CN103118149A - 同一租户内服务器间的通信控制方法及网络设备 - Google Patents
同一租户内服务器间的通信控制方法及网络设备 Download PDFInfo
- Publication number
- CN103118149A CN103118149A CN2013100677614A CN201310067761A CN103118149A CN 103118149 A CN103118149 A CN 103118149A CN 2013100677614 A CN2013100677614 A CN 2013100677614A CN 201310067761 A CN201310067761 A CN 201310067761A CN 103118149 A CN103118149 A CN 103118149A
- Authority
- CN
- China
- Prior art keywords
- server
- message
- gateway device
- group character
- locality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
Abstract
本发明实施例公开了同一租户内服务器间的通信控制方法及网络设备。网关设备接收源服务器发送的第一报文;所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;所述网关设备发送所述第二报文。该方法实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
Description
技术领域
本发明涉及通信技术领域,特别是涉及同一租户内服务器间的通信控制方法及网络设备。
背景技术
为了在一张物理网络内部署多个租户/用户的业务,标准组织开发了虚拟局域网(Virtual Local Area Network,VLAN)技术来实现网络虚拟化,把一张物理网络划分成4K个逻辑网络,逻辑网络之间彼此隔离。实际使用中,不同的逻辑网络被分配给不同的租户/用户使用,来实现同一张物理网络中部署多个租户/用户的需求。
然而,随着网络规模的不断增大、业务需求的不断增多,4K的虚拟网络已经不足以满足大量的租户/用户的接入需要。尤其在数据中心领域,租户/用户数量的急剧增加导致了网络虚拟化能力成为组网瓶颈。基于此,业界推出了NVGRE(Network Virtualizationusing Generic Routing Encapsulation,使用GRE(通用路由封装)技术实现二层网络虚拟化的协议)和VXLAN(Virtual eXtensible Local Area Network,虚拟可扩展局域网)技术,在优化网络转发和资源利用的同时,还极大的提升了网络承载多租户的能力。
NVGRE和VXLAN都是MAC-in-IP技术,通过对用户的ETH报文执行封装和转发,实现大规模的二层组网。NVGRE和VXLAN分别定义了VSID(Virtual Subnet Identifier)和VNI(VXLAN Network Identifier),来标识不同的虚拟网络,VXLAN或NVGRE用VNI或VSID来代替VLAN技术中的VLAN-ID控制广播域,因此报文不再需要封装VLAN-ID,而是直接在报文外面封装VNI或VSID和外层报文头。此时,从网络的角度看,VNI或VSID作为逻辑网络的标识控制着广播域的范围,相同VNI或VSID的报文属于同一个逻辑网络,允许互通;不同VNI或VSID的报文属于不同的逻辑网络,不允许互通。从应用的角度看,VNI或VSID代表了租户标识,同一个VNI或VSID下的服务器属于同一个租户,不同VNI或VSID下的服务器属于不同的租户。
然而,现有技术中为每个租户分配一个VNI或VSID,而同一个VNI或VSID内的服务器可以完全互通,无法做到服务器间的互通或隔离控制。
发明内容
本发明提供了一种同一租户内服务器间的通信控制方法及网络设备,能够实现同一租户内服务器间的互通/隔离控制。
本发明第一方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:
网关设备接收源服务器发送的第一报文;
所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识;所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;
所述网关设备发送所述第二报文。
结合上述第一方面,在第一种可能的实现方式中,在所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,还包括:
所述网关设备获取所述第一报文的目的服务器的服务器分组标识;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得所述第二报文。
结合上述第一方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
结合上述第一方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,在第三种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:
所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
结合上述第一方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,和/或第三种可能的实现方式,在第四种可能的实现方式中,所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,包括:
如果所述第一报文为虚拟可扩展局域网协议报文,所述网关设备在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,
如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文,所述网关设备在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
本发明第二方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:
所述网关设备接收源服务器发送的报文;
所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
所述网关设备在所述互通校验通过后发送所述报文。
结合上述第二方面,在第一种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
结合上述第二方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:
所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
本发明第三方面提供一种同一租户内服务器间的通信控制方法,所述方法包括:
所述网关设备接收报文;
所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识;
当所述报文中携带所述报文的源服务器的服务器分组标识时,所述网关设备获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。
结合上述第三方面,在第一种可能的实现方式中,在所述网关设备根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
结合上述第三方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述网关设备对本地同一租户内的服务器进行分组包括:
所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
本发明第四方面还提供一种网关设备,包括:
接收单元,用于接收源服务器发送的第一报文;
存储单元,用于存储分组标识配置表;
第一获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
报文生成单元,用于在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;
发送单元,用于发送所述第二报文。
结合上述第四方面,在第一种可能的实现方式中,还包括:
第二获取单元,用于在所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,获得所述目的服务器的服务器分组标识;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再由所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
结合上述第四方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,还包括:
分组单元,用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
结合上述第四方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,在第三种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
结合上述第四方面,和/或第一种可能的实现方式,和/或第二种可能的实现方式,和/或第三种可能的实现方式,在第四种可能的实现方式中,所述报文生成单元,具体用于当所述第一报文为虚拟可扩展局域网协议报文时,在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的协议报文时,在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
本发明第五方面还提供一种网关设备,包括:
接收单元,用于接收源服务器发送的报文;
存储单元,用于存储分组标识配置表;
标识获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
发送单元,用于在互通校验通过后发送所述报文。
结合上述第五方面,在第一种可能的实现方式中,还包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
结合上述第五方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
本发明第六方面还提供一种网关设备,包括:
存储单元,用于存储分组标识配置表;
接收单元,用于接收报文;
确定单元,用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
标识获取单元,用于当所述确定单元确定所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
发送单元,用于在所述互通校验通过后向所述目的服务器发送所述报文。
结合上述第六方面,在第一种可能的实现方式中,还包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
结合上述第六方面,和/或第一种可能的实现方式,在第二种可能的实现方式中,所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
本发明通过网关设备生成各服务器的SGID,然后在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种同一租户内服务器间的通信控制方法流程图;
图2为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;
图3为本发明实施例中获得分组标识配置表的方法流程图;
图4为本发明实施例中VXLAN/NVGRE的网络拓扑架构示意图;
图5~8为本发明实施例的报文结构示意图;
图9为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;
图10为本发明实施例另一种同一租户内服务器间的通信控制方法流程图;
图11为本发明实施例一种网关设备的结构示意图;
图12为本发明实施例另一种网关设备的结构示意图;
图13为本发明实施例另一种网关设备的结构示意图;
图14为本发明实施例另一种网关设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图1,为本发明实施例一种同一租户内服务器间的通信控制方法流程图。
该方法可以包括:
步骤101,网关设备接收源服务器发送的第一报文。
本发明实施例中,该“第一”和“第二”仅为了区分不同的报文,并非特指或限定。
在本步骤中,网关设备接收源服务器发送的第一报文,该第一报文中除了包含数据信息外,还可以包含源服务器及目的服务器的地址信息,如MAC地址。
步骤102,网关设备根据本地存储的分组标识配置表获取源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
网关设备存储有分组标识配置表,该配置表中存储有该网关设备预先为本地的同一租户内服务器生成的服务器分组标识(Server Group Identifier,SGID),该服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。其中,网关设备本地的服务器也即该网关设备下连接的服务器。不同租户通过VNI或VSID进行标识和隔离,每个租户只分配一个VNI或VSID,不同VNI或VSID的报文属于不同的逻辑网络,不允许互通,相同VNI或VSID的报文属于同一个逻辑网络,本实施例中,通过对同一租户下的各服务器设置SGID,来控制同一租户下各服务器之间的互通或隔离。
网关设备在接收到第一报文后,可以根据该第一报文中源服务器的MAC地址或源服务器的接入端口等信息查找本地存储的分组标识配置表,获得该源服务器的SGID。
步骤103,网关设备在第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
网关设备在获得源服务器的SGID后,在第一报文的预留字段或未定义明确用途的字段上,或者在第一报文的扩展字段或新增字段上添加该源服务器的SGID,获得第二报文。
该获得第二报文的过程还可以包含其他现有技术的报文生成过程,例如在添加了源服务器的SGID的报文外面封装VXLAN或NVGRE报文头等。
步骤104,网关设备发送所述第二报文。
网关设备在获得第二报文后,在发送第二报文之前还可以包含其他现有技术步骤,例如查找该第一报文所属的VNI或VSID,然后基于VNI或VSID,以第一报文的目的MAC地址为索引查询转发表,获取该第一报文在VXLAN或NVGRE网络上的出口网关。然后,网关设备发送该第二报文。
对端的网关设备在接收到第二报文后,根据本地存储的分组标识配置表获取该第二报文的目的服务器的SGID,然后对第二报文中包含的源服务器的SGID和获得的目的服务器的SGID进行互通校验,该校验过程具体依据预先设置的互通规则进行校验,在校验通过后,也即表明源服务器和目的服务器之间可以相互通信,然后再向目的服务器转发该第二报文,若校验不通过,则不向目的服务器转发该第二报文,可以丢弃该第二报文,以禁止源、目的服务器之间的互通。
当然该转发过程中还可以包含其他现有技术的报文处理过程,例如剥离第二报文的VXLAN/NVGRE外层头,提取VNI或VSID信息,然后基于VNI或VSID,以报文目的MAC地址为索引查询转发表,获取该第二报文在本网关设备的用户侧的出口,然后按照该出口将报文发送至目的服务器。
本发明实施例通过网关设备生成各服务器的SGID,然后在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通/隔离控制。
在本发明的另一实施例中,如图2所示,在网关设备在第一报文中添加源服务器的SGID,获得第二报文之前,还可以包括:
步骤201,网关设备获取第一报文的目的服务器的SGID。
网关设备在接收到上述第一报文后,或在获取到源服务器的SGID之后,可以进一步执行本步骤,获得目的服务器的SGID。
该网关设备获得目的服务器的SGID的方法,可以是在网关设备本地预先存储有其他网关设备发送的服务器的SGID;也可以是网关设备在执行源MAC学习的时候,同时学习源服务器的SGID,从而获得其他网关设备下的服务器的SGID,具体的,网关设备本地生成的只是本地各个服务器的SGID,最初网关设备本地还没有上述第一报文的目的服务器的MAC表,也就没有目的服务器的SGID,后续通过数据报文学习MAC地址时同步学习并保存SGID,这样网关设备就可以学习获得其他网关设备下的服务器的SGID了。这两种情况下,该网关设备可以根据第一报文中的目的服务器的相关标识信息如MAC地址等在本地查找获得目的服务器的SGID。
该网关设备获得目的服务器的SGID的方法,也还可以是网关设备在接收到第一报文后,获取其中目的服务器的标识信息如MAC地址,并向该第一报文的出口网关也即对端的网关设备请求获得该目的服务器的SGID等等。
步骤202,网关设备对源服务器的SGID和目的服务器的SGID进行互通校验。
网关设备在获得源服务器的SGID和目的服务器的SGID后,根据互通规则进行互通校验。该校验过程与前述实施例中网关设备对源服务器的SGID和目的服务器的SGID进行互通校验的过程类似。
在上述互通校验通过后,网关设备再执行上述步骤103,由网关设备在第一报文中添加源服务器的SGID,获得第二报文。若校验不通过,则网关设备可以不执行后续动作,而直接丢弃第一报文,终止源、目的服务器之间的通信。
若互通校验通过,网关设备执行上述步骤103~104,网关设备接收第二报文后可以不再执行SGID校验,也可重复执行SGID校验,虽然因为在网关设备处理中已经执行了SGID的校验,但是考虑到校验的严格以及临时的生成变更,对端的网关设备可以重复执行一次SGID的校验动作。
本发明实施例对网络设备的改动很小,易于实现。而且,在网关设备处增加校验过程,可以对禁止互通的服务器之间的报文直接进行处理,如丢弃,而无需传输至对端网关设备后再进行处理,因此,本实施例方法相比较前述实施例方法可以减少禁止互通的服务器间的报文对网络带宽的占用,减少了网络带宽的额外消耗。
在本发明的另一实施例中,在网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,如图3所示,该方法还可以包括:
步骤301,网关设备对本地同一租户内的服务器进行分组。
步骤302,网关设备为所述分组分配标识,生成分组标识配置表。
具体的,各网关设备可以约定把同一租户内的服务器分为三类:公共服务器、团体服务器、隔离服务器,并约定互通规则,该互通规则表明了哪些服务器之间可以通信,哪些服务器之间不能通信。如下面表格所示:
若基于本实现例中报文封装格式的定义,SGID可以占用8个bit,共256个取值。公共服务器的SGID为0,隔离服务器的SGID为255,各自只占用一个ID。团体服务器的SGID取值为1~254,占用254个ID。即:一个租户可以把自己的服务器分成一组公共服务器、一组隔离服务器、多组团体服务器。
对于不支持服务器分组的VNI或VSID,SGID字段取值可以0,即允许所有服务器互通。
如果VNI或VSID内某些服务器没有生成SGID,则这些服务器的SGID取值也可以为0,允许和其他所有服务器互通。
在上述实施例中,网关设备在获得源服务器的SGID和目的服务器的SGID后,根据两SGID及上表格中的互通规则进行互通校验,例如,若源服务器的SGID为0,目的服务器的SGID为0~255中任意值,则源、目的服务器之间可以互通;若源服务器的SGID为1~254中任意值,则当目的服务器为0或与源服务器的SGID值相同时,源、目的服务器之间可以互通,否则禁止互通;若源服务器的SGID为255时,当目的服务器至0时,源、目的服务器之间可以互通,否则禁止互通。
在具体实现时,可以在网关设备的转发流程中添加对服务器分组的匹配校验机制。SGID的匹配校验算法的逻辑判断如下:
IF(源SGID==0||宿SGID==0)/*源宿存在公共服务器*/
允许互通
ELSE IF(源SGID==255||宿SGID==255)/*非公共服务器,并且存在隔离服务器*/
禁止互通
ELSE IF(源SGID==宿SGID)/*源宿属于同一个团体服务器分组*/
允许互通
ELSE/*源宿都属于团体服务器分组,但是不属于同一个分组*/
禁止互通
在本发明的另一实施例中,网关设备对本地同一租户内的服务器进行分组的方法可以有以下几种:
方式一,网关设备基于网关设备的端口对本地同一租户内的服务器进行分组。
如图4所示为典型的VXLAN/NVGRE的网络拓扑架构。其中,Server1(虚拟化服务器)和Server2(非虚拟化服务器)不支持VXLAN/NVGRE,需要通过VXLAN/NVGRE网关设备Switch(交换机)1接入到VXLAN/NVGRE网络中;Server3~5支持VXLAN/NVGRE,服务器内部的Hypervisor(虚拟化平台)作为VXLAN/NVGRE网关,把服务器内的各个VM(虚拟机)接入到VXLAN/NVGRE网络中;对于不支持VXLAN/NVGRE的传统ETH网络(图中右上角的网络),也需要通过Switch1接入到VXLAN/NVGRE网络中。
网关设备在基于网关设备的端口(物理端口或虚拟端口)为本地同一租户内的服务器分组时,Server3~5内的VM,和Hypervisor通过VIF(虚拟接口)互联,此时可以基于VIF来对各个VM分组并分配SGID。Server2以物理服务器的形态直接接入Switch1,可以基于该物理端口为Server2进行分组并分配SGID。
方式二,网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组。
基于服务器的MAC地址来分组并分配SGID,适用于图4所示拓扑图中所有的服务器(包括物理服务器、虚拟机)。
方式三,网关设备基于服务器报文中携带的CVLAN-ID(Customer VLAN Identifier,用户端虚拟局域网标识)为本地同一租户内的服务器进行分组,并分配服务器分组标识,其中,不同的服务器分组具有不同的CVLAN-ID。
该方式适用于接入VXLAN/NVGRE网络的用户报文携带CVLAN,并且CVLAN已经定义了服务器分组情况的场景。比如,对于拓扑图中的ETH Network和Server1内的各个终端,如果在接入VXLAN/NVGRE网络之前已经部署了服务器分组,并使用CVLAN对各个服务器分组做了标识,那么在VXLAN/NVGRE网关上,可以基于用户报文携带的CVLAN-ID来分配SGID,每个CVLAN-ID分配一个SGID。
网关设备为本地服务器分配的SGID信息,可以存储在转发表(如:端口表)中,以便报文转发处理的过程中,可以获取该信息。
在本发明的另一实施例中,网关设备在第一报文中添加源服务器的SGID时,可以对现有技术中的报文格式进行扩展。对于VXLAN/NVGRE报文可以不用新增加字段,而是直接利用标准VXLAN/NVGRE报文中的预留字段或未定义明确用途的字段。所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,可以包括:
对于NVGRE报文中GRE Hearder的格式,如图5所示,在标准定义中,FlowID字段属于可选字段,只用来进一步标识每个flow,没有定义具体的使用要求,可以借用该字段,来携带SGID。
如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文,所述网关设备在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。如图6所示,也可以使用Reserved0的后8个bit来携带SGID。
对于VXLAN报文中VXLAN Header的格式,如图7所示,可以借用最后的一个字节Reserved字段,用来携带SGID。
如果所述第一报文为虚拟可扩展局域网协议报文,所述网关设备在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文。如图8所示,可以使用VNI前面的Reserved字段的第一个字节来携带SGID。
SGID可以占用8个bit,取值范围是0~255。当然,在具体实现时,可以基于设备能力、分组规模等需求,定义SGID占用的bit数,本发明并不限定必须使用8个bit作为SGID。
参见图9,为本发明实施例另一种同一租户内服务器间的通信控制方法流程图。
本发明实施例与前述实施例的区别在于:互通校验只在发送上述第二报文的网关设备中进行,而不在接收上述第二报文的网关设备中进行。
该方法可以包括:
步骤901,网关设备接收源服务器发送的报文。
步骤902,网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
本步骤中,网关设备可以在本地查找预先为源服务器生成的SGID。该网关设备获得报文的目的服务器的SGID具体可以与前述实施例中的步骤201类似,此处不再赘述。
步骤903,网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验。
该检验过程具体可以与前述实施例中的校验过程类似。
步骤904,网关设备在上述互通校验通过后发送所述报文。
在互通校验通过后,网关设备不在报文中添加源服务器的SGID,而直接按照现有流程转发该报文。由于该报文中没有添加源服务器的SGID,收到该报文的网关设备不需要对该报文进行互通校验。
本发明实施例在接入网关设备处设置校验过程,可以对禁止互通的服务器之间的报文直接进行处理,如丢弃,而无需传输至网关设备后再进行处理,本实施例方法可以减少禁止互通的服务器间的报文对网络带宽的占用,减少了网络带宽的额外消耗。
在本发明的另一实施例中,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
网关设备对本地同一租户内的服务器进行分组包括:
网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
参见图10,为本发明实施例另一种同一租户内服务器间的通信控制方法流程图。
本发明实施例与图1所示实施例的区别在于,本实施例以对端网关设备也即接收第二报文的网关设备作为执行主体进行描述。
该方法可以包括:
步骤,1001,网关设备接收报文。
该网关设备接收网络侧发送的报文,具体可以是其他网关设备转发的报文。
步骤1002,网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识。
如果报文中携带了源服务器的SGID,则网关设备执行步骤1003,否则就直接转发该报文。
步骤1003,网关设备获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
该网关设备获取报文中的源服务器的SGID,并进一步在分组标识配置表中查找获得该报文的目的服务器的SGID。
步骤1004,网关设备对源服务器的服务器分组标识和目的服务器的服务器分组标识进行互通校验。
该互通校验过程与前述实施例的步骤202中网关设备对源服务器的服务器分组标识和目的服务器的服务器分组标识进行互通校验的过程类似,此处不再赘述。
步骤1005,网关设备在上述互通校验通过后向目的服务器发送该报文。
在互通校验通过后,网关设备按照现有流程向目的服务器转发该报文。
本发明实施例通过网关设备生成各服务器的SGID,然后在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
在本发明的另一实施例中,在所述网关设备根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,所述方法还包括:
网关设备对本地同一租户内的服务器进行分组;
网关设备为所述分组分配标识,生成所述分组标识配置表。
网关设备对本地同一租户内的服务器进行分组,包括:
网关设备基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
本发明实施例中,该服务器可以是物理服务器也可以是虚拟机等,本发明方法可以应用于VXLAN/NVGRE的网络架构。
以上是对本发明方法实施例的描述,下面对实现上述方法的装置进行介绍。
参见图11,为本发明实施例一种网关设备的结构示意图。
该网关设备1100可以包括:
接收单元1101,用于接收源服务器发送的第一报文。
存储单元1102,用于存储分组标识配置表。
第一获取单元1103,用于根据所述存储单元1102存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
报文生成单元1104,用于在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
发送单元1105,用于发送所述第二报文。
另一网关设备在接收到所述第二报文后,获取所述第二报文的目的服务器的服务器分组标识,并对所述第二报文中所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再向所述目的服务器转发所述第二报文。
本发明实施例中该网关设备通过上述单元生成各服务器的SGID,并将服务器的SGID添加至报文中,以便于在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
在本发明的另一实施例中,如图12所示,该网关设备1200还可以包括:
第二获取单元1201,用于在报文生成单元1104在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,获得所述第一报文的目的服务器的服务器分组标识;
校验单元1202,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再由所述报文生成单元1104在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
在本发明的另一实施例中,该网关设备也还可以包括:
分组单元,用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
该分组单元,具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
在本发明的另一实施例中,报文生成单元,具体可以用于对于虚拟可扩展局域网协议,在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识;对于使用通用路由封装技术实现二层网络虚拟化的协议,在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识。
参见图13,为本发明实施例另一种网关设备的结构示意图。
该网关设备1300可以包括:
接收单元1301,用于接收源服务器发送的报文。
存储单元1302,用于存储分组标识配置表。
标识获取单元1303,用于根据所述存储单元1302存储的分组标识配置表获取所述源服务器的服务器分组标识,并获得所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
校验单元1304,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验。
发送单元1305,用于在互通校验通过后发送所述报文。
本发明实施例中该网关设备通过上述单元在接收到用户侧报文时设置校验过程,可以对禁止互通的服务器之间的报文直接进行处理,如丢弃,而无需传输至对端网关设备后再进行处理,本实施例可以减少禁止互通的服务器间的报文对网络带宽的占用,减少了网络带宽的额外消耗。
在本发明的另一实施例中,该网关设备还可以进一步还包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
参见图14,为本发明实施例另一种网关设备的结构示意图。
该网关设备1400可以包括:
存储单元1401,用于存储分组标识配置表。
接收单元1402,用于接收报文。
确定单元1403,用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通。
标识获取单元1404,用于当所述确定单元1403确定所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据所述存储单元1401存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识。
校验单元1405,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验。
发送单元1406,用于在上述互通校验通过后向所述目的服务器发送所述报文。
本发明实施例中该网关设备通过上述单元生成各服务器的SGID,在服务器间进行通信时通过对服务器的SGID进行互通检验,并根据校验结果决定是否允许服务器间的互通,实现了同一个VNI或VSID内的服务器间的互通或隔离控制。
在本发明的另一实施例中,该网关设备还可以包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
在本发明的另一网关设备中,还可以同时包含图11(或图13)所示的各单元以及图14中所示的接收单元1402、确定单元1403、标识获取单元1404、校验单元1405、发送单元1406。
本发明实施例还提供了另一种网关设备。该网关设备可以包括收发装置、存储器和处理器。
所述收发装置,用于接收源服务器发送的第一报文;发送第二报文。
所述存储器用于存储一段程序,所述处理器用于读取所述存储器中的程序,执行以下步骤:
根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,将所述第二报文发送给所述收发装置。
本发明实施例还提供了另一种网关设备。该网关设备可以包括收发装置、存储器和处理器,
所述收发装置,用于接收源服务器发送的报文;在互通校验通过后发送所述报文;
所述存储器用于存储一段程序,所述处理器用于读取所述存储器中的程序,执行以下步骤:
根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,并在互通校验通过后将所述报文发送给所述收发装置。
本发明实施例还提供了另一种网关设备。该网关设备可以包括收发装置、存储器和处理器,
所述收发装置,用于接收源服务器发送的报文;在互通校验通过后向目的服务器发送所述报文;
所述存储器用于存储一段程序,所述处理器用于读取所述存储器中的程序,执行以下步骤:
确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
当所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识;
对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,并在互通校验通过后向所述收发装置发送所述报文。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (22)
1.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括:
网关设备接收源服务器发送的第一报文;
所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识;所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;
所述网关设备发送所述第二报文。
2.根据权利要求1所述的方法,其特征在于,在所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,还包括:
所述网关设备获取所述第一报文的目的服务器的服务器分组标识;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得所述第二报文。
3.根据权利要求1或2所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
4.根据权利要求3所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组包括:
所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID为对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
5.根据权利要求1至4中任意一项所述的方法,其特征在于,所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文,包括:
如果所述第一报文为虚拟可扩展局域网协议报文,所述网关设备在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,
如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文,所述网关设备在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
6.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括:
所述网关设备接收源服务器发送的报文;
所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
所述网关设备在所述互通校验通过后发送所述报文。
7.根据权利要求6所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
8.根据权利要求7所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组包括:
所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
9.一种同一租户内服务器间的通信控制方法,其特征在于,所述方法包括:
网关设备接收报文;
所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识;
当所述报文中携带所述报文的源服务器的服务器分组标识时,所述网关设备获取所述报文中的所述源服务器的服务器分组标识,并根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。
10.根据权利要求9所述的方法,其特征在于,在所述网关设备根据本地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,所述方法还包括:
所述网关设备对本地同一租户内的服务器进行分组;
所述网关设备为所述分组分配标识,生成所述分组标识配置表。
11.根据权利要求10所述的方法,其特征在于,所述网关设备对本地同一租户内的服务器进行分组,包括:
所述网关设备基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,
所述网关设备基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
12.一种网关设备,其特征在于,包括:
接收单元,用于接收源服务器发送的第一报文;
存储单元,用于存储分组标识配置表;
第一获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
报文生成单元,用于在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文;
发送单元,用于发送所述第二报文。
13.根据权利要求12所述的网关设备,其特征在于,还包括:
第二获取单元,用于在所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文之前,获得所述第一报文的目的服务器的服务器分组标识;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验,在校验通过后再由所述报文生成单元在所述第一报文中添加所述源服务器的服务器分组标识,获得第二报文。
14.根据权利要求12或13所述的网关设备,其特征在于,还包括:
分组单元,用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
15.根据权利要求14所述的网关设备,其特征在于,
所述分组单元,具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址为对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
16.根据权利要求12至15中任意一项所述的网关设备,其特征在于,
所述报文生成单元,具体用于当所述第一报文为虚拟可扩展局域网协议报文时,在所述第一报文的Reserved字段的第一个字节中添加所述源服务器的服务器分组标识,获得所述第二报文;或,当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的协议报文时,在所述第一报文的Reserved0的后8个bit中添加所述源服务器的服务器分组标识,获得所述第二报文。
17.一种网关设备,其特征在于,包括:
接收单元,用于接收源服务器发送的报文;
存储单元,用于存储分组标识配置表;
标识获取单元,用于根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识,并获取所述报文的目的服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
发送单元,用于在互通校验通过后发送所述报文。
18.根据权利要求17所述的网关设备,其特征在于,还包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述源服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
19.根据权利要求18所述的网关设备,其特征在于,
所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
20.一种网关设备,其特征在于,包括:
存储单元,用于存储分组标识配置表;
接收单元,用于接收报文;
确定单元,用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识,所述服务器分组标识用于表明服务器所属的分组,属于不同分组的服务器不能互通;
标识获取单元,用于当所述确定单元确定所述报文中携带所述报文的源服务器的服务器分组标识时,获取所述报文中的所述源服务器的服务器分组标识,并根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识;
校验单元,用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通校验;
发送单元,用于在所述互通校验通过后向所述目的服务器发送所述报文。
21.根据权利要求20所述的网关设备,其特征在于,还包括:
分组单元,用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前,对本地同一租户内的服务器进行分组;
标识生成单元,用于为所述分组分配标识,生成所述分组标识配置表。
22.根据权利要求21所述的网关设备,其特征在于,
所述分组单元,具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分组;或者,基于服务器的MAC地址对本地同一租户内的服务器进行分组;或者,基于服务器报文中携带的用户端虚拟局域网标识CVLAN-ID对本地同一租户内的服务器进行分组,其中,不同的服务器分组具有不同的CVLAN-ID。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067761.4A CN103118149B (zh) | 2013-03-04 | 2013-03-04 | 同一租户内服务器间的通信控制方法及网络设备 |
| PCT/CN2013/085322 WO2014134919A1 (zh) | 2013-03-04 | 2013-10-16 | 同一租户内服务器间的通信控制方法及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067761.4A CN103118149B (zh) | 2013-03-04 | 2013-03-04 | 同一租户内服务器间的通信控制方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103118149A true CN103118149A (zh) | 2013-05-22 |
| CN103118149B CN103118149B (zh) | 2016-06-29 |
Family
ID=48416419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310067761.4A Active CN103118149B (zh) | 2013-03-04 | 2013-03-04 | 同一租户内服务器间的通信控制方法及网络设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103118149B (zh) |
| WO (1) | WO2014134919A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973673A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 划分虚拟防火墙的方法和设备 |
| WO2014134919A1 (zh) * | 2013-03-04 | 2014-09-12 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
| CN104350714A (zh) * | 2014-05-29 | 2015-02-11 | 华为技术有限公司 | 一种报文转发方法和VxLAN网关 |
| CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| CN105490995A (zh) * | 2014-09-30 | 2016-04-13 | 国际商业机器公司 | 一种在nvo3网络中nve转发报文的方法和设备 |
| CN106850434A (zh) * | 2017-03-31 | 2017-06-13 | 联想(北京)有限公司 | 一种vxlan的传输控制方法、系统及处理设备 |
| CN107479964A (zh) * | 2016-06-08 | 2017-12-15 | 成都赫尔墨斯科技股份有限公司 | 一种云渲染系统 |
| CN107872335A (zh) * | 2016-09-26 | 2018-04-03 | 中国电信股份有限公司 | 安全服务方法和系统以及安全资源单元 |
| CN110535744A (zh) * | 2019-08-29 | 2019-12-03 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
| CN110650075A (zh) * | 2018-06-26 | 2020-01-03 | 华为技术有限公司 | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 |
| CN113949848A (zh) * | 2021-10-18 | 2022-01-18 | 重庆紫光华山智安科技有限公司 | 数据传输方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080092223A1 (en) * | 2006-10-16 | 2008-04-17 | Aruba Wireless Networks | Per-user firewall |
| CN101222497A (zh) * | 2007-01-11 | 2008-07-16 | 国际商业机器公司 | 用于配置对网络的客户接入的系统和方法 |
| CN102801729A (zh) * | 2012-08-13 | 2012-11-28 | 福建星网锐捷网络有限公司 | 虚拟机报文转发方法、网络交换设备及通信系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420762B (zh) * | 2011-12-05 | 2015-04-22 | 北京星网锐捷网络技术有限公司 | 报文转发方法、系统、网络设备和防火墙线卡 |
| CN103118149B (zh) * | 2013-03-04 | 2016-06-29 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
-
2013
- 2013-03-04 CN CN201310067761.4A patent/CN103118149B/zh active Active
- 2013-10-16 WO PCT/CN2013/085322 patent/WO2014134919A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080092223A1 (en) * | 2006-10-16 | 2008-04-17 | Aruba Wireless Networks | Per-user firewall |
| CN101222497A (zh) * | 2007-01-11 | 2008-07-16 | 国际商业机器公司 | 用于配置对网络的客户接入的系统和方法 |
| CN102801729A (zh) * | 2012-08-13 | 2012-11-28 | 福建星网锐捷网络有限公司 | 虚拟机报文转发方法、网络交换设备及通信系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014134919A1 (zh) * | 2013-03-04 | 2014-09-12 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
| CN103973673B (zh) * | 2014-04-09 | 2017-11-03 | 汉柏科技有限公司 | 划分虚拟防火墙的方法和设备 |
| CN103973673A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 划分虚拟防火墙的方法和设备 |
| CN105099953B (zh) * | 2014-04-28 | 2018-06-19 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
| EP2966815A4 (en) * | 2014-05-29 | 2016-04-13 | Huawei Tech Co Ltd | PACKET PROCESSING AND VXLAN GATEWAY |
| CN104350714B (zh) * | 2014-05-29 | 2018-06-05 | 华为技术有限公司 | 一种报文转发方法和VxLAN网关 |
| CN104350714A (zh) * | 2014-05-29 | 2015-02-11 | 华为技术有限公司 | 一种报文转发方法和VxLAN网关 |
| CN105490995A (zh) * | 2014-09-30 | 2016-04-13 | 国际商业机器公司 | 一种在nvo3网络中nve转发报文的方法和设备 |
| CN105490995B (zh) * | 2014-09-30 | 2018-04-20 | 国际商业机器公司 | 一种在nvo3网络中nve转发报文的方法和设备 |
| CN107479964A (zh) * | 2016-06-08 | 2017-12-15 | 成都赫尔墨斯科技股份有限公司 | 一种云渲染系统 |
| CN107872335A (zh) * | 2016-09-26 | 2018-04-03 | 中国电信股份有限公司 | 安全服务方法和系统以及安全资源单元 |
| CN107872335B (zh) * | 2016-09-26 | 2020-12-18 | 中国电信股份有限公司 | 安全服务方法和系统以及安全资源单元 |
| CN106850434A (zh) * | 2017-03-31 | 2017-06-13 | 联想(北京)有限公司 | 一种vxlan的传输控制方法、系统及处理设备 |
| CN106850434B (zh) * | 2017-03-31 | 2020-08-25 | 联想(北京)有限公司 | 一种vxlan的传输控制方法、系统及处理设备 |
| CN110650075A (zh) * | 2018-06-26 | 2020-01-03 | 华为技术有限公司 | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 |
| CN110535744A (zh) * | 2019-08-29 | 2019-12-03 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
| CN110535744B (zh) * | 2019-08-29 | 2021-12-24 | 新华三信息安全技术有限公司 | 报文处理方法、装置及Leaf设备 |
| CN113949848A (zh) * | 2021-10-18 | 2022-01-18 | 重庆紫光华山智安科技有限公司 | 数据传输方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103118149B (zh) | 2016-06-29 |
| WO2014134919A1 (zh) | 2014-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103118149A (zh) | 同一租户内服务器间的通信控制方法及网络设备 | |
| US11102059B2 (en) | Virtual network health checker | |
| CN103200069B (zh) | 一种报文处理的方法和设备 | |
| US9083645B2 (en) | Systems and methods providing reverse path forwarding compliance for a multihoming virtual routing bridge | |
| CN103095546B (zh) | 一种处理报文的方法、装置及数据中心网络 | |
| EP3282649B1 (en) | Data packet forwarding | |
| CN102801820B (zh) | 一种evi网络中mac地址发布方法和装置 | |
| CN103201989B (zh) | 控制数据传输的方法、装置和系统 | |
| CN103023827B (zh) | 一种虚拟化数据中心的数据转发方法及其实现设备 | |
| CN103404084B (zh) | Mac地址强制转发装置及方法 | |
| CN104221331B (zh) | 用于以太网交换机的没有查找表的第2层分组交换 | |
| CN104350467A (zh) | 用于使用sdn的云安全性的弹性实行层 | |
| JP6722816B2 (ja) | パケット転送 | |
| CN101924699B (zh) | 报文转发处理方法、系统和运营商边缘设备 | |
| CN104823409A (zh) | 无限带宽上的网络虚拟化 | |
| CN103931144B (zh) | 一种在虚拟域中通信的方法、设备和系统 | |
| US20120314715A1 (en) | Method and system for implementing a multi-chassis link aggregation group in a network | |
| CN109660639A (zh) | 一种数据上传方法、设备、系统及介质 | |
| CN110063045B (zh) | 云计算系统中的报文处理方法及设备 | |
| CN106209648A (zh) | 跨虚拟可扩展局域网的组播数据报文转发方法和设备 | |
| CN109495383A (zh) | 一种数据处理方法、装置、通信系统及网络设备 | |
| JP6887523B2 (ja) | Macアドレス同期 | |
| CN109240800A (zh) | 一种基于Hypervisor多系统共享内存的管理方法 | |
| CN111294268B (zh) | 避免ip地址冲突的方法及装置 | |
| CN109286564B (zh) | 一种报文转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |