一種實(shí)現(xiàn)業(yè)務(wù)隔離的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)虛擬化技術(shù),尤指一種實(shí)現(xiàn)業(yè)務(wù)隔離的方法及裝置。
【背景技術(shù)】
[0002]近年來,云計(jì)算技術(shù)在互聯(lián)網(wǎng)技術(shù)中得到越來越多的應(yīng)用和發(fā)展,通過云計(jì)算技術(shù)對(duì)互聯(lián)網(wǎng)架構(gòu)進(jìn)行了大范圍的優(yōu)化和調(diào)整,隨著使用范圍推廣,云計(jì)算技術(shù)以靈活、高效等特點(diǎn)改變著人們的生活。虛擬化技術(shù)作為云計(jì)算技術(shù)的支撐關(guān)鍵技術(shù),通過最大程度的利用了服務(wù)器的硬件資源,虛擬化技術(shù)通過網(wǎng)絡(luò)虛擬化使物理網(wǎng)絡(luò)與服務(wù)器間界限變得不那么顯而易見;網(wǎng)絡(luò)虛擬化主要通過在服務(wù)器內(nèi)軟件定義虛擬機(jī)并通過邏輯交換機(jī)創(chuàng)建相應(yīng)的邏輯網(wǎng)絡(luò),各服務(wù)器內(nèi)的虛擬機(jī)通信通過邏輯交換機(jī)交換轉(zhuǎn)發(fā)流量,最大程度的降低了物理網(wǎng)絡(luò)的參與,使服務(wù)器內(nèi)的信息通信更為快速、高效。
[0003]目前,為了實(shí)現(xiàn)邏輯網(wǎng)絡(luò)的隔離和安全,主要通過引入虛擬局域網(wǎng)(VLAN)進(jìn)行不同業(yè)務(wù)的隔離。由于服務(wù)器內(nèi)建立VLAN數(shù)量受限,且建立邏輯網(wǎng)絡(luò)時(shí),無法保證所有不同的業(yè)務(wù)都在不同的VLAN內(nèi),當(dāng)VLAN受到網(wǎng)絡(luò)攻擊時(shí),這些存在同一 VLAN的業(yè)務(wù)都將受到不同程度的影響,嚴(yán)重時(shí)甚至造成業(yè)務(wù)無法訪問。
[0004]綜上,無法將不同的業(yè)務(wù)通過相應(yīng)的VLAN進(jìn)行隔離,一旦VLAN受到攻擊,VLAN內(nèi)的業(yè)務(wù)都將受到影響,嚴(yán)重時(shí)造成業(yè)務(wù)無法訪問。
【發(fā)明內(nèi)容】
[0005]為了解決上述技術(shù)問題,本發(fā)明提供一種實(shí)現(xiàn)業(yè)務(wù)隔離的方法及裝置,能夠有效的進(jìn)行業(yè)務(wù)隔離。
[0006]為了達(dá)到本發(fā)明目的,本發(fā)明提供了一種實(shí)現(xiàn)業(yè)務(wù)隔離的方法,包括:
[0007]在虛擬交換機(jī)上建立主虛擬局域網(wǎng)VLAN和輔助VLAN ;
[0008]根據(jù)業(yè)務(wù)屬性建立端口組,各輔助VLAN根據(jù)業(yè)務(wù)屬性關(guān)聯(lián)相應(yīng)的端口組;
[0009]各輔助VLAN根據(jù)數(shù)據(jù)結(jié)構(gòu)關(guān)系通過端口組和主VLAN建立關(guān)聯(lián);
[0010]添加虛擬網(wǎng)卡的虛擬機(jī)根據(jù)業(yè)務(wù)關(guān)聯(lián)到相應(yīng)的輔助VLAN后,進(jìn)行業(yè)務(wù)通信。
[0011]進(jìn)一步地,輔助VLAN包括隔離VLAN和團(tuán)體VLAN ;
[0012]所述隔離VLAN為:由各虛擬機(jī)之間禁止通信的VLAN ;
[0013]所述團(tuán)體VLAN為:由各虛擬機(jī)之間可進(jìn)行通信的VLAN。
[0014]進(jìn)一步地,各所述虛擬機(jī)之間禁止和可進(jìn)行通信通過介質(zhì)訪問控制MAC地址進(jìn)行設(shè)置。
[0015]進(jìn)一步地,進(jìn)行業(yè)務(wù)通信具體包括:所述虛擬機(jī)根據(jù)各所述主VLAN的MAC地址表和與其建立關(guān)聯(lián)的各所述輔助VLAN的MAC地址表進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)。
[0016]進(jìn)一步地,進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)之前,該方法還包括:通過所述端口組將所述輔助VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的主VLAN的MAC地址表中,將所述主VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的所述輔助VLAN的MAC地址表中。
[0017]進(jìn)一步地,該方法還包括:
[0018]設(shè)置所述主VLAN全局可見。
[0019]另一方面,本申請(qǐng)還提供一種實(shí)現(xiàn)業(yè)務(wù)隔離的裝置,包括:建立單元、第一關(guān)聯(lián)單元、第二關(guān)聯(lián)單元和關(guān)聯(lián)通信單元;其中,
[0020]建立單元,用于在虛擬交換機(jī)上建立主虛擬局域網(wǎng)VLAN和輔助VLAN ;
[0021 ] 第一關(guān)聯(lián)單元,用于根據(jù)業(yè)務(wù)屬性建立端口組,各輔助VLAN根據(jù)業(yè)務(wù)屬性關(guān)聯(lián)相應(yīng)的端口組;
[0022]第二關(guān)聯(lián)單元,用于將各輔助VLAN根據(jù)數(shù)據(jù)結(jié)構(gòu)關(guān)系通過端口組和主VLAN建立關(guān)耳關(guān);
[0023]關(guān)聯(lián)通信單元,用于添加虛擬網(wǎng)卡的虛擬機(jī)根據(jù)業(yè)務(wù)關(guān)聯(lián)到相應(yīng)的輔助VLAN后,進(jìn)行業(yè)務(wù)通信。
[0024]進(jìn)一步地,輔助VLAN包括隔離VLAN和團(tuán)體VLAN ;
[0025]所述隔離VLAN為:由各虛擬機(jī)之間禁止通信的VLAN ;
[0026]所述團(tuán)體VLAN為:由各虛擬機(jī)之間可進(jìn)行通信的VLAN。
[0027]進(jìn)一步地,該裝置還包括設(shè)置單元,用于,通過MAC地址設(shè)置各所述虛擬機(jī)之間禁止通信,以構(gòu)成所述隔離VLAN ;
[0028]通過MAC地址設(shè)置各所述虛擬機(jī)之間可進(jìn)行通信,以構(gòu)成所述團(tuán)體VLAN。
[0029]進(jìn)一步地,關(guān)聯(lián)通信單元具體用于,
[0030]添加虛擬網(wǎng)卡的虛擬機(jī)根據(jù)業(yè)務(wù)關(guān)聯(lián)到相應(yīng)的輔助VLAN后,所述虛擬機(jī)根據(jù)各所述主VLAN的MAC地址表和與其建立關(guān)聯(lián)的各所述輔助VLAN的MAC地址表進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)。
[0031]進(jìn)一步地,該裝置還包括同步單元,用于所述進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)之前,通過所述端口組將所述輔助VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的主VLAN的MAC地址表中,將所述主VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的所述輔助VLAN的MAC地址表中。
[0032]進(jìn)一步地,該裝置還包括設(shè)置可見單元,用于設(shè)置所述主VLAN全局可見。
[0033]與現(xiàn)有技術(shù)相比,本申請(qǐng)技術(shù)方案包括:在虛擬交換機(jī)上建立主虛擬局域網(wǎng)(VLAN)和輔助VLAN ;根據(jù)業(yè)務(wù)屬性建立端口組,各輔助VLAN根據(jù)業(yè)務(wù)屬性關(guān)聯(lián)相應(yīng)的端口組;各輔助VLAN根據(jù)數(shù)據(jù)結(jié)構(gòu)關(guān)系通過端口組和主VLAN建立關(guān)聯(lián);添加虛擬網(wǎng)卡的虛擬機(jī)根據(jù)業(yè)務(wù)關(guān)聯(lián)到相應(yīng)的輔助VLAN后,進(jìn)行業(yè)務(wù)通信。本發(fā)明方法通過輔助VLAN的建立,以及通過端口組的關(guān)聯(lián)后關(guān)聯(lián)主VLAN,實(shí)現(xiàn)了業(yè)務(wù)的隔離,提高了網(wǎng)絡(luò)的安全性。
【附圖說明】
[0034]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0035]圖1為本發(fā)明實(shí)現(xiàn)業(yè)務(wù)隔離的方法的流程圖;
[0036]圖2為本發(fā)明實(shí)現(xiàn)業(yè)務(wù)隔離的裝置的結(jié)構(gòu)程圖;
[0037]圖3為本發(fā)明實(shí)施例方法的流程圖;
[0038]圖4為本發(fā)明實(shí)施例網(wǎng)絡(luò)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0039]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。
[0040]圖1為本發(fā)明實(shí)現(xiàn)業(yè)務(wù)隔離的方法的流程圖,如圖1所示,包括:
[0041]步驟100、在虛擬交換機(jī)上建立主虛擬局域網(wǎng)(VLAN)和輔助VLAN ;
[0042]本步驟中,輔助VLAN包括隔離VLAN和團(tuán)體VLAN ;
[0043]隔離VLAN為:由各虛擬機(jī)之間禁止通信的VLAN ;
[0044]團(tuán)體VLAN為:由各虛擬機(jī)之間可進(jìn)行通信的VLAN。
[0045]優(yōu)選的,各虛擬機(jī)之間禁止和可進(jìn)行通信通過介質(zhì)訪問控制(MAC)地址進(jìn)行設(shè)置。
[0046]需要說明的是,建立主VLAN的個(gè)數(shù)主要根據(jù)企業(yè)業(yè)務(wù)類型種類、企業(yè)不同業(yè)務(wù)是否區(qū)分隔離以及占用帶寬多少等情況,由技術(shù)人員根據(jù)經(jīng)驗(yàn)進(jìn)行確定。輔助VLAN個(gè)數(shù)主要根據(jù)不同業(yè)務(wù)是否區(qū)分隔離的需求進(jìn)行設(shè)定。
[0047]步驟101、根據(jù)業(yè)務(wù)屬性建立端口組,各輔助VLAN根據(jù)業(yè)務(wù)屬性關(guān)聯(lián)相應(yīng)的端口組;
[0048]需要說明的是,根據(jù)業(yè)務(wù)屬性建立端口組可以網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)的不同建立相應(yīng)的端口組。各輔助VLAN根據(jù)業(yè)務(wù)屬性關(guān)聯(lián)相應(yīng)的端口組可以是根據(jù)安全要求、是否隔離等確定相應(yīng)的端口組。理論上隔離VLAN —般選擇服務(wù)質(zhì)量較高的端口組。
[0049]步驟102、各輔助VLAN根據(jù)數(shù)據(jù)結(jié)構(gòu)關(guān)系通過端口組和主VLAN建立關(guān)聯(lián);
[0050]這里,數(shù)據(jù)結(jié)構(gòu)關(guān)系一般是指網(wǎng)絡(luò)拓?fù)潢P(guān)系。
[0051]步驟103、添加虛擬網(wǎng)卡的虛擬機(jī)根據(jù)業(yè)務(wù)關(guān)聯(lián)到相應(yīng)的輔助VLAN后,進(jìn)行業(yè)務(wù)通信。
[0052]需要說明的是,虛擬機(jī)關(guān)聯(lián)到哪個(gè)輔助VLAN可以根據(jù)虛擬機(jī)的業(yè)務(wù)類型是否需要隔離和各業(yè)務(wù)是否需要區(qū)分等進(jìn)行確定。
[0053]進(jìn)行業(yè)務(wù)通信具體包括:虛擬機(jī)根據(jù)各主VLAN的MAC地址表和與其建立關(guān)聯(lián)的各輔助VLAN的MAC地址表進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)。
[0054]需要說明的是,通過MAC地址的單播轉(zhuǎn)發(fā)實(shí)現(xiàn)了業(yè)務(wù)之間的隔離。
[0055]進(jìn)行業(yè)務(wù)數(shù)據(jù)的單播轉(zhuǎn)發(fā)之前,本發(fā)明方法還包括:通過端口組將輔助VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的主VLAN的MAC地址表中,將主VLAN的MAC地址表同步到與其建立關(guān)聯(lián)的輔助VLAN的MAC地址表中。
[0056]本發(fā)明方法還包括:設(shè)置主VLAN全局可見。
[0057]需要說明的是,設(shè)置主VLAN全局可見,主要用于虛擬交換機(jī)與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)使用。
[0058]本發(fā)明方法虛擬機(jī)通過虛擬網(wǎng)卡關(guān)聯(lián)到相應(yīng)的輔助VLAN后,基于輔助VLAN關(guān)聯(lián)的端口組連接到主VLAN上,由主VLAN通過虛擬交換機(jī)接入網(wǎng)絡(luò);實(shí)現(xiàn)了業(yè)務(wù)的隔離,提高了網(wǎng)絡(luò)的安全性