(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111335460.6 (22)申请日 2021.11.11 (71)申请人 四川中电启明星信息技 术有限公司 地址 610000 四川省成 都市郫都区现代工 业港 （南片区） 西源大道 2688号 (72)发明人 田富强　牟骏　郝建维　高攀　 刘秋辉　杨俏　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 代理人 尹新路 (51)Int.Cl. H04L 67/1074(2022.01) H04L 67/60(2022.01) H04L 61/2557(2022.01) H04L 9/40(2022.01)H04L 12/46(2006.01) (54)发明名称 一种私有云租户间点对点单向动态专线连 接的方法及系统 (57)摘要 本发明涉及私有云租户间网络连接技术领 域， 公开了一种私有云租户间点对点单向动态专 线连接的方法， 用两台虚拟机作为源租户和目标 租户的云路由并开启内核数据包转发； 在源租户 云路由的虚拟机上动态热添加一个虚拟网卡， 将 虚拟网卡连接到以连通业务网大二层网络； 向源 租户云路由发送增加SNAT策略的源地址转化指 令； 将数据包从专线接口发送到目标虚拟机上； 当源租户云路由上不存在对应专线接口的除 SNAT策略外的专线策略时， 删除专线接口， 关闭 专线连接链路。 本发明还公开了一种私有云租户 间点对点单向动态专线 连接的系统。 本发明能够 将访问限制具体到端口和协议， 不允许业务需求 以外的任意非法访问， 使租户间的专线网络通道 更安全、 更灵活、 更高效。 权利要求书2页 说明书7页 附图3页 CN 114006909 A 2022.02.01 CN 114006909 A 1.一种私有云租户间点对点单向动态专线连接的方法， 其特征在于， 所述方法包括以 下步骤： 步骤S1.通过两台虚拟机作为源租户和目标租户的云路由并开启内核数据包转 发， 云平台控制节点向源租户云路由的宿主物理机H1发送调度指令， 宿主物理机H1在其内 部虚拟交换机上生成一个虚拟端口HP1； 步骤S2.在源租户云路由所属的虚拟机上动态热添加一个虚拟网卡P1， 将虚拟网卡P1 连接到HP1并通过网桥连通业务网大二层网络， 在虚拟网卡P1上设置目标虚拟机所属虚拟 子网1的VLAN， 将所述虚拟网卡P1接入目标虚拟机所属的虚拟子网1， 在所述虚拟 网卡P1上 分配所属虚拟子网1的IP地址， 将P1标记为专线接口并在源租户云路由上添加 禁止任何数 据包通过专线接口P1转发的策略； 步骤S3.云平台管控节点通过管理网向源租户云路由发送增加SNAT策略的源地址转化 指令， SNAT策略在收到符合要求的网络数据包时， 将数据包中的源IP地址转换为专线接口 的IP地址， 同时在源租户云路由添加允许源虚拟机IP到目标虚拟 机IP、 端口、 协 议的数据包 转发策略； 步骤S4.根据增加的SNAT策略和允许的转发策略， 数据包从专线接口发送到目标虚拟 机上； 步骤S5.云平台管控节点通过管理网向源租户云路发送指令， 在源租户云路由上删除 源地址转化指 令对应的SNAT 策略， 同时删除允许源虚拟 机IP到目标虚拟 机IP、 端口、 协 议的 数据包转发策略， 同时删除云路由内核中的跟踪表对应的连接； 步骤S6.当源租户云路由专线接口上不存在SNAT专线策略时， 删除对应专线接口， 并关 闭专线连接链路。 2.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法， 其特征 在于， 所述 步骤S1包括：  虚拟端口HP1通过网桥接入宿主物理机业 务网网卡。 3.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法， 其特征 在于， 所述步骤S2 中将虚拟 网卡P1连接到HP1以连通业务网大二层网络的方法包括：  当源 虚拟机直接请求目标虚拟机IP地址时， 识别到目标地址不在当前子网内， 则将数据包发往 源虚拟机自己的网关LAN1中， 数据包将经业 务网大二层网络送达网关。 4.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法， 其特征 在于， 所述 步骤S2还 包括： 虚拟网卡P1与目标虚拟机在物理链路层可达； 云路由系统对调度完成后的虚拟网卡及IP地址进行识别， 所述虚拟网卡作为源租户云 路由的专线接口P1， 同时在 源租户云路由上添加禁止任何数据包通过专线接口P1转 发的策 略， 以防止专线接口被未 经允许的网络请求利用。 5.根据权利要求1所述的一种私有云租户间点对点单向动态专线连接的方法， 其特征 在于， 所述步骤S3中的SNAT策略包括：  当云路由上的网关接口LAN1收到数据包,并且数据 包中的源IP地址、 目标IP地址、 目标端口和网络协 议均能与开通需求匹配时， 将数据包源地 址转换为专线接口P1的IP地址； 同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、 端 口、 协议的数据包转发 策略。 6.根据权利要求3所述的一种私有云租户间点对点单向动态专线连接的方法， 其特征 在于， 所述步骤S4包括：  当源租户下另一台虚拟 机需要访问目标虚拟 机或与其相同虚拟子权　利　要　求　书 1/2 页 2 CN 114006909 A 2网的其它虚拟 机时， 复用已存在的专线接口P1， 并在 源租户云路由上增加一条SNAT策略， 同 时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、 端口、 协议的数据包转发策略； 当另一租户的虚拟机也同时需要访问目标虚拟机时， 在目标虚拟机所在虚拟子网内寻 找一个空闲IP地址， 并在所述租户的云路 由上增加一条SNAT策 略， 同时在源租户云路 由添 加允许源虚拟机IP到目标虚拟机IP、 端口、 协议的数据包转发策略； 当源租户下的虚拟机同时需要访问其它租户的目标虚拟子网时， 在源租户云路由上再 增加一个专线接口P2， 同时在 源租户云路由上添加禁止任何数据包通过专线接口P2 转发的 策略， 以防止专线接口被未 经允许的网络请求利用； 并增加一条SNAT策略， 同时在源租户云路由添加允许源虚拟机IP到目标虚拟机IP、 端 口、 协议的数据包转发策略。 7.根据权利要求1所述的一种私有云租户间专线 网络连接的方法， 其特征在于， 所述步 骤S5包括：  当源地址转化指令对应的SNAT策略、 允许源虚拟 机IP到目标虚拟 机IP、 端口、 协 议的数据包转发策略和内核中的跟踪表对应的连接同时被删除时， 才能立即彻底的断开虚 拟专线连接 。 8.一种私有云租户间专线 网络连接的系统， 其特征在于， 包括源租户云路由、 目标租户 云路由、 云平台控制节点、 虚拟交换机、 网桥和宿 主物理机， 其中：  源租户云路由， 用于开启 内核数据包转发； 用于在所属的虚拟机上动态热添加一个虚拟网卡P1， 将虚拟网卡P1连接 到HP1以连通业务网大二层网络， 在虚拟网卡P1上设置目标虚拟机所属的虚拟子网1的 VLAN， 将所述虚拟网卡P1接入目标虚拟 机所属的虚拟 子网1， 在所述虚拟网卡P1上分配所属 虚拟子网1的IP地址， 将P1标记为专线接口并在源租户云路 由上添加禁止任何数据包通过 专线接口转发的策略； 用于添加允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策 略； 用于删除源地址转化指令对应的SNAT策略， 同时删除允许源虚拟机IP到目标虚拟机IP 或端口的数据包转 发策略； 用于 当不存在应用于对应专线接口的除SNAT 策略外的专线 策略 时， 删除对应专线接口， 并关闭专线连接链路；  目标租户云路 由， 开启内核数据包转发， 令 用于常规路由， 不会用作专线连接的中转设备； 有且只有当源租户和目标租户的角色互换 时， 即需要从目标租户反向地向源租户建立点对点动态专线连接时， 同理地在其云路由上 实施相同的专线接口和策略即可；  云平台控制节点用于连接源租户云路由的宿主物理机 H1； 用于发送调度指令； 用于通过管理网向源租户云路 由发送增加SNAT策 略的源地址转化 指令， SNAT策略在收到符合要求的网络数据包时， 将数据包中的源IP地址转换为专线接口 的IP地址； 用于通过管理网向源租户云路发送指令， 在源租户云路由上删除源地址转化指 令对应的SNAT策 略， 同时删除允许源虚拟机IP到目标虚拟机IP或端口的数据包转发策略， 同时删除内核中的跟踪表对应的连接； 用于通过管理网向源租户云路发送指令； 用于删除 内核中的跟踪表对应的连接； 虚拟交换机用于通过其虚拟端口HP1连接云路由的专线接口 P1与物理机 H1上的网桥； 网桥用于连接专线接口P1与物理机 H1的业务网物理网卡； 宿主物理机， 用于在其内部虚拟交换机上生成一个虚拟端口HP1。权　利　要　求　书 2/2 页 3 CN 114006909 A 3