WO2020108531A1

WO2020108531A1 - 报文转发

Info

Publication number: WO2020108531A1
Application number: PCT/CN2019/121267
Authority: WO
Inventors: 程剑锋
Original assignee: 新华三技术有限公司
Priority date: 2018-11-27
Filing date: 2019-11-27
Publication date: 2020-06-04
Also published as: CN109474507A; CN109474507B

Abstract

本申请提供一种报文转发方法及装置。根据该方法一个示例，VTEP创建缺省VXLAN隧道和一个以上VXLAN隧道。该VTEP设备创建的缺省VXLAN用以匹配每个低密级别的VTEP设备到本设备的VXLAN隧道；该VTEP设备创建的每个VXLAN隧道分别到一个相同密级别的隧道终结点或一个更高密级别的隧道终结点。该VTEP设备确定收到的VXLAN数据报文与缺省VXLAN隧道匹配时，禁止学习收到的VXLAN数据报文的内层源MAC地址，对收到的VXLAN数据报文进行解封装，转发移除VXLAN封装的以太网数据报文。

Description

报文转发

技术领域

本申请涉及网络通信技术领域，尤其涉及一种报文转发方法及装置。

背景技术

虚拟扩展局域网(VXLAN：Virtual Extensible Local Area Network)是一种将二层报文用三层协议进行封装的技术，具体包括：引入一个用户数据包协议(UDP：User Datagram Protocol)格式的外层隧道，作为数据路径层，而原有的报文数据作为净荷来传输。VXLAN网络的涉密信息的保护是需要解决网络保护问题。

附图说明

图1是本申请实施例提供的一种报文转发方法的流程示意图；

图2是本申请实施例提供的具体应用场景的架构示意图；

图3是本申请实施例提供的另一种具体应用场景的架构示意图；

图4是本申请实施例提供的一种报文转发装置的结构示意图；

图5是本申请实施例提供的一种报文转发装置的结构示意图；

图6是本申请实施例提供的一种报文转发设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请实施例中的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

在VXLAN(Virtual Extensible Local Area Network，虚拟可扩展局域网)的网络中存在高密级别的设备或者网络和低密级别的设备或者网络，为了保证网络的安全，需要确保低密级别的设备或者网络的数据能流向高密级别的设备或者网络，并且高密级别的设备或者网络的数据不能向低密级别的设备或者网络的数据。但是，VTEP会将通过接入电路(Attachment Circuit)收到的广播数据报文、未知单播数据报文以及组播数据报文，在同一个VXLAN网络进行广播。这样，来自高密级别设备的数据报文会通过VTEP广播到同一个VXLAN，导致泄密。

图1为本申请实施例提供的一种报文转发方法的流程示意图。如图1所示，该报文转发方法可以包括以下处理。

处理101，创建缺省VXLAN隧道，用以匹配每个低密级别的VTEP设备到本设备的VXLAN隧道。

处理102，创建一个以上VXLAN隧道，每个创建的VXLAN隧道分别到一个相同密级别的隧道终结点或一个更高密级别的隧道终结点。

处理103，确定收到的VXLAN数据报文与缺省VXLAN隧道匹配时，禁止学习收到的VXLAN数据报文的内层源MAC地址，对收到的VXLAN数据报文进行解封装，转发移除VXLAN封装的以太网数据报文。

本申请实施例中，为了确保VXLAN网络中低密级别的设备或者网络的数据能流向高密级别的设备或者网络，低密级别的VTEP可以正常创建VXLAN隧道用以向高密级别的VTEP设备发送数据报文，而高密级别的VTEP设备创建缺省VXLAN隧道，用以隔离向同一个VXLAN内的低密级别的VTEP设备发送数据报文。

VTEP设备可以接收低密级别的VTEP设备的通过VXLAN隧道发送给本设备的VXLAN数据报文。需要说明的是，在本申请实施例中，当VTEP设备确定接收到的VXLAN数据报文的外层目的IP地址不是本设备的IP地址时，不需要进行VXLAN隧道终结。VTEP设备可以根据该VXLAN数据报文的外层目的IP地址查找underlay(下层)的三层转发表项进行转发。或这，当VTEP设备根据收到VXLAN数据报文的外层源IP地址和目的IP地址匹配到连接相同保密级或更高保密级VTEP的VXLAN隧道时TEP设备可以对VXLAN数据报文解除VXLAN封装后转发，学习MAC地址，执行常规的VXLAN转发。具体地，VTEP设备确定收到的VXLAN数据报文的目的IP地址为本设备的IP地址，进行VXLAN隧道终结；确定收到的VXLAN数据报文的源IP地址是本设备连接相同保密级或更高保密级VTEP的VXLAN隧道的目的IP地址，则确定接收的VXLAN数据报文的外层源IP地址和目的IP地址匹配到连接相同保密级或更高保密级VTEP的VXLAN隧道。

本图1所示实施例中，为了保证高密级别的设备或者网络的数据不能流向低密级别的设备或者网络，VTEP创建VXLAN隧道连接相同密级别的VTEP或更高密级别的VTEP的VXLAN隧道；并且VTEP不学习来自低密级别VTEP的数据报文的MAC地址，避免保密级别收到的数据报文发往低己密级别的VTEP，以保证数据转发安全。

为了避免向低密级别VTEP发送VXLAN数据报文，VTEP将来自低密级别VTEP的VXLAN数据报文匹配缺省VXLAN隧道，不进行MAC地址学习，还能进一步节省存储MAC地址表项的硬件资源。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，下面结合具体应用场景对本申请实施例提供的技术方案进行说明。

图2为本申请实施例提供的一种具体应用场景的架构示意图。图2中，Server(服务器)110和Server 120是相同密级别的低密级别的服务器，Server 130和Server 140为相同密级别的高密级别的服务器，Server 110，Server 120，Server 130以及Server 140分别通过VTEP 210，VTEP 220，VTEP 230以及VTEP 240接入三层核心网络。VTEP 210和VTEP 220是低密级别的VTEP设备，VTEP 230和VTEP 240是高密级别的VTEP设备。

在图2所示的实施例中，VTEP 230和VTEP 240之间创建了用以交互数据报文的VXLAN隧道。VTEP 230创建到VTEP 240的VXLAN隧道34；VXLAN隧道34的源IP地址和目的IP地址分别为VTEP 230的IP地址IP 230，VTEP 240的IP地址IP 240。VTEP 240创建到VTEP 230的VXLAN隧道43；VXLAN隧道43的源IP地址为VTEP 240的IP地址IP 240，目的IP地址为VTEP 230的IP地址IP 230。

VTEP 210和VTEP 220之间可创建了用以交互数据报文的VXLAN隧道(图中未示)。VTEP 210创建到VTEP 220的VXLAN隧道源IP地址和目的IP地址分别为VTEP210的IP地址IP210以及VTEP 220的IP地址IP 220。VTEP 220创建到VTEP 210的VXLAN隧道，该VXLAN隧道的IP地址和目的IP地址分别为VTEP 220的IP地址IP 220以及VTEP 210的IP地址IP 210。

VTEP 210创建到VTEP 240的VXLAN隧道14；VXLAN隧道14的源IP地址为VTEP210的IP地址IP 210，目的IP地址为VTEP 240的IP地址IP 240。VTEP 220创建到VTEP 240的VXLAN隧道(图中未示出)，用以向VTEP240发送VXLAN封装的数据报文。VTEP 240创建缺省VXLAN隧道10，设置VXLAN隧道10的出端口为不存在；该缺省VXLAN隧道10的源IP地址为VTEP 240的IP地址，目的IP地址为空(null)，即不存在。VTEP 240设置VXLAN隧道10不学习MAC地址，设置VXLAN隧道10的出端口为不存在的物理端口。VTEP 240创建该缺省VXLAN隧道10的源IP地址创建的缺省VXLAN隧道10用以匹配低密级别VTEP向VTEP 240发送VXLAN数据报文的VXLAN隧道，包括VXLAN隧道14以及VTEP 220上连接VTEP 240的VXLAN隧道。

VTEP 210和VTEP 220可以分别创建到VTEP 230的VXLAN隧道(图中未示)，用以向VTEP230发送VXLAN数据报文。VTEP 230可以创建缺省VXLAN隧道(图中未示)；其中源IP地址和目的IP地址分别为VTEP 230的IP地址以及空(null)。VTEP 230的缺省VXLAN隧道用以匹配低密级别VTEP210和220到VTEP 230的VXLAN隧道。

在该实施例中，分别以VTEP 210和VTEP 240发出的数据报文的传输为例。

请参见图3，VTEP240创建VSI A，设置VSI A绑定VXLAN_ID1，VTEP240将Server 140与VTEP 240之间的AC 4绑定该VSI A；VTEP210创建VSI A，设置VSI A绑定VXLAN_ID1，VTEP 210设置Server 110接入VTEP 210的AC 1绑定VSI A,设置VXLAN隧道14与VSI A绑定。

属于来自Server 110的流量的以太网数据报文200到达VTEP 210。VTEP 210根据接收到以太网数据报文200的VLAN信息(ident ifier)和入端口信息(port identifier)识别AC 1。VTEP_210在AC 1关联的VSI A的转发表中，确定以太网数据报文200的目的MAC地址对应的出端口为VXLAN隧道14。VTEP210对以太网数据报文200进行VXLAN封装；其中，外层源IP地址为VTEP 210的IP地址，外层目的IP地址为VTEP 240的IP地址；VNI是VXLAN_ID1。VTEP210将VXLAN封装数据报文201通过VXLAN隧道14的出端口发送。

VTEP 240通过VXLAN隧道14接收到VXLAN封装数据报文201，获取VXLAN头的外层目的IP地址，识别获取的外层目的IP地址为本设备的IP地址，但是本设备不存在与该VXLAN封装头中的源IP地址和目的IP地址匹配的VXLAN隧道，即不存在源IP地址为该VXLAN封装头中的目的IP地址，目的IP地址为该VXLAN封装头中的源IP地址的VXLAN隧道。VTEP 240确定这些收到VXLAN封装的数据报文与缺省VXLAN隧道匹配。具体地，VTEP240确定VXLAN封装数据报文201的外层目的IP地址为本设备IP地址，终结VXLAN隧道。VTEP 240检查已创建的VXLAN隧道的目的IP地址与收到的VXLAN封装数据报文201的外层源IP地址是否一致。VTEP 240确定每个已创建的VXLAN隧道的目的IP地址与收到的VXLAN封装数据报文201的外层源IP地址不一致，检查是否创建了本设备VTEP 240的IP地址为源IP地址的缺省VXLAN隧道。VTEP 240确定创建了以本设备VTEP 240的IP地址为源IP地址的缺省VXLAN隧道10，确定收到该VXLAN封装的数据报文201的VXLAN隧道匹配缺省VXLAN隧道10。VTEP_240移除VXLAN数据报文201的VXLAN封装，根据VXLAN数据报文201的VXLAN封装携带的VXLAN_ID(VXLAN ID1) 确定对应的VSI A。VTEP 240的缺省VXLAN隧道10被配置为不学习MAC地址，VTEP 240禁止学习VXLAN数据报文201的内层MAC地址关联于VXLAN隧道14。

VTEP 204在该VSI A的转发表中查找到移除VXLAN封装的以太网数据报文200的目的MAC地址映射的AC_4。VTEP 240通过查找到的AC4将以太网数据报文200发送到Server 140。

来自服务器140的组播数据报文、广播以太网数据报文或者未知单播以太网数据报文202到达VTEP 240。VTEP 240根据收到组播数据报文、广播以太网数据报文或者未知单播以太网数据报文的VLAN标识和入端口标识识别AC 4。VTEP 240在AC 4关联的VSI A内查找广播转发表，为VSI_A的每个VXLAN隧道复制一份，从而在VSI A进行广播。VTEP240通过VXLAN隧道43，将这些需要在VSI A内广播的广播以太网数据报文或者未知单播以太网数据报文封装为VXLAN广播数据报文203，并发送到相同密级别的VTEP230。由于VTEP240的缺省VXLAN隧道10的出端口为空，即不存在的物理端口。VTEP 240丢弃为VXLAN隧道10复制的报文。这样，来自高密级别的服务器的数据报文需要在VSI内广播时，VTEP240只会向VSI内相同保密级别或者更高密级别的VTEP广播，而通过缺省VXLAN隧道10丢弃了发往低密级别的VTEP210和220的VXLAN广播数据报文。

需要说明的是，在本申请实施例中，相同密级别的VTEP 210与VTEP 220之间的VXLAN数据报文转发以及相同密级别VTEP 230与VTEP 240之间的VXLAN数据报文转发按已有方案执行，包括：VTEP240学习来自VTEP230的VXLAN数据报文的内层MAC地址与外层源IP的映射；VTEP230学习来自VTEP220的VXLAN数据报文的内层MAC地址与外层源IP的映射；VTEP240向VTEP230发送需要在VXLAN网络内广播的VXLAN数据报文；VTEP230向VTEP240发送需要在VXLAN网络内广播的VXLAN数据报文等已有转发方案。

通过以上描述可以看出，在本申请实施例提供的技术方案中，实现了高密级别的VTEP设备过滤发往低密级别的VTEP设备的数据报文，有益于保证数据的安全。

图4为本申请实施例提供的一种报文转发装置400的示意图。该装置400可以应用于图2和图3所示的例子中的VTEP设备240或230。如图4所示，该报文转发装置400可以包括：创建模块410，接收模块420，确定模块430，解封装模块440，转发模块450以及学习模块460。

创建模块410，用于创建缺省VXLAN隧道以及创建一个以上VXLAN隧道。创建模块410创建的缺省隧道用以匹配每个低密级别的VTEP设备到本设备的VXLAN隧道。每个由创建模块410创建的VXLAN隧道分别到一个相同密级别的隧道终结点或一个更高密级别的隧道终结点。

接收模块420，接收VXLAN数据报文。

确定模块430，用于确定收到的VXLAN数据报文与缺省VXLAN隧道匹配。

解封装模块440，用于解封装收到的VXLAN数据报文。

学习模块460，用于禁止学习确定模块430确定的匹配缺省VXLAN隧道的VXLAN数据报文的内层源MAC地址。

确定模块430确定匹配缺省VXLAN隧道的VXLAN数据报文由解封装模块440解封装之后，由转发模块450转发移除VXLAN封装的以太网数据报文。

图4所示例子中，应用了报文转发装置400的VTEP创建VXLAN隧道连接相同密级别的VTEP或更高密级别的VTEP的VXLAN隧道；并且该VTEP不学习来自低密级别VTEP的数据报文的MAC地址，避免向低密级别的VTEP发送数据报文，保证数据转发安全。有益于保证了数据的安全性。

在图5所示的例子中，报文转发装置400还可进一步包括封装模块470。

接收模块420，用于接收以太网数据报文。确定模块430，还用于确定收到的以太网数据报文需要在VXLAN网络内广播，丢弃通过缺省VXLAN隧道发送的一份以太网数据报文。封装模块470，还用于通过每个创建的VXLAN隧道对一份以太网数据报文进行VXLAN封装。转发模块450还用于通过创建模块410创建的每个的VXLAN隧道发送一份VXLAN封装的以太网数据报文，用以向相同密级别的VTEP或者更高密级别的VTEP发送VXLAN数据报文。

确定模块430，还用于确定收到的VXLAN数据报文的VXLAN封装头中的外层目的IP地址为本设备的IP地址；确定收到的VXLAN数据报文的VXLAN封装头中的外层源IP地址与每个创建的VXLAN隧道的目的IP地址不一致；确定收到的VXLAN数据文与缺省VXLAN隧道匹配。

确定模块430，还用于根据收到以太网数据报文的虚拟局域网VLAN信息和入端口信息确定对应的接入电路AC；在AC关联的虚拟交换实例VSI内查找转发表，确定在 VXLAN网络内通过缺省VXLAN隧道和每个创建的VXLAN隧道广播的收到的以太网数据报文。

创建模块410创建的缺省VXLAN隧道的源IP地址为本设备的IP地址，缺省VXLAN隧道的目的IP为空；缺省VXLAN隧道的出方向为不存在的物理端口。

图4和图5所示的报文转发装置400可以通过软件实现(例如，存储于存储器并且由处理器运行的机器可读指令)、硬件实现(例如专用集成电路ASIC的处理器)，或者由软件和硬件共同实现。

图6所示为本公开提供的一个VTEP例子。图6中，该VTEP600包括：转发单元610、处理器620以及连接处理器620的存储有机器可执行指令的机器可读存储介质630存储单元630。转发单元610、处理器620以及存储单元630之间可经由系统总线通信。

转发单元610例如可以是硬件转发芯片且具有多个物理接口(图中未示)。进一步，转发单元610可包括图4和图5所示的接收模块420，确定模块430，解封装模块440，封装模块470，转发模块450以及学习模块460。

处理器620通过读取并执行机器可读存储介质630中机器可执行指令，用以执行可执行图4以及图5中创建模块410的处理。

图6所示例子中的VTEP创建VXLAN隧道连接相同密级别的VTEP或更高密级别的VTEP的VXLAN隧道；并且该VTEP不学习来自低密级别VTEP的数据报文的MAC地址，避免向低密级别的VTEP发送数据报文，进一步保证了数据的安全性。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以位于一个物理硬件，或者也可以分布到多个物理硬件，可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里公开的申请后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

Claims

一种数据报文转发方法，其特征在于，

创建缺省VXLAN隧道，用以匹配每个低密级别的VTEP设备到本设备的VXLAN隧道；

创建一个以上VXLAN隧道，每个所述创建的VXLAN隧道分别到一个相同密级别的隧道终结点或一个更高密级别的隧道终结点；

确定收到的所述VXLAN数据报文与缺省VXLAN隧道匹配时，对所述收到的VXLAN数据报文进行解封装，禁止学习所述收到的VXLAN数据报文的内层源MAC地址，转发移除VXLAN封装的以太网数据报文。
根据权利要求1所述的方法，其特征在于，所述方法还包括：确定收到的以太网数据报文需要在VXLAN网络内广播，丢弃所述通过所述缺省VXLAN隧道发送的一份所述以太网数据报文；通过每个所述创建的VXLAN隧道对一份所述以太网数据报文进行VXLAN封装，通过每个所述创建的VXLAN隧道发送一份VXLAN封装的以太网数据报文。
根据权利要求1所述的方法，其特征在于，所述确定收到的所述VXLAN数据报文与缺省VXLAN隧道匹配，包括：

确定所述收到的VXLAN数据报文的VXLAN封装头中的外层目的IP地址为本设备的IP地址；

确定所述收到的VXLAN数据报文的VXLAN封装头中的外层源IP地址与每个所述创建的VXLAN隧道的目的IP地址不一致；

确定所述收到的VXLAN数据文与所述缺省VXLAN隧道匹配。
根据权利要求2所述的方法，其特征在于，确定收到的以太网数据报文需要在VXLAN网络内广播之前，所述方法还包括：

根据所述收到以太网数据报文的虚拟局域网VLAN信息和入端口信息确定对应的接入电路AC；

在所述AC关联的虚拟交换实例VSI内查找转发表，确定在所述VXLAN网络内通过所述缺省VXLAN隧道和每个所述创建的VXLAN隧道广播的所述收到的以太网数据报文。
根据权利要求1所述的方法，其特征在于，所述缺省VXLAN隧道的源IP地址为本设备的IP地址，所述缺省VXLAN隧道的目的IP为空；所述缺省VXLAN隧道的出方向为不存在的物理端口。
一种报文转发装置，其特征在于，

创建模块，用于创建缺省VXLAN隧道以及创建一个以上VXLAN隧道；其中，所述缺省隧道用以匹配每个低密级别的VTEP设备到本设备的VXLAN隧道；每个所述创建的VXLAN隧道分别到一个相同密级别的隧道终结点或一个更高密级别的隧道终结点；

接收模块，接收VXLAN数据报文；

确定模块，用于确定收到的所述VXLAN数据报文与缺省VXLAN隧道匹配；

解封装模块，用于解封装所述收到的VXLAN数据报文；

学习模块，用于禁止学习所述收到的VXLAN数据报文的内层源MAC地址；

转发模块，转发移除VXLAN封装的以太网数据报文。
根据权利要求6所述的装置，其特征在于，所述装置还包括封装模块；

所述接收模块，用于接收以太网数据报文；

所述确定模块，还用于确定收到的以太网数据报文需要在VXLAN网络内广播，丢弃所述通过所述缺省VXLAN隧道发送的一份所述以太网数据报文；

所述封装模块，还用于通过每个所述创建的VXLAN隧道对一份所述以太网数据报文进行VXLAN封装；

所述转发模块，还用于通过每个所述创建的VXLAN隧道发送一份VXLAN封装的以太网数据报文。
根据权利要求6所述的装置，其特征在于，

所述确定模块，还用于确定所述收到的VXLAN数据报文的VXLAN封装头中的外层目的IP地址为本设备的IP地址；确定所述收到的VXLAN数据报文的VXLAN封装头中的外层源IP地址与每个所述创建的VXLAN隧道的目的IP地址不一致；确定所述收到的VXLAN数据文与所述缺省VXLAN隧道匹配。
根据权利要求7所述的装置，其特征在于，

所述确定模块还用于，根据所述收到以太网数据报文的虚拟局域网VLAN信息和入端口信息确定对应的接入电路AC；在所述AC关联的虚拟交换实例VSI内查找转发表，确定在所述VXLAN网络内通过所述缺省VXLAN隧道和每个所述创建的VXLAN隧道广播的所述收到的以太网数据报文。
根据权利要求6所述的装置，其特征在于，所述创建模块创建的所述缺省VXLAN隧道的源IP地址为本设备的IP地址，所述缺省VXLAN隧道的目的IP为空；所述缺省VXLAN隧道的出方向为不存在的物理端口。