虚拟交换机管理有防火墙虚拟机以及至少一个业务 虚拟机,该方法包括:
[0130]步骤401、接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数 据中心管理模块发送的租户配置信息为第一租户配置的。
[0131] 该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标 识和租用指示信息,该租用指示信息用于指示租户标识指定的租户是否租用防火墙服务, 该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
[0132] 步骤402、根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一 虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对 该报文进行安全过滤。
[0133] 该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
[0134] 综上所述,本发明实施例提供的报文过滤方法,第一虚拟交换机接收到SDN控制模 块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文,先转发至 该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策 略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过 滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外 部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流 量转发能力的限制,提高了数据中心业务扩展时的灵活性。
[0135] 图5-1是本发明实施例提供的再一种报文过滤方法流程图,该方法可以应用于图 1-2所示的数据中心的内部网络中,如图5-1所示,该方法包括:
[0136] 步骤501、SDN控制模块接收数据中心管理模块发送的租户配置信息。
[0137] 该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标 识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服 务。其中,租户标识可以为该租户在数据中心管理模块中注册的账号,每个租户标识对应的 虚拟机标识可以为该租户所租用的虚拟机的编号或者该虚拟机的虚拟局域网标识 (Virtual LocalAreaNetwork identification;简称:VLAN ID)等。防火墙服务可以包括访 问控制列表(英文:Access Control List;简称:ACL)服务、应用层的包过滤(英文: Application Specific PacketFilter;简称:ASPF)服务和网络地址转换(英文: NetworkAddress Translation;简称:NAT)服务等。每个租户标识对应的租用指示信息中, 除了用于指示租户是否租用防火墙服务之外,还可以用于指示租户具体租用的防火墙服务 的内容。示例的,SDN控制模块接收到的租户配置信息可以如表1所示,其中租户标识为:1的 租户所租用的业务虚拟机的虚拟机标识为1001,该租户租用的防火墙服务包括ACL、ASPF和 NAT服务,因此该租户标识对应的租用指示信息可以为:是,ACL服务,ASPF服务,NAT服务。
[0138] 表1
[0139]
[0140]步骤502、SDN控制模块根据该租户配置信息为第一租户配置流表规则。
[0141]该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。 在本发明实施例中,由于SDN控制模块管理的每个虚拟交换机中都管理有一个防火墙虚拟 机,SDN控制模块为第一租户配置流表规则时,可以将该第一租户的业务流定向至第一虚拟 交换机中预留的防火墙虚拟机端口,该第一虚拟交换机为管理有该第一租户所租用的业务 虚拟机的虚拟交换机。若该SDN控制模块中已经存储有该第一租户的流表规则,则该SDN模 块可以对该第一租户的流表规则执行重定向动作,将该第一租户的业务流从集中防火墙端 口重定向至第一虚拟交换机中预留的防火墙虚拟机端口。
[0142] 步骤503、SDN控制模块根据该租户配置信息,确定第一虚拟交换机。
[0143] 该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业 务虚拟机。在本发明实施例中,SDN控制模块中还可以存储有虚拟交换机的标识与其所管理 的虚拟机标识的对应关系,因此,当SDN控制模块根据租户配置信息中租户标识与虚拟机标 识的对应关系,确定第一租户的标识对应的虚拟机标识后,还可以根据虚拟交换机的标识 与其所管理的虚拟机标识的对应关系,进一步确定管理有该第一业务虚拟机的第一虚拟交 换机。
[0144] 步骤504、SDN控制模块将该第一租户的流表规则发送至该第一虚拟交换机。
[0145] 示例的,SDN控制模块可以将第一租户:租户1的流表规则发送至该第一虚拟交换 机。第一虚拟交换机接收到第一租户的流表规则后,可以根据该第一租户的流表规则,将该 第一业务虚拟机所发送的报文转发至该第一虚拟交换机管理的防火墙虚拟机,提高了数据 中心业务扩展时的灵活性。
[0146] 需要说明的是,由于SDN控制模块确定的第一租户的个数可以为多个,当SDN模块 确定该每个第一租户所对应的第一虚拟交换机后,还可以将所有第一租户的流表规则分别 发送至每个第一虚拟交换机,本发明实施例对此不做限定。
[0147] 步骤505、SDN控制模块向每个虚拟交换机管理的防火墙虚拟机发送预设的防火墙 安全策略。
[0148] 在本发明实施例中,SDN控制模块在每个虚拟交换机所在的主机内创建防火墙虚 拟机时,可以为该每个防火墙虚拟机分配管理面IP地址,并可以根据该管理面IP地址向每 个防火墙虚拟机发送预设的防火墙安全策略。该预设的防火墙安全策略可以包括ACL、ASPF 和NAT策略等。
[0149] 步骤506、SDN控制模块向该第一虚拟交换机管理的防火墙虚拟机发送流表规则。
[0150]在本发明实施例中,SDN控制模块在为第一租户配置流表规则后,除了需要将该流 表规则发送至第一虚拟交换机,还需要向该第一虚拟交换机管理的防火墙虚拟机发送该流 表规则,以便该防火墙虚拟机可以根据接收到的流表规则,将处理后的报文再转发至第一 虚拟交换机。
[0151]步骤507、第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文, 先转发至该第一虚拟交换机管理的防火墙虚拟机。
[0152] 该第一业务虚拟机即租用防火墙服务的第一租户所租用的业务虚拟机。当第一虚 拟交换机接收到该第一业务虚拟机发送的报文后,可以根据SDN管理模块发送的该第一租 户的流表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙 虚拟机可以根据预设的防火墙安全策略对该报文进行安全过滤。
[0153] 其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心 内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报 文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文等,本发明实施例对此不 做限定。
[0154] 需要说明的是,若该数据中心的内部网络和外部网络之间没有部署集中防火墙, 则第一虚拟交换机接收到与该第一业务虚拟机交互的报文后,可以直接将该报文发送至该 第一虚拟交换机管理的防火墙虚拟机;若该数据中心的内部网络和外部网络之间部署有集 中防火墙,则该第一虚拟交换机接收到与该第一业务虚拟机交互的报文后,可以判断该报 文中的目的端口标识所指示的目的端口是否为数据中心中的业务虚拟机的端口,当该目的 端口为该数据中心中的业务虚拟机的端口时,将该报文转发至该第一虚拟交换机管理的防 火墙虚拟机,当该目的端口不为该数据中心中的业务虚拟机的端口时,即当该第一业务虚 拟机访问外部网络时,第一虚拟交换机可以将该报文转发至该数据中心的内部网络和外部 网络之间部署的集中防火墙,该集中防火墙可以为物理防火墙或者软件防火墙。因此,数据 中心内部的业务虚拟机互访时的业务流可以由发送端业务虚拟机所在主机内的防火墙虚 拟机进行过滤转发,只有当数据中心内部的业务虚拟机访问外部网络时,该业务虚拟机的 业务流才需经过集中防火墙进行过滤转发,因此极大降低了经过集中防火墙的业务流量。
[0155] 图5-2是本发明实施例示出的一种业务虚拟机报文转发路径示意图,如图5-2所 示,假设该数据中心内部网络和外部网络之间部署有集中防火墙04,第一租户:租户1所租 用的业务虚拟机为VM1,若该业务虚拟机VM1需要与第一虚拟交换机03管理的VM2进行通讯, 则VM1向第一虚拟交换机发送的报文中的目的端口即为该VM2的端口,第一虚拟交换机接收 到该报文后,可以判断出该目的端口为数据中心内部的业务虚拟机的端口,因此可以将该 报文转发至防火墙虚拟机,该报文的转发路径可以如图5-2中的双箭头实线50所示。若该业 务虚拟机VM1需要访问外部网络,则VM1向第一虚拟交换机发送的报文中的目的端口即为外 部网络中的目的端口,第一虚拟交换机接收到该报文后,可以判断出该目的端口不是数据 中心内部的业务虚拟机的端口,因此可以将该报文通过交换机05转发至集中防火墙04,该 报文的转发路径可以如图5-2中的双箭头实线51所示,其中,该交换机04可以为数据中心内 的核心层交换机或者汇聚层交换机等。
[0156] 步骤508、防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤。
[0157] 防火墙虚拟机接收到第一虚拟交换机发送的报文后,可以根据预设的防火墙安全 策略,对该报文进行安全过滤,若该报文合法,则允许该报文通过防火墙虚拟机,若该报文 不合法,则将该报文丢弃。
[0158] 需要说明的是,在实际应用中,防火墙虚拟机中还可以存储有租户所租用的防火 墙服务的内容,当防火墙虚拟机接收到报文后,还可以根据该第一租户所租用的防火墙服 务的内容,对该报文进行过滤处理。示例的,假设该报文为虚拟机标识为1001的业务虚拟机 VM1发送的,则由于租用该虚拟机的租户所租用的防火墙服务的内容包括:ACL服务,ASPF服 务,NAT服务,因此,防火墙虚拟机可以根据预设的防火墙安全策略中的ACL、ASPF和NAT策略 对该报文进行过滤处理。
[0159] 步骤509、防火墙虚拟机根据该流表规则,将通过安全过滤后的报文转发至该第一 虚拟交换机。
[0160] 当防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤,确定该报文 合法,并允许该报文通过该防火墙虚拟机后,可以根据接收到的流表规则,将处理后的该报 文转发至该第一虚拟交换机,以便第一虚拟交换机根据该流表规则对通过安全过滤后的报 文进行转发。示例的,如图5-2中的转发路径50所示,防火墙虚拟机可以将该业务虚拟机VM1 发送的报文转发至第一虚拟交换机。
[0161] 步骤510、第一虚拟交换机根据该流表规则,对通过安全过滤后的报文进行转发。
[0162] 第一虚拟交换机接收到防火墙发送的处理后的报文后,可以确定该报文合法,并 可以根据该流表规则,对通过安全过滤后的报文进行转发。
[0163] 若该报文为第一业务虚拟机向数据中心内其他业务虚拟机所发送的报文,则第一 虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该其他业务虚拟机;若 该报文为数据中心内其他业务虚拟机向该第一业务虚拟机所发送的报文,则第一虚拟交换 机可以根据该流表规则,将通过安全过滤后的报文转发至该第一业务虚拟机。
[0164] 可选地,若该报文为第一业务虚拟机访问数据中心外部网络时所发送的报文,则 第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至外部网络。可替换 地,对于该报文为第一业务虚拟机访问数据中心外部网络时所发送的报文,也可以不经过 防火墙虚拟机进行安全过滤,由集中防火墙对该报文进行安全过滤,将通过安全过滤后的 报文转发至外部网络。
[0165] 第一虚拟交换机在对通过安全过滤后的报文进行转发时,可以根据该报文中的目 的端口标识,将该通过安全过滤后的报文发送至该目的端口标识所指示的目的端口。其中, 该目的端口标识可以为目的端口的IP地址或者媒体访问控制(MediaAccess Control;简 称:MAC)地址等。示例的,假设该通过安全过滤后的报文中的目的端口标识所指示的目的端 口为图5-2中VM2的端口,贝IJ如图5-2中的转发路径50所示,第一虚拟交换机可以将该报文发 送至VM2。由于数据中心内部的各个虚拟交换机所在的主机中均部署有防火墙虚拟机,因 此,该数据中心的内部网络和外部网络之间可以不用部署集中防火墙,或者可以减少部署 的集中防火墙的数量,进而避免了集中防火墙流量转发能力对数据中心业务容量扩展的限 制,提高了数据中心的内部网络在扩展业务时的灵活性。
[0166] 步骤511、防火墙虚拟机向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚 拟交换机管理的业务虚拟机的握手信息。
[0167] 在本发明实施例中,由于数据中心内部业务虚拟机之间通讯时的业务流需要通过 防火墙虚拟机,因此该防火墙虚拟机中可以存储有业务虚拟机的握手信息,该握手信息用 于指示相互通信的两个业务虚拟机之间建立通信连接的进度。数据中心还设置有用于管理 各个业务虚拟机的虚拟机管理模块,该虚拟机管理模块可以根据数据中心中各个虚拟交换 机的工作状态,将该虚拟交换机管理的业务虚拟机迀移至其他虚拟交换机所在的主机中。 为了保证业务虚拟机在迀移时,业务虚拟机当前正在进行的业务不受影响,防火墙虚拟机 可以向SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的 握手信息。优选的,防火墙虚拟机可以周期性的向SDN控制模块上报该防火墙虚拟机中存储 的业务虚拟机的握手信息。
[0168] 需要说明的是,在实际应用中,防火墙虚拟机向SDN控制模块上报的信息除了业务 虚拟机的握手信息之外,还可以包括租户所租用的防火墙服务的信息。示例的,假设在图5-2中,第一虚拟交换机所在的主机内部署有两个业务虚拟机VM1和VM2,则该第一虚拟交换机 所管理的防火墙虚拟机向SDN控制模块上报的信息除了可以包括业务虚拟机VM1和VM2的握 手信息,还可以包括租用业务虚拟机VM1的租户所租用的防火墙服务的信息,以及租用业务 虚拟机VM2的租户所租用的防火墙服务的信息。以便SDN控制模块可以将该租户所租用的防 火墙服务的信息也同步发送至待迀移虚拟机的目的虚拟交换机所管理的防火墙虚拟机。
[0169] 步骤512、SDN控制模块存储该握手信息。
[0170] SDN控制模块接收到各个防火墙虚拟机上报的握手信息后,可以对该接收到的握 手信息进行存储,以便在接收到虚拟机迀移指令时,可以从存储的握手信息中,快速获取待 迀移虚拟机的握手信息,并将该待迀移虚拟机的握手信息同步至目的虚拟交换机所管理的 防火墙虚拟机中,保证了待迀移虚拟机迀移时,该待迀移虚拟机的握手信息同步的及时性。 [0171 ]步骤513、SDN控制模块接收虚拟机迀移指令。
[017