一种实时处理虚拟交换机网络流量的虚拟化平台的制作方法

本发明涉及计算机网络技术领域，尤其是一种实时处理虚拟交换机网络流量的虚拟化平台。

背景技术：

现有技术中，虚拟化平台通过在主机的虚拟网桥上加载防火墙/入侵检测等网络安全软件，来检测每个虚拟机的出/入网络流量，以此保护虚拟机并抵抗各种形式的网络攻击。但上述平台的虚拟网桥功能太单一，难以适应日渐复杂的虚拟网络环境。为应对现实中的复杂网络环境，现有的虚拟化平台逐渐采用符合软件定义网络SDN标准的虚拟交换机，如OpenSwitch，但无法与虚拟交换机协同工作，无法有效保护主机上运行的虚拟交换机不遭受网络攻击。

技术实现要素：

本发明所要解决的技术问题在于，提供一种实时处理虚拟交换机网络流量的虚拟化平台，可以保证虚拟交换机各种功能的兼容性，不影响虚拟交换机的各种功能。

为解决上述技术问题，本发明提供一种实时处理虚拟交换机网络流量的虚拟化平台，包括主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口；虚拟机分别与相对应的虚拟网口相连，虚拟网口与虚拟设备相连，安全软件与虚拟设备相连，虚拟设备与虚拟交换机相连，虚拟交换机与物理网口相连；虚拟机正常启动，主机上运行的虚拟机管理程序为虚拟机创建虚拟网口和其他外部设备，虚拟机管理程序激活该虚拟网口，激活操作会触发主机系统内核通告设备热插拔事件，监听程序实时监控设备热插拔事件，并判断热插拔事件描述的设备是否是其所关心的某个虚拟机的虚拟网口，监听程序创建一个全新的虚拟设备，并将其植入到虚拟网口和虚拟交换机的通信链路中间，安全软件与新的虚拟设备协同工作，执行网络流量的安全扫描/过滤/阻断工作，虚拟机通过端口与虚拟网口相连，虚拟机通过物理网口与主机外部网络相连。

优选的，虚拟机发出的网络流量或主机外部网络收到的流量都先通过虚拟交换机的端口，流量入端口把流量交给网络流量分发模块，网络流量分发模块计算该从哪个端口出，把流量转发到相应的流量出端口。

优选的，虚拟设备包括端口、过滤模块和用户层接口，虚拟设备内部有2个端口，一个和虚拟机的虚拟网口连接，另一个和虚拟交换机的端口连接，接收和转发网络数据包；过滤模块维护网络连接的状态信息，记录网络连接的端点信息，过滤模块收到端口转发过来的数据包之后，统计流量，更新网络连接信息，过滤模块将数据包传递给安全软件扫描，直到安全软件得出结论，该网络连接是安全的还是恶意的，安全软件得出结论之后，把信息通知给过滤模块，过滤模块更新网络连接信息，网络连接安全，过滤模块会把数据包重定向给虚拟设备中的另一个端口，数据包最终会发送到目的地址，网络连接是恶意的，安全软件会发送重置信号给该网络连接的两端主机，终止该连接，如果后续还有数据包未处理，过滤模块会简单执行丢包策略；监听程序需要动态创建虚拟设备，虚拟设备实现必要的用户层接口供监听程序使用。

优选的，虚拟机个数为3台，虚拟交换机的个数为2台。

优选的，虚拟网口与虚拟设备的个数与虚拟机相对应。

本发明的有益效果为：通过在虚拟机的虚拟网口和虚拟交换机之间的通信链路中加入一个虚拟设备，来实时过来/阻断进入和流出虚拟机的网络数据包；新加入的虚拟设备对虚拟机和虚拟交换机都是透明的，保证虚拟交换机各种功能的兼容性；新加入的虚拟设备与系统现有模块松散耦合，不会影响现有模块的功能。

附图说明

图1是本发明的虚拟化平台结构示意图。

图2是本发明的虚拟设备加入通信链路过程示意图。

图3是本发明的虚拟设备的结构示意图。

具体实施方式

如图1所示，一种实时处理虚拟交换机网络流量的虚拟化平台，包括主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口；虚拟机分别与相对应的虚拟网口相连，虚拟网口与虚拟设备相连，安全软件与虚拟设备相连，虚拟设备与虚拟交换机相连，虚拟交换机与物理网口相连。

如图2所示，为虚拟设备加入通信链路的过程示意图。虚拟机正常启动，主机上运行的虚拟机管理程序为虚拟机创建虚拟网口和其他外部设备，虚拟机管理程序激活该虚拟网口，激活操作会触发主机系统内核通告设备热插拔事件，监听程序实时监控设备热插拔事件，并判断热插拔事件描述的设备是否是其所关心的某个虚拟机的虚拟网口，监听程序创建一个全新的虚拟设备，并将其植入到虚拟网口和虚拟交换机的通信链路中间，安全软件与新的虚拟设备协同工作，执行网络流量的安全扫描/过滤/阻断工作，虚拟机通过端口与虚拟网口相连，虚拟机通过物理网口与主机外部网络相连。安全软件和过滤模块进行通信，监听程序和用户层接口进行通信。

虚拟机发出的网络流量或主机外部网络收到的流量都先通过虚拟交换机的端口，流量入端口把流量交给网络流量分发模块，网络流量分发模块计算该从哪个端口出，把流量转发到相应的流量出端口。

如图3所示，为虚拟设备的结构示意图。虚拟设备包括端口、过滤模块和用户层接口，虚拟设备内部有2个端口，一个和虚拟机的虚拟网口连接，另一个和虚拟交换机的端口连接，接收和转发网络数据包；过滤模块维护网络连接的状态信息，记录网络连接的端点信息，过滤模块收到端口转发过来的数据包之后，统计流量，更新网络连接信息，过滤模块将数据包传递给安全软件扫描，直到安全软件得出结论，该网络连接是安全的还是恶意的，安全软件得出结论之后，把信息通知给过滤模块，过滤模块更新网络连接信息，网络连接安全，过滤模块会把数据包重定向给虚拟设备中的另一个端口，数据包最终会发送到目的地址，网络连接是恶意的，安全软件会发送重置信号给该网络连接的两端主机，终止该连接，如果后续还有数据包未处理，过滤模块会简单执行丢包策略；监听程序需要动态创建虚拟设备，虚拟设备实现必要的用户层接口供监听程序使用。

虚拟机个数为3台，虚拟交换机的个数为2台。虚拟网口与虚拟设备的个数与虚拟机相对应。

原来的网络拓扑结构里面，虚拟网口和虚拟交换机的端口直连，为了保证虚拟交换机的功能100％兼容，虚拟设备与虚拟交换机相连的端口，必须提供和虚拟网口一样的接口；某些恶意软件，会探测网络时延，例如启动耗时多长，找个公网主机计算ICMP报文来回时间，如果时延大于经验值，那么恶意软件为避免被检测到，会故意停止工作，基于这类恶意软件的行为模式，虚拟设备植入通信链路的过程须尽可能的快。

尽管本发明就优选实施方式进行了示意和描述，但本领域的技术人员应当理解，只要不超出本发明的权利要求所限定的范围，可以对本发明进行各种变化和修改。