一种虚拟网络中地址映射方法和装置的制作方法

专利名称：：一种虚拟网络中地址映射方法和装置的制作方法
技术领域：
：本发明属于网络管理领域，具体涉及ー种虚拟网络中地址映射方法和装置。
背景技术：
：云计算指通过网络以按用户的需求、随时扩展的方式获得所需的服务，这种服务可以是网站服务、数据库服务、存储服务、应用服务等等。云计算的核心思想是将大量用网络连接的计算资源统一管理和调度，构成ー个计算资源池向用户按需服务。提供服务资源的网络被称为“云”，“云”中的资源在用户看来是可以无限扩展的，并且可以随时获取、按需求进行使用和付费。通过这种方式，网络中共享的软硬件资源和信息可以按需求提供给用户计算机和其他设备。、用户申请到的计算资源需通过公网IP地址进行访问。当用户申请的计算资源大量增加时，公网IP地址资源将变得紧张，如何保证用户在一定程度的安全保障机制下通过公网IP访问其申请到的计算资源是目前要迫切解决的问题。
发明内容本发明的实施例提供ー种虚拟网络中地址映射方法和装置，通过将计算资源的公网IP地址与私网IP地址进行弾性映射，从而使用户使用公网IP地址访问其申请到的计算资源。本发明公开了ー种虚拟网络中地址映射方法，包括将全网中的计算资源納入主机中，在主机上根据计算资源创建至少ー个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和ー个虚拟网卡；在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；当计算资源向主机发送DHCP请求吋，主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ，使各私网IP地址与公网IP地址进行映射。所述创建至少ー个虚拟局域网时，在用户对应的计算资源上创建对应的虚拟网卡，并将虚拟网卡添加在虚拟网桥中，从而形成虚拟局域网。所述当计算资源向主机发送DHCP请求时，各虚拟网卡的MAC地址被分别分配对应的私网IP地址，将该私网IP地址对应发送至所述向主机发送DHCP请求的计算资源。所述将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ时，各服务分别转发至各虚拟局域网对应的计算资源，并将计算资源返回的数据包对应的源地址转换为公网IP地址。本发明还公开了ー种虚拟网络中地址映射装置，包括设置模块，将全网中的计算资源納入主机中，并在主机上创建至少ー个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和ー个虚拟网卡；绑定模块，在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；配置模块，当计算资源向主机发送DHCP请求吋，主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；映射模块，将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ，使各私网IP地址与公网IP地址进行映射。所述设置模块中，创建至少ー个虚拟局域网时，在用户对应的计算资源上创建对应的虚拟网卡，并将虚拟网卡添加在虚拟网桥中，从而形成虚拟局域网。所述配置模块中，当计算资源向主机发送DHCP请求时，各虚拟网卡的MAC地址被分别分配对应的私网IP地址，将该私网IP地址对应发送至所述向主机发送DHCP请求的计算资源。所述映射模块中，将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ吋，各服务分别转发至各虚拟局域网对应的计算资源，并将计算资源返回的数据包对应的源地址转换为公网IP地址。本发明公开了ー种虚拟网络中地址映射方法和装置，将公网IP地址的不同端ロ映射到不同的私网IP地址上，实现用户对计算资源的访问，充分利用了公网IP地址来访问申请到的计算资源，各私网IP地址对应的虚拟网络之间相互独立，从而提高了网络的安全性。图I为本发明实施例一提供的ー种虚拟网络中地址映射方法的流程图2为本发明实施例一提供的ー种虚拟网络中地址映射方法的应用场景图3为本发明实施例一提供的公网IP地址和私网IP地址映射机制的应用场景图4为本发明实施例ニ提供的ー种虚拟网络中地址映射装置的结构图。具体实施例方式下面结合附图对本发明实施例ー种虚拟网络中地址映射方法和装置进行详细描述。本方法通过将计算资源的网络资源分配交给一台主机进行统一管理，建立了虚拟局域网提供网络安全保证机制。将公网IP地址的不同端ロ映射到不同的私网IP地址上，实现用户对计算资源的访问，充分利用了公网IP地址来访问申请到的计算资源，各私网IP地址对应的虚拟网络之间相互独立，从而提高了网络的安全性。实施例一本发明实施例提供ー种虚拟网络中地址映射方法，如图I、图2所示，包括101、将全网中的计算资源纳入主机中，在主机上创建至少ー个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和ー个虚拟网卡；本实施例中，将全网中的计算资源纳入主机中,创建虚拟局域网网卡。如图2所示，在主机上虚拟出不同用户的虚拟局域网网卡。如ethO.I、ethO.2、ethO.3、ethO.4.··方法如下vconfigaddethO.I;ifconfigethO.Iup;vconfigadaethO.2;ifconfigethO.2up…同理，在用户对应的计算资源上，创建该用户对应的虚拟网卡。如在用户I对应的计算资源上创建虚拟网卡。方法如下vconfigaddethO.I;ifconfigethO.Iup.为了在整个网络结构中将同一个虚拟局域网的计算资源进行关联，则在同一个虚拟局域网中另行创建虚拟网桥，使主机与各用户的计算资源可以进行通信。在主机上添加不同虚拟局域网对应的虚拟网桥方法如下brctladdbrbrvlanl;Drctladdbrbrvlan2.将主机上的各虚拟局域网的网卡分别添加到虚拟网桥上。方法如下brctladdifbrvlanlethO.I;brctladdifbrvlan2ethO.2.在计算资源上，也添加上虚拟网桥在计算资源I上brctladdbrbrvlanl;在计算资源2上:brctladdbrbrvlan2。同样将虚拟网卡加入虚拟网桥，以实现虚拟局域网的全部功能，保证了各虚拟局域网之间的互相_离，提高了网络安全性在计算资源I上brctladdifbrvlanlethO.I；在计算资源2上:brctladdifbrvlan2ethO.2。102、在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；在主机上设置DHCP服务编写DHCP的配置脚本，根据主机上虚拟局域网的虚拟网卡中的MAC地址对应生成的IP地址，使得一个私网IP地址与虚拟网卡中的MAC地址绑定。103、当计算资源向主机发送DHCP请求时,主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；当用户的计算资源向主机发送DHCP请求吋，主机通过MAC地址判断计算资源，将分配的私有IP地址发送给该计算资源，通过下面的配置脚本中，提供MAC地址与IP地址对，从而根据MAC地址分配对应的私有IP地址。配置脚本如下例如，配置虚拟局域网I的DHCP服务配置如下default-lease-time1200;max-lease—time1200;adns-update-stylenone;shared-networktest{subnet192.168.I.0netmask255.255.255.0{optionsubnet-mask255.255.255.0;optionbroadcast-address192.168.I.255;optiondomain-name-servers8.8.8.8,192.168.20.I;optionrouters192.168.I.I;}hostuserl-1{hardwareethernet00:21:41:C8:07:EF;//计算资源I对应的虚拟网卡的MAC地址;fixed-address192.168.I.2;//计算资源I绑定的私网IP地址；}nostuserl-2{hardwareethernet00:21:42:42:07:EA;//计算资源2对应的虚拟网卡的MAC地址；fixed-address192.168.I.3;//计算资源2绑定的私网IP地址；}}以该配置脚本启动主机中的DHCP服务，并监听虚拟网桥brvlanl上的ethO.I虚拟网卡/usr/sbin/dhcpa-cf/etc/dhcp.conf-If/etc/dhcp.leases-pf/etc/dhcp.pid-tf/etc/dhcp.tracebrvlanl。将DHCP请求发送到A主机分配虚拟局域网I和虚拟局域网2中的各私网IP地址，ー个计算资源绑定ー个私网IP地址。这样，不同用户对应的计算资源则可以归入不同的虚拟局域网以实现安全隔离。本实施例中，为每个用户建立一个虚拟局域网，通过虚拟局域网中虚拟网卡的MAC地址确定各计算资源属于哪个用户，并将对应的计算资源納入该用户所在的虚拟局域网，使不同用户之间对应的计算资源在逻辑上被不同的局域网安全隔离，从而提高了网络的安全性。104、将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ，使各私网IP地址与公网IP地址进行映射，从而实现用户对计算资源的访问。如图2、图3所示，本实施例中，主机有两块网卡，ethO连公网ip为211.112.13.15;ethl连接在虚拟网桥上，负责向私网转发数据。这样就需要将ethO获得的数据包转换目的地址发送给ethl，同时将ethl发送回来的数据包转换源地址发送给ethO。同时，因为公网IP地址的资源比较紧张，需要将同一个IP地址的不同端ロ绑定给不同的计算资源，计算资源提供不同的服务，将ー种服务绑定到ー个端口上。然后将公网IP地址的不同端ロ映射到不同的私网IP地址上，以实现公网IP地址访问内部计算资源的机制。设置如下I.将FTP服务转发到计算资源192.168.I.2:iptables_tnat-APREROUTING_d211.112.13.15-ptcp_mtcp—dport21-jDNAT-to-destination192.168.I.2:21；取公网IP的21号端ロ映射私网IP地址192.168.I.2，从而处理计算资源的FTP服务。将WEB服务转发到计算资源192.168.I.3:iptables_tnat-APREROUTING_d211.112.13.15-ptcp_mtcp—dport80-jDNAT-to-destination192.168.I.3:80；取公网IP的80号端ロ映射私网IP地址192.168.I.3，从而处理计算资源的WEB服务。默认将所有访问转发到计算资源192.168.I.4:iptables_tnat-APREROUTING-d211.112.13.15-jDNAT-to-destination192.168.I.4;取主机中数据库默认端ロ1443映射私网IP地址192.168.I.4，从而处理计算资源的默认数据库访问。则公网IP地址流入至私网IP地址的数据包转发目的地址映射为211.112.13.15:2ト>192.168.I.2；211.112.13.15:80->192·168.I.3；211.112.13.15:1443->192·168.I.4。2.将计算资源返回的数据包源地址修改为公网IP地址iptables_tnat-APOSTROUTING-s192.168.1.0/24-jSNAT—to-source211.112.13.15设置完成后，iptables的结果如下#iptables-L_tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDNATtcp—anywhere211.112.13.15tcpdpt:21to:192.168.I.2:21DNATtcp—anywhere211.112.13.15tcpdpt:80to:192.168.1.3:80DNATall—anywhere211.112.13.15to:192.168.I.254ChainP0STR0UTING(policyACCEPT)targetprotoptsourcedestinationSNATall—192.168.I.0/24anywhereto:211.112.13.15则私网IP地址流出至公网IP地址的数据包转发源地址映射为192.168.I.2->211·112.13.15；192.168.I.3->211·112.13.15；192.168.I.4->211·112.13.15。综上，各私网IP地址与公网IP地址可以进行映射，从而实现用户对计算资源的访问。本发明还公开了ー种虚拟网络中地址映射装置，如图4所示，包括设置模块401，将全网中的计算资源纳入主机中，并在主机上创建至少ー个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和ー个虚拟网卡；绑定模块402，在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；配置模块403，当计算资源向主机发送DHCP请求吋，主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；映射模块404，将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ，使各私网IP地址与公网IP地址进行映射，从而实现用户对计算资源的访问。所述设置模块中，创建至少ー个虚拟局域网时，在用户对应的计算资源上创建对应的虚拟网卡，并将虚拟网卡添加在虚拟网桥中，从而形成虚拟局域网。所述配置模块中，当计算资源向主机发送DHCP请求吋，各虚拟网卡的MAC地址被分别分配对应的私网IP地址，将该私网IP地址对应发送至所述向主机发送DHCP请求的计算资源。所述映射模块中，将计算资源对应的服务ー对ー绑定至公网IP地址的各端ロ吋，各服务分别转发至各虚拟局域网对应的计算资源，并将计算资源返回的数据包对应的源地址转换为公网IP地址。本发明公开了ー种虚拟网络中地址映射方法和装置，将公网IP地址的不同端ロ映射到不同的私网IP地址上，实现用户对计算资源的访问，充分利用了公网IP地址来访问申请到的计算资源，各私网IP地址对应的虚拟网络之间相互独立，从而提高了网络的安全性。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。权利要求1.一种虚拟网络中地址映射方法,其特征在于,包括将全网中的计算资源纳入主机中，在主机上根据计算资源创建至少一个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和一个虚拟网卡；在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；当计算资源向主机发送DHCP请求时，主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；将计算资源对应的服务一对一绑定至公网IP地址的各端口，使各私网IP地址与公网IP地址进行映射。2.根据权利要求I所述的虚拟网络中地址映射方法，其特征在于所述创建至少一个虚拟局域网时，在用户对应的计算资源上创建对应的虚拟网卡，并将虚拟网卡添加在虚拟网桥中，从而形成虚拟局域网。3.根据权利要求I或2所述的虚拟网络中地址映射方法，其特征在于所述当计算资源向主机发送DHCP请求时，各虚拟网卡的MAC地址被分别分配对应的私网IP地址，将该私网IP地址对应发送至所述向主机发送DHCP请求的计算资源。4.根据权利要求I或2所述的虚拟网络中地址映射方法，其特征在于所述将计算资源对应的服务一对一绑定至公网IP地址的各端口时，各服务分别转发至各虚拟局域网对应的计算资源，并将计算资源返回的数据包对应的源地址转换为公网IP地址。5.一种虚拟网络中地址映射装置，其特征在于，包括设置模块，将全网中的计算资源纳入主机中，并在主机上创建至少一个虚拟局域网，其中虚拟局域网包括一个虚拟网桥和一个虚拟网卡；绑定模块，在主机上设置DHCP服务，将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；配置模块，当计算资源向主机发送DHCP请求时，主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；映射模块，将计算资源对应的服务一对一绑定至公网IP地址的各端口，使各私网IP地址与公网IP地址进行映射。6.根据权利要求5所述的虚拟网络中地址映射装置，其特征在于所述设置模块中，创建至少一个虚拟局域网时，在用户对应的计算资源上创建对应的虚拟网卡，并将虚拟网卡添加在虚拟网桥中，从而形成虚拟局域网。7.根据权利要求5或6所述的虚拟网络中地址映射装置，其特征在于所述配置模块中，当计算资源向主机发送DHCP请求时，各虚拟网卡的MAC地址被分别分配对应的私网IP地址，将该私网IP地址对应发送至所述向主机发送DHCP请求的计算资源。8.根据权利要求5或6所述的虚拟网络中地址映射装置，其特征在于所述映射模块中，将计算资源对应的服务一对一绑定至公网IP地址的各端口时，各服务分别转发至各虚拟局域网对应的计算资源，并将计算资源返回的数据包对应的源地址转换为公网IP地址。全文摘要本发明公开了一种虚拟网络中地址映射方法和装置，属于网络管理领域。方法包括将全网中的计算资源纳入主机中，并在主机上根据计算资源创建至少一个虚拟局域网；将生成的私网IP地址分别与虚拟网卡的MAC地址进行对应绑定；主机通过MAC地址将分配的私网IP地址发送给对应的计算资源，使得各计算资源在逻辑上各自独立；将计算资源对应的服务一对一绑定至公网IP地址的各端口，使各私网IP地址与公网IP地址进行映射。本发明将公网IP地址的不同端口映射到不同的私网IP地址上，实现用户对计算资源的访问，充分利用了公网IP地址来访问申请到的计算资源，各私网IP地址对应的虚拟网络之间相互独立，从而提高了网络的安全性。文档编号H04L12/24GK102664972SQ201210144888公开日2012年9月12日申请日期2012年5月11日优先权日2012年5月11日发明者周宇,李冬,沈彬申请人:中国科学院软件研究所,中科方德软件有限公司