的網(wǎng)絡(luò)段��?;赩M的網(wǎng)絡(luò)段可以基于VLAN、網(wǎng)橋��、VMware端口組�。該方法還可以包括將服務(wù)器200配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)�����。在一些實(shí)施方式中�,可以提供數(shù)據(jù)包映射配置程序,以配置服務(wù)器200��,以便可以基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)����。
[0082]如圖2A中所示,在服務(wù)VM 200與服務(wù)交換機(jī)300之間配置基于VM的網(wǎng)絡(luò)段�。這些段在VM 400之間提供隔離��。在某些情況下�����,虛擬交換機(jī)(例如����,VMware vSphere分布式交換機(jī)(VDS)等)可以提供一種簡(jiǎn)單的方式���,來通過其私有VLAN支撐來實(shí)現(xiàn)這種類型的隔離���。圖2B示出了圖2A的系統(tǒng)可以通過VDS私有VLAN支撐來實(shí)現(xiàn)的方式,尤其展示出了私有VLAN可以用于為VM產(chǎn)生隔離的方式�。
[0083]私有VLAN可用于某些硬件交換機(jī)和虛擬交換機(jī)上。在某些情況下��,私有VLAN配置可以包含幾個(gè)VLAN/段的定義�。例如,私有VLAN實(shí)現(xiàn)方式(例如�,在VMwarevSphere分布式交換機(jī)(VDS)上的實(shí)現(xiàn)方式)可以包括:
[0084]Primary PVLAN:在這個(gè)段內(nèi)的VM可以與外部以及在Secondary PVLAN內(nèi)VM的通?目;
[0085]Isolated Secondary PVLAN:在這個(gè)VLAN內(nèi)的VM彼此隔離,僅僅可以與PrimaryPVLAN通信�����;
[0086]Shared Secondary PVLAN:在這個(gè)VLAN內(nèi)的VM可以與Primary PVLAN以及在相同的Secondary PVLAN內(nèi)的VM通信。
[0087]在某些情況下�����,僅僅配置Primary PVLAN和Isolated Secondary PVLAN即可實(shí)現(xiàn)期望的服務(wù)��。
[0088]假設(shè)用戶VM最初連接至在虛擬交換機(jī)100上的Segl 102和Seg2 103����,例如,在圖1中所顯示的�����。因此�����,如圖2B中所示�����,產(chǎn)生服務(wù)虛擬交換機(jī)300���,以提供隔離��。在服務(wù)交換機(jī)300上��,產(chǎn)生兩個(gè)私有VLAN���。第一私有VLAN包含Primary PVLAN Segl301以及IsolatedSecondary PVLAN Isol 302。原來連接至Segl 102的所有VM 400現(xiàn)在均連接至Isol 302��。第二私有VLAN包含Primary PVLAN Seg2 303以及Isolated Secondary PVLAN Iso2 304��。原來連接至Seg2 103的所有VM 400現(xiàn)在均連接至Iso2 304��。私有VLAN的使用大幅減少了在服務(wù)交換機(jī)300上的網(wǎng)絡(luò)段的數(shù)量���。在這個(gè)設(shè)置中�,連接至Isolated Secondary PVLAN的用戶VM可以彼此不直接通信����。相反,用戶VM的數(shù)據(jù)包可以到達(dá)Primary PVLAN����,以允許用戶VM彼此通信。
[0089]為了與在服務(wù)交換機(jī)300上的段配置匹配�����,在服務(wù)VM 200上的trunk接口(連接至trunk接口202)上,產(chǎn)生4個(gè)網(wǎng)絡(luò)段Segl����、Isol、Seg2以及Iso2 305�����。在服務(wù)VM 200上的trunk接口(連接至trunk接口201)上���,僅僅產(chǎn)生2個(gè)網(wǎng)絡(luò)段Segl和Seg2 206�����。
[0090]現(xiàn)在描述兩個(gè)數(shù)據(jù)包流實(shí)例�����,以說明可以通過這個(gè)部署插入服務(wù)的方式。在第一實(shí)例中��,用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包并且從互聯(lián)網(wǎng)中接收數(shù)據(jù)包����。在用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包時(shí)��,首先將數(shù)據(jù)包發(fā)送給其網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)�����,然后��,默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送給在互聯(lián)網(wǎng)上的其他節(jié)點(diǎn)��。在這個(gè)部署實(shí)例中��,可以通過trunk接口連接101到達(dá)默認(rèn)網(wǎng)關(guān)�����。假設(shè)在虛擬交換機(jī)和V M12上的所有端口已知默認(rèn)網(wǎng)關(guān)上的接口的M A C地址��。數(shù)據(jù)包離開用戶VM12并且進(jìn)入在服務(wù)交換機(jī)300上的段Iso2 302�����?����;贛AC查找����,服務(wù)交換機(jī)300通過trunk接口連接202轉(zhuǎn)發(fā)數(shù)據(jù)包,并且數(shù)據(jù)包到達(dá)在服務(wù)器200上的段Isol����。這個(gè)數(shù)據(jù)包路徑由箭頭500表示。在服務(wù)VM 200內(nèi)��,數(shù)據(jù)包經(jīng)過一個(gè)或多個(gè)期望的服務(wù)的處理���,然后�����,將數(shù)據(jù)包轉(zhuǎn)發(fā)給段Segl 206�。然后�,服務(wù)VM 200通過trunk接口201傳輸數(shù)據(jù)包,并且數(shù)據(jù)包到達(dá)段Segl
102��。這個(gè)路徑由箭頭502表示�����。最后���,通過trunk接口 101將數(shù)據(jù)包發(fā)送給默認(rèn)網(wǎng)關(guān)�����,由箭頭503表不�。
[0091]在互聯(lián)網(wǎng)上的節(jié)點(diǎn)發(fā)送返回?cái)?shù)據(jù)包���?�;ヂ?lián)網(wǎng)的返回?cái)?shù)據(jù)包首先到達(dá)默認(rèn)網(wǎng)關(guān)����。然后�����,返回?cái)?shù)據(jù)包通過trunk接口連接101到達(dá)段Segl 102�����,由箭頭504表示。然后�,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)VM 200上的Segl,由箭頭505表示�。數(shù)據(jù)包穿過服務(wù)模塊204,其中���,執(zhí)行一個(gè)或多個(gè)期望的服務(wù)���,由箭頭506表示。然后����,數(shù)據(jù)包在服務(wù)VM 200上的段Segl 205上傳輸,并且數(shù)據(jù)包到達(dá)用戶VMl2����,由箭頭507表示。因此��,通過服務(wù)交換機(jī)300和服務(wù)VM 200�,將所需要的服務(wù)插入在用戶VM12與互聯(lián)網(wǎng)之間的數(shù)據(jù)包路徑內(nèi)。
[0092]所顯示的系統(tǒng)還可以將服務(wù)插入在相同的網(wǎng)絡(luò)段上的兩個(gè)用戶VM之間的數(shù)據(jù)包路徑內(nèi)�����,例如,在用戶VM22與用戶VM23之間的數(shù)據(jù)包路徑�。在圖1所示的原始部署中,用戶VM22和用戶VM23連接至在虛擬交換機(jī)100上的段Seg2 103����。因此�����,在原始部署中���,服務(wù)不能插在用戶VM22與用戶VM23之間�����。在圖2B所示的系統(tǒng)中�,用戶VM22和用戶VM23連接至在服務(wù)交換機(jī)300上的Isolated Secondary PVLAN 304����。
[0093]由于用戶VM23和用戶VM22在Isolated Secondary PVLAN 304上,所以不能在服務(wù)交換機(jī)300上直接通信����。相反����,用戶VM23將數(shù)據(jù)包發(fā)送給Iso2 304����,然后,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)VM 200上的段Iso2���,由箭頭600表示����?����;诜?wù)規(guī)則配置���,服務(wù)模塊204將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)VM 200上的Seg2�。然后�����,通過段Seg2 303����,將數(shù)據(jù)包發(fā)送給用戶VM22���。通過在服務(wù)交換機(jī)300上的私有VLAN的配置,在兩個(gè)用戶VM之間的通信可以穿過服務(wù)VM 200�,其提供期望的服務(wù)。
[0094]圖3示出了實(shí)現(xiàn)服務(wù)插入的另一個(gè)處理系統(tǒng)�。在這個(gè)實(shí)施方式中����,處理系統(tǒng)不包括服務(wù)虛擬交換機(jī)300。如圖中所示����,處理系統(tǒng)包括虛擬交換機(jī)100、多個(gè)VM 400以及服務(wù)VM(服務(wù)器)200����。在物理服務(wù)器上配置虛擬交換機(jī)100。虛擬交換機(jī)100通過上行鏈路101連接至數(shù)據(jù)中心網(wǎng)絡(luò)��。虛擬交換機(jī)100最初具有兩個(gè)網(wǎng)絡(luò)段Segl 102和Seg2 103����,用于與數(shù)據(jù)中心網(wǎng)絡(luò)通信����。如圖1中所示��,5個(gè)用戶VM ¥]?11�����、¥]\112�、¥]\121、¥]\122以及¥]\123連接至網(wǎng)絡(luò)段3681102和Seg2 103����。在服務(wù)插入之后,如在圖3中的配置中所示�����,在虛擬交換機(jī)100上產(chǎn)生5個(gè)新網(wǎng)絡(luò)段31����、32、33�、34以及35。這些網(wǎng)絡(luò)段用以隔離內(nèi)部網(wǎng)絡(luò)的用戶¥1 400�����。如圖中所示,VM11���、VM12���、VM21、VM22以及VM23分別連接至網(wǎng)絡(luò)段S1-S5�。通過非限制性實(shí)例,虛擬交換機(jī)100可以包括Linux網(wǎng)橋����、Open vSwitch���、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)���。
[0095]服務(wù)器200通過trunk接口 201和trunk接口 202連接至虛擬交換機(jī)100。在示出的實(shí)施方式中���,服務(wù)器200具有:第一通信接口�,用于通過trunk接口 202與虛擬交換機(jī)100通信����;以及第二通信接口���,用于通過trunk接口201與虛擬交換機(jī)100通信。在某些情況下���,第一和第二通信接口可以是相應(yīng)的trunk接口端口�。trunk接口 201被配置為通過虛擬交換機(jī)100與數(shù)據(jù)中心網(wǎng)絡(luò)通信��,并且trunk接口202被配置為通過虛擬交換機(jī)100與VM 400(8卩�,在該實(shí)例中,丫]\111�、¥]\112、¥]\121����、¥]\122以及¥]\123)通信。
[0096]如參照?qǐng)D1所討論的�,用戶VMll和VM12最初連接至在虛擬交換機(jī)100上的Segll02。因此�����,在圖3所示的部署中,為這些用戶VM�,在服務(wù)交換機(jī)100上配置了2個(gè)基于VM的網(wǎng)絡(luò)段SI和S2JM11和VM12分別連接至這些段。而且�����。如參照?qǐng)D1所討論的����,VM21、VM22以及VM23連接至在虛擬交換機(jī)100上的Seg2 103��。因此��,在圖3所示的部署中�����,為這些用戶VM��,在服務(wù)交換機(jī)100上配置了3個(gè)基于VM的網(wǎng)絡(luò)段S3�����、S4以及S5 106JM21����、VM22以及VM23分別連接至這些段。
[0097]在服務(wù)器200上�����,在通信接口上配置2個(gè)網(wǎng)絡(luò)段Segl和Seg2 206�,在該通信接口上連接trunk接口 201。這確保Segl和Seg2 206在虛擬交換機(jī)100上具有與Segl 102和Seg2103相同的網(wǎng)絡(luò)連接性����。而且,在服務(wù)器200上�����,在通信接口上配置5個(gè)網(wǎng)絡(luò)段S1���、S2�����、S3���、S4以及S5 205,在該通信接口上連接trunk接口 202。在服務(wù)器200上的網(wǎng)絡(luò)段205與在服務(wù)交換機(jī)100上的網(wǎng)絡(luò)段配置對(duì)應(yīng)����。這確保用戶VM 400可以到達(dá)在服務(wù)器200上的網(wǎng)絡(luò)段205。在某些情況下����,服務(wù)器200可以被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。在其他情況下����,映射可以基于其他參數(shù)。
[0098]由于用戶VMll和用戶VM12先前連接至在虛擬交換機(jī)100上的Segl102(如參照?qǐng)D1所述)��,所以段SI和S2與在服務(wù)器200上的Segl相關(guān)�����。同樣�����,段S3����、S4以及S5與在服務(wù)器200上的Seg2相關(guān)。服務(wù)器200上的配置提供了這個(gè)映射關(guān)系���,可以將原始網(wǎng)絡(luò)段基于VM的網(wǎng)絡(luò)段相互映射�。根據(jù)這個(gè)映射�,在發(fā)送給某個(gè)段時(shí),數(shù)據(jù)包會(huì)標(biāo)記上相應(yīng)的標(biāo)簽�。例如,數(shù)據(jù)包可以由虛擬交換機(jī)100加標(biāo)簽���。在某些情況下��,服務(wù)器200還可以標(biāo)記數(shù)據(jù)包和/或修改數(shù)據(jù)包的標(biāo)簽�。通過非限制性實(shí)例��,基于VM的網(wǎng)絡(luò)段可以基于VLAN���、網(wǎng)橋��、VMware端口組��。
[0099]如圖3中所示�,服務(wù)器200包括服務(wù)模塊204�����。服務(wù)模塊204被配置為提供一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)。通過非限制性實(shí)例��,服務(wù)模塊204可以被配置為提供一個(gè)或多個(gè)防火墻功能���、一個(gè)或多個(gè)入侵防護(hù)功能����、一個(gè)或多個(gè)WAF功能��、一個(gè)或多個(gè)QoS功能�、一個(gè)或多個(gè)DPI功能等、或者前述的任何組合����。因此,服務(wù)模塊204可以包括防火墻�、IPS、WAF����、QoS、DPI或者前述的任何組合�����。而且�,在某些情況下,服務(wù)模塊204可以包括映射模塊���,提供在基于VM的網(wǎng)絡(luò)段與和虛擬交換機(jī)100相關(guān)聯(lián)的原始網(wǎng)絡(luò)段之間的映射��。在其他情況下����,服務(wù)器200可以包括另一個(gè)模塊���,用于提供這種段映射功能����。在其他實(shí)施方式中���,服務(wù)器200可以包括多個(gè)服務(wù)模塊204�。
[0100]現(xiàn)在描述兩個(gè)數(shù)據(jù)包流實(shí)例���,以說明圖3的處理系統(tǒng)可以提供服務(wù)插入的方式����。在第一實(shí)例中,用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包并且從互聯(lián)網(wǎng)中接收數(shù)據(jù)包�。在用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包時(shí),首先將數(shù)據(jù)包發(fā)送給其網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)�����,然后���,默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送給在互聯(lián)網(wǎng)上的其他節(jié)點(diǎn)��。在這個(gè)實(shí)例中����,可以通過trunk接口連接101到達(dá)默認(rèn)網(wǎng)關(guān)��。假設(shè)在虛擬交換機(jī)和VMl 2上的所有端口已知在默認(rèn)網(wǎng)關(guān)上的接口的MAC地址����。數(shù)據(jù)包離開用戶VM12并且進(jìn)入在虛擬交換機(jī)100上的段S2?�;贛AC查找,虛擬交換機(jī)100通過trunk接口 202轉(zhuǎn)發(fā)數(shù)據(jù)包����,并且數(shù)據(jù)包到達(dá)在服務(wù)器200上的段S2。這個(gè)數(shù)據(jù)包路徑由箭頭500表示���。服務(wù)器200,為數(shù)據(jù)包提供一個(gè)或多個(gè)期望的服務(wù)�����,然后��,將數(shù)據(jù)包轉(zhuǎn)發(fā)給段Segl��,由箭頭501表示�。然后,服務(wù)器200通過第二通信接口將數(shù)據(jù)包傳輸給trunk接口 201���,并且數(shù)據(jù)包到達(dá)段Segl 102�����。這個(gè)路徑由箭頭502表示�����。然后��,通過trunk接口 101將數(shù)據(jù)包發(fā)送給默認(rèn)網(wǎng)關(guān)�����,由箭頭503表示�。
[0101]在互聯(lián)網(wǎng)上的節(jié)點(diǎn)發(fā)送返回?cái)?shù)據(jù)包,并且返回?cái)?shù)據(jù)包首先到達(dá)默認(rèn)網(wǎng)關(guān)��。然后��,返回?cái)?shù)據(jù)包通過trunk接口連接101到達(dá)段Segl 102��,由箭頭504表示�。然后,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器200上的Segl�����,由箭頭505表示����。數(shù)據(jù)包穿過服務(wù)模塊204,得到一個(gè)或多個(gè)服務(wù),由箭頭506表示����。然后,數(shù)據(jù)包在段S2上傳輸并且到達(dá)VMl 2���,由箭頭507表示���。因此�����,通過虛擬交換機(jī)100和服務(wù)器200�����,將期望的服務(wù)提供給在用戶VM12與互聯(lián)網(wǎng)之間的數(shù)據(jù)包路徑����。
[0102]另一個(gè)實(shí)例展示,在相同的網(wǎng)絡(luò)段上的兩個(gè)用戶VM之間����,提供一個(gè)或多個(gè)期望的服務(wù)。在圖1所示的原始部署中,用戶VM22和用戶VM23連接至在虛擬交換機(jī)100上的段Seg2
103��。因此��,在這種類型的部署中�,服務(wù)不能插入到用戶VM22與用戶VM23之間。然而�,通過在圖3所示的配置,一個(gè)或多個(gè)服務(wù)可以插入在用戶VM22與用戶VM23之間的通信路徑內(nèi)�。這是因?yàn)樵趫D3所示的配置中,用戶VM22和用戶VM23連接至在虛擬交換機(jī)100上的孤立網(wǎng)絡(luò)段���。具體地��,由于用戶VM22和用戶VM23分別連接至兩個(gè)不同的網(wǎng)絡(luò)段S4和S5���,所以這兩個(gè)用戶不能在服務(wù)交換機(jī)100上彼此直接通信。相反�����,用戶VM23將數(shù)據(jù)包發(fā)送給段S5�����,然后,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器200上的段S5�����,由數(shù)據(jù)包路徑600表示����。然后,將數(shù)據(jù)包傳遞給服務(wù)模塊204�����,為數(shù)據(jù)包提供一個(gè)或多個(gè)服務(wù)��。在處理了數(shù)據(jù)包之后��,并且基于在服務(wù)模塊204內(nèi)的服務(wù)規(guī)則配置�����,服務(wù)模塊204將數(shù)據(jù)包轉(zhuǎn)發(fā)給S4��,由箭頭601表示��。然后�����,在段S4內(nèi)��,將數(shù)據(jù)包發(fā)送給用戶VM22����,由箭頭602表示。以此���,通過虛擬交換機(jī)100和基于VM的網(wǎng)絡(luò)段的配置����,在兩個(gè)用戶VM之間的通信可以穿過服務(wù)器200�,所述服務(wù)器提供一個(gè)或多個(gè)期望的服務(wù)。
[0103]在一些實(shí)施方式中��,使用Private VLAN�����,可以產(chǎn)生在圖3的系統(tǒng)中的兩個(gè)或多個(gè)用戶VM的隔離���,與上面參照?qǐng)D2B中所討論的一樣�。
[0104]在一些實(shí)施方式中,圖3的處理系統(tǒng)可以通過一種方法實(shí)現(xiàn)���,該方法包括(I)提供服務(wù)器200�,其具有服務(wù)模塊204;第一通信接口����;以及第二通信接口,其中�����,所述第一通信接口被配置為用于與虛擬交換機(jī)100通信���,其中�,所述第二通信接口被配置為用于與所述虛擬交換機(jī)100通信��,所述虛擬交換機(jī)100被配置為與多個(gè)用戶VM 400通信��;以及(2)通過使:(a)所述第一通信接口與在所述虛擬交換機(jī)100上的多個(gè)基于VM的網(wǎng)絡(luò)段相關(guān)聯(lián)��,所述多個(gè)基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)用戶VM 400對(duì)應(yīng);并且(b)所述第二通信接口與在所述虛擬交換機(jī)100上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)�����,邏輯耦合所述服務(wù)器200和所述虛擬交換機(jī)100。
[0105]邏輯耦合的行為可以包括通過第一 trunk接口連通地耦合所述服務(wù)器200和所述服務(wù)交換機(jī)100,并且通過第二trunk接口連通地耦合所述服務(wù)器200和所述服務(wù)交換機(jī)100���。
[0106]該方法還可以包括在虛擬交換機(jī)100上提供基于VM的網(wǎng)絡(luò)段,其與多個(gè)用戶VM400對(duì)應(yīng)。該方法還可以包括在服務(wù)器200上提供映射(例如��,映射模塊)��,用于提供基于VM的網(wǎng)絡(luò)段與虛擬交換機(jī)100相關(guān)聯(lián)的原始網(wǎng)絡(luò)段間的映射�?;赩M的網(wǎng)絡(luò)段可以基于VLAN、網(wǎng)橋�����、VMware端口組等��。該方法還可以包括將服務(wù)器200配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)�����。在一些實(shí)施方式中�����,可以提供數(shù)據(jù)包映射配置程序,以配置服務(wù)器200�,以便可以基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。
[0107]圖4示出了實(shí)現(xiàn)服務(wù)插入的另一個(gè)處理系統(tǒng)����,尤其示出了提供多個(gè)服務(wù)的處理系統(tǒng)。對(duì)于每種類型的服務(wù)�����,通過層疊的方式提供一個(gè)服務(wù)VM(服務(wù)器)和一個(gè)服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))�����。圖4示出了兩組服務(wù)器和服務(wù)交換機(jī)��,用于提供兩個(gè)服務(wù)插入����。在其他實(shí)施方式中,處理系統(tǒng)可以包括不止兩組服務(wù)器和服務(wù)交換機(jī)��,用于提供不止兩個(gè)服務(wù)插入�����。
[0108]具體地���,處理系統(tǒng)包括原始虛擬交換機(jī)100和用戶VM400����。通過非限制性實(shí)例����,虛擬交換機(jī)100可以包括Linux網(wǎng)橋、Open vSwitch�、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMwarevSphere分布式交換機(jī)。在物理服務(wù)器上配置虛擬交換機(jī)100�����。虛擬交換機(jī)100通過上行鏈路101連接至數(shù)據(jù)中心網(wǎng)絡(luò)�����。在虛擬交換機(jī)100上配置兩個(gè)網(wǎng)絡(luò)段Segl 102和Seg2 103�。
[0109]處理系統(tǒng)還包括具有服務(wù)模塊204的第一服務(wù)VM(服務(wù)器)200;以及第一服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))300。處理系統(tǒng)還包括具有服務(wù)模塊402的第二服務(wù)VM(服務(wù)器)400;以及第二服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))500��。這些部件200、300�、400以及500通過trunk接口201、202�、203、602彼此串聯(lián)(在邏輯上)連通地耦合��。如圖中所示�,服務(wù)器200通過trunk接口201連接至虛擬交換機(jī)100。服務(wù)交換機(jī)300通過另一個(gè)trunk接口 202連接至服務(wù)器200���。服務(wù)器400通過trunk接口 203連接至服務(wù)交換機(jī)300��。服務(wù)交換機(jī)500通過trunk接口 602連接至服務(wù)器400�����。用戶VM 400 (例如���,VMl 1、VMl 2��、VM21����、VM22以及VM23)連接至服務(wù)交換機(jī)500。
[0110]在服務(wù)器200上,在通信接口上配置2個(gè)網(wǎng)絡(luò)段Segl和Seg2 206�,在該通信接口上連接trunk接口 201�。這確保Segl和Seg2 206在虛擬交換機(jī)100上具有與Segl 102和Seg2103相同的網(wǎng)絡(luò)連接性。在服務(wù)器200上�,在通信接口上配置5個(gè)網(wǎng)絡(luò)段S1、S2�����、S3�����、S4以及S5205�,在該通信接口上連接trunk接口 202。這些網(wǎng)絡(luò)段與在服務(wù)交換機(jī)300上的網(wǎng)絡(luò)段的配置對(duì)應(yīng)(匹配)�。在某些情況下,服務(wù)器200可以被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)��。在其他情況下���,映射可以基于其他參數(shù)���。
[0111]在服務(wù)交換機(jī)300上,5個(gè)網(wǎng)絡(luò)段S1、S2����、S3、S4以及S5被配置為與在服務(wù)器200和服務(wù)器400內(nèi)的段S1����、S2、S3����、S4以及S5對(duì)應(yīng),以便所述網(wǎng)絡(luò)段是相同的段���。
[0112]在服務(wù)器400上���,在接口上配置5個(gè)網(wǎng)絡(luò)段S1、S2��、S3����、S4以及S5 401,在該接口上連接trunk接口 203和602��。這些段與在服務(wù)交換機(jī)500上的網(wǎng)絡(luò)段的配置對(duì)應(yīng)(匹配)。在某些情況下����,服務(wù)器400可以被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。在其他情況下�,映射可以基于其他參數(shù)����。
[0113]在圖1所示的原始部署中,用戶VMll和用戶VM12連接至在虛擬交換機(jī)100上的Segl102�����。因此��,在圖4所示的配置中�����,在服務(wù)交換機(jī)500上配置分別與用戶VMll和用戶VM12連接的2個(gè)基于VM的網(wǎng)絡(luò)段SI和S2��。而且��,在圖1所示的原始部署中����,VM21��、VM22以及VM23連接至在虛擬交換機(jī)100上的Seg2 103�。因此���,在圖4所示的配置中����,在服務(wù)交換機(jī)500上配置分別與用戶VM21�、VM22以及VM23連接的3個(gè)基于VM的網(wǎng)絡(luò)段S3、S4以及S5 501���。這確保用戶VM400可以到達(dá)在服務(wù)器400上的網(wǎng)絡(luò)段401并且可以到達(dá)在服務(wù)器200上的網(wǎng)絡(luò)段207����。
[0114]由于用戶VMll和用戶VM12原本連接在虛擬交換機(jī)100上的Segl102���,所以段SI和S2與在服務(wù)器200上的Segl相關(guān)��。同樣����,段S3、S4以及S5與在服務(wù)器200上的Seg2相關(guān)�����。服務(wù)器200�、服務(wù)器400、服務(wù)交換機(jī)300�、服務(wù)交換機(jī)500或者前述的任何組合提供了從原始網(wǎng)絡(luò)段到基于VM的網(wǎng)絡(luò)段的映射關(guān)系?;谶@個(gè)映射,在發(fā)送給某個(gè)段時(shí)�,通過相應(yīng)的標(biāo)簽標(biāo)記數(shù)據(jù)包�����。例如�,數(shù)據(jù)包的標(biāo)簽可以由虛擬交換機(jī)500、服務(wù)交換機(jī)300�����、虛擬交換機(jī)100或所有這些交換機(jī)添加�����。在某些情況下,服務(wù)器200和服務(wù)器400還可以標(biāo)記數(shù)據(jù)包和/或修改數(shù)據(jù)包的標(biāo)簽��。通過非限制性實(shí)例���,基于VM的網(wǎng)絡(luò)段可以基于VLAN����、網(wǎng)橋��、VMware端口組��。
[0115]如圖4中所示��,服務(wù)器200包括服務(wù)模塊204�����。而且����,服務(wù)器400包括服務(wù)模塊402。每個(gè)服務(wù)模塊204�、402被配置為提供一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)。通過非限制性實(shí)例����,服務(wù)模塊204/402可以被配置為提供一個(gè)或多個(gè)防火墻功能���、一個(gè)或多個(gè)入侵防護(hù)功能、一個(gè)或多個(gè)WAF功能�、一個(gè)或多個(gè)QoS功能、一個(gè)或多個(gè)DPI功能等�����、或者前述的任何組合���。因此��,服務(wù)模塊204/402可以包括防火墻、IPS��、WAF�����、QoS��、DPI或者前述的任何組合���。而且�����,在某些情況下��,月艮務(wù)模塊204/402可以包括映射模塊����,為基于VM的網(wǎng)絡(luò)段與和虛擬交換機(jī)100相關(guān)聯(lián)的原始網(wǎng)絡(luò)段之間提供映射。在其他情況下���,服務(wù)器200和/或服務(wù)器400可以包括另一個(gè)模塊����,用于提供這種段映射功能����。在其他實(shí)施方式中,服務(wù)器200可以包括多個(gè)服務(wù)模塊204���。同樣���,在其他實(shí)施方式中�����,服務(wù)器400可以包括多個(gè)服務(wù)模塊402���。
[0116]現(xiàn)在描述兩個(gè)數(shù)據(jù)包流實(shí)例,以說明圖4的處理系統(tǒng)可以提供服務(wù)插入的方式�����。在第一實(shí)例中����,用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包并且從互聯(lián)網(wǎng)中接收返回?cái)?shù)據(jù)包。在用戶VM12給互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包時(shí)���,首先將數(shù)據(jù)包發(fā)送給其網(wǎng)絡(luò)的默認(rèn)網(wǎng)關(guān)�����,然后,默認(rèn)網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送給在互聯(lián)網(wǎng)上的其他節(jié)點(diǎn)���。在這個(gè)實(shí)例中��,可以通過trunk接口連接101到達(dá)默認(rèn)網(wǎng)關(guān)�����。假設(shè)在交換機(jī)和用戶VM12上的所有端口已知默認(rèn)網(wǎng)關(guān)上的接口的MAC地址�����。數(shù)據(jù)包離開用戶VM12并且進(jìn)入在服務(wù)交換機(jī)500上的段S2�。基于MAC查找�,服務(wù)交換機(jī)500通過trunk接口連接602轉(zhuǎn)發(fā)數(shù)據(jù)包,并且數(shù)據(jù)包到達(dá)在服務(wù)器400上的段S2 ο這個(gè)數(shù)據(jù)包路徑由箭頭700表示����。服務(wù)器400為數(shù)據(jù)包上提供期望的服務(wù),然后�,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)交換機(jī)300內(nèi)的段S2,由箭頭701表示��。然后�����,服務(wù)交換機(jī)300通過trunk接口 202將數(shù)據(jù)包發(fā)送給在服務(wù)器200上的段S2,由箭頭702表示��。在服務(wù)器200上�����,服務(wù)模塊204給數(shù)據(jù)包提供一個(gè)或多個(gè)服務(wù)����,然后,服務(wù)器200通過trunk接口 201傳輸數(shù)據(jù)包��,數(shù)據(jù)包到達(dá)段Segl 102����,由箭頭704表示。然后���,通過trunk接口 101將數(shù)據(jù)包發(fā)送給默認(rèn)網(wǎng)關(guān)�,由箭頭705表示��。
[0117]在互聯(lián)網(wǎng)上的節(jié)點(diǎn)給處理系統(tǒng)發(fā)送返回?cái)?shù)據(jù)包�。互聯(lián)網(wǎng)的返回?cái)?shù)據(jù)包首先到達(dá)默認(rèn)網(wǎng)關(guān)�。然后,返回?cái)?shù)據(jù)包通過trunk接口連接101到達(dá)段Segl 102�,由箭頭706表示。然后���,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器200上的Segl��,由箭頭707表示���。返回?cái)?shù)據(jù)包穿過服務(wù)模塊204,其為數(shù)據(jù)包提供一個(gè)或多個(gè)服務(wù)�����,由箭頭708表示�����。然后���,服務(wù)器200通過段S2將返回?cái)?shù)據(jù)包傳輸給服務(wù)交換機(jī)300�,由箭頭709表示���。然后���,服務(wù)交換機(jī)300通過段S2將返回?cái)?shù)據(jù)包發(fā)送給服務(wù)器400����,由箭頭710表示���。然后����,返回?cái)?shù)據(jù)包在服務(wù)交換機(jī)500內(nèi)的段S2上傳輸并且到達(dá)用戶VM12��,由箭頭711表示����。因此,通過服務(wù)交換機(jī)300���、500和服務(wù)器200�����、400����,將期望的服務(wù)插入在用戶VM12與互聯(lián)網(wǎng)之間的通信路徑中。
[0118]處理系統(tǒng)還可以在相同的網(wǎng)絡(luò)段上的兩個(gè)用戶VM之間的通信路徑內(nèi)插入多個(gè)服務(wù)����,例如����,在用戶VM22與用戶VM23之間的通信路徑內(nèi)。在圖1所示的原始部署中����,用戶VM22和用戶VM23連接至在虛擬交換機(jī)100上的段Seg2 103。服務(wù)在這個(gè)配置中不能插入在用戶VM22與用戶VM23之間��。
[0119]在圖4所示的配置中����,用戶VM22和用戶VM23連接至在服務(wù)交換機(jī)500上的單獨(dú)網(wǎng)絡(luò)段。由于用戶VM22和用戶VM23連接至2個(gè)不同的網(wǎng)絡(luò)段S4和S5�,所以這兩個(gè)用戶不能在服務(wù)交換機(jī)500上彼此直接通信。用戶VM23將數(shù)據(jù)包發(fā)送給在服務(wù)交換機(jī)500上的段S5��,然后���,將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)器400上的段S5�����,由箭頭800表示�。基于在服務(wù)模塊402內(nèi)的服務(wù)規(guī)則配置����,服務(wù)模塊402將數(shù)據(jù)包轉(zhuǎn)發(fā)給在服務(wù)交換機(jī)300上的段S5,由箭頭801表示�����。然后����,服務(wù)交換機(jī)300將數(shù)據(jù)包發(fā)送給在服務(wù)器200上的段S5,由箭頭802表示該路徑�����。然后���,數(shù)據(jù)包通過服務(wù)模塊204從段S5中發(fā)送給段S4��,由箭頭803表示��。然后�����,將數(shù)據(jù)包發(fā)送給在服務(wù)交換機(jī)300上的段S4��,由箭頭804表示�。然后�,數(shù)據(jù)包從服務(wù)交換機(jī)300中發(fā)送給在服務(wù)器400上的段S4,由箭頭805表示����。然后,數(shù)據(jù)包從服務(wù)器400中發(fā)送給在服務(wù)交換機(jī)500上的段S4�,并且輸出給用戶VM22,由箭頭806表示�����。
[0120]通過服務(wù)交換機(jī)300�����、500和基于VM的網(wǎng)絡(luò)段的配置����,期望的服務(wù)可以插入在兩個(gè)用戶VM之間的通信中���。
[0121]圖4示出了兩組服務(wù)器和服務(wù)交換機(jī),用于提供兩個(gè)服務(wù)插入�����。在其他實(shí)施方式中��,處理系統(tǒng)可以包括不止兩組服務(wù)器和服務(wù)交換機(jī)�����,用于提供不止兩個(gè)服務(wù)插入��。例如��,在其他實(shí)施方式中�,處理系統(tǒng)可以在用戶VM 400與虛擬交換機(jī)100之間部署不止兩個(gè)服務(wù)器和不止兩個(gè)服務(wù)交換機(jī)。
[0122]在一些實(shí)施方式中��,使用Private VLAN���,可以產(chǎn)生在圖4的系統(tǒng)中的兩個(gè)或多個(gè)用戶VM的隔離�����,與上面參照?qǐng)D2B中所討論的一樣��。
[0123]在一些實(shí)施方式中����,圖4的處理系統(tǒng)可以通過一種方法實(shí)現(xiàn),該方法包括(I)提供第一服務(wù)器(例如�����,服務(wù)器200/400)���,其具有第一服務(wù)模塊(例如,服務(wù)模塊204/402); (2)提供第一服務(wù)交換機(jī)(服務(wù)交換機(jī)300/500); (3)提供第二服務(wù)器(例如�,服務(wù)器200/400),其具有第二服務(wù)模塊(例如�����,服務(wù)模塊204/402);以及(4)提供第二服務(wù)交換機(jī)(服務(wù)交換機(jī)300/500); (5)在現(xiàn)有用戶VM 400與現(xiàn)有虛擬交換機(jī)100之間邏輯耦合第一服務(wù)器和第一服務(wù)交換機(jī);以及(6)在現(xiàn)有用戶VM 400與現(xiàn)有虛擬交換機(jī)100之間邏輯耦合第二服務(wù)器和第二服務(wù)交換機(jī)����。在所顯示的實(shí)施方式中����,所述第一服務(wù)器��、所述第一服務(wù)交換機(jī)�、所述第二服務(wù)器以及所述第二服務(wù)交換機(jī)可以在邏輯上串聯(lián)耦合。邏輯耦合的辦法可以包括將用戶VM 400從原始虛擬交換機(jī)100移動(dòng)到第一和第二服務(wù)交換機(jī)中的一個(gè)�����。
[0124]該方法還可以包括在所述第一服務(wù)交換機(jī)����、所述第二服務(wù)交換機(jī)、所述第一服務(wù)器�、所述第二服務(wù)器、其前述的任何組合上�����,創(chuàng)建基于VM的網(wǎng)絡(luò)段���。所創(chuàng)建的基于VM的網(wǎng)絡(luò)段與多個(gè)用戶VM 400對(duì)應(yīng)����。該方法還可以包括在第一服務(wù)器和/或第二服務(wù)器上提供映射(映射模塊),提供VM的網(wǎng)絡(luò)段與虛擬交換機(jī)100相關(guān)聯(lián)的原始網(wǎng)絡(luò)段的映射���?����;赩M的網(wǎng)絡(luò)段可以基于VLAN��、網(wǎng)橋��、VMware端口組等�。該方法還可以包括將第一和第二服務(wù)器配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)���。在一些實(shí)施方式中,可以提供數(shù)據(jù)包映射配置程序�,以配置第一和第二服務(wù)器,以便可以基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)���。
[0125]在一些實(shí)施方式中�,可以在一個(gè)物理服務(wù)器上部署圖2A����、圖2B��、圖3以及圖4的每個(gè)處理系統(tǒng)�。在其他實(shí)施方式中�,可以在圖5所示的數(shù)據(jù)中心內(nèi)的多個(gè)服務(wù)器上復(fù)制前述任何處理系統(tǒng)。在圖5中�,3個(gè)物理服務(wù)器900a、900b以及900 c連接至物理交換機(jī)902����。在物理服務(wù)器900a上,在服務(wù)插入之后�,多個(gè)用戶VM 400a連接至服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))300a。服務(wù)VM(虛擬機(jī))200a連接至服務(wù)交換機(jī)300a和原始虛擬交換機(jī)100a�����。服務(wù)器900a內(nèi)的處理系統(tǒng)的配置可以復(fù)制到服務(wù)器900b�、900c上以獲得額外的處理能力。具體地���,在物理服務(wù)器900b上��,在服務(wù)插入之后��,多個(gè)用戶VM 400b連接至服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))300b����。服務(wù)VM(虛擬機(jī))200b連接至服務(wù)交換機(jī)300b和原始虛擬交換機(jī)I OOb。同樣��,在物理服務(wù)器900c上�,在服務(wù)插入之后,多個(gè)用戶VM 400c連接至服務(wù)虛擬交換機(jī)(服務(wù)交換機(jī))300c���。服務(wù)VM(虛擬機(jī))200c連接至服務(wù)交換機(jī)300c和原始虛擬交換機(jī)100c�。如在圖中所示����,可選的服務(wù)VM控制器910在物理服務(wù)器900a上運(yùn)行。這個(gè)控制器910可以提供單一的服務(wù)管理接口��、服務(wù)工作負(fù)荷劃分���、服務(wù)VM監(jiān)控等功能。
[0126]如在以上實(shí)例中所示�����,服務(wù)器900a內(nèi)的服務(wù)插入可以復(fù)制到在一個(gè)數(shù)據(jù)中心內(nèi)的其他物理服務(wù)器(例如,服務(wù)器900b和服務(wù)器900c)中�����。因此��,可以為數(shù)據(jù)中心的所有用戶VM提供服務(wù)��。在圖5所示的實(shí)例中����,在每個(gè)物理服務(wù)器900a、900b以及900c內(nèi)的處理系統(tǒng)具有與在圖2A所示的配置相似的配置���。在其他實(shí)例中��,任何物理服務(wù)器900可以包括圖3或圖4的處理系統(tǒng)�����。例如���,在其他實(shí)施方式中,圖3和/或圖4的處理系統(tǒng)可以復(fù)制和部署到在數(shù)據(jù)中心的多個(gè)物理服務(wù)器中���。
[0127]專門的處理架構(gòu)
[0128]在一些實(shí)施方式中����,一個(gè)或多個(gè)虛擬機(jī)、服務(wù)器200����、服務(wù)交換機(jī)300、或前述的任何組合可使用專業(yè)處理系統(tǒng)實(shí)現(xiàn)���。圖6是示出可以實(shí)現(xiàn)在本發(fā)明中描述的實(shí)施方式的專業(yè)處理系統(tǒng)1200的一個(gè)實(shí)施方式的方框圖�。例如���,在一些實(shí)施方式中�,處理系統(tǒng)1200可以包括:服務(wù)交換機(jī)模塊�,其被配置為實(shí)現(xiàn)服務(wù)交換機(jī)300;服務(wù)器模塊,其被配置為實(shí)現(xiàn)服務(wù)器200;或者這兩者的組合����。而且,在某些情況下�����,處理系統(tǒng)1200可以包括:一個(gè)或多個(gè)模塊�,用于實(shí)現(xiàn)一個(gè)或多個(gè)用戶VM 400;和/或虛擬交換機(jī)模塊,用于實(shí)現(xiàn)虛擬交換機(jī)100����。在其他實(shí)施方式中,可以具有多個(gè)處理系統(tǒng)1200��,用于實(shí)現(xiàn)不同的相應(yīng)部件��,例如�����,服務(wù)器200��、服務(wù)交換機(jī)300�����、虛擬交換機(jī)100���、一個(gè)或多個(gè)用戶VM 400等�����。
[0129]如圖6中所示����,處理系統(tǒng)1200包括:總線1202或其他通信機(jī)構(gòu),用于傳送信息�����;以及處理器1204��,其與總線1202耦合����,用于處理信息。處理器1204可以用于執(zhí)行在本發(fā)明中描述的各種功能����。例如,在一些實(shí)施方式中�,處理器1204可以接收用戶的輸入,用于配置網(wǎng)絡(luò)部件���。
[0130]處理系統(tǒng)1200還包括主存儲(chǔ)器1206��,例如��,隨機(jī)存取存儲(chǔ)器(RAM)或其他動(dòng)態(tài)儲(chǔ)存裝置��,其耦合至總線1202�,用于儲(chǔ)存信息以及處理器1204要執(zhí)行的指令����。主存儲(chǔ)器1206還可以用于在處理器1204要執(zhí)行的指令的執(zhí)行期間,儲(chǔ)存臨時(shí)變量或其他中間信息�����。處理系統(tǒng)1200進(jìn)一步包括只讀存儲(chǔ)器(ROM) 1208或其他靜態(tài)儲(chǔ)存裝置����,其耦合至總線1202,用于儲(chǔ)存處理器1204的靜態(tài)信息和指令����。提供數(shù)據(jù)儲(chǔ)存裝置1210(例如,磁盤或光盤)�����,并且該裝置耦合至總線1202,用于儲(chǔ)存信息和指令�。
[0131]處理系統(tǒng)1200可以通過總線1202耦合至顯示器1212,例如����,陰極射線管(CRT)或IXD顯示器,用于向用戶顯示信息���。輸入裝置1214(包括字母數(shù)字鍵和其他鍵)耦合至總線1202�����,用于將信息和命令選擇傳送給處理器1204����。另一種類型的用戶輸入裝置是光標(biāo)控制1216����,例如,鼠標(biāo)�����、軌跡球、或光標(biāo)方向鍵��,用于將方向信息和命令選擇傳送給處理器1204并且用于控制在顯示器1212上的光標(biāo)運(yùn)動(dòng)��。這個(gè)輸入裝置通常在兩個(gè)軸(第一軸(例如����,X)和第二軸(例如,y))中具有2個(gè)自由度����,這允許裝置在平面內(nèi)規(guī)定位置�。
[0132]處理系統(tǒng)1200可以用于根據(jù)在本發(fā)明中描述的實(shí)施方式執(zhí)行各種功能。根據(jù)一個(gè)實(shí)施方式�����,處理系統(tǒng)1200中的處理器1204執(zhí)行主存儲(chǔ)器1206內(nèi)的一個(gè)或多個(gè)指令來完成所需的功能�����。這種信息可以從另一個(gè)處理器可讀介質(zhì)(例如����,儲(chǔ)存裝置1210)中讀入主存儲(chǔ)器1206內(nèi)����。執(zhí)行包含在主存儲(chǔ)器1206內(nèi)的指令的序列���,使處理器1204執(zhí)行在本發(fā)明中描述的操作步驟�。在多處理器設(shè)置中的一個(gè)或多個(gè)處理器還可以用于執(zhí)行包含在主存儲(chǔ)器1206內(nèi)的指令的序列�����。在可替換的其它實(shí)施方式中�����,硬件連接電路可以代替軟件指令或者與軟件指令相結(jié)合使用�,以實(shí)現(xiàn)在本發(fā)明中描述的實(shí)施方式的功能。因此�����,在本發(fā)明中描述的實(shí)施方式不限于硬件電路和軟件的任何特定組合�。
[0133]在本發(fā)明中使用的術(shù)語“處理器可讀介質(zhì)”表示參與給處理器1204提供用于執(zhí)行的指令的任何介質(zhì)。這種介質(zhì)可以采用很多形式���,包括但不限于非易失性介質(zhì)��、易失性介質(zhì)以及傳輸介質(zhì)�����。例如�����,非易失性介質(zhì)包括光盤或磁盤����,例如,儲(chǔ)存裝置1210���。非易失性介質(zhì)可以被視為永久性介質(zhì)的一個(gè)實(shí)例。易失性介質(zhì)包括動(dòng)態(tài)存儲(chǔ)器���,例如�,主存儲(chǔ)器1206�����。易失性介質(zhì)可以被視為永久性介質(zhì)的另一個(gè)實(shí)例����。傳輸介質(zhì)包括同軸電纜��、銅線以及光學(xué)纖維����,包括包含總線1202的電線���。傳輸介質(zhì)還可以采用聲波或光波的形式����,例如�����,在無線電波和紅外線數(shù)據(jù)通信期間生成的聲波或光波�。
[0134]例如,常見形式的處理器可讀介質(zhì)包括軟盤�����、軟磁盤�����、硬盤、磁帶����、或任何其他磁性介質(zhì)、CD-R0M���、任何其他光學(xué)介質(zhì)���、穿孔卡、紙帶����、具有特定模式孔洞的任何其他物理介質(zhì)、RAM�、PR0M以及EPR0M、FLASH-EPR0M����、任何其他內(nèi)存芯片或插片�、在后文中描述的載波、或者處理器可讀取的任何其他介質(zhì)�����。
[0135]各種形式的處理器可讀介質(zhì)可以涉及將一個(gè)或多個(gè)指令的一個(gè)或多個(gè)序列傳送給處理器1204,以供執(zhí)行�����。例如��,可以首先在遠(yuǎn)程計(jì)算機(jī)的磁盤上傳送指令����。遠(yuǎn)程計(jì)算機(jī)可以將指令載入其動(dòng)態(tài)存儲(chǔ)器內(nèi),并且使用調(diào)制解調(diào)器通過電話線發(fā)送指令����。位于處理系統(tǒng)1200本地的調(diào)制解調(diào)器可以接收在電話線上的數(shù)據(jù),并且使用紅外傳輸器將數(shù)據(jù)轉(zhuǎn)換成紅外信號(hào)�。耦合至總線1202的紅外探測(cè)器可以接收在紅外信號(hào)內(nèi)傳送的數(shù)據(jù)并且將數(shù)據(jù)放在總線1202上?����?偩€1202將數(shù)據(jù)傳送給主存儲(chǔ)器1206�,處理器1204從該主存儲(chǔ)器中檢索和執(zhí)行指令。在由處理器1204執(zhí)行之前或之后����,由主存儲(chǔ)器1206接收的指令可以可選地儲(chǔ)存在儲(chǔ)存裝置1210上�。
[0136]處理系統(tǒng)1200還包括通信接口1218����,其耦合至總線1202。通信接口 1218提供與網(wǎng)絡(luò)鏈路1220的雙向數(shù)據(jù)通信耦合��,該網(wǎng)絡(luò)鏈路連接至局部網(wǎng)絡(luò)1222�。例如,通信接口 1218可以是集成服務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)卡或調(diào)制解調(diào)器���,用于給相應(yīng)類型的電話線提供數(shù)據(jù)通信連接���。作為另一個(gè)實(shí)例,通信接口 1218可以是局域網(wǎng)(LAN)卡���,用于給兼容的LAN提供數(shù)據(jù)通信連接��。還可以實(shí)現(xiàn)無線鏈路�����。在任何這種實(shí)現(xiàn)方式中,通信接口 1218發(fā)送和接收傳送表示各種類型的信息的數(shù)據(jù)流的電氣�����、電磁或光學(xué)信號(hào)。
[0137]網(wǎng)絡(luò)鏈路1220通常通過一個(gè)或多個(gè)網(wǎng)絡(luò)將數(shù)據(jù)通信提供給其他裝置��。例如��,網(wǎng)絡(luò)鏈路1220可以通過局部網(wǎng)絡(luò)1222給主機(jī)計(jì)算機(jī)1224或者給設(shè)備1226提供連接����,例如,輻射束源或與輻射束源耦合的交換機(jī)�����。通過網(wǎng)絡(luò)鏈路1220輸送的數(shù)據(jù)流可以包括電氣�、電磁或光學(xué)信號(hào)。通過各種網(wǎng)絡(luò)的信號(hào)��,以及在網(wǎng)絡(luò)鏈路1220上的信號(hào)��,和通過通信接口 1218的信號(hào)�,往返于處理系統(tǒng)1200并傳送數(shù)據(jù),這些信號(hào)是輸送信息的載波形式����。處理系統(tǒng)1200可以通過網(wǎng)絡(luò)��、網(wǎng)絡(luò)鏈路1220以及通信接口 1218發(fā)送消息并且接收數(shù)據(jù)���,包括程序代碼。
[0138]在一些實(shí)施方式中�����,處理系統(tǒng)1200可以是特別被配置為實(shí)現(xiàn)在本發(fā)明中描述的一個(gè)或多個(gè)特征的物理服務(wù)器或計(jì)算機(jī)的一部分��。例如�,在本發(fā)明中描述的服務(wù)VM和服務(wù)交換機(jī)可以是這種物理服務(wù)器上實(shí)現(xiàn)的虛擬部件。然而�,需要注意的是,服務(wù)器或計(jì)算機(jī)的配置不必限于所描述的實(shí)例��。在其他實(shí)施方式中�,只要服務(wù)器支持虛擬化,就可以在任何物理服務(wù)器上產(chǎn)生和配置在本發(fā)明中描述的服務(wù)VM和服務(wù)交換機(jī)���。
[0139]需要注意的是��,在本申請(qǐng)中描述“數(shù)據(jù)包”時(shí)�����,應(yīng)理解的是����,可以表示從節(jié)點(diǎn)中傳輸?shù)脑紨?shù)據(jù)包或其副本�。
[0140]需要注意的是,術(shù)語“第一”�����、“第二”等用于表示不同的物體�����,不必表示物體的順序�。
[0141]雖然顯示和描述了特定的實(shí)施方式,但是要理解的是�,這些實(shí)施方式并非旨在限制所要求的發(fā)明,并且對(duì)于本領(lǐng)域的技術(shù)人員���,在不背離所要求的發(fā)明的精神和范圍的情況下���,顯然可以進(jìn)行各種變化和修改�。因此���,說明書和附圖要被視為具有說明的而非限制的意義���。所要求的發(fā)明旨在涵蓋替換物、修改以及等同物���。
【主權(quán)項(xiàng)】
1.一種處理系統(tǒng)���,包括: 第一服務(wù)器,所述第一服務(wù)器具有第一服務(wù)模塊���;以及 第一服務(wù)交換機(jī)�; 其中���,所述第一服務(wù)器和所述第一服務(wù)交換機(jī)被配置為用于在多個(gè)虛擬機(jī)與虛擬交換機(jī)之間邏輯耦合���; 其中,所述第一服務(wù)器包括第一通信接口和第二通信接口�,所述第二通信接口被配置為與所述第一服務(wù)交換機(jī)通信。2.根據(jù)權(quán)利要求1所述的處理系統(tǒng)��,其中,所述第一通信接口被配置為與所述虛擬交換機(jī)通信����。3.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中���,所述第一服務(wù)交換機(jī)包括第三通信接口,被配置為與所述多個(gè)虛擬機(jī)通信����。4.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中��,所述第一服務(wù)交換機(jī)被配置為提供基于VM的網(wǎng)絡(luò)段��。5.根據(jù)權(quán)利要求4所述的處理系統(tǒng)�����,其中�����,所述基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng)��。6.根據(jù)權(quán)利要求4所述的處理系統(tǒng),其中�����,所述虛擬交換機(jī)也被配置為提供原始網(wǎng)絡(luò)段��,其中���,所述第一服務(wù)器包括映射�,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段���。7.根據(jù)權(quán)利要求4所述的處理系統(tǒng)���,其中,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段基于VLAN^橋�、VMwar e端口組。8.根據(jù)權(quán)利要求1所述的處理系統(tǒng)���,其中�����,一個(gè)虛擬機(jī)被配置為通過所述第一服務(wù)器與另一個(gè)虛擬機(jī)通信�����。9.根據(jù)權(quán)利要求1所述的處理系統(tǒng)�,其中,所述第一服務(wù)模塊包括防火墻����、IPS、WAF�、QoS或 DPI����。10.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中�,所述第一服務(wù)模塊被配置為提供虛擬化的功能。11.根據(jù)權(quán)利要求1所述的處理系統(tǒng)����,還包括所述虛擬交換機(jī)。12.根據(jù)權(quán)利要求11所述的處理系統(tǒng)����,其中,所述虛擬交換機(jī)包括Linux網(wǎng)橋�����、OpenvSwitch、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)����。13.根據(jù)權(quán)利要求1所述的處理系統(tǒng),其中��,所述第一通信接口被配置為通過第一trunk接口與所述虛擬交換機(jī)通信�,并且所述第二通信接口被配置為通過第二trunk接口與所述第一服務(wù)交換機(jī)通信。14.根據(jù)權(quán)利要求1所述的處理系統(tǒng)���,還包括: 第二服務(wù)器�,所述第二服務(wù)器具有第二服務(wù)模塊�;以及 第二服務(wù)交換機(jī); 其中�,第二服務(wù)器和第二服務(wù)交換機(jī)被配置為用于在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合。15.根據(jù)權(quán)利要求14所述的處理系統(tǒng)�����,其中��,所述第一服務(wù)器、第一服務(wù)交換機(jī)��、所述第二服務(wù)器以及所述第二服務(wù)交換機(jī)在邏輯上串聯(lián)耦合��。16.根據(jù)權(quán)利要求1所述的處理系統(tǒng)�,其中,所述服務(wù)器被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)��。17.—種數(shù)據(jù)中心���,該數(shù)據(jù)中心具有根據(jù)權(quán)利要求1所述的處理系統(tǒng)����、附加處理系統(tǒng)�����、以及物理交換機(jī)����,其中���,所述處理系統(tǒng)和所述附加處理系統(tǒng)與所述物理交換機(jī)耦合����,所述附加處理系統(tǒng)包括: 第二服務(wù)器,該第二服務(wù)器具有第二服務(wù)模塊��;以及 第二服務(wù)交換機(jī)�����; 其中�,所述第二服務(wù)器和所述第二服務(wù)交換機(jī)被配置為用于在附加多個(gè)虛擬機(jī)與附加虛擬交換機(jī)之間邏輯耦合。18.一種實(shí)現(xiàn)系統(tǒng)處理的方法��,包括: 提供第一服務(wù)器�����,該第一服務(wù)器具有第一服務(wù)模塊��; 提供第一服務(wù)交換機(jī)����;以及 在多個(gè)虛擬機(jī)與虛擬交換機(jī)之間邏輯耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī); 其中�����,所述第一服務(wù)器包括第一通信接口和第二通信接口,該第二通信接口被配置為與所述第一服務(wù)交換機(jī)通信���。19.根據(jù)權(quán)利要求18所述的方法�����,其中��,所述第一通信接口被配置為與所述虛擬交換機(jī)通信���。20.根據(jù)權(quán)利要求18所述的方法,其中����,所述第一服務(wù)交換機(jī)包括第三通信接口,其被配置為與所述多個(gè)虛擬機(jī)通信�。21.根據(jù)權(quán)利要求18所述的方法,還包括在所述第一服務(wù)交換機(jī)上提供基于VM的網(wǎng)絡(luò)段��。22.根據(jù)權(quán)利要求21所述的方法��,其中����,所述基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng)。23.根據(jù)權(quán)利要求21所述的方法�,其中,所述虛擬交換機(jī)被配置為提供原始網(wǎng)絡(luò)段���,其中��,所述方法還包括在所述第一服務(wù)器上提供映射�����,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段����。24.根據(jù)權(quán)利要求21所述的方法����,其中,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段系基于VLAN���、網(wǎng)橋����、VMwar e端口組��。25.根據(jù)權(quán)利要求18所述的方法,其中���,所述第一服務(wù)模塊包括防火墻�、IPS����、WAF、QoS或DPI�����。26.根據(jù)權(quán)利要求18所述的方法����,其中,所述第一服務(wù)模塊被配置為提供虛擬化的功會(huì)K�。27.根據(jù)權(quán)利要求18所述的方法,其中��,所述虛擬交換機(jī)包括Linux網(wǎng)橋��、OpenvSwitch��、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)����。28.根據(jù)權(quán)利要求18所述的方法,其中����,在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī)的行為包括通過第一 trunk接口連通地耦合所述第一服務(wù)器和所述虛擬交換機(jī),并且通過第二 trunk接口連通地耦合所述第一服務(wù)器和所述第一服務(wù)交換機(jī)�����。29.根據(jù)權(quán)利要求18所述的方法����,還包括: 提供第二服務(wù)器,該第二服務(wù)器具有第二服務(wù)模塊�; 提供第二服務(wù)交換機(jī);并且 在所述多個(gè)虛擬機(jī)與所述虛擬交換機(jī)之間邏輯耦合所述第二服務(wù)器和所述第二服務(wù)交換機(jī)。30.根據(jù)權(quán)利要求29所述的方法����,其中,所述第一服務(wù)器��、所述第一服務(wù)交換機(jī)��、所述第二服務(wù)器以及所述第二服務(wù)交換機(jī)在邏輯上串聯(lián)耦合���。31.根據(jù)權(quán)利要求18所述的方法�����,還包括將所述服務(wù)器配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)�����。32.—種處理系統(tǒng)����,包括: 服務(wù)t吳塊; 第一通信接口����,用于與虛擬交換機(jī)通信,所述虛擬交換機(jī)被配置為與多個(gè)虛擬機(jī)通信�����; 第二通信接口����,用于與所述虛擬交換機(jī)通信; 其中,所述服務(wù)模塊��、所述第一通信接口以及所述第二通信接口是服務(wù)器的一部分����; 并且�����,所述第一通信接口與在所述虛擬交換機(jī)上的多個(gè)基于VM的網(wǎng)絡(luò)段相關(guān)聯(lián)����,所述多個(gè)基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng);并且 所述第二通信接口與在所述虛擬交換機(jī)上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)。33.根據(jù)權(quán)利要求32所述的處理系統(tǒng)���,其中�,所述服務(wù)器包括映射��,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段�。34.根據(jù)權(quán)利要求32所述的處理系統(tǒng),其中����,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段基于VLAN、網(wǎng)橋���、VMwar e端口組�。35.根據(jù)權(quán)利要求32所述的處理系統(tǒng),其中�����,所述服務(wù)模塊包括防火墻�����、IPS����、WAF、QoS或DPI����。36.根據(jù)權(quán)利要求32所述的處理系統(tǒng),其中���,所述服務(wù)模塊被配置為提供虛擬化的功會(huì)K���。37.根據(jù)權(quán)利要求32所述的處理系統(tǒng),還包括所述虛擬交換機(jī)。38.根據(jù)權(quán)利要求37所述的處理系統(tǒng)�����,其中�,所述虛擬交換機(jī)包括Linux網(wǎng)橋、OpenvSwitch����、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)�����。39.根據(jù)權(quán)利要求32所述的處理系統(tǒng)�,其中,所述第一通信接口被配置為通過第一trunk接口與所述虛擬交換機(jī)通信����,并且所述第二通信接口被配置為通過第二 trunk接口與所述服務(wù)交換機(jī)通信。40.根據(jù)權(quán)利要求32所述的處理系統(tǒng)���,其中����,所述服務(wù)器被配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)。41.一種數(shù)據(jù)中心�,具有根據(jù)權(quán)利要求32所述的處理系統(tǒng)、附加處理系統(tǒng)��、以及物理交換機(jī)��,其中����,所述處理系統(tǒng)和所述附加處理系統(tǒng)與所述物理交換機(jī)耦合,其中�,所述附加處理系統(tǒng)包括: 附加服務(wù)模塊; 第三通信接口�����,用于與附加虛擬交換機(jī)通信���,所述虛擬交換機(jī)被配置為與附加的多個(gè)虛擬機(jī)通信�����;以及 第四通信接口����,用于與所述附加虛擬交換機(jī)通信; 其中��,所述附加服務(wù)模塊����、所述第三通信接口以及所述第四通信接口是附加服務(wù)器的一部分。42.—種實(shí)現(xiàn)系統(tǒng)處理的方法��,包括: 提供服務(wù)器����,所述服務(wù)器具有服務(wù)模塊;第一通信接口 ;以及第二通信接口����,其中�,所述第一通信接口被配置為用于與虛擬交換機(jī)通信,其中�,所述第二通信接口被配置為用于與所述虛擬交換機(jī)通信,所述虛擬交換機(jī)被配置為與多個(gè)虛擬機(jī)通信�;以及 通過使: 所述第一通信接口與在所述虛擬交換機(jī)上的多個(gè)基于VM的網(wǎng)絡(luò)段相關(guān)聯(lián), 所述多個(gè)基于VM的網(wǎng)絡(luò)段分別與所述多個(gè)虛擬機(jī)對(duì)應(yīng);并且 所述第二通信接口與在所述虛擬交換機(jī)上的原始網(wǎng)絡(luò)段相關(guān)聯(lián)���, 邏輯耦合所述服務(wù)器和所述虛擬交換機(jī)����。43.根據(jù)權(quán)利要求42所述的方法,還包括在所述虛擬交換機(jī)上提供基于VM的網(wǎng)絡(luò)段���。44.根據(jù)權(quán)利要求42所述的方法����,其中��,所述方法還包括在所述服務(wù)器上提供映射�,用于映射所述原始網(wǎng)絡(luò)段和所述基于VM的網(wǎng)絡(luò)段。45.根據(jù)權(quán)利要求42所述的方法����,其中,至少一個(gè)所述基于VM的網(wǎng)絡(luò)段基于VLAN��、網(wǎng)橋���、VMware 端 口 組����。46.根據(jù)權(quán)利要求42所述的方法����,其中���,所述服務(wù)模塊包括防火墻、IPS�����、WAF��、QoS或DPI����。47.根據(jù)權(quán)利要求42所述的方法,其中����,所述服務(wù)模塊被配置為提供虛擬化的功能�����。48.根據(jù)權(quán)利要求42所述的方法��,其中��,所述虛擬交換機(jī)包括Linux網(wǎng)橋、OpenvSwitch���、VMware vSphere標(biāo)準(zhǔn)交換機(jī)或VMware vSphere分布式交換機(jī)�。49.根據(jù)權(quán)利要求42所述的方法�����,其中�,邏輯耦合所述服務(wù)器和所述虛擬交換機(jī)的行為包括通過第一 trunk接口連通地親合所述服務(wù)器和所述虛擬交換機(jī),并且通過第二 trunk接口連通地耦合所述服務(wù)器和所述虛擬交換機(jī)�。50.根據(jù)權(quán)利要求42所述的方法,還包括將所述服務(wù)器配置為基于數(shù)據(jù)包目的地將數(shù)據(jù)包映射到不同的網(wǎng)絡(luò)段內(nèi)����。
【文檔編號(hào)】H04L12/931GK105933248SQ201610220488
【公開日】2016年9月7日
【申請(qǐng)日】2016年4月11日
【發(fā)明人】蔣東毅, 尚進(jìn), 陳懷臨, 李矩希, 張曄
【申請(qǐng)人】山石網(wǎng)科通信技術(shù)有限公司