WO2019047740A1

WO2019047740A1 - 区域互联控制器、区域互联控制方法以及计算机存储介质

Info

Publication number: WO2019047740A1
Application number: PCT/CN2018/102534
Authority: WO
Inventors: 祖立军; 袁航; 周雍恺; 何朔; 魏志君
Original assignee: 中国银联股份有限公司
Priority date: 2017-09-06
Filing date: 2018-08-27
Publication date: 2019-03-14
Also published as: CN109462534A; CA3072731C; EP3681110A1; TWI687073B; CA3072731A1; EP3681110A4; CN109462534B; US11343168B2; SG11202001459TA; US20210377149A1; EP3681110B1; TW201914271A

Abstract

本发明提供一种区域互联控制器，该区域互联控制器包括在租户创建时设定的一区域互联路由模块，该区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符；在所述核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定；以及在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定，其中，与所述租户对应的、分布在所述多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块关联。本发明还提供了一种区域互联控制方法以及计算机存储介质。本发明的技术方案能实现异构SDN网络区域内网直通。

Description

区域互联控制器、区域互联控制方法以及计算机存储介质

【技术领域】

本发明涉及数据中心核心网络的自动化管理，特别涉及一种区域互联控制器、在多个独立的网络分区与核心交换网络之间的区域互联控制方法以及计算机存储介质。

【背景技术】

由于金融行业监管的特殊性，金融数据中心交换网架构一般采用多个独立的网络分区(如堡垒区、业务区等)组成，不同网络分区承载不同安全等级和类型的业务。如图1所示，网络分区大致可划分为三大类：业务区、隔离区、特定功能区。业务区用于承载各类系统应用服务器及数据库服务器，应用系统根据特定原则划分至不同业务区。隔离区也称DMZ区，用于承载各类前置机，面向互联网或第三方机构提供服务。特定功能区如管理区承载监控系统、流程系统、操作终端等，用于数据中心维护，广域网区用户数据中心至骨干网的连通。

SDN技术也越来越多的被采用到金融云中来。一个网络分区往往由同一品牌的SDN设备组成，内部采用Vxlan分离物理链路(Underlay)、逻辑链路(Overlay)网络，实现网络物理架构与逻辑架构的解耦。一般基于硬件SDN技术(如思科的ACI、华为的AC等)的底层架构都采用Spine+Leaf的物理结构，其中计算Leaf接入提供虚拟机的计算服务器资源，网络功能Leaf接入负载均衡、防火墙等网元服务设备资源，Border Leaf负责与数据中心核心交换设备互联。云网分区内由Spine设备负责各Leaf之间的流量互通，每个云网分区由其自有的控制器进行管理和控制。

在实践中，数据中心核心交换网络则是由独立交换设备组网。不同云网分区可能使用不同的SDN解决方案、协议与技术，云网分区内部的Vxlan标签在数据包出区域后被剥离。因此，云网分区之间在Overlay层面无法实现互通。

在如图2所示的现有方案中，没有技术实现对数据中心核心网络的自动化管理，也没有方案去协调控制不同厂商的SDN控制器。

以上公开于本发明背景部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

【发明内容】

为了解决现有方案存在的多个问题中的至少一个，本发明提出一种基于VRF(虚拟路由转发表)技术的跨异构SDN网络的区域互联(Region Interconnect)RI控制器方案。该方案解决了异构SDN网络区域的互联互通，通过VRF技术隔离租户的路由，解决了同一个数据中心内不同租户在跨异构SDN网络区域通信地址重叠问题，实现异构SDN网络区域内网直通。

根据本发明的一个方面，提供了一种区域互联控制器，所述区域互联控制器设置在多个独立的网络分区与核心交换网络之间，所述区域互联控制器(在本发明的上下文中也称为RI控制器)包括在租户创建时设定的一区域互联路由模块(在本发明的上下文中也称为RI router)，所述区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符；在所述核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定；以及在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定，其中，与所述租户对应的、分布在所述多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块关联。

对于租户需要流出网络分区的流量，虚拟网络所携带的标签会被剥离，但同时会打上RI router为该租户分配的第一标识符(即VLAN TAG)送到核心交换网络。通过该方案，解决了独立SDN网络由于技术体系不同造成的流量无法识别、独立网络无法互通的问题。

优选地，在上述区域互联控制器中，所述虚拟路由器是逻辑交换器，其在所述网络分区的内部网络和外部网络进行数据交换。

优选地，在上述区域互联控制器中，所述区域互联路由模块配置为通过netconf协议在所述核心交换网络中的所有路由器或交换机上启动动态路由协议，使得所述租户在所述核心交换网络中能够运行独立的动态路由协议域，并且通过所述动态路由协议，所述网络分区所发布的路由将会同步到所述租户的虚拟资源所在的其他网络分区上。

在一个实施例中，所述动态路由协议为OSPF路由协议。通过在核心交换网络中的所有路由器或交换机上启动OSPF协议，并将OSPF实例和该租户的虚拟路由转发实例进行绑定，这相当于每个租户在核心交换网络中运行独立的OSPF域，互不干扰。

优选地，在上述区域互联控制器中，所述区域互联控制器通过在数据库中写入所述各个虚拟路由器和所述区域互联路由模块的绑定关系而建立它们之间的关联关系，即将同一租户内分布在各个网络分区内的虚拟路由器挂载到RI router上。

优选地，在上述区域互联控制器中，所述区域互联路由模块还配置为：启用定时器开始动态探测关联的所述虚拟路由器的虚拟网络资源变更情况，以及调用所述虚拟路由器所在网络分区内的SDN控制器的应用程序编程接口以便获取所述虚拟路由器和虚拟网络的关联关系。

如果租户内创建的虚拟网络资源被绑定到了该虚拟路由器上，就会自动在该区域接入到核心交换网络的路由器/交换机上下发静态路由，下一跳地址指向该区域内部。这条静态路由将会重分布到动态路由(例如OSPF路由)中，在该租户对应的虚拟路由转发实例内，同步到其他动态路由协议对等实例中。

优选地，在上述区域互联控制器中，在所述多个独立的网络分区中，所述租户新创建的虚拟资源被绑定到该虚拟资源所在网络分区内、与所述区域互联路由模块关联的虚拟路由器上。

根据本发明的另一个方面，提供了一种在多个独立的网络分区与核心交换网络之间的区域互联控制方法，所述方法包括：在租户创建时设定一区域互联路由模块(RI router)，所述区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符，在所述核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定，在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定；以及将与所述租户对应的、分布在所述多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块进行关联。

根据本发明的又一个方面，提供了一种计算机存储介质，所述存储介质包括一个或多个指令，所述一个或多个指令在执行时使所述计算机执行下列步骤：在租户创建时设定一区域互联路由模块(RI router)，所述区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符，在核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定，在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定；以及将与所述租户对应的、分布在多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块进行关联。

本发明所提出的区域互联(Region Interconnect)RI控制方案解决了独立SDN网络由于技术体系不同造成的流量无法识别、独立网络无法互通、逻辑层面无法统一管理的问题。另外，本发明的区域互联控制器方案实现了对下层物理网络资源的抽象、隔离、调度和统一管理。再者，本发明的区域互联控制器方案向上层服务暴露标准化的API，屏蔽了底层差异，从而能够更好和上层云平台的调度。

通过纳入本文的附图以及随后与附图一起用于说明本发明的某些原理的具体实施方式，本发明的方法和装置所具有的其它特征和优点将更为具体地变得清楚或得以阐明。

【附图说明】

图1是金融行业网络分区的示意图；

图2示意性地示出了现有方案的组网方式以及其存在的多个问题；

图3是表示本发明的一个实施例的区域互联控制器；

图4是表示本发明的一个实施例的区域互联控制方法；以及

图5是表示本发明的一个实施例的区域互联控制器架构图；以及

图6是表示本发明的一个实施例的、在逻辑层面的区域互联路由模块架构图。

【具体实施例】

以下说明描述了本发明的特定实施方式以教导本领域技术人员如何制造和使用本发明的最佳模式。为了教导发明原理，已简化或省略了一些常规方面。本领域技术人员应该理解源自这些实施方式的变型将落在本发明的范围内。本领域技术人员应该理解下述特征能够以各种方式接合以形成本发明的多个变型。由此，本发明并不局限于下述特定实施方式，而仅由权利要求和它们的等同物限定。

在本发明的上下文中，术语“区域互联控制器”、“RI控制器”以及“RI controller”表示相同的含义，指代设置在异构SDN网络分区与核心交换网络之间的控制器。另外，在本发明的上下文中，除非另外指明，“RI router”和“区域互联路由模块”也具有相同的含义。

图3是表示本发明的一个实施例的区域互联控制器1000。区域互联控制器1000设置在多个独立的网络分区2100,2200与核心交换网络3000之间。区域互联控制器1000包括多个区域互联路由模块110,120，其中各个区域互联路由模块在对应的租户创建时设定。

在一个实施例中，区域互联路由模块110配置为：为其对应的租户分配用于标识该租户的流量的第一标识符(未示出)；在核心交换网络3000中，创建针对该租户的第一虚拟路由转发实例，并将第一标识符与第一虚拟路由转发实例进行绑定；以及在核心交换网络3000中启动动态路由协议(例如OSPF协议)，并将动态路由协议实例与第一虚拟路由转发实例进行绑定。与该租户对应的、分布在多个独立的网络分区2100,2200内的各个虚拟路由器与区域互联路由模块110 关联。

在另一个实施例中，区域互联路由模块120配置为：为其对应的租户分配用于标识该租户的流量的第二标识符(未示出)；在核心交换网络3000中，创建针对该租户的第二虚拟路由转发实例，并将第二标识符与第二虚拟路由转发实例进行绑定；以及在核心交换网络3000中启动动态路由协议(例如OSPF协议)，并将动态路由协议实例与第二虚拟路由转发实例进行绑定。与该租户对应的、分布在多个独立的网络分区2100,2200内的各个虚拟路由器与区域互联路由模块120关联。

图4是表示本发明的一个实施例的区域互联控制方法4000。

如图4所示，在步骤410，在租户创建时设定一区域互联路由模块，该区域互联路由模块配置为：为该租户分配用于标识该租户的流量的第一标识符；在核心交换网络中，创建针对该租户的虚拟路由转发实例，并将第一标识符与虚拟路由转发实例进行绑定；以及在核心交换网络中启动动态路由协议，并将动态路由协议实例与虚拟路由转发实例进行绑定。

在步骤420中，将与该租户对应的、分布在多个独立的网络分区内的各个虚拟路由器与区域互联路由模块进行关联。

通过图3和图4所示的区域互联控制方案，现有技术中各个独立网络之间无法互通的问题得以解决。

进一步参考图5，图5示出了本发明的一个实施例的区域互联控制器架构图。在该实施例中，通过RI控制器在核心交换网络搭建动态路由协议网络，将不同SDN网络区域内虚拟网络资源同步到其他SDN网络区域内，使得网络分区内业务流量路由可达。RI控制器将不同网络分区的虚拟网络资源进行整合，通过Netconf标准协议把配置信息下发到核心交换网络，实现同一数据中心内，不同网络分区之间的互联。

在逻辑层面，如图5所示，RI控制器可分为控制逻辑单元和配置下发逻辑单元。控制逻辑单元监控租户在不同SDN网络区域内虚拟资源的变动情况，配置下发逻辑单元更新配置信息和路由表。RI控制器对于不同厂商的路由/交换设备进行抽象，对于不同厂商的设备，提供不同的驱动，即可对设备进行统一管理。

对于多租户的场景，不同租户之间资源相互独立，并且出现IP地址重叠的情况，由于业务流量流出网络分区后租户信息被剥离，导致无法识别不同租户的流量。RI控制器能够识别租户的虚拟资源，并在网络分区外部对流量重建租户信息，使流量在核心交换网络被正确的转发。RI控制器通过VRF技术实现租户路由的隔离，同时为每个租户虚拟出对应的RI Router资源，将VRF和RI Router进行映射，RI Router为每个租户分配一个TAG，用来标注不同租户的流量信息，并将其送到对应的VRF内，完成转发。

在一个实施例中，RI控制器执行如下具体操作流程：

1.RI Router逻辑创建与VLAN TAG标识别分配

在租户创建的同时设定RI Router，RI Router为该租户分配VLAN TAG用于标识该租户流量，创建的RI Router被写入数据库。对于租户需要流出网络分区的流量，虚拟网络所携带的VLAN TAG会被剥离，同时打上RI Router为该租户分配的VLAN TAG送到核心交换网络。

2.核心交换网络配置下发(VRF创建)

RI Router通过netconf协议，在核心交换网络中所有的路由器/交换机上创建针对该租户的VRF资源，同时将RI Router分配给租户使用的VLAN TAG和VRF进行绑定，使该租户在核心交换网络中创建独立的路由转发域。

3.核心交换网络配置下发(动态路由协议配置)

RI Router通过netconf协议，在核心交换网络中所有的路由器/交换机上启动动态路由协议，并将动态路由协议实例和该租户的VRF进行绑定，相当于每个租户在核心交换网络中运行独立的动态路由协议域，互不干扰。通过动态路由协议，网络分区所发布的路由将会同步到该租户虚拟资源所在的其他网络分区上去。

4.各云网分区内的租户虚拟路由器创建

虚拟路由器是云网分区内部网络和分区外部网络数据交换的逻辑交换器，如图6所示，本方案通过将同一租户内分布在各云网分区内的虚拟路由器挂载到RI Router上，通过在数据库中写入虚拟路由器和RI Router的绑定关系建立映射关系。

5.各云网分区内的租户虚拟网络资源弹性变更

进一步参考图6，各云网分区内，租户可以动态的创建虚拟网络资源，虚拟路由器资源，对于需要进行跨云网分区通信的业务，只需要将虚拟网络绑定到和RI Router建立映射关系的虚拟路由器即可。

6.RI Router动态探测虚拟网络资源变更并同步

在RI router与虚拟路由器关联之后，RI Router将会启用定时器开始动态探测关联虚拟路由器的虚拟网络资源变更情况，调用该虚拟路由器所在云网分区内的SDN控制器的API获取虚拟路由器和虚拟网络的关联关系。如果租户内创建的虚拟网络资源，并且绑定到了该虚拟路由器上，就会自动在该区域接入到核心交换网络的路由器/交换机上下发静态路由，下一跳地址指向该区域内部。这条静态路由将会重分布到动态路由中，在该租户对应的VRF内，同步到其他动态路由协议PEER当中。

综上，提出了一种基于VRF(虚拟路由转发表)技术的跨异构SDN网络的区域互联(Region Interconnect)RI控制方案。在一个具体实现中，该方案包括虚拟RI Router的创建，租户虚拟路由和RI Router的绑定，RI Router路由自动下发，核心交换网络的自动化配置四个过程。在本发明的上下文中，除非另外特别指明，术语“动态路由协议”可以包括OSPF、BGP等协议。

与现有技术相比，该控制方案解决了独立SDN网络由于技术体系不同造成的流量无法识别、独立网络无法互通、逻辑层面无法统一管理的问题。另外，本发明的区域互联控制器方案实现了对下层物理网络资源的抽象、隔离、调度和统一管理。再者，本发明的区域互联控制器方案向上层服务暴露标准化的API，屏蔽了底层差异，从而能够更好和上层云平台的调度。

以上例子主要说明了本发明的一个或多个实施例。尽管只对其中一些本发明的具体实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种区域互联控制器，其特征在于，所述区域互联控制器设置在多个独立的网络分区与核心交换网络之间，所述区域互联控制器(RI controller)包括在租户创建时设定的一区域互联路由模块(RI router)，所述区域互联路由模块配置为：

为所述租户分配用于标识所述租户的流量的第一标识符；

在所述核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定；以及

在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定，

其中，与所述租户对应的、分布在所述多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块关联。
如权利要求1所述的区域互联控制器，其中，所述虚拟路由器是逻辑交换器，其在所述网络分区的内部网络和外部网络进行数据交换。
如权利要求1所述的区域互联控制器，其中，所述区域互联路由模块配置为通过netconf协议在所述核心交换网络中的所有路由器或交换机上启动动态路由协议，使得所述租户在所述核心交换网络中能够运行独立的动态路由协议域，并且通过所述动态路由协议，所述网络分区所发布的路由将会同步到所述租户的虚拟资源所在的其他网络分区上。
如权利要求1所述的区域互联控制器，其中，所述区域互联控制器通过在数据库中写入所述各个虚拟路由器和所述区域互联路由模块的绑定关系而建立它们之间的关联关系。
如权利要求1所述的区域互联控制器，其中，所述区域互联路由模块还配置为：

启用定时器开始动态探测关联的所述虚拟路由器的虚拟网络资源变更情况，以及

调用所述虚拟路由器所在网络分区内的SDN控制器的应用程序编程接口以便获取所述虚拟路由器和虚拟网络的关联关系。
如权利要求1所述的区域互联控制器，其中，在所述多个独立的网络分区中，所述租户新创建的虚拟资源被绑定到该虚拟资源所在网络分区内、与所述区域互联路由模块关联的虚拟路由器上。
一种在多个独立的网络分区与核心交换网络之间的区域互联控制方法，其特征在于，所述方法包括：

在租户创建时设定一区域互联路由模块(RI router)，所述区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符；在所述核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定；以及在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定，

将与所述租户对应的、分布在所述多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块进行关联。
如权利要求7所述的区域互联控制方法，其中，所述虚拟路由器是逻辑交换器，其在所述网络分区的内部网络和外部网络进行数据交换。
如权利要求7所述的区域互联控制方法，其中，所述区域互联路由模块配置为通过netconf协议在所述核心交换网络中的所有路由器或交换机上启动动态路由协议，使得所述租户在所述核心交换网络中能够运行独立的动态路由协议域，并且通过所述动态路由协议，所述网络分区所发布的路由将会同步到所述租户的虚拟资源所在的其他网络分区上。
如权利要求7所述的区域互联控制方法，其中，通过在数据库中写入所述各个虚拟路由器和所述区域互联路由模块的绑定关系而建立它们之间的关联关系。
如权利要求7所述的区域互联控制方法，其中，所述区域互联路由模块还配置为：

启用定时器开始动态探测关联的所述虚拟路由器的虚拟网络资源变更情况，以及

调用所述虚拟路由器所在网络分区内的SDN控制器的应用程序编程接口以便获取所述虚拟路由器和虚拟网络的关联关系。
如权利要求7所述的区域互联控制方法，其中，在所述多个独立的网络分区中，所述租户新创建的虚拟资源被绑定到该虚拟资源所在网络分区内、与所述区域互联路由模块关联的虚拟路由器上。
一种计算机存储介质，所述存储介质包括一个或多个指令，所述一个或多个指令在执行时使所述计算机执行下列步骤：

在租户创建时设定一区域互联路由模块(RI router)，所述区域互联路由模块配置为：为所述租户分配用于标识所述租户的流量的第一标识符；在核心交换网络中，创建针对所述租户的虚拟路由转发实例，并将所述第一标识符与所述虚拟路由转发实例进行绑定；以及在所述核心交换网络中启动动态路由协议，并将动态路由协议实例与所述虚拟路由转发实例进行绑定，以及

将与所述租户对应的、分布在多个独立的网络分区内的各个虚拟路由器与所述区域互联路由模块进行关联。