本發(fā)明公開一種虛擬網(wǎng)絡(luò)控制器及控制方法。所述控制器包括：相互連接的第一OVS網(wǎng)橋和第二OVS網(wǎng)橋，與第二OVS網(wǎng)橋相連的路由器和DHCP服務(wù)器，還包括至少一個linux網(wǎng)橋，一個linux網(wǎng)橋連接一個虛擬機，并通過虛擬網(wǎng)卡對與第二OVS網(wǎng)橋相連；第一OVS網(wǎng)橋與主機網(wǎng)口相連，是外部流量入口，虛擬機流量出口；DHCP服務(wù)器用于提供IP地址分配服務(wù)；路由器用于提供路由防火墻服務(wù)。本發(fā)明融合了OVS和命名空間，由于每個命名空間里的資源對其它命名空間都是透明的，實現(xiàn)了虛擬網(wǎng)絡(luò)、實體網(wǎng)絡(luò)的任意組合及互通、隔離；并可對網(wǎng)絡(luò)流量的源IP、目的IP、源端口、目的端口、連接狀態(tài)等特性過濾，起到安全防護作用。

技術(shù)領(lǐng)域

本發(fā)明涉及虛擬網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種虛擬網(wǎng)絡(luò)控制器及控制方法。

背景技術(shù)

云計算是分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負載均衡等傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。云計算是一種IT資源的交付和使用模式，是指通過網(wǎng)絡(luò)以按需、彈性的方式獲得所需的硬件、平臺、軟件以及服務(wù)等資源，提供資源的網(wǎng)絡(luò)被稱為“云”。“云”中的資源在用戶看來可以無限擴展，并且可以隨時獲取、按需使用、隨時擴展、按量付費。云計算的主要內(nèi)容包括基礎(chǔ)設(shè)施即服務(wù)IAAS(Infrastructure as a Service)、平臺即服務(wù)和軟件即服務(wù)等。

目前，云計算時代線下產(chǎn)品越來越豐富，需求與功能的變化往往會導(dǎo)致IAAS層虛擬化網(wǎng)絡(luò)的大變動。傳統(tǒng)的虛擬網(wǎng)絡(luò)架構(gòu)如圖1所示，具有簡單、易操作(操作人員不需要掌握復(fù)雜的虛擬化網(wǎng)絡(luò)技術(shù))等優(yōu)點。它的使用場景單一，功能簡單，特別適用于中小型企業(yè)內(nèi)部及個人測試使用。但這種架構(gòu)對于云計算領(lǐng)域中的線下產(chǎn)品，還存在以下問題：多個用戶在同一主機生產(chǎn)虛擬機，為了保證用戶間網(wǎng)絡(luò)的隔離性，主機需要為每個用戶分配主機網(wǎng)口和虛擬網(wǎng)橋。因此，網(wǎng)絡(luò)的每次變化(比如用戶數(shù)量的變動)都需要對底層虛擬網(wǎng)絡(luò)架構(gòu)進行調(diào)整，通用性不強。如果后期需要新的網(wǎng)絡(luò)需求，傳統(tǒng)虛擬網(wǎng)絡(luò)架構(gòu)也不利于擴展。網(wǎng)絡(luò)間通信依賴外部網(wǎng)絡(luò)設(shè)備，用戶無法控制不同網(wǎng)絡(luò)間的虛擬機通信，也無法控制同網(wǎng)絡(luò)內(nèi)的虛擬機間通信，導(dǎo)致安全功能缺乏。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)中存在的上述問題，本發(fā)明提出一種虛擬網(wǎng)絡(luò)控制器及控制方法。

為實現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

相互連接的第一OVS(openvsitch)網(wǎng)橋和第二OVS網(wǎng)橋，與第二OVS網(wǎng)橋相連的路由器和DHCP(Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議)服務(wù)器，還包括至少一個linux網(wǎng)橋，一個linux網(wǎng)橋連接一個虛擬機，并通過由第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡組成的虛擬網(wǎng)卡對與第二OVS網(wǎng)橋相連；第一OVS網(wǎng)橋與主機網(wǎng)口相連，是外部流量入口，虛擬機流量的出口；DHCP服務(wù)器為基于命名空間的DHCP服務(wù)器，用于提供IP地址分配服務(wù)；路由器為基于命名空間(namespace)的虛擬路由器，用于提供路由、防火墻服務(wù)。

進一步地，OVS網(wǎng)橋包括流表和通道，流表包括頭域、計數(shù)器和操作列表，頭域包括輸入端口、MAC源地址、MAC目的地址、以太網(wǎng)類型、虛擬局域網(wǎng)ID、IP源地址、IP目的地址、IP端口、TCP源端口、TCP目的端口，用于對輸入的流量進行匹配檢查；計數(shù)器用于統(tǒng)計匹配的數(shù)據(jù)包和字節(jié)的數(shù)量；操作列表用于存放匹配后的動作策略。

本發(fā)明還提供一種虛擬網(wǎng)絡(luò)控制方法，包括：

虛擬機輸入流量步驟：

第一OVS網(wǎng)橋獲取外部流量，并對所述流量進行檢查，如果所述流量的數(shù)據(jù)報文的某一字段或多個字段與用戶自定義流表的頭域字段匹配，則將所述流量按流表策略轉(zhuǎn)換后轉(zhuǎn)發(fā)到第二OVS網(wǎng)橋；如果所述流量的數(shù)據(jù)報文中沒有與用戶自定義流表的頭域字段匹配的字段，則將所述流量直接轉(zhuǎn)發(fā)到第二OVS網(wǎng)橋；