网络转发方法及设备与流程

本申请涉及计算机领域，尤其涉及一种网络转发方法及设备。

背景技术：

目前传统的开源软件，虚拟机和物理交换机之间进行网络报文的转发，性能普遍存在瓶颈1～2Mpps左右。

现有的虚拟化网络管理有两大种类：

1.使用虚拟网卡(vhost+virtionet)的模式，这种模式是使用软件的方式对网络进行管理，其转发性能较低；

2.使用单根输入输出虚拟化(SRIOV，Single-Root I/O Virtualization)的模式将网络报文直接传递给物理交换机，这种模式是使用硬件的方式对网络进行管理，可以做到接近线速，但是无法对网络报文内容进行访问控制，仅仅适合内部使用。

技术实现要素：

本申请的一个目的是提供一种网络转发方法及设备，解决虚拟化网络中虚拟机和物理交换机之间进行网络报文的转发性能低和无法进行安全控制的问题。

根据本申请的一个方面，提供了一种网络转发方法，其中，该方法包括：

利用安全网卡的邮箱消息机制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输。

进一步的，上述方法中，利用安全网卡的邮箱消息机制，包括：

利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道；

利用安全网卡的邮箱消息机制，为所述虚拟网关分配一个与物理交换机通讯的外网邮箱通道。

进一步的，上述方法中，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道之后，还包括：

根据每个虚拟机的配置设置其对应的内网邮箱通道的带宽。

进一步的，上述方法中，利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道，包括：

禁止各个虚拟机之间通过邮箱通道进行直接的通讯，设置每个虚拟机只接收来自虚拟网关的网络报文。

进一步的，上述方法中，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，包括：

所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文；和/或

所述虚拟网关通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文。

进一步的，上述方法中，所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文，包括：

所述虚拟网关通过每个内网邮箱通道接收从虚拟机发来的内网报文，解析所述内网报文并进行访问控制检查，

若所述内网报文非法，则丢弃所述内网报文；

若所述内网报文合法，所述虚拟网关将所述内网报文重新封装成外网报文，并通过所述外网邮箱通道将所述外网报文发送给所述物理交换机。

进一步的，上述方法中，所述内网报文包括一对应于所述虚拟网关的虚拟局域网编号，所有内网报文统一使用同一个虚拟局域网编号，且该虚拟局域网编号不被所述物理交换机使用。

进一步的，上述方法中，所述虚拟网关通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文，包括：

所述虚拟网关通过所述外网邮箱通道从物理交换机接收外网报文后，对所述外网报文做访问控制的检查，

若所述外网报文非法，则丢弃所述外网报文；

若所述外网报文合法，则将所述外网报文重新封装为一个发往对应的虚拟机的内网报文，并通过所述内网邮箱通道，将所述内网报文发送至对应的虚拟机。

根据本申请的另一个方面，还提供一种网络转发设备，其中，该设备包括：

虚拟网关，用于利用安全网卡的邮箱消息机制，负责每个虚拟机与物理交换机之间的网络报文的传输。

进一步的，上述设备中，所述设备还包括：

配置装置，用于利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道；及利用安全网卡的邮箱消息机制，为所述虚拟网关分配一个与物理交换机通讯的外网邮箱通道。

进一步的，上述设备中，所述配置装置，还用于根据每个虚拟机的配置设置其对应的内网邮箱通道的带宽。

进一步的，上述设备中，所述配置装置，用于禁止各个虚拟机之间通过邮箱通道进行直接的通讯，设置每个虚拟机只接收来自虚拟网关的网络报文。

进一步的，上述设备中，所述虚拟网关，用于通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文；和/或

所述虚拟网关，用于通过所述外网邮箱通道从物理交换机接收网络报 文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文。

进一步的，上述设备中，所述虚拟网关，用于通过每个内网邮箱通道接收从虚拟机发来的内网报文，解析所述内网报文并进行访问控制检查，

若所述内网报文非法，则丢弃所述内网报文；

若所述内网报文合法，所述虚拟网关将所述内网报文重新封装成外网报文，并通过所述外网邮箱通道将所述外网报文发送给所述物理交换机。

进一步的，上述设备中，所述内网报文包括一对应于所述虚拟网关的虚拟局域网编号，所有内网报文统一使用同一个虚拟局域网编号，且该虚拟局域网编号不被所述物理交换机使用。

进一步的，上述设备中，所述虚拟网关，用于通过所述外网邮箱通道从物理交换机接收外网报文后，对所述外网报文做访问控制的检查，

若所述外网报文非法，则丢弃所述外网报文；

若所述外网报文合法，则将所述外网报文重新封装为一个发往对应的虚拟机的内网报文，并通过所述内网邮箱通道，将所述内网报文发送至对应的虚拟机。

与现有技术相比，本申请利用安全网卡的邮箱消息机制，减少了CPU的消耗，实现了虚网关和虚拟机之间的报文传输通道，在获得高网络转发性能的同时，通过软件作逻辑控制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，还能够做到对网络安全可控。

进一步的，本申请虚拟网关配有两个邮箱通道，一个是用来跟服务器的内部虚拟机通讯的内网邮箱通道，另外一个是跟外部的物理交换机进行连接通讯的外网邮箱通道，通过内网邮箱通道每个虚拟机能且只能跟虚拟机进行通讯，这样保证所有进出虚拟机的网络流量都经过虚拟网关的处理，另外，可在虚拟网关里做相关的安全管理和访问控制，虚拟网关负责所有虚拟机的网络流量的转发工作。

进一步的，为了保证各个内网邮箱通道的公平性，本申请为每个通道限制了具体的带宽，这个带宽值跟各个虚拟机具体的配置相匹配。

进一步，为了防止恶意用户的探测和攻击，本申请禁止各个虚拟机之间的通过邮箱通道进行直接的通讯，因为默认网卡各个邮箱通道之间没有任何限制，所述这里通过使用报文过滤规则，限制禁止了各个虚拟机之间直接的邮箱通道，保证在服务器上设置每个虚拟机只接受来自虚拟网关的网络报文，其他的网络报文直接丢弃，不会被发送到邮箱通道关联的虚拟机上。

进一步的，本申请让物理交换机保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，以作为安全隔离，保证虚拟机所有的流量不会直接流向物理交换机，将虚拟机的流量通过虚拟网关传输，因为虚拟局域网编号有上千个，而目前物理交换机只是用其中的几百个虚拟局域网编号，所以保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，在提高网络转发的安全性的同时，不会影响目前的网络配置。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出根据本申请一个方面的一种网络转发方法的原理图；

图2示出英特尔的82599万兆网卡的结构图；

图3示出根据本申请一个优选实施例的网络转发方法的原理图；

图4示出根据本申请另一优选实施例的网络转发方法的原理图；

图5示出根据本申请又一优选实施例的网络转发方法的原理图；

图6示出根据本申请另一个方面的网络转发设备的结构图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本发明作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

根据本申请的一个方面，提供一种网络转发方法，如图1所示，该方法包括：

利用安全网卡的邮箱消息机制，由虚拟网关(VGW)负责每个虚拟机(VM)与物理交换机(SW)之间的网络报文的传输。在此，安全网卡提供了一个邮箱消息机制，本实施例利用这个硬件的邮箱消息机制，减少了CPU的消耗，实现了虚网关和虚拟机之间的报文传输通道，在获得高网络转发性能的同时，通过软件作逻辑控制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，还能够做到对网络安全可控。具体的，所述安全网卡可以是如图2所示的英特尔(intel)的82599万兆网卡，其中intel的82599 万兆网卡包括虚拟邮箱内存(VBMBMEN)、万兆网卡里硬件对内的一个组(PFMAILBOX)、虚拟机能看到的邮箱(VF₀～VF_n)和转发模块(PFMBICR)。

本申请的网络转发方法一优选的实施例中，利用安全网卡的邮箱消息机制，包括：

利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道；

利用安全网卡的邮箱消息机制，为所述虚拟网关分配一个与物理交换机通讯的外网邮箱通道。在此，为每个虚拟机分配一个内网邮箱通道，通过这个内网邮箱通道每个虚拟机能且只能跟虚拟机进行通讯，这样保证所有进出虚拟机的网络流量都经过虚拟网关的处理，另外，可在虚拟网关里做相关的安全管理和访问控制，虚拟网关负责所有虚拟机的网络流量的转发工作，虚拟网关配有两个邮箱通道，一个是用来跟服务器的内部虚拟机通讯的内网邮箱通道，另外一个是跟外部的物理交换机进行连接通讯的外网邮箱通道，虚拟网关负责转发从虚拟机发出的流量到物理交换机，同时接受从物理交换机发来的到虚拟机的流量。

本申请的网络转发方法一优选的实施例中，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道之后，还包括：

根据每个虚拟机的配置设置其对应的内网邮箱通道的带宽。在此，为了保证各个内网邮箱通道的公平性，可为每个通道限制了具体的带宽，这个带宽值跟各个虚拟机具体的配置相匹配。

本申请的网络转发方法一优选的实施例中，如图3所示，利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道，包括：

禁止各个虚拟机之间通过邮箱通道进行直接的通讯，设置每个虚拟机只接收来自虚拟网关的网络报文。在此，为了防止恶意用户的探测和攻击，禁止各个虚拟机之间的通过邮箱通道进行直接的通讯，因为默认网卡各个邮 箱通道之间没有任何限制，所述这里通过使用报文过滤规则，限制禁止了各个虚拟机之间直接的邮箱通道，保证在服务器上设置每个虚拟机只接受来自虚拟网关的网络报文，其他的网络报文直接丢弃，不会被发送到邮箱通道关联的虚拟机上。

本申请的网络转发方法一优选的实施例中，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，包括：

所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文；和/或

所述虚拟网关通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文。

本申请的网络转发方法一优选的实施例中，如图4所示，所述虚拟网关通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文，包括：

所述虚拟网关通过每个内网邮箱通道接收从虚拟机发来的内网报文，解析所述内网报文并进行访问控制检查，

若所述内网报文非法，则丢弃所述内网报文；

若所述内网报文合法，所述虚拟网关将所述内网报文重新封装成外网报文，并通过所述外网邮箱通道将所述外网报文发送给所述物理交换机。具体的，每个虚拟机发送的网络报文，经过内网邮箱通道可被自动封装一个虚拟局域网(Vlan)的头部以生成内网报文，并被转发到内网邮箱通道里，虚拟网关解析该内网报文并检查对应的访问控制策略，如果内网报文非法，如目的地IP在黑名单里，那么就直接丢弃内网报文；否则虚拟网关会首先剥除内网报文的头部，再封装成一个新的外网报文，通过外网邮箱通道直接发送给物理交换机。

本申请的网络转发方法一优选的实施例中，所述内网报文包括一对应于所述虚拟网关的虚拟局域网编号(VlanID)，所有内网报文统一使用同 一个虚拟局域网编号，且该虚拟局域网编号不被所述物理交换机使用。具体的，因为英特尔的82599等安全网卡默认的流量隔离是通过虚拟局域网编号进行的，所以虚拟机网络使用的虚拟局域网编号不应在物理交换机上用，在本实施例中，需要让物理交换机保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，以作为安全隔离，保证虚拟机所有的流量不会直接流向物理交换机，将虚拟机的流量通过虚拟网关传输，因为虚拟局域网编号有上千个，而目前物理交换机只是用其中的几百个虚拟局域网编号，所以保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，在提高网络转发的安全性的同时，不会影响目前的网络配置。

本申请的网络转发方法一优选的实施例中，如图5所示，所述虚拟网关通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文，包括：

所述虚拟网关通过所述外网邮箱通道从物理交换机接收外网报文后，对所述外网报文做访问控制的检查，

若所述外网报文非法，则丢弃所述外网报文；

若所述外网报文合法，则将所述外网报文重新封装为一个发往对应的虚拟机的内网报文，并通过所述内网邮箱通道，将所述内网报文发送至对应的虚拟机。具体的，对于每个从物理交换机需要发往虚拟机的网络报文，整个服务器对外暴露的只有一个虚拟网关的网口，因此所有的网络报文都会默认发向虚拟网关，所述虚拟网关通过所述外网邮箱通道从物理交换机接收外网报文后，首先做访问控制的检查，如果不合法则直接丢弃外网报文；对于合法的访问，外网报文会被虚拟网关重新封装为一个发往正确虚拟机的内网报文，并交给网卡，通过内网邮箱通道，发送给目的地的虚拟机。

在公有云平台上，安全和性能是两个矛盾的话题。基于软件的方案可以做到很高的安全性，但是性能很难保证。完全硬件的方案则相反，性能很高，但是安全性很差。本申请在利用硬件的做数据流处理的同时，使用软件做逻 辑控制，例如通过安全网卡自带的邮箱消息机制和报文过滤机制，以及虚拟局域网编号分流结合，实现了高安全，高性能的网络转发方案，从而做到在牺牲极小性能的基础上，做到软件同样的安全性。

如图1和6所示，根据本申请的另一面，还提供一种网络转发设备100，该设备包括：

虚拟网关1，用于利用安全网卡的邮箱消息机制，负责每个虚拟机与物理交换机之间的网络报文的传输。在此，安全网卡提供了一个邮箱消息机制，本实施例利用这个硬件的邮箱消息机制，减少了CPU的消耗，实现了虚网关和虚拟机之间的报文传输通道，在获得高网络转发性能的同时，通过软件作逻辑控制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，还能够做到对网络安全可控。具体的，所述安全网卡可以是如图2所示的英特尔(intel)的82599万兆网卡，其中intel的82599万兆网卡包括虚拟邮箱内存(VBMBMEN)、万兆网卡里硬件对内的一个组(PFMAILBOX)、虚拟机能看到的邮箱(VF₀～VF_n)和转发模块(PFMBICR)。

如图6所示，本申请网络转发设备一优选的实施例中，所述设备还包括：

配置装置2，用于利用安全网卡的邮箱消息机制，为每个虚拟机分配一个只能跟虚拟网关通讯的内网邮箱通道；及利用安全网卡的邮箱消息机制，为所述虚拟网关分配一个与物理交换机通讯的外网邮箱通道。在此，为每个虚拟机分配一个内网邮箱通道，通过这个内网邮箱通道每个虚拟机能且只能跟虚拟机进行通讯，这样保证所有进出虚拟机的网络流量都经过虚拟网关的处理，另外，可在虚拟网关里做相关的安全管理和访问控制，虚拟网关负责所有虚拟机的网络流量的转发工作，虚拟网关配有两个邮箱通道，一个是用来跟服务器的内部虚拟机通讯的内网邮箱通道，另外一个是跟外部的物理交换机进行连接通讯的外网邮箱通道，虚拟网关负责转发从虚拟机发出的流量到物理交换机，同时接受从物理交换机发来的到虚拟机的流量。

本申请网络转发设备一优选的实施例中，所述配置装置2，还用于根据每个虚拟机的配置设置其对应的内网邮箱通道的带宽。在此，为了保证各个内网邮箱通道的公平性，可为每个通道限制了具体的带宽，这个带宽值跟各个虚拟机具体的配置相匹配。

本申请网络转发设备一优选的实施例中，如图3所示，所述配置装置2，用于禁止各个虚拟机之间通过邮箱通道进行直接的通讯，设置每个虚拟机只接收来自虚拟网关的网络报文。在此，为了防止恶意用户的探测和攻击，禁止各个虚拟机之间的通过邮箱通道进行直接的通讯，因为默认网卡各个邮箱通道之间没有任何限制，所述这里通过使用报文过滤规则，限制禁止了各个虚拟机之间直接的邮箱通道，保证在服务器上设置每个虚拟机只接受来自虚拟网关的网络报文，其他的网络报文直接丢弃，不会被发送到邮箱通道关联的虚拟机上。

本申请网络转发设备一优选的实施例中，所述虚拟网关1，用于通过所述内网邮箱通道从每个虚拟机接收网络报文，并通过所述外网邮箱通道向物理交换机转发所述网络报文；和/或

所述虚拟网关1，用于通过所述外网邮箱通道从物理交换机接收网络报文，并通过所述内网邮箱通道向对应的虚拟机转发网络报文。

本申请网络转发设备一优选的实施例中，如图4所示，所述虚拟网关1，用于通过每个内网邮箱通道接收从虚拟机发来的内网报文，解析所述内网报文并进行访问控制检查，

若所述内网报文非法，则丢弃所述内网报文；

若所述内网报文合法，所述虚拟网关将所述内网报文重新封装成外网报文，并通过所述外网邮箱通道将所述外网报文发送给所述物理交换机。具体的，每个虚拟机发送的网络报文，经过内网邮箱通道可被自动封装一个虚拟局域网(Vlan)的头部以生成内网报文，并被转发到内网邮箱通道里，虚拟网关解析该内网报文并检查对应的访问控制策略，如果内网报文非法， 如目的地IP在黑名单里，那么就直接丢弃内网报文；否则虚拟网关会首先剥除内网报文的头部，再封装成一个新的外网报文，通过外网邮箱通道直接发送给物理交换机。

本申请网络转发设备一优选的实施例中，所述内网报文包括一对应于所述虚拟网关的虚拟局域网编号，所有内网报文统一使用同一个虚拟局域网编号，且该虚拟局域网编号不被所述物理交换机使用。具体的，因为英特尔的82599等安全网卡默认的流量隔离是通过虚拟局域网编号进行的，所以虚拟机网络使用的虚拟局域网编号不应在物理交换机上用，在本实施例中，需要让物理交换机保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，以作为安全隔离，保证虚拟机所有的流量不会直接流向物理交换机，将虚拟机的流量通过虚拟网关传输，因为虚拟局域网编号有上千个，而目前物理交换机只是用其中的几百个虚拟局域网编号，所以保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，在提高网络转发的安全性的同时，不会影响目前的网络配置。

本申请网络转发设备一优选的实施例中，如图5所示，所述虚拟网关，用于通过所述外网邮箱通道从物理交换机接收外网报文后，对所述外网报文做访问控制的检查，

若所述外网报文非法，则丢弃所述外网报文；

若所述外网报文合法，则将所述外网报文重新封装为一个发往对应的虚拟机的内网报文，并通过所述内网邮箱通道，将所述内网报文发送至对应的虚拟机。具体的，对于每个从物理交换机需要发往虚拟机的网络报文，整个服务器对外暴露的只有一个虚拟网关的网口，因此所有的网络报文都会默认发向虚拟网关，所述虚拟网关通过所述外网邮箱通道从物理交换机接收外网报文后，首先做访问控制的检查，如果不合法则直接丢弃外网报文；对于合法的访问，外网报文会被虚拟网关重新封装为一个发往正确虚拟机的内网报文，并交给网卡，通过内网邮箱通道，发送给目的地的虚拟机。

在公有云平台上，安全和性能是两个矛盾的话题。基于软件的方案可以做到很高的安全性，但是性能很难保证。完全硬件的方案则相反，性能很高，但是安全性很差。本申请在利用硬件的做数据流处理的同时，使用软件做逻辑控制，例如通过安全网卡自带的邮箱消息机制和报文过滤机制，以及虚拟局域网编号分流结合，实现了高安全，高性能的网络转发方案，从而做到在牺牲极小性能的基础上，做到软件同样的安全性。

综上所述，本申请利用安全网卡的邮箱消息机制，减少了CPU的消耗，实现了虚网关和虚拟机之间的报文传输通道，在获得高网络转发性能的同时，通过软件作逻辑控制，由虚拟网关负责每个虚拟机与物理交换机之间的网络报文的传输，还能够做到对网络安全可控。

进一步的，本申请虚拟网关配有两个邮箱通道，一个是用来跟服务器的内部虚拟机通讯的内网邮箱通道，另外一个是跟外部的物理交换机进行连接通讯的外网邮箱通道，通过内网邮箱通道每个虚拟机能且只能跟虚拟机进行通讯，这样保证所有进出虚拟机的网络流量都经过虚拟网关的处理，另外，可在虚拟网关里做相关的安全管理和访问控制，虚拟网关负责所有虚拟机的网络流量的转发工作。

进一步的，为了保证各个内网邮箱通道的公平性，本申请为每个通道限制了具体的带宽，这个带宽值跟各个虚拟机具体的配置相匹配。

进一步，为了防止恶意用户的探测和攻击，本申请禁止各个虚拟机之间的通过邮箱通道进行直接的通讯，因为默认网卡各个邮箱通道之间没有任何限制，所述这里通过使用报文过滤规则，限制禁止了各个虚拟机之间直接的邮箱通道，保证在服务器上设置每个虚拟机只接受来自虚拟网关的网络报文，其他的网络报文直接丢弃，不会被发送到邮箱通道关联的虚拟机上。

进一步的，本申请让物理交换机保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，以作为安全隔离，保证虚拟机所有的流量不会直接流向物理交换机，将虚拟机的流量通过虚拟网关传输，因为虚拟局域网编 号有上千个，而目前物理交换机只是用其中的几百个虚拟局域网编号，所以保留一个虚拟局域网编号供虚拟机与虚拟网关之间报文传输使用，在提高网络转发的安全性的同时，不会影响目前的网络配置。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性 的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。