CN111541616A - 一种流量控制方法及装置 - Google Patents

Abstract

本申请提供一种流量控制方法及装置，所述方法应用于网络准入设备，所述方法包括：接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；根据GBP，对业务报文进行流量控制处理。

Description

一种流量控制方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种流量控制方法及装置。

背景技术

当前，若要实现比子网粒度更细的业务隔离，比如同一子网内不同用户之间的隔离，可通过配置具体的ACL规则来实现，但在园区网络中，由于用户数量庞大，则要部署海量的ACL规则，这对设备资源和运维能力都提出巨大挑战。为了解决上述困境，通常在园区网络中引入微分段技术。

微分段技术是指：入口(Ingress)网络设备将接收到的业务报文按源地址(MAC地址、IP地址等)进行分组，得到“源组”，然后，Ingress网络设备将源组ID携带在业务报文中转发至出口(Egress)网络设备。Egress网络设备按目的地址(MAC地址、IP地址等)再次进行分组，得到“目的组”，然后，Egress网络设备利用{源组，目的组}对业务报文决定转发处理还是丢弃处理，从而实现业务互通隔离。

当然，若各网络设备处于VXLAN网络中，微分段技术也可应用在VXLAN网络中，具体过程如图1所示：Leaf(叶节点)1接收到Host(主机)1向Host3发送的业务报文后，从业务报文中获取源IP地址(192.168.10.1)和目的IP地址(192.168.30.3)。Leaf1根据源IP地址(192.168.10.1)，得到Host1所属的端点组(英文：End Point Group，简称：EPG)标识(identity)(EPG1)。Leaf1根据目的IP地址(192.168.30.3)查找路由表信息，确定Host3接入Leaf2，业务报文需进行VXLAN封装后，经由VXLAN隧道进行跨设备转发。

在进行VXLAN封装时，Leaf1将VXLAN报文头部中的G标志位置1，并将Host1所属的EPG ID(EPG1)封装在VXLAN报文头的组策略标识(Group Policy ID)字段中，然后，Leaf1将经VXLAN封装后的业务报文发送至Leaf2。Leaf2接收到Leaf1发送的VXLAN报文后，对VXLAN报文进行解封装，确定G标志位置1，则Leaf2从Group Policy ID字段中获取Host1的EGP ID(EPG1)。Leaf2根据VXLAN报文的内层目的IP地址(192.168.30.3)，得到Host3所属的EPG ID(EPG3)。

Leaf2根据Host1所属的EPG ID(EPG1)和Host3所属的EGP ID(EPG3)，获取源组与目的组之间的基于组的流量控制策略(Group Based Policy，简称：GBP)，并按照GBP策略对业务报文进行流量控制。

在前述过程中，1)业务报文在VXLAN网络中进行跨设备转发时，由Leaf2对业务报文进行流量控制，但在丢弃业务报文的情况下，已经造成了带宽的浪费；2)对于通过认证服务器认证，并通过DHCP服务器自动分配IP地址的网络设备，易出现不同用户群组(学生、老师、各种服务器等)的IP地址均归属同一子网，此时，由于根据IP地址进行分组时，同一子网的IP均被划分为同一组，无法通过利用源IP地址和目的IP地址进而获取源组与目的组之间的GBP对业务报文进行流量控制。

发明内容

有鉴于此，本申请提供了一种流量控制方法及装置，用以解决现有技术中，造成的带宽浪费、无法利用GBP对业务报文进行流量控制的问题。

第一方面，本申请提供了一种流量控制方法，该方法应用于网络准入设备，该方法包括：

接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；

根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；

如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；

如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；

根据GBP，对业务报文进行流量控制处理。

结合第一方面，在第一种可能的实现方式中，在接收第一主机发送的业务报文之前，该方法还包括：

接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；

或者；

接收控制器下发的配置指令，该配置指令包括与多个主机匹配的EPG标识以及多个主机之间的GBP；

根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表。

结合第一方面，在第二种可能的实现方式中，在建立所述微分段流量控制表之后，该方法还包括：

接收授权服务器发送的接受访问报文，该接受访问报文包括接入网络准入设备的主机的MAC地址以及授权服务器为主机分配的EPG标识；

根据MAC地址以及EPG标识，建立MAC微分段组表；

当获取到主机的ARP表项或IPv6 ND表项时，从MAC微分段组表中，查找是否存在与ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；

如果存在，则获取MAC地址对应的MAC微分段组表项；

根据获取到的MAC微分段组表项包括的MAC地址、EPG标识以及ARP表项或IPv6 ND表项包括的主机的IP地址，建立IP微分段组表。

结合第一方面，在第三种可能的实现方式中，该方法还包括：

向第一网络设备发送第一主机路由通告报文，该第一主机路由通告报文包括接入网络准入设备的主机的路由信息以及主机的EPG标识，以使得第一网络设备根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，并将IP微分段组表项存储至本地IP微分段组表中。

结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，该方法还包括：

接收第一网络设备发送的第二主机路由通告报文，该第二主机路由通告报文包括接入第一网络设备的主机的路由信息以及所主机的EPG标识；

根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项；

将IP微分段组表项存储至IP微分段组表中。

结合第一方面的第三种、第四种可能的实现方式，在第五种可能的实现方式中，根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，具体包括：

当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从多个主机路由通告报文包括的主机的路由信息中，确定优选路由；

根据确定出的优选路由对应的主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项。

第二方面，本申请提供了一种流量控制装置，该装置包括：

接收单元，用于接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；

查找单元，用于根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；

所述查找单元还用于，如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；

获取单元，用于如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；

处理单元，用于根据GBP，对业务报文进行流量控制处理。

结合第二方面，在第一种可能的实现方式中，所述接收单元还用于，

接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

所述装置还包括：建立单元，用于根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；

或者；

所述接收单元还用于，接收控制器下发的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

所述装置还包括：建立单元，用于根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述接收单元还用于，

接收授权服务器发送的接受访问报文，所述接受访问报文包括接入所述网络准入设备的主机的MAC地址以及所述授权服务器为所述主机分配的EPG标识；

所述建立单元还用于，根据所述MAC地址以及所述EPG标识，建立MAC微分段组表；

所述查找单元还用于，当学习到所述主机的ARP表项或IPv6 ND表项时，从所述MAC微分段组表中，查找是否存在与所述ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；

所述获取单元还用于，如果存在，则获取所述MAC地址对应的MAC微分段组表项；

所述建立单元还用于，根据获取到的所述MAC微分段组表项包括的MAC地址、EPG标识以及所述ARP表项或IPv6 ND表项包括的所述主机的IP地址，建立所述IP微分段组表。

结合第二方面，在第三种可能的实现方式中，所述装置还包括：

发送单元，用于向第一网络设备发送第一主机路由通告报文，所述第一主机路由通告报文包括接入所述网络准入设备的主机的路由信息以及所述主机的EPG标识，以使得所述第一网络设备根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，并将所述IP微分段组表项存储至本地IP微分段组表中。

结合第二方面的第三种可能实现方式，在第四种可能的实现方式中，所述接收单元还用于，

接收所述第一网络设备发送的第二主机路由通告报文，所述第二主机路由通告报文包括接入所述第一网络设备的主机的路由信息以及所述主机的EPG标识；

所述建立单元还用于，根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项；

所述装置还包括：存储单元，用于将所述IP微分段组表项存储至所述IP微分段组表中。

结合第二方面的第三种、第四种可能的实现方式，在第五种可能的实现方式中，所述建立单元具体用于，

当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从多个主机路由通告报文包括的主机的路由信息中，确定优选路由；

根据确定出的优选路由对应的主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项。

第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

因此，通过应用本申请提供的一种流量控制方法及装置，网络准入设备(也即Ingress网络设备)从接收到的业务报文中获取源IP地址以及目的IP地址，分别根据源IP地址、目的IP地址获取源主机的第一EPG标识以及目的主机的第二EPG标识。利用第一EPG标识以及第二EPG标识，得到匹配的GBP。根据该GBP，对接收到的业务报文进行流量控制处理。解决现有技术中，由Egress网络设备对业务报文进行丢弃时，造成的带宽浪费，以及不同用户群组的用户之间无法利用GBP对交互的业务报文进行流量控制的问题。

附图说明

图1为现有技术中提供的业务报文在VXLAN网络中进行跨设备转发示意图；

图2为本申请实施例提供的一种流量控制方法的流程图；

图3为本申请实施例提供的一种VXLAN网络组网示意图；

图4为本申请实施例提供的接受访问报文携带EPG标识所在字段格式图；

图5为本申请实施例提供的另一种VXLAN网络组网示意图；

图6为本申请实施例提供的BGP更新报文携带EPG标识所在字段格式图；

图7为本申请实施例提供的再一种VXLAN网络组网示意图；

图8为本申请实施例提供的一种流量控制装置结构图；

图9为本申请实施例提供的一种网络设备硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请实施例提供的流量控制方法进行详细地说明。参见图2，图2为本申请实施例示出的一种流量控制方法的流程图。该方法应用于网络准入设备。本申请实施例以VXLAN支持的Spine-Leaf-拓扑网络为例，Leaf设备作为网络准入设备，下述本申请实施例以Leaf设备为例进行说明。本申请实施例提供的流量控制方法可包括如下所示步骤。

步骤201、接收第一主机发送的业务报文，所述业务报文包括源IP地址以及目的IP地址。

具体地，如图3所示，本申请实施例提供的一种VXLAN网络组网示意图。在VXLAN网络中包括Spine设备、Leaf设备以及多个Host。Host1、Host2接入Leaf1设备，Host3接入Leaf2设备；各个Leaf设备接入Spine(脊节点)设备中；各个Leaf设备之间建立VXLAN隧道。可以理解的是，Leaf设备可具体为VXLAN隧道端点(英文：VXLAN Tunnel End Point，简称：VTEP)设备。

在本申请实施例中，根据报文的转发流向，可将与源Host连接的Leaf设备称为Ingress网络设备，将与目的Host连接的Leaf设备称为Egress网络设备。

例如，Host1欲向Host3发送业务报文，则此时，与Host1连接的Leaf1设备为Ingress网络设备；与Host3连接的Leaf2设备为Egress网络设备。下面均以Leaf1为例进行说明。

Leaf1接收Host1发送业务报文，其中，业务报文包括源IP地址以及目的IP地址，源IP地址为Host1的地址，目的IP地址为Host3的地址。

步骤202、根据所述源IP地址，从IP微分段组表中，查找是否存在与所述第一主机匹配的第一EPG标识。

具体地，根据前述步骤201的例子，Leaf1从业务报文中获取源IP地址以及目的IP地址后，利用源IP地址，查找IP微分段组表，从该表中查找是否存在与该源IP地址匹配的第一EPG标识，可以理解的是，该第一EPG标识也与第一主机匹配。

在本申请实施例中，IP微分段组表为软件表项可在先存储在Leaf1的软件中，该表包括VRF字段、IP地址字段以及微分段组标识(EPG ID)字段，如下表1所示。IP微分段组表支持VRF(即VPN路由转发)。

表1IP微分段组表

VRF	IP地址	微分段组标识(EPG ID)

步骤203、如果存在，则根据所述目的IP地址，从所述IP微分段组表中，查找是否存在与所述目的IP地址对应的第二主机匹配的第二EPG标识。

具体地，根据前述步骤202的查找，如果在IP微分段组表中，查找到与源IP地址匹配的第一EPG标识，则Leaf1再次利用目的IP地址，从IP微分段组表中查找是否存在与目的IP地址匹配的第二EPG标识，可以理解的是，该第二EPG标识也与第二主机匹配。

可以理解的是，在本申请实施例中，第二主机即为目的主机，例如，Host3。

步骤204、如果存在，则根据所述第一EPG标识以及所述第二EPG标识，从微分段流量控制表中，获取与所述第一EPG标识以及所述第二EPG标识匹配的基于组的流量控制策略GBP。

具体地，根据前述步骤203的查找，如果在IP微分段组表中，查找到与目的IP匹配的第二EPG标识，则Leaf1从微分段流量控制表中，获取与第一EPG标识以及与第二EPG标识匹配的GBP。

在本申请实施例中，微分段流量控制表可在先配置在Leaf设备的软件中。该表中包括多组EPG标识对以及与每组EPG标识对对应的GBP。该GBP用于控制业务报文的“源组”与“目的组”之间是允许转发还是禁止转发。

在一种实现方式中，微分段流量控制表可具体为一种ACL规则。

例如：

[Sysname]acl advanced 3004

[Sysname-acl-adv-3004]rule permit ip soucr-epg 100destination-epg 200

上述ACL规则具体为：源IP地址对应的EPG标识为100，为源组，目的IP地址对应的EPG标识为200，为目的组；EPG标识为100的源组与EPG标识为200的目的组之间允许转发业务报文。

步骤205、根据所述GBP，对所述业务报文进行流量控制处理。

具体地，根据前述步骤204的描述，Leaf1从微分段流量控制表中获取到与第一EPG标识以及第二EPG标识匹配的GBP后，根据获取到的GBP对业务报文进行处理。

例如，若获取到的GBP具体为允许第一EPG标识的源组与第二EPG标识的目的组之间转发业务报文，则此时，Leaf1转发该业务报文；若获取到的GBP具体为禁止第一EPG标识的源组与第二EPG标识的目的组之间转发业务报文，则此时，Leaf1禁止转发该业务报文。

因此，通过应用本申请实施例提供的一种流量控制方法，网络准入设备(也即Ingress网络设备)从接收到的业务报文中获取源IP地址以及目的IP地址，分别根据源IP地址、目的IP地址获取源主机的第一EPG标识以及目的主机的第二EPG标识。利用第一EPG标识以及第二EPG标识，得到匹配的GBP。根据该GBP，对接收到的业务报文进行流量控制处理。解决现有技术中，由Egress网络设备对业务报文进行丢弃时，造成的带宽浪费，以及不同用户群组的用户之间无法利用GBP对交互的业务报文进行流量控制的问题。

可选地，在本申请实施例中，网络准入设备在接收第一主机发送的业务报文之前，前述方法还包括网络准入设备根据接收到的配置指令，建立微分段流量控制表的过程。通过该过程，在网络准入设备内部存储微分段流量控制表用于后续接收到源Host发送的业务报文时，根据已存储的微分段流量控制表对业务报文进行对应的处理。

具体地，在本申请实施例中，可通过下述两种方式实现上述建立微分段流量控制表的过程。

在一种可能的实现方式中，Leaf1接收用户输入的配置指令，该配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表。

或者，在另一种可能的实现方式中，Leaf1接收控制器通过Netconf协议下发的配置指令，该配置指令包括与多个主机匹配的EPG标识以及多个主机之间的GBP；根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表。

需要说明的是，上述以举例的形式说明建立微分段流量控制表的过程，在实际应用中，还可通过其他多种实现方式实现，例如，简单网络管理协议(英文：Simple NetworkManagement Protocol，简称：snmp)、google主导的远程过程调用(google RemoteProcedure Call,gRPC)等，再次不对具体实现方式进行限制。

在本申请实施例中，微分段流量控制表可具体为一种ACL规则。用户可通过输入命令行的方式下发

例如：

[Sysname]acl advanced 3004

[Sysname-acl-adv-3004]rule permit ip soucr-epg 100destination-epg 200

上述ACL规则具体为：源IP地址对应的EPG标识为100，为源组，目的IP地址对应的EPG标识为200，为目的组；EPG标识为100的源组与EPG标识为200的目的组之间允许转发业务报文。

当然，微分段流量控制表也可用表格的形式存储在Leaf设备中，该表中包括匹配项以及与匹配项对应的动作项。其中，匹配项包括源IP地址对应的EPG标识字段、目的IP地址对应的EPG标识字段。如下表2所示。

表2微分段流量控制表

可选地，在本申请实施例中，Leaf设备在建立微分段流量控制表之后，前述方法还包括Leaf设备分别建立MAC微分段组表以及IP微分段组表的过程。通过该过程，在Leaf设备内部存储MAC微分段组表以及IP微分段组表，用于后续接收到源Host发送的业务报文时，根据已存储的MAC微分段组表以及IP微分段组表获取源IP地址、目的IP地址对应的EPG标识。

具体地，Host在完成认证且认证成功后，授权服务器(例如，Radius授权服务器)为Host分配EPG标识。在分配EPG标识之后，授权服务器生成接收访问(Access-Accept)报文，该接受访问报文包括Host的MAC地址以及授权服务器为Host分配的EPG标识。授权服务器向该Host接入的Leaf设备发送该接受访问报文。

Leaf设备接收到该接受访问报文后，从中获取Host的MAC地址以及该Host的EPG标识。根据Host的MAC地址以及Host的EPG标识，Leaf设备建立MAC微分段组表。

在本申请实施例中，MAC微分段组表为软件表项可存储在Leaf设备的软件中，该表包括MAC地址字段以及微分段组标识(EPG ID)字段，如下表3所示。

表3 MAC微分段组表

MAC地址	微分段组标识(EPG ID)

在本申请实施例中，授权服务器在现有标准定义的接受访问报文中新增属性字段，在新增的属性字段中添加Host的EPG标识、EPG名称。具体如图4所示。图4为本申请实施例提供的接受访问报文携带EPG标识所在字段格式图。

其中，类型(Type)，比如200；Length(长度)，包括Type、Length的总长度，大于等于4字节；EPG标识(EPG ID)，占两个字节，填充EPG标识的数值；EPG名称(EPG Name)，占0到32个字节，填充EPG名称，例如，学生、教师、研发、非研发等。

Host在被分配到动态IP地址(IPv4和/或IPv6地址)后，Leaf设备在学习到Host的ARP表项或IPv6 ND表项时，Leaf设备从上述MAC微分段组表中，查找是否存在与ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；如果存在，则Leaf设备获取该MAC地址对应的MAC微分段组表项；根据获取到的MAC微分段组表项包括的MAC地址、EPG标识以及ARP表项或IPv6 ND表项包括的Host的IP地址，Leaf设备建立IP微分段组表。

可以理解的是，IP微分段组表已在前述步骤202中描述，在此不再复述。

下面通过一个例子进行详细说明。如图5所示，图5为本申请实施例提供的另一种VXLAN网络组网示意图。在该VXLAN网络组网示意图中，各网络设备与图3中各网络设备相同，在此不再复述。

如图5所示，Host1、Host3的MAC地址、IP地址如图中所示，Host1、Host3分别接入Leaf1以及Leaf2。各Host完成认证且均认证成功后，授权服务器为Host1以及Host3分别向其接入的Leaf设备下发Host的EPG标识。在本申请实施例中，授权服务器为Host1分配的EPG标识为100，为Host3分配的EPG标识为200。各Leaf设备建立MAC微分段组表中的对应表项，如图5中的实线表格。在各Leaf设备分别学习到Host1和Host3的ARP表项或IPv6 ND表项后，建立IP微分段组中的对应表项，如图5中的虚线表格。

可以理解的是，在本申请实施例中，Leaf设备学习Host的ARP报文或IPv6ND报文的过程与现有学习过程相同，在此不再复述。

可选地，在本申请实施例中，前述方法还包括Leaf设备向第一网络设备发送第一主机路由通告报文的过程；以及，Leaf设备接收第一网络设备发送的地儿主机路由通告报文的过程。通过上述过程，VXLAN网络中的各设备接收其它设备通告的主机路由，建立并存储主机路由对应的IP微分段组表项，用于后续接收到源Host发送的业务报文时，根据已存储的IP微分段组表获取源IP地址、目的IP地址对应的EPG标识。

具体地，Leaf设备本地建立IP微分段组表后，生成第一主机路由通告报文，其中，第一主机路由通告报文包括接入该Leaf设备的Host的路由信息以及该Host的EPG标识。

Leaf设备向VXLAN网络中的第一网络设备发送第一主机路由通告报文。第一网络设备接收到第一主机路由通告报文后，从该报文中获取Host的路由信息以及该Host的EPG标识。第一网络设备建立与该Host对应的IP微分段组表项，并将该IP微分段组表项存储至本地IP微分段组表中。

进一步地，第一网络设备本地建立IP微分段组表后，生成第二主机路由通告报文，其中，第二主机路由通告报文包括接入该第一网络设备的Host的路由信息以及该Host的EPG标识。

第一网络设备向VXLAN网络中的Leaf设备发送第二主机路由通告报文。Leaf接收到第二主机路由通告报文后，从该报文中获取Host的路由信息以及该Host的EPG标识。Leaf设备建立与该Host对应的IP微分段组表项，并将该IP微分段组表项存储至本地IP微分段组表中。

需要说明的是，在本申请实施例中，第一网络设备与Leaf设备互为BGP对等体。主机路由通告报文可具体为现有BGP更新(BGP UPDATE)报文。通告在现有BGP更新报文中引入新的扩展团体属性，即EPG ID扩展团体属性，使得该报文携带Host的EPG标识。引入的扩展团体属性长度为8个字节，结构如图6所示。图6为本申请实施例提供的BGP更新报文携带EPG标识所在字段格式图。

其中，Type(类型)设置为0x83，Sub-Type(子类型)设置为0xff。Value(值)的后两个字节填充EPG标识(目前支持4个字节，最大值为65535)。

在本申请实施例中，上述Host的路由信息包括但不限于下述方式：

例如，1)单播路由，Leaf设备或第一网络设备将ARP报文或IPv6 ND报文包括的前缀、前缀长度转换为IPv4单播路由或IPv6单播路由，并用BGP的IPv4单播路由或IPv6单播路由通告；

2)EVPN路由，Leaf设备或第一网络设备将ARP表项或IPv6 ND表项包括的IP地址和MAC地址转换为EVPN NLRI的二类路由，并用BGP EVPN NLRI的二类路由(MACadvertisement route)通告。

下面通过一个例子进行详细说明。如图7所示，图7为本申请实施例提供的再一种VXLAN网络组网示意图。在该VXLAN网络组网示意图中，各网络设备与图3中各网络设备相同，在此不再复述。

如图7所示，Host1、Host3的MAC地址、IP地址如图中所示，Host1、Host3分别接入Leaf1以及Leaf2。各Host完成认证且均认证成功后，授权服务器为Host1以及Host3分别向其接入的Leaf设备下发Host的EPG标识。在本申请实施例中，授权服务器为Host1分配的EPG标识为100，为Host3分配的EPG标识为200。各Leaf设备建立MAC微分段组表中的对应表项，如图7中的实线表格。在各Leaf设备分别学习到Host1和Host3的ARP表项或IPv6 ND表项后，建立IP微分段组中的对应表项，如图7中的虚线表格。

Leaf1设备、Leaf2设备本地建立IP微分段组表后，各自生成主机路由通告报文，其中，路由通告报文包括接入Leaf设备的Host的路由信息以及该Host的EPG标识。Leaf1设备、Leaf2设备分别向VXLAN网络中的其他Leaf设备发送主机路由通告报文(在本例中，Leaf1设备向Leaf2发送第一主机路由通告报文，Leaf2设备向Leaf1发送第二主机路由通告报文，如图7中的虚线)。各Leaf设备接收到主机路由通告报文后，从该报文中获取Host的路由信息以及该Host的EPG标识。各Leaf设备建立与该Host对应的IP微分段组表项，并将该IP微分段组表项存储至本地IP微分段组表中，如图7中的虚线表格中新增表项。

可选地，在本申请实施例中，前述步骤根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，具体过程为：

具体地，在VXLAN网络中存在多个网络设备互为BGP对等体，可以理解的是，互为BGP对等体的各网络设备相互发送主机路由通告报文。当任一网络设备(例如，前述的Leaf设备)接收到多个其他网络设备发送的多个主机路由通告报文时，根据Leaf设备本地已配置的路由优选策略，从多个主机路由通告报文包括的主机的路由信息中确定优选路由；根据确定出的优选路由对应的主机的路由信息以及主机的EPG标识，Leaf设备建立对应的IP微分段组表项。

需要说明的是，上述优选路由的过程可采用现有的路由优选机制，例如，现有路由优选机制的过程为：1)丢弃下一跳(NEXT_HOP)不可达的路由；2)优选首选值(Preferred-value)最大的路由；3)优选本地优先级(LOCAL_PREF)最高的路由；4)依次选择network命令生成的路由、import-route命令引入的路由、聚合路由；5)优选AS路径(AS_PATH)最短的路由；6)依次选择ORIGIN类型为IGP、EGP、Incomplete的路由；7)优选MED值最低的路由；8)依次选择从EBGP、联盟EBGP、联盟IBGP、IBGP学来的路由；9)优选IGPMetric值最小的路由；10)优选迭代深度值小的路由；11)如果当前的最优路由为EBGP路由，则BGP路由器收到来自不同的EBGP邻居的路由后，不会改变最优路由；12)优选Router ID最小的路由器发布的路由。如果路由包含RR属性，那么在路由选择过程中，就用ORIGINATOR_ID来替代Router ID；13)优选下一跳地址为IPv4地址的路由；14)优选CLUSTER_LIST长度最短的路由；15)优选IP地址最小的对等体发布的路由。

基于同一发明构思，本申请实施例还提供了与上述流量控制方法对应的流量控制装置。参见图8，图8为本申请实施例提供的一种流量控制装置结构图，该装置包括：

接收单元810，用于接收第一主机发送的业务报文，该业务报文包括源IP地址以及目的IP地址；

查找单元820，用于根据源IP地址，从IP微分段组表中，查找是否存在与第一主机匹配的第一EPG标识；

查找单元820还用于，如果存在，则根据目的IP地址，从IP微分段组表中，查找是否存在与目的IP地址对应的第二主机匹配的第二EPG标识；

获取单元830，用于如果存在，则根据第一EPG标识以及第二EPG标识，从微分段流量控制表中，获取与第一EPG标识以及第二EPG标识匹配的基于组的流量控制策略GBP；

处理单元840，用于根据GBP，对业务报文进行流量控制处理。

可选地，接收单元810还用于，接收用户输入的配置指令，该配置指令包括与多个主机匹配的EPG标识以及多个主机之间的GBP；

该装置还包括：建立单元850，用于根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表；

或者；

接收单元810还用于，接收控制器下发的配置指令，该配置指令包括与多个主机匹配的EPG标识以及多个主机之间的GBP；

该装置还包括：建立单元850，用于根据与多个主机匹配的EPG标识以及多个主机之间的GBP，建立微分段流量控制表。

可选地，接收单元810还用于，接收授权服务器发送的接受访问报文，该接受访问报文包括接入网络准入设备的主机的MAC地址以及授权服务器为主机分配的EPG标识；

建立单元850还用于，根据MAC地址以及EPG标识，建立MAC微分段组表；

查找单元820还用于，当学习到主机的ARP表项或IPv6 ND表项时，从MAC微分段组表中，查找是否存在与ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；

获取单元830还用于，如果存在，则获取MAC地址对应的MAC微分段组表项；

建立单元850还用于，根据获取到的MAC微分段组表项包括的MAC地址、EPG标识以及ARP表项或IPv6 ND表项包括的主机的IP地址，建立IP微分段组表。

可选地，该装置还包括：发送单元860，用于向第一网络设备发送第一主机路由通告报文，该第一主机路由通告报文包括接入网络准入设备的主机的路由信息以及主机的EPG标识，以使得第一网络设备根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项，并将IP微分段组表项存储至本地IP微分段组表中。

可选地，接收单元810还用于，接收第一网络设备发送的第二主机路由通告报文，该第二主机路由通告报文包括接入第一网络设备的主机的路由信息以及主机的EPG标识；

建立单元850还用于，根据主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项；

该装置还包括：存储单元870，用于将IP微分段组表项存储至IP微分段组表中。

可选地，建立单元850具体用于，当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从多个主机路由通告报文包括的主机的路由信息中，确定优选路由；

根据确定出的优选路由对应的主机的路由信息以及主机的EPG标识，建立对应的IP微分段组表项。

因此，通过应用本申请实施例提供的一种流量控制装置，网络准入设备(也即Ingress网络设备)从接收到的业务报文中获取源IP地址以及目的IP地址，分别根据源IP地址、目的IP地址获取源主机的第一EPG标识以及目的主机的第二EPG标识。利用第一EPG标识以及第二EPG标识，得到匹配的GBP。根据该GBP，对接收到的业务报文进行流量控制处理。解决现有技术中，由Egress网络设备对业务报文进行丢弃时，造成的带宽浪费，以及不同用户群组的用户之间无法利用GBP对交互的业务报文进行流量控制的问题。

基于同一发明构思，本申请实施例还提供了一种网络设备，如图9所示，包括处理器910、收发器920和机器可读存储介质930，机器可读存储介质930存储有能够被处理器910执行的机器可执行指令，处理器910被机器可执行指令促使执行本申请实施例所提供的流量控制方法。前述图8所示的流量控制装置，可采用如图9所示的网络设备硬件结构实现。

上述计算机可读存储介质930可以包括随机存取存储器(英文：Random AccessMemory，简称：RAM)，也可以包括非易失性存储器(英文：Non-volatile Memory，简称：NVM)，例如至少一个磁盘存储器。可选的，计算机可读存储介质930还可以是至少一个位于远离前述处理器910的存储装置。

上述处理器910可以是通用处理器，包括中央处理器(英文：Central ProcessingUnit，简称：CPU)、网络处理器(英文：Network Processor，简称：NP)等；还可以是数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)、现场可编程门阵列(英文：Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例中，处理器910通过读取机器可读存储介质930中存储的机器可执行指令，被机器可执行指令促使能够实现处理器910自身以及调用收发器920执行前述本申请实施例描述的流量控制方法。

另外，本申请实施例提供了一种机器可读存储介质930，机器可读存储介质930存储有机器可执行指令，在被处理器910调用和执行时，机器可执行指令促使处理器910自身以及调用收发器920执行前述本申请实施例描述的流量控制方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对于流量控制装置以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (12)

1.一种流量控制方法，其特征在于，所述方法应用于网络准入设备，所述方法包括：

接收第一主机发送的业务报文，所述业务报文包括源IP地址以及目的IP地址；

根据所述源IP地址，从IP微分段组表中，查找是否存在与所述第一主机匹配的第一EPG标识；

如果存在，则根据所述目的IP地址，从所述IP微分段组表中，查找是否存在与所述目的IP地址对应的第二主机匹配的第二EPG标识；

如果存在，则根据所述第一EPG标识以及所述第二EPG标识，从微分段流量控制表中，获取与所述第一EPG标识以及所述第二EPG标识匹配的基于组的流量控制策略GBP；

根据所述GBP，对所述业务报文进行流量控制处理。

2.根据权利要求1所述的方法，其特征在于，所述接收第一主机发送的业务报文之前，所述方法还包括：

接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；

或者；

接收控制器下发的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表。

3.根据权利要求2所述的方法，其特征在于，所述建立所述微分段流量控制表之后，所述方法还包括：

接收授权服务器发送的接受访问报文，所述接受访问报文包括接入所述网络准入设备的主机的MAC地址以及所述授权服务器为所述主机分配的EPG标识；

根据所述MAC地址以及所述EPG标识，建立MAC微分段组表；

当学习到所述主机的ARP表项或IPv6 ND表项时，从所述MAC微分段组表中，查找是否存在与所述ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；

如果存在，则获取所述MAC地址对应的MAC微分段组表项；

根据获取到的所述MAC微分段组表项包括的MAC地址、EPG标识以及所述ARP表项或IPv6ND表项包括的所述主机的IP地址，建立所述IP微分段组表。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

向第一网络设备发送第一主机路由通告报文，所述第一主机路由通告报文包括接入所述网络准入设备的主机的路由信息以及所述主机的EPG标识，以使得所述第一网络设备根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，并将所述IP微分段组表项存储至本地IP微分段组表中。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

接收所述第一网络设备发送的第二主机路由通告报文，所述第二主机路由通告报文包括接入所述第一网络设备的主机的路由信息以及所述主机的EPG标识；

根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项；

将所述IP微分段组表项存储至所述IP微分段组表中。

6.根据权利要求4或5任一项所述的方法，其特征在于，所述根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，具体包括：

当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从所述多个主机路由通告报文包括的主机的路由信息中，确定优选路由；

根据确定出的优选路由对应的主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项。

7.一种流量控制装置，其特征在于，所述装置包括：

接收单元，用于接收第一主机发送的业务报文，所述业务报文包括源IP地址以及目的IP地址；

查找单元，用于根据所述源IP地址，从IP微分段组表中，查找是否存在与所述第一主机匹配的第一EPG标识；

所述查找单元还用于，如果存在，则根据所述目的IP地址，从所述IP微分段组表中，查找是否存在与所述目的IP地址对应的第二主机匹配的第二EPG标识；

获取单元，用于如果存在，则根据所述第一EPG标识以及所述第二EPG标识，从微分段流量控制表中，获取与所述第一EPG标识以及所述第二EPG标识匹配的基于组的流量控制策略GBP；

处理单元，用于根据所述GBP，对所述业务报文进行流量控制处理。

8.根据权利要求7所述的装置，其特征在于，所述接收单元还用于，

接收用户输入的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

所述装置还包括：建立单元，用于根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表；

或者；

所述接收单元还用于，接收控制器下发的配置指令，所述配置指令包括与多个主机匹配的EPG标识以及所述多个主机之间的GBP；

所述装置还包括：建立单元，用于根据所述与多个主机匹配的EPG标识以及所述多个主机之间的GBP，建立所述微分段流量控制表。

9.根据权利要求8所述的装置，其特征在于，所述接收单元还用于，

接收授权服务器发送的接受访问报文，所述接受访问报文包括接入所述网络准入设备的主机的MAC地址以及所述授权服务器为所述主机分配的EPG标识；

所述建立单元还用于，根据所述MAC地址以及所述EPG标识，建立MAC微分段组表；

所述查找单元还用于，当学习到所述主机的ARP表项或IPv6 ND表项时，从所述MAC微分段组表中，查找是否存在与所述ARP表项或IPv6 ND表项包括的MAC地址相同的MAC地址；

所述获取单元还用于，如果存在，则获取所述MAC地址对应的MAC微分段组表项；

所述建立单元还用于，根据获取到的所述MAC微分段组表项包括的MAC地址、EPG标识以及所述ARP表项或IPv6 ND表项包括的所述主机的IP地址，建立所述IP微分段组表。

10.根据权利要求7所述的装置，其特征在于，所述装置还包括：

发送单元，用于向第一网络设备发送第一主机路由通告报文，所述第一主机路由通告报文包括接入所述网络准入设备的主机的路由信息以及所述主机的EPG标识，以使得所述第一网络设备根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项，并将所述IP微分段组表项存储至本地IP微分段组表中。

11.根据权利要求10所述的装置，其特征在于，所述接收单元还用于，

接收所述第一网络设备发送的第二主机路由通告报文，所述第二主机路由通告报文包括接入所述第一网络设备的主机的路由信息以及所述主机的EPG标识；

所述建立单元还用于，根据所述主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项；

所述装置还包括：存储单元，用于将所述IP微分段组表项存储至所述IP微分段组表中。

12.根据权利要求10或11任一项所述的装置，其特征在于，所述建立单元具体用于，

当接收到多个网络设备发送的多个主机路由通告报文时，根据已配置的路由优选策略，从所述多个主机路由通告报文包括的主机的路由信息中，确定优选路由；

根据确定出的优选路由对应的主机的路由信息以及所述主机的EPG标识，建立对应的IP微分段组表项。

Images