同一租戶內伺服器間的通信控制方法及網絡設備的製作方法
2023-05-27 14:35:21
專利名稱:同一租戶內伺服器間的通信控制方法及網絡設備的製作方法
技術領域:
本發明涉及通信技術領域,特別是涉及同一租戶內伺服器間的通信控制方法及網絡設備。
背景技術:
為了在一張物理網絡內部署多個租戶/用戶的業務,標準組織開發了虛擬區域網(Virtual Local Area Network, VLAN)技術來實現網絡虛擬化,把一張物理網絡劃分成4K個邏輯網絡,邏輯網絡之間彼此隔離。實際使用中,不同的邏輯網絡被分配給不同的租戶/用戶使用,來實現同一張物理網絡中部署多個租戶/用戶的需求。然而,隨著網絡規模的不斷增大、業務需求的不斷增多,4K的虛擬網絡已經不足以滿足大量的租戶/用戶的接入需要。尤其在數據中心領域,租戶/用戶數量的急劇增加導致了網絡虛擬化能力成為組網瓶頸。基於此,業界推出了 NVGRE(Network Virtualizationusing Generic Routing Encapsulation,使用GRE (通用路由封裝)技術實現二層網絡虛擬化的協議)和VXLAN (Virtual extensible Local Area Network,虛擬可擴展區域網)技術,在優化網絡轉發和資源利用的同時,還極大的提升了網絡承載多租戶的能力。NVGRE和VXLAN都是MAC_in_IP技術,通過對用戶的ETH報文執行封裝和轉發,實現大規模的二層組網。NVGRE和VXLAN分別定義了 VSID(Virtual Subnet Identifier)和VNI (VXLAN Network Identifier),來標識不同的虛擬網絡,VXLAN 或 NVGRE 用 VNI 或 VSID來代替VLAN技術中的VLAN-1D控制廣播域,因此報文不再需要封裝VLAN-1D,而是直接在報文外面封裝VNI或VSID和外層報文頭。此時,從網絡的角度看,VNI或VSID作為邏輯網絡的標識控制著廣播域的範圍,相同VNI或VSID的報文屬於同一個邏輯網絡,允許互通;不同VNI或VSID的報文屬於不同的邏輯網絡,不允許互通。從應用的角度看,VNI或VSID代表了租戶標識,同一個VNI或VSID下的伺服器屬於同一個租戶,不同VNI或VSID下的伺服器屬於不同的租戶。然而,現有技術中為每個租戶分配一個VNI或VSID,而同一個VNI或VSID內的伺服器可以完全互通,無法做到伺服器間的互通或隔離控制。
發明內容
本發明提供了一種同一租戶內伺服器間的通信控制方法及網絡設備,能夠實現同一租戶內伺服器間的互通/隔離控制。本發明第一方面提供一種同一租戶內伺服器間的通信控制方法,所述方法包括:網關設備接收源伺服器發送的第一報文;所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識;所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文;所述網關設備發送所述第二報文。結合上述第一方面,在第一種可能的實現方式中,在所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文之前,還包括:所述網關設備獲取所述第一報文的目的伺服器的伺服器分組標識;所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗,在校驗通過後所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。結合上述第一方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,在所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,所述方法還包括:所述網關設備對本地同一租戶內的伺服器進行分組;所述網關設備為所述分組分配標識,生成所述分組標識配置表。結合上述第一方面,和/或第一種可能的實現方式,和/或第二種可能的實現方式,在第三種可能的實現方式中,所述網關設備對本地同一租戶內的伺服器進行分組包括:所述網關設備基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D為對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。結合上述第一方面,和/或第一種可能的實現方式,和/或第二種可能的實現方式,和/或第三種可能的實現方式,在第四種可能的實現方式中,所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文,包括:如果所述第一報文為虛擬可擴展區域網協議報文,所述網關設備在所述第一報文的Reserved欄位的第一個字節中添加所述源伺服器的伺服器分組標識,獲得所述第二報文;或,如果所述報文為使用通用路由封裝技術實現二層網絡虛擬化的協議報文,所述網關設備在所述第一報文的ReservedO的後8個bit中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。本發明第二方面提供一種同一租戶內伺服器間的通信控制方法,所述方法包括:所述網關設備接收源伺服器發送的報文;所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,並獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗;所述網關設備在所述互通校驗通過後發送所述報文。
結合上述第二方面,在第一種可能的實現方式中,在所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,所述方法還包括:所述網關設備對本地同一租戶內的伺服器進行分組;所述網關設備為所述分組分配標識,生成所述分組標識配置表。結合上述第二方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,所述網關設備對本地同一租戶內的伺服器進行分組包括:所述網關設備基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D為對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。本發明第三方面提供一種同一租戶內伺服器間的通信控制方法,所述方法包括:所述網關設備接收報文;所述網關設備確定所述報文中是否攜帶所述報文的源伺服器的伺服器分組標識;當所述報文中攜帶所述報文的源伺服器的伺服器分組標識時,所述網關設備獲取所述報文中的所述源伺服器的伺服器分組標識,並根據本地存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗;所述網關設備在所述互通校驗通過後向所述目的伺服器發送所述報文。結合上述第三方面,在第一種可能的實現方式中,在所述網關設備根據本地存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識之前,所述方法還包括:所述網關設備對本地同一租戶內的伺服器進行分組;所述網關設備為所述分組分配標識,生成所述分組標識配置表。結合上述第三方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,所述網關設備對本地同一租戶內的伺服器進行分組包括:所述網關設備基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D為對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。本發明第四方面還提供一種網關設備,包括:接收單元,用於接收源伺服器發送的第一報文;存儲單元,用於存儲分組標識配置表;第一獲取單元,用於根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;報文生成單元,用於在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文;發送單元,用於發送所述第二報文。結合上述第四方面,在第一種可能的實現方式中,還包括:第二獲取單元,用於在所述報文生成單元在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文之前,獲得所述目的伺服器的伺服器分組標識;校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗,在校驗通過後再由所述報文生成單元在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文。結合上述第四方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,還包括:分組單元,用於在所述第一獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組;標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。結合上述第四方面,和/或第一種可能的實現方式,和/或第二種可能的實現方式,在第三種可能的實現方式中,所述分組單元,具體用於基於所述網關設備的埠為對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址為對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。結合上述第四方面,和/或第一種可能的實現方式,和/或第二種可能的實現方式,和/或第三種可能的實現方式,在第四種可能的實現方式中,所述報文生成單元,具體用於當所述第一報文為虛擬可擴展區域網協議報文時,在所述第一報文的Reserved欄位的第一個字節中添加所述源伺服器的伺服器分組標識,獲得所述第二報文;或,當所述第一報文為使用通用路由封裝技術實現二層網絡虛擬化的協議報文時,在所述第一報文的ReservedO的後8個bit中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。本發明第五方面還提供一種網關設備,包括:接收單元,用於接收源伺服器發送的報文;存儲單元,用於存儲分組標識配置表;標識獲取單元,用於根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,並獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗;發送單元,用於在互通校驗通過後發送所述報文。結合上述第五方面,在第一種可能的實現方式中,還包括:分組單元,用於在所述標識獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組;
標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。結合上述第五方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,所述分組單元,具體用於基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。本發明第六方面還提供一種網關設備,包括:存儲單元,用於存儲分組標識配置表;接收單元,用於接收報文;確定單元,用於確定所述報文中是否攜帶所述報文的源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;標識獲取單元,用於當所述確定單元確定所述報文中攜帶所述報文的源伺服器的伺服器分組標識時,獲取所述報文中的所述源伺服器的伺服器分組標識,並根據所述存儲單元存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識;校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗;發送單元,用於在所述互通校驗通過後向所述目的伺服器發送所述報文。結合上述第六方面,在第一種可能的實現方式中,還包括:分組單元,用於在所述標識獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組;標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。結合上述第六方面,和/或第一種可能的實現方式,在第二種可能的實現方式中,所述分組單元,具體用於基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。本發明通過網關設備生成各伺服器的SGID,然後在伺服器間進行通信時通過對伺服器的SGID進行互通檢驗,並根據校驗結果決定是否允許伺服器間的互通,實現了同一個VNI或VSID內的伺服器間的互通或隔離控制。
為了更清楚地說明本發明實施例的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,對於本領域普通技術人員而言,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖。圖1為本發明實施例一種同一租戶內伺服器間的通信控制方法流程圖;圖2為本發明實施例另一種同一租戶內伺服器間的通信控制方法流程圖;圖3為本發明實施例中獲得分組標識配置表的方法流程圖;圖4為本發明實施例中VXLAN/NVGRE的網絡拓撲架構示意圖;圖5 8為本發明實施例的報文結構示意圖9為本發明實施例另一種同一租戶內伺服器間的通信控制方法流程圖;圖10為本發明實施例另一種同一租戶內伺服器間的通信控制方法流程圖;圖11為本發明實施例一種網關設備的結構示意圖;圖12為本發明實施例另一種網關設備的結構示意圖;圖13為本發明實施例另一種網關設備的結構不意圖;圖14為本發明實施例另一種網關設備的結構示意圖。
具體實施例方式為了使本技術領域的人員更好地理解本發明實施例中的技術方案,並使本發明實施例的上述目的、特徵和優點能夠更加明顯易懂,下面結合附圖對本發明實施例中技術方案作進一步詳細的說明。參見圖1,為本發明實施例一種同一租戶內伺服器間的通信控制方法流程圖。該方法可以包括:步驟101,網關設備接收源伺服器發送的第一報文。本發明實施例中,該「第一」和「第二」僅為了區分不同的報文,並非特指或限定。在本步驟中,網關設備接收源伺服器發送的第一報文,該第一報文中除了包含數據信息外,還可以包含源伺服器及目的伺服器的地址信息,如MAC地址。步驟102,網關設備根據本地存儲的分組標識配置表獲取源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通。網關設備存儲有分組標識配置表,該配置表中存儲有該網關設備預先為本地的同一租戶內伺服器生成的伺服器分組標識(Server Group Identif ier,SGID),該伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通。其中,網關設備本地的伺服器也即該網關設備下連接的伺服器。不同租戶通過VNI或VSID進行標識和隔離,每個租戶只分配一個VNI或VSID,不同VNI或VSID的報文屬於不同的邏輯網絡,不允許互通,相同VNI或VSID的報文屬於同一個邏輯網絡,本實施例中,通過對同一租戶下的各伺服器設置SGID,來控制同一租戶下各伺服器之間的互通或隔離。網關設備在接收到第一報文後,可以根據該第一報文中源伺服器的MAC地址或源伺服器的接入埠等信息查找本地存儲的分組標識配置表,獲得該源伺服器的SGID。步驟103,網關設備在第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文。網關設備在獲得源伺服器的SGID後,在第一報文的預留欄位或未定義明確用途的欄位上,或者在第一報文的擴展欄位或新增欄位上添加該源伺服器的SGID,獲得第二報文。該獲得第二報文的過程還可以包含其他現有技術的報文生成過程,例如在添加了源伺服器的SGID的報文外面封裝VXLAN或NVGRE報文頭等。步驟104,網關設備發送所述第二報文。網關設備在獲得第二報文後,在發送第二報文之前還可以包含其他現有技術步驟,例如查找該第一報文所屬的VNI或VSID,然後基於VNI或VSID,以第一報文的目的MAC地址為索引查詢轉發表,獲取該第一報文在VXLAN或NVGRE網絡上的出口網關。然後,網關設備發送該第二報文。對端的網關設備在接收到第二報文後,根據本地存儲的分組標識配置表獲取該第二報文的目的伺服器的SGID,然後對第二報文中包含的源伺服器的SGID和獲得的目的伺服器的SGID進行互通校驗,該校驗過程具體依據預先設置的互通規則進行校驗,在校驗通過後,也即表明源伺服器和目的伺服器之間可以相互通信,然後再向目的伺服器轉發該第二報文,若校驗不通過,則不向目的伺服器轉發該第二報文,可以丟棄該第二報文,以禁止源、目的伺服器之間的互通。當然該轉發過程中還可以包含其他現有技術的報文處理過程,例如剝離第二報文的VXLAN/NVGRE外層頭,提取VNI或VSID信息,然後基於VNI或VSID,以報文目的MAC地址為索引查詢轉發表,獲取該第二報文在本網關設備的用戶側的出口,然後按照該出口將報文發送至目的伺服器。本發明實施例通過網關設備生成各伺服器的SGID,然後在伺服器間進行通信時通過對伺服器的SGID進行互通檢驗,並根據校驗結果決定是否允許伺服器間的互通,實現了同一個VNI或VSID內的伺服器間的互通/隔離控制。在本發明的另一實施例中,如圖2所示,在網關設備在第一報文中添加源伺服器的SGID,獲得第二報文之前,還可以包括:步驟201,網關設備獲取第一報文的目的伺服器的SGID。網關設備在接收到上述第一報文後,或在獲取到源伺服器的SGID之後,可以進一步執行本步驟,獲得目的伺服器的SGID。該網關設備獲得目的伺服器的SGID的方法,可以是在網關設備本地預先存儲有其他網關設備發送的伺服器的SGID ;也可以是網關設備在執行源MAC學習的時候,同時學習源伺服器的SGID,從而獲得其他網關設備下的伺服器的SGID,具體的,網關設備本地生成的只是本地各個伺服器的SGID,最初網關設備本地還沒有上述第一報文的目的伺服器的MAC表,也就沒有目的伺服器的SGID,後續通過數據報文學習MAC地址時同步學習並保存SGID,這樣網關設備就可以學習獲得其他網關設備下的伺服器的SGID 了。這兩種情況下,該網關設備可以根據第一報文中的目的伺服器的相關標識信息如MAC地址等在本地查找獲得目的伺服器的SGID。該網關設備獲得目的伺服器的SGID的方法,也還可以是網關設備在接收到第一報文後,獲取其中目的伺服器的標識信息如MAC地址,並向該第一報文的出口網關也即對端的網關設備請求獲得該目的伺服器的SGID等等。步驟202,網關設備對源伺服器的SGID和目的伺服器的SGID進行互通校驗。網關設備在獲得源伺服器的SGID和目的伺服器的SGID後,根據互通規則進行互通校驗。該校驗過程與前述實施例中網關設備對源伺服器的SGID和目的伺服器的SGID進行互通校驗的過程類似。在上述互通校驗通過後,網關設備再執行上述步驟103,由網關設備在第一報文中添加源伺服器的SGID,獲得第二報文。若校驗不通過,則網關設備可以不執行後續動作,而直接丟棄第一報文,終止源、目的伺服器之間的通信。若互通校驗通過,網關設備執行上述步驟103 104,網關設備接收第二報文後可以不再執行SGID校驗,也可重複執行SGID校驗,雖然因為在網關設備處理中已經執行了SGID的校驗,但是考慮到校驗的嚴格以及臨時的生成變更,對端的網關設備可以重複執行一次SGID的校驗動作。本發明實施例對網絡設備的改動很小,易於實現。而且,在網關設備處增加校驗過程,可以對禁止互通的伺服器之間的報文直接進行處理,如丟棄,而無需傳輸至對端網關設備後再進行處理,因此,本實施例方法相比較前述實施例方法可以減少禁止互通的伺服器間的報文對網絡帶寬的佔用,減少了網絡帶寬的額外消耗。在本發明的另一實施例中,在網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,如圖3所示,該方法還可以包括:步驟301,網關設備對本地同一租戶內的伺服器進行分組。步驟302,網關設備為所述分組分配標識,生成分組標識配置表。具體的,各網關設備可以約定把同一租戶內的伺服器分為三類:公共伺服器、團體伺服器、隔離伺服器,並約定互通規則,該互通規則表明了哪些伺服器之間可以通信,哪些伺服器之間不能通信。如下面表格所示:
權利要求
1.一種同一租戶內伺服器間的通信控制方法,其特徵在於,所述方法包括: 網關設備接收源伺服器發送的第一報文; 所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識;所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文; 所述網關設備發送所述第二報文。
2.根據權利要求1所述的方法,其特徵在於,在所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文之前,還包括: 所述網關設備獲取所述第一報文的目的伺服器的伺服器分組標識; 所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗,在校驗通過後所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。
3.根據權利要求1或2所述的方法,其特徵在於,在所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,所述方法還包括: 所述網關設備對本地同一租戶內的伺服器進行分組; 所述網關設備為所述分組分配標識,生成所述分組標識配置表。
4.根據權利要求3所述的方法,其特徵在於,所述網關設備對本地同一租戶內的伺服器進行分組包括: 所述網關設備基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D為對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
5.根據權利要求1至4中任意一項所述的方法,其特徵在於,所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文,包括: 如果所述第一報文為虛擬可擴展區域網協議報文,所述網關設備在所述第一報文的Reserved欄位的第一個字節中添加所述源伺服器的伺服器分組標識,獲得所述第二報文;或, 如果所述報文為使用通用路由封裝技術實現二層網絡虛擬化的協議報文,所述網關設備在所述第一報文的ReservedO的後8個bit中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。
6.一種同一租戶內伺服器間的通信控制方法,其特徵在於,所述方法包括: 所述網關設備接收源伺服器發送的報文; 所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,並獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗; 所述網關設備在所述互通校驗通過後發送所述報文。
7.根據權利要求6所述的方法,其特徵在於,在所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,所述方法還包括: 所述網關設備對本地同一租戶內的伺服器進行分組; 所述網關設備為所述分組分配標識,生成所述分組標識配置表。
8.根據權利要求7所述的方法,其特徵在於,所述網關設備對本地同一租戶內的伺服器進行分組包括: 所述網關設備基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
9.一種同一租戶內伺服器間的通信控制方法,其特徵在於,所述方法包括: 網關設備接收報文; 所述網關設備確定所述報文中是否攜帶所述報文的源伺服器的伺服器分組標識; 當所述報文中攜帶所述報文的源伺服器的伺服器分組標識時,所述網關設備獲取所述報文中的所述源伺服器的伺服器分組標識,並根據本地存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 所述網關設備對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗; 所述網關設備在所述互通校驗通過後向所述目的伺服器發送所述報文。
10.根據權利要求9所述的方法,其特徵在於,在所述網關設備根據本地存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識之前,所述方法還包括: 所述網關設備對本地同一租戶內的伺服器進行分組; 所述網關設備為所述分組分配標識,生成所述分組標識配置表。
11.根據權利要求10所述的方法,其特徵在於,所述網關設備對本地同一租戶內的伺服器進行分組,包括: 所述網關設備基於所述網關設備的埠為對本地同一租戶內的伺服器進行分組;或者, 所述網關設備基於伺服器的MAC地址為對本地同一租戶內的伺服器進行分組;或者,所述網關設備基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
12.一種網關設備,其特徵在於,包括: 接收單元,用於接收源伺服器發送的第一報文; 存儲單元,用於存儲分組標識配置表; 第一獲取單元,用於根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 報文生成單元,用於在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文;發送單元,用於發送所述第二報文。
13.根據權利要求12所述的網關設備,其特徵在於,還包括: 第二獲取單元,用於在所述報文生成單元在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文之前,獲得所述第一報文的目的伺服器的伺服器分組標識; 校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗,在校驗通過後再由所述報文生成單元在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文。
14.根據權利要求12或13所述的網關設備,其特徵在於,還包括: 分組單元,用於在所述第一獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組; 標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。
15.根據權利要求14所述的網關設備,其特徵在於, 所述分組單元,具體用於基於所述網關設備的埠為對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址為對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
16.根據權利要求12至15中任意一項所述的網關設備,其特徵在於, 所述報文生成單元,具體用於當所述第一報文為虛擬可擴展區域網協議報文時,在所述第一報文的Reserved欄位的第一個字節中添加所述源伺服器的伺服器分組標識,獲得所述第二報文;或,當所述第一報文為使用通用路由封裝技術實現二層網絡虛擬化的協議報文時,在所述第一報文的ReservedO的後8個bit中添加所述源伺服器的伺服器分組標識,獲得所述第二報文。
17.—種網關設備,其特徵在於,包括: 接收單元,用於接收源伺服器發送的報文; 存儲單元,用於存儲分組標識配置表; 標識獲取單元,用於根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,並獲取所述報文的目的伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗; 發送單元,用於在互通校驗通過後發送所述報文。
18.根據權利要求17所述的網關設備,其特徵在於,還包括: 分組單元,用於在所述標識獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組; 標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。
19.根據權利要求18所述的網關設備,其特徵在於, 所述分組單元,具體用於基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
20.一種網關設備,其特徵在於,包括: 存儲單元,用於存儲分組標識配置表; 接收單元,用於接收報文; 確定單元,用於確定所述報文中是否攜帶所述報文的源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通; 標識獲取單元,用於當所述確定單元確定所述報文中攜帶所述報文的源伺服器的伺服器分組標識時,獲取所述報文中的所述源伺服器的伺服器分組標識,並根據所述存儲單元存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識; 校驗單元,用於對所述源伺服器的伺服器分組標識和所述目的伺服器的伺服器分組標識進行互通校驗; 發送單元,用於在所述互通校驗通過後向所述目的伺服器發送所述報文。
21.根據權利要求20所述的網關設備,其特徵在於,還包括: 分組單元,用於在所述標識獲取單元根據所述存儲單元存儲的分組標識配置表獲取所述報文的目的伺服器的伺服器分組標識之前,對本地同一租戶內的伺服器進行分組; 標識生成單元,用於為所述分組分配標識,生成所述分組標識配置表。
22.根據權利要求21所述的網關設備,其特徵在於, 所述分組單元,具體 用於基於所述網關設備的埠對本地同一租戶內的伺服器進行分組;或者,基於伺服器的MAC地址對本地同一租戶內的伺服器進行分組;或者,基於伺服器報文中攜帶的用戶端虛擬區域網標識CVLAN-1D對本地同一租戶內的伺服器進行分組,其中,不同的伺服器分組具有不同的CVLAN-1D。
全文摘要
本發明實施例公開了同一租戶內伺服器間的通信控制方法及網絡設備。網關設備接收源伺服器發送的第一報文;所述網關設備根據本地存儲的分組標識配置表獲取所述源伺服器的伺服器分組標識,所述伺服器分組標識用於表明伺服器所屬的分組,屬於不同分組的伺服器不能互通;所述網關設備在所述第一報文中添加所述源伺服器的伺服器分組標識,獲得第二報文;所述網關設備發送所述第二報文。該方法實現了同一個VNI或VSID內的伺服器間的互通或隔離控制。
文檔編號H04L12/46GK103118149SQ20131006776
公開日2013年5月22日 申請日期2013年3月4日 優先權日2013年3月4日
發明者胡中鋒 申請人:華為技術有限公司