CN111884903A - 一种业务隔离方法、装置、sdn网络系统及路由设备 - Google Patents

Abstract

本申请涉及一种业务隔离方法、装置、SDN网络系统及路由设备，属于通信技术领域。该方法应用于SDN网络中的路由设备，方法包括：在接收到对端设备经预先建立的隧道转发的GRE封装报文时，对GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与路对应的由标识符对应的业务接口。本申请实施例中，通过为不同的应用业务分配不同的VRF标签，将其绑定到应用业务对应的业务接口上，并将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做关联对应，来实现业务隔离。

Description

一种业务隔离方法、装置、SDN网络系统及路由设备

技术领域

本申请属于通信技术领域，具体涉及一种业务隔离方法、装置、SDN网络系统及路由设备。

背景技术

随着云计算及其相关业务的发展，与之相应的网络资源也需要根据流量模式的变化做及时调整。但是传统的网络架构模型无法适应于这种灵活多变的应用，若继续增加应用则相应的修改配置及维护量都会大量增加。而软件定义网络(Software DefinedNetwork，SDN)支持灵活的软件编程理念，刚好能切合云计算的需求模式，进而会逐渐取代传统网络部署，成为主流。

在广域网(Wide Area Network，WAN)中需要运行多种业务时，诸如IP语音(Voiceover Internet Protocol，VoIP)呼叫，视频会议，流媒体，办公自动化(OfficeAutomation，OA)以及虚拟化应用和桌面等应用，对于业务安全的考虑也越来越强，业务安全考虑的第一要素是实现业务间的访问隔离。在传统非SDN网络中，通常会考虑通过扩展传统WAN线路通过多协议标签交换(Multi-Protocol Label Switching，MPLS)或分段路由(Segment Routing，SR)技术来实现业务隔离。而在SDN网络中，如果要实现业务隔离，必须满足两个条件：一、全网设备要支持MPLS标签化或者SR标签化；二、全网广域网线路必须为专线线路，无法直接支持互联网线路，只能通过基于互联网线路的情况下建立虚拟私有网络(Virtual Private Network，VPN)通道，然后将VPN通道进行MPLS或SR标签化实现。

传统网络在向SDN网络迁移的过程中，如果要实现业务隔离，需要将现有网络全网进行MPLS或SR网络转换，业务转换交接过程漫长并且存在与网络管理和故障排除相关的困难。尤其是在传统线路逐渐互联网化的时候，互联网线路又不支持MPLS或SR技术，需要先基于互联网线路实现VPN专线化，再进行MPLS或SR隔离改造。

发明内容

鉴于此，本申请的目的在于提供一种业务隔离方法、装置、SDN网络系统及路由设备，以改善现有SDN网络要实现业务隔离，需要先基于互联网线路实现VPN专线化，再进行MPLS或SR隔离改造，导致的业务转换交接漫长及专线费用贵的问题。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供了一种业务隔离方法，应用于SDN网络中的路由设备，所述方法包括：在接收到对端设备经预先建立的动态虚拟私有网络DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。本申请实施例中，通过将不同的VRF标签中的路由标识符与DVPN隧道外层封装的GRE头部中的key值做关联对应，使得在接收到对端发送的GRE封装报文，通过对其解封装，获取封装于GRE头部的key字段中的key值，并根据该关联关系，获取key值对应的路由标识符，然后将解封装后得到的原始报文转发到该路由标识符对应的业务接口，便可实现隔离，而无需先基于互联网线路实现VPN专线化，再进行MPLS或SR隔离改造，节约了改造成本。

结合第一方面实施例的一种可能的实施方式，所述方法还包括：当接收的数据报文需要转发到所述对端设备时，获取接收所述数据报文的业务接口对应的路由标识符；将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符；将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备。本申请实施例中，当接收的数据报文需要转发到对端设备时，获取接收该数据报文的业务接口对应的路由标识符，并将该业务接口对应的路由标识符填充到GRE头部的key字段中，并利用填充了该业务接口对应的路由标识符的GRE头部对数据报文进行封装，最后将所述GRE报文经预先建立的DVPN隧道转发到对端设备，对端设备将其解封装后得到的原始报文转发到key字段中key值对应的RD的业务接口，从而实现在对端的隔离。

结合第一方面实施例的一种可能的实施方式，所述路由设备还与SDN控制器连接，在将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备之前，所述方法还包括：根据所述SDN控制器下发的DVPN隧道组建信息与所述对端设备建立所述DVPN隧道。本申请实施例中，路由设备根据SDN控制器下发的DVPN隧道组建信息与对端设备建立DVPN隧道，以便于后续基于该DVPN隧道来转发业报文，实现业务隔离。

结合第一方面实施例的一种可能的实施方式，所述路由设备还与SDN控制器连接，在根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符之前，所述方法还包括：将所述SDN控制器下发的所述路由标识符与key值的对应关系存储在本地。本申请实施例中，将SDN控制器下发的路由标识符与key值的对应关系存储在本地，以便于在根据预先设置的路由标识符与key值的对应关系，查找key值对应的路由标识符时，直接基于本地存储路由标识符与key值的对应关系进行查找，可以提高查找效率。

第二方面，本申请实施例还提供了一种业务隔离装置，应用于SDN网络中的路由设备，所述装置包括：获取模块、查找模块以及转发模块；获取模块，用于在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；查找模块，用于根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符；转发模块，用于将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

第三方面，本申请实施例还提供了一种SDN网络系统，包括：第一路由设备和第二路由设备；所述第一路由设备在接收到对端的第二路由设备经预先建立的DVPN隧道转发的GRE封装报文时，用于对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；所述第一路由设备，还用于根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

结合第一方面实施例的一种可能的实施方式，当所述第一路由设备接收的数据报文需要转发到对端的所述第二路由设备时，所述第一路由设备，还用于获取接收所述数据报文的业务接口对应的路由标识符；所述第一路由设备，还用于将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符；所述第一路由设备，还用于将所述GRE报文经预先建立的DVPN隧道转发到所述第二路由设备。

结合第一方面实施例的一种可能的实施方式，所述SDN网络系统还包括SDN控制器；所述SDN控制器，在所述第一路由设备将所述GRE报文经预先建立的DVPN隧道转发到所述第二路由设备之前，用于向所述第一路由设备或所述第二路由设备下发DVPN隧道组建信息；所述第一路由设备，还用于根据所述DVPN隧道组建信息与所述第二路由设备建立所述DVPN隧道，或者，所述第二路由设备，用于根据所述DVPN隧道组建信息与所述第一路由设备建立所述DVPN隧道。

结合第一方面实施例的一种可能的实施方式，所述SDN网络系统还包括SDN控制器；所述SDN控制器在所述第一路由设备根据预先设置的路由标识符与key值的对应关系，查找所述key值对应的路由标识符之前，用于为SDN网络中不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上，并下发给所述第一路由设备和所述第二路由设备进行配置；以及将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做一一对应关系，并将所述路由标识符与key值的对应关系下发给所述第一路由设备和所述第二路由设备进行配置。

第四方面，本申请实施例还提供了一种路由设备，包括：存储器和处理器，所述处理器与所述存储器连接；所述存储器，用于存储程序；所述处理器，用于调用存储于所述存储器中的程序，以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。

本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。通过附图所示，本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图，重点在于示出本申请的主旨。

图1示出了本申请实施例提供的一种业务隔离方法的流程示意图。

图2示出了本申请实施例提供的一种将数据报文封装为GRE报文的流程示意图。

图3示出了本申请实施例提供的一种将数据报文封装为GRE报文的原理示意图。

图4示出了本申请实施例提供的一种SDN网络系统的结构示意图。

图5示出了本申请实施例提供的一种业务隔离装置的模块示意图。

图6示出了本申请实施例提供的一种路由设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

再者，本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

鉴于现有的SDN网络要实现业务隔离，需要先基于互联网线路实现VPN专线化，再进行MPLS或SR隔离改造，存在业务转换交接过程漫长并且存在与网络管理和故障排除相关的困难。鉴于此，本申请实施例提供了一种业务隔离方法，该方法使得无需再让全网范围内的所有设备必须支持MPLS协议或SR协议完成标签转发改造，在路由更新时无需全网设备启用MPLS或SR协议来实现虚拟路由转发(Virtual Routing Forwarding，VRF)内层标签的分配。而是通过将VRF中的路由标识符(Route-Distinguisher，RD)和动态虚拟私有网络(Dynamic Virtual Private Network，DVPN)隧道封装的通用路由封装(Generic RoutingEncapsulation，GRE)报文中的key字段做关联对应，即可实现不同业务的路由更新隔离和业务转发隔离，在转发层面上仍然可以利用现有的IP转发方案实现隔离。此外MPLS和SR网络无法穿越包含有网络地址转换(Network Address Translation，NAT)设备的互联网线路，而本申请提供的方法可以直接应用于互联网线路，可以极大地解决客户的专线费用，让客户可以使用费用较为便宜的互联网线路。下面将结合图1，对本申请实施例提供的业务隔离方法进行说明。

步骤S101：在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值。

第一路由设备在接收到对端设备(第二路由设备)经预先建立的DVPN隧道转发的GRE封装报文时，对该GRE封装报文进行解封装并获取封装时填充于GRE头部的key字段中的key值。

其中，对端设备(第二路由设备)在将原始报文封装成GRE封装报文时，会在GRE头部的key字段中填充接收该原始报文的业务接口对应的路由标识符(RD)，其流程示意图如图2所示。

步骤S201：当接收的数据报文需要转发到对端设备时，获取接收所述数据报文的业务接口对应的路由标识符。

当路由设备接收的数据报文需要转发到与之相连的对端设备时，路由设备获取接收该数据报文的业务接口对应的路由标识符，也即获取该业务接口对应的VRF标签中的RD值。在这之前，通过事先为不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上。例如，一种实施方式下，第二路由设备和第一路由设备均与SDN控制器，利用SDN控制器为不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上，并下发给第一路由设备和第二路由设备进行配置，使得不同的业务应用对应的VRF标签不同，对应的RD值也不同。

步骤S202：将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符。

在获取到接收该数据报文的业务接口对应的路由标识符后，将路由标识符填充到GRE头部的key字段中，并利用填充了路由标识符的GRE头部对该数据报文进行封装，形成GRE报文。为了便于理解，举例进行说明，假设业务1的数据流为：源IP为：192.168.1.1，目的IP为：172.16.2.2，接收该数据报文的业务接口IP为10.1.1.1，对端设备的接收接口IP为111.1.31，则利用填充了路由标识符的GRE头部对数据报文进行封装的示意图可以参阅图3所示。

步骤S203：将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备。

将所述GRE报文经预先建立的DVPN隧道转发到对端设备，以使对端设备对接收到的GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值。

其中，在将所述GRE报文经预先建立的隧道转发到对端设备之前，该方法还包括：根据SDN控制器下发的DVPN隧道组建信息，与对端设备建立该DVPN隧道，也即SDN控制器向路由设备下发DVPN隧道组建信息，路由设备根据该DVPN隧道组建信息与对端设备建立DVPN隧道。其中，SDN控制器根据路由设备注册的设备信息(包括设备的出接口名称、IP地址、设备系统ID、设备类型(如分支路由器SPOKE、中心路由器HUB)等信息)向第一路由设备或第二路由设备下发DVPN隧道组建信息(包括分支路由器DVPN接口IP、DVPN源接口和源IP、DVPN目的设备IP、目的设备系统ID等信息)，第一路由设备根据该DVPN组建信息和对应的对端设备建立DVPN隧道，或者第二路由设备根据该DVPN组建信息和对应的对端设备建立DVPN隧道。

步骤S102：根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

第一路由设备在对GRE封装报文进行解封装后，根据预先设置的路由标识符与key值的对应关系，查找key字段中的key值对应的路由标识符，并将将解封装后得到的原始报文转发到该路由标识符对应的业务接口。

第二路由设备在利用填充了路由标识符的GRE头部对数据报文进行封装后，将所述GRE报文(也即GRE报文)经预先建立的DVPN隧道转发到对端设备，以使对端设备在对所述GRE报文解封装后，根据预先设置的RD与key值的对应关系，查找key字段中的key值对应的RD，并将数据报文转发到该RD对应的业务接口，实现在对端的业务隔离。

其中，在根据预先设置的路由标识符与key值的对应关系，查找key字段中的key值对应的路由标识符之前，需要事先配置路由标识符与key值的对应关系，并将其存储在本地。作为一种实施方式，可以是由SDN控制器来将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做一一对应关系，并将该路由标识符与key值的对应关系下发给第一路由设备和第二路由设备进行配置，也即在此之前，该方法还包括：将SDN控制器下发的该路由标识符与key值的对应关系存储在本地。其中，SDN控制器为SDN网络中不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上，并下发给各个路由设备进行配置，以及SDN控制器将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做一一对应关系，并将路由标识符与key值的对应关系下发给各个路由设备进行配置。

该方法还包括：当接收的数据报文需要转发到对端设备时，获取接收数据报文的业务接口对应的路由标识符，将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符，将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备，以使对端设备在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值，根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

其中，需要说明的是，作为一种实施方式，各个路由设备间存储的路由标识符与key值的对应关系相同。

为了更好的理解本申请实施例提供的业务隔离方法，下面将其涉及的网络架构进行说明，下面将结合图4对本申请实施例提供的SDN网络系统的示意图进行说明。该SDN网络系统包括SDN控制器和路由设备(包括中心路由器HUB和多个分支路由器SPOKE)。中心路由器HUB和各个分支路由器SPOKE通过网络向SDN控制器注册自己的设备信息(如设备的出接口名称、IP地址、设备系统ID、设备类型等信息)。SDN控制器根据路由设备(包括分支路由器和中心路由器)注册时的设备信息向分支路由器和中心路由器下发DVPN隧道组建信息(包括分支路由器DVPN接口IP、DVPN源接口和源IP、DVPN目的设备IP、目的设备系统ID等信息)，以便分支路由器和中心路由器根据该DVPN隧道组建信息和对应的路由设备建立DVPN隧道，最终形成如图5所示的网络架构。其中，不同路由设备下发的DVPN隧道组建信息不同。

待隧道建立后，SDN控制器将根据DVPN隧道组建信息中的分支路由器隧道接口IP和目的设备系统ID的对应关系生成的不同配置信息(包括：隧道类型、隧道源接口、HUB公网IP和隧道本端IP、对端IP以及加密类型和策略等)下发给分支路由器和中心路由器，以使分支路由器和中心路由器根据该配置信息，建立分支路由器和中心路由器间的BGP邻居关系，以便于通过BGP路由协议将HUB路由通告到分支路由器SPOKE上，以及将SPOKE路由反射到SPOKE上(由于SPOKE与SPOKE间没有建立BGP邻居，所以它们的路由是由HUB来学习的，比如SPOKE1、SPOKE2都将路由发布到HUB，HUB会将SPOKE1的路由发布到SPOKE2，将SPOKE2的路由发布到SPOKE1)，实现SPOKE和HUB，SPOKE间的路由互通。

用户可以在SDN控制器上定义需要隔离的应用业务，SDN控制器为用户定义的不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上，并下发给分支路由器和中心路由器进行配置，以及根据分配的VRF标签，SDN控制器将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做一一对应关系，并维护该对应关系库，并将该路由标识符与key值的对应关系下发给分支路由器和中心路由器进行配置。

根据用户定义的业务应用的上/下行路由关系，SDN控制器将VRF内的导出线路目标(export route-target)和导入线路目标(import route-target)和上/下行路由关系组合生成对应的VPNv4路由信息下发给SPOKE和HUB设备上，将不同应用的上下段路由打通。当路由器发布路由更新时，通过BGP路由更新设备的转发路由信息，路由器发布路由信息时携带有export rt，接收时只接收export rt和自己import rt一致的路由。其中，rt(route-target)是VPNv4路由携带的一个重要属性，它分成import rt和export rt分别用于路由信息的导入、导出策略。从VRF表中导出VPN路由时，要用export rt对VPN路由进行标记，在往VRF表中导入VPN路由时，只有所带rt标记与VRF表中任意一个import rt相符的路由才会被导入到VRF表中。rt使得PE(Provider Edge)路由器只包含和其直接相连的VPN的路由，而不是全网所有VPN的路由，从而节省了PE路由器的资源，提高了网络拓展性。

当数据报文转发到HUB或SPOKE设备的业务接口后，由于不同业务接口的VRF类不同，所以在本端便完成了业务隔离。当数据报文需要通过DVPN tunnel(隧道)转发到另外一台HUB或SPOKE设备时，根据接收该数据报文的业务接口绑定的VRF类，将其RD值填充到GREheader头部中的key字段中，然后封装进GRE报文中沿DVPN tunnel转发到另外一台HUB或SPOKE设备。HUB或SPOKE设备收到对端转发过来的GRE封装报文后，通过解封装，获取填充于GRE头部的key字段中的key值，根据SDN控制器为其下发的RD与key值的对应关系，查找GREheader头部中的key字段中的key值对应RD，然后将从GRE中解封装得到原始报文转发到该RD对应业务接口，实现在对端的业务隔离。也即，数据转发是将原始数据报文作为DVPN的载荷，封装进DVPN隧道中，封装和解封装时根据RD和key的关联性进行替换，从而实现业务隔离。

本申请实施例还提供了一种应用于SDN网络中的路由设备中的业务隔离装置100，如图5所示，该业务隔离装置100包括：获取模块110、查找模块120以及转发模块130。

获取模块110，用于在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值。

查找模块120，用于根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符。

转发模块130，用于将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

其中，所述业务隔离装置100还包括封装模块，相应地，获取模块110，还用于当接收的数据报文需要转发到所述对端设备时，获取接收所述数据报文的业务接口对应的路由标识符。

封装模块，用于将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符。

转发模块130，还用于将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备。

可选地，所述路由设备还与SDN控制器连接，所述业务隔离装置100还包括保存模块，该保存模块在查找模块120根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符之前，用于将所述SDN控制器下发的所述路由标识符与key值的对应关系存储在本地。

所述业务隔离装置100还包括建立模块，该建立模块在转发模块130将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备之前，用于根据所述SDN控制器下发的DVPN隧道组建信息与所述对端设备建立所述DVPN隧道。

本申请实施例所提供的业务隔离装置100，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

如图6所示，图6示出了本申请实施例提供的一种用于组建SDN网络的路由设备200的结构框图。所述路由设备200包括：收发器210、存储器220、通讯总线230以及处理器240。

所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中，收发器210用于收发配置报文。存储器220用于存储计算机程序，如存储有图5中所示的软件功能模块，即业务隔离装置100。其中，业务隔离装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器220中或固化在所述路由设备200的操作系统(operating system，OS)中的软件功能模块。所述处理器240，用于执行存储器220中存储的可执行模块，例如业务隔离装置100包括的软件功能模块或计算机程序。例如，处理器240，用于在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；以及根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

其中，存储器220可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。

处理器240可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(NetworkProcessor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，笔记本电脑,服务器，或者路由设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种业务隔离方法，其特征在于，应用于SDN网络中的路由设备，所述方法包括：

在接收到对端设备经预先建立的动态虚拟私有网络DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；

根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当接收的数据报文需要转发到所述对端设备时，获取接收所述数据报文的业务接口对应的路由标识符；

将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符；

将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备。

3.根据权利要求2所述的方法，其特征在于，所述路由设备还与SDN控制器连接，在将所述GRE报文经预先建立的DVPN隧道转发到所述对端设备之前，所述方法还包括：

根据所述SDN控制器下发的DVPN隧道组建信息与所述对端设备建立所述DVPN隧道。

4.根据权利要求1所述的方法，其特征在于，所述路由设备还与SDN控制器连接，在根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符之前，所述方法还包括：

将所述SDN控制器下发的所述路由标识符与key值的对应关系存储在本地。

5.一种业务隔离装置，其特征在于，应用于SDN网络中的路由设备，所述装置包括：

获取模块，用于在接收到对端设备经预先建立的DVPN隧道转发的GRE封装报文时，对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；

查找模块，用于根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符；

转发模块，用于将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

6.一种SDN网络系统，其特征在于，包括：第一路由设备和第二路由设备；

所述第一路由设备在接收到对端的第二路由设备经预先建立的DVPN隧道转发的GRE封装报文时，用于对所述GRE封装报文进行解封装并获取封装于GRE头部的key字段中的key值；

所述第一路由设备，还用于根据预先设置的路由标识符与key值的对应关系，查找获取的key值对应的路由标识符，并将解封装后得到的原始报文转发到与所述对应的路由标识符对应的业务接口。

7.根据权利要求6所述的系统，其特征在于：

当所述第一路由设备接收的数据报文需要转发到对端的所述第二路由设备时，所述第一路由设备，还用于获取接收所述数据报文的业务接口对应的路由标识符；

所述第一路由设备，还用于将所述数据报文封装为GRE报文，其中，所述GRE报文的头部填充有所述业务接口对应的路由标识符；

所述第一路由设备，还用于将所述GRE报文经预先建立的DVPN隧道转发到所述第二路由设备。

8.根据权利要求7所述的系统，其特征在于，所述SDN网络系统还包括SDN控制器；

所述SDN控制器，在所述第一路由设备将所述GRE报文经预先建立的DVPN隧道转发到所述第二路由设备之前，用于向所述第一路由设备或所述第二路由设备下发DVPN隧道组建信息；

所述第一路由设备，还用于根据所述DVPN隧道组建信息与所述第二路由设备建立所述DVPN隧道，或者，所述第二路由设备，用于根据所述DVPN隧道组建信息与所述第一路由设备建立所述DVPN隧道。

9.根据权利要求6所述的系统，其特征在于，所述SDN网络系统还包括SDN控制器；

所述SDN控制器在所述第一路由设备根据预先设置的路由标识符与key值的对应关系，查找所述key值对应的路由标识符之前，用于为SDN网络中不同的应用业务分别分配不同的VRF标签，并将该VRF标签绑定到对应该应用业务的业务接口上，并下发给所述第一路由设备和所述第二路由设备进行配置；以及将不同的VRF标签中的路由标识符与隧道外层封装的GRE头部中的key值做一一对应关系，并将所述路由标识符与key值的对应关系下发给所述第一路由设备和所述第二路由设备进行配置。

10.一种路由设备，其特征在于，包括：

存储器和处理器，所述处理器与所述存储器连接；

所述存储器，用于存储程序；

所述处理器，用于调用存储于所述存储器中的程序，以执行如权利要求1-4中任一项所述的方法。

Images