IPv6与分布式虚拟防火墙

CVK虚拟化内核系统集成了分布式双栈虚拟防火墙，虚拟机业务同时支持IPv4和IPv6两种协议栈，既能与支持IPv4协议的节点通信，又能与支持IPv6协议的节点通信。虚拟机操作系统内的IPv4和IPv6网络地址可以通过手工在虚拟机操作系统内指定，也可以通过H3C UIS超融合管理软件界面配置下发。此时，虚拟机操作系统内的CAStools工具软件会自动设置虚拟网卡的IPv4和IPv6地址。同时，结合客户业务访问控制规则，在H3C UIS超融合管理平台中可以配置符合业务访问控制需求的安全规则，针对HTTP、HTTPS、DNS、SSH、RDP、MySQL等基于状态和连接的常用应用协议进行安全规则配置，并下发到虚拟化主机内核的IPv4和IPv6流表中，当虚拟机业务通过虚拟网卡接收或发送网络流量时，分布式双栈虚拟防火墙将对这些流量进行规则匹配，允许或禁止流量经过，从而实现虚拟机业务访问安全。虚拟机发生迁移后，IPv4和IPv6流表同步跟随，实现网络的随需而动。

图-1 IPv4 & IPv6双栈式虚拟化内核转发平面