CN105490995B

CN105490995B - 一种在nvo3网络中nve转发报文的方法和设备

Info

Publication number: CN105490995B
Application number: CN201410521094.7A
Authority: CN
Inventors: 鲜明双; 陶孜谨; 唐刚; 黄登辉
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2014-09-30
Filing date: 2014-09-30
Publication date: 2018-04-20
Anticipated expiration: 2034-09-30
Also published as: US20160094440A1; CN105490995A; US9794173B2

Abstract

本发明公开了一种在第三层网络的虚拟覆盖网络NVO3中第一网络虚拟边缘实体NVE转发报文的方法和NVE，方法包括：响应于从该第一NVE的第一虚拟访问点VAP接收到IP报文，将该IP报文的源IP地址作为第一租户系统(TS)的IP地址，并将该IP报文所属的第一虚拟网络标识符VNID作为该第一TS所属的VNID，查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP；响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同，丢弃该IP报文；以及响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同，使用该IP报文的目的IP地址转发该IP报文。该方法和设备能够检测DDos攻击，提高NVO3网络的安全性。

Description

一种在NVO3网络中NVE转发报文的方法和设备

技术领域

本发明涉及网络安全，特别是涉及一种在第三层网络的虚拟覆盖网络NVO3中NVE转发报文的方法和设备。

背景技术

而随着云计算技术的发展，虚拟化已从传统的计算资源虚拟化扩展到计算，存储，网络等所有IT资源的虚拟化。用户可以方便地从云计算数据中心租用IT资源，而不用直接购买物理服务器。通过这种租借的方式，租户可以按需部署计算资源，降低总体拥有成本，同时将硬件资源抽象为逻辑的，统一的软件虚拟资源，也可以极大的减少IT资源的部署时间，加快应用的部署，快速响应用户需求。

从网络角度来看，多租户技术对网络虚拟化有如下需求：每个租户拥有独立的IP地址空间，租户可以自由地规划其租用的网络；租户之间的数据相互隔离；租户的虚拟计算资源可以任意放置到他希望的位置，而不受物理网络资源的位置限制。互联网工程任务组(IETF)的NVO3工作组提出的基于第三层网络的虚拟覆盖网络(Network VirtualizationOverlays,Layer3)，可以完全满足这些需求，已经成为多租户网络虚拟化的主流技术。

在网络中，安全始终都是一个很重要的问题。其中一种安全问题是分布式拒绝服务(DDoS)攻击，其基本原理是攻击者发送大量的服务请求到被攻击者，从而占用大量的服务资源，导致合法用户无法得到服务。而DDoS攻击者通常会假冒其他合法用户发起DDoS攻击，来逃脱安全检查和源追踪，也即攻击者发送的数据报文中的源IP为假冒IP(该源地址不存在或者属于其他虚拟机或主机)。

在NVO3网络中，同样存在DDoS攻击。

发明内容

因此，需要一种在NVO3网络中能够克服DDoS攻击的NVE报文转发方法和设备。

根据本发明的一个方面，提供了一种在第三层网络的虚拟覆盖网络(NVO3)中第一网络虚拟边缘实体(NVE)转发报文的方法，包括：

响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文，将该IP报文的源IP地址作为第一租户系统(TS)的IP地址，并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一TS所属的VNID，查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP；

响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同，丢弃该IP报文；以及

响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同，使用该IP报文的目的IP地址转发该IP报文。

根据本发明的另一个方面，提供了一种在第三层网络的虚拟覆盖网络(NVO3)中转发报文的第一网络虚拟边缘实体(NVE)，包括：

第一查询装置，被配置为响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文，将该IP报文的源IP地址作为第一租户系统(TS)的IP地址，并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一TS所属的VNID，查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP；

第一丢弃装置，被配置为响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同，丢弃该IP报文；以及

第一转发装置，被配置为响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同，使用该IP报文的目的IP地址转发该IP报文。

附图说明

通过结合附图对本公开示例性实施方式进行更详细的描述，本公开的上述以及其它目的、特征和优势将变得更加明显，其中，在本公开示例性实施方式中，相同的参考标号通常代表相同部件。

图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图；

图2示意性示出了一个NVO3网络的架构示意图；

图3示出了现有的NOV3的一个示意性网络结构框图；

图4示出了根据本发明一种实施方式的一种在NVO3网络中NVE转发报文的方法的流程；

图5示意性示出了对通过支撑网络接收到NVO3报文的转发方法；以及

图6示意性示出了第一NVE600的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式，然而应该理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。

图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。图1显示的计算机系统/服务器12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图1所示，计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示，通常称为“硬盘驱动器”)。尽管图1中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信，和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白，尽管图中未示出，可以结合计算机系统/服务器12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

图2示意性示出了本发明的方法和设备可以实施的一个NVO3网络的架构示意图。(参看http://tools.ietf.org/id/draft-ietf-nvo3-framework-09.txt)。

在图2所示的网络中，支撑网络(Underlay network，也称底层网络，是覆盖网络之下的支撑网络)是物理网络，用来连接各个具体的物理资源。覆盖网络(overlay network，又称为重叠网络、叠加网络)是虚拟网络，是在原有支撑网络的基础上构造的一个新的逻辑网络，供各个租户使用。租户系统(Tenantsystem，简称TS)可以是扮演一个主机(host)角色的物理或虚拟系统，包括运行于主机上的虚拟机(VM)等；也可以是一个转发元素，例如路由器，交换机，防火墙等。一个TS属于一个租户并连接到该租户的一个或多个覆盖网络上。所有TS的覆盖网络都是通过实际的支撑网络来承载并转发数据流。对应NVO3覆盖网络而言，其支撑网络是IP网络。

网络虚拟边缘实体NVE(Network Virtualization Edge)是连接覆盖网络和支撑网络的逻辑实体，NVE通过虚拟访问点VAP(Virtual Access Points)连接一个具体的租户系统，例如虚拟机VM，同时通过覆盖网络模块连接支撑网络，例如网络虚拟化授权实体NVA(Network Virtualization Authority)或者其他NVE。由于一个NVE可以连接多个TS，可以使用用于区分该报文所属的虚拟网络的虚拟网络标识符VNID来区分当前VAP是属于那个TS。

网络虚拟化授权实体NVA(Network Virtualization Authority)实现了整个NVO3网络管理和控制，其为用户提供管理接口和控制各个NVE的转发信息。

支撑网络上转发的NVO3网络支持的报文实际是在IP报文上进行了VXLAN封装，封装的报头中包含该NVO3报文在NVO3网络中的VNID，源IP地址，源MAC地址，以及目标IP地址，目标MAC地址。由于NVO3报文只在NVE之间传输，NVO3报文中包含的IP报文内也包含源NVE的IP地址以及目标NVE的IP地址。

在传统网络中，最有效的假冒源IP报文过滤机制是入口过滤机制，该机制在路由器或防火墙上进行过滤，并负责检查来自某个网络的报文是否确实源自该网络。RFC2827描述了入口流量过滤的概念，RFC3704描述了5种不同的实现方式，包括手工和自动配置。自动配置方式主要使用单播逆向路径转发uRPF(Unicast Reverse Path Forwarding)。uRPF检查从特定端口进入路由器的报文。通过路由器的FIB表，判断该报文是否匹配报文源地址的输出端口。如果匹配，就允许转发；如何不匹配，或者没有该源地址的路由，报文就被拒绝。

除了uRPF，在主动防御领域的另一个重要方法是SAVE，由UCLA(http://lasr.cs.ucla.edu/save/)提出。SAVE通过建立源地址空间到入端口的映射，为路由器进行过滤决策时提供踪迹记录。运行SAVE算法的路由器把已知的源地址空间发送到特定的目的地，因此沿途的路由器可以获得正确的源地址空间到端口的映射表。

可以看出，传统网络的源地址验证机制一般都需要网络设备根据支撑网络的路由信息或者源地址前缀信息构造合法的入接口列表，由于覆盖网络是架构在支撑网络之上的虚拟网络，其路由和源地址前缀信息对于支撑网络设备不可见，从而无法获知覆盖网络地址的真实性，因此原有的源地址验证技术不能用于NVO3网络的真实源地址验证。

对于NVO3网络的真实地址访问控制目前尚无有效手段。大多是通过手工配置的访问控制列表(ACL)来过滤非法报文。但对于数据中心而言，虚拟机(VM)可以动态创建/删除/迁移，因此手工配置ACL不是一个有效途径。同时如果NVE通过硬件专用集成电路(ASIC)实现时，配置ACL需要额外的三态内容寻址存储器(Ternary Content Associative Memory，TCAM)资源，该资源较为昂贵。

现有技术中，当一个TS(例如一个VM)连接覆盖网络中时，NVE通过TS的注册机制可以知道这个TS是连接在该NVE的那个VAP端口上，以及TS所对应的IP地址(vIP)和MAC地址(vMAC)。同时通过NVA所给的配置信息，NVE也知道VAP所对应的VNID，依据这些连接关系信息NVE即可生成对于该TS的转发信息，例如可以使用转发表，即FIT表(ForwardingInformationTable)来表示转发信息。本领域技术人员可以知道，也可以使用其他数据结构来表示转发信息。表1示出了一种包含和本发明相关的表项的FIT表结构，其中，vMAC为TS的MAC地址；vIP为TS的IP地址；pIP为TS所连接的NVE的IP地址；VAP为TS所连接的端口；VNID为VAP所对应的VNID，也可以理解为TS所属的VNID。

表1

vMAC	vIP	NVE IP(pIP)	VNID	VAP
					……	……	……	……	……

NVE存储的转发信息为本地转发信息；同时，NVE将这些转发信息发送给NVA，形成全局转发信息。另外，NVA在接收到NVE转发信息时，NVA需要查找已经保存的全局转发信息，来判定接收的NVE转发信息是否存在，如果存在并且不同于原有位置信息说明发生了TS迁移，这时需要更新全局转发信息；如果是不存在，则是新的TS上线，NVA将接收到信息存储在全局转发信息中，这样其他NVE就可以通过NVA查询到这些转发信息。之所以采用局部转发信息和全局转发信息，主要是为了提高转发效率。转发信息可以通过学习(例如CiscoVxLan)或控制协议(例如IBM DOVE)来构造和维护。本发明适用于通过控制协议来构造的情况并假定构造该转发信息的方式是可信的。由于有许多方法可以保护控制协议免受攻击，例如认证和授权，因此该假定是合理的。

在NVO3网络架构中，一个NVE所表现的功能包括：(1)从VAP接收TS发送的IP报文，并且该IP报文的目的IP地址是该NVE直接相连的另一个VAP，直接将该IP报文转发到该另一个VAP；(2)从VAP接收TS发送的IP报文，并且该IP报文的目的IP地址是其他NVE，通过其覆盖网络模块对IP报文进行VXLAN封装，并通过NVO3网络将封装好的NVO3报文转发到其他NVE；(3)从支撑网络接收到其它NVE发送的VXLAN封装后的NVO3报文，通过其覆盖网络模块将其解封装成IP报文并且该IP报文的目的IP地址是该NVE直接相连的另一个VAP，直接将该IP报文转发到该另一个VAP；(4)从支撑网络接收到其它NVE发送的VXLAN封装后的NVO3报文，通过其覆盖网络模块将其解封装成IP报文并且该IP报文的目的IP地址是其他NVE，通过其覆盖网络模块对IP报文进行VXLAN封装，并通过NVO3网络将封装好的NVO3报文转发到其他NVE。也就是说，NVO3网络中的NVE可能收到来自覆盖网络的IP报文，也可能收到来自支撑网络的NVO3报文。以下以例子具体说明。

图3示出了现有的NOV3的一个示意性网络结构框图，在图3中，Host1和Host2作为支撑网络的主机，直接连接在支撑网络1和支撑网络2；NVE1和NVE2作为NVE节点，连接支撑网络3和支撑网络4；VM1，VM2，VM3，VM4作为覆盖网络的虚拟机，其VNID为VNID1；VM1和VM2分别连接在NVE1的VAP1和VAP2上；VM3和VM4分配连接在VNE2的VAP3和VAP4上。

在FIT表构建过程中，NVE1接收到VM1和VM2上线通知，生成表2所示的转发信息，作为NVE1的本地转发信息。

表2

vMAC	vIP	NVE IP(pIP)	VNID	VAP
					VM1-MAC	VM1-IP	NVE1-IP	VNID1	VAP1
VM2-MAC	VM2-IP	NVE1-IP	VNID1	VAP2
					……	……	……	……	……

NVE2接收到VM3和VM4上线通知，生成表3所示的转发信息，作为NVE2的本地转发信息。

表3

vMAC	vIP	NVE IP(pIP)	VNID	VAP
					VM3-MAC	VM3-IP	NVE2-IP	VNID1	VAP1
VM4-MAC	VM4-IP	NVE2-IP	VNID1	VAP2
					……	……	……	……	……

同时NVE1和NVE2会将其本地转发信息都发送给NVA，所以NVA形成表4所示的全局转发信息。

表4

vMAC	vIP	NVE IP(pIP)	VNID	VAP
					VM1-MAC	VM1-IP	NVE1-IP	VNID1	VAP1
VM2-MAC	VM2-IP	NVE1-IP	VNID1	VAP2
					VM3-MAC	VM3-IP	NVE2-IP	VNID1	VAP1
VM4-MAC	VM4-IP	NVE2-IP	VNID1	VAP2
					……	……	……	……	……

在现有的基于转发信息的报文转发过程中，例如，VM1通过NVE1发送IP报文到VM2。则在步骤1：在NVE1接收到IP报文，使用IP报文目的IP地址和该目的IP地址对应的VNID查找NVE1的转发信息，也即使用VM2-IP和VNID1作为表2中的vIP，VNID查找表2，发现pIP为NVE1-IP，VAP为VAP2；在步骤2：NVE1发现pIP为自己，VAP为VAP2，故转发IP报文到VAP2。

又例如，VM1通过NVE1发送IP报文到VM3。则在步骤1：在NVE1，使用该IP报文的目的IP和该目的IP地址对应的VNID，即VM3-IP和VNID1作为表2中的vIP，VNID查找表2，此时不能查找成功；在步骤2：向NVA以相同的方式查询，NVA查找成功，NVA向NVE1返回查询信息；在步骤3：NVE1获取到查询信息，发现查询信息中pIP为NVE2-IP，即目的NVE为NVE2，通过覆盖网络模块封装IP报文为NVO3报文，并将NVO3报文转发NVE2；在步骤5：在NVE2，接收到NVO3报文，先将NVO3报文解封装，获得IP报文；在步骤6：在NVE2，使用IP报文的目的IP地址和该目的IP地址对应的VNID，即VM3-IP和VNID1作为vIP和VNID查找表3，获得查询信息pIP为NVE2-IP，VAP为VAP1；在步骤7：NVE2根据pIP为NVE2-IP确定报文的目的NVE为自己，VAP为VAP1，故转发报文到VAP1，由此，VM3接收到IP报文。

从NVO3网络来看，一个假冒源IP攻击者可以直接在覆盖网络发起攻击，也可以直接在支撑网络构造假冒的VXLAN封装报文，发起对覆盖网络的攻击。从上面过程看，NVE1和NVE2都没有检查IP报文的源IP地址，所以如下非法的情况也可以将报文转发到目的地：(1)从VAP接收的IP报文从IP报文信息上看是从VM1发送到VM2或VM4的，但是IP报文的源IP不是VM1，而是VM3，甚至是不存在的VM5；(2)发送到NVE2的NVO3报文对应覆盖网络的源IP地址是VM1，或者VM2，甚至是不存在的VM5，目的IP地址是VM3；对应的支撑网络报文的源IP地址是host1，目的IP地址是NVE2；这两种情况都是假冒源IP的攻击方式，但是由于NVE转发仅仅检查目的IP地址，故所有报文都可以转发到对应的目的。因此，现有NVO3网络的报文转发过程不能对报文的真实地址进行确定，无法防止DDos攻击。

本发明提出了一种在NVO3网络中NVE转发报文的方法，图4示出了该方法的流程，根据图4，在步骤S401，响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文，将该IP报文的源IP地址作为第一租户系统(TS)的IP地址，并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一TS所属的VNID，查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP；在步骤S402，响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同，丢弃该IP报文；在步骤S403，响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同，使用该IP报文的目的IP地址转发该IP报文。这里使用该IP报文的目的IP地址转发该IP报文使用的是以上描述的现有技术，具体如何实现不再赘述。

在一种实施方式中，步骤S401中的转发信息为为该第一NVE存储的本地转发信息，这里无需使用NVA中的全局转发信息，这样可以提高查询效率，提高转发速度。在另外一种实施方式中，转发信息为所述NVO3网络中的网络虚拟化授权实体(NVA)中存储的全局转发信息。

将图4所示的方法应用到图3所示的例子中，例如，VM1通过NVE1发送数据报文到VM2或VM3。则在VNE1的报文转发过程中，首先从VAP1接收到VM1发送的报文，获得该报文的源IP地址(VM1-IP)和所对应的VNID(VNID1)；然后将VM1-IP和VNID1作为TS(VM1)的IP地址和TS所对应的VNID，查找转发信息，获得VM1-IP所连接的NVE的IP地址(NVE1-IP)以及VM1所连接的端口(VAP1)，与当前NVE(NVE1)的IP地址相同，并且VM1所连接的VAP1与当前接收该IP报文的VAP(VAP1)相同，因此，该报文合法，可以进一步使用转发流程转发，转发的过程和现有技术相同，以上示例中已经给出，这里不再赘述。但是如果NVE1从VAP1接收的发送到VM2 IP报文的源IP地址不是VM1-IP，而是VM3-IP，甚至是不存在的VM5-IP，此时使用IP报文的源IP地址查询NVE1上的转发信息，得到的NVE的IP地址就不是NVE1-IP，就与当前NVE1的IP地址不同，就能够确认其为欺诈报文，属于DDos攻击，就可以抛弃该报文。

对于图3所示在VM1通过NVE1发送数据报文到VM3的示例中，NVE2通过支撑网络(IP网路)接收到NVO3报文，该NVO3报文可能是host1假冒VM1通过NVE1发送给VM3的攻击报文。此时NVO3报文的覆盖网络的源IP地址为VM1-IP，目的IP地址为VM3-IP，其IP报文中的源IP地址为Host1的IP地址。这也是一种DDos攻击报文。可以在每一个NVE中存储着合法的NVE目录，由于NVO3报文只在NVE之间传输，并且NVO3报文中包含的IP报文内也包含源NVE的IP地址，该NVO3报文的IP报文源IP地址也就是源NVE的IP地址，如果其是合法的NVE，应该在合法的NVE目录中可以找到，如果找不到，就是非法的NVE，就被判定为DDos攻击报文，报文就会被丢弃；相反，判断为合法的报文就会被正常转发。

因此，在一种实施方式中，公开了对这种NVO3报文的处理方法，图5示意性示出了对通过支撑网络接收到NVO3报文的转发方法，根据图5，在步骤S501，响应于从该第一NVE的支撑网络接收到NVO3报文，在存储的合法的NVE目录中查找是否存在该NVO3报文的IP报文的源IP地址；在步骤S502，响应于没有查找到结果，丢弃该NVO3报文；在步骤S503中，响应于查找到结果，使用该NVO3报文的目的IP地址转发该NVO3报文。使用该NVO3报文的目的IP地址转发该NVO3报文就是采用的NVO3网络中的现有技术，这里不再赘述其如何实现。

合法的NVE目录为全部合法的NVE的IP地址。合法的NVE目录可以在网络拓扑建立时由系统管理员手工输入并存储；也可以响应于NVO3网络拓扑建立，该NVO3网络中的每个NVE向NVA注册，其中，该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录，并且该NVA向所述每个NVE分发该合法的NVE目录。例如，在图3的表2和表3的形成过程中，假设NVE1先上线，NVE2后上线。首先，NVE1上线并在NVA上注册它的源IP地址NVE1-IP；然后NVA通知NVE1仅仅只有NVE1-IP上线，最后NVE1保存合法的NVE目录如表5所示。然后NVE2上线并在NVA上注册他的源IP地址NVE2-IP，再有NVA通知NVE1有新NVE2-IP上线；最后NVA通知NVE1有新NVE2-IP上线，NVE1上形成合法的NVE目录如表6所示。NVA通知NVE2有已有NVE1-IP，NVE2-IP上线，NVE2也保存如表6所示合法的NVE目录。表5和标6的结构是示意性的，本领域技术人员可以知道，可以采用任何数据结构表达合法的NVE目录。

表5

Index	IP
		1	NVE1-IP
……	……

表6

Index	IP
		1	NVE1-IP
2	NVE2-IP
		……	……

NVE一旦出现问题，会造成合法的NVE目录的改变，因此，在一种实施方式中，在线的NVE和NVA之间需要建立保活机制，从而使合法的NVE目录的更新。也就是说，该NVO3网络中的每个NVE和该NVA之间定期通信，从而保持该合法的NVE目录的更新。在一种实施方式中，NVA定期探测其他NVE的在线情况，也即NVA周期性向所有的NVE发送一个在线探测请求报文，如果NVE在线，其立即回应一个探测应答报文。当NVA能够接收到NVE的探测应答报文时，即知道NVE在线。但一定周期内没有接收到NVE的应答报文时，即认为保活超时，NVE不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。在另一种实施方式中，NVA和NVE维护同步的定时器，也即NVA不向所有的NVE发送一个在线探测请求报文，如果NVE在线，其定期向NVA发送保活报文。当NVA能够定且接收到NVE的保活报文时，即知道NVE在线。但一定周期内没有接收到NVE的保活报文时，即认为保活超时，NVE不在线。则NVA通知其他NVE将超时的NVE从合法的NVE目录删除。

为了进一步提高安全性，在NVE之间的通信使用加密的安全通道(SecureChannel)，例如可以使用IPsec，SSL/TLS等加密方式。由于IPsec，SSL/TLS等加密方式已经成为业界标准，这里不详细讨论。

在同一个发明构思下，本发明的实施例还公开了一种在第三层网络的虚拟覆盖网络(NVO3)中转发报文的第一网络虚拟边缘实体(NVE)，图6示意性示出了第一NVE600的结构框图，根据图6，该第一NVE包括：第一查询装置601，被配置为响应于从该第一NVE的第一虚拟访问点(VAP)接收到IP报文，将该IP报文的源IP地址作为第一租户系统(TS)的IP地址，并将该IP报文所属的第一虚拟网络标识符(VNID)作为该第一TS所属的VNID，查找转发信息来获得该第一TS所连接的第二NVE的IP地址以及所连接第二VAP；第一丢弃装置602，被配置为响应于查找失败或者该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者至少之一不相同，丢弃该IP报文；以及第一转发装置603，被配置为响应于该第二NVE的IP地址与该第一NVE的IP地址、该第二VAP与该第一VAP两者都相同，使用该IP报文的目的IP地址转发该IP报文。

在一种实施方式中，所述转发信息为该第一NVE存储的本地转发信息。在另外一种实施方式中，转发信息为所述NVO3网络中的网络虚拟化授权实体(NVA)中存储的全局转发信息。

在一种实施方式中，图6所示的NVE还包括：第二查询装置604，被配置为响应于从该第一NVE的支撑网络接收到NVO3报文，在存储的合法的NVE目录中查找是否存在该NVO3报文的IP报文的源IP地址；第二丢弃装置，被配置为响应于没有查找到结果，丢弃该NVO3报文605；以及第二转发装置606，被配置为响应于查找到结果，使用该NVO3报文的目的IP地址转发该NVO3报文。

在一种实施方式中，所述合法的NVE目录为全部合法的NVE的IP地址。合法的NVE目录是采用如下方式建立的：响应于NVO3网络拓扑建立，该NVO3网络中的每个NVE向NVA注册，其中，该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录，并且该NVA向所述每个NVE分发该合法的NVE目录。

在一种实施方式中，合法的NVE目录是采用如下方式维护的：该NVO3网络中的每个NVE和该NVA之间定期通信，从而保持该合法的NVE目录的更新。

并且，该NVO3网络中的每个NVE和该NVA之间的通信使用加密的安全通道。

本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Java、Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims

1.一种在第三层网络的虚拟覆盖网络(NVO3)中第一网络虚拟边缘实体(NVE)转发报文的方法，包括：

2.根据权利要求1所述的方法，其中所述转发信息为该第一NVE存储的本地转发信息。

3.根据权利要求1所述的方法，其中所述转发信息为所述NVO3网络中的网络虚拟化授权实体(NVA)中存储的全局转发信息。

4.根据权利要求1所述的方法，其中还包括：

响应于从该第一NVE的支撑网络接收到NVO3报文，在存储的合法的NVE目录中查找是否存在该NVO3报文的IP报文的源IP地址；

响应于没有查找到结果，丢弃该NVO3报文；

响应于查找到结果，使用该NVO3报文的目的IP地址转发该NVO3报文。

5.根据权利要求4所述的方法，其中所述合法的NVE目录为全部合法的NVE的IP地址。

6.根据权利要求5所述的方法，其中所述合法的NVE目录是采用如下方式建立的：

响应于NVO3网络拓扑建立，该NVO3网络中的每个NVE向网络虚拟化授权实体(NVA)注册，其中，该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录，并且该NVA向所述每个NVE分发该合法的NVE目录。

7.根据权利要求6所述的方法，其中该合法的NVE目录是采用如下方式维护的：

该NVO3网络中的每个NVE和该NVA之间定期通信，从而保持该合法的NVE目录的更新。

8.根据权利要求6或7所述的方法，其中该NVO3网络中的每个NVE和该NVA之间的通信使用加密的安全通道。

9.一种在第三层网络的虚拟覆盖网络(NVO3)中转发报文的第一网络虚拟边缘实体(NVE)，包括：

10.根据权利要求9所述的第一NVE，其中所述转发信息为该第一NVE存储的本地转发信息。

11.根据权利要求10所述的第一NVE，其中所述转发信息为所述NVO3网络中的网络虚拟化授权实体(NVA)中存储的全局转发信息。

12.根据权利要求9所述的第一NVE，其中还包括：

第二查询装置，被配置为响应于从该第一NVE的支撑网络接收到NVO3报文，在存储的合法的NVE目录中查找是否存在该NVO3报文的IP报文的源IP地址；

第二丢弃装置，被配置为响应于没有查找到结果，丢弃该NVO3报文；

第二转发装置，被配置为响应于查找到结果，使用该NVO3报文的目的IP地址转发该NVO3报文。

13.根据权利要求12所述的第一NVE，其中所述合法的NVE目录为全部合法的NVE的IP地址。

14.根据权利要求13所述的第一NVE，其中所述合法的NVE目录是采用如下方式建立的：

响应于NVO3网络拓扑建立，该NVO3网络中的每个NVE向NVA注册，其中，该NVA从注册信息中获取全部合法的NVE的IP地址从而形成该合法的NVE目录，并且该NVA向所述每个NVE分发该合法的NVE目录。

15.根据权利要求14所述的第一NVE，其中该合法的NVE目录是采用如下方式维护的：

16.根据权利要求14或15所述的第一NVE，其中该NVO3网络中的每个NVE和该NVA之间的通信使用加密的安全通道。