基于安全隔離的路由器虛擬化方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及存儲領(lǐng)域，尤其涉及一種基于安全隔離的路由器虛擬化方法。
【背景技術(shù)】
[0002]路由器是用于連接多個邏輯上分開的網(wǎng)絡(luò)，是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號。路由器是互聯(lián)網(wǎng)絡(luò)的樞紐，目前已經(jīng)廣泛應(yīng)用于各行各業(yè)。目前的路由器不僅可以連通不同的網(wǎng)絡(luò)，還能選擇數(shù)據(jù)傳送的路徑，并能阻隔非法的訪問。路由器作為IP網(wǎng)的核心設(shè)備，其技術(shù)已成為當前信息產(chǎn)業(yè)的關(guān)鍵技術(shù)，其設(shè)備本身在數(shù)據(jù)通信中起到越來越重要的作用。當前，傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)體系結(jié)構(gòu)面臨挑戰(zhàn)，未來互聯(lián)網(wǎng)研究成為熱點。未來互聯(lián)網(wǎng)體系結(jié)構(gòu)、協(xié)議、算法與實現(xiàn)技術(shù)在部署前都需要大量的理論分析與仿真實驗，更需要在試驗網(wǎng)絡(luò)系統(tǒng)中進行評估與驗證。由于路由器的封閉性與正常業(yè)務(wù)對試驗的影響，在現(xiàn)有的互聯(lián)網(wǎng)上實現(xiàn)、驗證和部署新體系結(jié)構(gòu)、新協(xié)議與新算法非常困難，這嚴重制約了互聯(lián)網(wǎng)體系的發(fā)展和創(chuàng)新。
[0003]假設(shè)將傳統(tǒng)路由器作為IP網(wǎng)絡(luò)的核心，它將會產(chǎn)生如下問題:(1)增加了 3層路由選擇的時間，使得數(shù)據(jù)傳輸效率降低。(2)增加了改變節(jié)點的復雜度，使得增加，移動節(jié)點變得復雜。(3)設(shè)備價格昂貴、結(jié)構(gòu)復雜，利用率不高，大大增加了子網(wǎng)互聯(lián)的成本。如果僅僅提高路由器的硬件性能，并不能解決其瓶頸問題。因為路由器除了硬件支撐外，其復雜與強大的功能主要是通過軟件來實現(xiàn)的。當流經(jīng)路由器的流量超過其吞吐能力時，將引起路由器內(nèi)部的擁塞。持續(xù)擁塞不僅會使轉(zhuǎn)發(fā)的數(shù)據(jù)包被延誤，更嚴重的是使流經(jīng)路由器的數(shù)據(jù)包丟失。此外，路由器的復雜性還對網(wǎng)絡(luò)的維護工作造成了沉重的負擔。傳統(tǒng)路由器難以滿足現(xiàn)今高吞吐量，低成本的要求。

【發(fā)明內(nèi)容】

[0004]有鑒于此，本發(fā)明提供一種基于安全隔離的路由器虛擬化方法，以解決上述問題。
[0005]本發(fā)明提供的基于安全隔離的路由器虛擬化方法，包括
[0006]設(shè)置分層化架構(gòu)，將路由器虛擬化劃分為數(shù)據(jù)平面層、控制平面層和管理平面層；
[0007]通過所述控制平面層將物理路由器虛擬為多個虛擬路由器；
[0008]通過數(shù)據(jù)平面層對數(shù)據(jù)包進行接受識別分類和轉(zhuǎn)發(fā)，并通過所述數(shù)據(jù)平面層獲取物理路由器的物理端口信息，建立虛擬路由器的網(wǎng)絡(luò)端口與物理路由器的端口信息的映射關(guān)系;
[0009]所述虛擬路由器通過控制平面層與數(shù)據(jù)處理層進行信息交互；
[0010]通過所述管理平面層對所述多個虛擬路由器的參數(shù)進行管理配置。
[0011]進一步，所述虛擬路由器是將路由器虛擬出多個安全隔離的虛擬服務(wù)器，將每個虛擬服務(wù)器作為一個虛擬路由器。
[0012]進一步，所述控制平面層在接收到數(shù)據(jù)平面層的數(shù)據(jù)后，對屬于不同轉(zhuǎn)發(fā)信息庫且前綴相同的條目進行合并，并將所述前綴對應(yīng)的所有下一跳信息順序存儲。
[0013]進一步，所述控制平面層設(shè)有用于自定義配置虛擬路由器并使虛擬路由器運行不同的網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)信息管理模塊。
[0014]進一步，所述數(shù)據(jù)平面層根據(jù)物理端口信息生成虛擬路由器的vid，并生成vlan與vid映射表。
[0015]進一步，所述虛擬路由器通過vlan與vid映射表確定數(shù)據(jù)平面層的物理設(shè)備，并將網(wǎng)絡(luò)信息和映射表信息發(fā)送到對應(yīng)的物理設(shè)備。
[0016]進一步，所述控制平面層通過PCI總線與物理路由器進行數(shù)據(jù)交互。
[0017]進一步，所述數(shù)據(jù)平面層的數(shù)據(jù)包接收機制為輪詢方式，所述數(shù)據(jù)平面層的總線事務(wù)傳遞多個數(shù)據(jù)包地址。
[0018]進一步，所述數(shù)據(jù)平面層設(shè)置有數(shù)據(jù)包包頭解析模塊，所述數(shù)據(jù)包包頭解析模塊設(shè)有用于支持數(shù)據(jù)包包頭任意比特域自由組合的任意比特抽取器。
[0019]本發(fā)明的有益效果:本發(fā)明提供的方法通過對傳統(tǒng)路由器進行虛擬化，擴大了路由器協(xié)議的支持范圍，能夠支持多種不同網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包處理需求，提高了數(shù)據(jù)平面的可擴展性，節(jié)約了資源，本發(fā)明能夠有效支持軟硬件路由器實例的動態(tài)迀移，并使用局部動態(tài)可重構(gòu)技術(shù)降低迀移開銷，從而滿足動態(tài)變化的應(yīng)用需求。
【附圖說明】
[0020]下面結(jié)合附圖和實施例對本發(fā)明作進一步描述:
[0021]圖1是本發(fā)明的原理示意圖。
[0022]圖2是本發(fā)明的工作流程示意圖。
【具體實施方式】
[0023]下面結(jié)合附圖和實施例對本發(fā)明作進一步描述:圖1是本發(fā)明的原理示意圖，圖2是本發(fā)明的工作流程示意圖。
[0024]如圖1、2所示，本實施例中的基于安全隔離的路由器虛擬化方法，包括
[0025]設(shè)置分層化架構(gòu)，將路由器虛擬化劃分為數(shù)據(jù)平面層、控制平面層和管理平面層；
[0026]通過所述控制平面層將物理路由器虛擬為多個虛擬路由器；
[0027]通過數(shù)據(jù)平面層對數(shù)據(jù)包進行接受識別分類和轉(zhuǎn)發(fā)，并通過所述數(shù)據(jù)平面層獲取物理路由器的物理端口信息，建立虛擬路由器的網(wǎng)絡(luò)端口與物理路由器的端口信息的映射關(guān)系;
[0028]所述虛擬路由器通過控制平面層與數(shù)據(jù)處理層進行信息交互；
[0029]通過所述管理平面層對所述多個虛擬路由器的參數(shù)進行管理配置。
[0030]在本實施例中，數(shù)據(jù)平面層負責網(wǎng)絡(luò)數(shù)據(jù)包的接收識別分類以及轉(zhuǎn)發(fā)，例如數(shù)據(jù)包的轉(zhuǎn)發(fā)加速，數(shù)據(jù)的統(tǒng)一平面抽象化等；控制平面層集成了虛擬化模塊，負責在一臺物理路由器上實現(xiàn)多個相對獨立的邏輯路由器，并且增加了對數(shù)據(jù)平面的控制，例如異常數(shù)據(jù)包的分析處理；管理平面層具有路由器的各項參數(shù)管理配置功能，主要負責多個虛擬路由器的各種協(xié)議的部署維護。
[0031]在本實施例中，虛擬路由器是將路由器虛擬出多個安全隔離的虛擬服務(wù)器，將每個虛擬服務(wù)器作為一個虛擬路由器，在一臺物理路由器上實現(xiàn)多個相對獨立的邏輯路由器，每個虛擬路由器擁有自身所有的用戶程序進程，獨立的root訪問權(quán)限、IP地址、內(nèi)存、處理器、文件、應(yīng)用程序、系統(tǒng)庫和配置文件等，不同的虛擬路由器可以獨立運行一種或者多種路由協(xié)議。這樣就把存儲虛擬化的范圍由局域網(wǎng)范圍內(nèi)的虛擬存儲擴展到了廣域虛擬存儲。再進行路由的計算以及異常數(shù)據(jù)包的分析處理，以確定下一跳轉(zhuǎn)發(fā)。
[0032]在本實施例中，所述控制平面層在接收到數(shù)據(jù)平面層的數(shù)據(jù)后，對屬于不同轉(zhuǎn)發(fā)信息庫且前綴相同的條目進行合并，并將所述前綴對應(yīng)的所有下一跳信息順序存儲?？刂破矫鎸釉诮邮盏綌?shù)據(jù)平面層的數(shù)據(jù)后，轉(zhuǎn)發(fā)表查找方法基于TCAM(ternarycontent addressable memory，簡稱TCAM—種三