WO2013155943A1 - 一种虚拟网络实现方法及系统 - Google Patents

Abstract

本发明提供了一种虚拟网络（VN）实现方法及系统，该方法包括：在数据中心网络或/和宽带网络中设置虚拟网络接入点（VN-AP），业务开展和管理功能实体接收用户的 VN业务请求，生成所述 VN的特性信息；PC/VM 进行VN-AP的自动发现，当所述PC/VM在通过VN的身份认证后，自动发现的VN-AP生成所述PC/VM的VN转发表表项并根据所述VN转发表表项，通过隧道封装，转发来自所述PC/VM的报文。本发明通过自动发现用于处理所述VN的VN-AP，实现了VN的自动、快速建立。

Description

一种虚拟网络实现方法及系统 技术领域

本发明涉及宽带通信领域， 尤其涉及一种虚拟网络（Virtual Network, VN ) 实现方法及系统。 背景技术

近年来， 云计算成为信息产业的一个热点。 在云计算的大背景下， 软 件作为 （即） 业务 /服务（ SaaS )、 基础架构作为 （即）业务 /服务（ IaaS )、 平台作为 （即） 业务 /服务（PaaS )成为热点业务， 并且有一切皆可作为业 务（XaaS )的趋势。在 XaaS的思路的影响下，比照电力系统发展的思路（用 户只使用电力， 而不需要自己建设发电厂来进行电力供应）， 可以针对中小 型企业甚至大型企业网络提供网络即服务业务， 即各种企业用户的网络， 也由服务提供商来提供， 而不仅仅是网络运营商提供网络连接， 由企业用 户自己来组织自己的内部网络和 IT系统以及各有关的业务系统等。 这样， 一方面， 可以为运营商提供新的业务增长点， 而对企业用户而言， 特别是 中小型用户而言， 可以节省成本、 获得标准的网络安全性等等优势。

另外， 随着 IaaS的开展， 在数据中心网络中需要给大量的用户提供网 络服务， 也就是需要在数据中心网络给多个用户提供隔离的网络。 目前的 技术条件下， 这些网络可以通过虚拟局域网 （ Virtual Local Area Network, VLAN )、 或者三层 /二层虚拟专用网络（Layer 3/ Layer 2 Virtual Private Network, L3/L2 VPN )来进行隔离。

然而， 目前的数据中心网络一般拥有大的 L2接入网络和相关的 L3网 络， 因此 L3/L2 VPN—般并不太适用， 主要因为： 需要重新部署新的网络 功能实体（PE )等； 而对 VLAN而言， 由于受到 4096个 VLAN数量的限 制， 通常 VLAN也不能满足大型数据中心业务提供的需求。 因此， 现有技 术通过发展重叠网络来实现数据中心的虚拟网络， 基本的思路是在现有网 络的基础之上， 通过针对不同的隧道来实现虚拟网络的连接和隔离， 同时 解决了扩展性问题。 具体如图 1 所示， 在数据中心网络中， 通过引入隧道 端点（End Point of Virtual Tunnel, VTEP )来实现重叠隧道的封装， 从而实 现多用户的 （即多租户）虚拟网络实现。 其中， 典型的技术有扩展 VLAN ( VXLAN )和使用 GRE的网络虚拟化（ NVGRE )等。 考虑到提供网络即 业务的实现， 我们需要关注 L2和 L3网络连接的情况， 这里基于 VXLAN 的背景技术来进行描述。 即在 L3网络中引入隧道技术， 将 L2网络通过 L3 网络来进行封装、 传输和连接， 具体的， VTEP可以是 Hypervisor、 接入交 物理计算机的软件系统等。

具体的虚拟网络实现流程，如图 2所示：虚拟机（Virtual Machine, VM ) 通过 Hypervisor中的 vSwitch, 接入到接入交换机， 即 VM通过 vNIC, 以 及 vSwitch, 接入到接入交换机。 为实现同一个物理机器上的不同 VM之间 的流量的隔离， 如果这些 VM不属于同一个用户网络， 则不同的 VM之间 的流量， 需要通过 VLAN等技术实现隔离。 如图 2所示， 也可以不虚拟化 为多个 VM, 而是个人计算机 ( Personal Computer, PC )直接接入 /组成 VN。

步驟 201、 VM连接到 VTEP, 并被分配给不同的 VN;

其中， 本步驟中， 不同的 VN通过网络名进行标识， 所述网络名是便 于被使用和识别的一种表示； 进一步地， 网络名可以对应到网络传输用的 网络标识符， 这个标识符一般使用 24位的字段， 即可以最大实现一千六百 万个 VN的标识。 应当理解， 也可以使用其他位数的字段， 例如 32位等， 以提供更多的虚拟网络范围。

步驟 202、 VTEP针对具体的 VM配置形成对应的 VN转发表表项； 具体地， VTEP 根据预先配置的信息获知 VM 的介质访问控制 ( Medium/Media Access Control, MAC ) 地址和 /或 VM 的互联网十办议 ( Internet Protocol, IP )地址和 VTEP自身的 IP地址之间的对应关系， 形 成 VN转发表；

步驟 203、 VTEP可以通过 MP-BGP或者 MP-BGP的扩展协议， 将有 关 VM MAC和自身的 IP地址的对应关系， 发送到该虚拟网络中所有相关 的 VTEP;

此处也可以不使用 MP-BGP协议， 而是通过传统的类似以太网交换的 数据平面的学习机制来进行 VN转发表同步。

步驟 204、 所有有关的 VTEP, 针对具体的 VM配置形成对应的 VN转 发表表项；

步驟 205、 当存在报文转发时， VTEP通过查找 VM的对应 VN转发表 表项， 获得报文的目的地址等信息， 并进行隧道封装；

具体地， VTEP根据报文的目的地址， 查找 VM的对应 VN转发表项 , 获取所述对端 VTEP的目的 IP地址， 以及 MAC地址， 并进行隧道封装， 即在 L2报文 /帧进行 IP封装， 并通过 L3网络进行转发。

需要进一步说明的是， 由于 VTEP可能存在于 L2网络中， 因此， 对封 装后的 IP报文 , 可能需要做进一步的 L2封装。

步驟 206、 VTEP发送艮文给对端 VTEP;

步驟 207、对端 VTEP在收到有关的虚拟网络封装报文后，进行解封装， 获得 L2报文， 并转发给对端的 PC/VM;

应当理解， 所述对端 PC/VM报文的返回过程， 和上述流程类似， 不再 赘述。

上述流程类似于传统的多协议标签交换 （ Multi-Protocol Label Switching, MPLS )虚拟专用网络（ Virtual Private Network, VPN ) 网络业 务部署。从协议上看是能够实现的，可以通过手工配置 VTEP,并结合 VTEP 之间的协议， 或者利用数据平面的学习机制， 从而可以实现业务的开展。 但是， 当存在大量 PC服务器设备时， 例如对拥有数十万台计算机， 而每一 台计算机又可能虚拟出数十台虚拟机的数据中心而言， 若仍通过手工去配 置 VN, 则配置工作量是巨大的， 并且进一步由于 VM加入和离开 VN的动 态性的存在， 使得 VN业务开展变得复杂。 发明内容

有鉴于此， 本发明的主要目的在于提供一种虚拟网络实现方法及系统， 能够自动快速地实现虚拟网络的建立。

为达到上述目的， 本发明的技术方案是这样实现的：

一种 VN实现方法， 在数据中心网络或 /和宽带网络中设置 VN-AP, 所 述方法包括：

通过业务开展和管理功能实体接收用户的 VN业务请求，生成所述 VN 的特性信息；

PC/VM进行 VN-AP的自动发现， 当所述 PC/VM在通过 VN的身份认 证后， 自动发现的 VN-AP生成所述 PC/VM的 VN转发表表项并根据所述 VN转发表表项， 通过隧道封装， 转发来自所述 PC/VM的报文。

其中， 所述 PC/VM进行 VN-AP的自动发现为：

PC/VM通过专门类型的以太网报文， 发送 VN-AP发现消息； 所述 PC/VM所在广播域内的所有 VN-AP向所述 PC/VM返回 VN-AP 提供消息；

所述 PC/VM从返回的 VN-AP提供消息的所有 VN-AP 中选择一个 VN-AP发送 VN-AP请求消息；

所述 VN-AP向所述 PC/VM返回确认 /应答消息。

其中， 所述确认 /应答消息包括用于标识所述 VN-AP和所述 PC/VM与 其他 PC/VM隔离的会话标识信息或 VLAN标识信息。

其中， 所述 VN的特性信息包括所述 VN的 VN名称、 VN-ID、 VN中 可接入的 PC/VM的 MAC地址、 PC/VM身份认证的用户名和密码对中的一 种或多种；

相应地， 所述方法还包括：

保存所述 VN的特性信息至所述业务开展和管理功能实体或 /和验证、 授权和记账 AAA服务器。

其中， 所述 PC/VM通过 VN的身份认证为：

所述 PC/VM通过身份认证 PPPoE或 802. lx协议进行身份认证， 当认 证通过后， AAA服务器或所述业务开展和管理功能实体返回 VN-ID给所述 VN-AP。

进一步地， 所述方法还包括：

所述业务开展和管理功能实体或 AAA服务器收集所述 VN相关信息， 其中， 所述 VN相关信息包括所述 VN中实际接入的 PC/VM的数量、 所述 PC/VM接入开始时间和结束时间 , 或接入的持续时间的一种或多种。 当所述 PC/VM是广播域中第一个 VN接入点或所述 VN-AP中不存在 所述 VN的信息时，生成所述 VN转发表以及所述 VN转发表表项， 否则生 进一步地， 所述方法还包括：

所述 VN-AP与数据中心网络或 /和宽带网络中的所述 VN的所有其他 VN-AP进行信息交互， 进行所述 VN转发表同步。

其中， 所述进行所述 VN转发表同步为：

通过 MP-BGP或者 MP-BGP的扩展， 或数据平面的学习机制实现所述 VN的所有 VN-AP的 VN转发表同步。 其中， 所述隧道封装为：

使用包括 VN-ID头的一个或者多个报文头进行隧道封装。

进一步地， 所述方法还包括：

根据所述 VN的资源占用信息对申请使用所述 VN的用户进行计费； 其中， 所述 VN的资源占用信息包括所述 VN中实际接入的 PC/VM的数量 及接入持续时间， 以及计费策略。

一种虚拟网络 VN 实现系统， 所述系统包括： 业务开展和管理功能实 体、 PC/VM及 VN-AP; 其中，

所述业务开展和管理功能实体， 用于接收用户的 VN业务请求， 生成 所述 VN的特性信息；

所述 PC/VM, 用于自动发现设置于数据中心网络或 /和宽带网络中的 VN-AP, 或者根据预先配置的 VN-AP接入所述 VN;

所述 VN-AP, , 用于支持对所述 PC/VM的 VN用户身份认证， 当所述 PC/VM通过 VN的身份认证后，生成所述 PC/VM的 VN转发表表项并根据 所述 VN转发表表项， 通过隧道封装， 转发来自所述 PC/VM的报文。

其中， 所述 PC/VM , 用于通过专门类型的以太网报文， 发送 VN-AP 发现消息；还用于根据返回的 VN-AP提供消息选择一个 VN-AP发送 VN-AP 请求消息；

所述 VN-AP, 用于根据所述 VN-AP发现消息向所述 PC/VM返回 VN-AP提供消息， 还用于接收到所述 VN-AP请求消息时， 向所述 PC/VM 返回确认 /应答消息； 其中， 所述确认 /应答消息包括用于标识所述 VN-AP 和所述 PC/VM与其他 PC/VM隔离的会话标识信息或 VLAN标识信息。

进一步地， 所述系统还包括： AAA服务器； 其中，

所述 PC/VM, 通过 PPPoE或 802. lx协议进行身份认证；

所述 AAA服务器和 /或所述业务开展和管理功能实体， 用于保存所述 VN的特性信息， 当所述 PC/VM认证通过后， 返回 VN-ID给所述 VN-AP。 其中， 所述业务开展和管理功能实体或 AAA服务器， 还用于收集所述 VN相关信息，其中，所述 VN相关信息包括所述 VN中实际接入的 PC/VM 的数量、 所述 PC/VM接入开始时间和结束时间， 或接入的持续时间的一种 或多种。

其中， 所述 VN-AP , 用于当所述 PC/VM是广播域中第一个 VN接入 点或所述 VN-AP中不存在所述 VN的信息时， 生成所述 VN转发表以及所 表项。

进一步地， 所述 VN-AP, 还用于与数据中心网络或 /和宽带网络中的所 述 VN的所有其他 VN-AP进行信息交互， 进行所述 VN转发表同步。

其中， 所述 VN-AP, 用于通过 MP-BGP或者 MP-BGP的扩展， 或数据 平面的学习机制实现所述 VN的所有 VN-AP的 VN转发表同步。

其中， 所述 VN-AP, 用于使用包括 VN-ID头的一个或者多个报文头进 行隧道封装。

进一步地， 所述业务开展和管理功能实体或 AAA服务器， 还用于根据 所述 VN的资源占用信息对申请使用所述 VN的用户进行计费；其中，所述 VN的资源占用信息包括所述 VN中实际接入的 PC/VM的数量及接入持续 时间， 以及计费策略。

本发明通过自动发现用于处理所述 VN的 VN-AP,实现了 VN的自动、 快速建立， 降低实现成本； 而且， 本发明既可以应用于普通宽带网络， 还 可以应用于数据中心网络， 扩大了应用范围。 附图说明

图 1为现有的重叠式虚拟网络实现的网络结构示意图；

图 2为现有的重叠式虚拟网络实现流程示意图； 图 3为本发明虚拟网络实现方法的流程示意图；

图 4为本发明虚拟网络实现方法的具体实施例的流程示意图； 图 5为本发明虚拟网络实现系统的结构示意图；

图 6为应用本发明虚拟网络实现系统的网络结构示意图。 具体实施方式

本发明提供这样一个将网络作为服务来开展的实现方案。 并且， 进一 步， 由于数据中心网络， 一般集中在运营商的机房中， 离普通的用户比较 远， 因此， 需要将客户接入数据中心， 从而使得虚拟网络具有更广泛的实 用性， 这一般是通过宽带网络来实现。

本发明的基本思想为： 在数据中心网络或 /和宽带网络中设置 VN接入 点 （ VN Access Point, VN-AP ); 业务开展和管理功能实体接收用户的 VN 业务请求， 生成所述 VN的特性信息； PC/VM进行 VN-AP的自动发现， 当 所述 PC/VM在通过 VN的身份认证后，自动发现的 VN-AP生成所述 PC/VM 的 VN转发表表项并根据所述 VN转发表表项，通过隧道封装，转发来自所 述 PC/VM的才艮文。

为使本发明的目的、 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

图 3示出了本发明虚拟网络实现方法的流程， 如图 3所示， 所述方法 包括下述步驟：

步驟 301 , 在数据中心网络或 /和宽带网络中设置 VN-AP; 业务开展和 管理功能实体接收用户的 VN业务请求， 生成所述 VN的特性信息；

其中，所述 VN的特性信息包括所述 VN的 VN名称、 VN标识（ VN-ID )、 VN中可接入的 PC/VM的 MAC地址、对用户 PC/VM进行身份认证的用户 名和密码对中的一种或多种； 这里， 可以将所述 VN 的特性信息保存在所 述业务开展和管理功能实体或 /和验证、 授权和记账 （Authentication , Authorization&Accounting , AAA )服务器中； 这里需要说明的是， 可以利 用现有网络的 AAA服务器， 或者根据业务开展的需要， 在业务开展和管理 功能实体中设置 AAA服务器功能。 具体的实现， 根据业务开展的具体网络 情况进行部署， 而不会影响本发明的实质内容。 其中， 所述业务开展和管 理功能实体或 AAA服务器收集所述 VN相关信息， 其中， 所述 VN相关信 息包括所述 VN中实际接入的 PC/VM的数量、 所述 PC/VM接入开始时间 和结束时间， 或接入的持续时间的一种或多种。

步驟 302, PC/VM进行 VN-AP的自动发现， 当所述 PC/VM在通过 VN 的身份认证后， 自动发现的 VN-AP生成所述 PC/VM的 VN转发表表项并 根据所述 VN转发表表项， 通过隧道封装， 转发来自所述 PC/VM的报文； 其中， 所述 PC/VM进行 VN-AP的自动发现为： PC/VM通过专门类型 的以太网报文， 发送 VN-AP发现消息； 所述 PC/VM所在广播域内的所有 VN-AP向所述 PC/VM返回 VN-AP提供消息；所述 PC/VM从返回的 VN-AP 提供消息的所有 VN-AP中选择一个 VN-AP发送 VN-AP请求消息； 所述 VN-AP向所述 PC/VM返回确认 /应答消息。 其中， 确认 /应答消息包括用于 标识所述 VN-AP和所述 PC/VM 与其他 PC/VM 隔离的会话标识信息或 VLAN标识信息。

其中， 所述 PC/VM通过 VN的身份认证为： 所述 PC/VM通过身份认 证以太网上点到点协议 ( Point to Point Protocol over Ethernet, PPPoE )或 802.1x协议进行身份认证， 当认证通过后， 所述业务开展和管理功能实体 或 AAA服务器返回 VN-ID给所述 VN-AP。

所述自动发现的 VN-AP生成所述 PC/VM的 VN转发表表项为： 当所 述 PC/VM是广播域中第一个 VN接入点或所述 VN-AP中不存在所述 VN 所述隧道封装为： 使用包括 VN-ID头的一个或者多个报文头进行隧道 封装。

应当理解，上述方法还可以包括： 所述 VN-AP与数据中心网络或 /和宽 带网络中的所述 VN的其他 VN-AP进行信息交互， 进行所述 VN转发表同 步； 其中， 所述进行所述 VN转发表同步为： 通过 MP-BGP或者 MP-BGP 根据所述 VN的资源占用信息对申请使用所述 VN的用户进行计费； 其中， 所述 VN的资源占用信息包括 VN中接入的 PC/VM的数量及接入持 续时间， 以及计费策略。

图 4示出了本发明虚拟网络实现方法的具体实施例的流程， 如图 4所 示， 所述具体实施例包括下述步驟：

步驟 401、 用户通过申请 /签约获得一个基本的 VN名称。

这里具体可以通过公司内部公告、 或者从公司内部的有关部门获得， 也可能从服务提供商的业务网站上获得等等。 当然， 用户应该和服务提供 商之间有一个签约的过程， 既可以通过网络上业务开展门户进行申请， 也 可以通过服务提供商的营业网点进行签约。

步驟 402, VM通过特定类型的以太网 /L2广播报文发送 VN-AP发现消 息， 发现处理该 VN的 VTEP/VN-AP;

步驟 403 , 在广播域内的所有 VTEP/VN-AP, 反馈一个应答报文， 或者 VN-AP应答消息；

这里， 当在其 L2广播域中， 若要开展该业务， 则必须在各有关 L2广 播域中设置至少一个 VTEP/VN-AP。 从可用性角度看， 如果只设一个 VTEP/VN-AP, 如果该 VTEP/VN-AP失效， 可能导致业务不能开展， 这里 可以进行进一步的高可用性设计。

步驟 404-405 , VM从多个应答中选择一个 VTEP/VN-AP作为所述 VM 处理代理。 VM向指定的 VTEP/VN-AP发送 VN-AP请求报文， 并接收其返 回的应答 /确认消息， 确认该 VTEP/VN-AP就是需要进行处理所述 VN的 VTEP/VN-AP;

具体地， 当 VTEP/VN-AP包括 Hypervisor和接入交换机时， 接入交换 机处理比较好， 当然也可以通过专门的设备来进行处理。 这主要是根据业 务需求和 VN-AP的处理能力来确定有关的选择策略。

步驟 406 , VTEP/VN-AP发起对该 VM的进行 VN接入的身份认证； 具体可以是利用现有 PPPoE或者 802. lx认证机制。 具体的， 可通过 AAA服务器保存有预先建立的 VN的特性信息， 包括 VN名称， VN-ID, 该用户的可能的 VLAN的数量， 以及进一步的接入接口速率等参数。

步驟 407, 在 VM通过 VN的认证后， VTEP/VN-AP获取 VN-ID, 和 VM的可能的 VLAN ID等信息。

可选的 , VTEP/VN-AP将 VM的 VLAN信息传递给 VM;

步驟 408 , VTEP/VN-AP形成对应的 VN转发表表项。

VN转发表表项包括： VM的 MAC地址信息， VLAN信息， 以及对应 的接口信息。

步驟 409, VTEP/VN-AP通过 MP-BGP等机制， 将该 VM接入 /转发信 息， 转发给该 VN对应的其他 VTEP/VN-AP。 所述 VM接入信息一般是指 VM的 MAC地址信息， 所述 MAC地址信息可以通过配置得到， 或者自动 学习获得。

步驟 410, VN中的其他 VTEP/VN-AP同步对应的 VN转发表表项。 步驟 411 , VM使用该 VLAN来进行报文封装，并转发到 VTEP/VN-AP; 步驟 412-413 , VTEP/VN-AP进行 VN封装并转发。

具体地， 查找到 VM 的对应 VN 转发表项， 获得目的 MAC 的 VTEP/VN-AP的 IP地址等信息， 并进行隧道封装及转发。 可能的封装至少包括内层的 MAC 层封装、 VN 层封装、 到对端 VTEP/VN-AP的 IP层封装、 以及进一步的可能的外层的 MAC层封装， 可 以使得有关报文， 可以通过 L2网络， 将报文转发出去。

步驟 414, 对端 VTEP/VN-AP在收到有关的报文后， 需要进行有关解 封装。

步驟 415 , VTEP/VN-AP将 MAC层的报文， 转发给对端的 VM。 从而 实现通信。

从对端 VM返回的信息传输流程， 和前述步驟类似， 不再重复。

应当理解， 上述 VM也可以为 PC, 并且上述具体实施例是以数据中心 网络的情况进行的说明。 实际上， 宽带网络和数据中心网络的结构是类似 的， 也是 L2接入和 L3网络的结构。 因此， 上述步驟， 也可以仅在宽带网 络中进行 VN的部署； 而且， VN也可以跨宽带网络和数据中心网络， 只要 它们在 IP层， 也即 L3层是连通的。 需要进一步说明的是， 所述业务开展 和管理功能实体， 当业务开展仅是在数据中心网络中时， 则该功能实体可 以部署在数据中心网络中； 一般情况下， 是部署在业务提供商网络中， 即 宽带网络中， 同时支持数据中心和宽带网络中的虚拟网络业务提供。 而对 业务开展和管理功能实体与 AAA服务器之间的关系， 由于 AAA服务器一 般是一个独立的实体， 往往已经在宽带网络中已经有部署， 因此对 VN业 务的开展， 可以通过扩展， 或者增加对 VN业务开展的功能支持。 在这种 情况下， 业务开展和管理功能实体需要和 AAA服务器来进行交互， 从而实 现 VN业务的开展。 例如， VN业务的注册信息， 一般保存在业务开展和管 理功能实体中， 而具体的详细的业务信息， 例如 VN中实际接入的 VM的 数量等信息， 则存放在 AAA服务器中。

图 5示出了本发明虚拟网络实现系统的结构， 如图 5所示， 所述系统 包括： 业务开展和管理功能实体、 PC/VM及 VN-AP; 其中， 所述业务开展和管理功能实体， 用于接收用户的 VN业务请求， 生成 所述 VN的特性信息， 并在数据中心网络和 /或宽带网络中部署 VN-AP;

所述 PC/VM, 用于自动发现设置于数据中心网络或 /和宽带网络中的 VN-AP, 或者根据预先配置的 VN-AP接入所述 VN;

所述 VN-AP, 用于被所述 PC/VM 自动发现后发起对所述 PC/VM的 VN用户身份认证，当所述 PC/VM通过 VN的身份认证后，生成所述 PC/VM 的 VN转发表表项并根据所述 VN转发表表项，通过隧道封装，转发来自所 述 PC/VM的艮文。

其中， 所述 PC/VM, 具体用于通过专门类型的以太网报文， 向自身所 在广播域的 VN-AP发送 VN-AP发现消息；还用于根据返回的 VN-AP提供 消息选择一个 VN-AP发送 VN-AP请求消息；

所述 VN-AP, 具体用于向所述 PC/VM返回 VN-AP提供消息， 还用于 接收到所述 VN-AP请求消息时， 向所述 PC/VM返回确认 /应答消息。

其中， 所述 PC/VM, 具体用于通过身份认证 PPPoE或 802. lx协议进 行身份认证， 当认证通过后， 返回 VN-ID给所述 VN-AP。

其中， 所述业务开展和管理功能实体或 AAA服务器， 还用于收集所述 VN相关信息，其中，所述 VN相关信息包括所述 VN中实际接入的 PC/VM 的数量、 所述 PC/VM接入开始时间和结束时间， 或接入的持续时间的一种 或多种。

其中， 所述 VN-AP, 具体用于当所述 PC/VM是广播域中第一个 VN 接入点或所述 VN-AP中不存在所述 VN的信息时， 生成所述 VN转发表以 发表表项。

进一步地， 所述 VN-AP, 还用于与数据中心网络和 /或宽带网络中的所 述 VN的其他 VN-AP进行信息交互， 进行所述 VN转发表同步。 其中， 所述 VN-AP, 具体用于通过 MP-BGP或者 MP-BGP的扩展， 或 数据平面的学习机制进行所述 VN的所有 VN-AP的 VN转发表同步。

其中， 所述 VN-AP, 具体用于使用包括 VN-ID头的一个或者多个报文 头进行隧道封装。

进一步地， 所述业务开展和管理功能实体或 AAA服务器， 还用于根据 所述 VN的资源占用信息对申请使用所述 VN的用户进行计费；其中，所述 VN的资源占用信息包括 VN中接入的 PC/VM的数量及接入持续时间， 以 及计费策略。

应当理解， 上述 VN实现系统中， 网络连接是通过 VN来实现， 但是 具体的网络中机器， 如 PC/VM则可能是 VN的用户自己准备的， 尤其对数 据中心网络的应用场景， PC/VM则可以由服务提供商进行提供。

下面结合图 6示出的应用上述系统的网络结构进行说明， 如图 6所示， 所述网络包括数据中心网络和宽带网络部分， 它们之间通过 IP/MPLS/因特 网 （INTERNET ) 实现互通。 一般而言， 在 IP层可以实现互通， 也即可以 实现现有的 INTERNET的各种应用。 网络结构中包括业务开展和管理功能 实体， 支持实现网络即服务功能。

VN自动实现的实施例：

客户可以通过签署一个网络合约从（网络即服务）服务提供商那里， 注册一个 VN服务； 具体包括 VN名称， 可能的 VLAN号， 以及覆盖的范 围等等。 具体的， 可以通过服务提供商的业务门户上， 进行操作。 而业务 门户， 进一步将有关的信息， 生成对应的 VN-ID, 提供给业务开展和管理 功能实体。

客户机器接入的 NaaS实现实施例：

VN自动实现的实施例中使用的技术，可以扩展到非数据中心网络的环 境， 即在传统的宽带网络环境中， 也能自动实现网络即服务的功能。 具体的， 如图 6所示， 宽带网络中， VTEP/VN-AP可以是传统的接入 交换机。 这里和数据中心网络环境不同的是： 接入的设备不是 VM, 而是客 户的独立的物理的 PC。而 VN的实现，完全仿照数据中心网络的功能进行， 即通过重叠隧道技术， 在传统的宽带网络中， 实现了虚拟网络/ NaaS的自动 接入和功能实现。

NaaS计费实施案例：

对 NaaS业务的开展， 一个主要的内容， 是对所生成的 VN进行计费。 当然， 也可以采用传统的包月， 或者包年的计费策略来进行计费。 但是， 由于本发明支持 VN中的 PC/VM的动态加入， 变化较大， 因此需要提供一 个按需使用的计费方法， 来比较精确地衡量 VN 的资源使用情况， 从而合 理地进行收费。 一方面， 包括服务提供商的收益， 同时， 也可以限制 VN 客户对网络资源的滥用。

具体的， 所述业务开展和管理功能实体根据所述 VN 的资源占用信息 对申请使用所示 VN的用户进行计费，其中，所述 VN的资源占用信息包括 所述 VN中接入的所述 PC/VM的数量以及接入持续时间， 以及计费策略等 等。

所述 VN的资源占用信息可以通过业务开展和管理功能实体或 AAA服 务器进行收集。 其中， 所述 AAA服务器可以利用现有 AAA服务器进行升 级改造得到。

综上所述， 本发明提供的虚拟网络实现方法及系统可以快速实现虚拟 网络的建立， 降低了实现成本， 增加运营商的收入； 而从用户的角度看， 由于有新的业务提供方式， 因此可以降低网络建设成本以及使用成本， 甚 至进一步可以提升整体安全防护功能。 并且， 能够支持企业信息化工作， 并进一步降低企业 IT支出， 能够有效优化网络资源的使用。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种虚拟网络 VN实现方法， 其特征在于， 在数据中心网络或 /和宽 带网络中设置虚拟网络接入点 VN-AP, 所述方法包括：

业务开展和管理功能实体接收用户的 VN业务请求， 生成所述 VN的 特性信息；

计算机 PC/虚拟机 VM进行 VN-AP的自动发现， 当所述 PC/VM在通 过 VN的身份认证后， 自动发现的 VN-AP生成所述 PC/VM的 VN转发表 表项， 并根据所述 VN转发表表项， 通过隧道封装转发来自所述 PC/VM的 报文。

2、根据权利要求 1所述的方法，其特征在于，所述 PC/VM进行 VN-AP 的自动发现为：

PC/VM通过专门类型的以太网报文， 发送 VN-AP发现消息； 所述 PC/VM所在广播域内的所有 VN-AP向所述 PC/VM返回 VN-AP 提供消息；

所述 PC/VM从返回 VN-AP提供消息的所有 VN-AP中选择一个 VN-AP 发送 VN-AP请求消息；

所述 VN-AP向所述 PC/VM返回确认 /应答消息。

3、根据权利要求 2所述的方法， 其特征在于， 所述确认 /应答消息包括 用于标识所述 VN-AP和所述 PC/VM与其他 PC/VM隔离的会话标识信息或 VLAN标识信息。

4、 根据权利要求 1所述的方法， 其特征在于， 所述 VN的特性信息包 括所述 VN的 VN名称、 VN-ID、 VN中可接入的 PC/VM的介质访问控制 MAC地址、 对 PC/VM进行身份认证的用户名和密码对中的一种或多种； 相应地， 所述方法还包括： 保存所述 VN的特性信息至所述业务开展和管理功能实体或 /和验证、 授权和记账 AAA服务器。

5、 根据权利要求 1所述的方法， 其特征在于， 所述 PC/VM通过 VN 的身份认证为：

所述 PC/VM通过身份认证以太网上点到点协议 PPPoE或 802.1 X协议 进行身份认证， 当认证通过后， AAA服务器或所述业务开展和管理功能实 体返回 VN-ID给所述 VN-AP。

6、 根据权利要求 4或 5所述的方法， 其特征在于， 所述方法还包括： 所述业务开展和管理功能实体或 AAA服务器收集所述 VN相关信息， 其中， 所述 VN相关信息包括所述 VN中实际接入的 PC/VM的数量、 所述 PC/VM接入开始时间和结束时间 , 或接入的持续时间的一种或多种。

7、根据权利要求 1所述的方法， 其特征在于， 所述自动发现的 VN-AP 生成所述 PC/VM的 VN转发表表项为：

当所述 PC/VM是广播域中第一个 VN接入点或所述 VN-AP中不存在 所述 VN的信息时，生成所述 VN转发表以及所述 VN转发表表项， 否则生

8、 根据权利要求 7所述的方法， 其特征在于， 所述方法还包括： 所述 VN-AP与数据中心网络或 /和宽带网络中的所述 VN的所有其他

VN-AP进行信息交互， 进行所述 VN转发表同步。

9、 根据权利要求 8所述的方法， 其特征在于， 所述进行所述 VN转发 表同步为：

通过 MP-BGP或者 MP-BGP的扩展， 或数据平面的学习机制实现所述 VN的所有 VN-AP的 VN转发表同步。

10、 根据权利要求 1所述的方法， 其特征在于， 所述隧道封装为： 使用包括 VN-ID头的一个或者多个报文头进行隧道封装。

11、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 根据所述 VN的资源占用信息对申请使用所述 VN的用户进行计费； 其中， 所述 VN的资源占用信息包括所述 VN中实际接入的 PC/VM的数量 及接入持续时间， 以及计费策略。

12、 一种虚拟网络 VN 实现系统， 其特征在于， 所述系统包括： 业务 开展和管理功能实体、 PC/VM及 VN-AP; 其中，

所述业务开展和管理功能实体， 用于接收用户的 VN业务请求， 生成 所述 VN的特性信息；

所述 PC/VM, 用于自动发现设置于数据中心网络或 /和宽带网络中的 VN-AP;

所述 VN-AP, 用于支持对所述 PC/VM的 VN用户身份认证， 当所述 PC/VM通过 VN的身份认证后，生成所述 PC/VM的 VN转发表表项，并根 据所述 VN转发表表项， 通过隧道封装转发来自所述 PC/VM的报文。

13、 根据权利要求 12所述的系统， 其特征在于， 所述 PC/VM, 用于 发送 VN-AP发现消息；还用于根据返回的 VN-AP提供消息选择一个 VN-AP 发送 VN-AP请求消息；

所述 VN-AP, 用于根据所述 VN-AP发现消息向所述 PC/VM返回 VN-AP提供消息， 还用于接收到所述 VN-AP请求消息时， 向所述 PC/VM 返回确认 /应答消息； 其中， 所述确认 /应答消息包括用于标识所述 VN-AP 和所述 PC/VM与其他 PC/VM隔离的会话标识信息或 VLAN标识信息。

14、根据权利要求 12所述的系统，其特征在于，所述系统还包括： AAA 服务器； 其中，

所述 PC/VM, 通过 PPPoE或 802. lx协议进行身份认证；

所述 AAA服务器和 /或所述业务开展和管理功能实体， 用于保存所述 VN的特性信息， 当所述 PC/VM认证通过后， 返回 VN-ID给所述 VN-AP。

15、 根据权利要求 13或 14所述的系统， 其特征在于， 所述业务开展 和管理功能实体或 AAA服务器， 还用于收集所述 VN相关信息， 其中， 所 述 VN相关信息包括所述 VN中实际接入的 PC/VM的数量、 所述 PC/VM 接入开始时间和结束时间， 或接入的持续时间的一种或多种。

16、 根据权利要求 12所述的系统， 其特征在于， 所述 VN-AP, 用于当 所述 PC/VM是广播域中第一个 VN接入点或所述 VN-AP中不存在所述 VN 的信息时， 生成所述 VN转发表以及所述 VN转发表表项， 否则生成所述 VN转发表的所述 PC/VM的 VN转发表表项。

17、 根据权利要求 16所述的系统， 其特征在于， 所述 VN-AP, 还用于 与数据中心网络或 /和宽带网络中的所述 VN的所有其他 VN-AP进行信息交 互， 进行所述 VN转发表同步。

18、 根据权利要求 17所述的系统， 其特征在于， 所述 VN-AP, 用于通 过 MP-BGP或者 MP-BGP的扩展， 或数据平面的学习机制实现所述 VN的 所有 VN-AP的 VN转发表同步。

19、 根据权利要求 12所述的系统， 其特征在于， 所述 VN-AP, 用于使 用包括 VN-ID头的一个或者多个报文头进行隧道封装。

20、 根据权利要求 12所述的系统， 其特征在于， 所述业务开展和管理 功能实体或 AAA服务器，还用于根据所述 VN的资源占用信息对申请使用 所述 VN的用户进行计费； 其中， 所述 VN的资源占用信息包括所述 VN中 实际接入的 PC/VM的数量及接入持续时间， 以及计费策略。