一种虚拟机迁移方法和装置制造方法及图纸

本公开提供一种虚拟机迁移方法和装置，该方法包括：接收第二设备发送的路由通告消息，并从路由通告消息中解析出迁移属性、虚拟机对应的地址信息，所述迁移属性表示虚拟机发生迁移；通过所述地址信息查询转发表，若得到与所述地址信息匹配的转发表项，则通过所述转发表项记录的出接口发送ARP请求消息；若接收到针对所述ARP请求消息的ARP应答消息，则拒绝根据所述路由通告消息更新所述转发表项。通过本公开的技术方案，当攻击者伪造虚拟机的ARP报文时，不会错误的将虚拟机的出接口学习到VXLAN隧道，可以将报文真正传输给虚拟机，虚拟机的业务不会发生中断，提高用户使用感受，提高安全性。

Virtual machine migration method and device

The present invention provides a virtual machine migration method and device. The method includes: receiving a notification message to send second routing equipment, and notice from the routing address information, parsing out the transfer property of the corresponding virtual machine in the message, the transfer of property indicates the virtual machine migration; through the address information query forwarding table, if with the address information, the forwarding table, through the forwarding table records the interface to send the ARP request message; if receives the ARP response message for the ARP request message is rejected, according to the routing notification message to update the forwarding table. Through the technical scheme of the public, when the ARP message for an attacker to forge the virtual machine, the virtual machine will not mistake the interface to the VXLAN tunnel, the real message can be transmitted to the virtual machine, virtual machine service is not interrupted, improve the user experience, improve safety.

【技术实现步骤摘要】
一种虚拟机迁移方法和装置
本专利技术涉及通信
，尤其涉及一种虚拟机迁移方法和装置。
技术介绍
VXLAN(VirtualeXtensibleLocalAreaNetwork，可扩展虚拟局域网络)是基于IP网络、采用“MAC(MediaAccessControl，媒体访问控制)inUDP(UserDatagramProtocol，用户数据报协议)”封装形式的二层VPN(VirtualPrivateNetwork，虚拟专用网络)技术。VXLAN可以基于已有的服务提供商或者企业IP网络，为分散的站点提供二层互联，并能够为不同的租户提供业务隔离。VXLAN主要应用于数据中心网络，如图1所示，为采用VXLAN的数据中心网络示意图，可以在服务器创建多个VM(VirtualMachine，虚拟机)，不同VM可以属于不同VXLAN或者相同VXLAN，属于相同VXLAN的VM处于同一逻辑二层网络，彼此之间二层互通，属于不同VXLAN的VM之间二层隔离。如图1所示，VM1可以从服务器1迁移到服务器2，则VTEP(VXLANTunnelEndPoint，VXLAN隧道端点)2在接收到来自VM1的ARP(AddressResolutionProtocol，地址解析协议)报文后，通过VXLAN隧道向VTEP1/VTEP3通告VM1路由，当VTEP1/VTEP3接收到VTEP2通告的VM1路由时，将接收VM1通告路由的接收接口作为出接口(即出接口指向VTEP1/VTEP3与VTEP2的VXLAN隧道)，当发送针对VM1的报文时，通过VXLAN隧道发送给VTEP2。但是，若VM1没有从服务器1迁移到服务器2，而且攻击者伪造VM1的ARP报文，并发送给VTEP2，这样，就会导致VTEP1/VTEP3错误的将VM1的出接口学习到VXLAN隧道，并导致报文无法真正的传输给VM1，导致VM1的业务会发生中断，影响用户的使用感受，而且还会带来安全隐患。
技术实现思路
本公开提供一种虚拟机迁移方法，应用于第一设备，该方法包括：接收第二设备发送的路由通告消息，并从所述路由通告消息中解析出迁移属性、虚拟机对应的地址信息，所述迁移属性表示所述虚拟机发生迁移；通过所述地址信息查询转发表，若得到与所述地址信息匹配的转发表项，则通过所述转发表项记录的出接口发送针对所述虚拟机的ARP请求消息；若接收到针对所述ARP请求消息的ARP应答消息，则拒绝根据所述路由通告消息更新所述转发表项。本公开提供一种虚拟机迁移方法，应用于第二设备，该方法包括：在接收到来自虚拟机的ARP消息时，若转发表中已经存在与所述虚拟机匹配的第一转发表项，则在所述转发表中添加与所述虚拟机匹配的第二转发表项；其中，所述第一转发表项记录的出接口是所述第二设备与第一设备之间的隧道口，所述第二转发表项记录的出接口是所述第二设备上与虚拟机对应的接口；根据所述第一转发表项的出接口，向第一设备发送路由通告消息，所述路由通告消息携带迁移属性和所述虚拟机的地址信息，所述迁移属性表示所述虚拟机发生迁移；以使第一设备根据所述路由通告消息确定所述虚拟机是否迁移。本公开提供一种虚拟机迁移装置，应用于第一设备，该装置包括：接收模块，用于接收第二设备发送的路由通告消息；获得模块，用于从所述路由通告消息中解析出迁移属性、虚拟机对应的地址信息，其中，所述迁移属性表示所述虚拟机发生迁移；发送模块，用于通过所述地址信息查询转发表，若得到与所述地址信息匹配的转发表项，则通过所述转发表项记录的出接口发送针对所述虚拟机的ARP请求消息；更新模块，用于当接收到针对所述ARP请求消息的ARP应答消息时，则拒绝根据所述路由通告消息更新所述转发表项。本公开提供一种虚拟机迁移装置，应用于第二设备，包括：处理模块，用于在接收到来自虚拟机的ARP消息时，若转发表中已经存在与所述虚拟机匹配的第一转发表项，在所述转发表中添加与所述虚拟机匹配的第二转发表项；所述第一转发表项记录的出接口是第二设备与第一设备之间的隧道口，所述第二转发表项记录的出接口是第二设备上与虚拟机对应的接口；发送模块，用于根据所述第一转发表项的出接口，向所述第一设备发送路由通告消息，其中，所述路由通告消息携带迁移属性和所述虚拟机的地址信息，所述迁移属性表示所述虚拟机发生迁移；以使所述第一设备根据所述路由通告消息确定所述虚拟机是否迁移。基于上述技术方案，本公开实施例中，在接收到第二设备发送的路由通告消息后，并不是直接根据路由通告消息更新转发表项，而是当路由通告消息携带迁移属性时，确定虚拟机是否迁移到与第二设备连接的服务器，如果否，就拒绝更新转发表项，这样，当攻击者伪造虚拟机的ARP报文时，第一设备不会错误的将虚拟机的出接口学习到隧道口，可以将报文真正传输给虚拟机，虚拟机的业务不会发生中断，提高用户使用感受，提高安全性，保证稳定性。附图说明为了更加清楚地说明本公开实施例或者现有技术中的技术方案，下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本公开实施例的这些附图获得其他的附图。图1是采用VXLAN的数据中心网络示意图；图2是本公开一种实施方式中的虚拟机迁移方法的流程图；图3是本公开一种实施方式中的第一设备的硬件结构图；图4是本公开一种实施方式中的虚拟机迁移装置的结构图；图5是本公开一种实施方式中的第二设备的硬件结构图；图6是本公开一种实施方式中的虚拟机迁移装置的结构图。具体实施方式在本公开实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”，或者，“当……时”，或者，“响应于确定”。本公开实施例中提出一种虚拟机迁移方法，该方法可以应用于包括第一设备和第二设备的系统，该系统还可以包括虚拟机，且虚拟机可以在第一设备和第二设备间迁移。在实际应用中，第一设备和第二设备可以是相对的，如第一设备还可以为第二设备，且第二设备也可以为第一设备，对此不做限制。参见图2所示，为虚拟机迁移方法的流程图，该方法可以包括：步骤201，第二设备在接收到来自虚拟机的ARP消息(如ARP请求消息或者免费ARP消息等)时，若转发表中已经存在与该虚拟机匹配的第一转发表项，则在转发表中添加与该虚拟机匹配的第二转发表项，并根据该第一转发表项的出接口(第二设备与第一设备之间的隧道口)，向第一设备发送路由通告消息。其中，第一转发表项记录的出接口是第二设备与第一设备之间的隧道口(如VXLAN隧道)，而第二转发表项记录的出接口是第二设备上与虚拟机对应的接口(例如，第二设备连接虚拟机所在服务器本文档来自技高网...

【技术保护点】
一种虚拟机迁移方法，应用于第一设备，其特征在于，该方法包括：接收第二设备发送的路由通告消息，并从所述路由通告消息中解析出迁移属性、虚拟机对应的地址信息，所述迁移属性表示所述虚拟机发生迁移；通过所述地址信息查询转发表，若得到与所述地址信息匹配的转发表项，则通过所述转发表项记录的出接口发送针对所述虚拟机的ARP请求消息；若接收到针对所述ARP请求消息的ARP应答消息，则拒绝根据所述路由通告消息更新所述转发表项。

【技术特征摘要】
1.一种虚拟机迁移方法，应用于第一设备，其特征在于，该方法包括：接收第二设备发送的路由通告消息，并从所述路由通告消息中解析出迁移属性、虚拟机对应的地址信息，所述迁移属性表示所述虚拟机发生迁移；通过所述地址信息查询转发表，若得到与所述地址信息匹配的转发表项，则通过所述转发表项记录的出接口发送针对所述虚拟机的ARP请求消息；若接收到针对所述ARP请求消息的ARP应答消息，则拒绝根据所述路由通告消息更新所述转发表项。2.根据权利要求1所述的方法，其特征在于，所述通过所述转发表项记录的出接口发送针对所述虚拟机的ARP请求消息之后，所述方法还包括：若没有接收到针对所述ARP请求消息的ARP应答消息，则利用接收到所述路由通告消息的接收接口更新所述转发表项记录的出接口；其中，所述接收接口为所述第一设备与所述第二设备之间的隧道口。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若接收到针对所述ARP请求消息的ARP应答消息，则向所述第二设备发送第一通告应答消息，所述第一通告应答消息用于表示所述虚拟机未迁移；或者，若没有接收到针对所述ARP请求消息的ARP应答消息，则向所述第二设备发送第二通告应答消息，所述第二通告应答消息用于表示所述虚拟机已迁移。4.一种虚拟机迁移方法，应用于第二设备，其特征在于，该方法包括：在接收到来自虚拟机的ARP消息时，若转发表中已经存在与所述虚拟机匹配的第一转发表项，则在所述转发表中添加与所述虚拟机匹配的第二转发表项；其中，所述第一转发表项记录的出接口是所述第二设备与第一设备之间的隧道口，所述第二转发表项记录的出接口是所述第二设备上与虚拟机对应的接口；根据所述第一转发表项的出接口，向第一设备发送路由通告消息，所述路由通告消息携带迁移属性和所述虚拟机的地址信息，所述迁移属性表示所述虚拟机发生迁移；以使第一设备根据所述路由通告消息确定所述虚拟机是否迁移。5.根据权利要求4所述的方法，其特征在于，所述根据所述第一转发表项的出接口，向第一设备发送路由通告消息之后，所述方法还包括：若接收到所述第一设备发送的第一通告应答消息，确定所述虚拟机未迁移，删除所述第二转发表项，所述第一通告应答消息用于表示所述虚拟机未迁移；若接收到所述第一设备发送的第二通告应答消息，确定所述虚拟机已迁移，删除所述第一转发表项，所述第二通告应答消息用于表示所述虚拟机已迁移。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：在接收到所述第一设备发送的第二通告应答消息之后，向第三设备发送路由通告消息，所述路由通告消息携带迁移属性和所述虚拟机的地址信息，所述迁移属性表示所述虚拟机发生迁移；以使所述第三设备将与所述地址信息匹配的转发表项的出接口更新为接收到所述路由通告消息的接收接口。7.根据权利要求5所述的方法，其特征在于，所述方法还包括：在接收到所述第一设备发送的第一通告应答消息或者第二通告应答消息之前，向第三设备发送路由通告消息，所述路由通告消息携带迁移属性和所述虚拟机的地址信息，所述迁移属性表示所述虚拟机发生迁移；以使第三设备将与所述地址信息匹配的转发表项的出接口更新为接收到所述路由通告消息的接收接口；若接收到所述第一设备发送的第一通告应答消息，则向所述第三设备发送针对所述路由通告消息的路由撤销消息，所述路由撤销消息携带所述虚拟机的地址信息，以使所述第三设备撤销与所述地址信息匹配的转发表项。...

【专利技术属性】
技术研发人员：黄李伟，王伟，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33