一种虚拟机接入网络的方法及装置制造方法及图纸

本发明专利技术实施例公开了一种虚拟机接入网络的方法及装置，应用于SDN控制器，该方法包括：接收接入设备上送的虚拟机发送的认证请求报文，通过接入设备向虚拟机发送身份请求报文；接收接入设备上送的虚拟机发送的包括第一身份信息的第一身份请求响应报文和包括第一密码信息的第二身份请求响应报文；当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时，确定虚拟机认证通过；为虚拟机分配IP地址，并通过接入设备将IP地址发送虚拟机，以使虚拟机根据IP地址接入网络。应用本发明专利技术实施例，实现了SDN控制器集中控制虚拟机接入网络，降低了网络建设成本。

【技术实现步骤摘要】

本专利技术涉及通信
，特别涉及一种虚拟机接入网络的方法及装置。
技术介绍
如图1所示，局域网内可以包括：SDN(SoftwareDefinedNetwork，软件定义网络)控制器100、认证服务器200、接入设备300和虚拟机400。当虚拟机400需要接入网络时，该虚拟机400需要通过接入设备300将认证请求报文发送给认证服务器200；在认证通过后，该虚拟机400通过接入设备300将地址请求报文发送给SDN控制器100；SDN控制器100根据地址请求报文为该虚拟机400分配IP(InternetProtocol，网络协议)地址；这样，该虚拟机400就可以根据分配的IP地址接入网络了。由上可知，现有技术中，虚拟机接入网络，是由SDN控制器和认证服务器这两个设备来控制的，无法实现SDN控制器集中控制虚拟机接入网络，增加了网络建设成本。
技术实现思路
本专利技术实施例公开了一种虚拟机接入网络的方法及装置，以实现SDN控制器集中控制虚拟机接入网络，降低网络建设成本。为达到上述目的，本专利技术实施例公开了一种虚拟机接入网络的方法，应用于SDN控制器，所述方法包括：接收接入设备上送的虚拟机发送的认证请求报文，并根据所述认证请求报文，通过所述接入设备向所述虚拟机发送身份请求报文；接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文；所述第一身份请求响应报文包括：所述虚拟机的第一身份信息；接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文；所述第二身份请求响应报文包括：所述第一身份信息对应的第一密码信息；当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时，确定所述虚拟机认证通过；所述预设数据库中存储有身份信息与密码信息的对应关系；为所述虚拟机分配IP地址，并通过所述接入设备将所述IP地址发送给所述虚拟机，以使所述虚拟机根据所述IP地址接入网络。为达到上述目的，本专利技术实施例还公开了一种虚拟机接入网络的装置，应用于SDN控制器，所述装置包括：第一接收单元，用于接收接入设备上送的虚拟机发送的认证请求报文，并根据所述认证请求报文，通过所述接入设备向所述虚拟机发送身份请求报文；第二接收单元，用于接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文；所述第一身份请求响应报文包括：所述虚拟机的第一身份信息；第三接收单元，用于接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文；所述第二身份请求响应报文包括：所述第一身份信息对应的第一密码信息；确定单元，用于当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时，确定所述虚拟机认证通过；所述预设数据库中存储有身份信息与密码信息的对应关系；分配单元，用于为所述虚拟机分配IP地址，并通过所述接入设备将所述IP地址发送给所述虚拟机，以使所述虚拟机根据所述IP地址接入网络。本专利技术实例提供了一种虚拟机接入网络的方法及装置，SDN控制器中预先设置有一个数据库，该数据库中存储有身份信息与密码信息的对应关系，当虚拟机需要认证上线时，该虚拟机将认证请求报文发送给SDN控制器；SDN控制器再向该虚拟机发送身份请求报文，从该虚拟机中获取到第一身份信息和第一身份信息对应的第一密码信息，当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时，确认该虚拟机为合法用户，该虚拟机认证通过，继而SDN控制器可以为该虚拟机分配IP地址，该虚拟机接入网络，上线成功。可见，本专利技术实施例中，SDN控制器既可以对虚拟机进行认证，也可以为虚拟机分配IP地址，实现了SDN控制器集中控制虚拟机接入网络，降低了网络建设成本。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为一种局域网的结构示意图；图2为本专利技术实施例提供的一种虚拟机接入网络的方法的一种流程示意图；图3为本专利技术实施例使用的局域网的结构示意图；图4为本专利技术实施例提供的一种虚拟机接入网络的方法的另一种流程示意图；图5为为基于图2所示实施例的另一种实施例的部分流程图；图6为本专利技术实施例提供的一种虚拟机接入网络的装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。目前，无法实现SDN控制器集中控制虚拟机接入网络，当虚拟机需要通过认证接入网络时，需要在网络中加设一台认证服务器，由该认证服务器对虚拟机进行认证，再由SDN控制器为虚拟机分配IP地址，增加了网络建设成本。本专利技术实施例提供了一种虚拟机接入网络的方法及装置，以实现SDN控制器集中控制虚拟机接入网络，降低网络建设成本。下面通过具体实施例，对本专利技术进行详细说明。参考图2，图2为本专利技术实施例提供的一种虚拟机接入网络的方法的一种流程示意图，应用于SDN控制器，该方法包括：S201：接收接入设备上送的虚拟机发送的认证请求报文，并根据所述认证请求报文，通过所述接入设备向所述虚拟机发送身份请求报文；当虚拟机启动时，若该虚拟机需要进行认证，该虚拟机可以向SDN控制器发送一个目的MAC(MediaAccessControl，媒体访问控制)地址为SDN控制器的全局虚拟MAC地址的认证请求报文(例如EAPOL-Start报文)；SDN控制器接收到认证请求报文，确定该虚拟机需要进行认证，向该虚拟机发送身份请求报文，以获取该虚拟机的第一身份信息。这里，身份请求报文可以为：Identity类型的请求报文。本专利技术实施例中，局域网的结构可参考图3，虚拟机500需要通过接入设备600与SDN控制器700连接。这种情况下，SDN控制器700接收到的虚拟机500发送的认证请求报文可以为：虚拟机500通过接入设备600发送的认证请求报文，也就是，虚拟机500将认证请求报文发送给接入设备600，接入设备600封装该认证请求报文后，再将封装后的认证请求报文发送给SDN控制器接700；另外，向虚拟机500发送的身份请求报文为：通过接入设备600，向虚拟机500发送的身份请求报文，也就是，SDN控制器700将身份请求报文发送给接入设备600，接入设备600再将身份请求报文发送给虚拟机500。这里，接入设备600可以包括：硬件交换设备和OVS(OpenvSwitch，开放式交换设备)等。对于OVS，在OVS中存储有一条所有报文都上送SDN控制器的流表；但对于硬件交换设备，在硬件交换设备中不存在所有报文都上送SDN控制器的流表。这种情况下，为了保证硬件交换设备能够将接收到的虚拟机发送的所有报文都上送给SDN控制器，SDN控制器在接收到虚拟机通过硬件交换设备发送的认证请求报文之前，可以向硬件交换设备下发第二流表，该第二流表用于将目的MAC地址为SDN控制器的全局虚拟MAC地址的所有报文都上送SDN控制器。S202：接收所述接入设备本文档来自技高网...

【技术保护点】
一种虚拟机接入网络的方法，其特征在于，应用于软件定义网络SDN控制器，所述方法包括：接收接入设备上送的虚拟机发送的认证请求报文，并根据所述认证请求报文，通过所述接入设备向所述虚拟机发送身份请求报文；接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文；所述第一身份请求响应报文包括：所述虚拟机的第一身份信息；接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文；所述第二身份请求响应报文包括：所述第一身份信息对应的第一密码信息；当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时，确定所述虚拟机认证通过；所述预设数据库中存储有身份信息与密码信息的对应关系；为所述虚拟机分配网络协议IP地址，并通过所述接入设备将所述IP地址发送给所述虚拟机，以使所述虚拟机根据所述IP地址接入网络。

【技术特征摘要】
1.一种虚拟机接入网络的方法，其特征在于，应用于软件定义网络SDN控制器，所述方法包括：接收接入设备上送的虚拟机发送的认证请求报文，并根据所述认证请求报文，通过所述接入设备向所述虚拟机发送身份请求报文；接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文；所述第一身份请求响应报文包括：所述虚拟机的第一身份信息；接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文；所述第二身份请求响应报文包括：所述第一身份信息对应的第一密码信息；当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时，确定所述虚拟机认证通过；所述预设数据库中存储有身份信息与密码信息的对应关系；为所述虚拟机分配网络协议IP地址，并通过所述接入设备将所述IP地址发送给所述虚拟机，以使所述虚拟机根据所述IP地址接入网络。2.根据权利要求1所述的方法，其特征在于，在接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文之后，所述方法还包括：从预设数据库中查找所述第一身份信息对应的第二密码信息，并根据预设加密算法对所述第二密码信息进行加密；通过所述接入设备将所述预设加密算法发送给所述虚拟机，以使所述虚拟机根据所述预设加密算法对本地所述第一身份信息对应的第一密码信息进行加密；所述第二身份请求响应报文包括的所述第一身份信息对应的第一密码信息具体为：加密后的所述第一密码信息；所述当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时，确定所述虚拟机认证通过，包括：当加密后的所述第一密码信息与加密后的所述第二密码信息相同时，确定所述虚拟机认证通过。3.根据权利要求1所述的方法，其特征在于，在通过所述接入设备将所述IP地址发送给所述虚拟机之后，所述方法还包括：在所述预设数据库中，存储所述第一身份信息、所述IP地址和所述虚拟机的媒体访问控制MAC地址的对应关系，并通过所述接入设备向所述虚拟机发送第一端口配置信息，以使所述虚拟机根据所述第一端口配置信息将发送所述认证请求报文的第一端口设置为授权状态；接收所述接入设备上送的所述虚拟机通过所述第一端口发送的流量；若所述流量的源IP地址和源MAC地址的对应关系包含在所述预设数据库中，并且所述流量的目的IP地址和目的MAC地址的对应关系包含在所述预设数据库中或所述流量的目的MAC地址为所述SDN控制器的全局虚拟MAC地址，则根据所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址，计算针对所述流量的第一流表，并将所述第一流表下发给所述接入设备，以使所述接入设备根据所述第一流表转发所述流量；否则，丢弃所述流量。4.根据权利要求3所述的方法，其特征在于，所述预设数据库中还存储有用户设置的访问权限信息；所述将所述第一流表下发给所述接入设备，包括：当所述第一身份信息对应的访问权限信息为允许下发时，将所述第一流表下发给所述接入设备。5.根据权利要求3所述的方法，其特征在于，在通过所述接入设备向所述虚拟机发送第一端口配置信息之后，所述方法还包括：通过所述接入设备，定时向所述虚拟机发送针对所述第一端口的握手报文；若所述SDN控制器发送预设数量个握手报文，均未接收到所述接入设备上送的所述虚拟机通过所述第一端口发送的握手响应报文，通过所述接入设备向所述虚拟机发送第二端口配置信息，以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态；删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。6.根据权利要求3所述的方法，其特征在于，在通过所述接入设备向所述虚拟机发送第一端口配置信息之后，所述方法还包括：接收所述接入设备上送的所述虚拟机通过所述第一端口发送的下线报文；根据所述下线报文，通过所述接入设备向所述虚拟机发送第二端口配置信息和下线成功报文，以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态；删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。7.根据权利要求1-6任一项所述的方法，其特征在于，所述认证请求报文、所述第一身份请求响应报文和所述第二身份请求响应报文的目的MAC地址为所述SDN控制器的全局虚拟MAC地址；在接收接入设备上送的虚拟机通过接入设备发送的认证请求报文之前，所述方法还包括：向所述接入设备下发第二流表，其中，所述第二流表用于将目的MAC地址为所述SDN控制器的全局虚拟MAC地址的所有报文上送至所述SDN控制器。8.一种虚拟机接入网络的装置，其特征在于，应用于软件定义网络SDN控制器，所述装置包括：第...

【专利技术属性】
技术研发人员：王海，樊超，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33