一种数据报文转发方法、装置和系统制造方法及图纸

本发明专利技术实施例公开了一种数据报文转发方法、装置和系统，用于维持VM所在子网的网络安全。本发明专利技术实施例方法包括：当虚拟机监视器VMM接收到数据报文时，判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略；若判断结果为是，则指示所述虚拟机监视器VMM发送所述数据报文；若判断结果为否，则根据非法配置处理策略进行处理。通过实施本发明专利技术技术方案，能够禁止转发非法数据报文，从而应对虚拟机网络配置参数的非法配置问题，保障虚拟化网络的网络安全。

【技术实现步骤摘要】
一种数据报文转发方法、装置和系统
本专利技术涉及硬件虚拟化
，尤其涉及一种数据报文转发方法、装置和系统。
技术介绍
在硬件虚拟化技术中，一台物理服务器上能够虚拟多台虚拟机(VM，VirtualMachine)，这些VM由安装于该物理服务器上的虚拟机监视器(VMM，VirtualMachineMonitor)进行管理。VMM工作于物理服务器与VM之间的中间软件层，VMM能够协调VM对物理服务器硬件资源的访问。当物理服务器启动并触发VMM时，VMM会加载所有VM并分配给每一台VM预设的内存、CPU、网络和磁盘资源。利用桥接或虚拟交换技术，VM上的虚拟网卡通过虚拟接口(VIF，VirtualInterface)与物理服务器的物理网卡进行连接，从而实现VM之间或VM与物理网络之间的通信。虚拟管理中心(Vcenter，VirtualCenter)对所管理的网络内的网络资源进行配置，当VMM创建VM时Vcenter需要为其配置网络参数。其中，为VM分配IP地址常用方法包括：基于虚拟机模板(VMTemplate)的静态分配方式和基于动态主机设置协议(DHCP，DynamicHostConfi本文档来自技高网...

【技术保护点】
一种数据报文转发方法，其特征在于，包括：当虚拟机监视器VMM接收到数据报文时，判断所述数据报文是否符合与其相关的第一虚拟机VM的合法配置策略；若判断结果为是，则指示所述虚拟机监视器VMM发送所述数据报文；若判断结果为否，则根据非法配置处理策略进行处理。

【技术特征摘要】
1.一种数据报文转发方法，其特征在于，包括：通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项，所述第一虚拟网络监视模块VNMM表项用于记载第一虚拟机VM的合法配置信息，所述合法配置信息包含所述第一虚拟机VM的虚拟局域网VLAN标签的使用状态；当虚拟机监视器VMM接收到与所述第一虚拟机VM相关的数据报文时，获取所述数据报文中的网际协议IP地址、媒体访问控制MAC地址以及虚拟局域网VLAN标签的使用状态；判断所述数据报文中的网际协议IP地址、媒体访问控制MAC地址以及虚拟局域网VLAN标签的使用状态，与所述第一虚拟网络监视模块VNMM表项中的网际协议IP地址、媒体访问控制MAC地址以及虚拟局域网VLAN标签的使用状态是否匹配；若判断结果为是，则指示所述虚拟机监视器VMM发送所述数据报文；若判断结果为否，则根据非法配置处理策略进行处理。2.根据权利要求1所述的方法，其特征在于，还包括：当所述第一虚拟机VM启动时，通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项。3.根据权利要求2所述的方法，其特征在于，所述非法配置处理策略包括第一策略和第二策略，所述根据非法配置处理策略进行处理包括：通过所述预设接口向所述虚拟管理中心Vcenter发送警告消息；当采用第一策略时，丢弃所述数据报文；当采用第二策略时，中断所述第一虚拟机VM的网络连接。4.根据权利要求2或3所述的方法，其特征在于，还包括：当第二虚拟机VM热迁移到所述虚拟机监视器VMM时，通过所述预设接口接收所述虚拟管理中心Vcenter发送的第二虚拟网络监视模块VNMM表项，所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息。5.根据权利要求2或3所述的方法，其特征在于，所述通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项之前进一步包括：当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时，所述虚拟机监视器VMM向所述虚拟管理中心Vcenter发送所述动态网际协议IP地址，使得所述虚拟管理中心Vcenter根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。6.根据权利要求2或3所述的方法，其特征在于，还包括：查询所述第一虚拟网络监视模块VNMM表项中虚拟接口VIF对杂收模式P-Mode的支持状态；向所述虚拟机监视器VMM发送所述虚拟接口VIF对杂收模式P-Mode的支持状态，使得所述虚拟机监视器VMM根据所述虚拟接口VIF对杂收模式P-Mode的支持状态向所述第一虚拟机VM转发数据报文。7.一种数据报文转发方法，其特征在于，包括：指示虚拟机监视器VMM创建第一虚拟机VM；根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项，所述第一虚拟网络监视模块VNMM表项用于记载所述第一虚拟机VM的合法配置信息，所述合法配置信息包含所述第一虚拟机VM的虚拟局域网VLAN标签的使用状态；通过预设接口向虚拟机监视器VMM发送所述第一虚拟网络监视模块VNMM表项。8.根据权利要求7所述的方法，其特征在于，所述根据所述第一虚拟机VM的合法配置信息生成第一虚拟网络监视模块VNMM表项之后进一步包括：当所述第一虚拟机VM的网际协议IP地址分配方式为静态分配时，获取所述第一虚拟机VM的静态网际协议IP地址，并根据所述静态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项；当所述第一虚拟机VM的网际协议IP地址分配方式为动态分配时，获取所述第一虚拟机VM的动态网际协议IP地址，或接收所述虚拟机监视器VMM发送的所述第一虚拟机VM的动态网际协议IP地址，并根据所述动态网际协议IP地址维护所述第一虚拟网络监视模块VNMM表项。9.根据权利要求7或8所述的方法，其特征在于，还包括：当第二虚拟机VM热迁移到目标虚拟机监视器VMM时，通过所述预设接口向所述目标虚拟机监视器VMM发送第二虚拟网络监视模块VNMM表项，所述第二虚拟网络监视模块VNMM表项用于记载所述第二虚拟机VM的合法配置信息；指示源虚拟机监视器VMM删除所存储的第二虚拟网络监视模块VNMM表项。10.一种数据报文转发装置，其特征在于，包括：第一接收单元，用于通过预设接口接收虚拟管理中心Vcenter发送的第一虚拟网络监视模块VNMM表项，所述第一虚拟网络监视模块VNMM表项用于记载第一虚拟机VM的合法配置信息，所述合法配置信息包含所述第一虚拟机VM的虚拟局域网VLAN标签的使用状态；获取子单元，用于当虚拟机监视器VMM接收到与所述第一虚拟机VM相关的数据报文时，获取所述数据报文中的网际协议IP地址、...

【专利技术属性】
技术研发人员：张喆，郑晓峰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44