WO2015123987A1

WO2015123987A1 - 报文转发方法和装置

Info

Publication number: WO2015123987A1
Application number: PCT/CN2014/086173
Authority: WO
Inventors: 郝卫国; 厉益舟; 倪辉; 黄世碧
Original assignee: 华为技术有限公司
Priority date: 2014-02-20
Filing date: 2014-09-10
Publication date: 2015-08-27
Also published as: CN104869042A; EP3099022A1; CN104869042B; US20160359745A1; EP3099022A4; EP3099022B1; US10110490B2

Abstract

本发明实施例提供一种报文转发方法和装置，所述报文转发方法包括：第一NVE接收第一TES发送的第一报文，第一报文的目的IP地址为第二TES的IP地址，第一报文的目的MAC地址为第一NVE对应的网关MAC地址，第一TES和第二TES属于相同的三层VPN；第一NVE根据接收第一报文的端口信息和第一报文中的至少一个获取第一TES的接入VN ID，并获取第一TES的三层VPN实例标识；第一NVE对第一报文进行二层终结，并查找第一TES的三层VPN实例标识对应的路由转发表，得到对应第二TES的IP地址的表项，根据所述表项将第一报文封装为NVO3报文；第一NVE通过三层将所述NVO3报文转发至第二NVE，第二TES接入第二NVE。

Description

报文转发方法和装置本申请要求于 2014年 2月 20日提交中国专利局、申请号为 201410058013.4、发明名称为 "报文转发方法和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明实施例涉及网络技术，尤其涉及一种 NV03网络中的报文转发方法和装置。背景技术

基于三层网络的网络虚拟化（英文： Network Virtualization Overlays, 缩写： NV03 ) 是一种实现网络虚拟化的技术，通过 NV03技术可以将一个物理网络进行虚拟化，使一个物理网络可以由不同的租户共同使用，每个租户之间的数据流量相互隔离，不同租户使用的虚拟网络中的网络协议（英文： Internet Protocol, 缩写： IP) 可以相同，这样相当于每个租户独立使用该物理网络。

在使用 NV03技术的网络中，每个租户一般包括一个或多个虚拟网络，每个虚拟网络内的租户终端系统（英文： tenant end system, 缩写： TES)之间能够通过 NV03网络实现二层（数据链路层）互通，不同虚拟网络内的 TES之间通过三层（网络层）互通。网络虚拟边缘（英文： network virtualization edge, 缩写： NVE) 是 NV03网络的虚拟网络边缘设备，负责每个虚拟网络内不同 TES之间的流量转发、 NV03 隧道封装和解封装等处理。

目前对于 NV03网络中跨子网的三层数据流量而言，一般都需要通过集中式的三层网关进行转发，但跨子网的三层数据流量都通过集中式的三层网关转发，会导致三层数据流量的转发路径产生迂回，并且容易在集中式的三层网关处形成转发瓶颈，从而影响报文转发的效率。发明内容

本发明提供一种报文转发方法和装置，用于提高报文转发效率。

第一方面提供一种报文转发方法，包括：

第一 NVE接收第一 TES发送的第一报文，所述第一报文的目的 IP地址为第二 TES 的 IP地址，所述第一报文的目的 MAC地址为所述第一 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES属于相同的三层 VPN;

所述第一 NVE根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入 VN ID, 并根据所述第一 TES的接入 VN ID获取所述第一 TES 的三层 VPN实例标识；

所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP 地址的表项，根据所述表项将所述第一报文封装为 NV03报文；

所述第一 NVE通过三层网络将所述 NV03报文转发至第二 NVE，所述第二 TES 接入所述第二 NVE。

在第一方面第一种可能的实现方式中，所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，根据所述表项将所述第一报文封装为所述 NV03报文，包括：

所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP 地址的表项，所述表项包括所述第二 TES的 IP地址、所述第二 TES所在的第二 NVE 的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID;

所述第一 NVE根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文。

结合第一方面第一种可能的实现方式，在第二种可能的实现方式中，所述第一 NVE 根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES 的接入 VN ID, 并根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识，包括：

所述第一 NVE根据接收所述第一报文的端口信息、所述第一报文中的二层 VLAN 标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID，并获取与所述第一 TES的接入 VN ID对应的三层 VPN实例标识。

结合第一方面第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述第一 NVE根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03 报文，包括：

所述第一 NVE将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC地址，得到替换后的第一报文；

所述第一 NVE为所述替换后的第一报文封装 NV03头，生成所述 NV03报文，所述 NV03头中的目的 IP地址为所述第二 NVE的 IP地址，源 IP地址为所述第一 NVE 的 IP地址，所述 NV03头中的 VN ID为所述第二 TES的三层 VPN实例标识对应的全局 VN ID。

结合第一方面至第一方面第三种可能的实现方式中任一种可能的实现方式，在第四种可能的实现方式中，所述第一 NVE接收第一 TES发送的第一报文之前，所述方法还包括：

所述第一 NVE在本地生成接入 VN ID与三层 VPN实例标识的对应关系表；所述根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识包括：

所述第一 NVE根据所述第一 TES的接入 VN ID查找所述接入 VN ID与三层 VPN 实例标识的对应关系表，得到所述第一 TES的三层 VPN实例标识。

结合第一方面的第四种可能的实现方式，在第五种可能的实现方式中，所述方法还包括：

所述第一 NVE在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述三层 VPN实例标识与全局 VN ID的对应关系表用于使所述第一 NVE在接收到网络中其他 NVE发送的 NV03报文时，根据所述三层 VPN实例标识与全局 VN ID的对应关系表查找对应的三层 VPN实例标识；

所述第一 NVE通过地址解析协议 ARP以及外部路由协议为本地的每个三层 VPN 实例标识生成对应的路由转发表；

所述第一 NVE将所述第一 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表。第二方面提供一种报文转发方法，包括：

第二 NVE接收第一 NVE发送的 NV03报文，所述 NV03报文为所述第一 NVE对第一 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的 IP地址为第二 TES的 IP地址；

当所述 NV03报文的隧道头部的目的 IP地址为所述第二 NVE的 IP地址时，所述第二 NVE将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述第一 NVE将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC 地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC地址后得到的；

所述第二 NVE对所述解封装后的报文进行二层终结；

所述第二 NVE根据所述 NV03报文的隧道头部的全局 VN ID获取所述全局 VN ID 对应的三层 VPN实例标识；

所述第二 NVE根据所述三层 VPN实例标识以及所述第二 TES的 IP地址查找路由转发表，将所述解封装后的报文转发至所述第二 TES。

在第二方面第一种可能的实现方式中，所述第二 NVE接收第一 NVE发送的 NV03 报文之前，所述方法还包括：

所述第二 NVE在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述获取所述全局 VN ID对应的三层 VPN实例标识包括：

所述第二 NVE根据所述全局 VN ID查找所述三层 VPN实例标识与全局 VN ID的对应关系表，得到所述全局 VN ID对应的三层 VPN实例标识。

结合所述第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：

所述第二 NVE在本地生成接入 VN ID与三层 VPN实例标识的对应关系表，所述接入 VN ID与三层 VPN实例标识的对应关系表用于使所述第二 NVE根据所述 TES的接入 VN ID查找到对应的三层 VPN实例标识；

所述第二 NVE通过地址解析协议 ARP以及外部路由协议为本地的每个三层 VPN 实例标识生成对应的路由转发表；

所述第二 NVE将所述第二 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收网络中其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其他 NVE设备本地本每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例与全局 VN ID的对应关系表。

第三方面提供一种报文转发装置，包括：

接收模块，用于接收第一 TES发送的第一报文，所述第一报文的目的 IP地址为第二 TES的 IP地址，所述第一报文的 MAC地址为第一网络虚拟边缘 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES属于相同的三层 VPN;

第一获取模块，用于根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入 VN ID;

第二获取模块，用于根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN 实例标识；

封装模块，用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP 地址的表项，根据所述表项将所述第一报文封装为 NV03报文；

发送模块，用于通过三层网络将所述 NV03报文转发至第二 NVE，所述第二 TES 接入所述第二 NVE。

在第三方面第一种可能的实现方式中，所述封装模块具体用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，所述表项包括所述第二 TES 的 IP地址、所述第二 TES所在的第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC 地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID; 根据所述第二 NVE 的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文。

结合第三方面第一种可能的实现方式，在第二种可能的实现方式中，所述第一获取模块，具体用于根据接收所述第一报文的端口信息、所述第一报文中的二层 VLAN标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID。

结合第三方面第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述封装模块具体用于将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述 NVE对应的网关 MAC地址，得到替换后的第一报文；为所述替换后的第一报文封装 NV03头，生成所述 NV03报文，所述 NV03头中的目的 IP地址为所述第二 NVE的 IP地址，源 IP地址为所述 NVE 的 IP地址，所述 NV03头中的 VN ID为所述第二 TES的三层 VPN实例标识对应的全局 VN ID。

结合第三方面至第三方面第三种可能的实现方式中任一种可能的实现方式，在第四种可能的实现方式中，所述装置还包括：

设置模块，用于在本地生成接入 VN ID与三层 VPN实例标识的对应关系表；所述第二获取模块具体用于根据所述第一 TES的接入 VN ID查找所述接入 VN ID 与三层 VPN实例标识的对应关系表，得到所述第一 TES的三层 VPN实例标识。

结合第三方面的第四种可能的实现方式，在第五种可能的实现方式中，所述装置还包括生成模块和同步模块；

所述设置模块，还用于在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述三层 VPN实例标识与全局 VN ID的对应关系表用于使所述 NVE在接收到网络中其他 NVE发送的 NV03报文时，根据所述三层 VPN实例标识与全局 VN ID的对应关系表查找对应的三层 VPN实例标识；

所述生成模块，用于通过地址解析协议 ARP 以及外部路由协议为本地的每个三层 VPN实例标识生成对应的路由转发表；

所述同步模块，用于将所述第一 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN 实例标识与全局 VN ID的对应关系表。

第四方面提供一种报文转发装置，所述报文转发装置为网络虚拟边缘 NVE，包括：接收模块，用于接收另一 NVE发送的 NV03报文，所述 NV03报文为所述另一 NVE对第一 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的 IP地址为第二 TES的 IP地址；

解封装模块，用于当所述 NV03报文的隧道头部的目的 IP地址为所述 NVE的 IP 地址时，将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述另一 NVE将所述第一报文的目的 MAC地址替换为所述 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC地址后得到的；终结模块，用于对所述解封装后的报文进行二层终结；

获取模块，用于根据所述 NV03报文的隧道头部的全局 VN ID获取所述全局 VN ID 对应的三层 VPN实例标识；

转发模块，用于根据所述三层 VPN实例标识以及所述第二 TES的 IP地址查找路由转发表，将所述解封装后的报文转发至所述第二 TES。

在第四方面第一种可能的实现方式中，所述装置还包括：

设置模块，用于在本地生成三层 VPN实例标识与全局 VN ID的对应关系表；所述获取模块具体用于根据所述全局 VN ID查找所述三层 VPN实例标识与全局 VN ID的对应关系表，得到所述全局 VN ID对应的三层 VPN实例标识。

结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述装置还包括生成模块和同步模块；

所述设置模块还用于在本地生成接入 VN ID与三层 VPN实例标识的对应关系表，所述接入 VN ID与三层 VPN实例标识的对应关系表用于使所述 NVE根据所述 TES的接入 VN ID查找到对应的三层 VPN实例标识；

所述同步模块，用于将所述 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID 的对应关系表发送给网络中的其它 NVE, 并接收网络中其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其他 NVE设备本地本每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例与全局 VN ID的对应关系表。

本发明实施例提供的报文转发方法和装置，在 NV03网络中，使每个 NVE作为本地连接的 TES的网关，在跨虚拟网络的 TES之间传输数据时，分别由 TES本地连接的 NVE作为网关，可以使跨虚拟网络的 TES之间的报文不需要通过集中式的三层网关转发，而是可以直接在 TES本地连接的 NVE之间传输，从而减少了数据流量的迂回，提高了报文转发效率。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。图 1为 NV03网络架构示意图；

图 2为 NV03网络中的二层报文转发流程示意图；

图 3为 NVE上设置的对应关系示意图；

图 4为本发明实施例提供的报文转发方法实施例一的流程图；

图 5为本发明实施例提供的报文转发方法实施例二的流程图；

图 6为本发明实施例提供的报文转发方法实施例一或二之前的预处理流程图；图 7为本发明实施例提供的报文转发方法实施例三的流程图；

图 8为本发明实施例提供的报文转发方法实施例三之前的预处理流程图；图 9为本发明实施例提供的报文转发装置实施例一的结构示意图；

图 10为本发明实施例提供的报文转发装置实施例二的结构示意图；

图 11为本发明实施例提供的报文转发装置实施例三的结构示意图；

图 12为本发明实施例提供的报文转发装置实施例四的结构示意图；

图 13为本发明实施例提供的报文转发装置实施例五的结构示意图；

图 14为本发明实施例提供的报文转发装置实施例六的结构示意图。具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在 NV03网络中，一般一个租户对应一个三层虚拟专用网络（英文： Virtual Private Network, 缩写： VPN) ，不同租户对应的三层 VPN在每个 NVE上通过虚拟路由转发表（英文： Virtual Routing and Forwarding, 缩写： VRF ) 进行隔离，一个 VPN可以包括多个虚拟网络（英文： Virtual Network, 缩写： VN) 。一个虚拟网络对应一个子网网段，通过 24bit的虚拟网络标识（英文： Virtual Network Identifer, 缩写： VN ID) 来识另 |J。

图 1为 NV03网络架构示意图，如图 1所示， NV03网络包括 NVE11、 NVE12 NVE13，TES14禾 P TES15接入 NVEl 1， TES16接入 NVE12, TES17接入 NVE13。NVE11、 NVE12和 NVE13之间通过三层网络连接， TES14和 TES15与 NVEl 1， TES16与 NVE12, 以及 TES17与 NVE13之间分别通过二层网络连接。需要说明的是， NV03网络中 NVE 与 TES的数量不以图 1中为限。

图 2为 NV03网络中的二层报文转发流程示意图，如图 2所示，假设 TES1和 TES2 属于同一个租户的同一个虚拟网络， TES1接入 NVE1， TES2接入 NVE2。 TES1与 TES2 之间的单播通信过程如下。

步骤 S201， NVE1接收到 TES1发送的单播报文，其中所述单播报文的目的介质访问控制（英文： Media Access Control, 缩写： MAC) 地址为 TES2的 MAC地址。

具体地，本步骤中，假设 NVE1已经在该 TES1所属的 VN内完成了 MAC地址的学习。由于 TES1接入 NVE1 , 因此 TES1发送的报文均会被 NVE1接收到。

步骤 S202， NVE1查找 MAC转发表，获知所述单播报文的目的 MAC地址对应的

TES2位于远端的 NVE2上。

步骤 S203， NVE1对所述单播报文进行 NV03封装，得到 NV03报文。

具体地，由于 TES1发送的单播报文是发送至连接远端 NVE2的 TES2的，但 TES1 发送至 NVE1 的报文是二层的报文，而 NVE1与 NVE2之间是通过三层网络连接的， NVE1无法将该二层报文直接传输至 NVE2,因此 NVE1需要将该单播报文封装成 NV03 报文再传输。

NV03 的典型封装包括虚拟扩展局域网（英文： Virtual extensible LANs, 缩写： VXLAN ) 和网络虚拟通用路由封装（英文： Network Virtualization Generic Routing Encapsulation, 英文： NVGRE) ，其中 VXLAN采用介质访问控制在用户数据包协议中 (英文： Media Access Control in User Datagram Protocol, 缩写： MAC-in-UDP) 封装方式， NVGRE采用介质访问控制在通用路由封装中（英文： Media Access Control in Generic Routing Encapsulation,缩写： MAC-in-GRE)封装方式，封装头里面都有 24bit的 VN ID。

步骤 S204， NVEl将所述 NV03报文发送至 NVE2。

步骤 S205， NVE2对所述 NV03报文进行解封装，得到所述单播报文，并获取所述单播报文的目的 MAC地址。

步骤 S206， NVE2通过根据所述单播报文的目的 MAC地址查找本地 MAC转发表将所述单播报文转发至 TES2。

图 2示出了 NV03网络中属于同一个虚拟网络的 TES之间的报文转发流程。但对于不属于同一个虚拟网络的 TES之间的报文转发，发送报文的 TES连接的 NVE都需要将报文发送至网络中的集中式三层网关，再由所述集中式的三层网关将所述报文转发至目的 TES所在的 NVE，这样的流量转发方式会导致流量转发路径有迂回，并且容易形成转发瓶颈。

基于上述问题，本发明实施例提供一种 NV03网络中的报文转发方法，使网络中的每个 NVE都能充当网关设备，对于跨虚拟网络的报文不需要都送到集中式的三层网关进行转发，从而对于跨虚拟网络的流量能够做到最优转发。

一个 NVE可能同时处于多个 VPN中，不同的 VPN在 NVE上通过 VRF进行隔离，将一个 NVE中通过 VRF隔离的每个 VPN称为该 NVE中的一个三层 VPN实例，每个三层 VPN实例中包括若干的 VN。 NVE需要为本地的每个三层 VPN实例设置相应的标识，并且为本地的每个 VN设置相应的 VN ID。为了使同一个 VPN中的报文能够跨虚拟网络在不同的 NVE之间传输，需要为每个 VPN设置一个全局 VN ID，即不同 NVE 上针对同一个三层 VPN可能设置不同的三层 VPN实例标识，但必须设置相同的全局 VN ID, 该全局 VN ID可以由不同的 NVE协商确定，也可以由管理中心指定。 NVE为本地的每个 VN设置的 VN ID是本地的 TES接入时使用的，因此将其称为接入 VN ID。

如图 3所示，图 3为 NVE上设置的对应关系示意图。设一个 NVE包括两个三层 VPN实例，两个三层 VPN实例标识分别为 VPN30和 VPN300, 其中 VPN30对应的全局 VN ID为 VN30、 VPN300对应的全局 VN ID为 VN300, VN30和 VN300用于 NVE 之间跨虚拟网络通信时使用，以使接收到 NV03报文的 NVE设备根据该全局 VN ID得知该 NV03报文对应哪个三层 VPN实例。此夕卜， NVE还需要为每个虚拟网络设置对应的接入 VN ID, 每个虚拟网络可能属于不同的三层 VPN实例，例如， VN31、 VN32、 VN33 VN310、 VN320、 VN330均为虚拟虚拟网络的接入 VN ID。其中 VN31、 VN32 和 VN33属于三层 VPN实例标识为 VPN30的三层 VPN实例， VN310、VN320和 VN330 属于三层 VPN实例标识为 VPN300的三层 VPN实例。网络中的 TES是直接接入各虚拟虚拟网络，因此 VN31、 VN32、 VN323 VN310、 VN320 VN330用于当 NVE设备接收到 TES发送的报文时，当获取到报文中的接入 VN ID后，得知该 TES接入了哪个虚拟虚拟网络，并根据虚拟虚拟网络的接入 VN ID和三层 VPN实例标识的对应关系得知该 TES属于哪个三层 VPN实例。因此，可以说 NVE上设置了三层 VPN实例标识与全局 VN ID的对应关系表和接入 VN ID和三层 VPN实例标识的对应关系表。这两个对应关系表，可以体现在如图 3所示的同一张表里，也可以分别设置。

图 4为本发明实施例提供的报文转发方法实施例一的流程图，如图 4所示，本实施例的方法包括：步骤 S401，第一 NVE接收第一 TES发送的第一报文，所述第一报文的目的 IP地址为第二 TES的 IP地址，目的 MAC地址为该第一 NVE对应的网关 MAC地址，所述第一 TES和第二 TES属于相同的三层 VPN。

具体地，在本实施例中，将每个 NVE作为其本地连接的 TES的三层网关，即对于本地 TES 发送的到达网关的地址解析协议请求（英文： Address Resolution Protocol Request, 缩写： ARP Request) 报文， NVE 都回应地址解析协议响应（英文： Address Resolution Protocol Reply, 缩写： ARP Reply) 报文， ARP Reply报文中源 MAC地址为 NVE对应的网关 MAC地址，每个二层虚拟网络对应一个网关接口，多个网关接口可以对应相同的网关 MAC地址。

本实施例中，第一 TES与第一 NVE本地连接，第二 TES与第二 NVE本地连接，第一 TES与第二 TES位于同一个租户的不同的虚拟网络中，即第一 TES和第二 TES属于相同的三层 VPN，但属于该三层 VPN中不同的虚拟网络。第一 TES需要向第二 TES 发送第一报文。则第一 TES向第二 TES发送所述第一报文后，第一 TES本地连接的第一 NVE会接收到该第一报文，该第一报文的目的 IP地址为第二 TES的 IP地址，该第一报文的目的 MAC地址为该第一 NVE对应的网关 MAC地址。

步骤 S402, 所述第一 NVE根据接收第一报文的端口信息和第一报文中的至少一个获取第一 TES的接入 VN ID,并根据第一 TES的接入 VN ID获取第一 TES对应的三层 VPN实例标识。

具体地， TES的接入 VN ID和三层 VPN实例标识的对应关系可以预先配置在如图 3所示的表中。所述第一 NVE为本地的每个三层 VPN生成相应的三层 VPN实例标识，不同三层 VPN实例中的 IP地址可以重叠，不同的三层 VPN实例生成的路由转发表彼此隔离。所述第一 NVE接收第一 TES发送的第一报文后，根据所述第一报文中的信息和接收报文的端口中的至少一个获取所述第一 TES的接入 VN ID, 并根据所述 TES的接入 VN ID得到相应的三层 VPN实例标识，根据所述三层 VPN实例标识查找相应的路由转发表。

其中根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入虚拟网络标识 VN ID, 具体可以是根据端口与 VN ID的对应关系获取所述第一 TES的接入 VN ID, 也可以是根据所述第一报文携带的 VN ID来获取所述第一 TES的接入 VN ID，还可以是根据所述第一报文携带的虚拟局域网标识（英文： Virtual Local Area Network Identifier, 缩写： VLAN ID ) 以及 VLAN ID与 VN ID的对应关系来获取所述第一 TES的接入 VN ID, 还可以是根据 MAC地址与 VN ID的对应关系来获取所述第一 TES的接入 ID，还可以是根据 "端口 +VLAN"与 VN ID的对应关系来获取所述第一 TES的接入 VN ID。

步骤 S403，所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，根据所述表项将所述第一报文封装为 NV03报文。

具体地，所述第一 NVE获取到第一 TES的三层 VPN实例标识后，由于第一 TES 与第二 TES不在同一虚拟网络中，因此需要将第一报文通过三层转发，因此首先对第一报文进行二层终结，即将第一报文的数据链路层终结，而是通过网络层继续转发第一报文。然后根据所述第一报文的目的 IP地址，即所述第二 TES的 IP地址，查找第一 TES 的三层 VPN实例标识对应的路由转发表，获取第二 TES连接的第二 NVE的 IP地址和 MAC地址，以及第二 NVE上相同三层 VPN对应的全局 VN ID，然后将所述第一报文封装为 NV03报文，其中该 NV03报文中的全局 VN ID填入第二 TES的三层 VPN实例标识对应的全局 VN ID，目的 MAC地址填入第二 NVE的 MAC地址。

步骤 S404, 所述第一 NVE通过三层网络将所述 NV03报文转发至第二 NVE，所述第二 TES接入所述第二 NVE。

具体地，所述第一 NVE可以通过三层网络将所述 NV03报文转发至第二 NVE，当第二 NVE接收到该 NV03报文后，对该 NV03报文进行解封装，由于该 NV03报文的目的 MAC地址为第二 NVE的 MAC地址，因此第二 NVE判断该 NV03报文是跨虚拟网络报文，第二 NVE对该 NV03报文进行二层终结，根据所述 NV03报文中的全局 VN ID查找到对应的三层 VPN实例标识，查找该三层 VPN实例标识对应的路由转发表将解封后的报文转发至第二 TES。其中第二 TES与第二 NVE本地连接。

本实施例，在 NV03网络中，使每个 NVE作为本地连接的 TES的网关，在跨虚拟网络的 TES之间传输数据时，分别由 TES本地连接的 NVE作为网关，可以使跨虚拟网络的 TES之间的报文不需要通过集中式的三层网关转发，而是可以直接在 TES本地连接的 NVE之间传输，从而减少了数据流量的迂回，提高了报文转发效率。

图 5为本发明实施例提供的报文转发方法实施例二的流程图，如图 5所示，本实施例的方法包括：

步骤 S501 , 第一 NVE接收第一 TES发送的第一报文，所述第一报文的目的 IP地址为第二 TES的 IP地址，目的 MAC地址为该第一 NVE对应的网关 MAC地址，所述第一 TES和第二 TES属于相同的三层 VPN。

步骤 S502，所述第一 NVE根据接收所述第一报文的端口信息、所述第一报文中的二层 VLAN标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID，并获取与所述第一 TES的接入 VN ID对应的三层 VPN实例标识。

具体地， TES的接入 VN ID和三层 VPN实例标识的对应关系可以预先配置在如图

3所示的表中。 NVE为本地的每个三层 VPN生成相应的三层 VPN实例标识，不同三层 VPN实例中 IP地址可以重叠，不同的三层 VPN实例生成的路由转发表彼此隔离，在报文转发时候，根据三层 VPN实例标识查找相应的路由转发表； NVE接收 TES发送的报文后，根据所述报文中的信息和接入端口的信息中的至少一个获取对应的接入 VN ID，例如具体可以是根据端口与 VN ID的对应关系获取所述第一 TES的接入 VN ID , 也可以是根据所述第一报文携带的 VN ID来获取所述第一 TES的接入 VN ID, 还可以是根据所述第一报文携带的 VLAN ID以及 VLAN ID与 VN ID的对应关系来获取所述第一 TES的接入 VN ID,还可以是根据 MAC地址与 VN ID的对应关系来获取所述第一 TES 的接入 ID，还可以是根据 "端口 +VLAN"与 VN ID的对应关系来获取所述第一 TES的接入 VN ID。

步骤 S503，所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，所述表项包括所述第二 TES的 IP地址、所述第二 TES所在的第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID。

具体地，网络中的每个 NVE都向其它 NVE通告本地每个租户内（每个 VPN实例）直连 TES的主机路由，以及从外部路由协议引入的路由。每个 NVE向其它 NVE通告每个 VPN实例对应的三层网关 MAC地址、 NVE源 IP地址，入口 NVE ( Ingress NVE)。在进行三层报文转发时，内层目的 MAC地址填写出口 NVE (Egress NVE)通告过来的三层网关的 MAC。

在第一 NVE中也有从网络中其他 NVE通告来的网络中其他 NVE的路由信息，因此第一 NVE在接收到第一报文后，可以查找第一 TES的三层 VPN实例标识对应的路由转发表，从中找出第一报文中的目的 IP地址（即第二 TES的 IP地址）对应的路由信息。第一 TES的三层 VPN实例标识对应的路由转发表包括：目的 TES的 IP地址、目的 TES所在的 NVE的 IP地址、目的 TES所在的 NVE对应的网关 MAC地址以及目的 TES的三层 VPN实例标识对应的全局 VN ID。从而第一 NVE可以获取第二 TES所连接的第二 NVE的 IP地址、第二 NVE对应的网关 MAC地址以及第二 TES的三层 VPN 实例标识对应的全局 VN ID。

步骤 S504, 所述第一 NVE根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文。

具体地，所述第一 NVE根据第二 NVE的 IP地址和第二 NVE对应的网关 MAC地址可以获知第一报文的发送目的地。在第一 NVE将第一报文封装为 NV03报文时，首先将第一报文的目的 MAC地址替换为第二 NVE对应的网关 MAC地址，第一报文的源 MAC地址替换为第一 NVE对应的网关 MAC地址；然后将第二 NVE的 IP地址作为 NV03报文的目的 IP地址、第一 NVE的 IP地址作为 NV03报文的源 IP地址、第二 TES 的三层 VPN实例标识对应的全局 VN ID作为 NV03报文的全局 VN ID,封装 NV03的隧道头部，生成 NV03报文。

步骤 S505, 所述第一 NVE通过三层将所述 NV03报文转发至第二 NVE，所述第二 TES接入所述第二 NVE。

图 6为本发明实施例提供的报文转发方法实施例一或二之前的预处理流程图，由于 NVE需要使用本地路由信息和网络中其它 NVE的路由信息才能够实现图 4和图 5所示实施例的报文转发方法，因此，本实施例的预处理可以在图 4和图 5所示实施例之前进行。如图 6所示，本实施例的预处理包括：

步骤 S601，所述第一 NVE在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述三层 VPN实例标识与全局 VN ID的对应关系表用于使所述第一 NVE在接收到网络中其他 NVE发送的 NV03报文时，根据所述三层 VPN实例标识与全局 VN ID 的对应关系表查找对应的三层 VPN实例标识。

具体地， NVE本地可能具有多个三层 VPN实例，因此 NVE需要为本地的每个三层 VPN实例标识设置对应的全局 VN ID,即在本地生成三层 VPN实例标识与全局 VN ID 的对应关系表。由于不同 NVE中属于相同 VPN的三层 VPN实例标识对应的全局 VN ID 相同，因此在进行 NV03报文跨虚拟网络转发时，在封装的 NV03报文中加入全局 VN ID, 则当第一 NVE接收到网络中其他 NVE发送的 NV03报文时，第一 NVE就可以根据三层 VPN实例标识与全局 VN ID的对应关系表查找到相应的三层 VPN实例标识。

步骤 S602, 所述第一 NVE在本地生成接入 VN ID与三层 VPN实例标识的对应关系表，所述接入 VN ID与三层 VPN实例标识的对应关系表用于使所述第一 NVE根据所述 TES的接入 VN ID查找到对应的三层 VPN实例标识。

具体地， NVE本地可能具有多个三层 VPN实例，每个三层 VPN实例可能包括多个虚拟网络，因此 NVE需要为本地的每个虚拟网络的接入 VN ID设置对应的三层 VPN 实例标识，即在本地生成接入 VN ID与三层 VPN实例标识的对应关系表。这样当第一 NVE接收到本地接入的 TES发送的报文时，就可以根据根据该报文信息或该报文的端口信息获取报文中的接入 VN ID, 并根据接入 VN ID与三层 VPN实例标识的对应关系表查找到对应的三层 VPN实例标识。

步骤 S603 , 所述第一 NVE通过 ARP以及外部路由协议为本地的每个三层 VPN实例标识生成对应的路由转发表。

具体地，由于第一 TES与第一 NVE可能直接连接也可能通过 IP网络等外部路由协议连接，为了使第一 NVE连接的所有 TES都能够使用本发明实施例提供的报文转发方法进行报文传输，第一 NVE需要获取本地直接连接和通过外部路由协议连接的所有 TES 的路由信息。第一 NVE通过地址解析协议（英文： Address Resolution Protocol, 缩写： ARP) 获取本地连接的 TES的路由信息，通过外部路由协议获取如 IP网络等外部路由协议连接的 TES的路由信息。第一 NVE将获取的所有 TES的路由信息为本地的每个三层 VPN实例标识中生成对应的路由转发表。

上述步骤 S601到 S603在本发明中的实施顺序不受上述实施例中示例的限制。步骤 S604, 所述第一 NVE将所述第一 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表。

具体地，为了使 NVE之间能够进行报文转发，第一 NVE需要将自身的 IP地址、第一 NVE对应的网关 MAC地址、还有步骤 S603中获取的第一 NVE本地每个三层 VPN 实例标识对应的路由转发表、步骤 S601中生成的三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE。同时，第一 NVE还要接收网络中其它 NVE发送的上述信息。这样，在网络中的每个 NVE中都会生成一个由 NVE的 IP地址、 NVE 对应的网关 MAC地址、 NVE本地每个三层 VPN实例标识对应的路由转发表、 NVE本地每个三层 VPN实例与全局 VN ID的对应关系表对应关系组成的路由转发信息。进一步地， NVE之间互相发送路由信息可以通过边际网关协议（Border Gateway Protocol, BGP)。每个 NVE上对每个租户配置一个 BGP路由标识（Route Distinguisher, RD) 作为控制层面整网 BGP 三层 VPN标识。每个 NVE通告 RD、三层租户标识、自身 MAC地址、 NVE源 IP地址。 NVE之间信息通告也可以采用软件定义网络（Software Defined Network, SDN) 方式进行集中管理。 SDN控制器（SDN Controller) 上拥有所有 NVE的信息，通过控制器（controller) 将 NVE之间信息进行同步。

图 4至图 6为 NVE作为发送端的网关设备的方法流程，下面以 NVE作为接收端的网关设备为例提供的报文转发方法进行说明。

图 7为本发明实施例提供的报文转发方法实施例三的流程图，如图 7所示，本实施例的方法包括：

步骤 S701 , 第二 NVE接收第一 NVE发送的 NV03报文，所述 NV03报文为所述第一 NVE对第一 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的 IP 地址为第二 TES的 IP地址。

具体地，当位于第一 NVE中的第一 TES需要向第二 NVE中的第二 TES发送第一报文时，第一 NVE首先接收到第一 TES发送的第一报文，当第一 NVE确定第一报文中的目的 IP地址为第二 TES的 IP地址后，将第一报文封装为 NV03报文，并将该 NV03 报文发送至第二 NVE。第二 NVE接收到第一 NVE将第一报文封装后并发送的 NV03 报文。

步骤 S702, 当所述 NV03报文的隧道头部的目的 IP地址为所述第二 NVE的 IP地址时，所述第二 NVE将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述第一 NVE将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC 地址后得到的。

具体地，第二 NVE接收到 NV03报文后，首先确定 NV03报文隧道头部的目的 IP 地址是否为本第二 NVE的 IP地址，若是则将 NV03报文解封装，从而获取解封装后的报文。由于第一 NVE为了将 NV03报文通过第二 NVE转发至第二 TES，首先将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC地址，因此第二 NVE解封装后的报文与第一 TES发送的原始第一报文存在上述区别。

步骤 S703 , 所述第二 NVE对所述解封装后的报文进行二层终结。具体地，第二 NVE获取解封装后的报文后，判断该第一报文中的目的 MAC地址是否为该第二 NVE对应的网关 MAC地址。根据图 2中所示的 NV03网络二层报文转发流程可知，若传输数据的 TES同属于一个虚拟网络，则接收并解封装 NV03报文的 NVE获取的报文中目的 MAC地址将为目的 TES的地址，则 NVE可以通过二层将报文直接发送至目的 TES。本实施例中，若第二 NVE获取解封装后的报文后，判断目的 MAC 地址为第二 NVE对应的网关 MAC地址，则第二 NVE对解封装后的报文进行二层终结。这样，第二 NVE可以使用路由信息，使用基于 IP方式的转发方法将解封装后的报文转发至第二 TES。

需要说明的是， TES与 NVE可以是本地直接连接，也可以通过例如 IP网络等外部路由协议连接，而现有的 NV03网络中，若 TES之间跨虚拟网络传输报文，则接收 NV03 报文的 NVE在将 NV03报文解封装后，只能根据数据封装内的 VN路由信息，在对应的 VN内查找 MAC转发表，将报文转发至相应的 TES。而当 TES与 NVE之间是通过 IP网络连接时， NVE则无法对解封装后的 NV03报文进行转发。在本实施例中，当第二 NVE接收到 NV03报文并解封装后，确定该报文中的目的 MAC地址为该第二 NVE 自身对应的网关 MAC地址时，对解封装后的报文进行二层终结，并根据路由信息通过基于 IP路由方式的路径将解封装后的报文转发至目的 TES，适用于 TES与 NVE的任一种连接方式。

步骤 S704,所述第二 NVE根据所述 NV03报文的隧道头部的全局 VN ID确定所述全局 VN ID对应的三层 VPN实例标识。

具体地址，第二 NVE在解封装 NV03报文时，从 NV03报文的隧道头部可以获取其中携带的全局 VN ID, 该全局 VN ID为发送该 NV03报文在封装 NV03报文时加入的，该全局 VN ID为目的 TES所在的三层 VPN实例的标识对应的全局 VN ID。第二 NVE根据 NV03报文隧道头部的该全局 VN ID可以确定该全局 VN ID对应的三层 VPN 实例标识。

步骤 S705 ,所述第二 NVE根据所述三层 VPN实例标识以及所述第二 TES的 IP地址查找路由转发表，将所述解封装后的报文转发至所述第二 TES。

具体地，第二 NVE获取三层 VPN实例标识后，可以查找该三层 V P实例标识对应的路由转发表，根据解封装后的报文中的目的 IP地址即可将该解封装后的报文转发至第二 TES。由于第二 NVE中保存有路由信息，而解封装后的报文中的目的 IP地址为第二 TES的 IP地址，并且在步骤 S703中，第二 NVE对第一报文进行了二层终结，因此第二 NVE可以通过路由信息将解封装后的报文转发至第二 TES。

图 8为本发明实施例提供的报文转发方法实施例三之前的预处理流程图，由于 NVE 需要使用本地路由信息和网络中其它 NVE的路由信息才能够实现图 7所示实施例的报文转发方法，因此，本实施例的预处理可以在图 7所示实施例之前进行。如图 8所示，本实施例的预处理包括：

步骤 S801，所述第二 NVE在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述三层 VPN实例标识与全局 VN ID的对应关系表用于使所述第二 NVE在接收到网络中其他 NVE发送的 NV03报文时，根据所述三层 VPN实例标识与全局 VN ID 的对应关系表查找对应的三层 VPN实例标识。

具体地， NVE本地可能具有多个三层 VPN实例，因此 NVE需要为本地的每个三层 VPN实例标识设置对应的全局 VN ID,即在本地生成三层 VPN实例标识与全局 VN ID 的对应关系表。由于不同 NVE中属于相同 VPN的三层 VPN实例标识对应的全局 VN ID 相同，因此在进行 NV03报文跨虚拟网络转发时，在封装的 NV03报文中加入全局 VN ID, 则当第二 NVE接收到网络中其他 NVE发送的 NV03报文时，第二 NVE就可以根据三层 VPN实例标识与全局 VN ID的对应关系表查找到相应的三层 VPN实例标识。

步骤 S802, 所述第二 NVE在本地生成接入 VN ID与三层 VPN实例标识的对应关系表，所述接入 VN ID与三层 VPN实例标识的对应关系表用于使所述第二 NVE根据所述 TES的接入 VN ID查找到对应的三层 VPN实例标识。

具体地， NVE本地可能具有多个三层 VPN实例，每个三层 VPN实例可能包括多个虚拟网络，因此 NVE需要为本地的每个虚拟网络的接入 VN ID设置对应的三层 VPN 实例标识，即在本地生成接入 VN ID与三层 VPN实例标识的对应关系表。这样当第二 NVE接收到本地接入的 TES发送的报文时，就可以根据根据该报文信息或该报文的端口信息获取报文中的接入 VN ID, 并根据接入 VN ID与三层 VPN实例标识的对应关系表查找到对应的三层 VPN实例标识。

步骤 S803 , 所述第二 NVE通过 ARP以及外部路由协议为本地的每个三层 VPN实例标识生成对应的路由转发表。具体地，由于第二 TES与第二 NVE可能直接连接也可能通过 IP网络等外部路由协议连接，为了使第二 NVE连接的所有 TES都能够使用本发明实施例提供的报文转发方法进行报文传输，第二 NVE需要获取本地直接连接和通过外部路由协议连接的所有 TES 的路由信息。第二 NVE通过 ARP获取本地连接的 TES的路由信息，通过外部路由协议获取如 IP网络等外部路由协议连接的 TES的路由信息。第二 NVE将获取的所有 TES 的路由信息为本地的每个三层 VPN实例标识中生成对应的路由转发表。

上述步骤 S801到 S803在本发明中的实施顺序不受上述实施例中示例的限制。步骤 S804, 所述第二 NVE将所述第二 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表。

具体地，为了使 NVE之间能够进行报文转发，第二 NVE需要将自身的 IP地址、第二 NVE对应的网关 MAC地址、还有步骤 S803中获取的第二 NVE本地每个三层 VPN 实例标识对应的路由转发表、步骤 S801中生成的三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE。同时，第二 NVE还要接收网络中其它 NVE发送的上述信息。这样，在网络中的每个 NVE中都会生成一个由 NVE的 IP地址、 NVE 对应的网关 MAC地址、 NVE本地每个三层 VPN实例标识对应的路由转发表、 NVE本地每个三层 VPN实例与全局 VN ID的对应关系表对应关系组成的路由转发信息。

进一步地， NVE之间互相发送路由信息可以通过 BGP。每个 NVE上对每个租户配置一个 BGP RD作为控制层面整网 BGP 三层 VPN标识。每个 NVE通告 RD、三层租户标识、自身 MAC地址、 NVE源 IP地址。 NVE之间信息通告也可以采用 SDN方式进行集中管理。 SDN Controller上拥有所有 NVE的信息，通过 controller将 NVE之间信息进行同步。

图 9为本发明实施例提供的报文转发装置实施例一的结构示意图，如图 9所示，本实施例的报文转发装置可以为网络虚拟边缘，所述装置包括：

接收模块 91，用于接收第一 TES发送的第一报文，所述第一报文的目的 IP地址为第二 TES的 IP地址，所述第一报文的目的 MAC地址为所述 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES属于相同的三层 VPN。

第一获取模块 921，用于根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入 VN ID。

第二获取模块 922，用于根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识。

封装模块 93，用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，根据所述表项将所述第一报文封装为 NV03报文。

发送模块 94，用于通过三层将所述 NV03报文转发至第二 NVE，所述第二 TES接入所述第二 NVE。

本实施例的报文转发装置用于实现图 4所示方法实施例的技术方法，其实现原理和技术效果类似，此处不再赘述。

进一步地，图 9所示实施例中，封装模块 93具体用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，所述表项包括所述第二 TES的 IP 地址、所述第二 TES所在的第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID; 根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文。

进一步地，图 9所示实施例中，第一获取模块 921，具体用于根据接收所述第一报文的端口信息、所述第一报文中的二层 VLAN标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID。

进一步地，图 9所示实施例中，封装模块 93具体用于将所述第一报文的目的 MAC 地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述 NVE对应的网关 MAC地址，得到替换后的第一报文；为所述替换后的第一报文封装 NV03头，生成所述 NV03报文，所述 NV03头中的目的 IP地址为所述第二 NVE的 IP地址，源 IP地址为所述 NVE的 IP地址，所述 NV03头中的 VN ID为所述第二 TES的三层 VPN实例标识对应的全局 VN ID。

图 10为本发明实施例提供的网络虚拟边缘实施例二的结构示意图，如图 10所示，本实施例的报文转发装置在图 9的基础上，还包括：

设置模块 95，用于在本地生成接入 VN ID与三层 VPN实例标识的对应关系表。在这种情况下，所述第二获取模块 922具体用于根据所述第一 TES的接入 VN ID 查找所述接入 VN ID与三层 VPN实例标识的对应关系表，得到所述第一 TES的三层 VPN实例标识。

在本发明另一个实施例中，所述装置还包括生成模块 96和同步模块 97，所述设置模块 95还用于在本地生成三层 VPN实例标识与全局 VN ID的对应关系表，所述三层 VPN实例标识与全局 VN ID的对应关系表用于使所述 NVE在接收到网络中其他 NVE 发送的 NV03报文时，根据所述三层 VPN实例标识与全局 VN ID的对应关系表查找对应的三层 VPN实例标识。

所述生成模块 96，用于通过 ARP以及外部路由协议为本地的每个三层 VPN实例标识生成对应的路由转发表。

所述同步模块 97，用于将所述 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE, 并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表。

本实施例的报文转发装置还可以实现图 6所示方法实施例中的预处理，其实现原理和技术效果类似，此处不再赘述。

进一步地，图 10所示实施例中，同步模块 97，具体用于通过 BGP将所述 NVE的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的其它 NVE，并接收网络中其它 NVE发送的所述其它 NVE的 IP地址、所述其它 NVE对应的网关 MAC地址、所述其它 NVE本地每个三层 VPN实例的路由转发表、所述其它 NVE本地每个三层 VPN实例对应的 VN ID; 或者将所述 NVE的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的 SDN控制器，以使所述 SDN控制器将所述 NVE 的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的其它 NVE，并接收所述 SDN控制器发送的网络中其他 NVE发送的其他 NVE的 IP地址、其他 NVE 对应的网关 MAC地址、其他 NVE本地每个三层 VPN实例的路由转发表、其他 NVE 本地每个三层 VPN实例对应的 VN ID。

图 11为本发明实施例提供的报文转发装置实施例三的结构示意图，如图 11所示，所述装置为网络虚拟边缘，包括：

接收模块 1 1 1，用于接收另一 NVE发送的 NV03报文，所述 NV03报文为所述另一 NVE对第一 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的 IP 地址为第二 TES的 IP地址。

解封装模块 1 12，用于当所述 NV03报文的隧道头部的目的 IP地址为所述 NVE的

IP地址时，将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述另一 NVE将所述第一报文的目的 MAC地址替换为所述 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述另一 NVE对应的网关 MAC地址后得到的。

终结模块 1 13，用于对所述解封装后的报文进行二层终结。

获取模块 1 14，用于根据所述 NV03报文的隧道头部的全局 VN ID获取所述全局 VN ID对应的三层 VPN实例标识。

转发模块 1 15，用于根据所述三层 VPN实例标识以及所述第二 TES的 IP地址查找路由转发表，将所述解封装后的报文转发至所述第二 TES。

本实施例的报文转发装置用于实现图 7所示方法实施例的技术方法，其实现原理和技术效果类似，此处不再赘述。

图 12为本发明实施例提供的报文转发装置实施例四的结构示意图，如图 12所示，本实施例的报文转发装置在图 1 1的基础上，还包括：

设置模块 1 16，用于在本地生成三层 VPN实例标识与全局 VN ID的对应关系表。所述获取模块 1 14具体用于根据所述全局 VN ID查找所述三层 VPN实例标识与全局 VN ID的对应关系表，得到所述全局 VN ID对应的三层 VPN实例标识。

此外，所述装置还包括生成模块 1 17和同步模块 1 18。

所述设置模块还用于在本地生成接入 VN ID与三层 VPN实例标识的对应关系表，所述接入 VN ID与三层 VPN实例标识的对应关系表用于使所述 NVE根据所述 TES的接入 VN ID查找到对应的三层 VPN实例标识。

本实施例的报文转发装置用于实现图 8所示方法实施例中的预处理，其实现原理和技术效果类似，此处不再赘述。

进一步地，图 12所示实施例中，同步模块 118，具体用于通过 BGP将所述 NVE 的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的其它 NVE，并接收网络中其它 NVE发送的所述其它 NVE的 IP地址、所述其它 NVE对应的网关 MAC地址、所述其它 NVE本地每个三层 VPN实例的路由转发表、所述其它 NVE本地每个三层 VPN实例对应的 VN ID; 或者将所述 NVE的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的 SDN控制器，以使所述 SDN控制器将所述 NVE 的 IP地址、所述 NVE对应的网关 MAC地址、所述 NVE本地每个三层 VPN实例的路由转发表、所述 NVE本地每个三层 VPN实例对应的 VN ID发送给网络中的其它 NVE，并接收所述 SDN控制器发送的网络中其他 NVE发送的其他 NVE的 IP地址、其他 NVE 对应的网关 MAC地址、其他 NVE本地每个三层 VPN实例的路由转发表、其他 NVE 本地每个三层 VPN实例对应的 VN ID。

图 13为本发明实施例提供的报文转发装置实施例五的结构示意图。如图 13所示，所述报文转发装置包括发射机 1302、接收机 1301、存储器 1303以及分别与发射机 1302、接收机 1301和存储器 1303连接的处理器 1304; 当然，该交换设备还可以包括输入输出装置等一些通用部件，本发明实施例在此不做任何限制。

其中，所述接收机 1301用于接收第一租户终端系统 TES发送的第一报文，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址，所述第一报文的目的介质访问控制 MAC地址为所述第一 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES 属于相同的三层虚拟专用网络 VPN。

所述存储器 1303用于存储程序代码，且所述处理器 1304用于调用所述存储器 1303 中存储的程序代码，以执行以下操作：接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入虚拟网络标识 VN ID, 并根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识；对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，根据所述表项将所述第一报文封装为基于三层网络的网络虚拟化 NV03报文，并将所述 NV03报文发送给所述发射机 1302。

所述发射机 1302用于通过三层网络将所述 NV03报文转发至第二 NVE，所述第二 TES接入所述第二 NVE。

图 14为本发明实施例提供的报文转发装置实施例六的结构示意图。如图 14所示，所述报文转发装置包括发射机 1402、接收机 1401、存储器 1403以及分别与发射机 1402、接收机 1401和存储器 1403连接的处理器 1404; 当然，该交换设备还可以包括输入输出装置等一些通用部件，本发明实施例在此不做任何限制。所述报文转发装置为第二网络虚拟边缘。

其中，所述接收机 1401 用于接收第一 NVE 发送的基于三层网络的网络虚拟化

NV03报文，所述 NV03报文为所述第一 NVE对第一租户终端系统 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址。

所述存储器 1403用于存储程序代码，且所述处理器 1404用于调用所述存储器 1403 中存储的程序代码，以执行以下操作：对所述解封装后的报文进行二层终结；根据所述 NV03报文的隧道头部的全局虚拟网络标识 VN ID获取所述全局 VN ID对应的三层 VPN实例标识；将所述解封装后的报文发送给所述发射机 1402。

所述发射机 1402用于根据所述三层 VPN实例标识以及所述第二 TES的 IP地址查找路由转发表，将所述解封装后的报文转发至所述第二 TES。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求

1、一种报文转发方法，其特征在于，包括：

第一网络虚拟边缘 NVE接收第一租户终端系统 TES发送的第一报文，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址，所述第一报文的目的介质访问控制 MAC地址为所述第一 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES属于相同的三层虚拟专用网络 VPN;

所述第一 NVE根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入虚拟网络标识 VN ID, 并根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识；

所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP 地址的表项，根据所述表项将所述第一报文封装为基于三层网络的网络虚拟化 NV03报文；

2、根据权利要求 1所述的方法，其特征在于，所述第一 NVE对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，根据所述表项将所述第一报文封装为所述 NV03报文，包括：

3、根据权利要求 2所述的方法，其特征在于，所述第一 NVE根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入 VN ID，并根据所述第一 TES的接入 VN ID获取所述第一 TES的三层 VPN实例标识，包括：所述第一 NVE根据接收所述第一报文的端口信息、所述第一报文中的二层虚拟局域网 VLAN标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID，并获取与所述第一 TES的接入 VN ID对应的三层 VPN实例标识。

4、根据权利要求 2或 3所述的方法，其特征在于，所述第一 NVE根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES的三层 VPN 实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文，包括：

5、根据权利要求 1〜4任一项所述的方法，其特征在于，所述第一 NVE接收第一 TES发送的第一报文之前，所述方法还包括：

6、根据权利要求 5所述的方法，其特征在于，所述方法还包括：

所述第一 NVE将所述第一 NVE的 IP地址、所述对应的网关 MAC地址、所述路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表发送给网络中的其它 NVE，并接收所述其它 NVE发送的所述其它 NVE的 IP地址、对应的网关 MAC地址、所述其它 NVE设备本地每个三层 VPN实例标识对应的路由转发表、所述三层 VPN实例标识与全局 VN ID的对应关系表。

7、一种报文转发方法，其特征在于，包括：

第二网络虚拟边缘 NVE接收第一 NVE发送的基于三层网络的网络虚拟化 NV03 报文，所述 NV03报文为所述第一 NVE对第一租户终端系统 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址；当所述 NV03报文的隧道头部的目的 IP地址为所述第二 NVE的 IP地址时，所述第二 NVE将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述第一 NVE将所述第一报文的目的介质访问控制 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述第一 NVE对应的网关 MAC地址后得到的；

所述第二 NVE对所述解封装后的报文进行二层终结；

所述第二 NVE根据所述 NV03报文的隧道头部的全局虚拟网络标识 VN ID获取所述全局 VN ID对应的三层 VPN实例标识；

8、根据权利要求 7所述的方法，其特征在于，所述第二 NVE接收第一 NVE发送的 NV03报文之前，所述方法还包括：

所述第二 NVE在本地生成三层 VPN实例标识与全局 VN ID的对应关系表；所述获取所述全局 VN ID对应的三层 VPN实例标识包括：

9、根据权利要求 8所述的方法，其特征在于，所述方法还包括：

10、一种报文转发装置，其特征在于，包括：

接收模块，用于接收第一租户终端系统 TES发送的第一报文，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址，所述第一报文的目的介质访问控制 MAC地址为第一网络虚拟边缘 NVE对应的网关 MAC地址，所述第一 TES和所述第二 TES属于相同的三层虚拟专用网络 VPN;

第一获取模块，用于根据接收所述第一报文的端口信息和所述第一报文中的至少一个获取所述第一 TES的接入虚拟网络标识 VN ID;

封装模块，用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN实例标识对应的路由转发表，得到对应所述第二 TES的 IP 地址的表项，根据所述表项将所述第一报文封装为基于三层网络的网络虚拟化 NV03报文；

11、根据权利要求 10所述的装置，其特征在于，所述封装模块具体用于对所述第一报文进行二层终结，并根据所述第二 TES的 IP地址查找所述第一 TES的三层 VPN 实例标识对应的路由转发表，得到对应所述第二 TES的 IP地址的表项，所述表项包括所述第二 TES的 IP地址、所述第二 TES所在的第二 NVE的 IP地址、所述第二 NVE 对应的网关 MAC地址以及所述第二 TES的三层 VPN实例标识对应的全局 VN ID; 根据所述第二 NVE的 IP地址、所述第二 NVE对应的网关 MAC地址以及所述第二 TES 的三层 VPN实例标识对应的全局 VN ID将所述第一报文封装为所述 NV03报文。

12、根据权利要求 11所述的装置，其特征在于，所述第一获取模块，具体用于根据接收所述第一报文的端口信息、所述第一报文中的二层虚拟局域网 VLAN标识和所述第一报文的源 MAC地址中的至少一个获取所述第一 TES的接入 VN ID。

13、根据权利要求 11或 12所述的装置，其特征在于，所述封装模块具体用于将所述第一报文的目的 MAC地址替换为所述第二 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述 NVE对应的网关 MAC地址，得到替换后的第一报文；为所述替换后的第一报文封装 NV03头，生成所述 NV03报文，所述 NV03头中的目的 IP地址为所述第二 NVE的 IP地址，源 IP地址为所述 NVE的 IP地址，所述 NV03 头中的 VN ID为所述第二 TES的三层 VPN实例标识对应的全局 VN ID。

14、根据权利要求 10〜13任一项所述的装置，其特征在于，所述装置还包括：设置模块，用于在本地生成接入 VN ID与三层 VPN实例标识的对应关系表；所述第二获取模块具体用于根据所述第一 TES的接入 VN ID查找所述接入 VN ID 与三层 VPN实例标识的对应关系表，得到所述第一 TES的三层 VPN实例标识。

15、根据权利要求 14所述的装置，其特征在于，所述装置还包括生成模块和同步模块；

所述生成模块，用于通过地址解析协议 ARP 以及外部路由协议为本地的每个三层

VPN实例标识生成对应的路由转发表；

16、一种报文转发装置，其特征在于，所述报文转发装置为网络虚拟边缘 NVE，包括：

接收模块，用于接收另一 NVE发送的基于三层网络的网络虚拟化 NV03报文，所述 NV03报文为所述另一 NVE对第一租户终端系统 TES发送的第一报文进行 NV03封装得到的，所述第一报文的目的网络协议 IP地址为第二 TES的 IP地址；

解封装模块，用于当所述 NV03报文的隧道头部的目的 IP地址为所述 NVE的 IP 地址时，将所述 NV03报文解封装，得到解封装后的报文，所述解封装后的报文为所述另一 NVE将所述第一报文的目的介质访问控制 MAC地址替换为所述 NVE对应的网关 MAC地址，将所述第一报文的源 MAC地址替换为所述另一 NVE对应的网关 MAC地址后得到的；

终结模块，用于对所述解封装后的报文进行二层终结；

获取模块，用于根据所述 NV03报文的隧道头部的全局虚拟网络标识 VN ID获取所述全局 VN ID对应的三层 VPN实例标识；

17、根据权利要求 16所述的装置，其特征在于，所述装置还包括：

18、根据权利要求 17所述的装置，其特征在于，所述装置还包括生成模块和同步模块；