基本虚拟网络环境内的服务插入的制作方法

基本虚拟网络环境内的服务插入的制作方法
【专利摘要】一种基本虚拟网络环境内的服务插入。本发明提供了一种处理系统包括：第一服务器，其具有第一服务模块；以及第一服务交换机；其中，第一服务器和第一服务交换机被配置为用于在虚拟机与虚拟交换机之间逻辑耦合；其中，第一服务器包括第一通信接口和第二通信接口，第二通信接口被配置为与第一服务交换机通信。第二通信接口与在虚拟交换机上的多个基于虚拟机的网络段相关联，多个基于虚拟机的网络段分别与多个虚拟机对应；其中，第一通信接口与在虚拟交换机上的原始网络段相关联。此处理系统可以在同一网络上的多个虚拟机间插入网络和安全服务。
【专利说明】
基本虚拟网络环境内的服务插入
技术领域
[0001 ]本申请涉及虚拟计算机环境内的服务插入，例如，企业虚拟化服务器群、私有数据中心、公有云(public cloud)或混合云等。
【背景技术】
[0002]在网络功能虚拟化(Network Funct1n Virtualizat1n，简称为NFV)中，网络服务是虚拟化的。在某些情况下，能够将网络服务部署为与虚拟机(Virtual Machine，简称为VM)相邻，并且在数据中心内的任何两个VM之间或者在任何VM与互联网之间的通信上提供服务。在虚拟化计算环境中，某些软件定义网络(Software-defined NetworkingJI^ISSND)可以用于实现服务插入。
[0003]小型数据中心通常不需要SND解决方案来管理其网络。然而，部署虚拟化服务依然需要引入SND解决方案。

【发明内容】

[0004]在本发明中描述的一个或多个实施方案提供了一种技术，用于将虚拟化服务在无需任何SND支持的前提下，插入基本的虚拟化计算环境内。
[0005]—种处理系统，包括:第一服务器，该第一服务器具有第一服务模块；以及第一服务交换机;其中，所述第一服务器和所述第一服务交换机被配置为用于在多个虚拟机与虚拟交换机之间提供逻辑耦合;其中，所述第一服务器包括第一通信接口和第二通信接口，所述第二通信接口被配置为与所述第一服务交换机通信。
[0006]可选地，所述第一通信接口被配置为与所述虚拟交换机通信。
[0007]可选地，所述第一服务交换机包括第三通信接口，其被配置为与所述多个虚拟机通信。第三通信接口可以包括子接口，用于与相应的虚拟机通信。
[0008]可选地，所述第一服务交换机被配置为提供基于VM的网络段。
[0009]可选地，所述基于VM的网络段分别与所述多个虚拟机对应。
[0010]可选地，所述虚拟交换机也被配置为提供原始网络段，其中，所述第一服务器提供映射，用于映射所述原始网络段和所述基于VM的网络段。
[0011 ] 可选地，至少一个所述基于VM的网络段是基于VLAN、网桥、VMware端口组。
[0012]可选地，一个虚拟机被配置为通过所述第一服务器与另一个虚拟机通信。
[0013]可选地，所述第一服务模块包括防火墙、IPS、WAF、QoS或DPI。
[0014]可选地，所述第一服务模块被配置为提供虚拟化的功能。
[0015]可选地，处理系统进一步包括所述虚拟交换机。
[0016]可选地，所述虚拟交换机包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0017]可选地，所述第一通信接口被配置为通过第一trunk接口与所述虚拟交换机通信，并且所述第二通信接口被配置为通过第二 trunk接口与所述第一服务交换机通信。
[0018]可选地，处理系统进一步包括:第二服务器，其具有第二服务模块；以及第二服务交换机;其中，所述第二服务器和所述第二服务交换机被配置为用于在所述多个虚拟机与所述虚拟交换机之间逻辑耦合。
[0019]可选地，所述第一服务器、所述第一服务交换机、所述第二服务器以及所述第二服务交换机在逻辑上串联耦合。
[0020]可选地，所述服务器被配置为基于数据包目的地将数据包映射到不同的网络段内。
[0021]一种数据中心包括处理系统、附加处理系统、以及物理交换机，其中，所述处理系统和所述附加处理系统与所述物理交换机耦合，并且，所述附加处理系统包括:第二服务器，其具有第二服务模块；以及第二服务交换机;其中，所述第二服务器和所述第二服务交换机被配置为用于在附加多个虚拟机与附加虚拟交换机之间逻辑耦合。
[0022]—种实现处理系统的方法包括:提供第一服务器，其具有第一服务模块;提供第一服务交换机；以及在多个虚拟机与虚拟交换机之间逻辑耦合所述第一服务器和所述第一服务交换机;其中，所述第一服务器包括第一通信接口和第二通信接口，所述第二通信接口被配置为与所述第一服务交换机通信。
[0023]可选地，所述第一通信接口被配置为与所述虚拟交换机通信。
[0024]可选地，所述第一服务交换机包括第三通信接口，其被配置为与所述多个虚拟机通信。
[0025]可选地，所述方法还包括在所述第一服务交换机上提供基于VM的网络段。
[0026]可选地，所述基于VM的网络段分别与所述多个虚拟机对应。
[0027]可选地，所述虚拟交换机被配置为提供原始网络段，其中，所述方法还包括在所述第一服务器上提供映射，用于映射所述原始网络段和所述基于VM的网络段。
[0028]可选地，至少一个所述基于VM的网络段系基于VLAN、网桥、VMware端口组。
[0029 ] 可选地，所述第一服务模块包括防火墙、IPS、WAF、QoS或DPI。
[0030]可选地，所述第一服务模块被配置为提供虚拟化的功能。
[0031 ] 可选地，所述虚拟交换机包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0032]可选地，在所述多个虚拟机与所述虚拟交换机之间逻辑耦合所述第一服务器和所述第一服务交换机的行为包括通过第一 trunk接口连通地耦合所述第一服务器和所述虚拟交换机，并且通过第二 trunk接口连通地耦合所述第一服务器和所述第一服务交换机。
[0033]可选地，所述方法还包括:提供第二服务器，其具有第二服务模块;提供第二服务交换机;并且在所述多个虚拟机与所述虚拟交换机之间逻辑耦合所述第二服务器和所述第二服务交换机。
[0034]可选地，所述第一服务器、所述第一服务交换机、所述第二服务器以及所述第二服务交换机在逻辑上串联耦合。
[0035]可选地，所述方法还包括将所述服务器配置为基于数据包目的地将数据包映射到不同的网络段内。
[0036]一种处理系统包括:服务模块;第一通信接口，用于与虚拟交换机通信，所述虚拟交换机被配置为与多个虚拟机通信;第二通信接口，用于与所述虚拟交换机通信;其中，所述服务模块、所述第一通信接口以及所述第二通信接口是服务器的一部分;其中，所述第一通信接口与在所述虚拟交换机上的多个基于VM的网络段相关联，所述多个基于VM的网络段分别与所述多个虚拟机对应;其中，所述第二通信接口与在所述虚拟交换机上的原始网络段相关联。
[0037]可选地，所述服务器包括映射，用于映射所述原始网络段和所述基于VM的网络段。
[0038]可选地，至少一个所述基于VM的网络段系基于VLAN、网桥、VMware端口组。
[0039 ] 可选地，所述服务模块包括防火墙、IPS、WAF、QoS或DPI。
[0040]可选地，所述服务模块被配置为提供虚拟化的功能。
[0041 ]可选地，处理系统进一步包括所述虚拟交换机。
[0042]可选地，所述虚拟交换机包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0043]可选地，所述第一通信接口被配置为通过第一trunk接口与所述虚拟交换机通信，并且所述第二通信接口被配置为通过第二 trunk接口与所述服务交换机通信。
[0044]可选地，所述服务器被配置为基于数据包目的地将数据包映射到不同的网络段内。
[0045]一种数据中心包括处理系统、附加处理系统、以及物理交换机，其中，所述处理系统和所述附加处理系统与所述物理交换机耦合，其中，所述附加处理系统包括:附加服务模块;第三通信接口，用于与附加虚拟交换机通信，所述虚拟交换机被配置为与附加多个虚拟机通信；以及第四通信接口，用于与所述附加虚拟交换机通信;其中，所述附加服务模块、所述第三通信接口以及所述第四通信接口是附加服务器的一部分。
[0046]—种实现系统处理的方法包括:提供服务器，其具有服务模块;第一通信接口 ；以及第二通信接口，其中，所述第一通信接口被配置为用于与虚拟交换机通信，其中，所述第二通信接口被配置为用于与所述虚拟交换机通信，所述虚拟交换机被配置为与多个虚拟机通信；以及通过使:所述第一通信接口与在所述虚拟交换机上的多个基于VM的网络段相关联，所述多个基于VM的网络段分别与所述多个虚拟机对应;并且所述第二通信接口与在所述虚拟交换机上的原始网络段相关联，逻辑耦合所述服务器和所述虚拟交换机。
[0047]可选地，所述方法还包括在所述虚拟交换机上提供基于VM的网络段。
[0048]可选地，所述方法还包括在所述服务器上提供映射，用于映射所述原始网络段和所述基于VM的网络段。
[0049]可选地，至少一个所述基于VM的网络段基于VLAN、网桥、VMware端口组。
[0050]可选地，所述服务模块包括防火墙、IPS、WAF、QoS或DPI。
[0051 ]可选地，所述服务模块被配置为提供虚拟化的功能。
[0052]可选地，所述虚拟交换机包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0053]可选地，逻辑耦合所述服务器和所述虚拟交换机的行为包括通过第一trunk接口连通地耦合所述服务器和所述虚拟交换机，并且通过第二 trunk接口连通地耦合所述服务器和所述虚拟交换机。
[0054]可选地，所述方法还包括将所述服务器配置为基于数据包目的地将数据包映射到不同的网络段内。
[0055]通过以下【具体实施方式】部分的详细描述，本发明其他和进一步的方面和特征将变的显而易见。
【附图说明】
[0056]附图示出了实施方式的设计和用途，其中，相似的元件由相同的参考数字表示。这些附图不一定按比例绘出。为了更好地理解本发明和本发明获得的优点和目的，将更具体地描述本发明的实施方式，并在附图中示出。这些附图仅仅描述了典型的实施方式，并不用于限制本发明的保护范围。
[0057]图1示出了没有服务插入的虚拟机(VM)部署场景；
[0058]图2A示出了根据某些实施方式的处理系统；
[0059]图2B示出了图2A所示处理系统的变化；
[0060]图3示出了根据其他实施方式的另一个处理系统；
[0061 ]图4示出了根据其他实施方式的另一个处理系统；
[0062]图5示出了根据其他实施方式的另一个处理系统；以及
[0063]图6示出了可以实现在本发明中描述的实施方式的专业处理系统的一个实例。
【具体实施方式】
[0064]在后文中参照附图，描述各种实施方式。需要注意的是，附图不一定按比例绘出，并且在所有附图中，相似结构或功能的元件由相似的参考数字表示。还需要注意的是，附图仅仅在于帮助理解本发明的实施方式。附图并非旨在用作本发明的详尽描述或者用作对本发明的范围的限制。此外，示出的实施方式不需要显示所有方面或优点。即使不这样显示或者不这样明确描述，结合特定的实施方式描述的方面或优点也不限于这些实施方式，还可以在任何其他实施方式中实施。
[0065]在虚拟化处理系统中，每个物理服务器托管一个或多个虚拟交换机以及连接至虚拟交换机的多个用户虚拟机(VM)。可以在虚拟交换机上配置多个广播域(网络段)。在相同网络段上的用户VM可以通过虚拟交换机彼此通信。虚拟化网络功能/服务可以在服务VM(月艮务器)上运行。这些服务器可以在与其他用户VM相同的虚拟交换机上连接。然而，在虚拟交换机上没有SDN支持的情况下，在相同网络段上的两个用户VM之间的通信不会通过服务器。
[0066]为了说明以上要点，参照图1，该图示出了没有服务插入的虚拟机(VM)部署场景。具体地，该图显示了在虚拟化数据中心内的用户VM设置。数据中心可以包含多个物理服务器，在图中显示了多个物理服务器中的一个服务器(即，物理服务器104)。如图中所示，物理服务器104通过物理连接101连接至数据中心网络。在服务器104上，配置虚拟交换机100。虚拟交换机100可以是单个虚拟交换机，或者也可以包含多个子交换机。而且，在物理服务器104内，用户VM 400连接至虚拟交换机100。在示出的实例中，用户VM 400属于不同的用户网络。具体地，用户￥111和用户￥112属于第一用户网络，并且用户￥121、用户￥122以及用户VM23属于第二用户网络。因此，在虚拟交换机100上配置两个相应的网络段Segl 102和Seg2103，分别用于第一用户网络和第二用户网络。结果，VMll、VM12连接至网络段Segl 103，并且VM21、VM22以及VM23连接至网络段Seg2。
[0067]在图1所示的设置中，虚拟交换机100会传输VM之间的网络流量。如果在相同的虚拟交换机100上连接新服务VM，那么以上VM流量将不通过新服务VM。为了在相同的网络段上连接的VM之间插入服务，虚拟交换机100需要被配置为支持高级功能配置，例如，流表配置(flow rule configurat1n)。而且，必须部署附加的控制器模块(例如，SDN控制器)用于控制虚拟交换机100。基本的虚拟化数据中心可能不具备用来实现这种服务的插入的先进的虚拟交换机和SDN解决方案。
[0068]图2A示出了根据一些实施方式的处理系统，尤其示出了一种服务插入技术。如图中所示，在物理服务器上配置虚拟交换机100。虚拟交换机100通过物理连接(上行链路)101连接至数据中心网络。通过非限制性实例，虚拟交换机100可以包括Linux网桥、OpenvSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0069]在虚拟交换机100上配置两个网络段Segl 102和Seg2 103。因此，虚拟交换机100具有与在图1所示的设置相同或相似的设置。需要注意的是，如在本说明书中所使用的，术语“段”或“网络段”表示网络的任何划分。例如，网络段可以是广播域(或广播域的一部分)，其是计算机或通信网络的逻辑划分。广播域可以在相同的段内或者可以与其他段桥接。可以使用VLAN、网桥、端口组或任何其他技术，产生段。
[0070]如图2A中所示，处理系统包括服务VM(虚拟机)200，服务VM 200通过trunk接口201连接至虚拟交换机100。处理系统还包括服务虚拟交换机(服务交换机)300，服务虚拟交换机300通过另一个trunk接口 202连接至服务器200。多个VM 400(在该实例中，VMl 1、VM12、VM21、VM22以及VM23)连接至服务虚拟交换机300。在示出的实施方式中，服务器200包括:第一通信接口，用于通过trunk接口 202与服务交换机300通信；以及第二通信接口，用于通过trunk接口 201与虚拟交换机100通信。在某些情况下，第一和第二通信接口可以是相应的trunk接 P。
[0071 ]如前面参照图1所讨论的，用户VMll和VM12最初连接至在虚拟交换机100上的Segl102。因此，在图2A所示的部署中，为这些用户VM，在服务交换机300上配置了2个基于VM的网络段SI和S2 103 JMl I和VM12分别连接至这些段。而且。如前面参照图1所讨论的，VM21、VM22以及VM23连接至在虚拟交换机100上的Seg2 103。因此，在图2A所示的部署中，在服务交换机300上配置了3个基于VM的网络段S3、S4以及S5 301。颗21、VM22以及VM23分别连接至这些网络段。
[0072]在服务器200上，在通信接口上配置2个网络段Segl和Seg2 206，在该通信接口上连接trunk接口 201。确保Segl和Seg2 206在虚拟交换机100上具有与Segl 102和Seg2 103相同的网络连接性。而且，在服务器200上，在trunk接口 202上配置5个网络段S1、S2、S3、S4以及S5 205。网络段205与在服务交换机300上的网络段301的配置对应。这确保每个VM 400可以到达在服务器200上的网络段205。在某些情况下，服务器200可以被配置为基于数据包目的地将数据包映射到不同的网络段内。在其他情况下，映射可以基于其他参数。
[0073]由于用户VMll和用户VM12原本是连接至在虚拟交换机100上的Segl102，所以在服务交换机(与VMll和VM12对应)上的段SI和S2与在服务器200上的Segl相关。同样，段S3、S4以及S5与在服务器200上的Seg2相关。服务器200提供从原始网络段映射到VM的网络段的映射。基于这个映射，在发送给某个段时，数据包被加上相应的标签。例如，数据包可以被服务交换机300和/或虚拟交换机100加标签。在某些情况下，服务器200也可以为数据包加标签和/或修改数据包的标签。通过非限制性实例，基于VM的网络段可以是VLAN、网桥、VMware端口组。
[0074]如图2A中所示，服务器200包括服务模块204。服务模块204被配置为提供一个或多个网络服务。通过非限制性实例，服务模块204可以被配置为提供一个或多个防火墙功能、一个或多个入侵防护功能、一个或多个WAF功能、一个或多个QoS功能、一个或多个DPI功能等、或者前述的任何组合。而且，任何或所有上述功能可以是虚拟化的功能。因此，服务模块204可以包括防火墙、IPS、WAF、QoS、DPI或者前述的任何组合。而且，在某些情况下，服务模块204可以包括映射模块，用以提供基于VM的网络段与和虚拟交换机100相关联的原始网络段之间的映射。在其他情况下，服务器200可以包括另一个模块，用于提供这种段映射功能。在其他实施方式中，服务器200可以包括多个服务模块204。
[0075]现在描述两个数据包流实例，以说明图2A的处理系统可以提供服务插入的方式。在第一实例中，用户VM12给互联网发送数据包并且从互联网中接收数据包。在用户VM12给互联网发送数据包时，首先将数据包发送给其网络的默认网关，然后，默认网关将数据包发送给在互联网上的其他节点。在这个实例中，可以通过trunk接口连接101到达默认网关。而且，在这个实例中，假设在虚拟交换机和VMl2上的所有端口已知默认网关上的接口的MAC地址。数据包离开用户VM12并且进入在服务交换机300上的段S2。基于MAC查找，服务交换机300通过trunk接口 202转发数据包，并且数据包到达在服务器200上的段S2。这个数据包路径由箭头500表示。在服务器200内，由用于数据包的服务模块204提供一个或多个服务，然后，将数据包转发给段Segl，由箭头501表示。然后，服务器200通过trunk接口201传输数据包，然后，数据包在原始虚拟交换机100上到达段Segl 102。这个路径由箭头502表示。然后，通过trunk接口 101将数据包发送给默认网关，由箭头503表示。
[0076]在互联网上的服务器返回数据包，返回数据包首先到达默认网关。然后，返回数据包通过trunk接口连接101在原始虚拟交换机100上到达段Segl 102，由箭头504表示。将数据包转发给在服务器200上的Segl，由箭头505表示。返回数据包穿过服务模块204，服务模块为数据包提供一个或多个服务，由箭头506表示，。然后，返回数据包在段S2上传输并且到达用户VM12，由箭头507表示。
[0077]如在以上实例中所示，通过服务交换机300和服务器200，将期望的服务插入在用户VM12与互联网之间的数据包路径内。
[0078]图2A的处理系统还可以在相同的网络段上的两个用户VM之间的通信路径内提供期望的服务，例如，在用户VM22与用户VM23之间的通信路径内。在参照图1描述的原始部署中，用户VM22和用户VM23连接至在虚拟交换机100上的段Seg2 103。因此，服务在这种类型的部署中不能插入在用户VM22与用户VM23之间的通信路径内。
[0079]在图2A所示的配置中，用户VM22和用户VM23连接至在服务交换机300上的独立网络段。由于用户VM22和用户VM23连接至2个不同的网络段S4和S5，所以这两个用户不能在服务交换机300上彼此直接通信。用户VM23将数据包发送给在服务交换机300上的段S5，然后，将数据包转发给在服务器200上的段S5，由数据包路径600表示。根据在服务模块204内的服务规则配置，服务模块204将数据包转发给S4，由箭头601表示。然后，在服务交换机300上的段S4内，将数据包发送给用户VM22，由箭头602表示。通过服务交换机300和基于VM的网络段的配置，在两个用户VM之间的通信可以穿过服务器200，所述服务器给在这两个用户VM之间通信的数据包提供了期望的服务。
[0080]在一些实施方式中，图2A的处理系统可以通过一种方法实现，该方法包括(I)提供服务器200，其具有服务模块204; (2)提供服务交换机300;以及(3)在现有用户VM 400与现有虚拟交换机100之间逻辑耦合所述服务器200和所述服务交换机300。逻辑耦合的行为可以包括将用户VM 400从原始虚拟交换机100移动到服务交换机300。而且，逻辑耦合的行为可以包括通过第一 trunk接口连通地親合服务器200和虚拟交换机100，并且通过第二 trunk接口连通地耦合服务器200和服务交换机300。
[0081 ]该方法还可以包括在服务交换机300上产生基于VM的网络段，其与多个用户VM400对应。该方法还可以包括在服务器200上提供映射(例如，映射模块)，用于将虚拟交换机100上的原始网络段映射到基于VM的网络段。基于VM的网络段可以基于VLAN、网桥、VMware端口组。该方法还可以包括将服务器200配置为基于数据包目的地将数据包映射到不同的网络段内。在一些实施方式中，可以提供数据包映射配置程序，以配置服务器200，以便可以基于数据包目的地将数据包映射到不同的网络段内。
[0082]如图2A中所示，在服务VM 200与服务交换机300之间配置基于VM的网络段。这些段在VM 400之间提供隔离。在某些情况下，虚拟交换机(例如，VMware vSphere分布式交换机(VDS)等)可以提供一种简单的方式，来通过其私有VLAN支撑来实现这种类型的隔离。图2B示出了图2A的系统可以通过VDS私有VLAN支撑来实现的方式，尤其展示出了私有VLAN可以用于为VM产生隔离的方式。
[0083]私有VLAN可用于某些硬件交换机和虚拟交换机上。在某些情况下，私有VLAN配置可以包含几个VLAN/段的定义。例如，私有VLAN实现方式(例如，在VMwarevSphere分布式交换机(VDS)上的实现方式)可以包括:
[0084]Primary PVLAN:在这个段内的VM可以与外部以及在Secondary PVLAN内VM的通?目;
[0085]Isolated Secondary PVLAN:在这个VLAN内的VM彼此隔离，仅仅可以与PrimaryPVLAN通信；
[0086]Shared Secondary PVLAN:在这个VLAN内的VM可以与Primary PVLAN以及在相同的Secondary PVLAN内的VM通信。
[0087]在某些情况下，仅仅配置Primary PVLAN和Isolated Secondary PVLAN即可实现期望的服务。
[0088]假设用户VM最初连接至在虚拟交换机100上的Segl 102和Seg2 103，例如，在图1中所显示的。因此，如图2B中所示，产生服务虚拟交换机300，以提供隔离。在服务交换机300上，产生两个私有VLAN。第一私有VLAN包含Primary PVLAN Segl301以及IsolatedSecondary PVLAN Isol 302。原来连接至Segl 102的所有VM 400现在均连接至Isol 302。第二私有VLAN包含Primary PVLAN Seg2 303以及Isolated Secondary PVLAN Iso2 304。原来连接至Seg2 103的所有VM 400现在均连接至Iso2 304。私有VLAN的使用大幅减少了在服务交换机300上的网络段的数量。在这个设置中，连接至Isolated Secondary PVLAN的用户VM可以彼此不直接通信。相反，用户VM的数据包可以到达Primary PVLAN，以允许用户VM彼此通信。
[0089]为了与在服务交换机300上的段配置匹配，在服务VM 200上的trunk接口(连接至trunk接口202)上，产生4个网络段Segl、Isol、Seg2以及Iso2 305。在服务VM 200上的trunk接口(连接至trunk接口201)上，仅仅产生2个网络段Segl和Seg2 206。
[0090]现在描述两个数据包流实例，以说明可以通过这个部署插入服务的方式。在第一实例中，用户VM12给互联网发送数据包并且从互联网中接收数据包。在用户VM12给互联网发送数据包时，首先将数据包发送给其网络的默认网关，然后，默认网关将数据包发送给在互联网上的其他节点。在这个部署实例中，可以通过trunk接口连接101到达默认网关。假设在虚拟交换机和V M12上的所有端口已知默认网关上的接口的M A C地址。数据包离开用户VM12并且进入在服务交换机300上的段Iso2 302。基于MAC查找，服务交换机300通过trunk接口连接202转发数据包，并且数据包到达在服务器200上的段Isol。这个数据包路径由箭头500表示。在服务VM 200内，数据包经过一个或多个期望的服务的处理，然后，将数据包转发给段Segl 206。然后，服务VM 200通过trunk接口201传输数据包，并且数据包到达段Segl
102。这个路径由箭头502表示。最后，通过trunk接口 101将数据包发送给默认网关，由箭头503表不。
[0091]在互联网上的节点发送返回数据包。互联网的返回数据包首先到达默认网关。然后，返回数据包通过trunk接口连接101到达段Segl 102，由箭头504表示。然后，将数据包转发给在服务VM 200上的Segl，由箭头505表示。数据包穿过服务模块204，其中，执行一个或多个期望的服务，由箭头506表示。然后，数据包在服务VM 200上的段Segl 205上传输，并且数据包到达用户VMl2，由箭头507表示。因此，通过服务交换机300和服务VM 200，将所需要的服务插入在用户VM12与互联网之间的数据包路径内。
[0092]所显示的系统还可以将服务插入在相同的网络段上的两个用户VM之间的数据包路径内，例如，在用户VM22与用户VM23之间的数据包路径。在图1所示的原始部署中，用户VM22和用户VM23连接至在虚拟交换机100上的段Seg2 103。因此，在原始部署中，服务不能插在用户VM22与用户VM23之间。在图2B所示的系统中，用户VM22和用户VM23连接至在服务交换机300上的Isolated Secondary PVLAN 304。
[0093]由于用户VM23和用户VM22在Isolated Secondary PVLAN 304上，所以不能在服务交换机300上直接通信。相反，用户VM23将数据包发送给Iso2 304，然后，将数据包转发给在服务VM 200上的段Iso2，由箭头600表示。基于服务规则配置，服务模块204将数据包转发给在服务VM 200上的Seg2。然后，通过段Seg2 303，将数据包发送给用户VM22。通过在服务交换机300上的私有VLAN的配置，在两个用户VM之间的通信可以穿过服务VM 200，其提供期望的服务。
[0094]图3示出了实现服务插入的另一个处理系统。在这个实施方式中，处理系统不包括服务虚拟交换机300。如图中所示，处理系统包括虚拟交换机100、多个VM 400以及服务VM(服务器)200。在物理服务器上配置虚拟交换机100。虚拟交换机100通过上行链路101连接至数据中心网络。虚拟交换机100最初具有两个网络段Segl 102和Seg2 103，用于与数据中心网络通信。如图1中所示，5个用户VM ￥]?11、￥]\112、￥]\121、￥]\122以及￥]\123连接至网络段3681102和Seg2 103。在服务插入之后，如在图3中的配置中所示，在虚拟交换机100上产生5个新网络段31、32、33、34以及35。这些网络段用以隔离内部网络的用户￥1 400。如图中所示，VM11、VM12、VM21、VM22以及VM23分别连接至网络段S1-S5。通过非限制性实例，虚拟交换机100可以包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。
[0095]服务器200通过trunk接口 201和trunk接口 202连接至虚拟交换机100。在示出的实施方式中，服务器200具有:第一通信接口，用于通过trunk接口 202与虚拟交换机100通信；以及第二通信接口，用于通过trunk接口201与虚拟交换机100通信。在某些情况下，第一和第二通信接口可以是相应的trunk接口端口。trunk接口 201被配置为通过虚拟交换机100与数据中心网络通信，并且trunk接口202被配置为通过虚拟交换机100与VM 400(8卩，在该实例中，丫]\111、￥]\112、￥]\121、￥]\122以及￥]\123)通信。
[0096]如参照图1所讨论的，用户VMll和VM12最初连接至在虚拟交换机100上的Segll02。因此，在图3所示的部署中，为这些用户VM，在服务交换机100上配置了2个基于VM的网络段SI和S2JM11和VM12分别连接至这些段。而且。如参照图1所讨论的，VM21、VM22以及VM23连接至在虚拟交换机100上的Seg2 103。因此，在图3所示的部署中，为这些用户VM，在服务交换机100上配置了3个基于VM的网络段S3、S4以及S5 106JM21、VM22以及VM23分别连接至这些段。
[0097]在服务器200上，在通信接口上配置2个网络段Segl和Seg2 206，在该通信接口上连接trunk接口 201。这确保Segl和Seg2 206在虚拟交换机100上具有与Segl 102和Seg2103相同的网络连接性。而且，在服务器200上，在通信接口上配置5个网络段S1、S2、S3、S4以及S5 205，在该通信接口上连接trunk接口 202。在服务器200上的网络段205与在服务交换机100上的网络段配置对应。这确保用户VM 400可以到达在服务器200上的网络段205。在某些情况下，服务器200可以被配置为基于数据包目的地将数据包映射到不同的网络段内。在其他情况下，映射可以基于其他参数。
[0098]由于用户VMll和用户VM12先前连接至在虚拟交换机100上的Segl102(如参照图1所述)，所以段SI和S2与在服务器200上的Segl相关。同样，段S3、S4以及S5与在服务器200上的Seg2相关。服务器200上的配置提供了这个映射关系，可以将原始网络段基于VM的网络段相互映射。根据这个映射，在发送给某个段时，数据包会标记上相应的标签。例如，数据包可以由虚拟交换机100加标签。在某些情况下，服务器200还可以标记数据包和/或修改数据包的标签。通过非限制性实例，基于VM的网络段可以基于VLAN、网桥、VMware端口组。
[0099]如图3中所示，服务器200包括服务模块204。服务模块204被配置为提供一个或多个网络服务。通过非限制性实例，服务模块204可以被配置为提供一个或多个防火墙功能、一个或多个入侵防护功能、一个或多个WAF功能、一个或多个QoS功能、一个或多个DPI功能等、或者前述的任何组合。因此，服务模块204可以包括防火墙、IPS、WAF、QoS、DPI或者前述的任何组合。而且，在某些情况下，服务模块204可以包括映射模块，提供在基于VM的网络段与和虚拟交换机100相关联的原始网络段之间的映射。在其他情况下，服务器200可以包括另一个模块，用于提供这种段映射功能。在其他实施方式中，服务器200可以包括多个服务模块204。
[0100]现在描述两个数据包流实例，以说明图3的处理系统可以提供服务插入的方式。在第一实例中，用户VM12给互联网发送数据包并且从互联网中接收数据包。在用户VM12给互联网发送数据包时，首先将数据包发送给其网络的默认网关，然后，默认网关将数据包发送给在互联网上的其他节点。在这个实例中，可以通过trunk接口连接101到达默认网关。假设在虚拟交换机和VMl 2上的所有端口已知在默认网关上的接口的MAC地址。数据包离开用户VM12并且进入在虚拟交换机100上的段S2。基于MAC查找，虚拟交换机100通过trunk接口 202转发数据包，并且数据包到达在服务器200上的段S2。这个数据包路径由箭头500表示。服务器200，为数据包提供一个或多个期望的服务，然后，将数据包转发给段Segl，由箭头501表示。然后，服务器200通过第二通信接口将数据包传输给trunk接口 201，并且数据包到达段Segl 102。这个路径由箭头502表示。然后，通过trunk接口 101将数据包发送给默认网关，由箭头503表示。
[0101]在互联网上的节点发送返回数据包，并且返回数据包首先到达默认网关。然后，返回数据包通过trunk接口连接101到达段Segl 102，由箭头504表示。然后，将数据包转发给在服务器200上的Segl，由箭头505表示。数据包穿过服务模块204，得到一个或多个服务，由箭头506表示。然后，数据包在段S2上传输并且到达VMl 2，由箭头507表示。因此，通过虚拟交换机100和服务器200，将期望的服务提供给在用户VM12与互联网之间的数据包路径。
[0102]另一个实例展示，在相同的网络段上的两个用户VM之间，提供一个或多个期望的服务。在图1所示的原始部署中，用户VM22和用户VM23连接至在虚拟交换机100上的段Seg2
103。因此，在这种类型的部署中，服务不能插入到用户VM22与用户VM23之间。然而，通过在图3所示的配置，一个或多个服务可以插入在用户VM22与用户VM23之间的通信路径内。这是因为在图3所示的配置中，用户VM22和用户VM23连接至在虚拟交换机100上的孤立网络段。具体地，由于用户VM22和用户VM23分别连接至两个不同的网络段S4和S5，所以这两个用户不能在服务交换机100上彼此直接通信。相反，用户VM23将数据包发送给段S5，然后，将数据包转发给在服务器200上的段S5，由数据包路径600表示。然后，将数据包传递给服务模块204，为数据包提供一个或多个服务。在处理了数据包之后，并且基于在服务模块204内的服务规则配置，服务模块204将数据包转发给S4，由箭头601表示。然后，在段S4内，将数据包发送给用户VM22，由箭头602表示。以此，通过虚拟交换机100和基于VM的网络段的配置，在两个用户VM之间的通信可以穿过服务器200，所述服务器提供一个或多个期望的服务。
[0103]在一些实施方式中，使用Private VLAN，可以产生在图3的系统中的两个或多个用户VM的隔离，与上面参照图2B中所讨论的一样。
[0104]在一些实施方式中，图3的处理系统可以通过一种方法实现，该方法包括(I)提供服务器200，其具有服务模块204;第一通信接口；以及第二通信接口，其中，所述第一通信接口被配置为用于与虚拟交换机100通信，其中，所述第二通信接口被配置为用于与所述虚拟交换机100通信，所述虚拟交换机100被配置为与多个用户VM 400通信；以及(2)通过使:(a)所述第一通信接口与在所述虚拟交换机100上的多个基于VM的网络段相关联，所述多个基于VM的网络段分别与所述多个用户VM 400对应;并且(b)所述第二通信接口与在所述虚拟交换机100上的原始网络段相关联，逻辑耦合所述服务器200和所述虚拟交换机100。
[0105]逻辑耦合的行为可以包括通过第一 trunk接口连通地耦合所述服务器200和所述服务交换机100，并且通过第二trunk接口连通地耦合所述服务器200和所述服务交换机100。
[0106]该方法还可以包括在虚拟交换机100上提供基于VM的网络段，其与多个用户VM400对应。该方法还可以包括在服务器200上提供映射(例如，映射模块)，用于提供基于VM的网络段与虚拟交换机100相关联的原始网络段间的映射。基于VM的网络段可以基于VLAN、网桥、VMware端口组等。该方法还可以包括将服务器200配置为基于数据包目的地将数据包映射到不同的网络段内。在一些实施方式中，可以提供数据包映射配置程序，以配置服务器200，以便可以基于数据包目的地将数据包映射到不同的网络段内。
[0107]图4示出了实现服务插入的另一个处理系统，尤其示出了提供多个服务的处理系统。对于每种类型的服务，通过层叠的方式提供一个服务VM(服务器)和一个服务虚拟交换机(服务交换机)。图4示出了两组服务器和服务交换机，用于提供两个服务插入。在其他实施方式中，处理系统可以包括不止两组服务器和服务交换机，用于提供不止两个服务插入。
[0108]具体地，处理系统包括原始虚拟交换机100和用户VM400。通过非限制性实例，虚拟交换机100可以包括Linux网桥、Open vSwitch、VMware vSphere标准交换机或VMwarevSphere分布式交换机。在物理服务器上配置虚拟交换机100。虚拟交换机100通过上行链路101连接至数据中心网络。在虚拟交换机100上配置两个网络段Segl 102和Seg2 103。
[0109]处理系统还包括具有服务模块204的第一服务VM(服务器)200;以及第一服务虚拟交换机(服务交换机)300。处理系统还包括具有服务模块402的第二服务VM(服务器)400;以及第二服务虚拟交换机(服务交换机)500。这些部件200、300、400以及500通过trunk接口201、202、203、602彼此串联(在逻辑上)连通地耦合。如图中所示，服务器200通过trunk接口201连接至虚拟交换机100。服务交换机300通过另一个trunk接口 202连接至服务器200。服务器400通过trunk接口 203连接至服务交换机300。服务交换机500通过trunk接口 602连接至服务器400。用户VM 400 (例如，VMl 1、VMl 2、VM21、VM22以及VM23)连接至服务交换机500。
[0110]在服务器200上，在通信接口上配置2个网络段Segl和Seg2 206，在该通信接口上连接trunk接口 201。这确保Segl和Seg2 206在虚拟交换机100上具有与Segl 102和Seg2103相同的网络连接性。在服务器200上，在通信接口上配置5个网络段S1、S2、S3、S4以及S5205，在该通信接口上连接trunk接口 202。这些网络段与在服务交换机300上的网络段的配置对应(匹配)。在某些情况下，服务器200可以被配置为基于数据包目的地将数据包映射到不同的网络段内。在其他情况下，映射可以基于其他参数。
[0111]在服务交换机300上，5个网络段S1、S2、S3、S4以及S5被配置为与在服务器200和服务器400内的段S1、S2、S3、S4以及S5对应，以便所述网络段是相同的段。
[0112]在服务器400上，在接口上配置5个网络段S1、S2、S3、S4以及S5 401，在该接口上连接trunk接口 203和602。这些段与在服务交换机500上的网络段的配置对应(匹配)。在某些情况下，服务器400可以被配置为基于数据包目的地将数据包映射到不同的网络段内。在其他情况下，映射可以基于其他参数。
[0113]在图1所示的原始部署中，用户VMll和用户VM12连接至在虚拟交换机100上的Segl102。因此，在图4所示的配置中，在服务交换机500上配置分别与用户VMll和用户VM12连接的2个基于VM的网络段SI和S2。而且，在图1所示的原始部署中，VM21、VM22以及VM23连接至在虚拟交换机100上的Seg2 103。因此，在图4所示的配置中，在服务交换机500上配置分别与用户VM21、VM22以及VM23连接的3个基于VM的网络段S3、S4以及S5 501。这确保用户VM400可以到达在服务器400上的网络段401并且可以到达在服务器200上的网络段207。
[0114]由于用户VMll和用户VM12原本连接在虚拟交换机100上的Segl102，所以段SI和S2与在服务器200上的Segl相关。同样，段S3、S4以及S5与在服务器200上的Seg2相关。服务器200、服务器400、服务交换机300、服务交换机500或者前述的任何组合提供了从原始网络段到基于VM的网络段的映射关系。基于这个映射，在发送给某个段时，通过相应的标签标记数据包。例如，数据包的标签可以由虚拟交换机500、服务交换机300、虚拟交换机100或所有这些交换机添加。在某些情况下，服务器200和服务器400还可以标记数据包和/或修改数据包的标签。通过非限制性实例，基于VM的网络段可以基于VLAN、网桥、VMware端口组。
[0115]如图4中所示，服务器200包括服务模块204。而且，服务器400包括服务模块402。每个服务模块204、402被配置为提供一个或多个网络服务。通过非限制性实例，服务模块204/402可以被配置为提供一个或多个防火墙功能、一个或多个入侵防护功能、一个或多个WAF功能、一个或多个QoS功能、一个或多个DPI功能等、或者前述的任何组合。因此，服务模块204/402可以包括防火墙、IPS、WAF、QoS、DPI或者前述的任何组合。而且，在某些情况下，月艮务模块204/402可以包括映射模块，为基于VM的网络段与和虚拟交换机100相关联的原始网络段之间提供映射。在其他情况下，服务器200和/或服务器400可以包括另一个模块，用于提供这种段映射功能。在其他实施方式中，服务器200可以包括多个服务模块204。同样，在其他实施方式中，服务器400可以包括多个服务模块402。
[0116]现在描述两个数据包流实例，以说明图4的处理系统可以提供服务插入的方式。在第一实例中，用户VM12给互联网发送数据包并且从互联网中接收返回数据包。在用户VM12给互联网发送数据包时，首先将数据包发送给其网络的默认网关，然后，默认网关将数据包发送给在互联网上的其他节点。在这个实例中，可以通过trunk接口连接101到达默认网关。假设在交换机和用户VM12上的所有端口已知默认网关上的接口的MAC地址。数据包离开用户VM12并且进入在服务交换机500上的段S2。基于MAC查找，服务交换机500通过trunk接口连接602转发数据包，并且数据包到达在服务器400上的段S2 ο这个数据包路径由箭头700表示。服务器400为数据包上提供期望的服务，然后，将数据包转发给在服务交换机300内的段S2，由箭头701表示。然后，服务交换机300通过trunk接口 202将数据包发送给在服务器200上的段S2，由箭头702表示。在服务器200上，服务模块204给数据包提供一个或多个服务，然后，服务器200通过trunk接口 201传输数据包，数据包到达段Segl 102，由箭头704表示。然后，通过trunk接口 101将数据包发送给默认网关，由箭头705表示。
[0117]在互联网上的节点给处理系统发送返回数据包。互联网的返回数据包首先到达默认网关。然后，返回数据包通过trunk接口连接101到达段Segl 102，由箭头706表示。然后，将数据包转发给在服务器200上的Segl，由箭头707表示。返回数据包穿过服务模块204，其为数据包提供一个或多个服务，由箭头708表示。然后，服务器200通过段S2将返回数据包传输给服务交换机300，由箭头709表示。然后，服务交换机300通过段S2将返回数据包发送给服务器400，由箭头710表示。然后，返回数据包在服务交换机500内的段S2上传输并且到达用户VM12，由箭头711表示。因此，通过服务交换机300、500和服务器200、400，将期望的服务插入在用户VM12与互联网之间的通信路径中。
[0118]处理系统还可以在相同的网络段上的两个用户VM之间的通信路径内插入多个服务，例如，在用户VM22与用户VM23之间的通信路径内。在图1所示的原始部署中，用户VM22和用户VM23连接至在虚拟交换机100上的段Seg2 103。服务在这个配置中不能插入在用户VM22与用户VM23之间。
[0119]在图4所示的配置中，用户VM22和用户VM23连接至在服务交换机500上的单独网络段。由于用户VM22和用户VM23连接至2个不同的网络段S4和S5，所以这两个用户不能在服务交换机500上彼此直接通信。用户VM23将数据包发送给在服务交换机500上的段S5，然后，将数据包转发给在服务器400上的段S5，由箭头800表示。基于在服务模块402内的服务规则配置，服务模块402将数据包转发给在服务交换机300上的段S5，由箭头801表示。然后，服务交换机300将数据包发送给在服务器200上的段S5，由箭头802表示该路径。然后，数据包通过服务模块204从段S5中发送给段S4，由箭头803表示。然后，将数据包发送给在服务交换机300上的段S4，由箭头804表示。然后，数据包从服务交换机300中发送给在服务器400上的段S4，由箭头805表示。然后，数据包从服务器400中发送给在服务交换机500上的段S4，并且输出给用户VM22，由箭头806表示。
[0120]通过服务交换机300、500和基于VM的网络段的配置，期望的服务可以插入在两个用户VM之间的通信中。
[0121]图4示出了两组服务器和服务交换机，用于提供两个服务插入。在其他实施方式中，处理系统可以包括不止两组服务器和服务交换机，用于提供不止两个服务插入。例如，在其他实施方式中，处理系统可以在用户VM 400与虚拟交换机100之间部署不止两个服务器和不止两个服务交换机。
[0122]在一些实施方式中，使用Private VLAN，可以产生在图4的系统中的两个或多个用户VM的隔离，与上面参照图2B中所讨论的一样。
[0123]在一些实施方式中，图4的处理系统可以通过一种方法实现，该方法包括(I)提供第一服务器(例如，服务器200/400)，其具有第一服务模块(例如，服务模块204/402); (2)提供第一服务交换机(服务交换机300/500); (3)提供第二服务器(例如，服务器200/400)，其具有第二服务模块(例如，服务模块204/402);以及(4)提供第二服务交换机(服务交换机300/500); (5)在现有用户VM 400与现有虚拟交换机100之间逻辑耦合第一服务器和第一服务交换机;以及(6)在现有用户VM 400与现有虚拟交换机100之间逻辑耦合第二服务器和第二服务交换机。在所显示的实施方式中，所述第一服务器、所述第一服务交换机、所述第二服务器以及所述第二服务交换机可以在逻辑上串联耦合。逻辑耦合的办法可以包括将用户VM 400从原始虚拟交换机100移动到第一和第二服务交换机中的一个。
[0124]该方法还可以包括在所述第一服务交换机、所述第二服务交换机、所述第一服务器、所述第二服务器、其前述的任何组合上，创建基于VM的网络段。所创建的基于VM的网络段与多个用户VM 400对应。该方法还可以包括在第一服务器和/或第二服务器上提供映射(映射模块)，提供VM的网络段与虚拟交换机100相关联的原始网络段的映射。基于VM的网络段可以基于VLAN、网桥、VMware端口组等。该方法还可以包括将第一和第二服务器配置为基于数据包目的地将数据包映射到不同的网络段内。在一些实施方式中，可以提供数据包映射配置程序，以配置第一和第二服务器，以便可以基于数据包目的地将数据包映射到不同的网络段内。
[0125]在一些实施方式中，可以在一个物理服务器上部署图2A、图2B、图3以及图4的每个处理系统。在其他实施方式中，可以在图5所示的数据中心内的多个服务器上复制前述任何处理系统。在图5中，3个物理服务器900a、900b以及900 c连接至物理交换机902。在物理服务器900a上，在服务插入之后，多个用户VM 400a连接至服务虚拟交换机(服务交换机)300a。服务VM(虚拟机)200a连接至服务交换机300a和原始虚拟交换机100a。服务器900a内的处理系统的配置可以复制到服务器900b、900c上以获得额外的处理能力。具体地，在物理服务器900b上，在服务插入之后，多个用户VM 400b连接至服务虚拟交换机(服务交换机)300b。服务VM(虚拟机)200b连接至服务交换机300b和原始虚拟交换机I OOb。同样，在物理服务器900c上，在服务插入之后，多个用户VM 400c连接至服务虚拟交换机(服务交换机)300c。服务VM(虚拟机)200c连接至服务交换机300c和原始虚拟交换机100c。如在图中所示，可选的服务VM控制器910在物理服务器900a上运行。这个控制器910可以提供单一的服务管理接口、服务工作负荷划分、服务VM监控等功能。
[0126]如在以上实例中所示，服务器900a内的服务插入可以复制到在一个数据中心内的其他物理服务器(例如，服务器900b和服务器900c)中。因此，可以为数据中心的所有用户VM提供服务。在图5所示的实例中，在每个物理服务器900a、900b以及900c内的处理系统具有与在图2A所示的配置相似的配置。在其他实例中，任何物理服务器900可以包括图3或图4的处理系统。例如，在其他实施方式中，图3和/或图4的处理系统可以复制和部署到在数据中心的多个物理服务器中。
[0127]专门的处理架构
[0128]在一些实施方式中，一个或多个虚拟机、服务器200、服务交换机300、或前述的任何组合可使用专业处理系统实现。图6是示出可以实现在本发明中描述的实施方式的专业处理系统1200的一个实施方式的方框图。例如，在一些实施方式中，处理系统1200可以包括:服务交换机模块，其被配置为实现服务交换机300;服务器模块，其被配置为实现服务器200;或者这两者的组合。而且，在某些情况下，处理系统1200可以包括:一个或多个模块，用于实现一个或多个用户VM 400;和/或虚拟交换机模块，用于实现虚拟交换机100。在其他实施方式中，可以具有多个处理系统1200，用于实现不同的相应部件，例如，服务器200、服务交换机300、虚拟交换机100、一个或多个用户VM 400等。
[0129]如图6中所示，处理系统1200包括:总线1202或其他通信机构，用于传送信息；以及处理器1204，其与总线1202耦合，用于处理信息。处理器1204可以用于执行在本发明中描述的各种功能。例如，在一些实施方式中，处理器1204可以接收用户的输入，用于配置网络部件。
[0130]处理系统1200还包括主存储器1206，例如，随机存取存储器(RAM)或其他动态储存装置，其耦合至总线1202，用于储存信息以及处理器1204要执行的指令。主存储器1206还可以用于在处理器1204要执行的指令的执行期间，储存临时变量或其他中间信息。处理系统1200进一步包括只读存储器(ROM) 1208或其他静态储存装置，其耦合至总线1202，用于储存处理器1204的静态信息和指令。提供数据储存装置1210(例如，磁盘或光盘)，并且该装置耦合至总线1202，用于储存信息和指令。
[0131]处理系统1200可以通过总线1202耦合至显示器1212，例如，阴极射线管(CRT)或IXD显示器，用于向用户显示信息。输入装置1214(包括字母数字键和其他键)耦合至总线1202，用于将信息和命令选择传送给处理器1204。另一种类型的用户输入装置是光标控制1216，例如，鼠标、轨迹球、或光标方向键，用于将方向信息和命令选择传送给处理器1204并且用于控制在显示器1212上的光标运动。这个输入装置通常在两个轴(第一轴(例如，X)和第二轴(例如，y))中具有2个自由度，这允许装置在平面内规定位置。
[0132]处理系统1200可以用于根据在本发明中描述的实施方式执行各种功能。根据一个实施方式，处理系统1200中的处理器1204执行主存储器1206内的一个或多个指令来完成所需的功能。这种信息可以从另一个处理器可读介质(例如，储存装置1210)中读入主存储器1206内。执行包含在主存储器1206内的指令的序列，使处理器1204执行在本发明中描述的操作步骤。在多处理器设置中的一个或多个处理器还可以用于执行包含在主存储器1206内的指令的序列。在可替换的其它实施方式中，硬件连接电路可以代替软件指令或者与软件指令相结合使用，以实现在本发明中描述的实施方式的功能。因此，在本发明中描述的实施方式不限于硬件电路和软件的任何特定组合。
[0133]在本发明中使用的术语“处理器可读介质”表示参与给处理器1204提供用于执行的指令的任何介质。这种介质可以采用很多形式，包括但不限于非易失性介质、易失性介质以及传输介质。例如，非易失性介质包括光盘或磁盘，例如，储存装置1210。非易失性介质可以被视为永久性介质的一个实例。易失性介质包括动态存储器，例如，主存储器1206。易失性介质可以被视为永久性介质的另一个实例。传输介质包括同轴电缆、铜线以及光学纤维，包括包含总线1202的电线。传输介质还可以采用声波或光波的形式，例如，在无线电波和红外线数据通信期间生成的声波或光波。
[0134]例如，常见形式的处理器可读介质包括软盘、软磁盘、硬盘、磁带、或任何其他磁性介质、CD-R0M、任何其他光学介质、穿孔卡、纸带、具有特定模式孔洞的任何其他物理介质、RAM、PR0M以及EPR0M、FLASH-EPR0M、任何其他内存芯片或插片、在后文中描述的载波、或者处理器可读取的任何其他介质。
[0135]各种形式的处理器可读介质可以涉及将一个或多个指令的一个或多个序列传送给处理器1204，以供执行。例如，可以首先在远程计算机的磁盘上传送指令。远程计算机可以将指令载入其动态存储器内，并且使用调制解调器通过电话线发送指令。位于处理系统1200本地的调制解调器可以接收在电话线上的数据，并且使用红外传输器将数据转换成红外信号。耦合至总线1202的红外探测器可以接收在红外信号内传送的数据并且将数据放在总线1202上。总线1202将数据传送给主存储器1206，处理器1204从该主存储器中检索和执行指令。在由处理器1204执行之前或之后，由主存储器1206接收的指令可以可选地储存在储存装置1210上。
[0136]处理系统1200还包括通信接口1218，其耦合至总线1202。通信接口 1218提供与网络链路1220的双向数据通信耦合，该网络链路连接至局部网络1222。例如，通信接口 1218可以是集成服务数字网络(ISDN)卡或调制解调器，用于给相应类型的电话线提供数据通信连接。作为另一个实例，通信接口 1218可以是局域网(LAN)卡，用于给兼容的LAN提供数据通信连接。还可以实现无线链路。在任何这种实现方式中，通信接口 1218发送和接收传送表示各种类型的信息的数据流的电气、电磁或光学信号。
[0137]网络链路1220通常通过一个或多个网络将数据通信提供给其他装置。例如，网络链路1220可以通过局部网络1222给主机计算机1224或者给设备1226提供连接，例如，辐射束源或与辐射束源耦合的交换机。通过网络链路1220输送的数据流可以包括电气、电磁或光学信号。通过各种网络的信号，以及在网络链路1220上的信号，和通过通信接口 1218的信号，往返于处理系统1200并传送数据，这些信号是输送信息的载波形式。处理系统1200可以通过网络、网络链路1220以及通信接口 1218发送消息并且接收数据，包括程序代码。
[0138]在一些实施方式中，处理系统1200可以是特别被配置为实现在本发明中描述的一个或多个特征的物理服务器或计算机的一部分。例如，在本发明中描述的服务VM和服务交换机可以是这种物理服务器上实现的虚拟部件。然而，需要注意的是，服务器或计算机的配置不必限于所描述的实例。在其他实施方式中，只要服务器支持虚拟化，就可以在任何物理服务器上产生和配置在本发明中描述的服务VM和服务交换机。
[0139]需要注意的是，在本申请中描述“数据包”时，应理解的是，可以表示从节点中传输的原始数据包或其副本。
[0140]需要注意的是，术语“第一”、“第二”等用于表示不同的物体，不必表示物体的顺序。
[0141]虽然显示和描述了特定的实施方式，但是要理解的是，这些实施方式并非旨在限制所要求的发明，并且对于本领域的技术人员，在不背离所要求的发明的精神和范围的情况下，显然可以进行各种变化和修改。因此，说明书和附图要被视为具有说明的而非限制的意义。所要求的发明旨在涵盖替换物、修改以及等同物。
【主权项】
1.一种处理系统，包括: 第一服务器，所述第一服务器具有第一服务模块；以及 第一服务交换机； 其中，所述第一服务器和所述第一服务交换机被配置为用于在多个虚拟机与虚拟交换机之间逻辑耦合； 其中，所述第一服务器包括第一通信接口和第二通信接口，所述第二通信接口被配置为与所述第一服务交换机通信。2.根据权利要求1所述的处理系统，其中，所述第一通信接口被配置为与所述虚拟交换机通信。3.根据权利要求1所述的处理系统，其中，所述第一服务交换机包括第三通信接口，被配置为与所述多个虚拟机通信。4.根据权利要求1所述的处理系统，其中，所述第一服务交换机被配置为提供基于VM的网络段。5.根据权利要求4所述的处理系统，其中，所述基于VM的网络段分别与所述多个虚拟机对应。6.根据权利要求4所述的处理系统，其中，所述虚拟交换机也被配置为提供原始网络段，其中，所述第一服务器包括映射，用于映射所述原始网络段和所述基于VM的网络段。7.根据权利要求4所述的处理系统，其中，至少一个所述基于VM的网络段基于VLAN^桥、VMwar e端口组。8.根据权利要求1所述的处理系统，其中，一个虚拟机被配置为通过所述第一服务器与另一个虚拟机通信。9.根据权利要求1所述的处理系统，其中，所述第一服务模块包括防火墙、IPS、WAF、QoS或 DPI。10.根据权利要求1所述的处理系统，其中，所述第一服务模块被配置为提供虚拟化的功能。11.根据权利要求1所述的处理系统，还包括所述虚拟交换机。12.根据权利要求11所述的处理系统，其中，所述虚拟交换机包括Linux网桥、OpenvSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。13.根据权利要求1所述的处理系统，其中，所述第一通信接口被配置为通过第一trunk接口与所述虚拟交换机通信，并且所述第二通信接口被配置为通过第二trunk接口与所述第一服务交换机通信。14.根据权利要求1所述的处理系统，还包括: 第二服务器，所述第二服务器具有第二服务模块；以及 第二服务交换机； 其中，第二服务器和第二服务交换机被配置为用于在所述多个虚拟机与所述虚拟交换机之间逻辑耦合。15.根据权利要求14所述的处理系统，其中，所述第一服务器、第一服务交换机、所述第二服务器以及所述第二服务交换机在逻辑上串联耦合。16.根据权利要求1所述的处理系统，其中，所述服务器被配置为基于数据包目的地将数据包映射到不同的网络段内。17.—种数据中心，该数据中心具有根据权利要求1所述的处理系统、附加处理系统、以及物理交换机，其中，所述处理系统和所述附加处理系统与所述物理交换机耦合，所述附加处理系统包括: 第二服务器，该第二服务器具有第二服务模块；以及 第二服务交换机； 其中，所述第二服务器和所述第二服务交换机被配置为用于在附加多个虚拟机与附加虚拟交换机之间逻辑耦合。18.一种实现系统处理的方法，包括: 提供第一服务器，该第一服务器具有第一服务模块； 提供第一服务交换机；以及 在多个虚拟机与虚拟交换机之间逻辑耦合所述第一服务器和所述第一服务交换机； 其中，所述第一服务器包括第一通信接口和第二通信接口，该第二通信接口被配置为与所述第一服务交换机通信。19.根据权利要求18所述的方法，其中，所述第一通信接口被配置为与所述虚拟交换机通信。20.根据权利要求18所述的方法，其中，所述第一服务交换机包括第三通信接口，其被配置为与所述多个虚拟机通信。21.根据权利要求18所述的方法，还包括在所述第一服务交换机上提供基于VM的网络段。22.根据权利要求21所述的方法，其中，所述基于VM的网络段分别与所述多个虚拟机对应。23.根据权利要求21所述的方法，其中，所述虚拟交换机被配置为提供原始网络段，其中，所述方法还包括在所述第一服务器上提供映射，用于映射所述原始网络段和所述基于VM的网络段。24.根据权利要求21所述的方法，其中，至少一个所述基于VM的网络段系基于VLAN、网桥、VMwar e端口组。25.根据权利要求18所述的方法，其中，所述第一服务模块包括防火墙、IPS、WAF、QoS或DPI。26.根据权利要求18所述的方法，其中，所述第一服务模块被配置为提供虚拟化的功會K。27.根据权利要求18所述的方法，其中，所述虚拟交换机包括Linux网桥、OpenvSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。28.根据权利要求18所述的方法，其中，在所述多个虚拟机与所述虚拟交换机之间逻辑耦合所述第一服务器和所述第一服务交换机的行为包括通过第一 trunk接口连通地耦合所述第一服务器和所述虚拟交换机，并且通过第二 trunk接口连通地耦合所述第一服务器和所述第一服务交换机。29.根据权利要求18所述的方法，还包括: 提供第二服务器，该第二服务器具有第二服务模块； 提供第二服务交换机;并且 在所述多个虚拟机与所述虚拟交换机之间逻辑耦合所述第二服务器和所述第二服务交换机。30.根据权利要求29所述的方法，其中，所述第一服务器、所述第一服务交换机、所述第二服务器以及所述第二服务交换机在逻辑上串联耦合。31.根据权利要求18所述的方法，还包括将所述服务器配置为基于数据包目的地将数据包映射到不同的网络段内。32.—种处理系统，包括: 服务t吴块； 第一通信接口，用于与虚拟交换机通信，所述虚拟交换机被配置为与多个虚拟机通信； 第二通信接口，用于与所述虚拟交换机通信； 其中，所述服务模块、所述第一通信接口以及所述第二通信接口是服务器的一部分； 并且，所述第一通信接口与在所述虚拟交换机上的多个基于VM的网络段相关联，所述多个基于VM的网络段分别与所述多个虚拟机对应;并且 所述第二通信接口与在所述虚拟交换机上的原始网络段相关联。33.根据权利要求32所述的处理系统，其中，所述服务器包括映射，用于映射所述原始网络段和所述基于VM的网络段。34.根据权利要求32所述的处理系统，其中，至少一个所述基于VM的网络段基于VLAN、网桥、VMwar e端口组。35.根据权利要求32所述的处理系统，其中，所述服务模块包括防火墙、IPS、WAF、QoS或DPI。36.根据权利要求32所述的处理系统，其中，所述服务模块被配置为提供虚拟化的功會K。37.根据权利要求32所述的处理系统，还包括所述虚拟交换机。38.根据权利要求37所述的处理系统，其中，所述虚拟交换机包括Linux网桥、OpenvSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。39.根据权利要求32所述的处理系统，其中，所述第一通信接口被配置为通过第一trunk接口与所述虚拟交换机通信，并且所述第二通信接口被配置为通过第二 trunk接口与所述服务交换机通信。40.根据权利要求32所述的处理系统，其中，所述服务器被配置为基于数据包目的地将数据包映射到不同的网络段内。41.一种数据中心，具有根据权利要求32所述的处理系统、附加处理系统、以及物理交换机，其中，所述处理系统和所述附加处理系统与所述物理交换机耦合，其中，所述附加处理系统包括: 附加服务模块； 第三通信接口，用于与附加虚拟交换机通信，所述虚拟交换机被配置为与附加的多个虚拟机通信；以及 第四通信接口，用于与所述附加虚拟交换机通信； 其中，所述附加服务模块、所述第三通信接口以及所述第四通信接口是附加服务器的一部分。42.—种实现系统处理的方法，包括: 提供服务器，所述服务器具有服务模块;第一通信接口 ；以及第二通信接口，其中，所述第一通信接口被配置为用于与虚拟交换机通信，其中，所述第二通信接口被配置为用于与所述虚拟交换机通信，所述虚拟交换机被配置为与多个虚拟机通信；以及 通过使: 所述第一通信接口与在所述虚拟交换机上的多个基于VM的网络段相关联， 所述多个基于VM的网络段分别与所述多个虚拟机对应;并且 所述第二通信接口与在所述虚拟交换机上的原始网络段相关联， 逻辑耦合所述服务器和所述虚拟交换机。43.根据权利要求42所述的方法，还包括在所述虚拟交换机上提供基于VM的网络段。44.根据权利要求42所述的方法，其中，所述方法还包括在所述服务器上提供映射，用于映射所述原始网络段和所述基于VM的网络段。45.根据权利要求42所述的方法，其中，至少一个所述基于VM的网络段基于VLAN、网桥、VMware 端 口 组。46.根据权利要求42所述的方法，其中，所述服务模块包括防火墙、IPS、WAF、QoS或DPI。47.根据权利要求42所述的方法，其中，所述服务模块被配置为提供虚拟化的功能。48.根据权利要求42所述的方法，其中，所述虚拟交换机包括Linux网桥、OpenvSwitch、VMware vSphere标准交换机或VMware vSphere分布式交换机。49.根据权利要求42所述的方法，其中，逻辑耦合所述服务器和所述虚拟交换机的行为包括通过第一 trunk接口连通地親合所述服务器和所述虚拟交换机，并且通过第二 trunk接口连通地耦合所述服务器和所述虚拟交换机。50.根据权利要求42所述的方法，还包括将所述服务器配置为基于数据包目的地将数据包映射到不同的网络段内。
【文档编号】H04L12/931GK105933248SQ201610220488
【公开日】2016年9月7日
【申请日】2016年4月11日
【发明人】蒋东毅, 尚进, 陈怀临, 李矩希, 张晔
【申请人】山石网科通信技术有限公司