CN113923162A

CN113923162A - 一种报文转发方法、装置、设备及存储介质

Info

Publication number: CN113923162A
Application number: CN202111177151.0A
Authority: CN
Inventors: 陈建
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2021-10-09
Filing date: 2021-10-09
Publication date: 2022-01-11
Anticipated expiration: 2041-10-09
Also published as: CN113923162B

Abstract

本申请提供一种报文转发方法、装置、设备及存储介质，其中方法包括：接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。本方案中，能够在EVPN组网下，实现基于VSI的网络隔离控制，从而实现对VLAN灵活进行隔离控制。

Description

一种报文转发方法、装置、设备及存储介质

技术领域

本申请涉及通信技术领域，具体涉及一种报文转发方法、装置、设备及存储介质。

背景技术

以太网虚拟专用网络(Ethernet Virtual Private Network，EVPN)是一种二层VPN技术，在控制平面上采用边界网关协议(Border Gateway Protocol，BGP)通告路由信息，在数据平面上采用可扩展虚拟局域网络(Virtual eXtensible LAN，VXLAN)封装方式转发用户报文。

基本的EVPN组网架构主要包括：VM(Virtual Machine，虚拟机)、CE(CustomerEdge，用户边缘)设备和VTEP(VXLAN Tunnel End Point，VXLAN隧道端点)设备，VTEP设备的物理端口之间建立有VXLAN隧道。

以太网树(E-Tree)是一种以太网服务技术，将E-Tree技术引入到EVPN业务中，每个CE设备都被作为一个根节点或者叶子节点而存在。其中，一个根节点可以和所有的其他节点(包括其他根节点和叶子节点)进行通信；而一个叶子节点只能和根节点进行通信，而不能和其他叶子节点进行通信。上述组网一般应用在如视频点播服务中，如作为根节点的CE设备作为视频资源提供商，而作为叶子节点的CE设备作为点播用户。

可见，E-TREE技术是一种在二层VPN网络中，进一步进行隔离控制的技术,但是E-TREE技术在EVPN中需要依赖额外的标签(多协议标签交换MPLS中的标签)或者SID(SRv6中的标识)。SRv6是SR和IPv6的结合，SR的全名叫Segment Routing，分段路由，对于SR网络来说，连接任意两个SR节点的一段网络，就叫Segment。Segment由一个SegmentID(SID)标识。在VXLAN网络中，一般不会部署额外的VXLAN ID用于E-TREE。

PVLAN(private VLAN，私有VLAN)over VXLAN是一种基于VXLAN实现的类似E-TREE的技术，用于VXLAN内以及VXLAN间的进一步隔离，现有技术是基于VLAN进行的映射隔离，但当一个VXLAN对应多个VLAN时，无法灵活进行隔离控制。

发明内容

本申请的目的是提供一种报文转发方法、装置、设备及存储介质，能够在EVPN组网下，实现基于VSI的网络隔离控制。

本申请第一方面提供一种报文转发方法，应用于PE设备，包括：

接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；

根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；

根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。

本申请第二方面提供一种报文转发装置，应用于PE设备，包括：

接收模块，用于接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；

确定模块，用于根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；

转发模块，用于根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。

本申请第三方面提供一种报文转发设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器运行所述计算机程序时执行以实现如第一方面中所述的方法。

本申请第四方面提供一种计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现如第一方面中所述的方法。

相较于现有技术，本申请提供的报文转发方法、装置、设备及存储介质，接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。本方案中，能够在EVPN组网下，实现基于VSI的网络隔离控制，从而实现对VLAN灵活进行隔离控制。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本申请所提供的一种报文转发方法的流程图；

图2示出了本申请提供的EVPN组网图；

图3示出了本申请所提供的一种报文转发装置的示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。

另外，术语“第一”和“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先对本申请中的一些技术术语进行介绍。

PVLANover VXLAN是一种基于VXLAN实现的类似E-TREE的技术,用于VXLAN内以及VXLAN间的进一步网络隔离。

VSI(Virtual Switching Instance，虚拟交换实例)：VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例，VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机，它具有传统以太网交换机的所有功能，包括源MAC地址学习、MAC地址老化、泛洪等，VSI与VXLAN一一对应。

VSI-Interface(VSI的虚拟三层接口)：类似于Vlan-Interface，用来处理跨VNI即跨VXLAN的报文。在没有跨VNI报文时可以没有VSI-Interface。

本申请实施例提供一种报文转发方法及装置、一种报文转发设备及一种计算机可读存储介质，下面结合附图进行说明。

请参考图1，其示出了本申请的一些实施方式所提供的一种报文转发方法的流程图，应用于PE设备，如图所示，具体可以包括以下步骤S101至步骤S103：

步骤S101：接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；

步骤S102：根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；

步骤S103：根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发；

其中，PE设备的本地配置包括：每个VSI所属的VSI类型，服务实例标识与VLAN标识以及VSI的映射关系。

此外，PE设备的本地配置还包括：VSI与VXLAN的一一对应关系，虚拟三层接口所绑定的VSI，接入电路AC接口与服务实例标识的对应关系。服务实例用service-instance表示，虚拟三层接口用VSI-Interface表示。

其中，所述VSI类型包括：主VSI和从VSI；所述从VSI包括互通型从VSI和隔离型从VSI；

其中，主VSI用于实现对业务报文的二层转发或三层转发，即主VSI支持报文的二层转发或三层转发，用primary表示；互通型从VSI用于实现对业务报文的二层转发，即互通型从VSI支持报文的二层转发，不支持三层转发，用community表示；隔离型从VSI用于实现接收待转发的二层报文，即隔离型从VSI不支持报文的二层转发和三层转发，二层转发报文只能入不能出，用isolated表示；

其中，主VSI与PE设备内已配置的AC口下的一个服务实例绑定，主VSI还绑定虚拟三层接口(VSI-Interface)，同一AC接口下只有一个服务实例绑定主VSI。

请参考图2，其示出了应用本申请上述报文转发方法的EVPN组网图。本申请的上述报文转发方法不依赖具体的通信技术，不限定只用于EVPN VXLAN，也可以用于EVPN MPLS、EVPN SRV6，原理类似，不重复描述。

本实施例以EVPN VXLAN组网下的PVLAN实现进行示例。

如图2所示：PE1、PE2、PE3同属于一个L2VPN网络，CE1、CE2作为接入设备，通过L2VPN AC接口接入PE1、PE2设备。

根据所述预设关联关系对PE1设备的关键配置示例如下：

说明：AC接口下关联4个服务实例，分别为service-instance 1、service-instance 2、service-instance 3、service-instance 4。一个服务实例标识对应一个VLAN和一个VSI。只有service-instance 1绑定vsi 1，vsi 1为主VSI。

PE2与PE1的关键配置相同。

通常情况下，在VXLAN网络中，属于相同VXLAN的虚拟机处于同一个逻辑二层网络，彼此之间二层互通；属于不同VXLAN的虚拟机之间二层隔离。然而在本申请中，基于以上对PE1和PE2的关键配置，根据VSI的三种类型(主VSI、互通型从VSI、隔离型从VSI)，相同VXLAN内二层转发可以控制隔离或者不隔离行为，例如，CE1和CE2属于同一VXLAN内，本申请可以通过配置VSI类型，使CE1和CE2之间二层互通或者二层隔离，CE1和CE2之间无法通过接入的VXLAN VSI进行三层互通，必须通过主VSI进行三层转发。

基于以上对PE1和PE2的关键配置，本申请中PE设备的报文转发方法具体如下：

在步骤S101中，PE设备接收到CE设备发送的报文，获取所述业务报文中的VLAN标识和目的MAC地址。

在步骤S102中，PE设备根据上述关键配置确定所述VLAN标识关联的服务实例标识，确定所述服务实例标识关联的VSI，并确定所述VSI所属的VSI类型。

在步骤S103中，PE设备根据所述VSI所属的VSI类型及所述目的MAC地址对所述业务报文进行转发。

在本申请的一些实施方式中，步骤S103具体为：

根据所述目的MAC地址判断所述业务报文的转发类型，所述转发类型用于指示对所述业务报文执行二层转发或三层转发；

根据所述VSI所属的VSI类型及所述转发类型，对所述业务报文进行转发。

其中，根据所述目的MAC地址判断所述业务报文的转发类型，具体为：

判断所述业务报文的目的MAC地址是否为广播MAC地址；若是，则所述转发类型指示为对所述业务报文执行三层转发；若否，则所述转发类型指示为对所述业务报文执行二层转发；

或者，判断所述业务报文的目的MAC地址是否为接收所述业务报文的第一接口下主VSI对应的虚拟三层接口的MAC地址；若是，则所述转发类型指示为对所述业务报文执行三层转发；若否，则所述转发类型指示为对所述业务报文执行二层转发。

具体的，上述根据所述VSI所属的VSI类型及所述转发类型，对所述业务报文进行转发，根据VSI类型包括以下三种情况：

第一种情况：所述VSI为隔离型从VSI；

所述业务报文的转发过程如下：

若所述VSI为隔离型从VSI且所述转发类型指示对所述业务报文执行二层转发，则接收所述业务报文，不对所述业务报文进行二层转发；

若所述VSI为隔离型从VSI且所述转发类型指示对所述业务报文进行三层转发，则将所述VLAN标识更新为所述主VSI对应的VLAN标识，得到修改后的业务报文，并将所述修改后的业务报文转发至所述主VSI对应的虚拟三层接口处实现三层转发。

第二种情况：所述VSI为互通型从VSI；

所述业务报文的转发过程如下：

若所述VSI为互通型从VSI且所述转发类型指示对所述业务报文执行二层转发，则在所述VSI内对所述业务报文进行二层转发；

若所述VSI为互通型从VSI且所述转发类型指示对所述业务报文执行三层转发，则将所述VLAN标识更新为所述主VSI对应的VLAN标识，得到修改后的业务报文，并将所述修改后的业务报文转发至所述主VSI对应的虚拟三层接口处实现三层转发。

第三种情况：所述VSI为主VSI；

所述业务报文的转发过程如下：

若所述VSI为主VSI且所述转发类型指示对所述业务报文执行二层转发，则在所述VSI内对所述业务报文进行二层转发；

若所述VSI为主VSI且所述转发类型指示对所述业务报文执行三层转发，则将所述业务报文转发至所述VSI对应的虚拟三层接口处实现三层转发。

举例说明：

PE1收到CE1的报文，匹配其中的service-instance ID 3，关联的VSI为vsi 3；

由于vsi 3为隔离型从VSI，进行如下报文转发处理：

二层转发：由于是隔离型从VSI，禁止转发，仅做接收报文处理；

三层转发：需要在主VSI内进行。判断报文目的MAC地址为广播或者本AC接口对应主VSI的VSI-Interface接口MAC地址，则需要进行三层转发。然后通过AC接口interfaceg0/1查找本接口下的主VSI接口，此处为interface g0/1-service-instance 1，将报文vlan标识修改为service-instance 1对应的vlan 100，并通过service-instance 1上送主VSI，即vsi 1对应的vsi-interface 1进行处理，此时vsi-interface 1学习到CE1出接口为vsi 1内interface g0/1-service-instance 1。后续CE1报文的三层转发都可在vsi 1内进行。

由于三层ARP报文都是在主VSI内学习的，所以设备间比如PE1、PE2的三层表项也都是在主VSI内进行EVPN同步，同样达到了三层转发都在主VSI内进行的目的。

本申请实施例提供的上述报文转发方法，接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。本方案中，能够在EVPN组网下，实现基于VSI的网络隔离控制，从而实现对VLAN灵活进行隔离控制。

在上述的实施例中，提供了一种报文转发方法，与之相对应的，本申请还提供了一种报文转发装置。本申请实施例提供的报文转发装置可以实施上述报文转发方法。请参考图3，其示出了本申请的一些实施方式所提供的一种报文转发装置的示意图。由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。

如图3所示，所述报文转发装置10，可以包括：

接收模块101，用于接收用户边缘CE设备发送的业务报文，所述业务报文包括VLAN标识和目的MAC地址；

确定模块102，用于根据所述VLAN标识，从本地查找与所述VLAN标识对应的服务实例标识，并确定与所述服务实例标识关联的虚拟交换实例VSI，以及所述VSI所属的VSI类型；

转发模块103，用于根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发。

在本申请实施例的一些实施方式中，所述VSI类型包括：主VSI和从VSI；所述从VSI包括互通型从VSI和隔离型从VSI；

其中，所述主VSI用于实现对业务报文的二层转发或三层转发；所述互通型从VSI用于实现对业务报文的二层转发；所述隔离型从VSI用于实现接收待转发的二层报文；

所述主VSI与所述PE设备内已配置的AC口下的一个服务实例绑定。

在本申请实施例的一些实施方式中，转发模块103，具体用于：

判断所述业务报文的目的MAC地址是否为广播MAC地址，或者，判断所述业务报文的目的MAC地址是否为接收所述业务报文的第一接口下主VSI对应的虚拟三层接口的MAC地址；

若是，则所述转发类型指示为对所述业务报文执行三层转发；

若否，则所述转发类型指示为对所述业务报文执行二层转发。

本申请的上述实施例提供的报文转发装置与本申请实施例提供的报文转发方法出于相同的发明构思，具有相同的有益效果。

本申请实施方式还提供一种与前述实施方式所提供的报文转发方法对应的报文转发设备，该设备可以是PE设备等，以执行上述报文转发方法。

本申请实施例提供的报文转发设备与本申请实施例提供的报文转发方法出于相同的发明构思，具有与其采用、运行或实现的方法相同的有益效果。

本申请实施方式还提供一种与前述实施方式所提供的报文转发方法对应的计算机可读存储介质，该计算机可读存储介质可以为光盘，其上存储有计算机程序(即程序产品)，所述计算机程序在被处理器运行时，会执行前述任意实施方式所提供的报文转发方法。

需要说明的是，所述计算机可读存储介质的例子还可以包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质，在此不再一一赘述。

本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的报文转发方法出于相同的发明构思，具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。

最后应说明的是：附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围，其均应涵盖在本申请的权利要求和说明书的范围当中。

Claims

1.一种报文转发方法，应用于运营商边缘PE设备，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述VSI类型包括：主VSI和从VSI；所述从VSI包括互通型从VSI和隔离型从VSI；

3.根据权利要求2所述的方法，其特征在于，所述根据所述VSI所属的VSI类型及所述目的MAC地址，对所述业务报文进行转发，包括：

4.根据权利要求3所述的方法，其特征在于，所述根据所述VSI所属的VSI类型及所述转发类型，对所述业务报文进行转发，包括：

5.根据权利要求3所述的方法，其特征在于，所述根据所述VSI所属的VSI类型及所述转发类型，对所述业务报文进行转发，包括：

6.根据权利要求3所述的方法，其特征在于，所述根据所述VSI所属的VSI类型及所述转发类型，对所述业务报文进行转发，包括：

7.根据权利要求3所述的方法，其特征在于，所述根据所述目的MAC地址判断所述业务报文的转发类型，包括：

8.一种报文转发装置，应用于PE设备，其特征在于，包括：

9.根据权利要求8所述的装置，其特征在于，所述VSI类型包括：主VSI和从VSI；所述从VSI包括互通型从VSI和隔离型从VSI；

10.根据权利要求9所述的装置，其特征在于，所述转发模块，具体用于：

11.根据权利要求10所述的装置，其特征在于，所述转发模块，具体用于：

12.根据权利要求10所述的装置，其特征在于，所述转发模块，具体用于：

13.根据权利要求10所述的装置，其特征在于，所述转发模块，具体用于：

14.根据权利要求10所述的装置，其特征在于，所述转发模块，具体用于：