CN104335531A - 在大规模分布式虚拟交换机中实现pvlan - Google Patents
在大规模分布式虚拟交换机中实现pvlan Download PDFInfo
- Publication number
- CN104335531A CN104335531A CN201380026824.XA CN201380026824A CN104335531A CN 104335531 A CN104335531 A CN 104335531A CN 201380026824 A CN201380026824 A CN 201380026824A CN 104335531 A CN104335531 A CN 104335531A
- Authority
- CN
- China
- Prior art keywords
- pvlan
- port
- list
- community
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/023—Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一个实施例中,在虚拟交换机处维护源标识符的列表。这些源标识符被允许通过虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口。当在虚拟交换机处接收到来自目的地为PVLAN中的特定端口的特定源的分组时,虚拟交换机判定与特定源相关联的特定标识符是否与列表中的源标识符中的一个相匹配。如果此特定源标识符不在列表中,则阻止分组被转发到PVLAN中的此特定端口。
Description
技术领域
本公开一般地涉及计算机网络,并且更具体地涉及私有虚拟局域网(PVLAN)。
背景技术
PVLAN在物理交换机的单一广播域内提供第2层(L2)隔离。典型的物理交换机具有PVLAN混杂端口和属于相同物理交换机的多个隔离端口或社区端口。因此可以实现在连接到物理交换机的主机之间实现PVLAN隔离模型。
在大规模分布式虚拟交换机(DVS)中,交换机范围跨越单一L2域中的多个物理主机。例如,来自虚拟机(VM)的流量可以通过第二虚拟局域网(VLAN)上的虚拟交换机被处理、并且可以通过虚拟交换机的PVLAN混杂上行链路端口(其将第二VLAN转换为主要VLAN,因此在第一服务器处将PVLAN域终止)从第一服务器被发送。当此分组到达主要VLAN上的DVS中的第二服务器时,第二VLAN信息可能已经丢失了。也就是说,一旦第二VLAN识别信息已丢失,此分组就可能被泄露到了其它PVLAN主机端口。
附图说明
通过联系附图参照下面的描述可以更好地理解本文的实施例,其中相似的标号表示相同的或功能上相似的元素,其中:
图1示出了一个示例通信网络;
图2示出了一个示例网络装置/节点;
图3示出了用于在大规模分布式虚拟交换机中实施PVLAN的示例程序;
图4示出了一个被应用到图1中的网络的示例孤立的PVLAN配置;
图5示出了一个被应用到图1中的网络的示例社区PVLAN配置;
图6示出了一个被应用到图4中的网络的可选示例孤立的PVLAN配置;以及
图7示出了一个被应用到图5中的网络的可选示例社区PVLAN配置。
具体实施方式
概述
根据本公开的一个或多个实施例,在虚拟交换机处维护源标识符的列表。这些源标识符被允许通过虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口。当在虚拟交换机处从目的地为PVLAN中特定端口的特定源接收到分组时,虚拟交换机判定与特定源相关联的特定标识符是否与列表中的源标识符中的一个相匹配。如果此特定源标识符不在列表上,则阻止分组被转发到PVLAN中的特定端口。
具体实施方式
计算机网络是通过通信链路和片段互连的节点的地理分布式集合,用于在末端节点(例如个人计算机和工作站,或诸如传感器等的其它设备)之间传输数据。很多类型的网络都是可用的,从局域网(LANs)到广域网(WANs)都是可用的。LANs通常在位于相同通用物理位置(诸如建筑物或校园)的私有通信链路上连接节点。另一方面,WANs通常在长距离通信链路(例如,公共载体电话线、可见光路径、同步光纤网络(SONET)、同步数字系列(SDH)链路以及其它链路)上连接地理上分散的节点。
图1是根据一个说明性的实施例的示例计算机网络100的示意框图,该实施例说明性地包括节点/设备200(其通过各种通信方法互连到一个或多个虚拟机(VMs)130)、以及可选择地包括上游节点(如交换机)120,该上游节点120可以与网关服务器110互连。还要注意的是,如下所述的一个或多个“监测设备”180可以至少与设备200通信。
在说明性实施例中,设备200a-b可以作为安装在一个或多个物理服务器(如在服务器的集群中)上的虚拟交换机来体现,这可以被本领域的技术人员所理解。也就是说,网络100中的每个虚拟交换机200a-b可以被安装在网络中多个物理服务器的相同物理服务器上,或者被安装在网络内的不同物理服务器上。
通常,链路可以是有线链路或共享介质(如无线链路等),其中某些节点200(例如交换机、计算机、服务器等)可以与其它节点200通信,如基于物理连接、距离和/或信号强度、当前操作状态、位置等进行通信。本领域的技术人员将理解计算机网络中可以使用任意数量的节点、设备、链路等,并且这里示出的视图是为了简单起见。另外,本领域的技术人员还将理解虽然示出的网络是在特定的方向,但网络100仅仅是示例说明,并不意味着限制本公开。
使用预定义的网络通信协议(例如某些已知的有线协议、无线协议(如IEEE Std.802.15.4、WiFi、蓝牙等))、或其它适当的共享介质协议),数据分组140(如在设备/节点之间发送的流量和/或消息)可以在计算机网络100的节点/设备之间被交换。在这个背景下,协议由一组定义了节点如何相互作用的规则组成。
图2是示例节点/设备200的示意框图,该节点/设备200可以用于本文描述的一个或多个实施例,如作为上面图1中示出的任何设备200a-b。设备可以包括一个或多个网络接口210(如有线的、无线的网络接口等)、至少一个处理器220、以及存储器240(通过系统总线250互连)和电源260。
网络接口210包含机械的、电气的和信号电路,用于在耦合到网络100的链路上传递数据。网络接口可以被配置为使用各种不同的通信协议发送和/或接收数据。还要注意的是设备可以有多个接口210,接口可以是相同或不同类型的网络连接,如无线和有线/物理连接,并且本文的视图仅仅是为了说明。另外,虽然网络接口210被与电源260分离示出,但对于电力线通信(PLC)来说网络接口210可以通过电源260通信,或可以是电源的整体组件。
存储器240包括多个通过处理器220可寻址的存储位置和用于存储与本文描述的实施例有关联的软件程序和数据结构的网络接口210。处理器220可以包括适应于执行软件程序和操作数据结构245的硬件元素或硬件逻辑。操作系统242(该操作系统242的一部分通常留在存储器240中并且通过处理器来执行)尤其通过引起支持软件过程和/或服务(在设备上执行)的操作来功能性地组织设备。这些软件过程和/或服务可以包括交换过程/服务244,以及说明性的私有虚拟LAN(PVLAN)过程248,如本文所述。要注意的是虽然PVLAN过程248被示出在集中存储器240中,但是可选实施例为过程提供在网络接口210(过程“248a”)内被具体地操作。
对本领域技术人员显而易见的是,其他处理器和包括各种计算机可读介质的存储器类型可以被用于存储和执行与本文描述的技术有关的程序指令。另外,虽然描述说明了各种过程,但是明确预期的是各种过程可以作为被配置为根据本文的技术(如根据相似的过程的功能)进行操作的模块来体现。另外,虽然过程分别地被示出,但是本领域技术人员将理解过程可以是其它过程内的模块或例程。
交换过程244包括通过处理器220执行的计算机可执行指令以执行由一个或多个交换协议(诸如各种L2交换协议,其将被本领域技术人员所理解)提供的功能。这些功能可以被配置为管理包含用于做出转发决定的数据的转发表(数据结构245)。
正如上面所提到的,在大规模分布式虚拟交换机(DVS)中,DVS范围跨越多个单一的L2域中的物理主机。例如,来自特定的虚拟机(VM)130的流量可以通过第二虚拟局域网(VLAN)上的虚拟交换机被处理,并且可以通过第一服务器/交换机的PVLAN混杂上行链路端口(其将第二VLAN转换为主要VLAN,因此在第一服务器处将PVLAN域终止)从第一服务器/交换机被发送。当此分组到达主要VLAN上的DVS中的第二服务器/交换机时,第二VLAN信息可能已经丢失了。也就是说,一旦第二VLAN识别信息已丢失,此分组就可能被泄露到了其它PVLAN主机端口。
当前,DVS可以通过将每个PVLAN VM端口(如对于VMs 130a和130b)的介质访问控制(MAC)地址列表分发到集群中的每个服务器来阻止信息被泄露。这些MAC条目被插入到主要VLAN的转发表中。第二VLAN信息也被包含在这些MAC条目内,以使得当来自第一服务器(如“A”)上的PVLAN VM主机端口的帧到达主要VLAN上的第二服务器(如“B”)时,在主要VLAN转发表上查找源MAC地址(标识符)以判定源MAC地址是否被允许访问此特定的PVLAN VM端口。主要VLAN则基于包含在MAC条目内的信息被映射到适当的第二VLAN。一旦映射被解决了,所有PVLAN转发规则基于第二VLAN被实施。例如,如果第二VLAN是社区PVLAN,帧被允许到达VM端口(是相同社区的一部分)并且如果帧目的地为不同社区中的VM端口,帧就被丢弃。
然而,在上述方法中,每个PVLAN VM端口的每个MAC地址被发送到集群中的每个服务器。因此,大规模分布式虚拟交换机(DVS)网络中可扩展性是有问题的。也就是说,即使服务器不主持特定PALVN中的VM端口,服务器仍接收针对每个PVLAN VM端口的MAC地址列表,这是低效的。
作为示例,再次参照图1,虚拟机1(VM1)130a和虚拟机2(VM2)130b可以被放置在主要VLAN内的孤立的PVLAN中,并且一个或多个连接到虚拟交换机200a和200b的上行链路端口被指定为混杂端口,混杂端口在服务器级将虚拟交换机的域终止。在此示例实施例中,PVLAN范例指定VM1和VM2不能够互相通信。反而,VM1和VM2仅被允许通过虚拟交换机200a和200b上的混杂上行链路端口与主要VLAN上的网关服务器110或主要VLAN上的非PVLAN设备通信,因为VM1和VM2是孤立的PVLAN的一部分。
当VM1在孤立的PVLAN上发送分组时,虚拟交换机200a将孤立的PLVAN映射到主要VLAN并且将分组涌至主要VLAN上的上游交换机120。上游交换机则将分组涌至虚拟交换机200b。当虚拟交换机200b在它的混杂上行链路端口接收分组时,分组(如分组140)则被涌至VM2,从而打破了PVLAN范例。同样地,如果VM1和VM2被放置在两个社区PVLAN中,都与主要VLAN相对应,流量也可能穿过不同社区从上游交换机(其仅是主要VLAN的一部分)泄露。
因此,本文的技术提供了一种系统,该系统能够在集群内的虚拟交换机/服务器处将PVLAN域终止,以使得来自PVLAN主机端口的流量仍可以在上游网络中的主要VLAN上被看到。另外,本文的技术穿过位于集群中的相同的或不同的服务器和虚拟交换机上的PVLAN主机端口实施PVLAN范例。具体地说,本文的技术提供大规模分布式交换机中的有效的可扩展性,也就是说,提供大量的PVLAN主机端口。也就是说,根据本文的技术的说明性的实施例提供可扩展的和可靠的技术,用于穿过集群的相同或不同服务器(即包含虚拟机的服务器)中的虚拟机的各种主机端口来提供PVLAN语义,同时当需要时在每个虚拟机/服务器处将PVLAN域终止。
更具体地说,根据如下所更详细描述的一个或多个本公开的实施例,源标识符列表被维护在每个与PVLAN中的端口相关联的虚拟交换机上。列表上的源标识符表明源,这些源被允许通过特定虚拟机将分组发送到PVLAN中的端口。当在虚拟机处从目的地为PVLAN中特定端口的特定源接收分组时,虚拟机判定与特定源相关联的特定标识符是否与列表中的源标识符相匹配。如果特定源标识符不在列表上,阻止分组被转发到PVLAN中的特定端口。另外,仅那些在特定PVLAN中拥有端口的服务器针对特定PVLAN存储源标识符列表,因此允许源标识符的更加可扩展的分布。
具体地说,说明性的实施例提供可以被发送到分布式虚拟交换机中的PVLAN主机VM端口(如被存储为数据结构245)的源标识符的列表。对于孤立的PVLAN来说,源标识符列表可以包括如主要VLAN(如网关110)上的仅非PVLAN设备的一个或多个MAC地址。另一方面,社区PVLAN的源标识符列表可以包括如社区VLAN的成员的一个或多个MAC地址和主要VLAN上的非PVLAN设备的一个或多个MAC地址。
因此本文的技术允许穿过多个服务器的源标识符列表的优化的和有效的分布。然而,值得注意的是如果特定虚拟交换机/服务器在此特定PVLAN中主持PVLAN主机端口,源标识符列表仅被说明性地发送到特定服务器上的虚拟交换机。因此,当分组被发送到此PVLAN主机端口时,那些来自源标识符的分组被允许在PVLAN上,而那些来自其他人的分组在虚拟交换机处被丢弃。
说明性地,本文描述的技术可以通过硬件、软件和/或固件来执行,诸如根据PVLAN过程248(248a),其可以包含通过处理器220(或接口210的独立的处理器)执行的计算机可执行指令以执行与本文描述的技术相关的功能,如连同交换过程244。例如,本文的技术可以被视为对常规协议的延伸,诸如各种分布式虚拟交换协议,正因为如此,可以相应地通过本领域中所理解的执行那些协议的相似的组件来处理。
操作上,根据本文的技术,集群中的每个服务器可以包括至少一个与至少一个PVLAN主机端口相关联的虚拟交换机并且也可以包括至少一个或多个网络接口210,这些网络接口可以被配置为作为(分布式)虚拟交换机的一部分在计算机网络中通信。当通过一个或多个处理器220来执行PVLAN过程248时,PVLAN过程248可以被配置为维护源设备(即被允许通过虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口的“源标识符”)的列表(如数据结构245)。由于能够与PVLAN主机通信的源的数量趋向于相对少量的源,因此通过每个虚拟交换机维护的列表上的源标识符将相对地是少量的。如上所述,这些源标识符可以被体现为MAC地址或任何其它能够唯一识别源的标识符。源可以是端口、虚拟机或任何其它能够接收分组的目的地类型节点。
另外,PVLAN(主机VM端口与其相关联)可以是孤立的PVLAN或是社区PVLAN。在孤立的PVLAN中,PVLAN主机VM端口仅可以与主要VLAN(如网关服务器110)上的非PVLAN设备通信。因此,当分组目的地为孤立的PVLAN中的PVLAN主机VM端口(VM)时,当且仅当分组的源标识符与非PVLAN设备的源标识符匹配时,分组可以被转发。
另一方面,当PVLAN是社区PVLAN时,与社区PVLAN列表相关联的标识符的列表包括针对PVLAN的主要VLAN上的一个或多个非PVLAN设备,以及与特定社区PVLAN相关联的每个端口的源标识符。另外,一个或多个非PVLAN设备可以是针对主要VLAN的网关。每个社区PVLAN主机VM端口可以仅与相同社区的其它成员以及主要VLAN上的非PVLAN设备(如网关110)通信。因此,当分组目的地为社区PVLAN中的VM主机端口时,当且仅当源标识符与非PVLAN设备中的一个的源标识符匹配或与社区成员中的一个的源标识符匹配时,分组可以被转发。
本文的技术提供了孤立的和社区PVLAN源标识符的优化的分布以使分布式虚拟交换机网络中的PVLAN的实施更加可扩展。例如,如果集群中的特定服务器不主持任何PVLAN主机端口(其是社区或孤立的PVLAN的一部分),则与此孤立的或社区PVLAN相关联的源/目的地标识符的列表不需要被发布到此服务器,因此阻止服务器必须为在那些服务器上没有任何端口的PVLAN存储源标识符。
值得注意的是,服务器/虚拟交换机上的这些列表的编程可以通过一个或多个监测设备180来控制和维护。示例监测设备180可以包括网关110、上游交换机120、独立的配置设备、网络管理服务器(NMS)或其它能够与服务器/虚拟交换机200通信并且配置服务器/虚拟交换机200的设备。
通常,至少有两种类型的源标识符可以被包括在源标识符列表中:非PVLAN成员和社区PVLAN成员,取决于源/目的地与哪种PVLAN相关联。通常,非PVLAN成员包括主要VLAN上的网关110以及需要与孤立的或社区PVLAN主机端口VMs通信的主要VLAN上的任何物理主机。因此这样的被视为非PVLAN成员的设备的数量通常非常少,这些源标识符可以通过DVS的监测设备上的管理员来配置。监测设备则可以将此信息传送到与PVLAN相关联的服务器中的每个虚拟交换机组件。
然而,监测设备负责管理社区PVLAN内的每个虚拟交换机上的PVLAN主机端口的“提出/拿下”。因此,监测设备负责维护所有PVLAN主机VMs(其是每个社区PVLAN的一部分)的列表并且负责服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的映射。例如,位图可以被用于管理所有在特定PVLAN上拥有至少一个主机VM端口的服务器的列表,这可以被本领域技术人员所理解。
更具体地说,当服务器上的新端口被添加到社区PVLAN时,监测设备获得针对所有PVLAN主机VMs(其是社区PVLAN的一部分)的源标识符的列表并且也获得服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的位图。监测设备然后将新端口添加到与社区PVLAN相关联的源标识符的列表。另外,当与新端口相关联的服务器不是服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的位图的一部分时,针对社区PVLAN的源标识符的更新列表被发送到与新端口相关联的服务器并且服务器被添加到针对此特定社区PVLAN的位图。最后,与社区PVLAN相关联的标识符的更新列表被发送到所有与社区PVLAN(通常新服务器除外,因为服务器已经被更新了)相对应的位图上的服务器。
相反地,也可以通过监测设备将端口从社区PVLAN中删除。具体地说,在此情况下,监测设备再次获得针对所有PVLAN主机VMs(其是社区PVLAN的一部分)的源标识符的列表并且也获得服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的位图。然后监测设备从与此特定社区PVLAN相关联的源标识符列表中将与此特定端口相关联的源标识符删除并且将变化传送到所有与此特定社区PVLAN相关联的位图上的服务器。另外,如果与端口相关联的服务器不再主持任何与此社区PVLAN相关联的端口,则与此特定社区PVLAN相关联的源标识符的列表从服务器中被移除并且服务器从与此特定社区PVLAN相关联的位图中被移除。
也可以将端口从一个服务器移动到相同网络内的另一服务器。这本质上相当于从第一服务器中删除端口和将该端口添加到第二服务器。因此,在这种情况下,监测设备将更新发送到第一服务器,该第一服务器表明与端口相关联的源标识符对第一服务器不再是本地的,并且监测设备将更新发送到第二服务器,该第二服务器表明端口的源标识符现在对此服务器是本地的。此外,如果第一服务器上没有其它端口作为端口与相同社区PLAVNs相关联,则针对此特定社区PVLAN的源标识符的列表从第一服务器中被移除并且服务器从与此特定社区PVLAN(端口是相关的)相关联的位图中被移除。
同样地,如果第二服务器有其它与相同社区VLAN相关联的端口作为新移动的端口,第二服务器上的源标识符的列表被更新以包括新移动的端口的源标识符。然而,如果第二服务器没有任何其它与相同社区PVLAN相关联的端口作为新移动的端口,则与此社区PVLAN相关联的源标识符的列表被发送到第二服务器并且被存储在第二服务器上,并且第二服务器被添加到与此特定社区PVLAN相关联的位图。
然而,当新服务器被添加到集群时,监测设备再次获得针对所有PVLAN主机VM端口(其是社区PVLAN的一部分)的源标识符的列表并且也获得服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的位图。新添加的服务器上的所有PVLAN主机VM端口的源标识符然后被添加到此社区PVLAN的源标识符列表并且针对此社区PVLAN的更新的源标识符列表被发送到所有与此社区PVLAN相关联的其它服务器。如果新添加的服务器包含至少一个与至少一个社区PVLAN相关联的PVLAN主机端口,则新服务器被添加到每个与社区PVLAN(服务器上至少一个端口是其成员)相关联的位图。针对每个社区PVLAN(在服务器上至少有一个端口)的源标识符的列表被发送到此服务器。
另外,当服务器从集群中被移除时,监测设备获得针对所有PVLAN主机VM端口(其是社区PVLAN的一部分)的源标识符的列表并且也获得服务器(有至少一个属于每个社区PVLAN的PVLAN主机端口)的位图。服务器则从每个所有社区PVLAN(服务器之前是相关联的)的位图中被移除。最后,服务器上的每个端口通过上述讨论的顺序被删除,并且每个相关联的社区PVLAN的源标识符列表在集群上所有剩余的服务器内相应地被更新。
在大规模分布式虚拟交换机中实施PVLAN的说明性的程序将参照图3进行描述。
具体地说,图3根据一个或多个本文描述的实施例,具体地从虚拟交换机的角度示出了用于在大规模虚拟机中实施PVLAN的示例简化程序300。程序300在步骤305处开始,并且继续到步骤310,其中步骤310如本文所详细描述的,源标识符的列表被维护在网络中的每个虚拟交换机处。如上所述,此列表包含源标识符,这些源标识符被允许通过此特定虚拟交换机将分组发送到PVLAN中的虚拟机的端口。
因此,在步骤320中,当虚拟交换机从目的地为PVLAN中特定端口的特定源接收分组时,虚拟交换机在步骤330中关于与特定源相关联的特定标识符是否与维护在此特定虚拟交换机上的列表中的源标识符相匹配做出决定。当源标识符与维护在此虚拟交换机上的列表上的源标识符中的一个相匹配时,在步骤350中分组被转发到PVLAN中它的预期目的地。然而,当与特定源相关联的源标识符与同此特定PVLAN相关联的列表上的源标识符不匹配时,在步骤340中分组被丢弃并且因此阻止分组被转发到PVLAN中任何端口。在步骤355处过程说明性地结束,可是值得注意的是有返回到步骤310或320的选项以分别地维护源标识符的列表或接收附加的分组。
应该注意的是虽然上面示出和描述了简化程序300内的某些步骤,但是图3中示出的步骤仅是用于说明的示例,并且某些步骤可能按照需要被包括在内或被排除。另外,虽然示出了步骤的特定顺序,但是此顺序仅仅是说明性的,并且在不脱离本文实施例的范围的情况下,可以利用步骤的任何合适的布置。
参照图4-7进一步描述了本文的技术,示出了示例拓扑结构和设置,一个或多个说明性的实施例可以被应用在其中。
具体地说,图4-5示出了场景,其中分组的源和分组的目的地都在相同的服务器上。
更具体地说,图4示出了示例实施例,其中虚拟机1(VM1)430a和虚拟机2(VM2)430b可以被指定在与主要VLAN 400相对应的孤立的PVLAN 410内。VM1 430a和VM2 430b都可以被安装在相同的物理服务器上,虽然不必这样。同样地,在某些实施例中,虚拟交换机200a也可以可选择地被安装在与VM1和VM2相同的服务器上。
另外,在此示例实施例中,虚拟交换机200a可以被编程为拥有与孤立的PVLAN 410相关联的源标识符的列表。在这种情况下,因为PVLAN410是孤立的,因此在此示例实施例中源标识符的列表将仅包括与主要VLAN 400上的网关服务器110相关联的源标识符(MAC地址)。
在此示例中,当VM1发送目的地为VM2的分组440时,虚拟交换机200a在PVLAN 410上处理分组。由于目的地(即VM2)是在孤立的PVLAN中,所以虚拟交换机200a检查与VM2相关联的源标识符是否与同孤立的PVLAN 410相关联的源标识符的列表中的地址中的一个相匹配。在这种情况下,由于VM2是孤立于VM1的,所以VM2的源标识符(如MAC地址)将不在被编程在虚拟交换机200a上的源标识符的列表上。因此,分组440将被丢弃并且在虚拟交换机200a处阻止分组440被转发到VM2。
图5示出了另一示例实施例,其中VM1 530a和VM2 530b可以被配置在与主要VLAN 500相对应的社区PVLAN 510内并且VM3 530c可以在与相同的主要VLAN 500相对应的社区PVLAN 520中。注意到VM1、VM2和VM3可以被安装在相同的服务器上,虽然这不是必要的。
在这种情况下,虚拟交换机200a可以被编程为拥有与社区PVLAN510相关联的源标识符的第一列表,其中源标识符的第一列表将包括主要VLAN 500上的网关服务器110的源标识符、VM1的源标识符和VM2的源标识符。另外,此示例实施例中的虚拟交换机200a也将被编程拥有与社区PVLAN 520相关联的源标识符的第二列表,其在这种情况下将包括主要VLAN 500的网关服务器110的源标识符和VM3的源标识符。
因此,根据说明性的实施例,当VM1发送目的地为VM2的分组540时,虚拟交换机200a处理社区PVLAN 510上的分组。由于目的地VM2是社区PVLAN 510的一部分,因此虚拟交换机200a通过将VM2的源标识符与同社区PVLAN 510相关联的源标识符的列表上的源标识符进行匹配来检查源标识符是否在与社区PVLAN 510相关联的源标识符的列表中。由于VM1确实是针对社区PVLAN 510的源标识符的列表的一部分,因此在这种情况下分组540将被转发到VM2。
然而,在此示例实施例中当VM1发送目的地为VM3的分组时,虚拟交换机200a处理PVLAN 520上的分组。由于目的地VM3是社区PVLAN520的一部分,虚拟交换机200a检查与社区PVLAN 520相关联的源标识符的第二列表以判定分组570是否可以被发送到VM3。由于VM1不是针对社区PVLAN 520的源标识符的第二列表的一部分,因此分组570在虚拟交换机200a处被丢弃并且不被转发到VM3。
或者,图6-7示出了两个示例实施例,其描述了一种情况,其中分组的源和分组的目的地是在集群中的不同服务器上。
更具体地说,图6示出了一个示例,其中VM1 630a和VM2 630b被指定在与主要VLAN 600相对应的孤立的PVLAN 610中并且VM1和VM2都被连接到不同的服务器,如寄主虚拟交换机200a和200b。在这种情况下,虚拟交换机200a和200b都被编程为拥有与孤立的PVLAN 610相关联的源标识符的列表。再次在这种情况下,由于PVLAN 610是孤立的,此示例实施例中的源标识符的列表将仅包括与主要VLAN 600上的网关服务器110相关联的源标识符。
因此,当VM1发送目的地为VM2的分组640时,并且虚拟交换机200a将分组640涌至主要VLAN 600上的上游交换机120,上游交换机则将分组涌至服务器660上的虚拟交换机200b。然后虚拟交换机200b处理VLAN 600上的分组640以判定分组640是否可以被发送到它的目的地VM2。因此,VM2检查与孤立的PVLAN 610相关联的源标识符的列表并且判定源标识符(如VM1)是否在源标识符的列表上。由于VM1的源标识符将不在源标识符的列表上,在这种情况下分组640将在虚拟交换机200b处被丢弃(阻断)。
图7示出了另一实施例,其中VM1730a和VM2730b可以在与主要VLAN 700相对应的社区PVLAN 710内,并且VM3730c可以在与相同的主要VLAN 700相对应的社区PVLAN 720内。在此实施例中,假设在VM1处是与第一服务器(虚拟交换机200a)通信并且VM2和VM3是与不同的服务器(虚拟交换机200b)通信。然而,VM2和VM3也同样可以被安装在不同的服务器上。
在此示例实施例中,虚拟交换机200a和200b都被编程拥有与社区PVLAN 710相关联的源标识符的第一列表。在这种情况下,源标识符的第一列表将包括主要VLAN 700上的网关服务器110的源标识符、VM1的源标识符和VM2的源标识符。另外,在此示例实施例中虚拟交换机200a和200b都将被编程拥有与社区PVLAN 720相关联的源标识符的第二列表,在这种情况下该源标识符的第二列表将包括主要VLAN 700的网关服务器的源标识符和VM3的源标识符。
因此,当VM1发送目的地为VM2的分组740时,虚拟交换机200a再次将分组740涌至主要VLAN 700上的上游交换机120并且上游交换机120将分组740转发到服务器上的虚拟交换机200b。虚拟交换机200b处理主要VLAN 700上的分组740并且由于目的地VM2是社区PVLAN 710的一部分,虚拟交换机200b判定源标识符(VM1)是否在与社区PVLAN710相关联的源标识符的第一列表上。在这种情况下,由于与VM1相关联的源标识符确实在与社区PVLAN 710相关联的源标识符的列表上,因此虚拟交换机200b允许分组740被转发到VM2。
然而,当VM1发送目的地为VM3的分组770时,虚拟交换机200a再次将分组770涌至主要VLAN 700上的上游交换机120并且上游交换机120将分组770转发到服务器上的虚拟交换机200b。虚拟交换机200b处理主要VLAN 700上的分组770并且由于目的地VM3是社区PVLAN 720的一部分,虚拟交换机200b判定源标识符(VM1)是否在与社区PVLAN720相关联的源标识符的第二列表上。在这种情况下,由于针对VM1的源标识符不在与社区PVLAN 720相关联的源标识符的列表上,分组770在虚拟交换机200b处被丢弃。
因此,本文描述的技术提供了在大规模分布式虚拟交换机中PVLAN的有效的实施,具体地是通过提供不需要集群中的每个服务器接收每个PVLAN主机VM端口标识符的可扩展的技术,与之前将每个PVLAN主机VM端口分发到集群中的每个服务器的解决方案不同。具体地说,当PVLAN主机端口是孤立的PVLAN主机端口时,每个服务器仅存储主要VLAN中的非PVLAN设备的源标识符,如MAC地址。然而,对于社区PVLAN主机端口来说,每个服务器仅存储特定PVLAN主机端口的PVLAN的源标识符,其中特定PVLAN主机端口是那些PVLAN的成员。也就是说,如果服务器/设备不主持任何社区PVLAN主机VM端口,此特定服务器不存储任何社区成员的源标识符,因此穿过整个DVS改善可扩展性和存储效率。
虽然已经示出和描述了说明性的实施例,这些实施例提供了在大规模分布式虚拟交换机中实施PVLAN,要理解的是在本文实施例的精神和范围内,可以做出各种其它适应和修改。例如,本文已经示出和描述的与在特定类型的设备之间的特定网络配置有关的实施例。然而,他们的更广泛的理解中的实施例没有被限制,并且事实上可以与其它分布式虚拟交换机架构一起使用。另外,虽然某些协议可能已经被说明或被暗示,但是可以相应地使用其它合适的协议。
前述的描述已经被指向特定的实施例。然而,显而易见的是可以对描述的实施例做出其它适应和修改,获得一些或所有的他们的优势。例如,清楚地预期的是本文描述的组件和/或元素可以作为被存储在有程序指令的有形(非暂态)计算机可读介质(如磁盘/CDs/RAM/EEPROM等)上的软件被实施,其中有形计算机可读介质拥有在计算机、硬件、固件或它们的组合上执行的程序指令。因此仅通过示例来进行描述并且不是另外限制本文实施例的范围。因此,附加的权利要求的目的是覆盖所有这样的在本文实施例的真实的精神和范围内的变化和修改。
Claims (20)
1.一种方法,包括:
在虚拟交换机处维护源标识符的列表,所述源标识符被允许通过所述虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口;
在所述虚拟交换机处从目的地为所述PVLAN中特定端口的特定源接收分组;
判定与所述特定源相关联的特定标识符是否与所述列表中的所述源标识符中的一个相匹配;以及
当所述特定标识符不在所述列表上时,阻止所述分组被转发到所述PVLAN中的所述特定端口。
2.如权利要求1所述的方法,其中所述PVLAN是孤立的PVLAN,并且其中所述列表包括针对所述PVLAN的主要虚拟局域网(VLAN)上的一个或多个非PVLAN设备。
3.如权利要求2所述的方法,其中所述一个或多个非PVLAN设备是所述主要VLAN的网关。
4.如权利要求1所述的方法,其中所述PVLAN是社区PVLAN,并且其中所述列表包括针对PVLAN的主要VLAN上的一个或多个非PVLAN设备,以及与所述社区PVLAN相关联的每个端口的标识符。
5.如权利要求4所述的方法,其中所述虚拟交换机在多个服务器中的一个服务器上,并且其中仅那些在所述社区PVLAN中具有端口的服务器对与所述社区PVLAN相关联的每个端口的所述标识符进行储存。
6.如权利要求1所述的方法,还包括基于来自监测设备的指令填充所述列表。
7.如权利要求1所述的方法,其中所述PVLAN中的所述一个或多个端口是主机VM端口。
8.如权利要求1所述的方法,其中所述标识符是介质访问控制(MAC)地址。
9.一种装置,包括:
一个或多个网络接口,所述一个或多个网络接口作为虚拟交换机的一部分在计算机网络中通信;
处理器,该处理器被耦合到网络接口并且适应于执行一个或多个过程;以及
存储器,该存储器被配置为存储可通过所述处理器执行的过程,当所述过程被执行时能操作来执行以下步骤:
维护源标识符的列表,所述源标识符被允许通过所述虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口;
从目的地为所述PVLAN中特定端口的特定源接收分组;
判定与所述特定源相关联的特定标识符是否与所述列表中的所述源标识符中的一个相匹配;以及
当所述特定标识符不在所述列表中时,阻止所述分组被转发到所述PVLAN中的所述特定端口。
10.如权利要求9所述的设备,其中所述PVLAN是孤立的PVLAN,并且其中所述列表包括针对所述PVLAN的主要虚拟局域网(VLAN)上的一个或多个非PVLAN设备。
11.如权利要求10所述的设备,其中所述一个或多个非PVLAN设备是所述主要VLAN的网关。
12.如权利要求9所述的设备,其中所述PVLAN是社区PVLAN,并且其中所述列表包括针对所述PVLAN的主要VLAN上的一个或多个非PVLAN设备,以及与所述社区PVLAN相关联的每个端口的标识符。
13.如权利要求12所述的设备,其中所述虚拟交换机在多个服务器中的一个服务器上,并且其中仅那些在所述社区PVLAN中具有端口的服务器对与所述社区PVLAN相关联的每个端口的所述标识符进行储存。
14.如权利要求9所述的设备,其中当所述过程被执行时,所述过程还能操作来执行以下步骤:
基于来自监测设备的指令填充所述列表。
15.如权利要求9所述的设备,其中所述PVLAN中的所述一个或多个端口是主机VM端口。
16.如权利要求9所述的设备,其中所述标识符是介质访问控制(MAC)地址。
17.一种其上具有软件指令的有形的、非暂态计算机可读介质,当所述软件指令通过计算机网络中被配置为作为虚拟交换机的一部分进行操作的设备上的处理器被执行时,能操作来执行以下步骤:
维护源标识符的列表,所述源标识符被允许通过所述虚拟交换机将分组发送到私有虚拟局域网(PVLAN)中的端口;
从目的地为所述PVLAN中特定端口的特定源接收分组;
判定与所述特定源相关联的特定标识符是否与所述列表中的所述源标识符中的一个相匹配;以及
当所述特定标识符不在所述列表中时,阻止所述分组被转发到所述PVLAN中的所述特定端口。
18.如权利要求17所述的方法,其中所述PVLAN是孤立的PVLAN,并且其中所述列表包括针对所述PVLAN的主要虚拟局域网(VLAN)上的一个或多个非PVLAN设备。
19.如权利要求17所述的方法,其中所述PVLAN是社区PVLAN,并且其中所述列表包括针对所述PVLAN的主要VLAN上的一个或多个非PVLAN设备,以及与所述社区PVLAN相关联的每个端口的标识符。
20.如权利要求19所述的方法,其中所述虚拟服务器在多个服务器中的一个服务器上,并且其中仅那些在所述社区PVLAN中具有端口的服务器对与所述社区PVLAN相关联的每个端口的所述标识符进行储存。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/477,605 | 2012-05-22 | ||
US13/477,605 US9331872B2 (en) | 2012-05-22 | 2012-05-22 | Implementing PVLANs in a large-scale distributed virtual switch |
PCT/US2013/042213 WO2013177273A1 (en) | 2012-05-22 | 2013-05-22 | IMPLEMENTING PVLANs IN A LARGE-SCALE DISTRIBUTED VIRTUAL SWITCH |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104335531A true CN104335531A (zh) | 2015-02-04 |
CN104335531B CN104335531B (zh) | 2018-02-16 |
Family
ID=49621567
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380026824.XA Active CN104335531B (zh) | 2012-05-22 | 2013-05-22 | 在大规模分布式虚拟交换机中实现pvlan |
Country Status (4)
Country | Link |
---|---|
US (1) | US9331872B2 (zh) |
EP (1) | EP2853065B1 (zh) |
CN (1) | CN104335531B (zh) |
WO (1) | WO2013177273A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109845200A (zh) * | 2016-07-21 | 2019-06-04 | 思科技术公司 | 检测并防止网络环路 |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2852107B1 (en) * | 2012-06-21 | 2021-03-03 | Huawei Technologies Co., Ltd. | Packet processing method and apparatus |
US9146890B1 (en) * | 2013-01-25 | 2015-09-29 | Pmc—Sierra Us, Inc. | Method and apparatus for mapped I/O routing in an interconnect switch |
US9092353B1 (en) | 2013-01-29 | 2015-07-28 | Pmc-Sierra Us, Inc. | Apparatus and method based on LDPC codes for adjusting a correctable raw bit error rate limit in a memory system |
US9813080B1 (en) | 2013-03-05 | 2017-11-07 | Microsemi Solutions (U.S.), Inc. | Layer specific LDPC decoder |
US10230396B1 (en) | 2013-03-05 | 2019-03-12 | Microsemi Solutions (Us), Inc. | Method and apparatus for layer-specific LDPC decoding |
US9397701B1 (en) | 2013-03-11 | 2016-07-19 | Microsemi Storage Solutions (Us), Inc. | System and method for lifetime specific LDPC decoding |
US9590656B2 (en) | 2013-03-15 | 2017-03-07 | Microsemi Storage Solutions (Us), Inc. | System and method for higher quality log likelihood ratios in LDPC decoding |
US9450610B1 (en) | 2013-03-15 | 2016-09-20 | Microsemi Storage Solutions (Us), Inc. | High quality log likelihood ratios determined using two-index look-up table |
US9454414B2 (en) | 2013-03-15 | 2016-09-27 | Microsemi Storage Solutions (Us), Inc. | System and method for accumulating soft information in LDPC decoding |
GB2518425A (en) * | 2013-09-20 | 2015-03-25 | Tcs John Huxley Europ Ltd | Messaging system |
CN104883325B (zh) | 2014-02-27 | 2018-02-06 | 国际商业机器公司 | Pvlan交换机及其连接到非pvlan装置的方法 |
US9417804B2 (en) | 2014-07-07 | 2016-08-16 | Microsemi Storage Solutions (Us), Inc. | System and method for memory block pool wear leveling |
US9313044B2 (en) * | 2014-07-17 | 2016-04-12 | Cisco Technology, Inc. | Multiple mobility domains with VLAN translation in a multi-tenant network environment |
US10332613B1 (en) | 2015-05-18 | 2019-06-25 | Microsemi Solutions (Us), Inc. | Nonvolatile memory system with retention monitor |
US9799405B1 (en) | 2015-07-29 | 2017-10-24 | Ip Gem Group, Llc | Nonvolatile memory system with read circuit for performing reads using threshold voltage shift read instruction |
US9886214B2 (en) | 2015-12-11 | 2018-02-06 | Ip Gem Group, Llc | Nonvolatile memory system with erase suspend circuit and method for erase suspend management |
US9892794B2 (en) | 2016-01-04 | 2018-02-13 | Ip Gem Group, Llc | Method and apparatus with program suspend using test mode |
US9899092B2 (en) | 2016-01-27 | 2018-02-20 | Ip Gem Group, Llc | Nonvolatile memory system with program step manager and method for program step management |
US10291263B2 (en) | 2016-07-28 | 2019-05-14 | Ip Gem Group, Llc | Auto-learning log likelihood ratio |
US10157677B2 (en) | 2016-07-28 | 2018-12-18 | Ip Gem Group, Llc | Background reference positioning and local reference positioning using threshold voltage shift read |
US10236915B2 (en) | 2016-07-29 | 2019-03-19 | Microsemi Solutions (U.S.), Inc. | Variable T BCH encoding |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030131105A1 (en) * | 2002-01-09 | 2003-07-10 | Moshe Czeiger | Mapping between virtual local area networks and fibre channel zones |
CN1791065A (zh) * | 2005-12-20 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种接入虚拟局域网的方法 |
US20060146835A1 (en) * | 2004-12-30 | 2006-07-06 | Sanjib Homchaudhuri | Platform independent implementation of private VLANS |
CN101014015A (zh) * | 2007-02-15 | 2007-08-08 | 杭州华为三康技术有限公司 | 转发报文和建立媒质接入控制地址表项的方法及交换机 |
US20080163207A1 (en) * | 2007-01-03 | 2008-07-03 | International Business Machines Corporation | Moveable access control list (acl) mechanisms for hypervisors and virtual machines and virtual port firewalls |
US7643482B2 (en) * | 2006-06-30 | 2010-01-05 | Sun Microsystems, Inc. | System and method for virtual switching in a host |
CN101707545A (zh) * | 2009-11-06 | 2010-05-12 | 中兴通讯股份有限公司 | 一种实现私有虚拟局域网的方法和系统 |
US20100169880A1 (en) * | 2008-12-25 | 2010-07-01 | Voltaire Ltd. | Virtual input-output connections for machine virtualization |
US20100293250A1 (en) * | 2009-05-14 | 2010-11-18 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in dhcp snooping/dynamic arp inspection/ip source guard enabled unified network |
CN101924700A (zh) * | 2010-08-09 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文处理方法、装置和网络设备 |
US8170033B1 (en) * | 2009-04-06 | 2012-05-01 | Juniper Networks, Inc. | Virtual private local area network service (VPLS) flush mechanism for BGP-based VPLS networks |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8213336B2 (en) | 2009-02-23 | 2012-07-03 | Cisco Technology, Inc. | Distributed data center access switch |
US8879554B2 (en) | 2010-05-07 | 2014-11-04 | Cisco Technology, Inc. | Preventing MAC spoofs in a distributed virtual switch |
US8798059B1 (en) * | 2010-12-03 | 2014-08-05 | Juniper Networks, Inc. | Optimizing private virtual local area networks (VLANs) |
US8705526B1 (en) * | 2010-12-03 | 2014-04-22 | Juniper Networks, Inc. | Extending VPLS support for CE lag multi-homing |
US8660075B2 (en) * | 2011-01-10 | 2014-02-25 | Brocade Communications Systems, Inc. | Congestion notification in private VLANs |
US8670450B2 (en) * | 2011-05-13 | 2014-03-11 | International Business Machines Corporation | Efficient software-based private VLAN solution for distributed virtual switches |
US20130077530A1 (en) | 2011-09-28 | 2013-03-28 | Cisco Technology, Inc. | Scaling IPv6 on Multiple Devices Virtual Switching System with Port or Device Level Aggregation |
US8654765B2 (en) | 2011-11-03 | 2014-02-18 | Cisco Technology, Inc. | Distributed network flow exporter |
-
2012
- 2012-05-22 US US13/477,605 patent/US9331872B2/en active Active
-
2013
- 2013-05-22 CN CN201380026824.XA patent/CN104335531B/zh active Active
- 2013-05-22 WO PCT/US2013/042213 patent/WO2013177273A1/en active Application Filing
- 2013-05-22 EP EP13726987.4A patent/EP2853065B1/en active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030131105A1 (en) * | 2002-01-09 | 2003-07-10 | Moshe Czeiger | Mapping between virtual local area networks and fibre channel zones |
US20060146835A1 (en) * | 2004-12-30 | 2006-07-06 | Sanjib Homchaudhuri | Platform independent implementation of private VLANS |
CN1791065A (zh) * | 2005-12-20 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种接入虚拟局域网的方法 |
US7643482B2 (en) * | 2006-06-30 | 2010-01-05 | Sun Microsystems, Inc. | System and method for virtual switching in a host |
US20080163207A1 (en) * | 2007-01-03 | 2008-07-03 | International Business Machines Corporation | Moveable access control list (acl) mechanisms for hypervisors and virtual machines and virtual port firewalls |
CN101014015A (zh) * | 2007-02-15 | 2007-08-08 | 杭州华为三康技术有限公司 | 转发报文和建立媒质接入控制地址表项的方法及交换机 |
US20100169880A1 (en) * | 2008-12-25 | 2010-07-01 | Voltaire Ltd. | Virtual input-output connections for machine virtualization |
US8170033B1 (en) * | 2009-04-06 | 2012-05-01 | Juniper Networks, Inc. | Virtual private local area network service (VPLS) flush mechanism for BGP-based VPLS networks |
US20100293250A1 (en) * | 2009-05-14 | 2010-11-18 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in dhcp snooping/dynamic arp inspection/ip source guard enabled unified network |
CN101707545A (zh) * | 2009-11-06 | 2010-05-12 | 中兴通讯股份有限公司 | 一种实现私有虚拟局域网的方法和系统 |
CN101924700A (zh) * | 2010-08-09 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文处理方法、装置和网络设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109845200A (zh) * | 2016-07-21 | 2019-06-04 | 思科技术公司 | 检测并防止网络环路 |
Also Published As
Publication number | Publication date |
---|---|
US20130315252A1 (en) | 2013-11-28 |
WO2013177273A1 (en) | 2013-11-28 |
CN104335531B (zh) | 2018-02-16 |
US9331872B2 (en) | 2016-05-03 |
EP2853065A1 (en) | 2015-04-01 |
EP2853065B1 (en) | 2017-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104335531A (zh) | 在大规模分布式虚拟交换机中实现pvlan | |
EP3677009B1 (en) | Unified security policies across virtual private clouds with overlapping ip address blocks | |
CN106936777B (zh) | 基于OpenFlow的云计算分布式网络实现方法、系统 | |
RU2651149C2 (ru) | Sdn-контроллер, система центра обработки данных и способ маршрутизируемого соединения | |
CN102884763B (zh) | 跨数据中心的虚拟机迁移方法、服务控制网关及系统 | |
US8819267B2 (en) | Network virtualization without gateway function | |
US20140006585A1 (en) | Providing Mobility in Overlay Networks | |
EP3751794B1 (en) | Method and apparatus for a converged wired/wireless enterprise network architecture | |
JP6434821B2 (ja) | 通信装置及び通信方法 | |
CN111886833A (zh) | 用于sdn控制信道故障的控制消息重定向机制 | |
EP3358807B1 (en) | Firewall cluster | |
US9344360B2 (en) | Technique for managing an allocation of a VLAN | |
CN111263373B (zh) | 数据处理方法、控制器和转发设备 | |
CN103684960A (zh) | 网络系统以及虚拟节点的迁移方法 | |
WO2016066119A1 (en) | Deployment of virtual extensible local area network | |
CN106452857A (zh) | 生成配置信息的方法和网络控制单元 | |
CN106034052B (zh) | 一种对虚拟机间二层流量进行监控的系统及方法 | |
EP2987282A1 (en) | Virtual machine migration | |
CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
US10305700B2 (en) | Systems and methods for designating packets for customized data processing in port-extended architectures | |
CN110474829B (zh) | 传输报文的方法和装置 | |
CN107579898B (zh) | 一种多种容器间互联通信的方法及其装置 | |
CN108881013B (zh) | 控制网关模式的方法、系统、sdn控制器和接入设备 | |
CN113037883B (zh) | 一种mac地址表项的更新方法及装置 | |
CN110391961B (zh) | 一种隧道绑定方法、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |