;所述DVS确定所述数据包对应的VM相关联的ACL ;所述DVS根据所述数据包对应的VM,在确定的ACL中查找所述数据包对应的转发控制参数。
[0125]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0126]在所述DVS上为每个虚拟机集群创建一个ACL ;建立所述ACL与所述虚拟机集群中的VM的媒体访问控制地址MAC的关联关系。
[0127]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0128]所述DVS解析所述数据包获得所述数据包对应的VM的MAC ;查找与所述VM的MAC地址相关联的ACL。
[0129]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0130]建立所述ACL与所述虚拟机集群所在网络的虚拟局域网标签的关联关系。
[0131]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0132]所述DVS解析所述数据包,获得所述数据包对应的VM所属虚拟机集群所在网络的虚拟局域网标签;查找与所述虚拟局域网标签相关联的ACL。
[0133]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0134]所述DVS根据所述数据包对应的VM,判断确定的ACL中是否有会话表;所述会话表包括所述转发控制参数;若否,则在所述ACL中查找所述数据包对应的转发控制参数,并根据所述数据包所携带的信息和查找到的转发控制参数生成会话表;若是,则在所述会话表中查找所述转发控制参数。
[0135]在本发明一些实施例中,上述处理器1020可以执行以下步骤:
[0136]所述会话表中的转发控制参数为目的IP地址和目的端口,若所述目的IP地址和目的端口不为空值,所述DVS将所述数据包转发给所述目的IP地址所在网络设备;若所述包括目的IP地址和目的端口为空值,所述DVS则丢弃所述数据包。
[0137]在本发明一些实施例中,上述存储器1110可以用于存储:虚拟机集群中VM与ACL的关联关系、数据包、ACL、转发控制参数。
[0138]在本发明一些实施例中,上述存储器1110可以用于存储:ACL与虚拟机集群中的VM的MAC的关联关系。
[0139]在本发明一些实施例中,上述存储器1110可以用于存储:ACL与虚拟机集群所在网络的虚拟局域网标签的关联关系。
[0140]在本发明一些实施例中,上述存储器1110可以用于存储:会话表。
[0141]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0142]以上对本发明所提供的一种数据转发控制方法及系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在【具体实施方式】及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
【主权项】
1.一种数据转发控制方法,其特征在于,应用于云计算系统,所述云计算系统提供多个虚拟机集群,每个所述虚拟机集群包括多个虚拟机VM,所述VM连接到分布式虚拟交换机DVS上,所述方法包括: 在所述DVS上为每个虚拟机集群配置对应的访问控制列表ACL,其中,所述虚拟机集群对应的ACL与所述虚拟机集群中的VM相关联; 所述DVS接收数据包,根据所述数据包确定所述数据包对应的VM ; 所述DVS确定所述数据包对应的VM相关联的ACL ; 所述DVS根据所述数据包对应的VM,在确定的ACL中查找所述数据包对应的转发控制参数。
2.根据权利要求1所述的方法,其特征在于,所述在所述DVS上为每个虚拟机集群配置对应的访问控制列表ACL,其中,所述虚拟机集群对应的ACL与所述虚拟机集群中的VM相关联,包括: 在所述DVS上为每个虚拟机集群创建一个ACL ; 建立所述ACL与所述虚拟机集群中的VM的媒体访问控制地址MAC的关联关系; 所述DVS确定所述数据包对应的VM相关联的ACL包括: 所述DVS解析所述数据包获得所述数据包对应的VM的MAC ; 查找与所述VM的MAC地址相关联的ACL。
3.根据权利要求1所述的方法,其特征在于,还包括: 建立所述ACL与所述虚拟机集群所在网络的虚拟局域网标签的关联关系; 所述DVS确定所述数据包对应的VM相关联的ACL还包括: 所述DVS解析所述数据包,获得所述数据包对应的VM所属虚拟机集群所在网络的虚拟局域网标签; 查找与所述虚拟局域网标签相关联的ACL。
4.根据权利要求1?3任一项所述的方法,其特征在于,所述DVS根据所述数据包对应的VM,在确定的ACL中查找所述数据包对应的转发控制参数包括步骤: 所述DVS根据所述数据包对应的VM,判断确定的ACL中是否有会话表;所述会话表包括所述转发控制参数; 若否,则在所述ACL中查找所述数据包对应的转发控制参数,并根据所述数据包所携带的信息和查找到的转发控制参数生成会话表; 若是,则在所述会话表中查找所述转发控制参数。
5.根据权利要求4所述的方法,其特征在于,所述在所述会话表中查找所述转发控制参数包括步骤: 所述会话表中的转发控制参数为目的IP地址和目的端口,若所述目的IP地址和目的端口不为空值,所述DVS将所述数据包转发给所述目的IP地址所在网络设备; 若所述包括目的IP地址和目的端口为空值,所述DVS则丢弃所述数据包。
6.一种数据转发控制系统,其特征在于,所述数据转发控制系统提供多个虚拟机集群,每个所述虚拟机集群包括多个虚拟机VM,所述VM连接到分布式虚拟交换机DVS上,所述系统包括: 配置单元,用于在所述DVS上为每个虚拟机集群配置对应的访问控制列表ACL,其中,所述虚拟机集群对应的ACL与所述虚拟机集群中的VM相关联; 接收单元,用于接收数据包,根据所述数据包确定所述数据包对应的VM ; 确定单元,用于确定所述数据包对应的VM相关联的ACL ; 查找单元,用于根据所述数据包对应的VM,在所述确定的ACL中查找所述数据包对应的转发控制参数。
7.根据权利要求6所述的系统,其特征在于,所述配置单元包括: 第一创建单元,用于在所述DVS上为每个虚拟机集群创建一个ACL ; 第一建立单元,用于建立所述ACL与所述虚拟机集群中的VM的媒体访问控制地址MAC的关联关系; 所述确定单元包括: 第一获取单元,用于解析所述数据包获得所述数据包对应的VM的MAC ; 第一查找单元,用于查找与所述VM的MAC地址相关联的ACL。
8.根据权利要求6所述的系统,其特征在于,所述配置单元还用于建立所述ACL与所述虚拟机集群所在网络的虚拟局域网标签的关联关系; 所述确定单元还包括: 第二获取单元,用于解析所述数据包,获得所述数据包对应的VM所属虚拟机集群所在网络的虚拟局域网标签; 第二查找单元,用于查找与所述虚拟局域网标签相关联的ACL。
9.根据权利要求6?8任一项所述的系统,其特征在于,所述查找单元包括: 判断单元,用于所述DVS根据所述数据包对应的VM,判断确定的ACL中是否有会话表;所述会话表包括所述转发控制参数; 执行单元,用于若所述判断单元确定所述ACL中没有会话表,则在所述ACL中查找所述数据包对应的转发控制参数,并根据所述数据包所携带的信息和查找到的转发控制参数生成会话表;若所述判断单元确定所述ACL中有会话表,则在所述会话表中查找所述转发控制参数。
10.根据权利要求9所述的系统,其特征在于,所述执行单元包括: 第一执行单元,用于在确定所述ACL中有会话表后,若所述目的IP地址和目的端口不为空值,将所述数据包转发给所述目的IP地址所在网络设备;若所述包括目的IP地址和目的端口为空值,则丢弃所述数据包。
【专利摘要】本发明实施例公开了一种数据转发控制方法及系统,应用于云计算系统,所述云计算系统提供多个虚拟机集群,每个所述虚拟机集群包括多个虚拟机VM,所述VM连接到分布式虚拟交换机DVS上,可以提高控制数据包转发的成功率和正确率。该方法包括:在所述DVS上为每个虚拟机集群配置对应的访问控制列表ACL,其中,所述虚拟机集群对应的ACL与所述虚拟机集群中的VM相关联;所述DVS接收数据包,根据所述数据包确定所述数据包对应的VM;所述DVS确定所述数据包对应的VM相关联的ACL;所述DVS根据所述数据包对应的VM,在确定的ACL中查找所述数据包对应的转发控制参数。
【IPC分类】H04L12-46, H04L29-08, H04L12-721
【公开号】CN104852846
【申请号】CN201410052070
【发明人】刘建锋, 何伟, 霍卫峰, 王旭宁
【申请人】华为技术有限公司
【公开日】2015年8月19日
【申请日】2014年2月14日