一種實時處理虛擬交換機網絡流量的虛擬化平臺制造技術

本發明專利技術公開了一種實時處理虛擬交換機網絡流量的虛擬化平臺，包括主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連。本發明專利技術的有益效果為：通過在虛擬機的虛擬網口和虛擬交換機之間的通信鏈路中加入一個虛擬設備，來實時過來/阻斷進入和流出虛擬機的網絡數據包；新加入的虛擬設備對虛擬機和虛擬交換機都是透明的，保證虛擬交換機各種功能的兼容性；新加入的虛擬設備與系統現有模塊松散耦合，不會影響現有模塊的功能。

【技術實現步驟摘要】

本專利技術涉及計算機網絡
，尤其是一種實時處理虛擬交換機網絡流量的虛擬化平臺。
技術介紹
現有技術中，虛擬化平臺通過在主機的虛擬網橋上加載防火墻/入侵檢測等網絡安全軟件，來檢測每個虛擬機的出/入網絡流量，以此保護虛擬機并抵抗各種形式的網絡攻擊。但上述平臺的虛擬網橋功能太單一，難以適應日漸復雜的虛擬網絡環境。為應對現實中的復雜網絡環境，現有的虛擬化平臺逐漸采用符合軟件定義網絡SDN標準的虛擬交換機，如OpenSwitch，但無法與虛擬交換機協同工作，無法有效保護主機上運行的虛擬交換機不遭受網絡攻擊。
技術實現思路
本專利技術所要解決的技術問題在于，提供一種實時處理虛擬交換機網絡流量的虛擬化平臺，可以保證虛擬交換機各種功能的兼容性，不影響虛擬交換機的各種功能。為解決上述技術問題，本專利技術提供一種實時處理虛擬交換機網絡流量的虛擬化平臺，包括主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連；虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發主機系統內核通告設備熱插拔事件，監聽程序實時監控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監聽程序創建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協同工作，執行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。優選的，虛擬機發出的網絡流量或主機外部網絡收到的流量都先通過虛擬交換機的端口，流量入端口把流量交給網絡流量分發模塊，網絡流量分發模塊計算該從哪個端口出，把流量轉發到相應的流量出端口。優選的，虛擬設備包括端口、過濾模塊和用戶層接口，虛擬設備內部有2個端口，一個和虛擬機的虛擬網口連接，另一個和虛擬交換機的端口連接，接收和轉發網絡數據包；過濾模塊維護網絡連接的狀態信息，記錄網絡連接的端點信息，過濾模塊收到端口轉發過來的數據包之后，統計流量，更新網絡連接信息，過濾模塊將數據包傳遞給安全軟件掃描，直到安全軟件得出結論，該網絡連接是安全的還是惡意的，安全軟件得出結論之后，把信息通知給過濾模塊，過濾模塊更新網絡連接信息，網絡連接安全，過濾模塊會把數據包重定向給虛擬設備中的另一個端口，數據包最終會發送到目的地址，網絡連接是惡意的，安全軟件會發送重置信號給該網絡連接的兩端主機，終止該連接，如果后續還有數據包未處理，過濾模塊會簡單執行丟包策略；監聽程序需要動態創建虛擬設備，虛擬設備實現必要的用戶層接口供監聽程序使用。優選的，虛擬機個數為3臺，虛擬交換機的個數為2臺。優選的，虛擬網口與虛擬設備的個數與虛擬機相對應。本專利技術的有益效果為：通過在虛擬機的虛擬網口和虛擬交換機之間的通信鏈路中加入一個虛擬設備，來實時過來/阻斷進入和流出虛擬機的網絡數據包；新加入的虛擬設備對虛擬機和虛擬交換機都是透明的，保證虛擬交換機各種功能的兼容性；新加入的虛擬設備與系統現有模塊松散耦合，不會影響現有模塊的功能。附圖說明圖1是本專利技術的虛擬化平臺結構示意圖。圖2是本專利技術的虛擬設備加入通信鏈路過程示意圖。圖3是本專利技術的虛擬設備的結構示意圖。具體實施方式如圖1所示，一種實時處理虛擬交換機網絡流量的虛擬化平臺，包括主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連。如圖2所示，為虛擬設備加入通信鏈路的過程示意圖。虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發主機系統內核通告設備熱插拔事件，監聽程序實時監控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監聽程序創建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協同工作，執行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。安全軟件和過濾模塊進行通信，監聽程序和用戶層接口進行通信。虛擬機發出的網絡流量或主機外部網絡收到的流量都先通過虛擬交換機的端口，流量入端口把流量交給網絡流量分發模塊，網絡流量分發模塊計算該從哪個端口出，把流量轉發到相應的流量出端口。如圖3所示，為虛擬設備的結構示意圖。虛擬設備包括端口、過濾模塊和用戶層接口，虛擬設備內部有2個端口，一個和虛擬機的虛擬網口連接，另一個和虛擬交換機的端口連接，接收和轉發網絡數據包；過濾模塊維護網絡連接的狀態信息，記錄網絡連接的端點信息，過濾模塊收到端口轉發過來的數據包之后，統計流量，更新網絡連接信息，過濾模塊將數據包傳遞給安全軟件掃描，直到安全軟件得出結論，該網絡連接是安全的還是惡意的，安全軟件得出結論之后，把信息通知給過濾模塊，過濾模塊更新網絡連接信息，網絡連接安全，過濾模塊會把數據包重定向給虛擬設備中的另一個端口，數據包最終會發送到目的地址，網絡連接是惡意的，安全軟件會發送重置信號給該網絡連接的兩端主機，終止該連接，如果后續還有數據包未處理，過濾模塊會簡單執行丟包策略；監聽程序需要動態創建虛擬設備，虛擬設備實現必要的用戶層接口供監聽程序使用。虛擬機個數為3臺，虛擬交換機的個數為2臺。虛擬網口與虛擬設備的個數與虛擬機相對應。原來的網絡拓撲結構里面，虛擬網口和虛擬交換機的端口直連，為了保證虛擬交換機的功能100％兼容，虛擬設備與虛擬交換機相連的端口，必須提供和虛擬網口一樣的接口；某些惡意軟件，會探測網絡時延，例如啟動耗時多長，找個公網主機計算ICMP報文來回時間，如果時延大于經驗值，那么惡意軟件為避免被檢測到，會故意停止工作，基于這類惡意軟件的行為模式，虛擬設備植入通信鏈路的過程須盡可能的快。盡管本專利技術就優選實施方式進行了示意和描述，但本領域的技術人員應當理解，只要不超出本專利技術的權利要求所限定的范圍，可以對本專利技術進行各種變化和修改。本文檔來自技高網...

【技術保護點】
一種實時處理虛擬交換機網絡流量的虛擬化平臺，其特征在于，包括：主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連；虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發主機系統內核通告設備熱插拔事件，監聽程序實時監控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監聽程序創建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協同工作，執行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。

【技術特征摘要】
1.一種實時處理虛擬交換機網絡流量的虛擬化平臺，其特征在于，包括：主機、虛擬機、虛擬網口、虛擬設備、安全軟件、虛擬交換機和物理網口；虛擬機分別與相對應的虛擬網口相連，虛擬網口與虛擬設備相連，安全軟件與虛擬設備相連，虛擬設備與虛擬交換機相連，虛擬交換機與物理網口相連；虛擬機正常啟動，主機上運行的虛擬機管理程序為虛擬機創建虛擬網口和其他外部設備，虛擬機管理程序激活該虛擬網口，激活操作會觸發主機系統內核通告設備熱插拔事件，監聽程序實時監控設備熱插拔事件，并判斷熱插拔事件描述的設備是否是其所關心的某個虛擬機的虛擬網口，監聽程序創建一個全新的虛擬設備，并將其植入到虛擬網口和虛擬交換機的通信鏈路中間，安全軟件與新的虛擬設備協同工作，執行網絡流量的安全掃描/過濾/阻斷工作，虛擬機通過端口與虛擬網口相連，虛擬機通過物理網口與主機外部網絡相連。2.如權利要求1所述的實時處理虛擬交換機網絡流量的虛擬化平臺，其特征在于，虛擬機發出的網絡流量或主機外部網絡收到的流量都先通過虛擬交換機的端口，流量入端口把流量交給網絡流量分發模塊，網絡流量分發模塊計算該從哪個端口出，把流量轉發到相應的流量出端口。3.如權利要求1所...

【專利技術屬性】
技術研發人員：朱春杰，柏傳杰，朱民航，陳海軍，譚丹，
申請(專利權)人：南京安賢信息科技有限公司，
類型：發明
國別省市：江蘇;32