一种报文处理方法和装置制造方法及图纸

本申请提供一种报文处理方法和装置，该方法应用于云平台内部管理网络中的本端节点，该方法为：接收报文；在本端节点包括的多个功能模块中找到与所述报文携带的目的IP地址和VLAN ID相匹配的第一功能模块；利用所述第一功能模块处理所述报文；其中，所述本端节点包括的多个功能模块所属的IP网段和VLAN各不相同。

【技术实现步骤摘要】
一种报文处理方法和装置
本申请涉及通信
，尤其涉及一种报文处理方法和装置。
技术介绍
云平台包括了计算节点、控制节点和存储节点，控制节点对外提供登陆页面，用户可以通过登陆页面与计算节点通信。登陆页面是控制节点为用户提供的访问计算节点的入口，但是目前，登陆页面也成为了外界攻击云平台内部管理网络的入口，给云平台的安全性带来了较大的风险。
技术实现思路
有鉴于此，本申请提供一种报文处理方法和装置，用以保护云平台内部管理网络。具体地，本申请是通过如下技术方案实现的：本申请第一方面，提供了一种报文处理方法，所述方法应用于云平台内部管理网络中的本端节点，所述方法包括：接收报文；在本端节点包括的多个功能模块中找到与所述报文携带的目的IP地址和VLANID相匹配的第一功能模块；利用所述第一功能模块处理所述报文；其中，所述本端节点包括的多个功能模块所属的IP网段和VLAN各不相同。本申请第二方面，提供了一种报文处理装置，所述装置应用于云平台内部管理网络中的本端节点，具有实现上述方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。一种可能的实现方式中，所述装置包括：接收单元，用于接收报文；模块查找单元，用于在本端节点包括的多个功能模块中找到与所述报文携带的目的IP地址和VLANID相匹配的第一功能模块；其中，所述本端节点包括的多个功能模块所属的IP网段和VLAN各不相同；报文处理单元，用于利用所述第一功能模块处理所述报文。另一种可能的实现方式中，所述装置包括通信接口、处理器、存储器和总线，所述通信接口、所述处理器和所述存储器之间通过总线相互连接；所述处理器通过读取所述存储器中存储的逻辑指令，执行本申请第一方面所述的报文处理方法。本申请提供的技术方案通过对云平台内部的管理网络的功能进行划分，根据节点所执行的管理网络功能在节点内部划分出多个功能模块，并为执行不同管理网络功能的功能模块分配不同IP网段的IP地址和不同的VLANID，从而在管理网络的不同功能之间实现网络隔离，这样即使外界发起对页面登陆模块的攻击，该攻击也不会影响管理网络的其他网段，从而提高了云平台运行的可靠性和稳定性。附图说明图1是本申请一示例性实施例示出的一种云平台的架构图；图2是本申请一示例性实施例示出的一种报文处理方法的流程图；图3是本申请一示例性实施例示出的一种云平台内部管理网络的组网示意图；图4是本申请一示例性实施例示出的一种报文处理装置的功能模块框图；图5是本申请一示例性实施例示出的一种报文处理装置的硬件架构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。下面结合说明书附图和各实施例对本申请技术方案进行说明。目前云平台内部的管理网络只使用一个网段，这意味着，外界可以通过控制节点提供的登陆页面，知道云平台内部的管理网络的网段。如此，登陆页面无疑成了外界攻击云平台的入口，外界只要对页面登陆模块发起攻击，就可以干扰云平台内部管理网络的通信。为了解决上述问题，本申请提出了一种报文处理方法和装置，通过对云平台内部的管理网络的功能进行划分，根据节点所执行的管理网络功能在节点内部划分出多个功能模块，并为执行同一类管理网络功能的功能模块分配同一个IP网段的IP地址和同一个VLANID，为执行不同管理网络功能的功能模块分配不同IP网段的IP地址和不同的VLANID，从而在管理网络的不同功能之间实现网络隔离，这样即使外界发起对页面登陆模块的攻击，该攻击也不会影响管理网络的其他网段，从而提高了云平台运行的可靠性和稳定性。下面通过图1对云平台的架构进行介绍，图1中按角色可分为控制节点、计算节点和存储节点，三者之间通过管理网络通信。本申请中，对云平台的管理网络的功能进行了细分，一种可选的划分方式如下，该方式将管理网络的功能分成了以下4点：第一点：云平台的页面登陆功能，控制节点可以为用户提供登陆页面(dashboard)，使得用户可以登陆云平台进行相关操作，如通过指令指示控制节点向计算节点下发创建虚拟机的触发命令。第二点：云平台的存储访问功能，控制节点和计算节点可以对云平台的存储节点进行读写操作。第三点：虚拟机(VM)操作控制功能，控制节点可以通过VNC(VirtualNetworkConsole，虚拟网络控制台)和计算节点通信，从而登陆计算节点上已创建的虚拟机，对虚拟机进行操作控制。第四点：云平台的内部通信功能，主要用于完成除上述三个功能之外的其它管理网络功能，如同步配置、内部监听各个计算节点的进程状态，内部消息处理，创建虚拟网络，创建虚拟机，创建防火墙等。需要注意的是，考虑到管理网络功能划分标准的多样性以及未来云平台管理网络可能实现更多新的功能，本申请并不限制管理网络功能的划分方式，以上仅为一种具体示例。针对管理网络的不同功能，可以预先为每个功能分配一个IP网段和一个VLAN(VirtualLocalAreaNetwork，虚拟局域网)。例如，可以规定用于实现上述第一点——云平台的页面登陆功能的通信网络为1.0.0.0/24，VLANID为100；用于实现上述第二点——云平台的存储访问功能的通信网络为2.0.0.0/24，VLANID为101；用于实现上述第三点——虚拟机操作控制功能的通信网络为3.0.0.0/24，VLANID为102；用于实现上述第四点——云平台的内部通信功能的通信网络为4.0.0.0/24，VLANID为104。与上述划分出的管理网络功能相对应的，可以在控制节点和计算节点内部划分出多个功能模块，同一节点上的不同功能模块分别用于执行不同的管理网络功能；然后，控制节点和计算节点根据上述为管理网络的不同功能预分配的IP网段和VLAN，为各功能模块分配相应的IP地址和VLANID，使得同一节点上的多个功能模块处于不同的IP网段和VLAN，不同节点上用于执行同一类管理网络功能的功能模块处于同一个IP网段和同一个VLAN中。例如，根据上述例举的管理网络的四个功能，可以在控制节点内部划分出四个功能模块，分别为：页面登陆模块，用于提供登陆页面；第一存储访问模块，用于对云平台内部管理网络中的存储节点进行读写操作；本文档来自技高网...

【技术保护点】
一种报文处理方法，其特征在于，所述方法应用于云平台内部管理网络中的本端节点，所述方法包括：接收报文；在本端节点包括的多个功能模块中找到与所述报文携带的目的网际协议IP地址和虚拟局域网标识VLAN ID相匹配的第一功能模块；利用所述第一功能模块处理所述报文；其中，所述本端节点包括的多个功能模块所属的IP网段和VLAN各不相同。

【技术特征摘要】
1.一种报文处理方法，其特征在于，所述方法应用于云平台内部管理网络中的本端节点，所述方法包括：接收报文；在本端节点包括的多个功能模块中找到与所述报文携带的目的网际协议IP地址和虚拟局域网标识VLANID相匹配的第一功能模块；利用所述第一功能模块处理所述报文；其中，所述本端节点包括的多个功能模块所属的IP网段和VLAN各不相同。2.如权利要求1所述的方法，其特征在于，所述报文来自所述云平台内部管理网络中的对端节点上的第二功能模块；所述第一功能模块和所述第二功能模块为不同节点上用于执行同一类管理网络功能的功能模块，所述第一功能模块的IP地址与所述第二功能模块的IP地址处于同一个IP网段，所述第一功能模块与所述第二功能模块属于同一个VLAN。3.如权利要求1所述的方法，其特征在于，当所述本端节点为控制节点时，所述第一功能模块为以下其中一个功能模块：页面登陆模块，用于提供登陆界面；第一存储访问模块，用于对云平台内部管理网络中的存储节点进行读写操作；第一虚拟机控制模块，用于对计算节点上已创建的虚拟机进行操作控制；第一内部通信模块，用于完成其它管理网络功能。4.如权利要求1所述的方法，其特征在于，当所述本端节点为计算节点时，所述第一功能模块为以下其中一个功能模块：第二存储访问模块，用于对云平台内部管理网络中的存储节点进行读写操作；第二虚拟机控制模块，用于配合控制节点完成对本端节点上已创建的虚拟机进行的操作控制；第二内部通信模块，用于配合控制节点完成其他管理网络功能。5.如权利要求1所述的方法，其特征在于，所述方法还包括：在本端节点上启动第一虚拟机；所述第一虚拟机的IP地址与所述第一功能模块的IP地址处于同一个IP网段，且所述第一虚拟机与所述第一功能模块属于同一个VLAN；对于源地址为所述第一功能模块的IP地址的报文，由所述第一虚拟机将该报文的源地址修改为所述第一虚拟机的IP地址，再将修改后的报文转发给该报文的目的地址对应的节点；对于目的地址为所述第一虚拟机的IP地址的报文，由所述第一虚拟机将该报文转发给所述第一功能模块进行处理。6.如权利要求5所述的方法，其特征在于，所述方法还包括：当所述第一虚拟机的中央处理器CPU的利用率超过设定阈值时，在本端节点上启动新的第二虚拟机，并由所述第二虚拟机接替执行所述第一虚拟机的功能；所述第二虚拟机的IP地址不同于所述第一虚拟机的IP地址，且所述第二虚拟机的IP地址与所述第一功能模块的IP地址处于同一个IP网段，且所述第二虚拟机与所述第一功能模块属于同一个VLAN。7.如权利要求1所述的方法，其特征在于，所述方法还包括：在本端节点上创建虚拟交换机，并在所述虚拟交换机上为所述第一功能模块分配唯一的端口，所述虚拟交换机的出口为与云平台内部管理网络绑定的物理网卡；所述第一功能模块发出的报文通过所述端口进入所述虚拟交换机，并通过所述虚拟交换机连接的物理网卡进入云平台内部管理网络。8.一种报文处理装置，其特征在于，所述装置应用于云平台内部...

【专利技术属性】
技术研发人员：王海，申志鹏，樊超，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33