一种基于Open vSwitch实现ACL功能的方法及系统技术方案

本发明专利技术提供了一种基于Open vSwitch实现ACL功能的方法，该方法包括：主机将新的关于某虚拟机的ACL规则发送到其网络控制服务端；网络控制服务端接收到ACL规则后，将所述ACL规则转换成Open vSwitch所使用的Flow规则，并将所述Flow规则发送到所述虚拟机所在主机的网络代理服务端；网络代理服务端将接收到的Flow规则转换成OVS命令，并在本地主机上执行所述OVS命令，将所述Flow规则插入Open vSwitch的Flow表中。该方法采用Open vSwitch解决虚拟机流量的ACL功能，从而达到控制虚拟机数据流量的目的。

【技术实现步骤摘要】
一种基于OpenvSwitch实现ACL功能的方法及系统
本专利技术涉及计算机网络
，具体涉及一种基于OpenvSwitch实现ACL功能的方法及系统。
技术介绍
由于一个虚拟机上可能存在多个虚拟后的系统，系统之间通讯就需要通过网络，但和普通的物理系统间通过实体网络设备互联不同，虚拟系统的网络接口也是虚拟的，因此不能直接通过实体网络设备互联，目前流行的一种解决方案是：虚拟交换(VirtualSwitching，简称vSwitch)技术。所谓的vSwitch，是指将虚拟网桥完全在服务器(终端)硬件上实现，不涉及外部交换机的协作。跟普通服务器设备一样，每个虚拟机有着自己的虚拟网卡(virtualNIC)，每个virtualNIC有着自己的MAC地址和IP地址。vSwitch相当于一个虚拟的二层交换机，该交换机连接虚拟网卡和物理网卡，将虚拟机上的数据报文从物理网口转发出去。根据需要，vSwitch还可以支持二层转发、安全控制、端口镜像等功能。但现有技术中，利用传统的vSwitch实现访问控制列表(AccessControllist，简称ACL)功能需要消耗CPU资源，对服务器的性能有本文档来自技高网...

【技术保护点】
一种基于Open vSwitch实现ACL功能的方法，其特征在于，该方法包括：S1：第一主机将设置的关于某虚拟机的访问控制列表ACL规则发送到第一主机的网络控制服务端；S2：网络控制服务端接收到ACL规则后，将所述ACL规则转换成开放虚拟交换标准Open vSwitch所使用的流Flow规则，并将所述Flow规则发送到所述虚拟机所在第二主机的网络代理服务端；S3：网络代理服务端将接收到的Flow规则转换成OVS命令，并在第二主机上执行所述OVS命令，以将所述Flow规则插入Open vSwitch的流Flow表中。

【技术特征摘要】
1.一种基于OpenvSwitch实现访问控制列表ACL功能的方法，其特征在于，该方法包括：S1：第一主机将设置的关于某虚拟机的访问控制列表ACL规则发送到第一主机的网络控制服务端；S2：网络控制服务端接收到ACL规则后，将所述ACL规则转换成开放虚拟交换标准OpenvSwitch所使用的流Flow规则，并将所述Flow规则发送到所述虚拟机所在第二主机的网络代理服务端；S3：网络代理服务端将接收到的Flow规则转换成OVS命令，并在第二主机上执行所述OVS命令，以将所述Flow规则插入OpenvSwitch的流Flow表中。2.根据权利要求1所述的方法，其特征在于，该方法步骤S3后还包括：当虚拟机内有流量进入到OpenvSwitch中，OpenvSwitch会在Flow表中进行对比，并执行相应Flow规则所定义的动作。3.根据权利要求1所述的方法，其特征在于，该方法步骤S2还包括：网络控制服务端将接收到的ACL规则保存到分布式数据库中。4.根据权利要求1所述的方法，其特征在于，所述ACL规则适用于网络或虚拟网卡。5.根据权利要求4所述的方法，其特征在于，所述ACL规则之间的优先级从高到低依次为：不可...

【专利技术属性】
技术研发人员：张群轼，
申请(专利权)人：汉柏科技有限公司，
类型：发明
国别省市：天津;12