CN109286565B - 报文转发方法和装置 - Google Patents

报文转发方法和装置 Download PDF

Info

Publication number
CN109286565B
CN109286565B CN201811360846.0A CN201811360846A CN109286565B CN 109286565 B CN109286565 B CN 109286565B CN 201811360846 A CN201811360846 A CN 201811360846A CN 109286565 B CN109286565 B CN 109286565B
Authority
CN
China
Prior art keywords
vtep equipment
address
message
data message
vtep
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811360846.0A
Other languages
English (en)
Other versions
CN109286565A (zh
Inventor
唐成
黄李伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing H3C Technologies Co Ltd
Original Assignee
Beijing H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing H3C Technologies Co Ltd filed Critical Beijing H3C Technologies Co Ltd
Priority to CN201811360846.0A priority Critical patent/CN109286565B/zh
Publication of CN109286565A publication Critical patent/CN109286565A/zh
Application granted granted Critical
Publication of CN109286565B publication Critical patent/CN109286565B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了报文转发方法和装置。本申请中,第一VTEP设备不管是收到来自本地VM发送的数据报文,还是来自其他VTEP设备本地的VM的数据报文都会将收到的数据报文转发至二层防火墙设备以进行二层防火墙处理,实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。

Description

报文转发方法和装置
技术领域
本申请涉及网络通信技术,特别涉及报文转发方法和装置。
背景技术
以太网虚拟专用网络(EVPN:Ethernet Virtual Private Network),是一种二层虚拟专用网络(VPN:Virtual Private Network)技术。目前,当EVPN接入二层防火墙设备时,因为二层防火墙设备没有IP地址,即使EVPN接入二层防火墙设备,也无法按照EVPN协议在EVPN中实现二层防火墙的应用。
为了在EVPN中实现二层防火墙的应用,目前常用的方法是:在二层防火墙设备与二层防火墙设备接入的VTEP设备之间增加一台设备(称为中转设备),由中转设备通告本设备的IP地址,并在EVPN中的所有VTEP上配置策略路由(PBR:Policy Based Routing)以指示将收到的未经二层防火墙设备处理的任一报文发送至中转设备,以由中转设备转发至二层防火墙设备进行处理。最终在EVPN中实现二层防火墙的应用。
但是,为在EVPN中实现二层防火墙的应用,就要额外在二层防火墙设备与二层防火墙设备接入的VTEP设备之间增加一台中转设备,浪费资源。
发明内容
本申请提供了报文转发方法和装置,以在不额外增加中转设备的前提下在EVPN中实现二层防火墙的应用。
本申请提供的技术方案包括:
在第一方面,本申请提供了一种报文转发方法,该方法应用于EVPN中的第一VTEP设备,第一VTEP设备与二层防火墙设备相连,该方法包括:
将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收第一数据报文,所述第一数据报文为接入所述第一VTEP设备的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文;
将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
在一个例子中,所述指定IP地址为指定网关的IP地址,所述指定网关为第一接口所属虚拟交换实例VSI对应的网关,所述第一接口为所述第一VTEP设备上连接二层防火墙设备的接口。
在一个例子中,该方法进一步包括:
接收第二数据报文,所述第二数据报文为所述二层防火墙设备对所述第一数据报文进行处理后发送的数据报文;
当在本地查找到与所述第二数据报文的目的IP地址匹配的转发表项时,依据查找到的转发表项转发第二数据报文。
在一个例子中,所述路由通告报文为EVPN Type 5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
在第二方面,本申请提供了一种报文转发方法,该方法应用于EVPN中的第二VTEP设备,第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,第一VTEP设备与二层防火墙设备相连,该方法包括:
接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
在接收到接入的VM发送的数据报文时,依据所述PBR转发所述数据报文。
在一个例子中,所述路由通告报文为EVPN Type 5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
在第三方面,本申请提供了一种报文转发装置,该装置应用于EVPN中的第一VTEP设备,第一VTEP设备通过第一接口与二层防火墙设备相连,该装置包括:
通告单元,用于将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收单元,用于通过第二接口接收第一数据报文,所述第一数据报文为第一VTEP设备本地的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文;
发送单元,用于通过所述第一接口将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
在一个例子中,所述指定IP地址为指定网关的IP地址,所述指定网关为与所述第一接口所属虚拟交换实例VSI对应的网关。
在第四方面,本申请提供了一种报文转发装置,该装置应用于EVPN中的第二VTEP设备,第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,第一VTEP设备与二层防火墙设备相连,该装置包括:
通告报文单元,用于接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
表项单元,用于依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
转发单元,用于在接收到来自本地VM的数据报文时,依据所述PBR将所述数据报文转发至所述第一VTEP设备。
在一个例子中,所述路由通告报文为EVPN Type 5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
由以上技术方案可以看出,本申请中,通过由第一VTEP设备将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文携带指定标记,以指示收到路由通告报文的第二VTEP设备生成至所述指定IP地址的策略路由PBR(所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文),则实现了第二VTEP设备在收到来自本设备接入的VM的数据报文时会基于PBR将数据报文发送给第一VTEP设备,最终第一VTEP设备不管是收到来自本设备接入的VM发送的数据报文,还是来自第二VTEP设备接入的VM的数据报文,都会将收到的数据报文转发至二层防火墙设备以进行处理,最终实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请提供的方法流程图;
图2为本申请提供的扩展团体属性示意图;
图3为本申请提供的另一方法流程图;
图4为本申请提供的实施例应用组网图;
图5为本申请提供的装置结构图;
图6为本申请提供的另一装置结构图;
图7为本申请提供的装置的硬件结构示意图。
具体实施方式
本申请优化了现有在EVPN中实现二层防火墙应用的方式,具体可参见图1所示的流程:
参见图1,图1为本申请提供的方法流程图。该流程应用于EVPN中的第一VTEP设备,第一VTEP设备通过第一接口与二层防火墙设备相连。需要说明的是,这里第一VTEP设备、第一接口只是为便于描述而进行的命名,并非用于限定。
如图1所示,该流程可包括以下步骤:
步骤101,第一VTEP设备将指定IP地址携带在路由通告报文中发送至第二VTEP设备。
这里,第二VTEP设备是泛指除第一VTEP设备之外的VTEP设备,其为便于描述而进行的命名,并非用于限定。
在一个例子中,指定IP地址为指定网关的IP地址。其中,所述指定网关为与所述第一接口所属虚拟交换实例(VSI:Virtual Switch Instance)对应的网关。该指定IP地址可预先配置在第一VTEP设备,也可由第一VTEP设备动态获取,本申请并不具体限定。
在本申请中,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的第二VTEP设备不管此时是否已建立优先级比较高的转发表项,均生成至所述指定IP地址的策略路由(PBR:Policy Based Routing)并将策略路由下发至本地硬件。这里,PBR的下一跳的IP地址为所述第一VTEP设备的IP地址所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文。至此,第二VTEP设备在收到接入的VM的数据报文时会基于PBR将数据报文发送给第一VTEP设备。
在本申请中,作为一个实施例,上述路由通告报文可为EVPN类型(Type)5路由(也称IP前缀路由)报文。相比现有的EVPN Type 5路由报文,本申请中需要在EVPN Type 5路由报文中新扩展一个团体属性(称为扩展团体属性)。图2示出了扩展团体属性的示意图。在一个例子中,扩展团体属性中指定字段比如图2示出的F字段取值为设定值(比如为1),用于表示所述指定标记。在另一个例子中,扩展团体属性中指定字段比如图2示出的F字段可设置为防火墙(firewall)标识,用于表示所述指定标记。
步骤102,第一VTEP设备接收第一数据报文。
在本实施例中,第一数据报文有可能是第一VTEP设备接入的VM发送的数据报文,也有可能是第二VTEP设备基于所述PBR转发的来自所述第二VTEP设备接入的VM发送的数据报文。
步骤103,第一VTEP设备将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
作为一个实施例,本申请中,可预先在第一VTEP设备本地配置PBR,配置的PBR用于指示第一VTEP设备将除第一接口之外任一接口接收的数据报文通过第一接口发送至二层防火墙设备。基于此,本步骤103中,第一VTEP设备可基于本地配置的PBR将所述第一数据报文通过所述第一接口转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
最终,执行到本步骤103,则EVPN中任一VTEP设备接入的VM发送的数据报文都会转发至二层防火墙设备进行处理,最终在EVPN中实现二层防火墙应用。
至此,完成图1所示流程。
通过图1所示流程可以看出,本申请中,通过由第一VTEP设备将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文携带指定标记,以指示收到路由通告报文的第二VTEP设备生成至所述指定IP地址的PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文,实现了第二VTEP设备在收到接入的VM的数据报文时会基于PBR将接入的VM的数据报文发送给第一VTEP设备,最终第一VTEP设备不管是收到接入的VM发送的数据报文,还是来自第二VTEP设备接入的VM的数据报文,都会将收到的数据报文转发至二层防火墙设备以进行处理,最终实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。
在上面步骤103中,当二层防火墙设备收到第一VTEP设备通过第一端口转发的第一数据报文时,会对第一数据报文进行处理得到第二数据报文。之后二层防火墙设备会将第二数据报文返回至第一VTEP设备。
当第一VTEP设备通过所述第一接口接收二层防火墙设备返回的第二数据报文时,在本地查找与所述第二数据报文的目的IP地址匹配的转发表项,依据查找到的转发表项转发第二数据报文。
上面是站在第一VTEP设备的角度描述本申请提供的方法,下面站在第二VTEP设备的角度描述本申请提供的方法。这里的第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备。
参见图3,图3为本申请提供的另一方法流程图。如图3所示,该流程应用于第二VTEP设备,可包括以下步骤:
步骤301,第二VTEP设备接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记。
步骤302,第二VTEP设备依据所述指定标记生成至所述指定IP地址的PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的VM的数据报文。
当路由通告报文携带指定标记,这里指定标记如上描述,则第二VTEP设备不管本地是否存在优先级更高的转发表项,都会动态生成PBR并下发PBR对应的转发表项至本地硬件。所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文。如此,第二VTEP设备收到接入的VM的数据报文时会基于上述的PBR,将数据报文发送至第一VTEP设备。当第一VTEP设备收到第二VTEP设备转发的来自第二VTEP设备接入的VM的数据报文时(此时第一VTEP设备收到数据报文的接口为上述的第二接口),则按照上述步骤102、步骤103执行,这里不再赘述。
通过图3所示流程可以看出,本申请中,第二VTEP设备收到由第一VTEP设备发送的路由通告报文时,会依据所述路由通告报文携带的指定标记生成PBR,基于所述PBR,第二VTEP设备在收到接入的VM的数据报文时会将数据报文发送给第一VTEP设备,最终由第一VTEP设备转发至二层防火墙设备以进行处理,实现了在不额外增加设备的前提下在EVPN中实现二层防火墙的应用。
下面结合一个具体实施例对图1、图3所示流程进行描述:
参见图4,图4为本申请提供的实施例应用组网图。如图4所示,二层防火墙设备与VTEP3直连。VTEP3上连接二层防火墙设备的接口即为Port3_1。VTEP3配置Port3_1所属VSI对应的网关的IP地址(记为12.1.1.1/24)。
在图4中,VTEP3通过EVPN的Type 5路由报文在EVPN中通告IP地址12.1.1.1/24。Type 5路由报文携带Type 5路由报文,还通过扩展如图2所示的扩展团体属性携带指定标记。在本实施例中,以扩展团体属性中F字段设置为1表示指定标记。
VTEP1收到VTEP3发送的Type 5路由报文时,发现Type 5路由报文携带扩展团体属性,且扩展团体属性中F字段设置为1,则在本地建立至IP地址12.1.1.1/24的PBR(记为PBR400)。PBR400的下一跳的IP地址为所述VTEP3的IP地址,PBR400用于指示VTEP1向下一跳VTEP3转发接入VTEP1的VM的数据报文。
VTEP2收到VTEP3发送的Type 5路由报文时,发现Type 5路由报文携带扩展团体属性,且扩展团体属性中F字段设置为1,则动态生成至IP地址12.1.1.1/24的PBR(记为PBR401)。PBR401的下一跳的IP地址为VTEP3的IP地址,PBR401用于指示VTEP2向下一跳VTEP3转发接入VTEP1的VM的数据报文。
至此,通过上面描述,VTEP1、VTEP2都会基于VTEP3发送的Type 5路由报文自动生成PBR,以指示转发来自本地接入的VM的数据报文至VTEP3。
下面以VTEP2本地的VM2访问VTEP1本地的VM1为例描述:
VM2发送数据报文(记为报文c1)。报文c1的目的IP地址为VM2的IP地址。
VTEP2接收到报文c1,按照本地生成的上述PBR401将报文c1发送至下一跳(VTEP3)。
VTEP3作为VTEP2转发报文c1的下一跳会收到VTEP2转发的报文c1。
VTEP3发现收到报文c1的接口为Port3_2,并非为本VTEP3连接二层防火墙设备的接口Port3_1,则会基于本地配置的PBR将报文c1转发至二层防火墙设备。
二层防火墙设备收到报文c1,对报文c1进行理比如进行报文过滤等。假若二层防火墙设备对报文c1进行处理后(此时可将处理后的报文c1记为报文c2)确定允许继续转发报文c2,则二层防火墙设备将报文c2转发至VTEP3。
VTEP3与二层防火墙设备,其会通过Port3_1接收到二层防火墙设备转发的报文c2。
VTEP3在本地查询与报文c2的目的IP地址匹配的转发表项,报文c2的目的IP地址匹配的转发表项是依据VTEP1之前通过EVPN路由通告的VM1的IP地址生成的,或者是VTEP1之前通过EVPN路由同步的至VM1的IP地址的转发表项。
VTEP3依据查找到的转发表项转发报文c2。
VTEP3收到报文c2,则会将报文c2发送给VM1。最终实现了在VM2访问VM1的过程中实现二层防火墙业务。
至此,完成图4所示实施例的描述。
以上对本申请提供的方法进行了描述。
参见图5,图5为本申请提供的装置结构图,该装置应用于EVPN中的第一VTEP设备,第一VTEP设备通过第一接口与二层防火墙设备相连,该装置与图1所示流程对应,包括:
通告单元,用于将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收单元,用于通过第二接口接收第一数据报文,所述第一数据报文为第一VTEP设备本地的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文;
发送单元,用于通过所述第一接口将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
在一个例子中,所述指定IP地址为网关的IP地址,所述网关为与所述第一接口所属VSI对应的网关。
在一个例子中,所述接收单元进一步通过所述第一接口接收第二数据报文,所述第二数据报文为所述二层防火墙设备对所述第一数据报文进行二层防火墙处理得到的数据报文;
所述发送单元进一步在本地查找与所述第二数据报文的目的IP地址匹配的转发表项,依据查找到的转发表项转发第二数据报文。
在一个例子中,所述路由通告报文为EVPN Type 5路由的报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
至此,完成图5所示装置的结构描述。
参见图6,图6为本申请提供的另一装置结构图。该装置应用于EVPN中的第二VTEP设备,第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,第一VTEP设备与二层防火墙设备相连,该装置包括:
通告报文单元,用于接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
表项单元,用于依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
转发单元,用于在接收到来自本地VM的数据报文时,依据所述PBR将所述数据报文转发至所述第一VTEP设备。
在一个例子中,所述路由通告报文为EVPN Type 5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
至此,完成图6所示装置的结构图。
本申请还提供了对应图5所示装置的硬件结构图,以及对应图6所示装置的硬件结构图。具体如图7所示。
其中,硬件结构主要包括:
机器可读存储介质:存储指令代码。这里的指令代码用于实现本公开提供的报文转发方法,当对应图5所示装置时,这里的指令代码为用于实现图1所示流程的指令代码,当对应图6所示装置时,这里的指令代码为用于实现图3所示流程的指令代码。
处理器:与机器可读存储介质通信,用于读取和执行机器可读存储介质中存储的所述指令代码;
发送器,用于依据处理器下发的指令执行;
接收器,用于接收报文。
在对应图5所示装置时,下面描述硬件结构的具体实现:
处理器,读取和执行机器可读存储介质中存储的所述指令代码,下达IP地址发送指令给发送器。
发送器,依据IP地址发送指令将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的其他VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收器,用于通过第二接口接收第一数据报文。第一数据报文为第一VTEP设备本地的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文。
所述处理器,进一步在接收器通过第二接口接收第一数据报文时,下发报文发送指令给所述发送器。
所述发送器进一步通过所述第一接口将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
在对应图5所示装置时,下面描述硬件结构的具体实现:
接收器,用于接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
处理器,读取和执行机器可读存储介质中存储的所述指令代码,以依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文。
接收器进一步接收来自本地VM的数据报文。
处理器,进一步在接收器接收来自本地VM的数据报文时,读取和执行所述指令代码以下达报文发送指令给发送器。
发送器,接收报文发送指令,依据所述PBR将所述数据报文转发至所述第一VTEP设备。
至此,完成图7所示装置的硬件结构图。
在本公开实施例中,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:随机存取存储器(Radom Access Memory,RAM)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种报文转发方法,其特征在于,该方法应用于以太网虚拟专用网络EVPN中的第一VTEP设备,第一VTEP设备与二层防火墙设备相连,该方法包括:
将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的第二VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收第一数据报文,所述第一数据报文为接入所述第一VTEP设备的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文;
将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
2.根据权利要求1所述的方法,其特征在于,所述指定IP地址为指定网关的IP地址,所述指定网关为第一接口所属虚拟交换实例VSI对应的网关,所述第一接口为所述第一VTEP设备上连接二层防火墙设备的接口。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
接收第二数据报文,所述第二数据报文为所述二层防火墙设备对所述第一数据报文进行处理后发送的数据报文;
当在本地查找到与所述第二数据报文的目的IP地址匹配的转发表项时,依据查找到的转发表项转发第二数据报文。
4.根据权利要求1所述的方法,其特征在于,所述路由通告报文为EVPN Type5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
5.一种报文转发方法,其特征在于,该方法应用于EVPN中的第二VTEP设备,第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,第一VTEP设备与二层防火墙设备相连,该方法包括:
接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
在接收到接入的VM发送的数据报文时,依据所述PBR转发所述数据报文。
6.根据权利要求5所述的方法,其特征在于,所述路由通告报文为EVPN Type5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
7.一种报文转发装置,其特征在于,该装置应用于EVPN中的第一VTEP设备,第一VTEP设备通过第一接口与二层防火墙设备相连,该装置包括:
通告单元,用于将指定IP地址携带在路由通告报文中发送至第二VTEP设备,所述第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,所述路由通告报文还携带指定标记,以指示收到所述路由通告报文的第二VTEP设备生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
接收单元,用于通过第二接口接收第一数据报文,所述第一数据报文为第一VTEP设备本地的VM发送的数据报文,或者为所述第二VTEP设备基于所述PBR转发接入所述第二VTEP设备的VM发送的数据报文;
发送单元,用于通过所述第一接口将所述第一数据报文转发至所述二层防火墙设备以由所述二层防火墙设备对所述第一数据报文进行处理。
8.根据权利要求7所述的装置,其特征在于,所述指定IP地址为指定网关的IP地址,所述指定网关为与所述第一接口所属虚拟交换实例VSI对应的网关。
9.一种报文转发装置,其特征在于,该装置应用于EVPN中的第二VTEP设备,第二VTEP设备为EVPN中除第一VTEP设备之外的任一VTEP设备,第一VTEP设备与二层防火墙设备相连,该装置包括:
通告报文单元,用于接收第一VTEP设备发送的路由通告报文,所述路由通告报文用于通告指定IP地址,且携带指定标记;
表项单元,用于依据所述指定标记生成至所述指定IP地址的策略路由PBR,所述PBR的下一跳的IP地址为所述第一VTEP设备的IP地址,所述PBR用于指示所述第二VTEP设备向所述下一跳的IP地址转发所述第二VTEP设备接入的虚拟机VM的数据报文;
转发单元,用于在接收到来自本地VM的数据报文时,依据所述PBR将所述数据报文转发至所述第一VTEP设备。
10.根据权利要求7或9所述的装置,其特征在于,所述路由通告报文为EVPN Type5路由报文,所述路由通告报文携带扩展的团体属性,所述团体属性中指定字段取值为设定值,用于表示所述指定标记。
CN201811360846.0A 2018-11-15 2018-11-15 报文转发方法和装置 Active CN109286565B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811360846.0A CN109286565B (zh) 2018-11-15 2018-11-15 报文转发方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811360846.0A CN109286565B (zh) 2018-11-15 2018-11-15 报文转发方法和装置

Publications (2)

Publication Number Publication Date
CN109286565A CN109286565A (zh) 2019-01-29
CN109286565B true CN109286565B (zh) 2019-09-06

Family

ID=65175441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811360846.0A Active CN109286565B (zh) 2018-11-15 2018-11-15 报文转发方法和装置

Country Status (1)

Country Link
CN (1) CN109286565B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014035A (zh) * 2009-09-04 2011-04-13 中兴通讯股份有限公司 基于以太环网的组网方法及装置
CN103259725A (zh) * 2012-02-21 2013-08-21 华为技术有限公司 报文发送方法和网络设备
CN105791457A (zh) * 2016-02-26 2016-07-20 杭州华三通信技术有限公司 一种数据处理方法及装置
CN106254203A (zh) * 2016-09-05 2016-12-21 杭州华三通信技术有限公司 一种报文转发方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685010B (zh) * 2012-09-05 2018-01-12 新华三技术有限公司 一种报文转发方法和边缘设备
CN106101008B (zh) * 2016-05-31 2019-08-06 新华三技术有限公司 一种报文的传输方法和装置
CN106453025B (zh) * 2016-11-04 2020-06-09 新华三技术有限公司 一种隧道创建方法及装置
CN106878047B (zh) * 2016-12-13 2019-11-12 新华三技术有限公司 故障处理方法及装置
CN106878166B (zh) * 2017-01-22 2020-04-03 新华三技术有限公司 路由通告方法及装置
CN107612834A (zh) * 2017-09-13 2018-01-19 杭州迪普科技股份有限公司 一种基于虚拟设备迁移的evpn路由更新方法
CN108092890B (zh) * 2017-12-26 2020-01-07 新华三技术有限公司 路由建立方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014035A (zh) * 2009-09-04 2011-04-13 中兴通讯股份有限公司 基于以太环网的组网方法及装置
CN103259725A (zh) * 2012-02-21 2013-08-21 华为技术有限公司 报文发送方法和网络设备
CN105791457A (zh) * 2016-02-26 2016-07-20 杭州华三通信技术有限公司 一种数据处理方法及装置
CN106254203A (zh) * 2016-09-05 2016-12-21 杭州华三通信技术有限公司 一种报文转发方法及装置

Also Published As

Publication number Publication date
CN109286565A (zh) 2019-01-29

Similar Documents

Publication Publication Date Title
CN103595648B (zh) 用于在服务器的接收侧进行负载均衡的方法和系统
CN103416042B (zh) 用于混合通信网络的寻址方案
CN113411243B (zh) 数据传输方法及装置
EP4024785A1 (en) Computing power routing method and apparatus
CN106416147B (zh) 一种用于软件定义协议网络节点的系统和方法
CN108965092B (zh) 一种数据报文传输方法和装置
CN105706420B (zh) 用于实现提供商网络中的服务链的系统和方法
CN108718278A (zh) 一种报文传输方法和装置
CN107547242B (zh) Vm配置信息的获取方法及装置
CN110430076B (zh) 一种路由管理方法及装置
CN108259347A (zh) 一种报文传输方法和装置
CN108259299A (zh) 一种转发表项生成方法、装置及机器可读存储介质
CN109104364A (zh) 一种指定转发者选举方法和装置
CN107547391A (zh) 一种报文传输方法和装置
CN109347740A (zh) 报文转发方法和装置
CN109412949A (zh) 一种数据报文传输方法和装置
CN105634942A (zh) 转发报文的方法和交换机
JP2019521619A (ja) パケット転送
CN109412926A (zh) 一种隧道建立方法和装置
CN108600074A (zh) 组播数据报文的转发方法及装置
CN105681198A (zh) 一种业务链处理方法、设备及系统
CN107580079A (zh) 一种报文传输方法和装置
WO2021057293A1 (zh) Evpn中报文转发方法、装置、设备及存储介质
CN108234422A (zh) 资源调度方法及装置
CN108322376B (zh) 路由同步方法、装置及机器可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: Room 101, 1st floor, No. 1 Building, No. 8 Courtyard, Yongjiabei Road, Haidian District, Beijing 100094

Patentee after: Beijing Huasan Communication Technology Co., Ltd.

Address before: Room 119, 1st floor, Building 2, Pioneer Road, Haidian District, Beijing 100085

Patentee before: Beijing Huasan Communication Technology Co., Ltd.

CP02 Change in the address of a patent holder