基于虚拟机技术的网络设备共享与访问控制的研究与实现
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下, 具体 的访 问控制方法可 以划分为软件方法 ( 单网卡设备控 制方法) 和物理隔离方法 ( 多网卡 多网隔离方法) 。在不 同的
网络 设备访 问控制 需求下 , 两种 控制 方法各有不 同的用场 。 软 件方法适 用于所有虚拟 系统通过共享一块物理 网卡来实现与 外界的连接 , 通过在系统中设置专门的软件系 统, 能够对虚拟 系统 的网络数据进行监控 , 达到对物 理网卡的访 问控制Ⅲ 。物 理隔离控 制方 法最适用 于两块及 以上物理 网卡 的情况 ,不 同 虚拟 系统 与各 自的物理 网卡相连接 ,分别再与不同的网络进 行连 接, 从而实现访 问控制 。
系统 中的 F O请求“ 伪 中断” 转换成 为 E v e n t C h a n n e l , 并将 U O
请求发送 至后端 驱动, 由后端驱动进行信息接 收, 并根据特定 的回调 函数进行 数据 处理, 从而判断这个数据 能否传送… 。在 多个客户 系统的情况下,虚拟机系统与外界网络的数据传送 也是通过这个 方式来 现实的,系统中存 在的数据排队机制能
2 . 2 网络设 备访 问控 制的总 体框 架
Hale Waihona Puke Baidu‘
与客户系统 网络无法直接 相连 , 必须在后端进行端 口映射 。
1 . 3 Br i d g i n g方 式
B i r d g i n g 方式也就是所谓的桥接 方式 , 主要是在 D o mO中 通过桥 接的方式 实现虚拟系 统的 网络共享 。在这一 方式下 , Do mU和Do mO都可 以实现同样的待遇 : 占有独 立的 I P 地址 ,
关键 词: 虚拟机技术 ; Xe n ; 网络设备共 享 ; 访 问控制 中图分类号 : T P 3 9 3 . 0 8 文献标识码 : A 文章编号 : 1 6 7 3 . 1 1 3 1 ( 2 0 1 5 ) 0 8 . 0 l 1 1 . 0 2 即在虚拟机前后端通信底层机制 的基础上 ,通过 B i r d g i n g方 式的构建, 使得不 同虚拟系统实现真实物 理网卡设备的共享 ,
用, 能够 实现与相应虚拟系统 的连接 , 研究所 、 高校等 公有地
址 资源 丰富的办公环境下使用效果十分 良好 ; 其次 , 设备访 问
控 制更加方便 , 通过 B i r d g i n g方式进行网络连接, 数据 的流 入 和流 出都带有所 用的 I P地址 的信 息, 地址转换或者端 口映射 工 作可 以直接省略掉 , 与此 同时, 通过数据 分析 , I P地址 的独
够保证系统有条不紊地进行 F O请求 的处理 , 也就实现 了多个
虚拟系统 网络 设备的共享。 1 . 2 NA T方法 所谓 的 NA T就 是指 网络地址映射。在具体操作中 , NA T 主要通过让所有 D o mU和 D o mO进行 I P地址 的共享 , 从而形 成一个基于共 同 I P的局域 网 。通过共享的 I P , 所有 D o mU 可 以实现与外界 的网络连接 。 但是这种方式 的缺点十分 明显 , 多个用户共用一个 I P , 在建立 F t p或 H t t p 服务器时 , 外界网络
实 现 与 外 界 网 络 的 交互 和 联 系 。
在实践 中, 开源虚拟机 Xe n的性能相对于其他类型 的虚 拟 机来说 , 高效性和优越性 十分显著, 通过 Xe n的应用, 能够 不 断促进虚拟系统设备共享和访 问控制功能 的实现 。
l虚 拟机 系统 网 络设备 的 共享 方法
拥 有独立的主机 , 对于网络上的其他主机 , 则无法 辨别虚拟 系
统与真实系统 。与 NA T相 比, B i r d g i n g方式 具有 明显的技术 优 势: 首先, 系统 占有独立的 I P地址 , 对于真 实系统所 处网段
中可用 的 I P地 址可实现 自由使用,通过对公有 I P地 址的使
1 . 1底 层通 信机 制
Xe n 虚拟 机的底层通信机制 , 主要是指客户系统通过机器 使用真 实物 理网卡设备, 在这个过程 中, 前端驱动能够将客户
2虚 拟 系统 网络设 备访 问控 制的实 现
2 . 1虚 拟 系统 网络 设 备访 问控制 方法
在虚拟环 境中,对客户系统进行访 问控制 的方法与其他 设备的访问控 制方法不 同。在特定的虚拟环境和虚拟机技术
2 0 1 5年第 8 期 ( 总第 1 5 2期)
信 息 通 信
I NF 0RM AT1 0N & C0M M UNI CAT 1 0NS
2 0 1 5
( S u m .N o 1 5 2 )
基于虚拟机技术 的网络设备共享与访 问控制 的研 究与实现
王 星
( 6 8 0 9 0部 队 , 陕 西 西安 7 1 0 0 2 1 )
摘要: 现 阶段 , 随着经济的发展 、 科技 的进步 , 虚拟机技术不 断 自我 突破 , 实现发展 , 其应用领域也更加广 泛。 通过虚 拟机 技 术的应用体会 , 计算机安全领域 的安全 防护效果得到 了进一步提升。在计算机 安全 中, 访 问控制技 术必不可少, 虚拟
机技 术的应用 , 给计 算机安全性 能的提 高带来 了 得 天独厚 的优越性 。 通过 已有的虚 拟机技术 , 能够 实现不同虚拟域 的网 络设备共享和访 问控制 , 这也是 文章研 究的主要 内容 。
图 1网络设备访 问控制 的总体框架图 如下 图 1 所示 ,是基于虚拟机技术的 网络设备访 问控制
的总体框架 , 图中包含 4个虚拟 系统 , 分别是一个 D o mO和三
个 Do mU, 所有的虚拟 系统都 以同一台真 实的计算机为依托 , 并配备两块真实 的物理 网卡设备 。 4个虚拟系统都是通过 B i f . d g i n g方式进行 了网络设备共享的 。当 内核 网桥需要进行 数 据转发 时,会将其交 由其中相应的访 问控制程序 来处理。内 核网桥上的设备控制应该具有 NA ME、 I P层、 T C P层、 U DP 层、