[发明专利]一种建立在虚拟机上的虚拟网络隔离系统及实现方法

权利要求书

1.一种建立在虚拟机上的虚拟网络隔离系统，包括带有防火墙的路由器、 物理服务器以及多个客户机，所述物理服务器内包括有多个虚拟机，每个虚拟 机服务于部分客户机，所述虚拟机内设置有VM虚拟网卡，其特征在于，所述 物理服务器内还设置有

位于各虚拟机间，用于隔离虚拟机、使虚拟机之间的信息无法互相发送和 接收的隔离墙；

所述客户机通过带有防火墙的路由器与虚拟机，具体是与物理服务器里其 所属的虚拟机相连。

2.根据权利要求1所述建立在虚拟机上的虚拟网络隔离系统，其特征在于，

所述建立在虚拟机上的虚拟网络隔离系统还包括有端口通讯限制模块，所 述端口通讯限制模块用于限制各客户机与其所属的虚拟机之间的端口通讯。

3.根据权利要求2所述建立在虚拟机上的虚拟网络隔离系统，其特征在于， 所述端口通讯限制模块包括：

多个用于接入到Tunnel虚拟集线器、构成虚拟局域网一部分的Tunnel虚拟 网卡；所述Tunnel虚拟网卡内置于客户机及客户机所属的虚拟机；

用于多个Tunnel虚拟网卡的接入、组成虚拟局域网的Tunnel虚拟集线器， 所述Tunnel虚拟集线器内置于虚拟机中。

4.一种建立在虚拟机上的虚拟网络隔离方法，其特征在于，包括以下步骤：

(1)首先在虚拟机之间建立虚拟机隔离墙；

(2)在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器；在虚拟机里面为各个客户机设置Tunnel的接 入账号和密码，在虚拟机的Tunnel虚拟网卡上建立端口通讯限制；

(3)在带有防火墙的路由器里，设置虚拟机对应的端口映射；

(4)在各客户机上安装Tunnel虚拟网卡，配置其所属虚拟机所在的Internet IP地址及保存其Tunnel的接入账号和密码，并让该Tunnel虚拟网卡接入所属虚 拟机的虚拟集线器。

5.根据权利要求4所述建立在虚拟机上的虚拟网络隔离方法，其特征在于，

所述步骤(1)具体包括以下步骤：

(1.1)将VM虚拟网卡所在网络的IP子网信息、任意端口、任意协议这些 配置信息，配合阻止的筛选器操作，写入一个新建的vm.ini配置文件中；

(1.2)把vm.ini配置文件中的配置信息构造成Ipseccmd命令，把这些命令 作为ProcessStartInfo对象的一个属性，然后把该ProcessStartInfo对象作为Process 对象的一个参数启动一个进程，通过Ipseccmd动态模式，把vm.ini配置文件的 信息写入IP安全策略。

6.根据权利要求4所述建立在虚拟机上的虚拟网络隔离方法，其特征在于， 所述步骤(2)具体包括以下步骤：

(2.1)在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器；

(2.2)在虚拟机里面为各个客户机设置Tunnel的接入账号和密码；并设置 Tunnel端口，不同虚拟机Tunnel端口不能相同；

(2.3)将Tunnel虚拟网卡所在网络的IP子网信息、任意端口及任意协议这 些配置信息，配合阻止的筛选器操作，写入一个新建的t1.ini配置文件中；

把Tunnel虚拟网卡的子网IP、需要通过的端口、需要通过的协议这些配置 信息，配合许可的筛选器操作，写入另外一个新建的t2.ini配置文件中；

(2.4)将t1.ini和t2.ini配置文件中的配置信息构造成Ipseccmd命令，把这 些命令作为ProcessStartInfo对象的一个属性，然后把该ProcessStartInfo对象作 为Process对象的一个参数启动一个进程，通过Ipseccmd动态模式，把配置文 件的信息写入IP安全策略。