[发明专利]一种流量牵引方法及装置

说明书

本申请涉及网络安全领域，尤其涉及一种流量牵引方法及装置，用以解决现有技术需要一种能够将处于某一VLAN中的虚拟机之间传输的报文牵引到第三方VM中的牵引机制的问题，本申请实施例提供的流量牵引方法，包括：接收处于第一VLAN中的第一VM经由源端口发来的报文，报文中携带有目的MAC地址以及第一VLAN标签；基于预先设置的规则，生成与预先设置的规则对应的二层转发表；基于二层转发表，查找与目的MAC地址对应的目的端口ID和VLAN ID；将报文中携带的第一VLAN标签更改为与VLAN ID相对应的第二VLAN标签；将携带有第二VLAN标签的报文经由目的端口转发至第二VLAN中的第二VM。

技术领域

本申请涉及网络安全领域，尤其涉及一种流量牵引方法及装置。

背景技术

目前，针对现有服务器的运行情况而言，一台服务器每次只能运行一个操作系统和应用，即使是在小型数据中心中也需要部署大量的服务器，这不仅导致了每台服务器的利用率很低，也大大增加了数据处理的成本。为了克服这一缺陷，可以使用虚拟化软件，比如Vmware Vsphere、华为fusionSphere，来模拟硬件并创建虚拟计算机系统。这里，虚拟计算机系统也即虚拟机(Virtual Machine，VM)是一种严密隔离的软件容器，内部含有操作系统和应用。通过将多台虚拟机放置在一个计算机上，可以实现在一个物理服务器上运行多个操作系统和应用。而在同一物理服务器上的虚拟机之间的信息交互可以通过东西向流量(东西向流量也即虚拟机之间传输的报文)来传递。

如图1所示，为现有虚拟化环境中虚拟机之间的组网示意图，虚拟机宿主机即物理服务器中包括虚拟交换机0、虚拟机VM11、虚拟机VM12、虚拟机VM13、虚拟机VM14，其中，VM11、VM12、VM13和VM14分别与虚拟交换机0相连接，并且四台虚拟机均处于同一虚拟局域网(Virtual Local Area Network，VLAN)中。按照现有网络二层交换技术可知，只有处于同一VLAN范围内的虚拟机之间才可以进行报文的广播和转发。那么，当VM13访问VM14时，只需将需要传输的报文发送至虚拟交换机0，再通过虚拟交换机0将该报文转发至VM14即可。这就使得现有虚拟化环境中的虚拟机之间的传输的报文无法经过第三方VM(位于其它VLAN中的虚拟机)进行安全防护。

可见，目前需要一种能够将处于某一VLAN中的虚拟机之间传输的报文牵引到第三方VM中的牵引机制。

发明内容

本申请实施例提供一种流量牵引方法及装置，用以解决现有技术需要一种能够将处于某一VLAN中的虚拟机之间传输的报文牵引到第三方VM中的牵引机制的问题。

本申请实施例提供一种流量牵引方法，包括：

接收处于第一虚拟局域网VLAN中的第一虚拟机VM经由源端口发来的报文，所述报文中携带有目的媒体访问控制MAC地址以及第一VLAN标签；

基于预先设置的规则，生成与所述预先设置的规则对应的二层转发表；

基于所述二层转发表，查找与所述目的MAC地址对应的目的端口标识ID和VLANID；

将所述报文中携带的第一VLAN标签更改为与查找到的VLAN ID相对应的第二VLAN标签；

将携带有第二VLAN标签的报文经由查找到的目的端口转发至第二VLAN中的第二VM。

本申请实施例提供一种流量牵引装置，包括：

接收模块，用于接收处于第一虚拟局域网VLAN中的第一虚拟机VM经由源端口发来的报文，所述报文中携带有目的媒体访问控制MAC地址以及第一VLAN标签；

生成模块，用于基于预先设置的规则，生成与所述预先设置的规则对应的二层转发表；

查找模块，用于基于所述二层转发表，查找与所述目的MAC地址对应的目的端口标识ID和VLAN ID；