虚拟机vm迁移后的报文处理的方法及其设备的制作方法

虚拟机vm迁移后的报文处理的方法及其设备的制作方法
【专利摘要】本发明实施例公开了一种虚拟机VM迁移后的报文处理的方法，包括：在VM迁移后，将VM对应的安全策略，应用到VM迁移后对应的网络安全设备上。本发明实施例还提供相应的网络安全设备和网络设备。本发明实施例技术方案，通过在VM迁移后，将VM对应的安全策略，应用到VM迁移后对应的网络安全设备上，不需要将迁移后的VM发出的报文转发给VM迁移前对应的网络安全设备进行处理，从而提高VM报文的转发效率。
【专利说明】虚拟机VM迁移后的报文处理的方法及其设备
【技术领域】
[0001]本发明涉及通信【技术领域】，具体涉及一种虚拟机VM迁移后的报文处理的方法及其设备。
【背景技术】
[0002]虚拟机(Virtual Machine, VM)在数据中心内，或跨数据中心迁移时,会导致发生迁移的VM发送或接收的流量流经的网络路径发生改变，迁移后的流量可能会流经不同的网络安全设备。这样当一个网络安全设备(比如说防火墙)接收到一个新迁移到本安全域的VM发出的报文时，它可能因为缺乏相关的对应此VM的安全策略而无法正确处理。
[0003]例如，数据中心内有第一主机和第二主机，所述第一主机通过第一交换机与第一防火墙相连，所述第二主机通过第二交换机与第二防火墙相连，所述第一主机上有第一 VM，此时所述第一 VM发出的报文流量是经过所述第一防火墙的，所述第一防火墙上部署有与所述第一 VM对应的安全策略，以使得所述第一 VM能通过所述第一防火墙和外界通信。当所述第一 VM从所述第一主机迁移到所述第二主机后，所述第一 VM发出的报文，将通过所述第二交换机转给所述第二防火墙，但所述第二防火墙上没有对应所述第一 VM的安全策略，可能导致所述第二防火墙无法正确处理所述第一 VM发来的报文，所述第一 VM与外界通信中断。
[0004]现有技术通过二层设备(如交换机)，将VM发出的报文转发到部署了与该VM对应的安全策略的网络安全设备进行处理。以上面提到的场景为例，当所述第一 VM从所述第一主机迁移到所述第二主机后，所述第一 VM发出的报文经过所述第二交换机时，所述第二交换机将该报文转给所述第一交换机，所述第一交换机将此报文转给所述第一防火墙，从而使得所述第一 VM仍可以和外界通信。由于需要将迁移后的VM发出的报文经过辗转的路径，转发给部署了与该VM对应的安全策略的网络安全设备处理，导致迁移后的VM发出的报文经过的网络节点增多，VM报文转发的效率低。

【发明内容】

[0005]本发明实施例提供一种虚拟机VM迁移后的报文处理的方法用于解决虚拟机VM迁移后的安全策略丢失的方法及其设备，不需要将迁移后的VM发出的报文转发给VM迁移前对应的网络安全设备进行处理，从而提高VM报文的转发效率可以解决现有技术因由于需要将迁移后的VM发出的报文，经过辗转的路径，转发给部署了与该VM对应的安全策略的网络安全设备处理，导致迁移后的VM发出的报文经过的网络节点增多，即VM报文转发路径不是最优路径，VM报文转发效率低的问题。
[0006]—方面,本发明实施例提供一种虚拟机VM迁移后的报文处理的方法,包括:
[0007]VM迁移后，所述VM迁移后对应的网络安全设备接收网络设备发来的扩展端口控制协议(Port Control Protocol, PCP)策略更新报文,所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略，所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略预先存储在所述网络设备上；
[0008]所述网络安全设备应用所述VM对应的安全策略，对接收到的来自所述VM的报文进行处理。
[0009]另一方面，本发明实施例提供又一种虚拟机VM迁移后的报文处理的方法包括:
[0010]VM迁移后，网络设备获得所述VM的标识类型和所述VM的标识，所述网络设备预先存储了所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略；
[0011]所述网络设备根据所述VM的标识类型和所述VM的标识，构造扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略；
[0012]所述网络设备向所述VM迁移后对应的网络安全设备发送所述扩展PCP策略更新报文。
[0013]另一方面，本发明实施例提供一种网络安全设备，包括:
[0014]接收单元，用于在VM迁移后，接收网络设备发来的扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略，所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略预先存储在所述网络设备上；
[0015]执行单元，用于应用所述VM对应的安全策略，对接收到的来自所述VM的报文进行处理。
[0016]另一方面，本发明实施例提供一种网络设备，包括:
[0017]接收单元，用于在VM迁移后，获得所述VM的标识类型和所述VM的标识；
[0018]存储单元，用于预先存储所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略；
[0019]构造更新报文单元，用于根据所述VM的标识类型和所述VM的标识，构造扩展PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略；
[0020]发送单元，用于向所述VM迁移后对应的网络安全设备发送所述扩展PCP策略更新报文。
[0021]本发明实施例提供的用于解决虚拟机VM迁移后的安全策略丢失的方法、以及设备，在VM迁移后，将VM对应的安全策略，应用到VM迁移后对应的网络安全设备上，不需要将迁移后的VM发出的报文转发给VM迁移前对应的网络安全设备进行处理，从而提高VM报文的转发效率。
【专利附图】

【附图说明】
[0022]图1是本发明一个实施例中VM迁移的组网示意图；
[0023]图2是本发明一个实施例中VM迁移的组网示意图；
[0024]图3是本发明实施例提供的一种虚拟机VM迁移后的报文处理的方法的流程图；
[0025]图4是本发明实施例提供的又一种虚拟机VM迁移后的报文处理的方法的流程图；
[0026]图5是本发明实施例提供的一种网络安全设备的示意图；[0027]图6是本发明实施例提供的又一种网络安全设备的示意图；
[0028]图7是本发明实施例提供的一种网络设备的示意图。
【具体实施方式】
[0029]下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。
[0030]如图1所不，本发明一个实施例中VM迁移的组网不意图。第一主机通过第一交换机与第一网络安全设备相连，第二主机通过第二交换机与第二网络安全设备相连。第一网络安全设备和第二网络安全设备，是具有安全功能的网络设备，如防火墙，路由器，交换机等。一开始，第一主机上有两个虚拟机W，分别为第一 VM和第二 W，所述第一 VM和所述第二 VM对应的安全策略预先存储并部署在所述第一网络安全设备上，以使得所述第一 VM和所述第二 VM能通过所述第一网络安全设备和外界通信，此时第二网络安全设备上没有预先存储并部署所述第一 VM和所述第二 VM对应的安全策略。之后，所述第一 VM迁移到所述第二主机上。
[0031]如图2所示，本发明一个实施例中VM迁移的组网示意图，图2与图1的区别是，第一 VM和第二 VM对应的安全策略，除了预先存储并部署在第一网络安全设备上，也预先存储在第三方服务器上，第三方服务器可以与第一网络安全设备以及第二网络安全设备通信。
[0032]如图3所示，本发明实施例提供一种用于解决虚拟机VM迁移后的安全策略丢失的方法，举例来说，可以应用于图1所示的第二网络安全设备，也可以应用于图2所示的第二网络安全设备。所述方法包括:
[0033]301、VM迁移后，所述VM迁移后对应的网络安全设备接收网络设备发来的扩展PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略，所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略预先存储在所述网络设备上。
[0034]举例来说，当第一 VM迁移到第二主机上的事件发生后，第二网络设备至少有两种方法可以接收到预先存储了第一 VM安全策略的网络设备发来的扩展PCP策略更新报文。
[0035]第一种方法包括:第一主机或第二主机向预先存储了第一 VM安全策略的网络设备发送第一 VM的迁移通知报文，触发该网络设备向第二网络设备发送扩展PCP策略更新报文。
[0036]第二种方法包括:第一主机或第二主机向第二网络设备发送第一 VM的迁移通知报文，触发第二网络设备向预先存储了第一 VM安全策略的网络设备发送扩展PCP策略请求报文；该网络设备收到扩展PCP策略请求报文后，向第二网络设备发送扩展PCP策略更新报文，所述扩展PCP策略更新报文是对所述扩展PCP策略请求报文的响应。
[0037]上述两种方法中的预先存储了第一 VM安全策略的网络设备，在图1是第一网络设备，在图2中是第三方服务器，或者第一网络设备，或者第三方服务器和第一网络设备。
[0038]对第二种方法的执行过程，详细说明如下:
[0039]第一主机上的第一 VM迁移到第二主机后，第一主机或第二主机向第二网络设备发送第一 VM的迁移通知报文，该迁移通知报文中携带第一 VM的标识类型以及第一 VM的标识。当第一 VM的标识类型是媒体接入控制(Media Access Control,MAC)地址类型时,第一VM的标识是第一VM的MAC地址；当第一VM的标识类型是互联网协议(Internet Protocol,IP)地址类型时，第一 VM的标识第一 VM的IP地址。
[0040]第二网络设备接收到该迁移通知报文后，构造扩展PCP策略请求报文，所述扩展PCP策略请求报文中携带报文类型标识，该标识用来标识该PCP报文是请求/确认VM的安全策略的PCP报文，此外还携带第一 VM的标识类型以及第一 VM的标识。所述第二网络设备构造所述扩展PCP策略请求报文之后，向预先存储第一 VM安全策略的设备，例如第三方服务器或者第一网络设备，或者第三方服务器和第一网络设备，发送所述扩展PCP策略请求报文。
[0041]所述预先存储第一 VM安全策略的设备收到所述第二网络设备发来的所述扩展PCP策略请求报文后，判定该报文是请求VM安全策略的报文，根据所述扩展PCP策略请求报文中携带的所述第一 VM的标识类型以及所述第一 VM的标识，查询到所述第一 VM对应的安全策略，构造扩展PCP策略更新报文，所述扩展PCP策略更新报文是对所述扩展PCP策略请求报文的响应。所述扩展PCP策略更新报文携带报文类型标识，该标识用来标识该PCP报文是请求/更新VM的安全策略的PCP报文，此外还携带所述第一 VM的标识类型、所述第一VM的标识以及所述第一 VM对应的安全策略。向所述第二网络设备发送所述扩展PCP策略更新报文。
[0042]下面通过举例，对如何从现有PCP报文，扩展成为扩展PCP策略请求报文和扩展PCP策略更新报文进行描述。这里仅为举例，不构成具体限定。
[0043]现有PCP请求(Request)报文格式定义如下:
[0044]
【权利要求】
1.一种虚拟机VM迁移后的报文处理的方法，其特征在于，包括: VM迁移后，所述VM迁移后对应的网络安全设备接收网络设备发来的扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略，所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略预先存储在所述网络设备上； 所述网络安全设备应用所述VM对应的安全策略，对接收到的来自所述VM的报文进行处理。
2.根据权利要求1所述的方法，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略,包括: 所述扩展PCP策略更新报文包括第一操作码Opcode字段、第一操作码特定信息Opcode-specific information 字段和 PCP 选项 Options 字段，所述第一 Opcode 字段用于标识扩展PCP的报文类型,所述第一 Opcode-specific information字段携带所述VM的标识类型和所述VM的标识，所述PCP Options字段携带所述VM对应的安全策略。
3.根据权利要求2所述的方法，其特征在于，在所述接收网络设备发来的扩展PCP策略更新报文之前，所述 方法还包括: 所述网络安全设备接收所述VM的迁移通知报文，所述迁移通知报文携带所述VM的标识类型以及所述VM的标识； 所述网络安全设备根据所述迁移通知报文，构造扩展PCP策略请求报文，所述扩展PCP策略请求报文包括第二 Opcode字段和第二 Opcode-specific information字段,所述第二Opcode字段用于标识扩展PCP的报文类型,所述第二 Opcode-specific information字段携带所述VM的标识类型以及所述VM的标识； 所述网络安全设备向所述网络设备发送所述扩展PCP策略请求报文；相应地，所述扩展PCP策略更新报文是对所述扩展PCP策略请求报文的响应。
4.一种虚拟机VM迁移后的报文处理的方法，其特征在于，包括: VM迁移后，网络设备获得所述VM的标识类型和所述VM的标识，所述网络设备预先存储了所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略； 所述网络设备根据所述VM的标识类型和所述VM的标识，构造扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略； 所述网络设备向所述VM迁移后对应的网络安全设备发送所述扩展PCP策略更新报文。
5.根据权利要求4所述的方法，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略,包括: 所述扩展PCP策略更新报文包括第一操作码Opcode字段、第一操作码特定信息Opcode-specific information 字段和 PCP 选项 Options 字段，所述第一 Opcode 字段用于标识扩展PCP的报文类型,所述第一 Opcode-specific information字段携带所述VM的标识类型和所述VM的标识，所述PCP Options字段携带所述VM对应的安全策略。
6.根据权利要求5所述的方法，其特征在于，所述网络设备获得所述VM的标识类型和所述VM的标识,包括: 所述网络设备接收所述VM的迁移通知报文，所述迁移通知报文携带所述VM的标识类型以及所述VM的标识。
7.根据权利要求5所述的方法，其特征在于，所述网络设备获得所述VM的标识类型和所述VM的标识,包括: 所述网络设备接收所述VM迁移后对应的网络安全设备发来的扩展PCP策略请求报文，所述扩展PCP策略请求报文包括第二 Opcode和第二 Opcode-specific information字段，所述第二 Opcode字段用于标识扩展PCP的报文类型，所述第二 Opcode-specificinformation字段携带所述VM的标识类型以及所述VM的标识。
8.—种网络安全设备，其特征在于，包括: 接收单元，用于在VM迁移后，接收网络设备发来的扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略，所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略预先存储在所述网络设备上； 执行单元，用于应用所述VM对应的安全策略，对接收到的来自所述VM的报文进行处理。
9.根据权利要求8所述的网络安全设备，其特征在于，所述PCP策略更新报文，包括: 第一操作码Opcode字段、第一操作码特定信息Opcode-specific information字段 和PCP选项Options字段，所述第一 Opcode字段用于标识扩展PCP的报文类型，所述第一Opcode-specific information字段携带所述VM的标识类型和所述VM的标识,所述PCPOptions字段携带所述VM对应的安全策略。
10.根据权利要求9所述的网络安全设备，其特征在于，所述接收单元还用于接收所述VM的迁移通知报文，所述迁移通知报文携带所述VM的标识类型以及所述VM的标识； 所述网络安全设备还包括构造请求报文单元，用于根据所述迁移通知报文，构造扩展PCP策略请求报文，所述扩展PCP策略请求报文包括第二 Opcode字段和第二Opcode-specific information字段,所述第二 Opcode字段用于标识扩展PCP的报文类型，所述第二 Opcode-specific information字段携带所述VM的标识类型以及所述VM的标识； 所述网络安全设备还包括发送单元，用于向所述网络设备发送所述扩展PCP策略请求报文；相应地，所述扩展PCP策略更新报文是对所述扩展PCP策略请求报文的响应。
11.一种网络设备，其特征在于，包括: 接收单元，用于在VM迁移后，获得所述VM的标识类型和所述VM的标识； 存储单元，用于预先存储所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略； 构造更新报文单元，用于根据所述VM的标识类型和所述VM的标识，构造扩展端口控制协议PCP策略更新报文，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略； 发送单元，用于向所述VM迁移后对应的网络安全设备发送所述扩展PCP策略更新报文。
12.根据权利要求11所述的网络设备，其特征在于，所述扩展PCP策略更新报文携带所述VM的标识类型、所述VM的标识以及所述VM对应的安全策略,包括:所述扩展PCP策略更新报文包括第一操作码Opcode字段、第一操作码特定信息Opcode-specific information 字段和 PCP 选项 Options 字段，所述第一 Opcode 字段用于标识扩展PCP的报文类型,所述第一 Opcode-specific information字段携带所述VM的标识类型和所述VM的标识，所述PCP Options字段携带所述VM对应的安全策略。
13.根据权利要求12所述的网络设备，其特征在于，所述接收单元具体用于: 接收所述VM的迁移通知报文，所述迁移通知报文携带所述VM的标识类型以及所述VM的标识。
14.根据权利要求12所述的网络设备，其特征在于，所述接收单元具体用于: 接收所述VM迁移后对应的网络安全设备发来的扩展PCP策略请求报文，所述扩展PCP策略请求报文包括第二 Opcode字段和第二 Opcode-s pecific information字段,所述第二 Opcode字段用于标识扩展PCP的报文类型,所述第二 Opcode-specific information字段携带所述VM的标识类型以及 所述VM的标识。
【文档编号】H04L29/06GK103428106SQ201210151792
【公开日】2013年12月4日 申请日期:2012年5月16日 优先权日:2012年5月16日
【发明者】张大成 申请人:华为技术有限公司