[go: up one dir, main page]

CN103229489B - 虚拟机控制策略的配置方法和交换机 - Google Patents

虚拟机控制策略的配置方法和交换机 Download PDF

Info

Publication number
CN103229489B
CN103229489B CN201280002960.0A CN201280002960A CN103229489B CN 103229489 B CN103229489 B CN 103229489B CN 201280002960 A CN201280002960 A CN 201280002960A CN 103229489 B CN103229489 B CN 103229489B
Authority
CN
China
Prior art keywords
virtual machine
control
mac address
strategy
control strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280002960.0A
Other languages
English (en)
Other versions
CN103229489A (zh
Inventor
张恒梁
宋哲炫
李金成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XFusion Digital Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103229489A publication Critical patent/CN103229489A/zh
Application granted granted Critical
Publication of CN103229489B publication Critical patent/CN103229489B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种虚拟机控制策略的配置方法和交换机。该方法包括:接收针对虚拟机的第一控制策略;根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。由此,本发明实施例实现了MAC地址级别的控制策略的配置和管理,使得MAC地址级别的策略控制更加容易实现。

Description

虚拟机控制策略的配置方法和交换机
技术领域
本发明涉及通信领域,尤其涉及一种虚拟机控制策略的配置方法和交换机。
背景技术
虚拟化是实现云计算最重要的技术基础,虚拟化技术可以提高资源的利用率,并能够根据用户业务需求的变化,快速、灵活地进行资源部署。服务器虚拟化使得分隔良好的工作负荷能够再次共用硬件,大幅减少了实体服务器对空间的占用以及在电力和散热方面的消耗,终止了服务器蔓延,而且还大大加快了服务器设置的速度。
由于服务器应用场景的不同以及服务器类型的不同,因此要实现服务器虚拟化就要使用综合性虚拟化软件平台,而且也需要拥有多核心、高密度、可靠的内存,以及具有可扩展性的输入/输出(Input/Output,I/O)吞吐量的硬件平台。但是通用的服务器虚拟化技术无法在虚拟机级别进行保护和执行策略,也无法使策略随虚拟机移动。
在现有技术下,支持虚拟网卡标记VN-Tag(用来标识虚拟机的虚拟网卡)的虚拟交换机建立很多的端口用来和虚拟机的虚拟网卡对应,当虚拟机的虚拟网卡有数据进入虚拟交换机时,虚拟交换机就会对该数据添加VN-Tag再转发,实现了虚拟机级别的策略控制。但是现有技术的缺点是该方案的实现需要虚拟交换机、接入交换机、甚至核心网交换机同时支持该技术,因此需要对不支持VNTag技术的设备进行升级,这就使得该技术方案的应用具有局限性,而且需要升级设备成本也高。
发明内容
鉴于现有技术中利用VN-tag技术进行虚拟机控制策略配置的方法对设备要求高,成本大的问题,本发明实施例提供了一种虚拟机控制策略的配置方法和交换机。
第一方面,本发明实施例提供了一种虚拟机控制策略的配置方法,所述方法包括:
接收针对虚拟机的第一控制策略;
根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;
使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。
在第一种可能的实现方式中,所述得到第二控制策略之后,还包括:接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。
结合第一方面,在第二种可能的实现方式中,所述得到第二控制策略之后,还包括:接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;使用所述第二更新控制策略替换所述第二控制策略。
结合第一方面,在第三种可能的实现方式中,所述根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址之前,还包括:接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略具体为:使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
结合第一方面,在第五种可能的实现方式中,所述得到第二控制策略之后,还包括:根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行处理。
结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,所述根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行处理具体包括:接收以所述MAC地址为目的地址或源地址的数据包;根据所述第二控制策略,转发所述数据包或拒绝转发所述数据包。
结合第一方面或者第一方面的第一种、第二种、第三种、第四种、第五种、第六种可能的实现方式,在第七种可能的实现方式中,所述第一控制策略包括以下控制策略中的至少一种:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
第二方面,本发明实施例提供了一种交换机,包括控制模块,所述控制模块包括接收子模块、获取子模块、转化子模块;所述接收子模块,用于接收针对虚拟机的第一控制策略;所述获取子模块,用于根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;所述转化子模块,用于使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。
在第一种可能的实现方式中,所述接收子模块还用于,接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;所述转化子模块还用于,使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。
结合第二方面,在第二种可能的实现方式中,所述交换机还包括替换子模块;所述接收子模块,还用于接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;所述转化子模块,还用于获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;所述替换子模块,用于使用所述第二更新控制策略替换所述第二控制策略。
结合第二方面,在第三种可能的实现方式中,所述接收子模块还用于,接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中,所述转化子模块具体用于,使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
结合第二方面,在第五种可能的实现方式中,所述交换机还包括交换模块,所述交换模块与所述控制模块连接;所述交换模块,用于从所述控制模块接收所述第二控制策略,并且根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行转发或拒绝转发处理。
结合第二方面或者第二方面的第一种、第二种、第三种、第四种、第五种可能的实现方式,在第六种可能的实现方式中,所述控制策略包括但不限于下面一项或任意项的组合:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
本发明实施例中,交换机从网络管理中心获取针对虚拟机的第一控制策略;根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。由此,本发明实施例实现了MAC地址级别的控制策略的配置和管理,而且解决了现有技术中利用VN-tag技术进行虚拟机控制策略配置的方法对设备要求高,成本大的问题,节省了大量的经济成本,使得虚拟机级别的策略控制更加容易实现。
附图说明
图1为本发明实施例提供的一种虚拟机控制策略的配置方法的应用架构示意图;
图2为本发明实施例提供的一种虚拟机控制策略的配置方法流程图;
图3为本发明实施例提供的一种交换机示意图;
图4为本发明实施例提供的另一交换机示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。针对本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种虚拟机控制策略的配置方法的应用架构示意图。如图1所示,网络管理中心可以获得虚拟机的每个网口对应的虚拟MAC地址,并且可将虚拟机的虚拟网口的MAC地址和虚拟机的对应关系(该对应关系可通过虚拟机的虚拟机标识(本申请文件中的虚拟机标识指的是虚拟机的ID)和虚拟机的MAC地址的对应关系体现),以及针对虚拟机的控制策略发送到数据中心接入交换机的控制模块,其中该交换机可以为开放流OpenFlow交换机;控制模块在接收到虚拟网口的MAC地址和虚拟机的对应关系,以及针对虚拟机的控制策略后,可将该针对虚拟机的控制策略转换为针对MAC地址的控制策略;交换机在接收到来自虚拟机的某个MAC地址或者发送至虚拟机的某个MAC地址的数据包时,根据针对MAC地址的控制策略,可以对数据包进行相应处理,从而实现了针对该虚拟机的策略控制。
图2为本发明实施例提供的一种虚拟机控制策略的配置方法流程图。该实施例的执行主体是交换机,其中详细描述了交换机从网络管理中心获取针对虚拟机的控制策略后,将针对虚拟机的控制策略转换为针对MAC地址的控制策略的方法。如图2所示,该实施例包括以下步骤:
步骤201,接收针对虚拟机的第一控制策略。
为了实现本发明的技术方案,交换机包括控制模块和交换模块,交换模块和控制模块通过接口进行信息交互。交换机与网络管理中心之间可以通过管理接口进行通信,网络管理中心可主动向控制器部件发送虚拟机的每个网口对应的虚拟MAC地址,以及针对虚拟机的控制策略。
其中,交换机从网络管理中心获取的第一控制策略为针对虚拟机的控制策略,该控制策略包可以包括以下控制策略中的至少一种:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
例如,针对虚拟机的访问控制策略可以定义为拒绝转发发送至某台虚拟机的数据包。
当然,用户可以通过网络管理中心更新虚拟机的控制策略,此时网络管理中心可以向交换机发送该更新后的控制策略;而虚拟机发生迁移后,虚拟机的MAC地址也会对应发生变化,网络管理中心获取到该迁移信息后,也可主动将更新后的更新MAC地址发送给交换机。
步骤202,根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址。
网络管理中心将虚拟机的虚拟机标识和该虚拟机标识对应的MAC地址发送给交换机后,交换机可在本地数据库中保存该虚拟机标识和虚拟机MAC地址。
其中,一个虚拟机可以有一个或者多个网口,每个网口对应一个虚拟MAC地址,因此一台虚拟机可以有一个或者多个虚拟MAC地址,交换机可以从网络管理中心获取该一个或多个MAC地址。
当网络管理中心接收到虚拟机的第一控制策略后,交换机从第一控制策略中提取到虚拟机的虚拟机标识后,可以根据该虚拟机标识,在本地数据库中查询对应的MAC地址。
步骤203,使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。
如果虚拟机只有一个网口,即只有一个MAC地址,则将针对虚拟机的第一控制策略中的虚拟机标识直接替换为该MAC地址,即可得到针对该MAC地址的第二控制策略。如果虚拟机有多个网口,即多个MAC地址MAC1、MAC2、MAC3......MACn,则将第一控制策略中的虚拟机标识替换为MAC1后,即可得到针对MAC1地址的第二控制策略;将第一控制策略中的虚拟机标识替换为MAC2后,即可得到针对MAC2地址的第二控制策略;使用n个MAC地址中的每个MAC地址替换第一控制策略中的虚拟机标识后,即可得到n条第二控制策略。
例如,虚拟机1只有一网口,即只有一个MAC地址MAC1,如果第一控制策略为拒绝转发所有发送至虚拟机1的数据包,则第二控制策略为拒绝转发所有发送至MAC1的数据包。如果虚拟机有多个网口,即有多个MAC地址MAC1、MAC2、MAC3......MACn,则如果第一控制策略为拒绝转发所有发送至虚拟机1的数据包则第二控制策略为拒绝转发所有发送至MAC1、MAC2、MAC3......MACn的数据包。
当交换机中的控制模块将针对虚拟机的第一控制策略转换为针对MAC地址的第二控制策略后,即可将该第二控制策略发送至交换模块,用以交换模块根据该第二控制策略对源自或发送至该MAC地址的数据包进行处理。
具体地,交换模块接收到以所述MAC地址为目的地址或源地址的数据包时,即可根据数据包的源MAC地址或者目的MAC地址在本地查询对应的第二控制策略,从而对该数据包进行相应的处理。
当然,如果交换模块在接收到以所述MAC地址为目的地址或源地址的数据包后,在本地查询确定本地没有配置有对应第二控制策略,则控制模块可将该第二控制策略下发至交换机部件。如果控制模块内没有对应的第二控制策略,则可从网络管理中心获取该第二控制策略对应的针对虚拟机的第一控制策略以及对应的虚拟机MAC地址,并将该第一控制策略转化为第二控制策略后下发至交换模块。
在本发明实施例的一种可选的实现方式中,在得到第二控制策略后,还包括:接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。具体地,虚拟机发生迁移后,虚拟机的MAC地址也会对应发生变化,网络管理中心获取到该迁移信息后,也可主动通过地址变更消息将更新后的MAC地址发送至交换机,交换机可使用更新后的MAC地址来替换所保存的第二控制策略中的MAC地址,以得到第三控制策略。其中,如果更新后的MAC地址有m个,则使用m个MAC地址中的每个MAC地址替换第二控制策略中的原有的MAC地址,即可得到m条第三控制策略。
可选的,在得到更新后的MAC地址后,也可以根据MAC地址对应的虚拟机标识从网络管理中心获取针对虚拟机的第一控制策略,并使用m个MAC地址中的每个MAC地址替换第一控制策略中的虚拟机标识,即可得到m条第二控制策略。
这里需要说明的是,由于针对原有的MAC地址的第二控制策略也是从针对对应的虚拟机标识的第一控制策略转化而来,因此,在虚拟机的MAC地址发生更改后,便可将针对原有的MAC地址的第二控制策略删除,一方面可以节省空间,另一方面可防止在其他虚拟机的MAC地址变为该原有的MAC地址后,对相应的其他虚拟机产生错误的策略控制。
相应地,在得到第二控制策略之后,还包括:接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;使用所述第二更新控制策略替换所述第二控制策略。具体地,如果用户通过网络管理中心更新了针对虚拟机的控制策略,网络管理中心可以向交换机发送该更新后的控制策略,交换机接收到该更新后的控制策略后,可以将该更新后的控制策略转换为针对对应的MAC地址的控制策略,并使用该更新后的针对MAC地址的控制策略替换之前保存的第二控制策略,实现了动态控制策略的配置。
本发明实施例中,交换机从网络管理中心获取针对虚拟机的第一控制策略;根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。由此,本发明实施例实现了MAC地址级别的控制策略的配置和管理,而且解决了现有技术中利用VN-tag技术进行虚拟机控制策略配置的方法对设备要求高,成本大的问题,节省了大量的经济成本,使得虚拟机级别的策略控制更加容易实现。
需要说明的是,如果虚拟机所处的物理主机的的网络接口适配模块(物理网卡)支持混合模式(PromiscuousMode),则需要将物理网卡的工作状态设置为该混合模式。在混合模式下,物理网卡不会对发送出去的数据包进行源MAC地址的修改,从而可以保证虚拟机的虚拟网口发送的数据包的源MAC地址不会被改变;并且在接收到发送给该网卡的数据包时,不会对目标MAC地址进行过滤操作。如果交换机的物理网卡不支持混合模式,则需要对物理网卡进行功能升级,使得物理网卡在转发来自虚拟机的数据包的时候,不修改源MAC地址,在接收到发送给该网卡的数据包时,不会对目标MAC地址进行过滤操作。
相应地,本发明实施例还提供了一种交换机,该交换机可以为OpenFlow交换机。图3为本发明实施例提供的一种交换机示意图,如图3所示,交换机包括控制模块310,所述控制模块310包括接收子模块311、获取子模块312、转化子模块313;交换机还包括交换模块320。其中,交换模块320和控制模块310可以通过接口进行连接。例如对于OpenFlow交换机,控制模块310和交换模块320可以通过OpenFlow接口相连接。其中,
接收子模块311,用于接收针对虚拟机的第一控制策略。
接收子模块312还用于,接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
其中,交换机从网络管理中心获取的第一控制策略为针对虚拟机的控制策略,该控制策略包可以包括以下控制策略中的至少一种:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
例如,针对虚拟机的访问控制策略可以定义为拒绝转发发送至某台虚拟机的数据包。
获取子模块312,用于根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址。
网络管理中心将虚拟机的虚拟机标识和该虚拟机标识对应的MAC地址发送给交换机后,交换机可在本地数据库中保存该虚拟机标识和虚拟机MAC地址。
其中,一个虚拟机可以有一个或者多个网口,每个网口对应一个虚拟MAC地址,因此一台虚拟机可以有一个或者多个虚拟MAC地址,交换机可以从网络管理中心获取该一个或多个MAC地址。
当网络管理中心接收到虚拟机的第一控制策略后,交换机从第一控制策略中提取到虚拟机的虚拟机标识后,可以根据该虚拟机标识,在本地数据库中查询对应的MAC地址。
转化子模块313,用于使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。
转化子模块313具体用于,使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
如果虚拟机只有一个网口,即只有一个MAC地址,则将针对虚拟机的第一控制策略中的虚拟机标识直接替换为该MAC地址,即可得到针对该MAC地址的第二控制策略。如果虚拟机有多个网口,即多个MAC地址MAC1、MAC2、MAC3......MACn,则将第一控制策略中的虚拟机标识替换为MAC1后,即可得到针对MAC1地址的第二控制策略;将第一控制策略中的虚拟机标识替换为MAC2后,即可得到针对MAC2地址的第二控制策略;使用n个MAC地址中的每个MAC地址替换第一控制策略中的虚拟机标识后,即可得到n条第二控制策略。
当交换机中的控制模块310将针对虚拟机的第一控制策略转换为针对MAC地址的第二控制策略后,即可将该第二控制策略发送至交换模块,用以交换模块320根据该第二控制策略对源自或发送至该MAC地址的数据包进行处理。
交换模块320用于从所述控制模块接收所述第二控制策略,并且根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行转发或拒绝转发处理。
当然,如果交换模块320在接收到以所述MAC地址为目的地址或源地址的数据包后,在本地查询确定本地没有配置有对应第二控制策略,则控制模块310可将该第二控制策略下发至交换模块320。如果控制模块310内没有对应的第二控制策略,则可从网络管理中心获取该第二控制策略对应的针对虚拟机的第一控制策略以及对应的虚拟机MAC地址,并将该第一控制策略转化为第二控制策略后下发至交换模块320。
优选地,在虚拟机的地址发生变更时,接收子模块311还用于,接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;转化子模块313还用于,使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。具体地,虚拟机发生迁移后,虚拟机的MAC地址也会对应发生变化,网络管理中心获取到该迁移信息后,也可主动通过地址变更消息将更新后的MAC地址发送至交换机,交换机可使用更新后的MAC地址来替换所保存的第二控制策略中的MAC地址,以得到第三控制策略。其中,如果更新后的MAC地址有m个,则使用m个MAC地址中的每个MAC地址替换第二控制策略中的原有的MAC地址,即可得到m条第三控制策略。
可选的,在得到更新后的MAC地址后,也可以根据MAC地址对应的虚拟机标识从网络管理中心获取针对虚拟机的第一控制策略,并使用m个MAC地址中的每个MAC地址替换第一控制策略中的虚拟机标识,即可得到m条第二控制策略。
这里需要说明的是,由于针对原有的MAC地址的第二控制策略也是从针对对应的虚拟机标识的第一控制策略转化而来,因此,在虚拟机的MAC地址发生更改后,便可将针对原有的MAC地址的第二控制策略删除,一方面可以节省空间,另一方面可防止在其他虚拟机的MAC地址变为该原有的MAC地址后,对相应的其他虚拟机产生错误的策略控制。
优选地,交换机还包括替换子模块314,在针对虚拟机的控制策略发生变更后,接收子模块311,还用于接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;转化子模块313,还用于获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;替换子模块314,用于使用所述第二更新控制策略替换所述第二控制策略。具体地,如果用户通过网络管理中心更新了针对虚拟机的控制策略,网络管理中心可以向交换机发送该更新后的控制策略,交换机接收到该更新后的控制策略后,可以将该更新后的控制策略转换为针对对应的MAC地址的控制策略,并使用该更新后的针对MAC地址的控制策略替换之前保存的第二控制策略,实现了动态控制策略的配置。
由此,本发明实施例实现了MAC地址级别的控制策略的配置和管理,而且解决了现有技术中利用VN-tag技术进行虚拟机控制策略配置的方法对设备要求高,成本大的问题,节省了大量的经济成本,使得虚拟机级别的策略控制更加容易实现。
相应地,本发明实施例还提供了一种交换机,图4为本发明实施例提供的另一交换机示意图。如图4所示,本实施例提供的交换机包括网络接口401、处理器402和存储器403。系统总线404用于连接网络接口401、处理器402和存储器403。
网络接口401可分别用于与网络管理中心和虚拟机所在的物理主机通信。
存储器403可以是永久存储器,例如硬盘驱动器和闪存,存储器403中具有软件模块和设备驱动程序,还还可以保存有用来存储控制策略的数据库。软件模块能够执行本发明上述方法的各种功能模块;设备驱动程序可以是网络和接口驱动程序。
在启动时,这些软件组件被加载到存储器403中,然后被处理器402访问并执行如下指令:
接收针对虚拟机的第一控制策略;
根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;
使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略。
其中,第一控制策略包括以下控制策略中的至少一种:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
网络管理中心将虚拟机的虚拟机标识和该虚拟机标识对应的MAC地址发送给交换机后,交换机可在本地数据库中保存该虚拟机标识和虚拟机MAC地址。
其中,一个虚拟机可以有一个或者多个网口,每个网口对应一个虚拟MAC地址,因此一台虚拟机可以有一个或者多个虚拟MAC地址,交换机可以从网络管理中心获取该一个或多个MAC地址。
当网络管理中心接收到虚拟机的第一控制策略后,交换机从第一控制策略中提取到虚拟机的虚拟机标识后,可以根据该虚拟机标识,在本地数据库中查询对应的MAC地址。
进一步的,在得到第二控制策略后,所述处理器402访问存储器403的软件组件后,执行以下过程的指令:
接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;
使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。
具体地,虚拟机发生迁移后,虚拟机的MAC地址也会对应发生变化,网络管理中心获取到该迁移信息后,也可主动通过地址变更消息将更新后的MAC地址发送至交换机,交换机可使用更新后的MAC地址来替换所保存的第二控制策略中的MAC地址,以得到第三控制策略。其中,如果更新后的MAC地址有m个,则使用m个MAC地址中的每个MAC地址替换第二控制策略中的原有的MAC地址,即可得到m条第三控制策略。
可选的,在得到更新后的MAC地址后,也可以根据MAC地址对应的虚拟机标识从网络管理中心获取针对虚拟机的第一控制策略,并使用m个MAC地址中的每个MAC地址替换第一控制策略中的虚拟机标识,即可得到m条第二控制策略。
这里需要说明的是,由于针对原有的MAC地址的第二控制策略也是从针对对应的虚拟机标识的第一控制策略转化而来,因此,在虚拟机的MAC地址发生更改后,便可将针对原有的MAC地址的第二控制策略删除,一方面可以节省空间,另一方面可防止在其他虚拟机的MAC地址变为该原有的MAC地址后,对相应的其他虚拟机产生错误的策略控制。
进一步的,在得到第二控制策略后,所述处理器402访问存储器403的软件组件后,执行以下过程的指令:
接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;
获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;
使用所述第二更新控制策略替换所述第二控制策略。
具体地,如果用户通过网络管理中心更新了针对虚拟机的控制策略,网络管理中心可以向交换机发送该更新后的控制策略,交换机接收到该更新后的控制策略后,可以将该更新后的控制策略转换为针对对应的MAC地址的控制策略,并使用该更新后的针对MAC地址的控制策略替换之前保存的第二控制策略,实现了动态控制策略的配置。
进一步的,在所述根据所述第一控制策略中的虚拟机标识,查询所述虚拟机的MAC地址之前,所述处理器402访问存储器403的软件组件后,执行以下过程的指令:接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
其中,处理器402执行使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略的过程具体为:使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
进一步的,在交换机通过网络接口401接收到数据包后,处理器402访问存储器403的软件组件后,执行以下过程的指令:根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行处理。具体地,接收以所述MAC地址为目的地址或源地址的数据包;根据所述第二控制策略,转发所述数据包或拒绝转发所述数据包。
由此,本发明实施例实现了MAC地址级别的控制策略的配置和管理,而且解决了现有技术中利用VN-tag技术进行虚拟机控制策略配置的方法对设备要求高,成本大的问题,节省了大量的经济成本,使得虚拟机级别的策略控制更加容易实现。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种虚拟机控制策略的配置方法,其特征在于,所述方法包括:
接收针对虚拟机的第一控制策略;
根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;
使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略;
接收以所述MAC地址为目的地址或源地址的数据包,其中,当接收以所述MAC地址为源地址的数据包时,不修改所述源地址,当接收以所述MAC地址为目的地址的数据包时,不对所述目的地址进行过滤操作;
根据所述第二控制策略,转发所述数据包或拒绝转发所述数据包。
2.根据权利要求1所述的虚拟机控制策略的配置方法,其特征在于,所述得到第二控制策略之后,还包括:
接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;
使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。
3.根据权利要求1所述的虚拟机控制策略的配置方法,其特征在于,所述得到第二控制策略之后,还包括:
接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;
获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;
使用所述第二更新控制策略替换所述第二控制策略。
4.根据权利要求1所述的虚拟机控制策略的配置方法,其特征在于,所述根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址之前,还包括:接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
5.根据权利要求4所述的虚拟机控制策略的配置方法,其特征在于,所述使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略具体为:
使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
6.根据权利要求1-5任一项所述的虚拟机控制策略的配置方法,其特征在于,所述第一控制策略包括以下控制策略中的至少一种:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
7.一种交换机,其特征在于,所述交换机包括控制模块,所述控制模块包括接收子模块、获取子模块、转化子模块;
所述接收子模块,用于接收针对虚拟机的第一控制策略;
所述获取子模块,用于根据所述第一控制策略中的虚拟机标识,获取所述虚拟机的MAC地址;
所述转化子模块,用于使用所述虚拟机的MAC地址替换所述第一控制策略中的所述虚拟机标识,得到第二控制策略;
所述交换机还包括交换模块,所述交换模块与所述控制模块连接;
所述交换模块,用于从所述控制模块接收所述第二控制策略,以及接收以所述MAC地址为目的地址或源地址的数据包,其中,当接收以所述MAC地址为源地址的数据包时,不修改所述源地址,当接收以所述MAC地址为目的地址的数据包时,不对所述目的地址进行过滤操作;并且根据所述第二控制策略,对接收到的并且以所述MAC地址为目的地址或源地址的数据包进行转发或拒绝转发处理。
8.根据权利要求7所述的交换机,其特征在于,所述接收子模块还用于,接收针对所述虚拟机的地址变更消息,所述地址变更消息携带更新MAC地址;
所述转化子模块还用于,使用所述更新MAC地址替换所述第二控制策略中的所述MAC地址,得到第三控制策略。
9.根据权利要求7所述的交换机,其特征在于,所述交换机还包括替换子模块;
所述接收子模块,还用于接收针对所述虚拟机的第一更新控制策略,所述第一更新控制策略中包括所述虚拟机的所述虚拟机标识;
所述转化子模块,还用于获取所述虚拟机标识对应的所述MAC地址,使用所述MAC地址替换所述第一更新控制策略中的所述虚拟机标识,得到第二更新控制策略;
所述替换子模块,用于使用所述第二更新控制策略替换所述第二控制策略。
10.根据权利要求7所述的交换机,其特征在于,所述接收子模块还用于,接收所述虚拟机标识,以及所述虚拟机标识对应的N个MAC地址,其中,N大于或者等于1。
11.根据权利要求10所述的交换机,其特征在于,所述转化子模块具体用于,使用所述N个MAC地址逐一替换所述第一控制策略中的所述虚拟机标识,得到N条第二控制策略,所述N条第二控制策略分别与所述N个MAC地址一一对应。
12.根据权利要求7-11任一项所述的交换机,其特征在于,所述控制策略包括但不限于下面一项或任意项的组合:访问控制策略,资源预留策略,流量优先级策略,最大流量延时策略,最大流量丢包率策略,最大流量抖动策略。
CN201280002960.0A 2012-12-21 2012-12-21 虚拟机控制策略的配置方法和交换机 Active CN103229489B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/087123 WO2014094287A1 (zh) 2012-12-21 2012-12-21 虚拟机控制策略的配置方法和交换机

Publications (2)

Publication Number Publication Date
CN103229489A CN103229489A (zh) 2013-07-31
CN103229489B true CN103229489B (zh) 2016-05-25

Family

ID=48838364

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280002960.0A Active CN103229489B (zh) 2012-12-21 2012-12-21 虚拟机控制策略的配置方法和交换机

Country Status (2)

Country Link
CN (1) CN103229489B (zh)
WO (1) WO2014094287A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426760A (zh) * 2013-08-23 2015-03-18 中兴通讯股份有限公司 流映射处理方法及装置
CN104717181B (zh) * 2013-12-13 2018-10-23 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104735000A (zh) * 2013-12-23 2015-06-24 中兴通讯股份有限公司 OpenFlow信令控制方法及装置
CN105577548B (zh) * 2014-10-10 2018-10-09 新华三技术有限公司 一种软件定义网络中报文处理方法和装置
CN104699522B (zh) * 2015-03-17 2017-10-13 成都麦进斗科技有限公司 一种虚拟机动态迁移方法
CN107566319B (zh) * 2016-06-30 2021-01-26 中央大学 虚拟机器即时转移方法
US10938583B2 (en) 2017-10-09 2021-03-02 Comcast Cable Communications, Llc Ethernet type packet data unit session communications
US10855814B2 (en) 2017-10-20 2020-12-01 Comcast Cable Communications, Llc Non-access stratum capability information

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102136931A (zh) * 2010-09-20 2011-07-27 华为技术有限公司 虚端口网络策略配置方法、一种网络管理中心和相关设备
CN102413183A (zh) * 2011-11-22 2012-04-11 中国联合网络通信集团有限公司 云智能交换机及其处理方法、系统
CN102571698A (zh) * 2010-12-17 2012-07-11 中国移动通信集团公司 一种虚拟机访问权限的控制方法、系统及装置
CN102739645A (zh) * 2012-04-23 2012-10-17 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8887227B2 (en) * 2010-03-23 2014-11-11 Citrix Systems, Inc. Network policy implementation for a multi-virtual machine appliance within a virtualization environtment
CN101909054B (zh) * 2010-07-15 2012-12-19 华中科技大学 虚拟化环境中多网络接口卡聚合的方法
CN101916207B (zh) * 2010-08-28 2013-10-09 华为技术有限公司 桌面虚拟化环境下的节能方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102136931A (zh) * 2010-09-20 2011-07-27 华为技术有限公司 虚端口网络策略配置方法、一种网络管理中心和相关设备
CN102571698A (zh) * 2010-12-17 2012-07-11 中国移动通信集团公司 一种虚拟机访问权限的控制方法、系统及装置
CN102413183A (zh) * 2011-11-22 2012-04-11 中国联合网络通信集团有限公司 云智能交换机及其处理方法、系统
CN102739645A (zh) * 2012-04-23 2012-10-17 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置

Also Published As

Publication number Publication date
CN103229489A (zh) 2013-07-31
WO2014094287A1 (zh) 2014-06-26

Similar Documents

Publication Publication Date Title
CN103229489B (zh) 虚拟机控制策略的配置方法和交换机
US11962501B2 (en) Extensible control plane for network management in a virtual infrastructure environment
CN107078969B (zh) 实现负载均衡的计算机设备、系统和方法
EP3525423B1 (en) Packet processing method in cloud computing system, host, and system
EP3720189B1 (en) Data routing method and terminal
US20140254603A1 (en) Interoperability for distributed overlay virtual environments
US11095716B2 (en) Data replication for a virtual networking system
WO2014190791A1 (zh) 一种网关设备身份设置的方法及管理网关设备
CN109525684B (zh) 报文转发方法和装置
EP3160092B1 (en) Method and device for network resource balancing
US10693785B2 (en) Method and system for forwarding data, virtual load balancer, and readable storage medium
CN111193773A (zh) 负载均衡方法、装置、设备及存储介质
US10243799B2 (en) Method, apparatus and system for virtualizing a policy and charging rules function
CN103067295A (zh) 业务传输的方法、装置与系统
CN101778050A (zh) 负载均衡方法、装置和系统
CN102148715A (zh) 虚拟网络配置迁移的方法及设备
JP2017509055A (ja) 並列プロトコル・スタック・インスタンスに基づいてデータパケットを処理する方法および装置
CN112583655B (zh) 数据传输方法、装置、电子设备及可读存储介质
CN104995610A (zh) 平台内的联网
CN113709052B (zh) 一种网络报文的处理方法、装置、电子设备和存储介质
US10791088B1 (en) Methods for disaggregating subscribers via DHCP address translation and devices thereof
KR101984846B1 (ko) 객체 이동성을 제공하는 통신 방법 및 장치
EP4297361A1 (en) Data packet sending method and device
CN116886789A (zh) 数据传输方法、装置、设备及介质
CN104717216A (zh) 一种网络接入控制方法、装置及核心设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211221

Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province

Patentee after: xFusion Digital Technologies Co., Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right