CN110535744A - 报文处理方法、装置及Leaf设备 - Google Patents
报文处理方法、装置及Leaf设备 Download PDFInfo
- Publication number
- CN110535744A CN110535744A CN201910806940.2A CN201910806940A CN110535744A CN 110535744 A CN110535744 A CN 110535744A CN 201910806940 A CN201910806940 A CN 201910806940A CN 110535744 A CN110535744 A CN 110535744A
- Authority
- CN
- China
- Prior art keywords
- host
- group
- identification
- leaf equipment
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文处理方法、装置及Leaf设备,本发明中,Leaf设备可获取到所有主机的群组信息。当源Leaf设备接收到源主机发往目的主机的业务报文时,可根据源、目的主机标识,确定源、目的主机所属群组的标识。源Leaf设备根据源、目的主机所属群组的标识,找到对应的群组访问策略。若群组访问策略包括禁止源主机所属群组访问目的主机所属群组的群组访问规则,则源Leaf设备丢弃业务报文。可以看出,相比于现有技术中,在目的Leaf设备处丢弃业务报文,本发明可有效节约从源Leaf设备到目的Leaf设备之间的网络资源。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文处理方法、装置及Leaf设备。
背景技术
以太网虚拟私有网络(Ethernet Virtual Private Network,缩写:EVPN)是一种二层VPN技术,控制平面采用多协议边界网关协议(Multiprotocol-Border GatewayProtocol,缩写:MP-BGP)通告EVPN路由信息,数据平面采用可扩展虚拟局域网络(VirtualeXtensible LAN,缩写:VXLAN)封装方式转发报文。
EVPN组网通常采用核心(Spine)-分支(Leaf)架构。其中,Leaf设备负责用户主机接入,并通过VXLAN隧道转发报文。
EVPN组网支持基于群组(Group)的访问控制。参见图1,为一种EVPN组网的示意图。其中,主机131属于Group1,主机132属于Group2,主机133属于Group3。各Leaf设备配置有本地主机的群组信息,比如,Leaf设备121配置有主机131所属Group1的信息。此外,各Leaf设备还配置有基于群组的访问策略,比如,禁止Group1的主机访问Group2的主机。
以主机131访问主机132为例。主机131发往主机132的报文首先到达Leaf设备121。Leaf设备121为报文添加VXLAN封装,在VXLAN封装中携带主机131所属Group1的标识,并通过VXLAN隧道发送给Leaf设备122。
Leaf设备122接收VXLAN报文,获取VXLAN封装中携带的Group1的标识,并解除VXLAN封装。Leaf设备122根据解封装后报文的目的IP地址(主机132的IP地址),查找预先配置的主机132所属群组(Group2)的信息。此时,Leaf设备122可知该报文为Group1的主机访问Group2的主机的报文。
由于Leaf设备122已预先配置有禁止Group1的主机访问Group2的主机的访问策略,因此,Leaf设备122丢弃该报文。即,报文在到达目的Leaf设备处才被丢弃,浪费了从源Leaf设备到目的Leaf设备之间的网络资源。
发明内容
有鉴于此,本发明为了解决现有报文处理方式浪费EVPN网络资源的问题,提出一种报文处理方法、装置以及Leaf设备,用以节约EVPN网络资源。
为实现上述发明目的,本发明提供了如下技术方案:
第一方面,本发明提供一种报文处理方法,应用于EVPN包括的第一Leaf设备,第一主机通过所述第一Leaf设备接入所述EVPN,所述EVPN还包括第二Leaf设备,第二主机通过所述第二Leaf设备接入所述EVPN,所述方法包括:
接收所述第一主机发往所述第二主机的业务报文,所述业务报文包括所述第一主机的第一主机标识和所述第二主机的第二主机标识;
获取与所述第一主机标识对应的第一群组标识,以及与所述第二主机标识对应的第二群组标识,其中,所述第一群组标识为所述第一主机所属第一群组的标识,所述第二群组标识为所述第二主机所属第二群组的标识;
查找与所述第一群组标识和所述第二群组标识匹配的群组访问策略;
若所述群组访问策略包括禁止所述第一群组的主机访问所述第二群组的主机的群组访问规则,则丢弃所述业务报文。
可选的,所述EVPN还包括路由反射器,所述接收所述第一主机发往所述第二主机的业务报文之前,所述方法还包括:
接收所述第二Leaf设备发送的或所述路由反射器转发的第一路由发布消息,所述第一路由发布消息包括所述第二主机标识和所述第二群组标识。
可选的,所述EVPN还包括路由反射器,所述方法还包括:
接收所述第一主机发送的ARP报文,所述ARP报文包括所述第一主机标识;
从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与所述第一主机标识对应的所述第一群组标识;
向所述第二Leaf设备或所述路由反射器发送第二路由发布消息,所述第二路由发布消息包括所述第一主机标识和所述第一群组标识。
可选的,所述第一主机标识为所述第一主机的IP地址或MAC地址,所述第一群组标识携带在所述第二路由发布消息的BGP Community属性字段。
第二方面,本发明提供一种报文处理装置,应用于EVPN包括的第一Leaf设备,第一主机通过所述第一Leaf设备接入所述EVPN,所述EVPN还包括第二Leaf设备,第二主机通过所述第二Leaf设备接入所述EVPN,所述装置包括:
报文接收单元,用于接收所述第一主机发往所述第二主机的业务报文,所述业务报文包括所述第一主机的第一主机标识和所述第二主机的第二主机标识;
群组获取单元,用于获取与所述第一主机标识对应的第一群组标识,以及与所述第二主机标识对应的第二群组标识,其中,所述第一群组标识为所述第一主机所属第一群组的标识,所述第二群组标识为所述第二主机所属第二群组的标识;
策略查找单元,用于查找与所述第一群组标识和所述第二群组标识匹配的群组访问策略;
报文丢弃单元,用于若所述群组访问策略包括禁止所述第一群组的主机访问所述第二群组的主机的群组访问规则,则丢弃所述业务报文。
可选的,所述EVPN还包括路由反射器,所述装置还包括:
消息接收单元,用于接收所述第二Leaf设备发送的或所述路由反射器转发的第一路由发布消息,所述第一路由发布消息包括所述第二主机标识和所述第二群组标识。
可选的,所述EVPN还包括路由反射器,所述装置还包括:
所述报文接收单元,还用于接收所述第一主机发送的ARP报文,所述ARP报文包括所述第一主机标识;
群组查找单元,用于从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与所述第一主机标识对应的所述第一群组标识;
消息发送单元,用于向所述第二Leaf设备或所述路由反射器发送第二路由发布消息,所述第二路由发布消息包括所述第一主机标识和所述第一群组标识。
可选的,所述第一主机标识为所述第一主机的IP地址或MAC地址,所述第一群组标识携带在所述第二路由发布消息的BGP Community属性字段。
第三方面,本发明提供一种Leaf设备,所述设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述报文处理方法。
第四方面,本发明提供一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现上述报文处理方法。
由以上描述可以看出,本发明中,Leaf设备可获取到所有主机的群组信息。当源Leaf设备接收到源主机发往目的主机的业务报文时,可根据源、目的主机标识,确定源、目的主机所属群组的标识。源Leaf设备根据源、目的主机所属群组的标识,找到对应的群组访问策略。若群组访问策略包括禁止源主机所属群组访问目的主机所属群组的群组访问规则,则源Leaf设备丢弃业务报文。可以看出,相比于现有技术中,在目的Leaf设备处丢弃业务报文,本发明可有效节约从源Leaf设备到目的Leaf设备之间的网络资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例示出的一种EVPN组网示意图;
图2是本发明实施例示出的一种报文处理方法流程图;
图3是本发明实施例示出的一种第一Leaf设备向第二Leaf设备提供本地主机的群组信息的实现流程;
图4是本发明实施例示出的一种报文处理装置的结构示意图;
图5是本发明实施例示出的一种Leaf设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明实施例。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明实施例范围的情况下,协商信息也可以被称为第二信息,类似地,第二信息也可以被称为协商信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明实施例提供一种报文处理方法。该方法中,Leaf设备可获取到所有主机的群组信息。当源Leaf设备接收到源主机发往目的主机的业务报文时,可根据源、目的主机标识,确定源、目的主机所属群组的标识。源Leaf设备根据源、目的主机所属群组的标识,找到对应的群组访问策略。若群组访问策略包括禁止源主机所属群组访问目的主机所属群组的群组访问规则,则源Leaf设备丢弃业务报文。
为了使本发明实施例的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明实施例执行详细描述:
参见图2,为本发明实施例提供的报文处理方法流程图。该流程应用于EVPN网络包括的第一Leaf设备。该EVPN网络还包括第二Leaf设备。
其中,第一主机通过第一Leaf设备接入EVPN网络,第二主机通过第二Leaf设备接入EVPN网络。
本发明实施例中,主机可以为虚拟机、物理服务器等,本发明对此不作限定。
可以理解的是,之所以称为第一Leaf设备、第二Leaf设备、第一主机、第二主机,只是为便于区分而进行的命名,并非用于限定。
如图2所示,该流程可包括以下步骤:
步骤201,第一Leaf设备接收第一主机发往第二主机的业务报文。
第一主机向第二主机发送业务报文,该业务报文包括第一主机的第一主机标识和第二主机的第二主机标识。
这里,第一主机标识、第二主机标识只是为便于区分而进行的命名,并非用于限定。
本发明实施例中,主机标识用于唯一标识主机,可以为主机的IP地址或MAC地址。
与第一主机连接的第一Leaf设备接收业务报文,获取业务报文包括的第一主机标识和第二主机标识。
步骤202,第一Leaf设备获取与第一主机标识对应的第一群组标识,以及与第二主机标识对应的第二群组标识。
本发明实施例中,可按照预设的群组划分规则,对所有主机进行群组划分。比如,将研发部的主机划分为一个群组,将财务部的主机划分为另一群组。又比如,将安装Windows系统的主机划分为一个群组,将安装Linux系统的主机划分为另一群组。
第一Leaf设备可获取到所有主机的群组信息,包括:本地主机的群组信息和其它Leaf设备下主机的群组信息。
其中,本地主机的群组信息可通过手动或控制器下发的方式,预先配置到第一Leaf设备上。具体为,在第一Leaf设备上,配置本地主机的主机标识与群组标识的对应关系。
第一Leaf设备获取其它Leaf设备下主机的群组信息的过程,在下文中描述,这里暂不赘述。
本步骤中,第一Leaf设备获取与第一主机标识对应的第一群组标识,以及与第二主机标识对应的第二群组标识的过程具体为,从已记录的主机标识与群组标识的对应关系中,查找与第一主机标识对应的第一群组标识,以及与第二主机标识对应的第二群组标识。
可以理解的是,第一群组标识为第一主机所属第一群组的标识,第二群组标识为第二主机所属第二群组的标识。
这里,第一群组、第一群组标识、第二群组、第二群组标识只是为便于区分而进行的命名,并非用于限定。
通过本步骤,第一Leaf设备可确定当前业务报文为第一群组内主机访问第二群组内主机的报文。
步骤203,第一Leaf设备查找与第一群组标识和第二群组标识匹配的群组访问策略。
第一Leaf设备预先配置有各群组间的群组访问策略,且任意两个群组间的群组访问策略包括至少一个群组访问规则。比如,群组1与群组2之间的群组访问策略可包括以下两个群组访问规则:访问规则一,禁止群组1访问群组2;访问规则二,允许群组2访问群组1。也可以仅包括一个群组访问规则,比如,禁止群组1与群组2互访。
当第一Leaf设备通过步骤202获取到第一群组标识和第二群组标识后,可查询已配置的群组访问策略,找到与第一群组标识和第二群组标识匹配的群组访问策略。即,找到预先配置的第一群组与第二群组之间的群组访问策略。
步骤204,若群组访问策略包括禁止第一群组的主机访问第二群组的主机的群组访问规则,第一Leaf设备丢弃第一主机发往第二主机的业务报文。
如前所述,群组间的群组访问策略可能包括多个群组访问规则。本步骤需要根据业务报文的传输方向(从源主机到目的主机的访问方向),确定最终匹配的群组访问规则。比如,若当前业务报文为群组1内主机访问群组2内主机的报文,则匹配群组1访问群组2的群组访问规则。
若匹配到的群组访问规则为禁止第一群组的主机访问第二群组的主机,则第一Leaf设备丢弃第一主机发往第二主机的业务报文。
即,在源Leaf设备处丢弃禁止访问的业务报文,从而达到节约网络资源的目的。
至此,完成图2所示流程。
通过图2所示流程可以看出,本发明实施例中,Leaf设备可获取到所有主机的群组信息。当源Leaf设备接收到源主机发往目的主机的业务报文时,可根据源、目的主机标识,确定源、目的主机所属群组的标识。源Leaf设备根据源、目的主机所属群组的标识,找到对应的群组访问策略。若群组访问策略包括禁止源主机所属群组访问目的主机所属群组的群组访问规则,则源Leaf设备丢弃业务报文。可以看出,相比于现有技术中,在目的Leaf设备处丢弃业务报文,本发明可有效节约从源Leaf设备到目的Leaf设备之间的网络资源。
可选的,作为一个实施例,下面对第一Leaf设备获取其它Leaf设备下主机的群组信息的过程进行描述。
作为一种实施方式,第一Leaf设备获取其它Leaf设备下主机的群组信息的过程为,第一Leaf设备接收第二Leaf设备发送的第一路由发布消息。该第一路由发布消息包括第二Leaf设备下第二主机的第二主机标识和第二主机所属第二群组的第二群组标识。该第一路由发布消息为EVPN 2类路由。
需要说明的是,在第二Leaf设备向第一Leaf设备发送第一路由发布消息之前,第一Leaf设备和第二Leaf设备需要通过EVPN 3类路由(IMET路由)交互自身的VXLAN信息。若第一Leaf设备和第二Leaf设备属于同一VXLAN,则两者之间建立VXLAN隧道。第二Leaf设备通过已建立的VXLAN隧道向第一Leaf设备发送第一路由发布消息。
第一Leaf设备接收到第一路由发布消息后,获取第一路由发布消息包括的第二主机标识和第二群组标识,记录第二主机标识和第二群组标识的对应关系。
这里,需要说明的是,在第二Leaf设备发送的第一路由发布消息中,可能携带Export target属性。第一Leaf设备接收到第一路由发布消息后,可进一步比对第一路由发布消息携带的Export target属性与本地预先配置的Import target属性是否一致。若一致,则第一Leaf设备获取第一路由发布消息包括的第二主机标识和第二群组标识,记录第二主机标识和第二群组标识的对应关系。
作为另一种实施方式,第一Leaf设备获取其它Leaf设备下主机的群组信息的过程为,第一Leaf设备接收路由反射器转发的第一路由发布消息。
在该实施方式中,需要将EVPN组网中的Spine设备配置为路由反射器。第一Leaf设备和第二Leaf设备分别与路由反射器建立BGP邻居。第二Leaf设备向与其建立BGP邻居的路由反射器发送第一路由发布消息,该第一路由发布消息携带第二Leaf设备配置的Exporttarget属性。路由反射器将第一路由发布消息反射给与其建立BGP邻居的第一Leaf设备。
第一Leaf设备接收第一路由发布消息,比对第一路由发布消息携带的Exporttarget属性与本地预先配置的Import target属性是否一致。若一致,第一Leaf设备获取第一路由发布消息包括的第二主机标识和第二群组标识,记录第二主机标识和第二群组标识的对应关系。
至此,第一Leaf设备获取到第二Leaf设备下主机的群组信息。
可选的,作为一个实施例,下面对第一Leaf设备向第二Leaf设备提供本地主机的群组信息的过程进行描述。参见图3,为本发明实施例示出的一种第一Leaf设备向第二Leaf设备提供本地主机的群组信息的实现流程。
如图3所示,该流程可包括以下步骤:
步骤301,第一Leaf设备接收第一主机发送的ARP报文。
该ARP报文可为第一主机上线时主动发送的免费ARP,也可以为第一主机请求其它主机MAC地址的ARP请求报文。
该ARP报文包括第一主机的第一主机标识。
第一Leaf设备从ARP报文中,获取第一主机标识。
步骤302,第一Leaf设备从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与第一主机标识对应的第一群组标识。
如前所述,第一Leaf设备预先配置有本地主机的主机标识与群组标识的对应关系。
当第一Leaf设备通过步骤301获取到第一主机标识时,可查询预先配置的本地主机的主机标识与群组标识的对应关系,找到与第一主机标识对应的第一群组标识。即,确定第一主机所属群组(第一群组)。
步骤303,第一Leaf设备向第二Leaf设备或路由反射器发送第二路由发布消息。
该第二路由发布消息包括第一主机的第一主机标识和第一主机所属第一群组的第一群组标识。
其中,第一群组标识可携带在第二路由发布消息的BGP Community属性字段。该BGP Community属性字段的定义可以如下:
表1
作为一种实施方式,第一Leaf设备可向第二Leaf设备发送第二路由发布消息。
在发送第二路由发布消息之前,第一Leaf设备和第二Leaf设备需要通过EVPN 3类路由(IMET路由)交互自身的VXLAN信息。若第一Leaf设备和第二Leaf设备属于同一VXLAN,则两者之间建立VXLAN隧道。第一Leaf设备通过已建立的VXLAN隧道向第二Leaf设备发送第二路由发布消息。
第二Leaf设备接收第二路由发布消息后的处理过程,可参见前述第一Leaf设备通过与第二Leaf设备之间的VXLAN隧道,接收到第一路由发布消息时的处理过程,这里不再赘述。
作为另一种实施方式,第一Leaf设备可向路由反射器发送第二路由发布消息。
在该实施方式中,需要将EVPN组网中的Spine设备配置为路由反射器。第一Leaf设备和第二Leaf设备分别与路由反射器建立BGP邻居。第一Leaf设备向与其建立BGP邻居的路由反射器发送第二路由发布消息,该第二路由发布消息携带第一Leaf设备配置的Exporttarget属性。路由反射器将第二路由发布消息反射给与其建立BGP邻居的第二Leaf设备。
第二Leaf设备接收第二路由发布消息后的处理过程,可参见前述通过路由反射器向第一Leaf设备转发第一路由发布消息时,第一Leaf设备对第一路由发布消息的处理过程,这里不再赘述。
至此,完成图3所示流程。
通过图3所示流程,第一Leaf设备向第二Leaf设备提供本地主机的群组信息。
下面通过具体实施例对本发明提供的方法进行描述:
仍以图1所示EVPN网络为例。该EVPN网络包括:Spine设备111、Spine设备112以及Leaf设备121~Leaf设备123。其中,Spine设备111和Spine设备112被配置为路由放射器。各Leaf设备分别与各Spine设备建立BGP邻居。
主机131通过Leaf设备121接入EVPN网络;主机132通过Leaf设备122接入EVPN网络;主机133通过Leaf设备123接入EVPN网络。当然,各Leaf设备下可接入多台主机,本发明实施例对此不作限定。
初始时,可在各Leaf设备上,配置本地主机所属群组信息。即,配置本地主机的主机标识与群组标识的对应关系。这里,以主机的IP地址作为主机标识为例。将主机131的IP地址记为IP131;主机132的IP地址记为IP132;主机133的IP地址记为IP133。
配置后,各Leaf设备记录的主机标识与群组标识的对应关系,分别如表2~表4所示。
表2
表3
表4
从表2~表4可以看出,主机131属于群组Group1,主机132属于群组Group2,主机133属于群组Group3。
此外,各Leaf设备(Leaf设备121~Leaf设备123)还配置有各群组间的群组访问策略,如表5所示。
表5
以主机131上线为例,主机131发送免费ARP,该免费ARP包括主机131的IP地址(IP131)。
Leaf设备121接收主机131发送的免费ARP,获取免费ARP包括的IP131。Leaf设备121根据IP131查询表2,获取与IP131对应的Group1的标识。
Leaf设备121向路由反射器(比如,Spine设备111)发送路由发布消息(记为Update121),该Update121包括IP131和Group1的标识,还包括预先配置的Export target属性(记为RT121)。
Spine设备111将Update121反射给Leaf设备122和Leaf设备123。
Leaf设备122接收Update121,获取Update121包括的Export target属性(RT121)。Leaf设备122比对Update121包括的RT121与本地预先配置的Import target属性是否一致。假设,Leaf设备122本地配置的Import target属性也为RT121,则Update121获取Update121包括的IP131和Group1的标识,记录IP131和Group1的标识的对应关系,如表6所示。
表6Leaf设备123接收到Update121后,处理过程同Leaf设备122,这里不再赘述。Leaf设备123可得到如表7所示的对应关系。
表7
同理,当主机132、主机133上线时,处理过程同上,在此不再赘述。
当所有主机上线后,各Leaf设备均可得到所有主机的主机标识与群组标识的对应关系,如表8所示。
| 主机标识 | 群组标识 |
| IP131 | Group1 |
| IP132 | Group2 |
| IP133 | Group3 |
表8
以主机131访问主机132为例:
Leaf设备121接收主机131发往主机132的业务报文(记为Packet12),该Packet12包括主机131的IP地址(IP131)和主机132的IP地址(IP132)。
Leaf设备121根据IP131和IP132查询表8,找到与IP131对应的Group1的标识,以及与IP132对应的Group2的标识。即可确定当前发起访问的源主机(主机131)属于Group1,目的主机(主机132)属于Group2。
Leaf设备121根据Group1的标识和Group2的标识,查询表5,找到Group1与Group2之间的群组访问策略。该群组访问策略包括禁止Group1访问Group2的群组访问规则,因此,Leaf设备121丢弃Packet12,不向连接主机132的Leaf设备122转发,达到节约网络资源的目的。
至此,完成本实施例的描述。
以上对本发明实施例提供的方法进行了描述,下面对本发明实施例提供的装置进行描述:
参见图4,为本发明实施例提供的装置的结构示意图。该装置包括:报文接收单元401、群组获取单元402、策略查找单元403以及报文丢弃单元404,其中:
报文接收单元401,用于接收所述第一主机发往所述第二主机的业务报文,所述业务报文包括所述第一主机的第一主机标识和所述第二主机的第二主机标识;
群组获取单元402,用于获取与所述第一主机标识对应的第一群组标识,以及与所述第二主机标识对应的第二群组标识,其中,所述第一群组标识为所述第一主机所属第一群组的标识,所述第二群组标识为所述第二主机所属第二群组的标识;
策略查找单元403,用于查找与所述第一群组标识和所述第二群组标识匹配的群组访问策略;
报文丢弃单元404,用于若所述群组访问策略包括禁止所述第一群组的主机访问所述第二群组的主机的群组访问规则,则丢弃所述业务报文。
作为一个实施例,所述EVPN还包括路由反射器,所述装置还包括:
消息接收单元,用于接收所述第二Leaf设备发送的或所述路由反射器转发的第一路由发布消息,所述第一路由发布消息包括所述第二主机标识和所述第二群组标识。
作为一个实施例,所述EVPN还包括路由反射器,所述装置还包括:
所述报文接收单元401,还用于接收所述第一主机发送的ARP报文,所述ARP报文包括所述第一主机标识;
群组查找单元,用于从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与所述第一主机标识对应的所述第一群组标识;
消息发送单元,用于向所述第二Leaf设备或所述路由反射器发送第二路由发布消息,所述第二路由发布消息包括所述第一主机标识和所述第一群组标识。
作为一个实施例,所述第一主机标识为所述第一主机的IP地址或MAC地址,所述第一群组标识携带在所述第二路由发布消息的BGP Community属性字段。
至此,完成图4所示装置的描述。本发明实施例中,Leaf设备可获取到所有主机的群组信息。当源Leaf设备接收到源主机发往目的主机的业务报文时,可根据源、目的主机标识,确定源、目的主机所属群组的标识。源Leaf设备根据源、目的主机所属群组的标识,找到对应的群组访问策略。若群组访问策略包括禁止源主机所属群组访问目的主机所属群组的群组访问规则,则源Leaf设备丢弃业务报文。可以看出,相比于现有技术中,在目的Leaf设备处丢弃业务报文,本发明可有效节约从源Leaf设备到目的Leaf设备之间的网络资源。
下面对本发明实施例提供的Leaf设备进行描述:
参见图5,为本发明实施例提供的一种Leaf设备的硬件结构示意图。该Leaf设备可包括处理器501、存储有机器可执行指令的机器可读存储介质502。处理器501与机器可读存储介质502可经由系统总线503通信。并且,通过读取并执行机器可读存储介质502中与报文处理逻辑对应的机器可执行指令,处理器501可执行上文描述的报文处理方法。
本文提到的机器可读存储介质502可以是任何电子、磁性、光学或其他物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,所述机器可读存储介质502可以包括如下至少一个种存储介质:易失存储器、非易失性存储器、其它类型存储介质。其中,易失性存储器可为RAM(Random Access Memory,随机存取存储器),非易失性存储器可为闪存、存储驱动器(如硬盘驱动器)、固态硬盘、存储盘(如光盘、DVD等)。
本发明实施例还提供一种包括机器可执行指令的机器可读存储介质,例如图5中的机器可读存储介质502,所述机器可执行指令可由Leaf设备中的处理器501执行,以实现以上描述的报文处理方法。
至此,完成图5所示设备的描述。
以上所述仅为本发明实施例的较佳实施例而已,并不用以限制本发明,凡在本发明实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种报文处理方法,应用于以太网虚拟私有网络EVPN包括的第一分支Leaf设备,其特征在于,第一主机通过所述第一Leaf设备接入所述EVPN,所述EVPN还包括第二Leaf设备,第二主机通过所述第二Leaf设备接入所述EVPN,所述方法包括:
接收所述第一主机发往所述第二主机的业务报文,所述业务报文包括所述第一主机的第一主机标识和所述第二主机的第二主机标识;
获取与所述第一主机标识对应的第一群组标识,以及与所述第二主机标识对应的第二群组标识,其中,所述第一群组标识为所述第一主机所属第一群组的标识,所述第二群组标识为所述第二主机所属第二群组的标识;
查找与所述第一群组标识和所述第二群组标识匹配的群组访问策略;
若所述群组访问策略包括禁止所述第一群组的主机访问所述第二群组的主机的群组访问规则,则丢弃所述业务报文。
2.如权利要求1所述的方法,其特征在于,所述EVPN还包括路由反射器,所述接收所述第一主机发往所述第二主机的业务报文之前,所述方法还包括:
接收所述第二Leaf设备发送的或所述路由反射器转发的第一路由发布消息,所述第一路由发布消息包括所述第二主机标识和所述第二群组标识。
3.如权利要求1所述的方法,其特征在于,所述EVPN还包括路由反射器,所述方法还包括:
接收所述第一主机发送的ARP报文,所述ARP报文包括所述第一主机标识;
从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与所述第一主机标识对应的所述第一群组标识;
向所述第二Leaf设备或所述路由反射器发送第二路由发布消息,所述第二路由发布消息包括所述第一主机标识和所述第一群组标识。
4.如权利要求3所述的方法,其特征在于,所述第一主机标识为所述第一主机的IP地址或MAC地址,所述第一群组标识携带在所述第二路由发布消息的边界网关协议BGP团体Community属性字段。
5.一种报文处理装置,应用于以太网虚拟私有网络EVPN包括的第一分支Leaf设备,其特征在于,第一主机通过所述第一Leaf设备接入所述EVPN,所述EVPN还包括第二Leaf设备,第二主机通过所述第二Leaf设备接入所述EVPN,所述装置包括:
报文接收单元,用于接收所述第一主机发往所述第二主机的业务报文,所述业务报文包括所述第一主机的第一主机标识和所述第二主机的第二主机标识;
群组获取单元,用于获取与所述第一主机标识对应的第一群组标识,以及与所述第二主机标识对应的第二群组标识,其中,所述第一群组标识为所述第一主机所属第一群组的标识,所述第二群组标识为所述第二主机所属第二群组的标识;
策略查找单元,用于查找与所述第一群组标识和所述第二群组标识匹配的群组访问策略;
报文丢弃单元,用于若所述群组访问策略包括禁止所述第一群组的主机访问所述第二群组的主机的群组访问规则,则丢弃所述业务报文。
6.如权利要求5所述的装置,其特征在于,所述EVPN还包括路由反射器,所述装置还包括:
消息接收单元,用于接收所述第二Leaf设备发送的或所述路由反射器转发的第一路由发布消息,所述第一路由发布消息包括所述第二主机标识和所述第二群组标识。
7.如权利要求5所述的装置,其特征在于,所述EVPN还包括路由反射器,所述装置还包括:
所述报文接收单元,还用于接收所述第一主机发送的ARP报文,所述ARP报文包括所述第一主机标识;
群组查找单元,用于从预先配置的本地主机的主机标识与群组标识的对应关系中,查找与所述第一主机标识对应的所述第一群组标识;
消息发送单元,用于向所述第二Leaf设备或所述路由反射器发送第二路由发布消息,所述第二路由发布消息包括所述第一主机标识和所述第一群组标识。
8.如权利要求7所述的装置,其特征在于,所述第一主机标识为所述第一主机的IP地址或MAC地址,所述第一群组标识携带在所述第二路由发布消息的边界网关协议BGP团体Community属性字段。
9.一种分支Leaf设备,其特征在于,所述Leaf设备包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现权利要求1-4任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910806940.2A CN110535744B (zh) | 2019-08-29 | 2019-08-29 | 报文处理方法、装置及Leaf设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910806940.2A CN110535744B (zh) | 2019-08-29 | 2019-08-29 | 报文处理方法、装置及Leaf设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110535744A true CN110535744A (zh) | 2019-12-03 |
| CN110535744B CN110535744B (zh) | 2021-12-24 |
Family
ID=68665107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910806940.2A Active CN110535744B (zh) | 2019-08-29 | 2019-08-29 | 报文处理方法、装置及Leaf设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535744B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111107142A (zh) * | 2019-12-16 | 2020-05-05 | 新华三大数据技术有限公司 | 业务访问方法和装置 |
| CN111541616A (zh) * | 2020-03-31 | 2020-08-14 | 新华三技术有限公司 | 一种流量控制方法及装置 |
| CN112583693A (zh) * | 2020-12-14 | 2021-03-30 | 深圳艾灵网络有限公司 | 一种虚拟局域网通信方法、设备及存储介质 |
| WO2021135485A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| CN113438208A (zh) * | 2021-06-03 | 2021-09-24 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
| CN114520737A (zh) * | 2022-01-26 | 2022-05-20 | 北京华信傲天网络技术有限公司 | 一种无线用户的二层数据访问控制方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050089015A1 (en) * | 2003-10-24 | 2005-04-28 | Hitachi Communication Technologies, Ltd. | Communication apparatus and method for inter-as routing |
| US20050198382A1 (en) * | 2004-01-27 | 2005-09-08 | Cisco Technology, Inc. | Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities |
| US20100309907A1 (en) * | 2009-06-04 | 2010-12-09 | Alcatel-Lucent Canada, Inc. | Configuring communication services using policy groups |
| CN102368707A (zh) * | 2011-10-31 | 2012-03-07 | 华为技术有限公司 | 一种组播控制的方法、设备及系统 |
| CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
| CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN107409093A (zh) * | 2015-02-20 | 2017-11-28 | 思科技术公司 | 网络环境中针对路由反射器客户端的自动最优路由反射器根地址分配和快速故障转移 |
| US10033539B1 (en) * | 2016-03-31 | 2018-07-24 | Juniper Networks, Inc. | Replicating multicast state information between multi-homed EVPN routing devices |
| CN108632145A (zh) * | 2017-08-29 | 2018-10-09 | 新华三技术有限公司 | 一种报文转发方法和叶子节点设备 |
-
2019
- 2019-08-29 CN CN201910806940.2A patent/CN110535744B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050089015A1 (en) * | 2003-10-24 | 2005-04-28 | Hitachi Communication Technologies, Ltd. | Communication apparatus and method for inter-as routing |
| US20050198382A1 (en) * | 2004-01-27 | 2005-09-08 | Cisco Technology, Inc. | Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities |
| US20100309907A1 (en) * | 2009-06-04 | 2010-12-09 | Alcatel-Lucent Canada, Inc. | Configuring communication services using policy groups |
| CN102368707A (zh) * | 2011-10-31 | 2012-03-07 | 华为技术有限公司 | 一种组播控制的方法、设备及系统 |
| CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
| CN107409093A (zh) * | 2015-02-20 | 2017-11-28 | 思科技术公司 | 网络环境中针对路由反射器客户端的自动最优路由反射器根地址分配和快速故障转移 |
| US10033539B1 (en) * | 2016-03-31 | 2018-07-24 | Juniper Networks, Inc. | Replicating multicast state information between multi-homed EVPN routing devices |
| CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN108632145A (zh) * | 2017-08-29 | 2018-10-09 | 新华三技术有限公司 | 一种报文转发方法和叶子节点设备 |
Non-Patent Citations (1)
| Title |
|---|
| IETF: "S5-185401 "Reply LS to S5-184272 on Further Information About IETF Work Relevant to Network Slicing (IETF_LS_180814; to: SA5; cc: -; contact: IETF L2SM WG chairman)"", 《3GPP TSG_SA\WG5_TM》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111107142A (zh) * | 2019-12-16 | 2020-05-05 | 新华三大数据技术有限公司 | 业务访问方法和装置 |
| CN111107142B (zh) * | 2019-12-16 | 2022-07-01 | 新华三大数据技术有限公司 | 业务访问方法和装置 |
| WO2021135485A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| CN113132326A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| CN113132326B (zh) * | 2019-12-31 | 2022-08-09 | 华为技术有限公司 | 一种访问控制方法、装置及系统 |
| CN111541616A (zh) * | 2020-03-31 | 2020-08-14 | 新华三技术有限公司 | 一种流量控制方法及装置 |
| CN112583693A (zh) * | 2020-12-14 | 2021-03-30 | 深圳艾灵网络有限公司 | 一种虚拟局域网通信方法、设备及存储介质 |
| CN113438208A (zh) * | 2021-06-03 | 2021-09-24 | 新华三技术有限公司 | 报文处理方法、装置及设备 |
| CN114520737A (zh) * | 2022-01-26 | 2022-05-20 | 北京华信傲天网络技术有限公司 | 一种无线用户的二层数据访问控制方法及系统 |
| CN114520737B (zh) * | 2022-01-26 | 2024-04-02 | 北京华信傲天网络技术有限公司 | 一种无线用户的二层数据访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110535744B (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535744A (zh) | 报文处理方法、装置及Leaf设备 | |
| US11411776B2 (en) | Multi-cloud VPC routing and registration | |
| US10938714B2 (en) | Communication between distinct network domains | |
| US10027623B2 (en) | Internet protocol address resolution | |
| CN103546374B (zh) | 一种边缘二层网络中转发报文的方法和装置 | |
| US10652047B2 (en) | Connectivity to internet via shared services in enterprise fabric based network with LISP control plane | |
| US9197721B2 (en) | Learning a MAC address | |
| US9537793B2 (en) | Ensuring any-to-any reachability with opportunistic layer 3 forwarding in massive scale data center environments | |
| US20130173788A1 (en) | Network access apparatus | |
| US10291532B1 (en) | Enabling interconnection between ethernet virtual private networks (EVPNs) and provider backbone bridging EVPNs (PBB-EVPNs) | |
| CN105591907B (zh) | 一种路由获取方法和装置 | |
| CN110417655B (zh) | 一种数据报文转发的方法及装置 | |
| CN103118148A (zh) | 一种arp缓存更新方法和设备 | |
| WO2022121466A1 (zh) | 以太虚拟专用网的数据处理方法、设备及存储介质 | |
| WO2017107871A1 (zh) | 访问控制方法和网络设备 | |
| CN103731349A (zh) | 一种以太网虚拟化互联邻居间报文转发方法和边缘设备 | |
| WO2018019216A1 (zh) | Ap接入控制 | |
| CN108199968A (zh) | 路由处理方法及装置 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| CN109756411B (zh) | 报文转发方法、装置、第一vtep设备及存储介质 | |
| CN108521377B (zh) | 路由发布方法及装置 | |
| CN102780701B (zh) | 访问控制方法和设备 | |
| CN108259205B (zh) | 一种路由发布方法及网络设备 | |
| CN108881024B (zh) | 一种组播流量转发方法及装置 | |
| WO2017177794A1 (zh) | 业务路径的建立方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |