[发明专利]一种实现业务隔离的方法及装置

说明书

技术领域

本发明涉及网络虚拟化技术，尤指一种实现业务隔离的方法及装置。

背景技术

近年来，云计算技术在互联网技术中得到越来越多的应用和发展，通过云计算技术对互联网架构进行了大范围的优化和调整，随着使用范围推广，云计算技术以灵活、高效等特点改变着人们的生活。虚拟化技术作为云计算技术的支撑关键技术，通过最大程度的利用了服务器的硬件资源，虚拟化技术通过网络虚拟化使物理网络与服务器间界限变得不那么显而易见；网络虚拟化主要通过在服务器内软件定义虚拟机并通过逻辑交换机创建相应的逻辑网络，各服务器内的虚拟机通信通过逻辑交换机交换转发流量，最大程度的降低了物理网络的参与，使服务器内的信息通信更为快速、高效。

目前，为了实现逻辑网络的隔离和安全，主要通过引入虚拟局域网(VLAN)进行不同业务的隔离。由于服务器内建立VLAN数量受限，且建立逻辑网络时，无法保证所有不同的业务都在不同的VLAN内，当VLAN受到网络攻击时，这些存在同一VLAN的业务都将受到不同程度的影响，严重时甚至造成业务无法访问。

综上，无法将不同的业务通过相应的VLAN进行隔离，一旦VLAN受到攻击，VLAN内的业务都将受到影响，严重时造成业务无法访问。

发明内容

为了解决上述技术问题，本发明提供一种实现业务隔离的方法及装置，能够有效的进行业务隔离。

为了达到本发明目的，本发明提供了一种实现业务隔离的方法，包括：

在虚拟交换机上建立主虚拟局域网VLAN和辅助VLAN；

根据业务属性建立端口组，各辅助VLAN根据业务属性关联相应的端口组；

各辅助VLAN根据数据结构关系通过端口组和主VLAN建立关联；

添加虚拟网卡的虚拟机根据业务关联到相应的辅助VLAN后，进行业务通信。

进一步地，辅助VLAN包括隔离VLAN和团体VLAN；

所述隔离VLAN为：由各虚拟机之间禁止通信的VLAN；

所述团体VLAN为：由各虚拟机之间可进行通信的VLAN。

进一步地，各所述虚拟机之间禁止和可进行通信通过介质访问控制MAC地址进行设置。

进一步地，进行业务通信具体包括：所述虚拟机根据各所述主VLAN的MAC地址表和与其建立关联的各所述辅助VLAN的MAC地址表进行业务数据的单播转发。

进一步地，进行业务数据的单播转发之前，该方法还包括：通过所述端口组将所述辅助VLAN的MAC地址表同步到与其建立关联的主VLAN的MAC地址表中，将所述主VLAN的MAC地址表同步到与其建立关联的所述辅助VLAN的MAC地址表中。

进一步地，该方法还包括：

设置所述主VLAN全局可见。

另一方面，本申请还提供一种实现业务隔离的装置，包括：建立单元、第一关联单元、第二关联单元和关联通信单元；其中，

建立单元，用于在虚拟交换机上建立主虚拟局域网VLAN和辅助VLAN；

第一关联单元，用于根据业务属性建立端口组，各辅助VLAN根据业务属性关联相应的端口组；

第二关联单元，用于将各辅助VLAN根据数据结构关系通过端口组和主VLAN建立关联；

关联通信单元，用于添加虚拟网卡的虚拟机根据业务关联到相应的辅助VLAN后，进行业务通信。

进一步地，辅助VLAN包括隔离VLAN和团体VLAN；

所述隔离VLAN为：由各虚拟机之间禁止通信的VLAN；

所述团体VLAN为：由各虚拟机之间可进行通信的VLAN。

进一步地，该装置还包括设置单元，用于，通过MAC地址设置各所述虚拟机之间禁止通信，以构成所述隔离VLAN；

通过MAC地址设置各所述虚拟机之间可进行通信，以构成所述团体VLAN。

进一步地，关联通信单元具体用于，

添加虚拟网卡的虚拟机根据业务关联到相应的辅助VLAN后，所述虚拟机根据各所述主VLAN的MAC地址表和与其建立关联的各所述辅助VLAN的MAC地址表进行业务数据的单播转发。

进一步地，该装置还包括同步单元，用于所述进行业务数据的单播转发之前，通过所述端口组将所述辅助VLAN的MAC地址表同步到与其建立关联的主VLAN的MAC地址表中，将所述主VLAN的MAC地址表同步到与其建立关联的所述辅助VLAN的MAC地址表中。

进一步地，该装置还包括设置可见单元，用于设置所述主VLAN全局可见。