CN108600415A - 一种虚拟网络访问外网的方法、系统及sdn控制器 - Google Patents
一种虚拟网络访问外网的方法、系统及sdn控制器 Download PDFInfo
- Publication number
- CN108600415A CN108600415A CN201810523246.5A CN201810523246A CN108600415A CN 108600415 A CN108600415 A CN 108600415A CN 201810523246 A CN201810523246 A CN 201810523246A CN 108600415 A CN108600415 A CN 108600415A
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- virtual
- upstream data
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟网络访问外网的方法、系统及SDN控制器,其中,虚拟网络访问外网的方法包括:SDN控制器向ARP请求的多个虚拟机下发ARP应答信息,ARP请求中包括上行数据的目的IP地址,ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,目的网关为预先设置的多个网关中与目的IP地址属于相同网段的一个网关;SDN控制器向接入交换机下发流表,流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。本发明公开的虚拟网络访问外网的方法、系统及SDN控制器,能够支持更大规模的网络部署。
Description
技术领域
本发明涉及通信技术,尤指一种虚拟网络访问外网的方法、系统及SDN控制器。
背景技术
软件定义网络(Software Defined Networks,简称SDN)是一种新型的网络创新架构,通过将控制平面和数据平面分离,实现网络流量的灵活控制。在应用SDN技术的数据中心中,SDN控制器负责网络流量的编排与控制,其中,由于南北向通常采用传统的VLAN网络进行部署,如何增加南北向网关所支持的VLAN网络数量是一项重要内容。南北向指的是当数据中心内网的虚拟机访问多个不同的外网时,流量由内网到外网流经的方向;南北向网关指的是当数据中心内网的虚拟机访问多个不同的外网时,流量由内网到外网流经的网关。
目前,当数据中心内网的虚拟机访问多个不同的外网时,数据中心需要先经过三层网关,然后连接出口防火墙设备。内网虚拟机的流量从网关到防火墙的流量使用传统的转发方式进行转发,通过虚拟局域网(Virtual Local Area Network,简称VLAN)进行隔离。然而,由于一个网关设备所支持的VLAN数量最多为4094个,所以网关所支持的互联网络最多为4094个,限制了所支持的网络规模。
发明内容
为了解决上述技术问题,本发明提供了一种虚拟网络访问外网的方法、系统及SDN控制器,能够支持更大规模的网络部署。
为了达到本发明目的,第一方面,本发明提供了一种虚拟网络访问外网的方法,包括:
SDN控制器向发送ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
所述SDN控制器向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
第二方面,本发明提供了一种SDN控制器,包括:
第一发送模块,用于向发送ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
第二发送模块,用于向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
第三方面,本发明提供了一种虚拟网络访问外网的系统,包括:虚拟机、接入交换机、至少两个网关、防火墙和如第二方面所述实施例的SDN控制器;防火墙包括至少两个虚拟防火墙;
每一个虚拟机匹配所述SDN控制器下发的ARP应答信息,向所述接入交换机发送上行数据,所述上行数据携带有每一个虚拟机所要访问的外网的IP地址和所要转发到的目的网关的MAC地址;
所述接入交换机收到上行数据,匹配所述SDN控制器下发的流表,将每一个虚拟机的上行数据转发到对应的目的网关;
接收到上行数据的网关,匹配所述SDN控制器下发的策略路由,将上行数据转发到下一跳的虚拟防火墙。
第四方面,本发明提供了一种SDN控制器,包括存储器和处理器,存储器用于存储执行指令;处理器调用所述执行指令,用于执行如第一方面实施例所述的虚拟网络访问外网的方法。
第五方面,本发明提供了一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时实现第一方面实施例所述的方法的步骤。
本发明实施例提供的虚拟网络访问外网的方法,提供了一种SDN网络中南北向网关扩展解决方案,当不同的虚拟机访问不同的外部网络时,不再使用通过同一网关访问外网,而是通过不同的网关访问外部网络,扩大了南北向网络中可支持的VLAN网络数量。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例提供的虚拟网络访问外网的方法的流程图;
图2为本发明实施例提供的SDN控制器对多个网关进行管理的结构示意图;
图3为本发明实施例提供的虚拟网络访问外网的流量转发的流程示意图;
图4为本发明实施例一提供的SDN控制器的结构示意图;
图5为本发明实施例二提供的SDN控制器的结构示意图;
图6为本发明实施例提供的虚拟网络访问外网的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明提供了一种增加网关和防火墙互联网络个数的方案,对网关进行横向扩展。其基本思想是增加和防火墙互联的网关的个数,使支持的互联网络的个数为4094*N,N为网关的数量。通过SDN控制器对地址池、VLAN池进行编排,使不同的虚拟机通过不同的网关连接到外网防火墙,从而打破4094个VLAN网络的限制,支持更大规模的网络部署。
图1为本发明实施例提供的虚拟网络访问外网的方法的流程图,如图1所示,本发明实施例提供的虚拟网络访问外网的方法,包括:
S101:SDN控制器向发送ARP请求的多个虚拟机下发ARP应答信息,ARP请求中包括上行数据的目的IP地址,ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,目的网关为预先设置的多个网关中与目的IP地址属于相同网段的一个网关。
其中,本发明实施例中将虚拟机发往外网的流量(数据)称为上行数据,上行数据可以以报文的方式进行发送。
具体的,当不同的内网虚拟机访问不同的外部网络时,虚拟机发送地址解析协议(Address Resoloution Protocol,简称ARP)请求,接入交换机收到该ARP请求上送SDN控制器,SDN控制器进行ARP代答。若SDN控制器基于ARP请求判断出虚拟机需要访问外部网络时,从多个网关中确定出与相应虚拟机所要访问的目的互联网协议地址(Internet ProtocolAddress,简称IP地址)属于同一网段的网关,或者从多个网关中确定出与相应虚拟机默认路由器绑定的网关,并将该网关作为相应虚拟机的目的网关,以及将该网关的物理地址(Media Access Control,简称MAC地址)携带在ARP应答信息中下发给虚拟机。
本发明实施例中,一种实施方案,SDN控制器可以分别向每一个发送ARP请求的虚拟机发送ARP应答信息,此时,ARP应答信息可以是向每一个虚拟机发送的只包括该虚拟机上行数据的目的网关的MAC地址,也可以是向每一个虚拟机发送的包括所有虚拟机上行数据的目的网关的MAC地址。
本发明实施例中,另一种实施方案,SDN控制器同时向所有发送ARP请求的虚拟机发送ARP应答信息,此时,ARP应答信息可以是包括所有虚拟机上行数据的目的网关的MAC地址。
需要说明的是,本发明实施中多个不同的网关中每一网关对应绑定一个路由器或虚拟路由器,每一网关对应的网段不同,本发明实施中多个不同的网关均是实际网关(物理网关)比如可以为网关交换机。该实际网关指的是流量在访问外网时实际流经的网关,其用于连接虚拟网络和外网。
需要说明的是,本发明实施例中,虚拟机发送ARP请求与SDN控制器进行ARP代答与现有技术相同,本发明实施例在此不进行限定和赘述。
S102:SDN控制器向接入交换机下发流表,流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
具体的,SDN控制器向发送ARP请求的多个虚拟机下发ARP应答信息后,接收到ARP应答信息的每一个虚拟机发送报文给接入交换机,其发送的报文包括:目的IP地址和目的MAC地址,目的IP地址为所要访问的外网的IP地址、目的MAC地址为ARP应答信息中目的网关MAC。
接入交换机收到报文,匹配接入交换机上由SDN控制器下发的流表,做VXLAN封装,目的IP地址为报文中的目的IP地址,将报文发送到对应目的MAC地址的网关。
本发明实施例中,SDN控制器向接入交换机下发的流表中包括所有虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系。
可选的,接入交换机和网关之间的互通网络为虚拟扩展局域网(VirtualExtensible Local Area Network,简称VXLAN)网络,接入交换机通过VXLAN隧道将报文发送到对应的目的网关。SDN控制器下发的流表为openflow主机流表,openflow主机流表与现有技术相同,本发明实施例在此不进行限定和赘述。
本发明实施例中,接入交换机负责将虚拟机的流量转发至网关,网关负责将去往外网的流量转发至防火墙,以使防火墙将外网流量转发至外网。
本发明实施例提供的虚拟网络访问外网的方法,提供了一种SDN网络中南北向网关扩展解决方案,当不同的虚拟机访问不同的外部网络时,不再使用通过同一网关访问外网,而是通过不同的网关访问外部网络,扩大了南北向网络中可支持的VLAN网络数量。
进一步,在上述实施例中,本发明实施例提供的虚拟网络访问外网的方法,还包括:SDN控制器对多个网关进行管理,具体为:
预先设置多个不同网关,以及预先设置多个VLAN池和IP地址池;从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址。
具体的,一个虚拟路由器对应绑定一个网关,每一个与外网互通的网段对应设置一个网关。从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址,包括:从所属同一个虚拟路由器中的VLAN池中和IP地址分别为对应网关分配VLAN和IP地址。
图2为本发明实施例提供的SDN控制器对多个网关进行管理的结构示意图,如图2所示,SDN控制器对多个不同的网关进行管理,SDN控制器上可以配置不同的VLAN池和IP地址池,SDN控制器将VLAN池、IP地址池和网关关联,当虚拟路由器(Virtual Router,简称vRouter)绑定网关时,SDN控制器从相应的地址池中为不同的网关分配不同的VLAN和IP地址,下发策略路由给对应的网关,同时为对端防火墙分配不同的VLAN、IP地址。
进一步,在上述实施例中,本发明实施例提供的虚拟网络访问外网的方法,还包括:
SDN控制器向网关下发策略路由,策略路由用于指示虚拟机上行数据的目的网关的下一跳虚拟防火墙信息,虚拟防火墙信息包括虚拟防火墙的IP地址,以使每一个虚拟机发热上行数据经由对应的网关转发到对应的虚拟防火墙。
本发明实施例中,网关负责将去往外网的流量转发至防火墙,防火墙负责将外网流量转发至外网。
本发明实施例中,一种实施方案,SDN控制器可以分别向每一个网关发送策略路由,此时,策略路由可以是向每一个目的网关发送的只包括该目的网关的下一跳虚拟防火墙信息,也可以是向每一个目的网关发送的包括所有目的网关的下一跳虚拟防火墙信息。
本发明实施例中,另一种实施方案,SDN控制器同时向所有目的网关发送策略路由,此时,策略路由可以是包括所有目的网关的下一跳虚拟防火墙信息。
具体的,接入交换机将每一个虚拟机发送的报文转发到对应的目的网关后,收到报文的网关,做VXLAN解封装,匹配由SDN控制器下发的策略路由,找到下一跳为虚拟防火墙的IP地址,将报文转发到该虚拟防火墙,以使防火墙将报文转发至外网。
可选的,网关和防火墙之间的互通网络为虚拟局域网(Virtual Local AreaNetwork,简称VLAN)网络,网关将报文通过VLAN转发到虚拟防火墙。
本发明实施例中,防火墙将外网流量转发至外网与现有技术相同,本发明实施例在此不进行限定和赘述。
举例来说,图3为本发明实施例提供的虚拟网络访问外网的流量转发的流程示意图,如图3所示,vm1、vm2为内网虚拟机,接入交换机负责将虚拟机的流量转发至网关,网关负责将去往外网的流量转发至防火墙,防火墙负责将外网流量转发至外网。网关和防火墙之间的互通网络为VLAN网络,接入交换机和网关之间的互通网络为VXLAN网络,路由器负责与外网通信。以vm1(1.1.1.1)访问外网为例进行说明,图3中以虚拟机、网关、虚拟防火墙分别为两个为例,但本发明实施例并不仅限于此。
步骤1、vm1发送ARP请求,接入交换机收到ARP请求上送SDN控制器,SDN控制器进行ARP代答。vm1发送目的IP为10.10.10.1,目的MAC为网关MAC的报文。
步骤2、接入交换机收到报文,匹配接入交换机上由SDN控制器下发的openflow主机流表,做VXLAN封装,目的IP为1.1.1.254,通过VXLAN隧道将报文发送到网关1。
步骤3、网关1收到报文后,做VXLAN解封装,匹配由SDN控制器下发的策略路由,下一跳为虚拟防火墙1的互通地址(18.18.18.2),将报文通过VLAN100转发到虚拟防火墙1。
vm2同理,当访问外网时,通过网关2上的VLAN100互通网络将报文转发至虚拟防火墙2上。
图4为本发明实施例一提供的SDN控制器的结构示意图,如图4所示,本发明实施例提供的SDN控制器,包括:第一发送模块41和第二发送模块42。
第一发送模块41,用于向发送ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
第二发送模块42,用于向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
本发明实施例提供的SDN控制器用于执行图1所示方法实施例的技术方案,其实现原理和实现效果类似,此处不再赘述。
进一步地,在上述实施例中,SDN控制器还包括:
管理模块,用于对多个网关进行管理,包括:
预先设置多个不同网关,每一个与外网互通的网段对应设置一个网关;
预先设置VLAN池和IP地址池,从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址。
进一步地,在上述实施例中,SDN控制器还包括:
第三发送模块,用于向网关下发策略路由,所述策略路由用于指示虚拟机上行数据的目的网关的下一跳虚拟防火墙信息,所述虚拟防火墙信息包括虚拟防火墙的IP地址,以使每一个虚拟机的上行数据经由对应的网关转发到对应的虚拟防火墙。
图5为本发明实施例二提供的SDN控制器的结构示意图,如图5所示,本发明实施例提供的SDN控制器,包括:存储器51和处理器52。
存储器51用于存储执行指令,处理器52可以是一个中央处理器(CentralProcessing Unit,简称CPU),或者是特定集成电路(Application Specific IntegratedCircuit,简称ASIC),或者完成实施本发明实施例的一个或多个集成电路。当SDN控制器运行时,处理器52与存储器51之间通信,处理器52调用执行指令,用于执行以下操作:
向发送ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
进一步地,处理器52还用于:
对多个网关进行管理,包括:
预先设置多个不同网关,以及预先设置多个VLAN池和IP地址池;
从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址。
进一步地,处理器52还用于:
向网关下发策略路由,所述策略路由用于指示虚拟机上行数据的目的网关的下一跳虚拟防火墙信息,所述虚拟防火墙信息包括虚拟防火墙的IP地址,以使每一个虚拟机的上行数据经由对应的网关转发到对应的虚拟防火墙。
进一步地,每一个虚拟机的上行数据通过VXLAN网络转发到对应的目的网关;
每一个虚拟机的上行数据经由对应的网关通过VLAN网络转发到对应的虚拟防火墙。
图6为本发明实施例提供的虚拟网络访问外网的系统的结构示意图,如图6所示,本发明提供的虚拟网络访问外网的系统包括:虚拟机61、接入交换机62、至少两个网关63、防火墙64和SDN控制器65。
其中,本发明实施例中的SDN控制器65可以是上述实施例中的任一项SDN控制器,其实现原理和实现效果类似,在此不再赘述。防火墙64包括至少两个虚拟防火墙,虚拟机、网关、虚拟防火墙三者一一对应,图6中以虚拟机、网关、虚拟防火墙分别为两个为例,vm1、vm2为两个不同的虚拟机,但本发明实施例并不仅限于此。
每一个虚拟机61匹配SDN控制器65下发的ARP应答信息,向接入交换机62发送上行数据,上行数据携带有每一个虚拟机61所要访问的外网的IP地址和所要转发到的目的网关的MAC地址;
接入交换机62收到上行数据,匹配SDN控制器65下发的流表,将每一个虚拟机6的上行数据转发到对应的目的网关63;
接收到上行数据的网关63,匹配SDN控制器65下发的策略路由,将上行数据转发到下一跳的虚拟防火墙。
进一步地,接入交换机62和网关63之间的互通网络为VXLAN网络;网关63和防火墙64之间的互通网络为VLAN网络。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时实现上述任一实施例所述的虚拟网络访问外网的方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (11)
1.一种虚拟网络访问外网的方法,包括:
SDN控制器向发送地址解析协议ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
所述SDN控制器向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述SDN控制器对多个网关进行管理,包括:
预先设置多个不同网关,以及预先设置多个VLAN池和IP地址池;
从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述SDN控制器向网关下发策略路由,所述策略路由用于指示虚拟机上行数据的目的网关的下一跳虚拟防火墙信息,所述虚拟防火墙信息包括虚拟防火墙的IP地址,以使每一个虚拟机的上行数据经由对应的网关转发到对应的虚拟防火墙。
4.根据权利要求3所述的方法,其特征在于,
每一个虚拟机的上行数据通过VXLAN网络转发到对应的目的网关;
每一个虚拟机的上行数据经由对应的网关通过VLAN网络转发到对应的虚拟防火墙。
5.一种SDN控制器,其特征在于,包括:
第一发送模块,用于向发送地址解析协议ARP请求的多个虚拟机下发ARP应答信息,所述ARP请求中包括上行数据的目的IP地址,所述ARP应答信息用于指示虚拟机上行数据的目的网关的MAC地址,所述目的网关为预先设置的多个网关中与所述目的IP地址属于相同网段的一个网关;
第二发送模块,用于向接入交换机下发流表,所述流表用于指示虚拟机上行数据的目的网关的MAC地址与IP地址的映射关系,以使所述接入交换机将每一个虚拟机的上行数据转发到对应的目的网关。
6.根据权利要求5所述的SDN控制器,其特征在于,所述SDN控制器还包括:
管理模块,用于对多个网关进行管理,包括:
预先设置多个不同网关,以及预先设置VLAN池和IP地址池;
从相应VLAN池和IP地址池为多个不同网关分配不同的VLAN和IP地址。
7.根据权利要求5或6所述的SDN控制器,其特征在于,所述SDN控制器还包括:
第三发送模块,用于向网关下发策略路由,所述策略路由用于指示虚拟机上行数据的目的网关的下一跳虚拟防火墙信息,所述虚拟防火墙信息包括虚拟防火墙的IP地址,以使每一个虚拟机的上行数据经由对应的网关转发到对应的虚拟防火墙。
8.一种虚拟网络访问外网的系统,其特征在于,包括:虚拟机、接入交换机、至少两个网关、防火墙和如权利要求5-7任一项所述的SDN控制器;防火墙包括至少两个虚拟防火墙;
每一个虚拟机匹配所述SDN控制器下发的ARP应答信息,向所述接入交换机发送上行数据,所述上行数据携带有每一个虚拟机所要访问的外网的IP地址和所要转发到的目的网关的MAC地址;
所述接入交换机收到上行数据,匹配所述SDN控制器下发的流表,将每一个虚拟机的上行数据转发到对应的目的网关;
接收到上行数据的网关,匹配所述SDN控制器下发的策略路由,将上行数据转发到下一跳的虚拟防火墙。
9.根据权利要求8所述的系统,其特征在于,
接入交换机和网关之间的互通网络为VXLAN网络;
网关和防火墙之间的互通网络为VLAN网络。
10.一种SDN控制器,其特征在于,包括存储器和处理器,存储器用于存储执行指令;处理器调用所述执行指令,用于执行如权利要求1-4任一项所述的虚拟网络访问外网的方法。
11.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述指令被处理器执行时实现权利要求1-4任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810523246.5A CN108600415A (zh) | 2018-05-28 | 2018-05-28 | 一种虚拟网络访问外网的方法、系统及sdn控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810523246.5A CN108600415A (zh) | 2018-05-28 | 2018-05-28 | 一种虚拟网络访问外网的方法、系统及sdn控制器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108600415A true CN108600415A (zh) | 2018-09-28 |
Family
ID=63629355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810523246.5A Pending CN108600415A (zh) | 2018-05-28 | 2018-05-28 | 一种虚拟网络访问外网的方法、系统及sdn控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600415A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088824A (zh) * | 2018-10-26 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110381178A (zh) * | 2019-08-02 | 2019-10-25 | 杭州巨峰科技有限公司 | Nvr模块及其出图方法及poe-nvr模组 |
| CN110417774A (zh) * | 2019-07-26 | 2019-11-05 | 苏州浪潮智能科技有限公司 | 一种sdn网络中安全资源管控方法和装置 |
| CN110650093A (zh) * | 2019-08-29 | 2020-01-03 | 苏州浪潮智能科技有限公司 | 一种单操作系统多网段访问方法及系统 |
| CN111131543A (zh) * | 2019-12-26 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种sdn多线程时序控制方法、系统、装置及可读存储介质 |
| CN111885075A (zh) * | 2020-07-30 | 2020-11-03 | 广州华多网络科技有限公司 | 容器通信方法、装置、网络设备及存储介质 |
| CN113273154A (zh) * | 2018-12-28 | 2021-08-17 | 阿里巴巴集团控股有限公司 | 用于网络控制的方法、设备和计算机可读存储介质 |
| CN113329022A (zh) * | 2021-05-31 | 2021-08-31 | 北京天融信网络安全技术有限公司 | 一种虚拟防火墙的信息处理方法及电子设备 |
| CN113765829A (zh) * | 2020-06-04 | 2021-12-07 | 瞻博网络公司 | 软件定义联网分布式系统中的活性检测和路由收敛 |
| CN114338397A (zh) * | 2021-12-27 | 2022-04-12 | 中国联合网络通信集团有限公司 | 云平台网络配置方法、装置、服务器、存储介质及系统 |
| CN115225634A (zh) * | 2022-06-17 | 2022-10-21 | 北京百度网讯科技有限公司 | 虚拟网络下的数据转发方法、装置及计算机程序产品 |
| CN115996183A (zh) * | 2021-10-15 | 2023-04-21 | 中国联合网络通信集团有限公司 | 流量确定方法及设备 |
| WO2024067255A1 (zh) * | 2022-09-30 | 2024-04-04 | 华为技术有限公司 | 数据传输系统、数据传输方法以及联网设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970227A (zh) * | 2012-11-12 | 2013-03-13 | 盛科网络(苏州)有限公司 | 在asic中实现vxlan报文转发的方法和装置 |
| CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN105812340A (zh) * | 2014-12-31 | 2016-07-27 | 杭州华三通信技术有限公司 | 一种虚拟网络访问外网的方法和装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
-
2018
- 2018-05-28 CN CN201810523246.5A patent/CN108600415A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970227A (zh) * | 2012-11-12 | 2013-03-13 | 盛科网络(苏州)有限公司 | 在asic中实现vxlan报文转发的方法和装置 |
| CN105450532A (zh) * | 2014-09-28 | 2016-03-30 | 杭州华三通信技术有限公司 | 软件定义网络中的三层转发方法及装置 |
| CN105812340A (zh) * | 2014-12-31 | 2016-07-27 | 杭州华三通信技术有限公司 | 一种虚拟网络访问外网的方法和装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088824A (zh) * | 2018-10-26 | 2018-12-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN109088824B (zh) * | 2018-10-26 | 2021-02-23 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113273154B (zh) * | 2018-12-28 | 2023-04-18 | 阿里巴巴集团控股有限公司 | 用于网络控制的方法、设备和计算机可读存储介质 |
| CN113273154A (zh) * | 2018-12-28 | 2021-08-17 | 阿里巴巴集团控股有限公司 | 用于网络控制的方法、设备和计算机可读存储介质 |
| CN110417774A (zh) * | 2019-07-26 | 2019-11-05 | 苏州浪潮智能科技有限公司 | 一种sdn网络中安全资源管控方法和装置 |
| CN110381178A (zh) * | 2019-08-02 | 2019-10-25 | 杭州巨峰科技有限公司 | Nvr模块及其出图方法及poe-nvr模组 |
| CN110381178B (zh) * | 2019-08-02 | 2022-04-01 | 杭州巨峰科技有限公司 | Nvr模块及其出图方法及poe-nvr模组 |
| CN110650093A (zh) * | 2019-08-29 | 2020-01-03 | 苏州浪潮智能科技有限公司 | 一种单操作系统多网段访问方法及系统 |
| CN111131543A (zh) * | 2019-12-26 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种sdn多线程时序控制方法、系统、装置及可读存储介质 |
| US11870677B2 (en) | 2020-06-04 | 2024-01-09 | Juniper Networks, Inc. | Liveness detection and route convergence in software-defined networking distributed system |
| CN113765829A (zh) * | 2020-06-04 | 2021-12-07 | 瞻博网络公司 | 软件定义联网分布式系统中的活性检测和路由收敛 |
| CN113765829B (zh) * | 2020-06-04 | 2023-09-12 | 瞻博网络公司 | 软件定义联网分布式系统中的活性检测和路由收敛 |
| CN111885075A (zh) * | 2020-07-30 | 2020-11-03 | 广州华多网络科技有限公司 | 容器通信方法、装置、网络设备及存储介质 |
| CN113329022B (zh) * | 2021-05-31 | 2022-08-05 | 北京天融信网络安全技术有限公司 | 一种虚拟防火墙的信息处理方法及电子设备 |
| CN113329022A (zh) * | 2021-05-31 | 2021-08-31 | 北京天融信网络安全技术有限公司 | 一种虚拟防火墙的信息处理方法及电子设备 |
| CN115996183A (zh) * | 2021-10-15 | 2023-04-21 | 中国联合网络通信集团有限公司 | 流量确定方法及设备 |
| CN114338397A (zh) * | 2021-12-27 | 2022-04-12 | 中国联合网络通信集团有限公司 | 云平台网络配置方法、装置、服务器、存储介质及系统 |
| CN114338397B (zh) * | 2021-12-27 | 2023-11-03 | 中国联合网络通信集团有限公司 | 云平台网络配置方法、装置、服务器、存储介质及系统 |
| CN115225634A (zh) * | 2022-06-17 | 2022-10-21 | 北京百度网讯科技有限公司 | 虚拟网络下的数据转发方法、装置及计算机程序产品 |
| CN115225634B (zh) * | 2022-06-17 | 2023-10-20 | 北京百度网讯科技有限公司 | 虚拟网络下的数据转发方法、装置及计算机程序产品 |
| WO2024067255A1 (zh) * | 2022-09-30 | 2024-04-04 | 华为技术有限公司 | 数据传输系统、数据传输方法以及联网设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600415A (zh) | 一种虚拟网络访问外网的方法、系统及sdn控制器 | |
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| CN104246701B (zh) | 用于基于源路由在不同无限带宽子网间路由流量的系统和方法 | |
| US9025468B1 (en) | Custom routing decisions | |
| EP2491684B1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
| CN105656796B (zh) | 实现虚拟扩展局域网三层转发的方法和装置 | |
| CN106101023B (zh) | 一种vpls报文处理方法及设备 | |
| WO2021007963A1 (zh) | 路由分发方法及控制器、信息路由方法及网络节点设备 | |
| CN109218053A (zh) | 虚拟数据中心的实现方法、系统和存储介质 | |
| CN105635190B (zh) | 数据中心网络中的服务执行方法及装置 | |
| CN107026796B (zh) | 一种vpn路由通告方法、数据流转发方法及相关设备 | |
| CN109937400A (zh) | 用于虚拟机的实时迁移的流状态传送 | |
| CN114726786A (zh) | 受管理网关的路由通告 | |
| CN106331206B (zh) | 域名管理方法及装置 | |
| CN104780088A (zh) | 一种业务报文的传输方法和设备 | |
| US20180077048A1 (en) | Controller, control method and program | |
| JP6488426B2 (ja) | マルチキャストデータパケット転送 | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| JP6529660B2 (ja) | マルチキャストデータパケット転送 | |
| US20190132152A1 (en) | Dynamic customer vlan identifiers in a telecommunications network | |
| CN105681198B (zh) | 一种业务链处理方法、设备及系统 | |
| US10951438B1 (en) | Acceleration proxy device, acceleration proxy method, and content management system | |
| JP2018536345A (ja) | ファイアウォールクラスタ | |
| CN108965134B (zh) | 报文转发方法及装置 | |
| JP6437692B2 (ja) | パケット転送 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180928 |