在云计算技术越来越成熟的趋势下,虚拟机流量的安全防护问题也成为了云提供商以及用户关注的热点。目前各大云解决方案提供商或者在自己的云平台内部实现虚拟机流量的安全防护问题,或者与第三方的安全厂商合作来解决云平台的安全问题。目前在H3C的CAS云平台中虚拟机的流量安全防护功能并未实现。所以为了给用户提供一个安全可靠的环境,也为了提高CAS云平台在业界的竞争力,本论文基于CAS云平台来实现虚拟机流量安全防护的功能。本论文针对CAS云平台的功能不足,结合用户的需求以及CAS云平台的现状来设计实现虚拟机流量安全防护的功能。本论文在阐述了CAS云平台的基本原理和实现的逻辑架构的基础上,介绍了本论文功能设计与实现的相关技术,分析了本论文的展开过程和应用需求;设计了每个模块的实现原理和方法。通过两个不同深度的层次来实现云平台虚拟机流量的安全防护,分为CAS集成的ACL功能来实现虚拟机流量的简单防护和和借助第三方的虚拟防火墙来实现虚拟机流量的深度防护。ACL主要根据用户的配置生成的Openvswitch多级流表来控制虚拟机流量的转发,从而达到虚拟机流量控制策略;引流则是通过设计控制规则将虚拟机的流量引入到第三方虚拟防火墙中,借助虚拟防火墙来进行虚拟机流量的防护。本文功能设计的核心主要是基于OpenFlow来设计实现多级流表,虚拟机配置的流量控制策略最终会被解析为多级流表下发到虚拟机端口所在的桥上,虚拟机的流量控制最终通过匹配多级流表来控制。基于CAS云平台的逻辑架构,本论文功能的实现主要从以下几个模块来展开:基于Libvirt设计用户配置、Libvirt解析用户配置、OVS-Agentd维护用户配置流表、基于Openvs witch控制虚拟机流量转发逻辑。对于ACL和引流两个功能,每一个模块的偏重都有所不同。由于引流的逻辑比较复杂所以多级流表的设计主要核心工作是设计引流流表;由于ACL的用户配置比较复杂所以Libvirt解析用户配置的核心工作主要是解析ACL配置;创建一个新的进程OVS-Agentd作为Libvirt和OVS的中间层来维护多级流表,包括增删改查等主要功能;最后Openvswitch基于多级流表控制虚拟机流量转发过程。在设计实现此功能后,将此功能部署到CAS云平台上,并且配置好环境。用户通过界面配置虚拟机,最后能够查看到用户配置的多级流表。用户虚拟机在发送流量时,CAS平台能够根据配置控制虚拟机的流量转发过程。分析测试结果,本功能的实现能够达到控制虚拟机流量转发的目的。