CN107888473B - 创建ac口的方法及装置 - Google Patents
创建ac口的方法及装置 Download PDFInfo
- Publication number
- CN107888473B CN107888473B CN201711240506.XA CN201711240506A CN107888473B CN 107888473 B CN107888473 B CN 107888473B CN 201711240506 A CN201711240506 A CN 201711240506A CN 107888473 B CN107888473 B CN 107888473B
- Authority
- CN
- China
- Prior art keywords
- vtep
- message
- vxlan
- specified
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种创建AC口的方法及装置,所述方法应用于指定管理设备,所述指定管理设备与指定VTEP连接,包括接收未认证报文,所述未认证报文用于表示进入VTEP时不存在对应AC口的报文;根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN;通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。通过指定管理设备控制VTEP进行AC口的创建,根据本公开实施例的创建AC口的方法及装置能够动态创建AC口。
Description
技术领域
本公开涉及网络技术领域,尤其涉及一种创建AC(Attachment circuit,接入电路)口的方法及装置。
背景技术
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种二层VPN技术,在控制平面上采用BGP(Border Gateway Protocol,边界网关协议)通告路由信息,在数据平面上采用VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)封装方式转发报文。租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP(Internet Protocol,因特网协议)网络,为同一租户的相同子网提供二层互联,通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供外部网络的三层互联。
VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)是EVPN的边缘设备,EVPN的相关处理都在VTEP上进行。在EVPN网络中,控制平面上VTEP可以通过BGP三类路由发现EVPN邻居,并根据邻居发现消息建立VXLAN隧道,VTEP可以通过BGP二类路由将私网用户的MAC地址同步给所有EVPN邻居;数据平面上VTEP通过硬件转发表指导转发。
发明内容
有鉴于此,本公开提出了一种创建AC口的方法及装置能够进行AC口动态创建。
根据本公开的一方面,提供了一种创建AC口的方法,所述方法应用于指定管理设备,所述指定管理设备与指定VTEP连接,所述方法包括:接收未认证报文,所述未认证报文用于表示进入VTEP时不存在对应AC口的报文;根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN;通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
根据本公开的另一方面,提供了一种创建AC口的方法,所述方法应用于被管理VTEP,所述方法包括:接收用户设备发送的报文;若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接;根据认证结果,创建与所述报文对应的AC口。
根据本公开的另一方面,提供了一种创建AC口的装置,所述装置应用于指定管理设备,所述指定管理设备与指定VTEP连接,所述装置包括:第一接收模块,用于接收未认证报文,所述未认证报文用于表示进入VTEP时不存在对应AC口的报文;第一认证模块,用于根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;映射模块,用于在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN;第一通知模块,用于通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
根据本公开的另一方面,提供一种创建AC口的装置,所述装置应用于被管理VTEP,所述装置包括:第二接收模块,用于接收用户设备发送的报文;第二认证模块,用于若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接;创建模块,用于根据认证结果,创建与所述报文对应的AC口。
与指定VTEP连接的指定管理设备接收未认证报文,根据未认证报文的源MAC地址和数据标识对未认证报文进行认证,在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将数据标识映射到所述VSI对应的VXLAN;通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发,根据本公开的各方面实施例的创建AC口的方法及装置能够由指定管理设备动态控制VTEP进行AC口的创建,省去了用户手动配置AC口的繁琐操作,有利于组网扩展。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开一实施例的创建AC口的方法的流程图;
图2示出根据本公开一实施例的EVPN组网示意图;
图3示出根据本公开一实施例的创建AC口的方法的流程图;
图4示出根据本公开一实施例的创建AC口的方法的流程图;
图5示出根据本公开一实施例的创建AC口的方法的流程图;
图6示出根据本公开一实施例的创建AC口的装置的框图;
图7示出根据本公开一实施例的创建AC口的装置的框图;
图8示出根据本公开一实施例的创建AC口的装置的框图;
图9示出根据本公开一实施例的创建AC口的装置的框图;
图10示出根据本公开一实施例的创建AC口的装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开一实施例的创建AC口的方法的流程图。图2示出根据本公开一实施例的EVPN组网示意图。
如图2所示,VTEP1、VTEP2、VTEP3为处于同一VXLAN内的VTEP,且VTEP1与VTEP3、VTEP2与VTEP3之间分别建立了BGP EVPN邻居关系。VM1、VM2和VM3分别表示接入VTEP1、VTEP2和VTEP3的VM(Virtual Machine,虚拟机)。
相关技术中,在VTEP间建立了BGP EVPN邻居后,接入不同VTEP的VM(例如图2所示的VM1、VM2和VM3)间进行通信时,需要在VTEP上手动配置AC(Attachment circuit,接入电路)口。这样,VTEP的AC口接收到VM发送的报文后,可以根据该AC口对应的VSI(VirtualSwitching Instance虚拟交换实例),将报文通过与VSI相应的VXLAN中进行封装,实现数据平面上的通信。
由此可以看出,若要实现VTEP对报文的封装转发,需要在该VTEP上配置AC口,以及对配置的AC口设置VSI等操作,如果要对VM发送的报文进行流量统计,还需要在AC口上手动配置流量统计功能。如此一来,在VM的数量较多时,针对每个VM在VTEP上手动配置AC口和AC口的流量统计功能,工作量较大且不利于用户流量的集中管理和组网扩展。
在本公开实施例中,可以设置指定管理设备,该指定管理设备可以为独立设置的用于执行管理功能的虚拟设备或者服务器,也可以为利用已存在的虚拟设备或服务器并让其执行管理功能。
在本公开中,由该指定管理设备实现VTEP上AC口的创建和功能配置。图1所示的创建AC口的方法可以应用于指定管理设备,所述指定管理设备与指定VTEP连接,例如指定管理设备与图2所示的VTEP3连接。如图1所示,该创建AC口的方法包括:
步骤S11,接收未认证报文,所述未认证报文用于表示进入VTEP时不存在对应AC口的报文。
在一个示例中,当一个报文进入VTEP时,若VTEP上不存在与该报文对应的AC口,则该报文可以称为未认证报文。举例来说,当一个报文进入VTEP时,若VTEP上不存在与该报文匹配的VSI,则该报文可以称为未认证报文。
如上所述,通过数据平面进行数据交互时需要将报文映射到相应的VXLAN中。用户设备向VTEP发送报文后,若VTEP上不存在与该报文对应的AC口,该报文无法匹配到VSI中,VTEP不确定应该将报文映射到哪个VXLAN中进行封装,也就无法实现VTEP对报文的封装转发。因此,用户设备向VTEP发送报文后,在VTEP上不存在与该报文对应的AC口时,VTEP可以将该报文发送至指定管理设备进行认证,并根据认证结果进行AC口的创建。
在一种可能的实现方式中,除指定VTEP外的其他VTEP设置有指定VSI,VTEP可以将未认证报文与指定VSI关联,从而将未认证报文映射到指定VSI对应的指定VXLAN隧道中进行发送。其中,指定VSI可以用于表示与未认证报文对应的VSI,指定VXLAN隧道可以用于满足其他VTEP与指定VTEP之间有特殊需求的业务,在本公开实施例中该特殊需求的业务可以理解为发送未认证报文。指定VXLAN隧道可以为从其他VTEP到指定VTEP的单向VXLAN隧道。指定VXLAN隧道的VXLAN ID可以为任何未被占用的VXLAN ID。在一种可能的实现方式中,指定VXLAN隧道的VXLAN ID可以为保留VXLAN ID。不同VTEP上建立的指定VXLAN隧道的VXLANID可以采用相同的VXLAN ID。
步骤S12,根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证。
其中,数据标识可以用于识别报文所属VLAN,(Virtual Local Area Network,虚拟局域网)。在一个示例中,数据标识可以为VLAN tag(标签)。
指定管理设备接收到未认证报文后,可以对未认证报文进行认证,例如进行Portal认证。若认证通过,指定管理设备可以查询是否存在与该未认证报文对应的VSI。若认证不通过,指定管理设备可以丢弃或者忽略该未认证报文。
步骤S13,在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN。
在认证通过的情况下,若存在与所述未认证报文对应的VSI,说明该未认证报文可以映射到VXLAN中进行封装转发。因此,若存在与未认证报文对应的VSI,则指定管理设备可以将该未认证报文的数据标识映射到所述VSI对应的VXLAN,即建立该未认证报文的数据标识与VXLAN的映射关系。
在一种可能的实现方式中,若不存在与所述未认证报文对应的VSI,则指定管理设备可以不处理该未认证报文,例如指定管理设备可以丢弃或者忽略该未认证报文。
步骤S14,通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
指定管理设备建立未认证报文的数据标识和VXLAN的对应关系之后,可以将未认证报文的数据标识和所述VXLAN的VXLAN ID的对应关系发送至所述VTEP。所述VTEP接收到所述对应关系后,可以根据所述VXLAN ID创建对应与所述数据标识对应的VSI。之后所述VTEP可以通过建立接收报文的端口、所述未认证报文的数据标识,以及创建的与所述未认证报文的数据标识对应的VSI的对应关系,实现与未认证报文对应的AC口的创建。
这样,在VTEP创建与所述未认证报文对应的AC口后,VTEP再次收到数据标识与所述未认证报文的数据标识相同且进入VTEP的端口与所述未认证报文进入VTEP的端口相同的报文时,VTEP可以确定与所述未认证报文对应的AC口为该报文对应的AC口。此时,VTEP可以将该报文关联到所述未认证报文的数据标识对应的VSI,从而将该报文在该VSI对应的VXLAN中进行封装转发。
与指定VTEP连接的指定管理设备接收未认证报文,根据未认证报文的源MAC地址和数据标识对未认证报文进行认证,在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将数据标识映射到所述VSI对应的VXLAN;通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发,根据本公开实施例的创建AC口的方法能够由指定管理设备动态控制VTEP进行AC口的创建,省去了用户手动配置AC口的繁琐操作,有利于组网扩展。
在一种可能的实现方式中,若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述VTEP撤销与所述未认证报文对应的AC口。
若一段时间内指定管理设备未接收到与所述源MAC地址和所述数据标识匹配的报文,则说明VTEP可能在一段时间内未接收到经过所述AC口的报文,则指定管理设备可以通知所述VTEP撤销与所述未认证报文对应的AC口。这样,可以及时释放与该AC口对应的VXLAN资源,节省VXLAN资源,并实现AC口的动态管理,便于业务增加和组网扩展。
需要说明的是,在VTEP撤销与所述未认证报文对应的AC口后,若该VTEP再次收到与所述源MAC地址和所述数据标识匹配的报文,则VTEP可以将该报文转发至指定管理设备。如此,指定管理设备可以执行步骤S11至步骤S14,进行AC口的创建。
在一种可能的实现方式中,若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述指定VTEP撤销所述源MAC地址对应的EVPN路由表项、并删除与所述EVPN路由表项对应的硬件转发表。
在建立BGP EVPN邻居后,VTEP可以将本地学到的MAC地址以BGP二类路由的形式通告给远端VTEP,远端VTEP收到此类路由通告后,经过匹配可以将MAC下发到硬件形成转发表。指定管理设备在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,说明VTEP可能在一段时间内未接收到经过所述AC口的报文,VTEP可能暂时不需要进行VXLAN报文的封装转发。如此,指定VTEP撤销所述源MAC地址对应的EVPN路由表项、并删除与所述EVPN路由表项对应的硬件转发表后既不影响VXLAN报文的正常转发,同时可以节省指定VTEP的硬件MAC资源。
图3示出根据本公开一实施例的创建AC口的方法的流程图。如图3所示,该创建AC口的方法包括:
步骤S15,对经过所述VTEP的AC口的报文进行管理。
指定VTEP接收到其他VTEP发送的VXLAN报文后,可以对VXLAN报文进行解封装,并发送至指定管理设备。指定管理设备在接收到该报文后,可以根据报文的源MAC地址和数据标识,确定是否需要进行流量统计。
若需要进行流量统计,则指定管理设备可以根据报文的源MAC地址和数据标识进行流量统计。在一种可能的实现方式中,指定管理设备可以根据流量统计结果进行计费。
若不需要进行流量统计,则指定管理设备可以直接按照相关技术中的转发流程进行转发。
在一种可能的实现方式中,指定管理设备可以通过确定报文进入VTEP经过的AC口,即该报文对应哪个用户设备的哪个VLAN,达到流量统计的目的。这样,指定管理设备可以根据接收的报文统计AC口的流量,省去了在AC口上手动配置AC口统计功能的繁琐操作。同时,相较于相关技术中在各AC口分散进行流量统计,根据本公开实施例的创建AC口的方法可以在指定管理设备对不同的AC口进行流量统计,实现了对用户侧流量的统一管理和控制。
图4示出根据本公开一实施例的创建AC口的方法的流程图。该创建AC口的方法可以应用于被管理VTEP(例如图2所示的VTEP1、VTEP3等)。如图4所示,该创建AC口的方法包括:
步骤S21,接收用户设备发送的报文。
步骤S22,若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接。
步骤S23,根据认证结果,创建与所述报文对应的AC口。
其中,被管理VTEP可以用于表示不与指定管理设备连接的VTEP。
用户设备可以向接入的被管理VTEP发送报文,该报文携带有数据标识,该数据报文的源MAC地址为用户设备的MAC地址。被管理VTEP接收该报文后,在本地不存在与该报文对应的AC口时,被管理VTEP无法将该报文映射到VXLAN中进行封装转发。因此,被管理VTEP需要将该报文发送至指定管理设备进行认证。指定管理设备可以通过步骤S11至S14,将该报文对应的数据标识映射到与该报文对应的VSI关联的VXLAN,并通知被管理VTEP创建与该报文对应的AC口。被管理VTEP创建与该报文对应的AC口后,可以将经过所述AC口的报文映射到该报文的数据标识对应的VXLAN中进行封装转发。
指定VXLAN隧道可以用于表示被管理VTEP与指定VTEP之间的VXLAN隧道,指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接。在不存在与所述报文对应的AC口时,被管理VTEP可以通过该指定VXLAN隧道将所述报文发送至指定管理设备进行认证。其中,指定VXLAN ID可以为保留VXLAN ID,不同的被管理VTEP与指定VTEP间建立的指定VXLAN隧道均可以采用指定VXLAN ID。这样,指定VTEP接收到VXLAN报文后,解封装得到指定VXLAN ID,指定VTEP可以确定解封装得到的报文为未认证报文,需要发送至指定管理设备进行认证。
图5示出根据本公开一实施例的创建AC口的方法的流程图。在一种可能的实现方式中,如图5所示,通过指定VXLAN隧道将所述报文发送至指定管理设备进行认证,可以实现为步骤S221和步骤S222:
步骤S221,采用所述指定VXLAN ID封装所述用户设备发送的报文,得到VXLAN报文。
步骤S222,通过所述指定VXLAN隧道将所述VXLAN报文发送至所述指定VTEP,以便于所述指定VTEP对所述VXLAN报文解封装得到所述报文、并将所述报文发送至指定管理设备进行认证。
在一种可能的实现方式中,VTEP发送的BGP三类路由的扩展团体属性中可以携带用于识别本VTEP是否为指定VTEP的标识。其中,三类路由可以用于通告VTEP及其所属VXLAN,以及实现VTEP自动发现、自动建立VXLAN隧道、自动创建VXLAN广播表等。在一个示例中,第一标识对应于本VTEP为指定VTEP,第二标识对应于本VTEP不是指定VTEP。与指定管理设备连接的VTEP建立BGP EVPN时,可以发送用于发现BGP EVPN邻居的三类路由,并将第一标识封装在该三类路由的扩展团体属性里。其他VTEP收到该三类路由后,匹配VXLAN和RT后创建EVPN动态隧道,并根据第一标识识别出发送该第三路由的VTEP为指定VTEP。相应的,其他VTEP发送的三类路由的扩展团体属性中携带有第二标识,与指定管理设备连接的VTEP收到该三类路由后,可以识别出发送该三类路由的VTEP为不是指定VTEP。这样,在建立BGPEVPN邻居关系后,EVPN组网的VTEP可以知道指定管理设备的位置。
根据本公开实施例的创建AC口的方法,被管理VTEP可以动态创建与用户设备发送的报文对应的AC口,省去了在用户手动在VTEP上配置AC口的繁琐操作,有利于组网扩展。
在一种可能的实现方式中,在创建与所述报文对应的AC口之后,被管理VTEP可以通过BGP二类路由通告所述报文的源MAC地址,所述指定VTEP接收到的BGP二类路由不会同步给其他被管理VTEP。
通过BGP二类路由通告所述报文的源MAC地址,其他VTEP接收到本VTEP通告的BGP二类路由后,可以从所述BGP二类路由中获取MAC地址,经过匹配可以将MAC地址下发到硬件形成转发表,从而正确转发与该数据报文对应的VXLAN报文。本VTEP在接收到其他VTEP通告的EVPN二类路由后,同样可以从所述EVPN二类路由中获取MAC地址,经匹配将MAC地址下发到硬件形成硬件转发表,从而正确转发与该数据报文对应的VXLAN报文。
指定VTEP学习到了所述MAC地址,形成了所述MAC地址对应的转发表项,因此本VTEP接收到目的地址为所述MAC地址的VXLAN报文时,可以正确转发该VXLAN报文。被管理VTEP可以将VXLAN报文发送至指定VTEP,指定VTEP可以正确转发该VXLAN报文,因此在本VTEP不将所述MAC地址同步给其他VTEP时,VXLAN报文可以被转发至正确的VTEP。
相关技术中,根据EVPN的同步机制,获取MAC地址后,远端VTEP可以将获取的MAC地址同步给其他VTEP,以便于其他VTEP形成转发表。根据本公开实施例的创建AC口的方法,指定VTEP在接收了BGP二类路由时,不将所述二类路由同步给其他VTEP,在不影响VXLAN报文正常转发的情况下,节省了公网带宽资源,并节省了其他VTEP的硬件MAC资源。
图6示出根据本公开一实施例的创建AC口的装置60。所述装置60可以应用于指定管理设备,所述指定管理设备与指定VTEP连接。如图6所示,所述装置60包括:
第一接收模块61,用于接收未认证报文,所述未认证报文用于表示进入VTEP时不存在对应AC口的报文;
第一认证模块62,用于根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;
映射模块63,用于在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN;
第一通知模块64,用于通知所述VTEP创建与所述未认证报文对应的AC口,以便于所述VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
图7示出根据本公开一实施例的创建AC口的装置60。在一种可能的实现方式中,如图7所示,所述装置60还包括:
第二通知模块65,用于若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述VTEP撤销与所述未认证报文对应的AC口。
在一种可能的实现方式中,所述装置60还包括:
第三通知模块66,用于若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述指定VTEP撤销所述源MAC地址对应的以太网虚拟专用网络EVPN路由表项、并删除与所述EVPN路由表项对应的硬件转发表。
在一种可能的实现方式中,所述装置60还包括:
管理模块67,用于对经过所述VTEP的AC口的报文进行管理。
图8示出根据本公开一实施例的创建AC口的装置80。所述装置80可以应用于被管理VTEP。如图8所示,所述装置80包括:
第二接收模块81,用于接收用户设备发送的报文;
第二认证模块82,用于若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接;
创建模块83,用于根据认证结果,创建与所述报文对应的AC口。
图9示出根据本公开一实施例的创建AC口的装置80。如图9所示,在一种可能的实现方式中,第二认证模块82包括:
封装单元821,用于采用所述指定VXLAN ID封装所述用户设备发送的报文,得到VXLAN报文;
发送单元822,用于通过所述指定VXLAN隧道将所述VXLAN报文发送至所述指定VTEP,以便于所述指定VTEP对所述VXLAN报文解封装得到所述报文、并将所述报文发送至指定管理设备进行认证。
在一种可能的实现方式中,所述装置80还包括:
映射模块84,还用于若存在与所述报文对应的AC口,则将所述报文映射到所述AC口对应的VXLAN中发送至所述指定VTEP,所述指定VTEP接收到的BGP二类路由不会同步给其他被管理VTEP。
图10是根据一示例性实施例示出的一种用于创建AC口的装置900的框图。参照图10,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与创建AC口的逻辑对应的机器可执行指令以执行上文所述的创建AC口的方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神时,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (14)
1.一种创建接入电路AC口的方法,其特征在于,所述方法应用于指定管理设备,所述指定管理设备与指定可扩展虚拟局域网络隧道端点VTEP连接,所述方法包括:
接收所述指定VTEP发送的来自被管理VTEP的未认证报文,所述被管理VTEP表示不与所述指定管理设备连接的VTEP,所述未认证报文用于表示进入所述被管理VTEP时不存在对应AC口、且由所述被管理VTEP通过指定VXLAN隧道发送至所述指定VTEP的报文;
根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;
在认证通过的情况下,若存在与所述未认证报文对应的虚拟转发实例VSI,则将所述数据标识映射到所述VSI对应的VXLAN;
通知所述被管理VTEP创建与所述未认证报文对应的AC口,以便于所述被管理VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述被管理VTEP撤销与所述未认证报文对应的AC口。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述指定VTEP撤销所述源MAC地址对应的以太网虚拟专用网络EVPN路由表项、并删除与所述EVPN路由表项对应的硬件转发表。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对经过所述VTEP的AC口的报文进行管理。
5.一种创建AC口的方法,其特征在于,所述方法应用于被管理VTEP,所述被管理VTEP用于表示不与指定管理设备连接的VTEP,所述方法包括:
接收用户设备发送的报文;
若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定VTEP,以使指定VTEP将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接;
在接收到所述报文对应的数据标识与所述报文对应的VSI关联的VXLAN的VXLAN ID的对应关系的情况下,创建与所述报文对应的AC口,所述报文对应的数据标识与所述报文对应的VSI关联的VXLAN的VXLAN ID的对应关系是由所述指定管理设备在确认所述报文认证通过、且存在与所述报文对应的VSI的情况下,发送至所述被管理VTEP的。
6.根据权利要求5所述的方法,其特征在于,通过指定VXLAN隧道将所述报文发送至指定VTEP,以使指定VTEP将所述报文发送至指定管理设备进行认证,包括:
采用所述指定VXLAN ID封装所述用户设备发送的报文,得到VXLAN报文;
通过所述指定VXLAN隧道将所述VXLAN报文发送至所述指定VTEP,以便于所述指定VTEP对所述VXLAN报文解封装得到所述报文、并将所述报文发送至指定管理设备进行认证。
7.根据权利要求6所述的方法,其特征在于,在创建与所述报文对应的AC口之后,所述方法还包括:
通过边界网关协议BGP二类路由通告所述报文的源MAC地址,所述指定VTEP接收到的BGP二类路由 不会同步给其他被管理VTEP。
8.一种创建AC口的装置,其特征在于,所述装置应用于指定管理设备,所述指定管理设备与指定VTEP连接,所述装置包括:
第一接收模块,用于接收所述指定VTEP发送的来自被管理VTEP的未认证报文,所述被管理VTEP表示不与所述指定管理设备连接的VTEP,所述未认证报文用于表示进入所述被管理VTEP时不存在对应AC口、且由所述被管理VTEP通过指定VXLAN隧道发送至所述指定VTEP的报文;
第一认证模块,用于根据所述未认证报文的源MAC地址和数据标识对所述未认证报文进行认证;
映射模块,用于在认证通过的情况下,若存在与所述未认证报文对应的VSI,则将所述数据标识映射到所述VSI对应的VXLAN;
第一通知模块,用于通知所述被管理VTEP创建与所述未认证报文对应的AC口,以便于所述被管理VTEP将经过所述AC口的报文映射到所述VXLAN中进行封装转发。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二通知模块,用于若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述被管理VTEP撤销与所述未认证报文对应的AC口。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三通知模块,用于若在指定时间内未接收到与所述源MAC地址和所述数据标识匹配的报文,则通知所述指定VTEP撤销所述源MAC地址对应的以太网虚拟专用网络EVPN路由表项、并删除与所述EVPN路由表项对应的硬件转发表。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
管理模块,用于对经过所述VTEP的AC口的报文进行管理。
12.一种创建AC口的装置,其特征在于,所述装置应用于被管理VTEP,所述被管理VTEP用于表示不与指定管理设备连接的VTEP,所述装置包括:
第二接收模块,用于接收用户设备发送的报文;
第二认证模块,用于若不存在与所述报文对应的AC口,则通过指定VXLAN隧道将所述报文发送至指定VTEP,以使所述指定VTEP将所述报文发送至指定管理设备进行认证,所述指定VXLAN隧道对应于指定VXLAN ID,所述指定管理设备与指定VTEP连接;
创建模块,用于在接收到所述报文对应的数据标识与所述报文对应的VSI关联的VXLAN的VXLAN ID的对应关系的情况下,创建与所述报文对应的AC口,所述报文对应的数据标识与所述报文对应的VSI关联的VXLAN的VXLAN ID的对应关系是由所述指定管理设备在确认所述报文认证通过、且存在与所述报文对应的VSI的情况下,发送至所述被管理VTEP的。
13.根据权利要求12所述的装置,其特征在于,第二认证模块包括:
封装单元,用于采用所述指定VXLAN ID封装所述用户设备发送的报文,得到VXLAN报文;
发送单元,用于通过所述指定VXLAN隧道将所述VXLAN报文发送至所述指定VTEP,以便于所述指定VTEP对所述VXLAN报文解封装得到所述报文、并将所述报文发送至指定管理设备进行认证。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
映射模块,还用于若存在与所述报文对应的AC口,则将所述报文映射到所述AC口对应的VXLAN中发送至所述指定VTEP,所述指定VTEP接收到的BGP二类路由不会同步给其他被管理VTEP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711240506.XA CN107888473B (zh) | 2017-11-30 | 2017-11-30 | 创建ac口的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711240506.XA CN107888473B (zh) | 2017-11-30 | 2017-11-30 | 创建ac口的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107888473A CN107888473A (zh) | 2018-04-06 |
| CN107888473B true CN107888473B (zh) | 2020-08-11 |
Family
ID=61776343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711240506.XA Active CN107888473B (zh) | 2017-11-30 | 2017-11-30 | 创建ac口的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888473B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103379010A (zh) * | 2012-04-20 | 2013-10-30 | 中兴通讯股份有限公司 | 一种虚拟网络实现方法及系统 |
| CN104335532A (zh) * | 2012-06-04 | 2015-02-04 | 瑞典爱立信有限公司 | 使用单独管理将vlan标记的分组路由到虚拟转发实例的远端地址 |
| CN105592062A (zh) * | 2015-10-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种保持ip地址不变的方法及装置 |
| CN106878048A (zh) * | 2016-12-13 | 2017-06-20 | 新华三技术有限公司 | 故障处理方法及装置 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8665739B2 (en) * | 2011-03-16 | 2014-03-04 | Juniper Networks, Inc. | Packet loss measurement at service endpoints of a virtual private LAN service |
| US9621508B2 (en) * | 2013-08-20 | 2017-04-11 | Arista Networks, Inc. | System and method for sharing VXLAN table information with a network controller |
-
2017
- 2017-11-30 CN CN201711240506.XA patent/CN107888473B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103379010A (zh) * | 2012-04-20 | 2013-10-30 | 中兴通讯股份有限公司 | 一种虚拟网络实现方法及系统 |
| CN104335532A (zh) * | 2012-06-04 | 2015-02-04 | 瑞典爱立信有限公司 | 使用单独管理将vlan标记的分组路由到虚拟转发实例的远端地址 |
| CN105592062A (zh) * | 2015-10-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种保持ip地址不变的方法及装置 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN106878048A (zh) * | 2016-12-13 | 2017-06-20 | 新华三技术有限公司 | 故障处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107888473A (zh) | 2018-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11102033B2 (en) | Method and apparatus for implementing a flexible virtual local area network | |
| US10735217B2 (en) | Distributed internet access in an overlay fabric using combined local and remote extranet policies | |
| US10193707B2 (en) | Packet transmission method and apparatus | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| US11516184B2 (en) | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall | |
| CN106878136B (zh) | 一种报文转发方法及装置 | |
| CN107645433B (zh) | 报文转发方法及装置 | |
| US11102169B2 (en) | In-data-plane network policy enforcement using IP addresses | |
| CN108092890B (zh) | 路由建立方法和装置 | |
| WO2019214612A1 (zh) | 传输报文的方法和装置 | |
| US20240007353A1 (en) | Software defined access fabric without subnet restriction to a virtual network | |
| CN108718275B (zh) | 报文转发方法及装置 | |
| CN107911495B (zh) | 一种mac地址同步方法和vtep | |
| CN114365454A (zh) | 无状态安全功能的分布 | |
| CN107888473B (zh) | 创建ac口的方法及装置 | |
| CN113923075A (zh) | 一种数据传输方法和装置 | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| US11729280B2 (en) | Zero day zero touch providing of services with policy control | |
| US10601649B1 (en) | Stack switching detection and provisioning | |
| US11303511B2 (en) | Boot server support in an enterprise fabric network | |
| US20230006998A1 (en) | Management of private networks over multiple local networks | |
| CN117997734A (zh) | 一种针对多资源池网络的管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |