虚拟机通信系统和虚拟机技术方案

本发明专利技术公开了一种虚拟机通信系统和虚拟机。所述虚拟机通信系统，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：第一路由器，与第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；第二路由器，与第一网络和第二网络相连，且配置有第二网卡；虚拟机，包括：获取模块，用于在使用第一路由器与第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为虚拟机传输的报文，得到识别结果；控制模块，用于根据识别结果，确定是否继续报文。

Virtual Machine Communication System and Virtual Machine

The invention discloses a virtual machine communication system and a virtual machine. The virtual machine communication system includes the first router in the virtual machine environment, the second router in the cloud computing operating system and the virtual machine in the virtual machine environment. The first router is connected to the first network and is equipped with the first network card, in which the IP address of the first network card is the gateway address of the first network, and the second router is the gateway address of the first network and the second network phase. Connected and equipped with a second network card; virtual machine includes: acquisition module, which is used to acquire the IP address and/or MAC address of received message when using the first router to transmit data with the second router; identification module, which is used to identify whether the message is transmitted by virtual machine according to the acquired IP address and/or MAC address and the pre-acquired identification strategy. Result: The control module is used to determine whether to continue the message according to the recognition result.

【技术实现步骤摘要】
虚拟机通信系统和虚拟机
本专利技术涉及信息处理领域，尤指一种虚拟机通信系统和虚拟机。
技术介绍
随着云计算的日益成熟，越来越多的企业开始部署云计算管理平台，用云管平台管理自己的服务器，创建虚拟机，将公司业务迁移上云。云管理平台云海OS集成了VMware、XenServer、InCloudSphere等不同厂家的虚拟化产品，用统一的界面风格和操作为用户提供了一个大而全的云管理平台。用户在云海OS创建了虚拟机，虚拟机的网卡进出数据是没有限制的，即可以随便进出，这样虚拟机是有安全风险的。Iptables是Linux内核集成的IP信息包过滤系统，每一条Iptables规则都可以自定义内容，比如允许哪个协议的数据通过或丢弃，比如来自哪个IP的数据通过或丢弃。虚拟机向外发出数据时，数据到达网卡前，会经过Linux内核的网络协议栈，协议栈会调用netfilter模块的各个钩子函数，钩子函数里面就会调用预先设置的Iptables规则对数据进行处理，或丢弃、或放行、或修改。同样，虚拟机收到一条数据后，也会被预置的Iptables规则处理一遍。这样，我们就可以通过自定义Iptables规则，对虚拟机进出数据做控制，比如不允许某些数据进入虚拟机，这样就可以保护虚拟机的安全。IP/Mac欺骗是一种常见的网络攻击手段，当有人入侵一台虚拟机，将虚拟机发出的数据包的IP地址或者Mac地址修改了，便会造成一种欺骗，让数据接收者以为数据来源是其它的虚拟机，给潜在的危险数据带来可乘之机，让破坏者用IP/mac欺骗的原理对机器实施更大的危害。因此，如何提高虚拟机的安全是亟待解决的问题。专利技术内容为了解决上述技术问题，本专利技术提供了一种虚拟机通信系统和虚拟机，能够提供虚拟机的安全。为了达到本专利技术目的，本专利技术提供了一种虚拟机通信系统，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：所述第一路由器，与所述第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；所述第二路由器，与所述第一网络和第二网络相连，且配置有第二网卡，其中所述第二网卡的IP地址为第二网络的网关地址；其中所述第一网络和所述第二网络属于不同网段；所述虚拟机，包括：获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；控制模块，用于根据所述识别结果，确定是否继续所述报文。其中，所述系统还具有如下特点：所述第一路由器为Linux系统下的名称空间namespace模块。其中，所述系统还具有如下特点：所述第一路由器配置有所述第一网络的路由表；所述第一路由器还用于在接收到的从所述第二网络发送的数据后，根据所述第一网络的路由器，将接收的数据进行发送。其中，所述系统还具有如下特点：所述第二路由器配置有所述第一网络和所述第二网络的路由表；所述第二路由器还用于在接收到的从第二网络发送的数据后，根据所述第一网络的路由表，将接收的数据发送给所述第一路由器；和/或，在接收到从第一网络发送的数据后，根据所述第二网络的路由表，将数据发送给所述第一网络中对应的虚拟机。其中，所述系统还具有如下特点：所述虚拟机还包括：存储模块，用于将所述虚拟机的网卡配置信息写入到虚拟机的Iptables表中，作为识别策略。其中，所述系统还具有如下特点：所述识别模块包括：获取单元，用于获取为所述虚拟机配置的网卡的地址信息；比较单元，用于将所述获取到的IP地址和/或MAC地址与所述网卡的地址信息进行比较，得到比较结果。其中，所述系统还具有如下特点：所述虚拟机还包括：检测模块，用于检测所述虚拟机的网卡的数量和/或地址信息是否发生变化；更新模块，用于当检测到所述虚拟机的网卡的数量和/或地址信息发生变化后，根据变化后的信息，更新所述虚拟机的识别策略。为了达到本专利技术目的，本专利技术还提供了一种虚拟机，应用在上述的系统中，所述虚拟机包括；获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；控制模块，用于根据所述识别结果，确定是否继续所述报文。其中，所述虚拟机还具有如下特点：所述识别模块包括：获取单元，用于获取为所述虚拟机配置的网卡的地址信息；比较单元，用于将所述获取到的IP地址和/或MAC地址与所述网卡的地址信息进行比较，得到比较结果。其中，所述虚拟机还具有如下特点：所述虚拟机还包括：检测模块，用于检测所述虚拟机的网卡的数量和/或地址信息是否发生变化；更新模块，用于当检测到所述虚拟机的网卡的数量和/或地址信息发生变化后，根据变化后的信息，更新所述虚拟机的识别策略。本专利技术提供的实施例，通过为第一网络的虚拟机配置专用的虚拟路由，通过该虚拟路由与第二路由器进行通信，实现将第一网络中的数据传输到不同网段的虚拟机，再对传输的报文的IP地址和/或MAC地址进行识别，让数据接收者确认数据来源，让破坏者无法用IP/mac欺骗的原理对机器实施更大的危害，提高虚拟机的安全。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本专利技术的技术方案，并不构成对本专利技术技术方案的限制。图1为本专利技术提供的虚拟机通信系统的结构图；图2为本专利技术提供的虚拟机的结构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。图1为本专利技术提供的虚拟机通信系统的结构图。图1所示系统包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：所述第一路由器，与所述第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；所述第二路由器，与所述第一网络和第二网络相连，且配置有第二网卡，其中所述第二网卡的IP地址为第二网络的网关地址；其中所述第一网络和所述第二网络属于不同网段；所述虚拟机，包括：获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；控制模块，用于根据所述识别结果，确定是否继续所述报文。在上述系统中，在云海OS创建两个网络net1和net2，net1的网段和网关分别是100.1.1.0/24及100.1.本文档来自技高网...

【技术保护点】
1.一种虚拟机通信系统，其特征在于，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：所述第一路由器，与所述第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；所述第二路由器，与所述第一网络和第二网络相连，且配置有第二网卡，其中所述第二网卡的IP地址为第二网络的网关地址；其中所述第一网络和所述第二网络属于不同网段；所述虚拟机，包括：获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；控制模块，用于根据所述识别结果，确定是否继续所述报文。

【技术特征摘要】
1.一种虚拟机通信系统，其特征在于，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：所述第一路由器，与所述第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；所述第二路由器，与所述第一网络和第二网络相连，且配置有第二网卡，其中所述第二网卡的IP地址为第二网络的网关地址；其中所述第一网络和所述第二网络属于不同网段；所述虚拟机，包括：获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；控制模块，用于根据所述识别结果，确定是否继续所述报文。2.根据权利要求1所述的系统，其特征在于，所述第一路由器为Linux系统下的名称空间namespace模块。3.根据权利要求1或2所述的系统，其特征在于：所述第一路由器配置有所述第一网络的路由表；所述第一路由器还用于在接收到的从所述第二网络发送的数据后，根据所述第一网络的路由器，将接收的数据进行发送。4.根据权利要求1所述的系统，其特征在于：所述第二路由器配置有所述第一网络和所述第二网络的路由表；所述第二路由器还用于在接收到的从第二网络发送的数据后，根据所述第一网络的路由表，将接收的数据发送给所述第一路由器；和/或，在接收到从第一网络发送的数据后，根据所述第二网络的路由表，将数据发送给所述第一网络中对应的虚拟机。5.根据权利要求1所述的系统，其特征在于，所述虚拟机还包括：存储...

【专利技术属性】
技术研发人员：孙庆良，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41