CN107395532B - 一种基于sdn的多租户虚拟网络隔离方法 - Google Patents
一种基于sdn的多租户虚拟网络隔离方法 Download PDFInfo
- Publication number
- CN107395532B CN107395532B CN201710561244.0A CN201710561244A CN107395532B CN 107395532 B CN107395532 B CN 107395532B CN 201710561244 A CN201710561244 A CN 201710561244A CN 107395532 B CN107395532 B CN 107395532B
- Authority
- CN
- China
- Prior art keywords
- switch
- message
- tenant
- controller
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于SDN的多租户虚拟网络隔离方法,同一网络设施下,租户可以使用完整的地址空间,且可以和其他租户重叠,相比于传统的基于SDN的虚拟网络隔离方法,解决了虚拟网络在同一网络设施环境下的地址复用问题;同时提出基于MAC地址重写的方式解决了大型数据中心多租户虚拟网络的隔离问题,并且通过优化流表的匹配规则允许通配匹配,大大压缩了流表空间,提高了交换机存储资源的利用率和可存储的流表项数量,间接减少了由于流表空间不足而重新下发流表造成的时延。
Description
技术领域
本发明属于云管理领域,具体涉及一种基于SDN的多租户虚拟网络隔离方法。
背景技术
近年来,云计算的兴起极大提高了资源的利用率、减少了成本开支,受到各行各业的广泛关注和应用。随着云计算的飞速发展和用户规模的不断增大,用户网络需求不断提高,如何使得用户可以灵活地自定义网络拓扑和不同租户之间在同一网络设施下进行网络隔离,成为云计算网络不得不解决的重大问题。
传统的网络隔离方案主要采用VLAN的方式,但同一局域网内的VLAN数量有限,难以满足大型数据中心大规模用户的需求。而由Overlay技术衍生的OpenVPN、VXLAN、NVGRE等技术,虽然能够满足大规模租户的需求,但是由于采用封装手段在效率上不尽人意,而且配置复杂、扩展性比较差,因而在大型云数据中心的效果并不理想。
随着软件定义网络技术的出现,大型数据中心网络管理复杂、结构臃肿、可扩展性差的问题迎来了新的转机。SDN(软件定义网络)技术控制与转发分离的架构以及开放、可编程的特性,为云数据中心规模庞大的虚拟网络提供了程序一体化管理的可能,同时为多租户环境下虚拟网络的隔离和资源的高效利用提供了新的解决方案。
以OpenFlow为核心的软件定义网络技术围绕网络的虚拟化、多租户环境下的网络隔离的研究不断涌现。这些技术在特定的环境下实现了很好的隔离效果,从一定程度上满足了多租户的需求,但在某些方面表现出不足。
现有的一种实现多租户需求的SDN的方法,将物理网络划分成多个逻辑网络,从而实现多租户的需求。其主要利用由一组文本配置文件来定义的网络切片,其包含控制各种网络活动的规则,如允许、只读和拒绝,其范围包括流量的源IP地址、端口号或数据包的表头信息等,不同用户分属不同的网络切片。其转发所有控制器和openflow交换机的OpenFlow协议消息,根据报文是否在该租户租户的网络切片中来决定是否转发,从而实现不同租户在物理网络中的流量是隔离的。
由于这种方法只是简单地管理流空间的划分和消息的过滤,因此它只能实现轻量级的多租户虚拟网络。其所有的切片共享同样的流和地址空间,一个切片网络并没拥有完整、独立的地址空间,因此不支持任意的网络拓扑,且每个切片的流空间不允许重叠,租户之间的网络切片也需要协商。这些局限性也决定了这种方法并不适用于大型数据中心。
现有的另一种方法是利用网络虚拟化平台,通过流空间的虚拟化实现了多租户的虚拟网络。其翻译OpenFlow消息以及交换机和控制器、主机之间的数据包,实现了虚拟网络和物理网络的映射。这种方法完全虚拟化了流空间,用户可以使用任意的地址空间,也可以相互重复。当数据包从主机发出时,代理将数据包的虚拟MAC和IP地址替换成物理MAC和IP地址;当向主机发送报文时,代理又将物理MAC和IP地址替换成虚拟的MAC和IP地址。根据报文的物理MAC和IP地址来隔离不同租户的网络,从而使得在用户视图下的虚拟网络是相互隔离的,且拥有完成的流和地址空间。
由于匹配域中需要确切的物理MAC或IP地址来隔离不同租户的网络流量,且物理地址需要与唯一的虚拟地址相匹配,因此这种方法并不支持通配匹配和大规模流量的洪泛,另外,这种方法在处理可以通配匹配的流量时需要下发更多的流表项,消耗交换机大量的存储资源;同时由于交换机的存储资源有限,频繁的下发流表也会给网络带来更大的延时。
发明内容
本发明公开一种基于SDN的多租户虚拟网络隔离方法,相比于传统的基于SDN的虚拟网络隔离方法,解决了虚拟网络在同一网络设施环境下的地址复用问题,同一网络设施下,租户可以使用完整的地址空间,且可以和其他租户重叠;同时提出基于MAC地址重写的方式解决了大型数据中心多租户虚拟网络的隔离问题,并且通过优化流表的匹配规则允许通配匹配,大大压缩了流表空间,提高了交换机存储资源的利用率和可存储的流表项数量,间接减少了由于流表空间不足而重新下发流表造成的时延。
附图说明
图1为本发明中基于SDN的租户虚拟网络的系统架构图。
图2为本发明中拓扑发现原理图。
图3为本发明中处理ARP请求的流程图。
图4为本发明中物理MAC地址结构。
图5为本发明的一实施例的流表规则的设计表。
图6为本发明中一实施例的租户网络拓扑图。
图7为本发明中一实施例的租户网络的交换机的流表规则。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明主要实现了多租户环境下基于SDN的虚拟网络隔离方法,用户可以使用任意的地址空间来构建自己的虚拟网络,同时采用通配匹配和二级流表对流表数量进行了压缩,大大提高了网络资源的利用率、减少了由于下发流表造成的网络时延。
图1为租户虚拟网络的完整系统架构图。控制器包括初始化模块,租户虚拟机信息表,路径决策模块,拓扑发现模块,ARP代理模块,流表管理模块。初始化时控制器从云管理门户获取租户的虚拟机信息包括虚拟MAC地址、IP、网关等,然后初始化模块为每台虚拟机生成一个物理MAC地址用来隔离不同租户的流量,物理MAC地址由租户的ID和虚拟机的ID生成。初始化模块维护了一张租户虚拟机的信息表。
初始化模块维护的租户虚拟机信息表,存储的信息包括虚拟机的租户信息(ID)、IP、物理MAC、虚拟MAC和网关。这些虚拟机的信息以字典的形式存在内存中,并随着网络的动态变化及时更新,如用户创建新的虚拟机时,控制器将从云管理门户获取新加入虚拟机的信息并及时更细这些字典,以保证网络的通畅。这些字典主要包括:ARP映射表(arp_table)用于控制器回复虚拟机和网关的ARP请求,ARP映射表格式为{租户ID:{虚拟机IP:虚拟机物理MAC}},用户的网关IP、MAC也存于此表中;虚拟机的虚拟MAC和物理MAC映射表和反映射表,用于虚拟机在入口交换机和出口交换机的MAC地址切换,格式分别为{虚拟MAC:物理MAC}、{物理MAC:虚拟MAC}
控制器启动后,当有交换机接入控制器时,控制器首先向交换机下发table-miss流表,从而所有不匹配的报文将会转发给控制器,所述table-miss流表为是用于处理与其他所有流表项不匹配的报文的一条流表项,即报文不与其他流表项匹配时可与其匹配,匹配的后动作一般是转发给控制器,由控制器进行处理该报文。然后控制器拓扑发现模块构造PacketOut消息向交换机汇报的所有openflow端口发送LLDP数据包,LLDP报文的ChassisID TLV和Port ID TLV分别设置为该交换机的dpid和端口号,所述的Chassis ID为LLDP报文的一个字段,本发明使用LLDP报文的某些字段(TLV)来标识链路发现所需的信息(如交换机标识,端口号等)。该LLDP报文从对应的端口到达邻居交换机后转发给控制器,控制器从openflow消息中获取邻居交换机的标识和端口号(in_port),再解析LLDP报文便得到一条链路的完整信息。控制器通过分析所有交换机转发过来的LLDP报文便可获得链路的源交换机、源接口,通过接收到的PacketIn消息知道目的交换机和目的接口,从而获取整个网络的链路信息。
本发明的拓扑发现的原理为:拓扑发现模块中的主机发现依赖于主机所产生的PacketIn消息,所述PacketIn消息为交换机发送给控制器的异步消息,通过PacketIn消息可以获得整个网络中的主机和所连接的交换机以及端口号,从而整个网络的拓扑信息都能被获取和更新。
在图2所示的实施例中,S1、S2链路通路发现流程为:
步骤(1):启动控制器,开始监听;
步骤(2):交换机S1接入SDN网络,并向控制器汇报此交换机的信息(交换机的标识dpid、交换机的端口信息等);
步骤(3):控制器向交换机下发table-miss流表项,该表项通配所有流量并转发给控制器且该表项优先级最低,只有找不到其他匹配表项时才会匹配此表项;
步骤(4):控制器拓扑发现模块根据交换机S1的dpid和汇报的端口号构造LLDP报文(一个端口一个LLDP报文),此LLDP报文的Chassis ID TLV和Port ID TLV分别设置为该交换机的dpid和端口号。控制器将所有构造的LLDP报文分别以PacketOut消息发送给交换机S1,此PacketOut消息附加了交换机应从对应端口转发的命令;
步骤(5):交换机S1收到控制器的LLDP报文后,执行转发动作。如图2所示,由S1的dpid和端口Port1构造的LLDP报文将从端口Port1进行转发,并到达S2;
步骤(6):S2收到S1发送过来的LLDP报文后,由于没有其他流表规则与其匹配,于是匹配table-miss表项,以PacketIn消息将此LLDP报文发送给控制器,其中PacketIn消息携带了S2的相关信息,包括S2的标识dpid以及该LLDP报文进入S2的端口号Port3(即PacketIn消息中in_port的值);
步骤(7):控制器收到交换机S2的PacketIn消息后,拓扑发现模块通过解析LLDP报文获取到S1的标识dpid和端口号Port1,再通过S2的PacketIn消息获取S2的标识dpid和端口号Port3,于是便得到了交换机机S1到S2的链路通路(S1 S2,Port1)和S2到S1的通路(S2S1,Port3)。
获取整个网络的拓扑信息后,使用为了保证网络的连通性,控制器路径决策模块计算出转发路径,然后流表管理模块根据转发路径下发相应的流表从而实现租户网络的连通。
所述路径决策模块计算转发路径的具体过程:
步骤(1):路径决策模块将拓扑发现模块获取的全网的链路信息构成一个有向图;
步骤(2):利用最短路径算法从有向图中获取从源端到目的端的通路;
步骤(3):向通路的中间节点(如交换机)下发相应的流表实现租户网络的连通。
当两台主机相互通信时,需要通过ARP请求来获取对方的MAC地址。本发明采用代理回复ARP请求,可以有效减少网络中的洪泛流量。由于控制器可以轻松地从云管理门户中获取租户的虚拟机信息,因此ARP代理可以借助这些信息直接回复租户虚拟机的ARP请求,ARP回复的是虚拟机的物理MAC地址,即初始模块根据虚拟机的租户ID和虚拟机序号生成的MAC地址。本发明中虚拟机的真实MAC统称为vMAC,而在物理网络中传输使用的MAC称为pMAC,即物理MAC地址。虚拟机在底层的网络设施通信时,将采用MAC进行匹配,从而隔离不同租户的网络流量,由此带来的另一个好处是租户可以使用完整的IP地址空间且可以相互重叠。
整个ARP请求的流程如图3所示,其处理ARP请求的过程如下:S11.虚拟机发送ARP请求;S12.交换机收到ARP请求报文,产生PacketIn消息转发给控制器;S13.控制器解析PacketIn消息,判断报文是否为ARP请求,如果不是则丢弃,如果是,则根据源MAC地址获得源虚拟机的租户信息,并转入S14;S14.判断租户虚拟机信息表中是否存在该用户,如果不存在则丢弃,如果存在则查找该用户下目的IP为ARP请求主机IP的虚拟机,并转入S15;S15.查找该用户的虚拟机列表中是否存在目标主机,如果存在则回复目的主机的物理MAC地址,如果不存在则丢弃。
两台虚拟机相互通信时,虚拟机发送的数据包源MAC为虚拟机的虚拟MAC(即vMAC),目的MAC为目的主机的物理MAC(即pMAC),当报文进入发送方的接入交换机时,交换机根据相应的匹配规则将源MAC替换成对应的物理地址;而在接收方的接入交换机与之相反,将报文的目的MAC地址(即目的主机的pMAC)替换成目的主机的虚拟MAC(即vMAC)。而在其他非交换机的传输过程中源地址、目的地址均使用虚拟机的物理MAC,并根据流表的匹配来决定是否转发,从而实现租户流量的隔离。
所述的匹配规则为流表项的匹配域,流表项中的主要字段包括匹配域、动作、优先级等。匹配域中包括匹配字段和对应的值,匹配字段为报文的首部的一些常见字段如源MAC、目的MAC、源IP、目的IP等,匹配域的字段和值由下发流表时控制器来设定。报文进入交换机后将报文首部的值与每条流表项匹配域中字段的值进行匹配,然后根据匹配到的表项执行相应动作。本发明的匹配过程是从第0级流表开始匹配,根据收到的报文的报头与各流表项中的匹配域进行匹配,如匹配到多条流表项,则取优先级高的表项,然后执行该流表项的动作。若动作中包含转向第1级流表,则在此表中重复前面的操作。若没有匹配的流表项的报文,最终将被丢弃。
本发明所使用的的物理MAC地址(即pMAC),其与虚拟机的MAC地址(即vMAC),两者一一对应,且在物理网络通信过程中统一使用物理地址(pMAC),其结构如图4所示。
物理MAC地址的前32位标识租户,能够满足大规模租户的需求,后16位标识当前租户下的虚拟机。在匹配的过程中通过匹配源MAC和目的MAC的租户标识(Tenant ID)是否相同来判定通信主机时候属于同一租户,进而决定转发与丢弃,实现租户网络隔离。字段长度的划分可根据实际情况进行调整,也可以对字段进行扩展以便功能扩展。
在隔离租户流量时需要下发相应的流表来进行匹配,本发明由于采用的MAC地址重写和物理MAC匹配,不仅实现了IP地址的复用,同时支持通配匹配,大大压缩了流表的数量。所述的通配匹配为使用一条流表匹配多个不同的流,并实现相同的操作。当没有使用MAC地址重写(即没有使用pMAC)时,为了实现一个租户n台虚拟机的网络通信,需要判断源和目的地址是否属于同一租户来决定是否转发,因此需要n*n条流表项,在大规模租户环境下,会给交换机的存储资源带来沉重的压力,当交换机存储资源不足时便会发生新的流表覆盖旧的流表,这种覆盖往往会给网络带来更大的时延。而采用地址重写后,流表的匹配项源端MAC地址只需要匹配租户标识,目的端保持不变,只需要n条流表项,大大压缩了流表的数量,提高了匹配的效率。
本发明中制定流表的规则即指定流表项的匹配域、优先级、动作等。如图5所示为本发明的一实施例的流表规则的设计表,根据数据流的方向将交换机分为入口交换机(源主机直连的交换机)、出口交换机(目的主机直连的交换机)和中间交换机,为保证数据通路和租户隔离,每类交换机下发的流表项不同。
入口交换机将匹配的报文的源MAC(报文从虚拟机发出时源MAC为虚拟机的虚拟MAC),然后从对应端口转出。中间交换机将匹配的报文直接从对应端口转出,出口交换机将匹配的报文的目的MAC(物理MAC)改为虚拟MAC,然后从对应端口转给目的主机。对于源端和目的端在同一交换机下的情况,即该交换机既是出口又是入口交换机。交换机则将匹配的报文的源MAC改为源主机的物理MAC,目的MAC改为目的主机虚拟MAC,再从对应的端口转给目的主机。
图6为一实施例的租户网络拓扑图,图7为实施例中租户网络的交换机的流表规则,则租户虚拟机通信流程如下:
步骤(1):租户的虚拟机H1向H2发送报文,报头的源MAC为vH1,目的MAC为pH2(v为虚拟地址,p为物理地址)
步骤(2):报文到达交换机S1后,从table 0开始逐条匹配,匹配时将报文首部与匹配域中相对应字段的值进行比较。从图可以看出匹配到第一条将报文源MAC改成了pH1并进入table 1,继而匹配到第三条流表,从交换机的2端口转出。注:因为两台虚拟机为同一租户所有,故pH1/mask=pH2/mask,pHx/mask即为用户的标识,可以匹配该用户所有虚拟机的物理MAC,因而第二步能匹配到第三条,后面同理。
步骤(3):报文转出后从交换机S2的1端口进入,并开始从S2的table 0开始匹配,匹配到第二条,从端口2转出。
步骤(4):报文进入S3后,匹配到第二条流表,将目的地址pH2改为vH2,并从端口2转发给虚拟机H2。至此,H2便收到了H1发送的报文,反过来亦是如此。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (5)
1.一种基于SDN的多租户虚拟网络隔离方法,包括:获取网络的拓扑信息后,当虚拟机相互通信时,虚拟机发送数据包的源MAC为虚拟机的虚拟MAC,目的MAC为目的主机的物理MAC,当报文进入发送方的接入交换机时,交换机根据匹配规则将源MAC替换成对应的物理地址;进入接收方的接入交换机时,将报文的目的物理MAC替换成目的主机的虚拟MAC,而在其他非接入交换机的传输过程中源地址、目的地址均使用虚拟机的物理MAC,并根据流表的匹配来决定是否转发报文,所述物理MAC由租户的ID和虚拟机的ID生成,在匹配的过程中通过匹配源MAC和目的MAC的租户标识是否相同判定通信主机是否属于同一租户,进而决定转发或者丢弃报文;
获取网络的拓扑信息后,为了保证网络的连通性,控制器中的路径决策模块计算出转发路径,然后流表管理模块根据转发路径下发相应的流表从而实现租户网络的连通;
所述路径决策模块计算出转发路径的过程为,路径决策模块将拓扑发现模块获取的全网的链路信息构成一个有向图,利用最短路径算法从有向图中获取从源端到目的端的通路,向通路的中间节点的交换机下发相应的流表实现租户网络的连通;
当两个租户的主机相互通信时,ARP代理直接回复租户虚拟机的ARP请求,所述回复的是虚拟机的物理MAC地址。
2.如权利要求1所述的方法,其特征在于,为获取网络的拓扑信息,当有交换机接入控制器时,控制器首先向交换机下发流表,所有不匹配的报文将会转发给控制器,然后控制器向交换机汇报的所有openflow端口发送LLDP报文。
3.如权利要求2所述的方法,其特征在于,所述LLDP报文从对应的端口到达邻居交换机后转发给控制器,控制器从openflow消息中获取邻居交换机的标识和端口号in_port,再解析LLDP报文便得到一条链路的完整信息。
4.如权利要求3所述的方法,其特征在于,处理ARP请求的过程如下:步骤S1.虚拟机发送ARP请求;步骤S2.交换机收到ARP请求,产生PacketIn消息转发给控制器;步骤S3.控制器解析PacketIn消息,判断报文是否为ARP请求,如果不是则丢弃,如果是,则根据源MAC地址获得源虚拟机的租户信息,并转入步骤S4;步骤S4.判断租户虚拟机信息表中是否存在所述租户,如果不存在则丢弃,如果存在则查找所述租户下目的IP为ARP请求主机IP的虚拟机,并转入步骤S5;步骤S5.查找所述租户的虚拟机列表中是否存在目标主机,如果存在则回复目的主机的物理MAC地址,如果不存在则丢弃。
5.如果权利要求4所述的方法,其特征在于,在系统中获取交换机S1、交换机S2链路通路的步骤为:
步骤(1):启动控制器,开始监听;
步骤(2):交换机S1接入SDN网络,并向控制器汇报此交换机的信息,所述信息包括交换机的标识dpid,交换机的端口信息;
步骤(3):控制器向交换机下发table-miss表项,所述table-miss表项通配所有流量并转发给控制器且该table-miss表项优先级最低,只有找不到其他匹配表项时才会匹配此表项;
步骤(4):控制器拓扑发现模块根据交换机S1的dpid和汇报的端口号构造LLDP报文,一个端口配一个LLDP报文,LLDP报文的Chassis ID TLV和Port ID TLV分别设置为该交换机的dpid和端口号,所述Chassis ID TLV和Port ID TLV为LLDP报文的字段,控制器将所有构造的LLDP报文分别以PacketOut消息发送给交换机S1,所述PacketOut消息为附加了交换机应从对应端口转发的命令;
步骤(5):交换机S1收到控制器的LLDP报文后,执行转发动作,由交换机S1的dpid和端口Port1构造的LLDP报文从端口Port1进行转发,到达交换机S2;
步骤(6):交换机S2收到交换机S1发送过来的LLDP报文后,没有其他流表规则与其匹配,则匹配table-miss表项,以PacketIn消息将所述LLDP报文发送给控制器,所述PacketIn消息为携带了交换机S2的相关信息,所述相关信息包括交换机S2的标识dpid以及该LLDP报文进入交换机S2的端口号Port3;
步骤(7):控制器收到交换机S2的PacketIn消息后,拓扑发现模块通过解析LLDP报文获取到交换机S1的标识dpid和端口号Port1,再通过交换机S2的PacketIn消息获取交换机S2的标识dpid和端口号Port3,于是便得到了交换机交换机S1到交换机S2的通信链路。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710561244.0A CN107395532B (zh) | 2017-07-11 | 2017-07-11 | 一种基于sdn的多租户虚拟网络隔离方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710561244.0A CN107395532B (zh) | 2017-07-11 | 2017-07-11 | 一种基于sdn的多租户虚拟网络隔离方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107395532A CN107395532A (zh) | 2017-11-24 |
CN107395532B true CN107395532B (zh) | 2020-08-11 |
Family
ID=60339191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710561244.0A Active CN107395532B (zh) | 2017-07-11 | 2017-07-11 | 一种基于sdn的多租户虚拟网络隔离方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107395532B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108270645B (zh) * | 2017-12-19 | 2021-04-06 | 中国电子科技网络信息安全有限公司 | 一种sdn网络隔离性检测方法 |
CN108111383B (zh) * | 2017-12-26 | 2021-03-19 | 北京航空航天大学 | 一种基于sdn的跨域容器虚拟网络组建方法 |
CN109450798B (zh) * | 2018-12-13 | 2022-07-12 | 郑州云海信息技术有限公司 | 路由表信息的管理方法和计算机可读存储介质 |
CN109474627B (zh) * | 2018-12-27 | 2021-08-13 | 南京优速网络科技有限公司 | 一种基于sdn的虚拟租户网络隔离方法及系统 |
CN111669283B (zh) * | 2019-03-08 | 2023-03-17 | 厦门网宿有限公司 | 一种openvpn中网络隔离空间的批量处理方法及openvpn服务器 |
CN111182058B (zh) * | 2019-12-30 | 2022-07-26 | 福建天泉教育科技有限公司 | 在Android端实现跨租户访问的方法、存储介质 |
CN114760249B (zh) * | 2021-01-08 | 2023-08-04 | 大唐移动通信设备有限公司 | 一种基于sdn网络的数据处理方法和装置及设备 |
CN113329096B (zh) * | 2021-06-23 | 2023-04-07 | 未鲲(上海)科技服务有限公司 | 消息传输方法、装置、电子设备和存储介质 |
CN114363331A (zh) * | 2021-12-22 | 2022-04-15 | 上海浦东发展银行股份有限公司 | 通信方法、系统、计算机设备和存储介质 |
CN114338119A (zh) * | 2021-12-23 | 2022-04-12 | 中国电信股份有限公司 | 网络隔离方法和系统及代理设备 |
CN114448886A (zh) * | 2021-12-28 | 2022-05-06 | 天翼云科技有限公司 | 一种流表的处理方法及装置 |
CN114301838B (zh) * | 2021-12-31 | 2023-07-21 | 锐捷网络股份有限公司 | 一种流表优化、报文转发的方法、网络、设备及存储介质 |
CN114422456B (zh) * | 2022-03-31 | 2022-08-16 | 阿里云计算有限公司 | 任务处理方法以及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103516705A (zh) * | 2012-06-26 | 2014-01-15 | 纬创资通股份有限公司 | 虚拟机的通信方法以及服务器端系统 |
CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
CN105791304A (zh) * | 2016-03-31 | 2016-07-20 | 联想(北京)有限公司 | 一种报文处理方法及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9207963B2 (en) * | 2012-02-01 | 2015-12-08 | Empire Technology Development Llc | Preventing cloud cartography |
-
2017
- 2017-07-11 CN CN201710561244.0A patent/CN107395532B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103516705A (zh) * | 2012-06-26 | 2014-01-15 | 纬创资通股份有限公司 | 虚拟机的通信方法以及服务器端系统 |
CN105099953A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 云数据中心虚拟网络的隔离方法与装置 |
CN105791304A (zh) * | 2016-03-31 | 2016-07-20 | 联想(北京)有限公司 | 一种报文处理方法及设备 |
Non-Patent Citations (2)
Title |
---|
PortLand: A Scalable Fault-Tolerant Layer 2 Data Center Network Fabric;Radhika等;《Proceedings of the ACM SIGCOMM 2009 conference on Data communication》;20090821;文献第42页左侧栏第3节至第43页右侧栏第3.3节 * |
基于OpenFlow的软件定义网络路由技术研究;朱超;《中国优秀硕士学位论文全文数据库》;20141005;文献第22页第8行至倒数第1行,第34页第4行至第39页第12行,文献第42页第7行至43页倒数第8行 * |
Also Published As
Publication number | Publication date |
---|---|
CN107395532A (zh) | 2017-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107395532B (zh) | 一种基于sdn的多租户虚拟网络隔离方法 | |
US8855117B2 (en) | Scalable media access control protocol synchronization techniques for fabric extender based emulated switch deployments | |
EP2897347B1 (en) | Method for transmitting addresses correspondence relationship in second-layer protocol using link status routing | |
EP2874359B1 (en) | Extended ethernet fabric switches | |
US9379975B2 (en) | Communication control system, control server, forwarding node, communication control method, and communication control program | |
EP2544417B1 (en) | Communication system, path control apparatus, packet forwarding apparatus and path control method | |
US9397934B2 (en) | Methods for packet forwarding though a communication link of a distributed link aggregation group using mesh tagging | |
US20150222543A1 (en) | Virtual mac address, mask-based, packet forwarding | |
US8879569B2 (en) | Virtual network connection method, network system, and network device | |
US9154330B2 (en) | Method and device of link aggregation and method and system for transceiving MAC frames | |
EP3069471B1 (en) | Optimized multicast routing in a clos-like network | |
EP2654250A2 (en) | Virtual local area network identity transformation method and apparatus | |
WO2009150656A1 (en) | Method and system for transparent lan services in a packet network | |
EP2852108B1 (en) | Method and device for clearing media access control forwarding table items | |
CN108429680A (zh) | 一种基于虚拟私有云的路由配置方法、系统、介质及设备 | |
WO2017084448A1 (zh) | 一种网络系统及网络运行方法 | |
CN103957157A (zh) | 一种网络接口可定义转发规则的路由方法 | |
US9699117B2 (en) | Integrated fibre channel support in an ethernet fabric switch | |
Amamou et al. | A trill-based multi-tenant data center network | |
CN107872385B (zh) | 一种sdn网络路由计算与控制方法 | |
CN105515850B (zh) | 利用OpenFlow控制器和配置点实现对ForCES转发件的控制管理方法 | |
CN109660394B (zh) | 分组传送网络管理方法、装置、系统、设备及存储介质 | |
CN113938448B (zh) | 一种基于evpn技术的自主可控虚拟交换机的实现方法 | |
WO2015118811A1 (ja) | 通信システム、パケット転送装置、パケット転送方法およびパケット転送用プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |