[发明专利]基于用户态协议栈虚拟路由器的网络隔离方法和装置

说明书

本发明公开了一种基于用户态协议栈虚拟路由器的网络隔离方法和装置，属于云计算技术领域。所述方法包括：当虚拟路由器初始化时，基于虚拟路由器的配置文件为系统运行的每个用户态协议栈设置多个隔离空间，并为每个隔离空间设置独立的隔离空间私有表项，隔离空间私有表项至少包括路由表；针对每个隔离空间，通过隔离空间的隔离空间私有表项处理隔离空间对应的数据报文。本发明可以降低系统资源消耗。

技术领域

本发明涉及云计算技术领域，尤其涉及一种基于用户态协议栈虚拟路由器的网络隔离方法和装置。

背景技术

在云计算系统中，可以通过网络隔离技术，在一台网络设备中为多个用户分别对应设置一个隔离空间，各个用户的数据存储在对应的隔离空间中，并通过该隔离空间为用户提供各种服务。

虚拟路由器用于内网间或者内网与公网间的数据报文转发，当接收到数据报文后，虚拟路由器可以根据数据报文的目的IP，从预先设置的路由表中，选择对应的路由规则，将数据报文转发出去。在提供服务的过程中，虚拟路由器可以通过LXC、Jail等方法来实现不同用户的网络隔离，但是上述方法不能应用在基于DPDK等技术的用户态协议栈上。当面对大量不同用户时，需要为每个用户单独运行一个虚拟路由器，然而，同时启动和运行多个虚拟路由器会消耗大量的系统资源。因此，目前亟需一种基于用户态协议栈虚拟路由器的网络隔离方法，能够在用户态协议栈实现虚拟路由器的网络隔离，降低系统资源消耗。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种基于用户态协议栈虚拟路由器的网络隔离方法和装置。所述技术方案如下：

第一方面，提供了一种基于用户态协议栈虚拟路由器的网络隔离方法，系统中运行有多个用户态协议栈，所述方法包括：

当虚拟路由器初始化时，基于虚拟路由器的配置文件为系统运行的每个用户态协议栈设置多个隔离空间，并为每个隔离空间设置独立的隔离空间私有表项，所述隔离空间私有表项至少包括路由表；

针对每个隔离空间，通过所述隔离空间的隔离空间私有表项处理所述隔离空间对应的数据报文。

进一步的，所述方法还包括：

将网卡与至少一个所述隔离空间建立关联，且对于所述每个用户态协议栈，每个所述网卡至多关联所述用户态协议栈对应的一个所述隔离空间，不同所述用户态协议栈对应的具有相同隔离空间标识的隔离空间关联同一个所述网卡。

进一步的，所述针对每个隔离空间，通过所述隔离空间的隔离空间私有表项处理所述隔离空间对应的数据报文，包括：

在目标网卡接收到数据报文后，基于目标用户态协议栈确定所述目标网卡关联的隔离空间，并将所述数据报文发送到所述目标网卡关联的隔离空间；

根据所述目标网卡关联的隔离空间的隔离空间私有表项，对所述数据报文执行所述虚拟路由器的业务处理。

进一步的，所述根据所述目标网卡关联的隔离空间的隔离空间私有表项，对所述数据报文执行所述虚拟路由器的业务处理，包括：

通过所述目标网卡关联的隔离空间的路由表，确定所述数据报文的目的IP对应的目标发送网卡标识和目标MAC地址；

根据所述目标发送网卡标识和所述目标MAC地址，对所述数据报文执行所述虚拟路由器的业务处理。

进一步的，所述隔离空间私有表项还包括地址转换表，所述根据所述目标网卡关联的隔离空间的隔离空间私有表项，对所述数据报文执行所述虚拟路由器的业务处理，包括：

在所述目标网卡关联的隔离空间的路由表中，查找所述数据报文的目的IP对应的目标发送网卡标识和目标MAC地址；

在所述目标网卡关联的隔离空间的地址转换表中，查找所述数据报文的目的IP对应的地址转换信息；