CN104202187B - 一种为交换机部署边缘虚拟桥接功能的方法和装置 - Google Patents
一种为交换机部署边缘虚拟桥接功能的方法和装置 Download PDFInfo
- Publication number
- CN104202187B CN104202187B CN201410433318.9A CN201410433318A CN104202187B CN 104202187 B CN104202187 B CN 104202187B CN 201410433318 A CN201410433318 A CN 201410433318A CN 104202187 B CN104202187 B CN 104202187B
- Authority
- CN
- China
- Prior art keywords
- configuration
- virtual
- switch
- virtual switch
- edge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种为交换机部署边缘虚拟桥接功能的方法及装置,本发明由虚拟交换机主动上报VSI管理服务器地址及虚拟交换机转发模式给边缘交换机,边缘交换机使用接收到配置信息填充配置脚本文件模板中对应的配置参数,然后执行配置脚本文件将配置参数自动下发到对应的物理端口上。通过本发明能够免网络管理人员的手工配置操作,提高了配置效率,减小配置错误风险,实现对交换设备的集中管理,降低网络管理的维护成本。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种为交换机部署边缘虚拟桥接功能的方法及装置。
背景技术
随着数据中心业务日益增加,用户需求不断提高,数据中心的规模和功能日趋复杂,管理难度也越来越高。在这一背景下,整合数据中心、降低数据中心的管理成本,充分挖掘现有资源能力以适应更高的业务需求,成为企业数据中心的重要任务。对数据中心资源进行虚拟化,成为目前数据中心整合的重要趋势。
虚拟化技术通过对物理资源和提供的服务进行抽象化,让资源使用者和系统管理者不关心对象的物理特征和服务边界的细节,从而降低资源使用和管理的复杂度,提高使用效率。因而,对数据中心的虚拟化能够提高数据中心的资源利用率(如CPU利用率、存储容量等),降低系统的能耗,并减少系统的设计、运行、管理、维护成本,从而实现整合的目标。
数据中心的虚拟化技术主要包括3方面内容:网络虚拟化、存储虚拟化和服务器虚拟化,其中,最主要的是服务器虚拟化。通过专用的虚拟化软件(如VMware)管理,一台物理服务器能虚拟出多台虚拟机(Virtual Machine,VM),每个VM独立运行,互不影响,都有自己的操作系统和应用程序和虚拟的硬件环境,包括虚拟CPU、内存、存储设备、IO设备、虚拟交换机等。
边缘虚拟桥接(Edge Virtual Bridging,EVB)技术,对应802.1Qbg标准,EVB的组成部分主要有三个方面:服务器(包括虚拟服务器VM和VM管理中心)、VSI(Virtual Stationinterface,虚拟站点接口)管理服务器、EVB交换机。服务器EVB技术应用于数据中心服务器,在其上的虚拟交换机中实现,用于简化虚拟服务器的流量转发实现,对虚拟服务器的网络交换、流量管理和策略下发进行集中控制,并能在虚拟迁移时实现网络管理和策略的自动迁移。
VSI管理服务器用于对VSI进行管理,虚拟机通过VSI与边缘交换机实现交互,VSI管理服务器通过VSI接口管理VSI的流量、设置流量策略等。
支持EVB的虚拟交换机vSwitch主要包括VEB(Virtual Edge Bridge,虚拟边缘桥)模式、VEPA(Virtual Edge Port Aggregator,虚拟边缘端口汇聚)模式及多通道(MultiChannel)模式。
VEPA模式下,vSwitch将虚拟机产生的网络流量全部交由与服务器相连的物理边缘交换机进行处理,即使同一台服务器上的虚拟机间流量,也将在物理交换机上查表处理后,再回到目的虚拟机上。VEPA方式不仅借助物理交换机解决了虚拟机间流量转发,同时还实现了对虚拟机流量的监管,并且将虚拟机接入层网络纳入到传统服务器接入网络管理体系中。
根据需求,物理服务器内部可能需要不同类型的边缘转发(Edge Relay,ER)。为了在同一物理接口上隔离各个ER的上行通道,EVB采用了端口映射的S-VLAN组件技术(Port-mapping S-VLAN Component),该技术在EVB中称为S通道技术。
借助于S-VLAN的划分,物理接口分成若干个虚拟通道,称为S通道(S-channel)。S通道之间以S通道虚拟标识S-VID隔离,每一通道与服务器内的ER上行口一一对应。
链路层发现协议(Link layer Discovery Protocol,LLDP)是为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息的信息交流平台,它提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(Management Information Base,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
由于LLDP协议的可扩展性较强,EVB的S通道发现和配置协议(S-channelDiscovery and Configuration Protocol,CDCP)报文及EVB TLV(Type Length Value,类型长度值,指报文中的一种常用信元结构)的信息均封装在LLDP报文中,周期性的向对端端口发送。
图2为Ethernet II格式封装的LLDP报文格式,蓝色的Chassis ID(机框标识)、Port ID(端口标识)、Time To Live(生命期)和End of LLDPDU(链路层发现协议数据单元结束标识,简称结束标识)这四种TLV是每个LLDPDU(LLDP Data Unit)都必须携带的,其余的TLV则为可选携带(Optional TLV)。每个LLDPDU最多可携带32种TLV。
目前EVB功能的部署需要网络管理人员在物理交换机即图1中的边缘交换机上通过命令行手动配置。当网络规模较大时,网络管理员在每一台设备上进行手工配置的工作量很大,而且要求网络管理员在部署前期必须非常了解组网环境,记录相关配置的接口信息,以及该接口部署哪些属性等,一旦接口部署错误还会导致普通的数据转发流量不通,问题的排查和定位耗时耗力,易造成已有环境的长时间业务中断。
发明内容
有鉴于此,本发明提供了一种为交换机部署边缘虚拟桥接功能的方法及装置,用于实现EVB自动部署。
基于本发明实施例,本发明提供了一种为交换机部署边缘虚拟桥接功能的方法,该方法应用在边缘交换机上,所述方法包括:
接收虚拟交换机发送的配置上报消息,从配置上报消息中获取对端虚拟交换机的MAC地址、虚拟站点接口VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机EVB配置列表中;
向对端虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;
当边缘交换机支持EVB功能,且接收到对端虚拟交换机发送的配置请求消息时,向虚拟交换机发送配置请求响应消息,指示EVB功能协商是否成功;
当EVB功能协商成功时,所述边缘交换机从本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,并用获取的配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,执行该配置脚本文件,将配置下发到与对端虚拟交换机对应本地端口,所述配置信息至少包括虚拟交换机的VSI。
进一步地,所述配置上报消息中还携带与对端虚拟交换机一一对应的序列号,所述边缘交换机还在虚拟交换机EVB配置列表中记录所述序列号;所述边缘交换机向虚拟交换机发送配置请求响应消息之前,还包括如下认证步骤:
从配置请求消息中提取认证字段作为第一认证字段,所述认证字段由对端虚拟交换机对与该对该虚拟交换机的MAC地址及序列号进行加密后生成;
所述边缘交换机根据配置请求消息的源MAC地址,从本地虚拟交换机EVB配置列表中获取与该对端虚拟交换机对应的序列号,并使用与对端虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则表示认证成功,否则表示认证失败,在认证成功时执行后续的配置下发操作。
进一步地,所述的配置脚本文件模板预先存储在所述边缘交换机上,或预先存储在边缘交换机的脚本执行程序可达的文件服务器上。
基于上述方法,本发明还提供了一种为交换机部署边缘虚拟桥接功能的装置,该装置应用在边缘交换机上,所述装置包括:
接收记录模块,用于接收虚拟交换机发送的配置上报消息,从配置上报消息中获取对端虚拟交换机的MAC地址、虚拟站点接口VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机EVB配置列表中;
能力响应模块,用于向对端虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;当边缘交换机支持EVB功能,且接收到对端虚拟交换机发送的配置请求消息时,还用于向虚拟交换机发送配置请求响应消息,指示EVB功能协商是否成功;
配置下发模块,用于当EVB功能协商成功时,从本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,并用获取的配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,执行该配置脚本文件,将配置下发到与对端虚拟交换机对应本地端口,所述配置信息至少包括虚拟交换机的VSI。
进一步地,所述接收记录模块,还用于在所述配置上报消息中还携带与对端虚拟交换机一一对应的序列号时,在虚拟交换机EVB配置列表中记录所述序列号;
所述能力响应模块,还用于在向虚拟交换机发送配置请求响应消息之前,从配置请求消息中提取认证字段作为第一认证字段,所述认证字段由对端虚拟交换机对与该对端虚拟交换机的MAC地址及序列号进行加密后生成;以及根据配置请求消息的源MAC地址,从本地虚拟交换机EVB配置列表中获取与该对端虚拟交换机对应的序列号,并使用与对端虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则表示认证成功,否则表示认证失败,在认证成功时执行后续的配置下发操作。
进一步地,所述的配置脚本文件模板预先存储在所述边缘交换机上,或预先存储在边缘交换机的脚本执行程序可达的文件服务器上。
基于本发明实施例,本发明还提供了一种为交换机部署边缘虚拟桥接功能的方法,该方法应用在虚拟交换机上,所述方法包括:
在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
在接收到对端边缘交换机发送的配置上报响应消息后,根据消息中的EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
进一步地,所述配置上报消息中还携带与所述虚拟交换机对应的序列号;
在所述配置请求消息中携带所述虚拟交换机对该虚拟交换机的MAC地址及序列号加密生成的认证字段。
基于上述方法,本发明还提供了一种为交换机部署边缘虚拟桥接功能的装置,该装置应用在虚拟交换机上,所述装置包括:
配置上报模块,用于在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
配置请求模块,用于在接收到对端边缘交换机发送的配置上报响应消息后,根据消息中的EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
进一步地,所述配置上报消息中还携带与所述虚拟交换机对应的序列号;
在所述配置请求消息中携带所述虚拟交换机对该虚拟交换机的MAC地址及序列号加密生成的认证字段。
本发明由虚拟交换机主动上报VSI管理服务器地址及虚拟交换机转发模式给边缘交换机,边缘交换机使用接收到配置信息填充配置脚本文件模板中对应的配置参数,然后执行配置脚本文件将配置参数自动下发到对应的物理端口上。通过本发明能够免网络管理人员的手工配置操作,提高了配置效率,减小配置错误风险,实现对交换设备的集中管理,降低网络管理的维护成本。
附图说明
图1为EVB模式示意图;
图2为Ethernet II格式封装的LLDP报文格式;
图3为本发明实施例提供的一种为交换机部署边缘虚拟桥接功能的方法的流程图;
图4为本发明实施例提供的扩展LLDP协议报文格式示意图;
图5为本发明实施例提供的为交换机部署边缘虚拟桥接功能的装置所在设备的一种硬件结构示意图;
图6为本发明实施例提供的为交换机部署边缘虚拟桥接功能的装置结构示意图;
图7为本发明另一实施例提供的为交换机部署边缘虚拟桥接功能的装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明实施例及实施例中的特征可以相互组合。
在边缘交换机及虚拟交换机之间执行标准规定的EVB协商之前,需要首先执行本发明提供的为交换机部署边缘虚拟桥接功能的方法步骤,通过自动化的部署过程,避免人为配置的错误,提高EVB功能部署的准确性和效率。
图3为本发明实施例提供的一种为交换机部署边缘虚拟桥接功能的方法的流程图,该方法包括:
步骤300、虚拟交换机在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
在通过虚拟机管理平台在服务器上实例化一个虚拟交换机后,虚拟机管理平台会将VSI管理服务器地址和虚拟机转发模式等信息下发给虚拟交换机,虚拟交换机在获得VSI管理服务器地址和虚拟机转发模式后向其接入的边缘交换机发送配置上报消息。本发明中所述的虚拟交换机是指支持EVB能力的交换机,是否支持EVB功能由虚拟交换机的转发模式决定。
在本发明一具体实施例中,在所述配置上报消息中至少携带:用于指示虚拟交换机的转发模式的信息、VSI管理服务器地址。由于虚拟交换机转发模式只有在VEPA模式或多通道模式下才能支持EVB功能,因此,配置上报消息中虚拟交换机转发模式只包括VEPA模式和多通道模式两种模式。
在本发明一具体实施例中,虚拟交换机与边缘交换机通过LLDP协议进行配置协商,虚拟交换机通过扩展的LLDP报文发送所述配置上报消息。
步骤302、边缘交换机接收配置上报消息,通过配置上报消息获取虚拟交换机的MAC地址、VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机EVB配置列表中。
边缘交换机在本地建立和维护虚拟交换机EVB配置列表(以下简称配置列表),该配置列表用于记录所有与该边缘交换机连接的虚拟交换机的配置信息,包括但不限于:虚拟交换机的MAC地址、VSI管理服务器地址、转发模式及接收配置上报消息的端口号。
步骤304、边缘交换机向对端的虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识。
步骤306、虚拟交换机在接收到配置上报响应消息后,根据EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
步骤308、边缘交换机接收到配置请求消息后,边缘交换机向虚拟交换机发送配置请求响应消息,通知对端接收到配置请求,并在配置请求响应消息中携带指示EVB功能协商是否成功的指示信息。
在不需要对虚拟交换机进行认证的场景下,配置请求响应消息中可直接携带指示EVB功能协商成功信息,在需要对虚拟交换机进行认证的场景下,当认证通过时,可在配置请求响应消息中携带指示EVB功能协商成功信息,在认证失败的情况下,可在配置请求响应消息中携带指示EVB功能协商失败的信息。
步骤310、边缘交换机根据配置请求消息中的源MAC在本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,所述配置信息至少包括虚拟交换机的VSI,用获取的VSI管理服务器地址等配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,然后执行该配置脚本文件,将配置下发给与对端虚拟交换机对应的接收配置上报消息的端口。
在本发明一实施例中,在物理边缘交换机上为支持EVB功能的端口预先存储配置脚本文件模板,该配置脚本文件模板中提供了命令行形式的配置语句,配置语句携带有配置参数,用于为支持EVB功能的端口下发有关EVB功能的配置参数。其中,配置参数可通过脚本执行程序替换为所需的内容,从而生成与指定虚拟交换机和本地端口对应的配置脚本文件。
在本发明一实施例中,将配置脚本文件模板可以集中存放在一个文件服务器上,边缘交换机可通过脚本执行程序获取所需的配置脚本文件模板,然后再执行后续的替换和下发操作。
在本发明一实施例中,为提高安全性,步骤300中,在所述配置上报消息中还包括序列号字段,该序列号字段为全局唯一的随机值,用于后续步骤中边缘交换机对虚拟交换机进行认证。所述序列号与虚拟交换机一一对应,且需要虚拟交换机和边缘交换机分别在本地保存。相应地,在步骤302中,边缘交换机还需要在虚拟交换机EVB配置列表中记录该序列号。
基于上述两端保存的序列号,边缘交换机对虚拟交换机的认证方法具体为:
在步骤306中,虚拟交换机在发送的配置请求消息中携带一认证字段,该认证字段通过两端协商一致的加密算法对序列号及虚拟交换机的MAC地址进行加密后生成;
在步骤308中,边缘交换机在接收到配置请求消息后,取出消息中携带的认证字段作为第一认证字段,然后根据配置请求消息的源MAC地址在虚拟交换机EVB配置列表中获取对应的序列号,使用与虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则确定对端虚拟交换机是合法的,执行后续的配置下发操作,否则确定对端虚拟交换机不合法,丢弃接收到的配置请求消息或在向对端虚拟交换机发送的配置请求响应消息中只携带认证失败的信息。
为使本发明的技术方案更加清楚,以下举一具体实例来说明本发明提供的为交换机部署边缘虚拟桥接功能的方法。
在执行自动部署步骤之前,首先在边缘交换机上保存好EVB的配置脚本文件模板,配置脚本文件模板包含的内容包括但不限于:
1.VSI管理服务器地址,配置示例如:vsi manager ip XXXX,其中XXXX表示IP地址及端口号,
2.Interface X接口下使能EVB的必要配置
3.全局使能EVB的必要配置
…
步骤400、通过虚拟机管理平台实例化一个虚拟交换机vSwitch时,为vSwitch配置VSI管理服务器地址、虚拟交换机转发模式等,当虚拟交换机在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中携带虚拟交换机转发模式、VSI管理服务器地址、序列号。
vSwitch与边缘交换机之间采用LLDP协议进行报文交互,可通过扩展LLDP协议报文来实现配置上报消息、配置上报响应消息、配置请求消息。该实施例采用如图4所述的报文结构来实现上述消息功能,各字段的定义如下:
类型Type字段:为指定的一个唯一的消息类型标识。
长度Length字段:为消息长度;
序列号Seqnum字段:由vSwitch侧随机分配一个数值,该数值在一定数值空间范围内变化,并且在尽可能长的时间周期内不出现重复。
角色Role字段:用于标识设备角色,例如1表示本设备为vSwitch端,等于0表示本设备为边缘交换机端。
EVB支持标识Support:用于标识本设备是否支持EVB功能,例如等于1表示支持,等于0表示不支持。
转发模式Mode字段:用于标识vSwitch的转发模式,例如等于1表示多通道模式,等于0表示VEPA模式。
VSI管理服务器地址Manager ID字段:为虚拟站点接口VSI管理服务器的地址。
协商状态Status字段,用于指示EVB功能的协商状态,例如等于1表示协商成功,等于0表示协商失败。
原因Reason字段:用于指示协商结果的原因,例如0x00表示操作成功,0x01表示TLV非法,其他为保留值。
认证Auth字段:用于存放认证信息。
当然,图4只给出了携带信息的信元字段结构,在该结构的外层再进行LLDP封装后形成了扩展的LLDP报文,该扩展LLDP报文本身会携带源MAC地址和目的MAC地址。
例如,若配置上报消息采用图4的消息结构,则vSwitch向边缘交换机发送的配置上报消息中的字段取值可以为:Role=1表示vSwitch端,Support=1表示支持EVB能力,Mode转发模式为多通道模式(或者VEPA模式),Seqnum为一个随机值,Manager ID=VSI管理服务器的地址,Status=0表示还没有协商成功,Reson和Auth可以置空。
步骤402、边缘交换机接收配置上报消息,根据配置上报消息中的Support字段获知对端支持EVB功能时,获取消息中的源MAC地址(即虚拟交换机的MAC地址)、VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机EVB配置列表,如下表1所示:
表1
| ID | 序列号 | 虚拟机MAC地址 | 转发模式 | VSI服务器地址 | 本地端口 |
| 40032 | B53C267F | 0c:da:00:ef:08:01 | schannel | ip1 | port1 |
| 40033 | 2D8A293E | 62:9c:02:ad:41:b0 | schannel | ip2 | port2 |
| 40034 | 83D423A4 | ef:31:5b:00:62:f1 | vepa | ip3 | port3 |
| 40035 | 53EF082D | a4:31:b5:62:00:b7 | schannel | ip4 | port4 |
步骤404、边缘交换机向对端的虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;
若配置上报响应消息使用图4的消息结构,则取值可以是:Role=0表示交换机端,Support=1表示支持EVB能力,Status=0表示还没有协商成功,Mode、Seqnum、Manager ID、Auth字段可置为空。
步骤406、虚拟交换机在接收到配置上报响应消息后,根据消息中的Support字段判断对端是否支持EVB功能,当判定对端支持EVB功能后,向边缘交换机发送配置请求消息,并在配置请求消息中携带携带认证字段。
若配置请求消息采用图4的消息结构,则虚拟交换机在Auth字段填充MD5(Seqnum,虚拟交换机MAC地址)的结果值,即使用MD5加密算法对该虚拟交换机对应的序列号和虚拟交换机的MAC地址进行加密运算,将加密后的结果值填充到Auth字段,其他字段可参考配置上报消息填充。
步骤408、边缘交换机在接收到配置请求消息后,取出消息中携带的认证字段作为第一认证字段,然后根据配置请求消息的源MAC地址在虚拟交换机EVB配置列表中获取对应的序列号,使用与虚拟交换机端相同的MD5加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,然后判断第一认证字段与第二认证字段是否相同,若相同则认证成功,否则认证失败。
当认证成功后,边缘交换机向虚拟交换机发送配置请求响应消息,并在配置请求响应消息中携带EVB协商成功的信息。若认证失败则说明该配置请求消息来自第三方欺骗攻击报文,丢弃该报文。
若配置请求响应消息采用图4的消息结构,在认证通过的情况下,可将Status置为1表示EVB功能协商成功。在认证失败的情况下,可将Status置为0表示EVB功能协商失败,Reason字段置为0x01表示TLV非法,其他字段可根据需要设置。
步骤410、边缘交换机根据配置请求消息中的源MAC在本地虚拟交换机EVB配置列表中获取对应的虚拟交换机的VSI管理服务器地址和本地端口信息,并替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,然后执行该配置脚本文件,自动将配置下发给对应的本地端口。
假设,边缘交换机从本地端口1接收到vSwitch1的配置请求消息,对应Manager id=1,在本地端口2接收到vSwitch2的配置请求消息,Manager id=2,则边缘交换机在本地端口1下发对应vSwitch1,Manager id=1的配置,在本地端口2下发对应vSwitch2,Managerid=2的配置。
与前述为交换机部署边缘虚拟桥接功能的方法实施例相对应,本发明还提供了为交换机部署边缘虚拟桥接功能的装置实施例。
本发明报文传输装置的实施例可以分别应用在虚拟交换机和边缘交换机上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明提供的装置所在设备的一种硬件结构图,除了图5所示的处理器、网络接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
图6为本发明一实施例提供的为交换机部署边缘虚拟桥接功能的装置结构示意图,该装置应用在边缘交换机上,所述装置600包括:
接收记录模块601,用于接收虚拟交换机发送的配置上报消息,从配置上报消息中获取对端虚拟交换机的MAC地址、虚拟站点接口VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机EVB配置列表中;
能力响应模块602,用于向对端虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;当边缘交换机支持EVB功能,且接收到对端虚拟交换机发送的配置请求消息时,还用于向虚拟交换机发送配置请求响应消息,指示EVB功能协商是否成功;
配置下发模块603,用于当EVB功能协商成功时,从本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,并用获取的配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,执行该配置脚本文件,将配置下发到与对端虚拟交换机对应本地端口,所述配置信息至少包括虚拟交换机的VSI。
配置脚本文件模板预先存储在所述边缘交换机上,或预先存储在边缘交换机的脚本执行程序可达的文件服务器上。
在本发明一实施例中,接收记录模块601还用于在所述配置上报消息中还携带与对端虚拟交换机一一对应的序列号时,在虚拟交换机EVB配置列表中记录所述序列号;
所述能力响应模块602还用于在向虚拟交换机发送配置请求响应消息之前,从配置请求消息中提取认证字段作为第一认证字段,所述认证字段由对端虚拟交换机对与该对端虚拟交换机的MAC地址及序列号进行加密后生成;以及根据配置请求消息的源MAC地址,从本地虚拟交换机EVB配置列表中获取与该对端虚拟交换机对应的序列号,并使用与对端虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则表示认证成功,否则表示认证失败,在认证成功时执行后续的配置下发操作。
图7为本发明一实施例提供的为交换机部署边缘虚拟桥接功能的装置结构示意图,该装置应用在虚拟交换机上,所述装置700包括:
配置上报模块701,用于在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
配置请求模块702,用于在接收到对端边缘交换机发送的配置上报响应消息后,根据消息中的EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
本发明一实施例中,配置上报消息中还携带与所述虚拟交换机对应的序列号;且在配置请求消息中携带虚拟交换机对该虚拟交换机的MAC地址及序列号加密生成的认证字段。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。所述存储装置为非易失性存储器,如:ROM/RAM、闪存、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种为交换机部署边缘虚拟桥接功能的方法,该方法应用在边缘交换机上,其特征在于,所述方法包括:
接收虚拟交换机发送的配置上报消息,从配置上报消息中获取对端虚拟交换机的MAC地址、虚拟站点接口VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机边缘虚拟桥接EVB配置列表中;
向对端虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;
当边缘交换机支持EVB功能,且接收到对端虚拟交换机发送的配置请求消息时,向虚拟交换机发送配置请求响应消息,指示EVB功能协商是否成功;
当EVB功能协商成功时,所述边缘交换机从本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,并用获取的配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,执行该配置脚本文件,将配置下发到与对端虚拟交换机对应本地端口,所述配置信息至少包括虚拟交换机的VSI。
2.根据权利要求1所述的方法,其特征在于,
所述配置上报消息中还携带与对端虚拟交换机一一对应的序列号,所述边缘交换机还在虚拟交换机EVB配置列表中记录所述序列号;
所述边缘交换机向虚拟交换机发送配置请求响应消息之前,还包括如下认证步骤:
从配置请求消息中提取认证字段作为第一认证字段,所述认证字段由对端虚拟交换机对该对端虚拟交换机的MAC地址及序列号进行加密后生成;
所述边缘交换机根据配置请求消息的源MAC地址,从本地虚拟交换机EVB配置列表中获取与该对端虚拟交换机对应的序列号,并使用与对端虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则表示认证成功,否则表示认证失败,在认证成功时执行后续的配置下发操作。
3.根据权利要求1所述的方法,其特征在于,所述的配置脚本文件模板预先存储在所述边缘交换机上,或预先存储在边缘交换机的脚本执行程序可达的文件服务器上。
4.一种为交换机部署边缘虚拟桥接功能的方法,该方法应用在虚拟交换机上,其特征在于,所述方法包括:
在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
在接收到对端边缘交换机发送的配置上报响应消息后,根据消息中的边缘虚拟桥接EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
5.根据权利要求4所述的方法,其特征在于,
所述配置上报消息中还携带与所述虚拟交换机对应的序列号;
在所述配置请求消息中携带所述虚拟交换机对该虚拟交换机的MAC地址及序列号加密生成的认证字段。
6.一种为交换机部署边缘虚拟桥接功能的装置,该装置应用在边缘交换机上,其特征在于,所述装置包括:
接收记录模块,用于接收虚拟交换机发送的配置上报消息,从配置上报消息中获取对端虚拟交换机的MAC地址、虚拟站点接口VSI管理服务器地址、转发模式及接收配置上报消息的端口号,并记录在本地的虚拟交换机边缘虚拟桥接EVB配置列表中;
能力响应模块,用于向对端虚拟交换机发送配置上报响应消息,其中携带用于指示该边缘交换机是否支持EVB功能的EVB支持标识;当边缘交换机支持EVB功能,且接收到对端虚拟交换机发送的配置请求消息时,还用于向虚拟交换机发送配置请求响应消息,指示EVB功能协商是否成功;
配置下发模块,用于当EVB功能协商成功时,从本地虚拟交换机EVB配置列表中获取对端虚拟交换机的配置信息,并用获取的配置信息替换配置脚本文件模板中对应的配置参数生成与对端虚拟交换机对应的配置脚本文件,执行该配置脚本文件,将配置下发到与对端虚拟交换机对应本地端口,所述配置信息至少包括虚拟交换机的VSI。
7.根据权利要求6所述的装置,其特征在于,
所述接收记录模块,还用于在所述配置上报消息中还携带与对端虚拟交换机一一对应的序列号时,在虚拟交换机EVB配置列表中记录所述序列号;
所述能力响应模块,还用于在向虚拟交换机发送配置请求响应消息之前,从配置请求消息中提取认证字段作为第一认证字段,所述认证字段由对端虚拟交换机对该对端虚拟交换机的MAC地址及序列号进行加密后生成;以及根据配置请求消息的源MAC地址,从本地虚拟交换机EVB配置列表中获取与该对端虚拟交换机对应的序列号,并使用与对端虚拟交换机端相同的加密算法对该源MAC地址及对应的序列号进行加密获得第二认证字段,判断第一认证字段与第二认证字段是否相同,若相同则表示认证成功,否则表示认证失败,在认证成功时执行后续的配置下发操作。
8.根据权利要求6所述的装置,其特征在于,所述的配置脚本文件模板预先存储在所述边缘交换机上,或预先存储在边缘交换机的脚本执行程序可达的文件服务器上。
9.一种为交换机部署边缘虚拟桥接功能的装置,该装置应用在虚拟交换机上,其特征在于,所述装置包括:
配置上报模块,用于在获得VSI管理服务器地址及转发模式的配置信息后,向边缘交换机发送配置上报消息,其中至少携带虚拟交换机转发模式、VSI管理服务器地址;
配置请求模块,用于在接收到对端边缘交换机发送的配置上报响应消息后,根据消息中的边缘虚拟桥接EVB支持标识判定边缘交换机支持EVB功能时,向边缘交换机发送配置请求消息。
10.根据权利要求9所述的装置,其特征在于,
所述配置上报消息中还携带与所述虚拟交换机对应的序列号;
在所述配置请求消息中携带所述虚拟交换机对该虚拟交换机的MAC地址及序列号加密生成的认证字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410433318.9A CN104202187B (zh) | 2014-08-28 | 2014-08-28 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410433318.9A CN104202187B (zh) | 2014-08-28 | 2014-08-28 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104202187A CN104202187A (zh) | 2014-12-10 |
| CN104202187B true CN104202187B (zh) | 2017-11-14 |
Family
ID=52087417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410433318.9A Active CN104202187B (zh) | 2014-08-28 | 2014-08-28 | 一种为交换机部署边缘虚拟桥接功能的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104202187B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791176A (zh) * | 2014-12-23 | 2016-07-20 | 中兴通讯股份有限公司 | 信息技术it设备端口的确定方法及装置 |
| CN106034060A (zh) * | 2015-03-09 | 2016-10-19 | 中兴通讯股份有限公司 | 一种实现虚拟网络的方法及系统 |
| CN106034115B (zh) * | 2015-03-13 | 2020-01-31 | 中兴通讯股份有限公司 | 虚拟网络的实现方法、装置及系统 |
| CN107450899B (zh) * | 2016-06-01 | 2022-04-26 | 深圳市信锐网科技术有限公司 | 终端控制脚本的生成方法和装置 |
| US11323287B2 (en) * | 2019-07-18 | 2022-05-03 | International Business Machines Corporation | Link layer method of configuring a bare-metal server in a virtual network |
| CN111510435B (zh) * | 2020-03-25 | 2022-02-22 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN112804094B (zh) * | 2020-12-30 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 一种设备部署方法和装置 |
| CN115242415A (zh) * | 2021-04-23 | 2022-10-25 | 伊姆西Ip控股有限责任公司 | 边缘交换机处实现的数据加密方法、电子设备和程序产品 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102263704A (zh) * | 2011-09-01 | 2011-11-30 | 杭州华三通信技术有限公司 | 一种支持数据中心二层互联的拓扑构建方法和装置 |
| CN102710486A (zh) * | 2012-05-17 | 2012-10-03 | 杭州华三通信技术有限公司 | S通道状态通告方法和设备 |
| CN102752215A (zh) * | 2012-07-16 | 2012-10-24 | 杭州华三通信技术有限公司 | 一种vdp请求报文的处理方法和边缘交换机 |
| US8713201B2 (en) * | 2007-08-13 | 2014-04-29 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795602B (zh) * | 2012-10-30 | 2017-05-10 | 华为技术有限公司 | 虚拟网络的网络策略配置方法及装置 |
-
2014
- 2014-08-28 CN CN201410433318.9A patent/CN104202187B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713201B2 (en) * | 2007-08-13 | 2014-04-29 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
| CN102263704A (zh) * | 2011-09-01 | 2011-11-30 | 杭州华三通信技术有限公司 | 一种支持数据中心二层互联的拓扑构建方法和装置 |
| CN102710486A (zh) * | 2012-05-17 | 2012-10-03 | 杭州华三通信技术有限公司 | S通道状态通告方法和设备 |
| CN102752215A (zh) * | 2012-07-16 | 2012-10-24 | 杭州华三通信技术有限公司 | 一种vdp请求报文的处理方法和边缘交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104202187A (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104202187B (zh) | 一种为交换机部署边缘虚拟桥接功能的方法和装置 | |
| CN104335531B (zh) | 在大规模分布式虚拟交换机中实现pvlan | |
| EP2819363B1 (en) | Method, device and system for providing network traversing service | |
| CN103905283B (zh) | 基于可扩展虚拟局域网的通信方法及装置 | |
| CN103036784B (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN103141059B (zh) | 用于私有虚拟局域网隔离的方法和装置 | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN104144082B (zh) | 二层网络中检测环路的方法及控制器 | |
| CN103236941A (zh) | 一种链路发现方法和装置 | |
| CN107241454B (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| CN107995052A (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| US8521863B2 (en) | Method and device for operating resource on shared network element | |
| US9935816B1 (en) | Border gateway protocol routing configuration | |
| CN102413041B (zh) | 安全策略迁移的方法、装置和系统 | |
| CN110301125B (zh) | 虚拟机的逻辑端口认证 | |
| CN114726523B (zh) | 密码应用服务系统和量子安全能力开放平台 | |
| CN106789748A (zh) | 一种分布式接入复用器dam叠加网络系统及其装置 | |
| CN105487517A (zh) | 一种家居wifi网络系统的自动组网方法 | |
| US20150010152A1 (en) | Secure service management in a communication network | |
| US11681813B2 (en) | System and method for enforcing context-based data transfer and access | |
| CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN101388796B (zh) | 信息发送处理方法、通信设备与通信系统 | |
| CN113596192B (zh) | 一种基于网闸组网的通信方法、装置、设备及介质 | |
| CN115361125A (zh) | 一种基于量子密钥技术的vpn网络系统 | |
| CN101170502B (zh) | 一种实现堆叠成员间互访的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |