WO2014134919A1 - 同一租户内服务器间的通信控制方法及网络设备 - Google Patents

Abstract

本发明实施例公开了同一租户内服务器间的通信控制方法及网络设备。网关设备接收源服务器发送的第一报文；所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识，所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通；所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识，获得第二报文；所述网关设备发送所述第二报文。该方法实现了同一个VNI或VSID内的服务器间的互通或隔离控制。

Description

同一租户内服务器间的通信控制方法及网络设备 本申请要求于 2013年 3月 4日提交中国专利局、 申请号为 201310067761. 4、 发明 名称为 "同一租户内服务器间的通信控制方法及网络设备" 的中国专利申请的优先权， 其全部内容通过弓 I用结合在本申请中。 技术领域 本发明涉及通信技术领域， 特别是涉及同一租户内服务器间的通信控制方法及网 络设备。

背景技术 为了在一张物理网络内部署多个租户 /用户的业务，标准组织开发了虚拟局域网

(Virtual Local Area Network, VLAN) 技术来实现网络虚拟化， 把一张物理网络划 分成 4K个逻辑网络， 逻辑网络之间彼此隔离。 实际使用中， 不同的逻辑网络被分 配给不同的租户 /用户使用， 来实现同一张物理网络中部署多个租户 /用户的需求。 然而， 随着网络规模的不断增大、业务需求的不断增多， 4K的虚拟网络已经不 足以满足大量的租户 /用户的接入需要。 尤其在数据中心领域， 租户 /用户数量的急 剧增加导致了网络虚拟化能力成为组网瓶颈。 基于此， 业界推出了 NVGRE (Network Virtualization using Generic Routing Encapsulation, 使用 GRE (通用路由 封装）技术实现二层网络虚拟化的协议）禾 B VXLAN ( Virtual extensible Local Area Network, 虚拟可扩展局域网） 技术， 在优化网络转发和资源利用的同时， 还极大 的提升了网络承载多租户的能力。

NVGRE和 VXLAN都是 MAC-in-IP技术， 通过对用户的 ETH报文执行封装和 转发， 实现大规模的二层组网。 NVGRE和 VXLAN分别定义了 VSID(Virtual Subnet Identifier)和 VNI(VXLAN Network Identifier), 来标识不同的虚拟网络， VXLAN 或 NVGRE用 VNI或 VSID来代替 VLAN技术中的 VLAN-ID控制广播域， 因此报文 不再需要封装 VLAN-ID, 而是直接在报文外面封装 VNI或 VSID和外层报文头。此 时， 从网络的角度看， VNI或 VSID作为逻辑网络的标识控制着广播域的范围， 相 同 VNI或 VSID的报文属于同一个逻辑网络， 允许互通； 不同 VNI或 VSID的报文 属于不同的逻辑网络， 不允许互通。 从应用的角度看， VNI或 VSID代表了租户标 识， 同一个 VNI或 VSID下的服务器属于同一个租户， 不同 VNI或 VSID下的服务 器属于不同的租户。 然而， 现有技术中为每个租户分配一个 VNI或 VSID， 而同一个 VNI或 VSID 内的服务器可以完全互通， 无法做到服务器间的互通或隔离控制。

发明内容 本发明提供了一种同一租户内服务器间的通信控制方法及网络设备， 能够实现同 一租户内服务器间的互通 /隔离控制。 本发明第一方面提供一种同一租户内服务器间的通信控制方法， 所述方法包 括- 网关设备接收源服务器发送的第一报文； 所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分 组标识； 所述服务器分组标识用于表明服务器所属的分组， 属于不同分组的服务器不能 互通； 所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识， 获得第 二报文； 所述网关设备发送所述第二报文。 结合上述第一方面， 在第一种可能的实现方式中， 在所述网关设备在所述第一 报文中添加所述源服务器的服务器分组标识， 获得第二报文之前， 还包括： 所述网关设备获取所述第一报文的目的服务器的服务器分组标识； 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验， 在校验通过后所述网关设备在所述第一报文中添加所述源 服务器的服务器分组标识， 获得所述第二报文。 结合上述第一方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 在所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组 标识之前， 所述方法还包括： 所述网关设备对本地同一租户内的服务器进行分组； 所述网关设备为所述分组分配标识， 生成所述分组标识配置表。 结合上述第一方面， 和 /或第一种可能的实现方式， 和 /或第二种可能的实现方 式， 在第三种可能的实现方式中， 所述网关设备对本地同一租户内的服务器进行分 组包括： 所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID 为 对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 结合上述第一方面， 和 /或第一种可能的实现方式， 和 /或第二种可能的实现方 式， 和 /或第三种可能的实现方式， 在第四种可能的实现方式中， 所述网关设备在所 述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文， 包括： 如果所述第一报文为虚拟可扩展局域网协议报文， 所述网关设备在所述第一报 文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标识， 获得所述 第二报文； 或， 如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文， 所述 网关设备在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分 组标识， 获得所述第二报文。 本发明第二方面提供一种同一租户内服务器间的通信控制方法， 所述方法包 括- 所述网关设备接收源服务器发送的报文； 所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分 组标识， 并获取所述报文的目的服务器的服务器分组标识，所述服务器分组标识用于 表明服务器所属的分组， 属于不同分组的服务器不能互通； 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验; 所述网关设备在所述互通校验通过后发送所述报文。 结合上述第二方面， 在第一种可能的实现方式中， 在所述网关设备根据本地存 储的分组标识配置表获取所述源服务器的服务器分组标识之前， 所述方法还包括： 所述网关设备对本地同一租户内的服务器进行分组； 所述网关设备为所述分组分配标识， 生成所述分组标识配置表。 结合上述第二方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 所述网关设备对本地同一租户内的服务器进行分组包括： 所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID 为 对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 本发明第三方面提供一种同一租户内服务器间的通信控制方法， 所述方法包 括- 所述网关设备接收报文； 所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标 识； 当所述报文中携带所述报文的源服务器的服务器分组标识时， 所述网关设备获 取所述报文中的所述源服务器的服务器分组标识， 并根据本地存储的分组标识配置 表获取所述报文的目的服务器的服务器分组标识，所述服务器分组标识用于表明服务 器所属的分组， 属于不同分组的服务器不能互通； 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验； 所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。 结合上述第三方面， 在第一种可能的实现方式中， 在所述网关设备根据本地存 储的分组标识配置表获取所述报文的目的服务器的服务器分组标识之前， 所述方法 还包括： 所述网关设备对本地同一租户内的服务器进行分组； 所述网关设备为所述分组分配标识， 生成所述分组标识配置表。 结合上述第三方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 所述网关设备对本地同一租户内的服务器进行分组包括： 所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID 为 对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 本发明第四方面还提供一种网关设备， 包括： 接收单元， 用于接收源服务器发送的第一报文； 存储单元， 用于存储分组标识配置表； 第一获取单元， 用于根据所述存储单元存储的分组标识配置表获取所述源服务 器的服务器分组标识， 所述服务器分组标识用于表明服务器所属的分组， 属于不同分 组的服务器不能互通； 报文生成单元， 用于在所述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文； 发送单元， 用于发送所述第二报文。 结合上述第四方面， 在第一种可能的实现方式中， 还包括： 第二获取单元， 用于在所述报文生成单元在所述第一报文中添加所述源服务器 的服务器分组标识， 获得第二报文之前， 获得所述目的服务器的服务器分组标识； 校验单元， 用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验， 在校验通过后再由所述报文生成单元在所述第一报文中添 加所述源服务器的服务器分组标识， 获得第二报文。 结合上述第四方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 还包括： 分组单元， 用于在所述第一获取单元根据所述存储单元存储的分组标识配置表 获取所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 结合上述第四方面， 和 /或第一种可能的实现方式， 和 /或第二种可能的实现方 式， 在第三种可能的实现方式中， 所述分组单元， 具体用于基于所述网关设备的端口 为对本地同一租户内的服务器进行分组； 或者， 基于服务器的 MAC地址为对本地同一 租户内的服务器进行分组； 或者， 基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 结合上述第四方面， 和 /或第一种可能的实现方式， 和 /或第二种可能的实现方 式，和 /或第三种可能的实现方式，在第四种可能的实现方式中，所述报文生成单元， 具体用于当所述第一报文为虚拟可扩展局域网协议报文时， 在所述第一报文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标识， 获得所述第二 报文； 或， 当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的协议报 文时，在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分组 标识， 获得所述第二报文。 本发明第五方面还提供一种网关设备， 包括： 接收单元， 用于接收源服务器发送的报文； 存储单元， 用于存储分组标识配置表； 标识获取单元， 用于根据所述存储单元存储的分组标识配置表获取所述源服务 器的服务器分组标识， 并获取所述报文的目的服务器的服务器分组标识， 所述服务 器分组标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通； 校验单元， 用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验； 发送单元， 用于在互通校验通过后发送所述报文。 结合上述第五方面， 在第一种可能的实现方式中， 还包括： 分组单元， 用于在所述标识获取单元根据所述存储单元存储的分组标识配置表 获取所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 结合上述第五方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 所述分组单元， 具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分 组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基于 服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器进 行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 本发明第六方面还提供一种网关设备， 包括： 存储单元， 用于存储分组标识配置表； 接收单元， 用于接收报文； 确定单元， 用于确定所述报文中是否携带所述报文的源服务器的服务器分组标 识，所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通； 标识获取单元， 用于当所述确定单元确定所述报文中携带所述报文的源服务器 的服务器分组标识时， 获取所述报文中的所述源服务器的服务器分组标识， 并根据 所述存储单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标 识； 校验单元， 用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验； 发送单元， 用于在所述互通校验通过后向所述目的服务器发送所述报文。 结合上述第六方面， 在第一种可能的实现方式中， 还包括： 分组单元， 用于在所述标识获取单元根据所述存储单元存储的分组标识配置表 获取所述报文的目的服务器的服务器分组标识之前， 对本地同一租户内的服务器进 行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 结合上述第六方面，和 /或第一种可能的实现方式，在第二种可能的实现方式中， 所述分组单元， 具体用于基于所述网关设备的端口对本地同一租户内的服务器进行分 组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基于 服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器进 行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 本发明通过网关设备生成各服务器的 SGID， 然后在服务器间进行通信时通过 对服务器的 SGID进行互通检验， 并根据校验结果决定是否允许服务器间的互通， 实现 了同一个 VNI或 VSID内的服务器间的互通或隔离控制。

附图说明 为了更清楚地说明本发明实施例的技术方案， 下面将对实施例描述中所需要使 用的附图作简单地介绍， 显而易见地， 对于本领域普通技术人员而言， 在不付出创 造性劳动性的前提下， 还可以根据这些附图获得其他的附图。 图 1为本发明实施例一种同一租户内服务器间的通信控制方法流程图； 图 2为本发明实施例另一种同一租户内服务器间的通信控制方法流程图； 图 3为本发明实施例中获得分组标识配置表的方法流程图； 图 4为本发明实施例中 VXLAN/NVGRE的网络拓扑架构示意图； 图 5~8为本发明实施例的报文结构示意图； 图 9为本发明实施例另一种同一租户内服务器间的通信控制方法流程图； 图 10为本发明实施例另一种同一租户内服务器间的通信控制方法流程图； 图 11为本发明实施例一种网关设备的结构示意图； 图 12为本发明实施例另 种网关设备的结构示意图; 图 13为本发明实施例另 种网关设备的结构示意图; 图 14为本发明实施例另 种网关设备的结构示意图。

具体实施方式 为了使本技术领域的人员更好地理解本发明实施例中的技术方案， 并使本发明 实施例的上述目的、 特征和优点能够更加明显易懂， 下面结合附图对本发明实施例 中技术方案作进一步详细的说明。 参见图 1， 为本发明实施例一种同一租户内服务器间的通信控制方法流程图。 该方法可以包括： 步骤 101， 网关设备接收源服务器发送的第一报文。 本发明实施例中，该 "第一"和 "第二"仅为了区分不同的报文，并非特指或限定。 在本步骤中， 网关设备接收源服务器发送的第一报文， 该第一报文中除了包含数据 信息外， 还可以包含源服务器及目的服务器的地址信息， 如 MAC地址。 步骤 102， 网关设备根据本地存储的分组标识配置表获取源服务器的服务器分组标 识，所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通。 网关设备存储有分组标识配置表， 该配置表中存储有该网关设备预先为本地的同一 租户内服务器生成的服务器分组标识（Server Group Identifier, SGID), 该服务器分组标 识用于表明服务器所属的分组， 属于不同分组的服务器不能互通。 其中， 网关设备本地 的服务器也即该网关设备下连接的服务器。不同租户通过 VNI或 VSID进行标识和隔离， 每个租户只分配一个 VNI或 VSID， 不同 VNI或 VSID的报文属于不同的逻辑网络， 不 允许互通， 相同 VNI或 VSID的报文属于同一个逻辑网络， 本实施例中， 通过对同一租 户下的各服务器设置 SGID， 来控制同一租户下各服务器之间的互通或隔离。 网关设备在接收到第一报文后， 可以根据该第一报文中源服务器的 MAC地址或源 服务器的接入端口等信息查找本地存储的分组标识配置表， 获得该源服务器的 SGID。 步骤 103， 网关设备在第一报文中添加所述源服务器的服务器分组标识， 获得第二 报文。 网关设备在获得源服务器的 SGID后， 在第一报文的预留字段或未定义明确用途的 字段上， 或者在第一报文的扩展字段或新增字段上添加该源服务器的 SGID， 获得第二 报文。 该获得第二报文的过程还可以包含其他现有技术的报文生成过程，例如在添加了源 服务器的 SGID的报文外面封装 VXLAN或 NVGRE报文头等。 步骤 104， 网关设备发送所述第二报文。 网关设备在获得第二报文后， 在发送第二报文之前还可以包含其他现有技术步骤， 例如查找该第一报文所属的 VNI或 VSID， 然后基于 VNI或 VSID， 以第一报文的目的 MAC地址为索引查询转发表， 获取该第一报文在 VXLAN或 NVGRE网络上的出口网 关。 然后， 网关设备发送该第二报文。 对端的网关设备在接收到第二报文后，根据本地存储的分组标识配置表获取该第二 报文的目的服务器的 SGID， 然后对第二报文中包含的源服务器的 SGID和获得的目的 服务器的 SGID进行互通校验， 该校验过程具体依据预先设置的互通规则进行校验， 在 校验通过后， 也即表明源服务器和目的服务器之间可以相互通信， 然后再向目的服务器 转发该第二报文， 若校验不通过， 则不向目的服务器转发该第二报文， 可以丢弃该第二 报文， 以禁止源、 目的服务器之间的互通。 当然该转发过程中还可以包含其他现有技术的报文处理过程，例如剥离第二报文的 VXLAN/NVGRE外层头， 提取 VNI或 VSID信息， 然后基于 VNI或 VSID， 以报文目 的 MAC地址为索引查询转发表， 获取该第二报文在本网关设备的用户侧的出口， 然后 按照该出口将报文发送至目的服务器。 本发明实施例通过网关设备生成各服务器的 SGID， 然后在服务器间进行通信时通 过对服务器的 SGID进行互通检验， 并根据校验结果决定是否允许服务器间的互通， 实 现了同一个 VNI或 VSID内的服务器间的互通 /隔离控制。 在本发明的另一实施例中， 如图 2所示， 在网关设备在第一报文中添加源服务器的

SGID, 获得第二报文之前， 还可以包括： 步骤 201， 网关设备获取第一报文的目的服务器的 SGID。 网关设备在接收到上述第一报文后， 或在获取到源服务器的 SGID之后， 可以进一 步执行本步骤， 获得目的服务器的 SGID。 该网关设备获得目的服务器的 SGID的方法， 可以是在网关设备本地预先存储有其 他网关设备发送的服务器的 SGID; 也可以是网关设备在执行源 MAC学习的时候， 同 时学习源服务器的 SGID， 从而获得其他网关设备下的服务器的 SGID， 具体的， 网关设 备本地生成的只是本地各个服务器的 SGID， 最初网关设备本地还没有上述第一报文的 目的服务器的 MAC表， 也就没有目的服务器的 SGID， 后续通过数据报文学习 MAC地 址时同步学习并保存 SGID， 这样网关设备就可以学习获得其他网关设备下的服务器的 SGID 了。 这两种情况下， 该网关设备可以根据第一报文中的目的服务器的相关标识信 息如 MAC地址等在本地查找获得目的服务器的 SGID。 该网关设备获得目的服务器的 SGID的方法， 也还可以是网关设备在接收到第一报 文后， 获取其中目的服务器的标识信息如 MAC地址， 并向该第一报文的出口网关也即 对端的网关设备请求获得该目的服务器的 SGID等等。 步骤 202， 网关设备对源服务器的 SGID和目的服务器的 SGID进行互通校验。 网关设备在获得源服务器的 SGID和目的服务器的 SGID后， 根据互通规则进行互 通校验。该校验过程与前述实施例中网关设备对源服务器的 SGID和目的服务器的 SGID 进行互通校验的过程类似。 在上述互通校验通过后， 网关设备再执行上述步骤 103， 由网关设备在第一报文中 添加源服务器的 SGID， 获得第二报文。 若校验不通过， 则网关设备可以不执行后续动 作， 而直接丢弃第一报文， 终止源、 目的服务器之间的通信。 若互通校验通过， 网关设备执行上述步骤 103~104， 网关设备接收第二报文后可以 不再执行 SGID校验， 也可重复执行 SGID校验， 虽然因为在网关设备处理中已经执行 了 SGID的校验， 但是考虑到校验的严格以及临时的生成变更， 对端的网关设备可以重 复执行一次 SGID的校验动作。 本发明实施例对网络设备的改动很小， 易于实现。 而且， 在网关设备处增加校验过 程， 可以对禁止互通的服务器之间的报文直接进行处理， 如丢弃， 而无需传输至对端网 关设备后再进行处理， 因此， 本实施例方法相比较前述实施例方法可以减少禁止互通的 服务器间的报文对网络带宽的占用， 减少了网络带宽的额外消耗。 在本发明的另一实施例中，在网关设备根据本地存储的分组标识配置表获取所述源 服务器的服务器分组标识之前， 如图 3所示， 该方法还可以包括： 步骤 301， 网关设备对本地同一租户内的服务器进行分组。 步骤 302， 网关设备为所述分组分配标识， 生成分组标识配置表。 具体的， 各网关设备可以约定把同一租户内的服务器分为三类： 公共服务器、 团体 务器、 隔离服务器， 并约定互通规则， 该互通规则表明了哪些服务器之间可以通信， 些服务器之间不能通信。 如下面表格所示：

若基于本实现例中报文封装格式的定义， SGID可以占用 8个 bit， 共 256个取值。 公共服务器的 SGID为 0， 隔离服务器的 SGID为 255， 各自只占用一个 ID。 团体服务 器的 SGID取值为 1〜254， 占用 254个 ID。 BP : —个租户可以把自己的服务器分成一 组公共服务器、 一组隔离服务器、 多组团体服务器。 对于不支持服务器分组的 VNI或 VSID， SGID字段取值可以 0， 即允许所有服务器 互通。 如果 VNI或 VSID内某些服务器没有生成 SGID， 则这些服务器的 SGID取值也可 以为 0， 允许和其他所有服务器互通。 在上述实施例中， 网关设备在获得源服务器的 SGID和目的服务器的 SGID后， 根 据两 SGID及上表格中的互通规则进行互通校验， 例如， 若源服务器的 SGID为 0， 目 的服务器的 SGID为 0~255中任意值， 则源、 目的服务器之间可以互通； 若源服务器的 SGID为 1~254中任意值， 则当目的服务器为 0或与源服务器的 SGID值相同时， 源、 目的服务器之间可以互通， 否则禁止互通； 若源服务器的 SGID为 255时， 当目的服务 器至 0时， 源、 目的服务器之间可以互通， 否则禁止互通。 在具体实现时， 可以在网关设备的转发流程中添加对服务器分组的匹配校验机制。 SGID的匹配校验算法的逻辑判断如下：

IF (源 SGID == 0 || 宿 SGID == 0 ) /* 源宿存在公共服务器 */ 允许互通 ELSE IF (源 SGID == 255 || 宿 SGID == 255) /* 非公共服务器，并且存在隔离服务 器 */ 禁止互通

ELSE IF (源 SGID ==宿 SGID ) /* 源宿属于同一个团体服务器分组 */ 允许互通 ELSE /* 源宿都属于团体服务器分组， 但是不属于同一个分组 */ 禁止互通 在本发明的另一实施例中， 网关设备对本地同一租户内的服务器进行分组的方法可 以有以下几种： 方式一， 网关设备基于网关设备的端口对本地同一租户内的服务器进行分组。 如图 4所示为典型的 VXLAN/NVGRE的网络拓扑架构。 其中， Server 1 (虚拟化服 务器）和 Server 2(非虚拟化服务器）不支持 VXLAN/NVGRE,需要通过 VXLAN/NVGRE 网关设备 Switch (交换机） 1 接入到 VXLAN/NVGRE 网络中； Server 3〜5 支持 VXLAN/NVGRE, 服务器内部的 Hypervisor (；虚拟化平台）作为 VXLAN/NVGRE网关， 把服务器内的各个 VM (虚拟机） 接入到 VXLAN/NVGRE 网络中； 对于不支持 VXLAN/NVGRE的传统 ETH网络 （图中右上角的网络）， 也需要通过 Switch 1接入到 VXLAN/NVGRE网络中。 网关设备在基于网关设备的端口 （物理端口或虚拟端口）为本地同一租户内的服务 器分组时， Server 3〜5内的 VM， 禾 B Hypervisor通过 VIF (虚拟接口） 互联， 此时可以 基于 VIF来对各个 VM分组并分配 SGID。Server 2以物理服务器的形态直接接入 Switch 1， 可以基于该物理端口为 Server 2进行分组并分配 SGID。 方式二， 网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组。 基于服务器的 MAC地址来分组并分配 SGID， 适用于图 4所示拓扑图中所有的服 务器 （包括物理服务器、 虚拟机）。 方式三，网关设备基于服务器报文中携带的 CVLAN-ID ( Customer VLAN Identifier, 用户端虚拟局域网标识）为本地同一租户内的服务器进行分组，并分配服务器分组标识， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 该方式适用于接入 VXLAN/NVGRE 网络的用户报文携带 CVLAN, 并且 CVLAN 已经定义了服务器分组情况的场景。 比如， 对于拓扑图中的 ETH Network和 Server 1内 的各个终端， 如果在接入 VXLAN/NVGRE 网络之前已经部署了服务器分组， 并使用 CVLAN对各个服务器分组做了标识， 那么在 VXLAN/NVGRE网关上， 可以基于用户 报文携带的 CVLAN-ID来分配 SGID， 每个 CVLAN-ID分配一个 SGID。 网关设备为本地服务器分配的 SGID信息， 可以存储在转发表 （如： 端口表） 中， 以便报文转发处理的过程中， 可以获取该信息。 在本发明的另一实施例中， 网关设备在第一报文中添加源服务器的 SGID时， 可以 对现有技术中的报文格式进行扩展。 对于 VXLAN/NVGRE报文可以不用新增加字段， 而是直接利用标准 VXLAN/NVGRE报文中的预留字段或未定义明确用途的字段。 所述 网关设备在所述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文， 可以 包括： 对于 NVGRE报文中 GRE Hearder的格式， 如图 5所示， 在标准定义中， FlowID字 段属于可选字段， 只用来进一步标识每个 flow, 没有定义具体的使用要求， 可以借用该 字段， 来携带 SGID。 如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文，所述网关 设备在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分组标识， 获得所述第二报文。 如图 6所示， 也可以使用 ReservedO的后 8个 bit来携带 SGID。 对于 VXLAN报文中 VXLAN Header的格式， 如图 7所示， 可以借用最后的一个字 节 Reserved字段， 用来携带 SGID。 如果所述第一报文为虚拟可扩展局域网协议报文，所述网关设备在所述第一报文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标识， 获得所述第二报 文。 如图 8所示， 可以使用 VNI前面的 Reserved字段的第一个字节来携带 SGID。 SGID可以占用 8个 bit， 取值范围是 0〜255。 当然， 在具体实现时， 可以基于设备 能力、 分组规模等需求， 定义 SGID占用的 bit数， 本发明并不限定必须使用 8个 bit作 为 SGID。 参见图 9， 为本发明实施例另一种同一租户内服务器间的通信控制方法流程图。 本发明实施例与前述实施例的区别在于： 互通校验只在发送上述第二报文的网关设 备中进行， 而不在接收上述第二报文的网关设备中进行。 该方法可以包括： 步骤 901， 网关设备接收源服务器发送的报文。 步骤 902， 网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分 组标识， 并获取所述报文的目的服务器的服务器分组标识， 所述服务器分组标识用于表 明服务器所属的分组， 属于不同分组的服务器不能互通。 本步骤中， 网关设备可以在本地查找预先为源服务器生成的 SGID。 该网关设备获 得报文的目的服务器的 SGID具体可以与前述实施例中的步骤 201类似，此处不再赘述。 步骤 903， 网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验。 该检验过程具体可以与前述实施例中的校验过程类似。 步骤 904， 网关设备在上述互通校验通过后发送所述报文。 在互通校验通过后， 网关设备不在报文中添加源服务器的 SGID， 而直接按照现有 流程转发该报文。 由于该报文中没有添加源服务器的 SGID， 收到该报文的网关设备不 需要对该报文进行互通校验。 本发明实施例在接入网关设备处设置校验过程，可以对禁止互通的服务器之间的报 文直接进行处理， 如丢弃， 而无需传输至网关设备后再进行处理， 本实施例方法可以减 少禁止互通的服务器间的报文对网络带宽的占用， 减少了网络带宽的额外消耗。 在本发明的另一实施例中，在所述网关设备根据本地存储的分组标识配置表获取所 述源服务器的服务器分组标识之前， 所述方法还包括： 所述网关设备对本地同一租户内的服务器进行分组； 所述网关设备为所述分组分配标识， 生成所述分组标识配置表。 网关设备对本地同一租户内的服务器进行分组包括： 网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或者， 基 于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基于服务器报文中 携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 参见图 10， 为本发明实施例另一种同一租户内服务器间的通信控制方法流程图。 本发明实施例与图 1所示实施例的区别在于，本实施例以对端网关设备也即接收第 二报文的网关设备作为执行主体进行描述。 该方法可以包括： 步骤, 1001， 网关设备接收报文。 该网关设备接收网络侧发送的报文， 具体可以是其他网关设备转发的报文。 步骤 1002，网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标 识。 如果报文中携带了源服务器的 SGID， 则网关设备执行步骤 1003， 否则就直接转发 该报文。 步骤 1003， 网关设备获取所述报文中的所述源服务器的服务器分组标识，并根据本 地存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识，所述服务器分 组标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通。 该网关设备获取报文中的源服务器的 SGID， 并进一步在分组标识配置表中查找获 得该报文的目的服务器的 SGID。 步骤 1004，网关设备对源服务器的服务器分组标识和目的服务器的服务器分组标识 进行互通校验。 该互通校验过程与前述实施例的步骤 202中网关设备对源服务器的服务器分组标识 和目的服务器的服务器分组标识进行互通校验的过程类似， 此处不再赘述。 步骤 1005， 网关设备在上述互通校验通过后向目的服务器发送该报文。 在互通校验通过后， 网关设备按照现有流程向目的服务器转发该报文。 本发明实施例通过网关设备生成各服务器的 SGID， 然后在服务器间进行通信时通 过对服务器的 SGID进行互通检验， 并根据校验结果决定是否允许服务器间的互通， 实 现了同一个 VNI或 VSID内的服务器间的互通或隔离控制。 在本发明的另一实施例中，在所述网关设备根据本地存储的分组标识配置表获取所 述报文的目的服务器的服务器分组标识之前， 所述方法还包括： 网关设备对本地同一租户内的服务器进行分组； 网关设备为所述分组分配标识， 生成所述分组标识配置表。 网关设备对本地同一租户内的服务器进行分组， 包括： 网关设备基于所述网关设备的端口为对本地同一租户内的服务器进行分组； 或者， 基于服务器的 MAC地址为对本地同一租户内的服务器进行分组； 或者， 基于服务器报 文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 本发明实施例中， 该服务器可以是物理服务器也可以是虚拟机等， 本发明方法可以 应用于 VXLAN/NVGRE的网络架构。 以上是对本发明方法实施例的描述， 下面对实现上述方法的装置进行介绍。 参见图 11， 为本发明实施例一种网关设备的结构示意图。 该网关设备 1100可以包括： 接收单元 1101， 用于接收源服务器发送的第一报文。 存储单元 1102， 用于存储分组标识配置表。 第一获取单元 1103， 用于根据所述存储单元 1102存储的分组标识配置表获取所述 源服务器的服务器分组标识， 所述服务器分组标识用于表明服务器所属的分组， 属于不 同分组的服务器不能互通。 报文生成单元 1104， 用于在所述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文。 发送单元 1105， 用于发送所述第二报文。 另一网关设备在接收到所述第二报文后， 获取所述第二报文的目的服务器的服务器 分组标识， 并对所述第二报文中所述源服务器的服务器分组标识和所述目的服务器的服 务器分组标识进行互通校验， 在校验通过后再向所述目的服务器转发所述第二报文。 本发明实施例中该网关设备通过上述单元生成各服务器的 SGID， 并将服务器的

SGID添加至报文中， 以便于在服务器间进行通信时通过对服务器的 SGID进行互通检 验， 并根据校验结果决定是否允许服务器间的互通， 实现了同一个 VNI或 VSID内的 服务器间的互通或隔离控制。 在本发明的另一实施例中， 如图 12所示， 该网关设备 1200还可以包括： 第二获取单元 1201， 用于在报文生成单元 1104在所述第一报文中添加所述源服务 器的服务器分组标识， 获得第二报文之前， 获得所述第一报文的目的服务器的服务器分 组标识； 校验单元 1202，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验， 在校验通过后再由所述报文生成单元 1104在所述第一报文中 添加所述源服务器的服务器分组标识， 获得第二报文。 在本发明的另一实施例中， 该网关设备也还可以包括： 分组单元，用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取 所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 该分组单元， 具体用于基于所述网关设备的端口为对本地同一租户内的服务器进行 分组； 或者， 基于服务器的 MAC地址为对本地同一租户内的服务器进行分组； 或者， 基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务 器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 在本发明的另一实施例中， 报文生成单元， 具体可以用于对于虚拟可扩展局域网协 议，在所述第一报文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标 识； 对于使用通用路由封装技术实现二层网络虚拟化的协议， 在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分组标识。 参见图 13， 为本发明实施例另一种网关设备的结构示意图。 该网关设备 1300可以包括： 接收单元 1301， 用于接收源服务器发送的报文。 存储单元 1302， 用于存储分组标识配置表。 标识获取单元 1303， 用于根据所述存储单元 1302存储的分组标识配置表获取所述 源服务器的服务器分组标识， 并获得所述报文的目的服务器的服务器分组标识， 所述服 务器分组标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通。 校验单元 1304，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验。 发送单元 1305， 用于在互通校验通过后发送所述报文。 本发明实施例中该网关设备通过上述单元在接收到用户侧报文时设置校验过程，可 以对禁止互通的服务器之间的报文直接进行处理， 如丢弃， 而无需传输至对端网关设备 后再进行处理， 本实施例可以减少禁止互通的服务器间的报文对网络带宽的占用， 减少 了网络带宽的额外消耗。 在本发明的另一实施例中， 该网关设备还可以进一步还包括： 分组单元，用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取 所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 所述分组单元， 具体用于基于所述网关设备的端口对本地同一租户内的服务器进行 分组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基 于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器 进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 参见图 14， 为本发明实施例另一种网关设备的结构示意图。 该网关设备 1400可以包括： 存储单元 1401， 用于存储分组标识配置表。 接收单元 1402， 用于接收报文。 确定单元 1403，用于确定所述报文中是否携带所述报文的源服务器的服务器分组标 识，所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通。 标识获取单元 1404， 用于当所述确定单元 1403确定所述报文中携带所述报文的源 服务器的服务器分组标识时， 获取所述报文中的所述源服务器的服务器分组标识， 并根 据所述存储单元 1401存储的分组标识配置表获取所述报文的目的服务器的服务器分组 标识。 校验单元 1405，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器 分组标识进行互通校验。 发送单元 1406， 用于在上述互通校验通过后向所述目的服务器发送所述报文。 本发明实施例中该网关设备通过上述单元生成各服务器的 SGID， 在服务器间进行 通信时通过对服务器的 SGID进行互通检验， 并根据校验结果决定是否允许服务器间的 互通， 实现了同一个 VNI或 VSID内的服务器间的互通或隔离控制。 在本发明的另一实施例中， 该网关设备还可以包括： 分组单元，用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取 所述报文的目的服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。 所述分组单元， 具体用于基于所述网关设备的端口对本地同一租户内的服务器进行 分组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基 于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器 进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。 在本发明的另一网关设备中， 还可以同时包含图 11 (或图 13 ) 所示的各单元以及 图 14中所示的接收单元 1402、 确定单元 1403、 标识获取单元 1404、 校验单元 1405、 发送单元 1406。 本发明实施例还提供了另一种网关设备。 该网关设备可以包括收发装置、 存储器和 处理器。 所述收发装置， 用于接收源服务器发送的第一报文； 发送第二报文。 所述存储器用于存储一段程序， 所述处理器用于读取所述存储器中的程序， 执行以 下步骤： 根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识，所述服务器 分组标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通； 在所述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文， 将所述第 二报文发送给所述收发装置。 本发明实施例还提供了另一种网关设备。 该网关设备可以包括收发装置、 存储器和 处理器， 所述收发装置， 用于接收源服务器发送的报文； 在互通校验通过后发送所述报文； 所述存储器用于存储一段程序， 所述处理器用于读取所述存储器中的程序， 执行以 下步骤： 根据本地存储的分组标识配置表获取所述源服务器的服务器分组标识， 并获取所述 报文的目的服务器的服务器分组标识， 所述服务器分组标识用于表明服务器所属的分 组， 属于不同分组的服务器不能互通； 对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通 校验， 并在互通校验通过后将所述报文发送给所述收发装置。 本发明实施例还提供了另一种网关设备。 该网关设备可以包括收发装置、 存储器和 处理器， 所述收发装置， 用于接收源服务器发送的报文； 在互通校验通过后向目的服务器发 送所述报文； 所述存储器用于存储一段程序， 所述处理器用于读取所述存储器中的程序， 执行以 下步骤： 确定所述报文中是否携带所述报文的源服务器的服务器分组标识，所述服务器分组 标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通； 当所述报文中携带所述报文的源服务器的服务器分组标识时， 获取所述报文中的所 述源服务器的服务器分组标识， 并根据本地存储的分组标识配置表获取所述报文的目的 服务器的服务器分组标识； 对所述源服务器的服务器分组标识和所述目的服务器的服务器分组标识进行互通 校验， 并在互通校验通过后向所述收发装置发送所述报文。 本领域普通技术人员可以意识到， 结合本文中所公开的实施例描述的各示例的单元 及算法步骤， 能够以电子硬件、 或者计算机软件和电子硬件的结合来实现。 这些功 能究竟以硬件还是软件方式来执行， 取决于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能， 但是这 种实现不应认为超出本发明的范围。 所属领域的技术人员可以清楚地了解到， 为描述的方便和简洁， 上述描述的系 统、 装置和单元的具体工作过程， 可以参考前述方法实施例中的对应过程， 在此不 再赘述。 在本申请所提供的几个实施例中， 应该理解到， 所揭露的系统、 装置和方法， 可以通过其它的方式实现。例如， 以上所描述的装置实施例仅仅是示意性的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实现时可以有另外的划分方式， 例如多个单元或组件可以结合或者可以集成到另一个系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是 通过一些接口， 装置或单元的间接耦合或通信连接， 可以是电性， 机械或其它的形 式。 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的， 作为单元 显示的部件可以是或者也可以不是物理单元， 即可以位于一个地方， 或者也可以分 布到多个网络单元上。 可以根据实际的需要选择其中的部分或者全部单元来实现本 实施例方案的目的。 另外， 在本发明各个实施例中的各功能单元可以集成在一个处理单元中， 也可 以是各个单元单独物理存在， 也可以两个或两个以上单元集成在一个单元中。 所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时， 可 以存储在一个计算机可读取存储介质中。 基于这样的理解， 本发明的技术方案本质 上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形 式体现出来， 该计算机软件产品存储在一个存储介质中， 包括若干指令用以使得一 台计算机设备（可以是个人计算机，服务器，或者网络设备等）或处理器（processor) 执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、 移动硬盘、只读存储器（ROM， Read-Only Memory ) 随机存取存储器（RAM， Random Access Memory) , 磁碟或者光盘等各种可以存储程序代码的介质。 以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到变化或替 换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应所述以权利要 求的保护范围为准。

Claims

权利要求

1、 一种同一租户内服务器间的通信控制方法， 其特征在于， 所述方法包括： 网关设备接收源服务器发送的第一报文；

所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标 识；所述服务器分组标识用于表明服务器所属的分组，属于不同分组的服务器不能互通; 所述网关设备在所述第一报文中添加所述源服务器的服务器分组标识，获得第二报 文；

所述网关设备发送所述第二报文。

2、 根据权利要求 1所述的方法， 其特征在于， 在所述网关设备在所述第一报文中 添加所述源服务器的服务器分组标识， 获得第二报文之前， 还包括：

所述网关设备获取所述第一报文的目的服务器的服务器分组标识；

所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验，在校验通过后所述网关设备在所述第一报文中添加所述源服务器的 服务器分组标识， 获得所述第二报文。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 在所述网关设备根据本地存储 的分组标识配置表获取所述源服务器的服务器分组标识之前， 所述方法还包括：

所述网关设备对本地同一租户内的服务器进行分组；

所述网关设备为所述分组分配标识， 生成所述分组标识配置表。

4、 根据权利要求 3所述的方法， 其特征在于， 所述网关设备对本地同一租户内的 服务器进行分组包括：

所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或 者，

所述网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组;或者， 所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID 为对本 地同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。

5、 根据权利要求 1至 4中任意一项所述的方法， 其特征在于， 所述网关设备在所 述第一报文中添加所述源服务器的服务器分组标识， 获得第二报文， 包括：

如果所述第一报文为虚拟可扩展局域网协议报文，所述网关设备在所述第一报文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标识， 获得所述第二报 文； 或，

如果所述报文为使用通用路由封装技术实现二层网络虚拟化的协议报文，所述网关 设备在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分组标识， 获得所述第二报文。

6、 一种同一租户内服务器间的通信控制方法， 其特征在于， 所述方法包括： 所述网关设备接收源服务器发送的报文；

所述网关设备根据本地存储的分组标识配置表获取所述源服务器的服务器分组标 识， 并获取所述报文的目的服务器的服务器分组标识， 所述服务器分组标识用于表明服 务器所属的分组， 属于不同分组的服务器不能互通；

所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验；

所述网关设备在所述互通校验通过后发送所述报文。

7、 根据权利要求 6所述的方法， 其特征在于， 在所述网关设备根据本地存储的分 组标识配置表获取所述源服务器的服务器分组标识之前， 所述方法还包括：

所述网关设备对本地同一租户内的服务器进行分组；

所述网关设备为所述分组分配标识， 生成所述分组标识配置表。

8、 根据权利要求 7所述的方法， 其特征在于， 所述网关设备对本地同一租户内的 服务器进行分组包括：

所述网关设备基于所述网关设备的端口对本地同一租户内的服务器进行分组； 或 者，

所述网关设备基于服务器的 MAC地址对本地同一租户内的服务器进行分组;或者， 所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地 同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。

9、 一种同一租户内服务器间的通信控制方法， 其特征在于， 所述方法包括： 网关设备接收报文；

所述网关设备确定所述报文中是否携带所述报文的源服务器的服务器分组标识； 当所述报文中携带所述报文的源服务器的服务器分组标识时，所述网关设备获取所 述报文中的所述源服务器的服务器分组标识， 并根据本地存储的分组标识配置表获取所 述报文的目的服务器的服务器分组标识，所述服务器分组标识用于表明服务器所属的分 组， 属于不同分组的服务器不能互通； 所述网关设备对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验；

所述网关设备在所述互通校验通过后向所述目的服务器发送所述报文。

10、 根据权利要求 9所述的方法， 其特征在于， 在所述网关设备根据本地存储的分 组标识配置表获取所述报文的目的服务器的服务器分组标识之前， 所述方法还包括： 所述网关设备对本地同一租户内的服务器进行分组；

所述网关设备为所述分组分配标识， 生成所述分组标识配置表。

11、 根据权利要求 10所述的方法， 其特征在于， 所述网关设备对本地同一租户内 的服务器进行分组， 包括：

所述网关设备基于所述网关设备的端口为对本地同一租户内的服务器进行分组；或 者，

所述网关设备基于服务器的 MAC地址为对本地同一租户内的服务器进行分组； 或 者，

所述网关设备基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地 同一租户内的服务器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。

12、 一种网关设备， 其特征在于， 包括：

接收单元， 用于接收源服务器发送的第一报文；

存储单元， 用于存储分组标识配置表；

第一获取单元，用于根据所述存储单元存储的分组标识配置表获取所述源服务器的 服务器分组标识， 所述服务器分组标识用于表明服务器所属的分组， 属于不同分组的服 务器不能互通；

报文生成单元， 用于在所述第一报文中添加所述源服务器的服务器分组标识， 获得 第二报文；

发送单元， 用于发送所述第二报文。

13、 根据权利要求 12所述的网关设备， 其特征在于， 还包括：

第二获取单元，用于在所述报文生成单元在所述第一报文中添加所述源服务器的服 务器分组标识，获得第二报文之前，获得所述第一报文的目的服务器的服务器分组标识; 校验单元，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验，在校验通过后再由所述报文生成单元在所述第一报文中添加所述源 服务器的服务器分组标识， 获得第二报文。

14、 根据权利要求 12或 13所述的网关设备， 其特征在于， 还包括： 分组单元，用于在所述第一获取单元根据所述存储单元存储的分组标识配置表获取 所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组；

标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。

15、 根据权利要求 14所述的网关设备， 其特征在于，

所述分组单元，具体用于基于所述网关设备的端口为对本地同一租户内的服务器进 行分组； 或者， 基于服务器的 MAC地址为对本地同一租户内的服务器进行分组； 或者， 基于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务 器进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。

16、 根据权利要求 12至 15中任意一项所述的网关设备， 其特征在于，

所述报文生成单元， 具体用于当所述第一报文为虚拟可扩展局域网协议报文时， 在 所述第一报文的 Reserved字段的第一个字节中添加所述源服务器的服务器分组标识，获 得所述第二报文； 或， 当所述第一报文为使用通用路由封装技术实现二层网络虚拟化的 协议报文时，在所述第一报文的 ReservedO的后 8个 bit中添加所述源服务器的服务器分 组标识， 获得所述第二报文。

17、 一种网关设备， 其特征在于， 包括：

接收单元， 用于接收源服务器发送的报文；

存储单元， 用于存储分组标识配置表；

标识获取单元，用于根据所述存储单元存储的分组标识配置表获取所述源服务器的 服务器分组标识， 并获取所述报文的目的服务器的服务器分组标识， 所述服务器分组标 识用于表明服务器所属的分组， 属于不同分组的服务器不能互通；

校验单元，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验；

发送单元， 用于在互通校验通过后发送所述报文。

18、 根据权利要求 17所述的网关设备， 其特征在于， 还包括：

分组单元，用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取 所述源服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组；

标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。

19、 根据权利要求 18所述的网关设备， 其特征在于，

所述分组单元，具体用于基于所述网关设备的端口对本地同一租户内的服务器进行 分组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基 于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器 进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。

20、 一种网关设备， 其特征在于， 包括：

存储单元， 用于存储分组标识配置表；

接收单元， 用于接收报文；

确定单元， 用于确定所述报文中是否携带所述报文的源服务器的服务器分组标识， 所述服务器分组标识用于表明服务器所属的分组， 属于不同分组的服务器不能互通； 标识获取单元，用于当所述确定单元确定所述报文中携带所述报文的源服务器的服 务器分组标识时， 获取所述报文中的所述源服务器的服务器分组标识， 并根据所述存储 单元存储的分组标识配置表获取所述报文的目的服务器的服务器分组标识；

校验单元，用于对所述源服务器的服务器分组标识和所述目的服务器的服务器分组 标识进行互通校验；

发送单元， 用于在所述互通校验通过后向所述目的服务器发送所述报文。

21、 根据权利要求 20所述的网关设备， 其特征在于， 还包括：

分组单元，用于在所述标识获取单元根据所述存储单元存储的分组标识配置表获取 所述报文的目的服务器的服务器分组标识之前， 对本地同一租户内的服务器进行分组； 标识生成单元， 用于为所述分组分配标识， 生成所述分组标识配置表。

22、 根据权利要求 21所述的网关设备， 其特征在于，

所述分组单元，具体用于基于所述网关设备的端口对本地同一租户内的服务器进行 分组； 或者， 基于服务器的 MAC地址对本地同一租户内的服务器进行分组； 或者， 基 于服务器报文中携带的用户端虚拟局域网标识 CVLAN-ID对本地同一租户内的服务器 进行分组， 其中， 不同的服务器分组具有不同的 CVLAN-ID。