虚拟网络的网络策略配置方法及装置制造方法

虚拟网络的网络策略配置方法及装置制造方法
【专利摘要】本发明公开了一种虚拟网络的网络策略配置方法及装置，其中，该方法包括：服务器接收虚拟机管理中心发送的建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；所述服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息；能够降低处理开销。
【专利说明】虚拟网络的网络策略配置方法及装置
【技术领域】
[0001]本发明实施例涉及通信【技术领域】，尤其涉及一种虚拟网络的网络策略配置方法及
装直。
【背景技术】
[0002]随着虚拟技术的引入，虚拟机(英文:Virtual Machine，简称VM)可以在服务器内动态地创建与消除，或者在服务器之间进行迁移。
[0003]—般来说，一个用户可以在服务器中建立多个VM,由于该多个VM属于同一个用户，该用户可以设置该多个VM对应的通用网络策略和个性网络策略，其中，通用网络策略针对同一用户建立的每个VM均是相同的，例如，同属一个用户的多个VM共同遵守一组接入控制列表(英文:Access Control List,简称:ACL)策略。
[0004]然而，按照通常的方法，在用户已在服务器中建立有VM的情况下，如果该用户想在同一服务器中建立新的VM，服务器也需要将与该新建的VM相关的网络策略配置信息(包括通用网络策略配置信息和个性网络策略配置信息)发送给与该新建的VM通信的网络设备，以使网络设备根据与该新建的VM相关的网络策略配置信息为该新建的VM配置相应的网络策略，因此，会增加处理开销。

【发明内容】

[0005]本发明提供一种虚拟网络的网络策略配置方法及装置，能够降低处理开销。
[0006]第一方面，本发明提供一种虚拟网络的网络策略配置方法，包括:
[0007]服务器接收虚拟机管理中心发送的建立虚拟网络的网络策略消息,所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0008]所述服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0009]基于第一方面，在第一种可能的实现方式中，所述服务器向网络设备发送网络策略同步消息之后，包括:
[0010]所述服务器接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID ；
[0011]所述服务器向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID，以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0012]基于第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0013]所述服务器接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机所属的VNID ；[0014]所述服务器若确定本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID,以使所述网络设备根据所述VNID，将与所述VNID对应的网络策略配置信息与所述需要删除的虚拟机进行解结合处理；
[0015]所述服务器若确定本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送删除网络策略的同步消息，所述删除网络策略的同步消息中包含所述需要删除的虚拟机所属的VNID，以使所述网络设备删除与所述VNID对应的网络策
略配置信息。
[0016]基于第一方面的第一种可能的实现方式，在第三种可能的实现方式中，所述方法还包括:
[0017]所述服务器接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更信息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0018]所述服务器向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含所述需要更新网络策略的VNID及新的网络策略配置信息。
[0019]第二方面，本发明提供一种虚拟网络的网络策略配置方法，包括:
[0020]网络设备接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0021]所述网络设备在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
[0022]基于第二方面，在第一种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，包括:
[0023]所述网络设备接收所述服务器发送的结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID ；
[0024]根据所述需要建立的虚拟机的VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0025]基于第一方面的第一种可能的实现方式，在第二种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0026]所述网络设备接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID;
[0027]所述网络设备根据所述需要删除的虚拟机的VNID，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，将所述需要删除的虚拟机与所述VNID对应的网络策略配置信息进行解结合处理；
[0028]若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则删除所述VNID对应的网络策略配置信息。
[0029]基于第一方面的第一种可能的实现方式，在第三种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0030]所述网络设备接收所述服务器发送的删除网络策略同步消息，所述删除网络策略同步消息中包含需要删除网络策略配置信息的VNID ；
[0031]所述网络设备删除与所述VNID对应的网络策略配置信息。[0032]基于第一方面的第一种可能的实现方式，在第四种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0033]所述网络设备接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0034]所述网络设备根据所述新的网络策略配置信息，更新与所述VNID对应的网络策略配置信息。
[0035]第三方面，本发明提供一种虚拟网络的网络策略配置装置，包括:
[0036]接收模块，用于接收虚拟机管理中心发送的建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0037]发送模块，用于向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0038]第四方面，本发明提供一种虚拟机的网络策略配置装置，包括:
[0039]接收模块，用于接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0040]建立模块，用于在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
[0041]本发明通过服务器在接收到虚拟机管理中心发送的建立虚拟网络的网络策略消息时，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；该服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，以使所述网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当存在同属一个VNID的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，可以降低系统的处理开销。
【专利附图】

【附图说明】
[0042]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0043]图1为本发明一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0044]图2为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0045]图3为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0046]图4为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0047]图5为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0048]图6为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；
[0049]图7为本发明另一实施例提供的虚拟网络的网络策略配置方法的信令图；
[0050]图8为本发明另一实施例提供虚拟网络的网络策略配置装置的结构示意图；[0051]图9为本发明另一实施例提供虚拟网络的网络策略配置装置的结构示意图；
[0052]图10为本发明另一实施例提供虚拟网络的网络策略配置系统的结构示意图；
[0053]图11为本发明实施例应用的新的VDP的消息格式示意图；
[0054]图12为图11所示VDP的消息格式中TLV类型与对应的Value值之间的对应关系示意图；
[0055]图13为图11所示策略类型Policy Type与对应的TLV Type的Value值之间的对应关系不意图。
【具体实施方式】
[0056]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0057]图1为本发明一实施例提供的虚拟网络的网络策略配置方法的流程示意图，如图1所示，本实施例的虚拟网络的网络策略配置方法可以包括:
[0058]101、服务器接收虚拟机管理中心发送的建立虚拟网络的网络策略消息。
[0059]其中，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0060]102、所述服务器向网络设备发送网络策略同步消息。
[0061 ] 其中，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0062]其中，网络策略即授权使用该虚拟机的特定用户或者一组用户，能否访问整个网络或网络的特定部分，以及使用网络资源的权限。举例来说，上述一组用户为同属一个虚拟局域网(英文:Virtual Local Area Network,简称 VLAN)的用户。
[0063]其中，网络策略配置信息用于网络设备建立与所述VNID对应的网络策略；举例来说，网络策略配置信息是用于网络设备为所述VNID对应的虚拟机配置访问控制列表(英文:Access Control List,简称 ACL),服务质量(英文:Quality of Service,简称 QoS)或其组合的配置信息，网络策略配置信息还可以是入侵保护(英文=Intrusion ProtectSystem,简称IPS)安全策略信息和入侵检测IDS (英文intrusion Detect System,简称IDS)安全策略信息。
[0064]对应地，网络设备接收到服务器发送的网络策略同步消息之后，可以验证待建立的虚拟网络的网络策略配置信息的适配性；若验证成功，建立所述待建立的虚拟网络的VNID与所述待建立的虚拟网络对应的网络策略配置信息之间的对应关系，举例来说，网络设备可以建立与所述VNID对应的网络策略列表，并将所述需要建立的虚拟网络的网络配置信息添加到建立的VNID对应的网络策略列表中。
[0065]上述网络策略同步消息举例来说，包括新的VDP协议中的预关联消息或关联消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0066]103、所述服务器接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID。[0067]在本发明的一个实施方式中，当需要在服务器上新创建一个虚拟机时，虚拟机管理中心vCenter向服务器发送指示服务器建立虚拟机的消息，以下将该指示服务器建立虚拟机的消息称为建立虚拟机消息，其中，建立虚拟机消息中包括需要建立的虚拟机的虚拟网络身份标识(英文=Virtual Network ID，简称VNID)，其中，虚拟机的VNID用以表示该虚拟机所属用户的虚拟网络身份标识；通常，同一用户在同一服务器上建立多个虚拟机时，该多个虚拟机的VNID是相同的。具体地，虚拟机管理中心vCenter可以通过应用程序编程接口(英文！Application Programming Interface,简称API)将建立虚拟机消息发送给服务器。
[0068]为了区别同一用户在同一服务器中建立的多个虚拟机，例如，虚拟机管理中心vCenter还可以通过应用程序编程API接口将需要建立的虚拟机的虚拟机地址(英文:VMaddress)发送给服务器，其中，VM address可以是网络层地址，如第四版互联网协议(英文:Internet Protocol, IP version 4,简称IPv4)地址或第六版互联网协议(英文:InternetProtocol, IP version 6,简称IPv6)地址,也可以是数据链路层地址,如介质访问控制(英文:Media Access Control,简称 MAC)地址。
[0069]服务器根据接收到的建立虚拟机消息，可以在本地建立相应的虚拟机。
[0070]104、所述服务器向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID，以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0071]其中，结合(英文association)或预结合(英文:pre_association)消息用以指示网络设备根据需要建立的虚拟机所属的VNID，将所述VNID对应的网络策略配置与需要建立的虚拟机结合起来。具体实现时，网络设备例如可以根据需要建立的虚拟机所属的VNID，可以查询本地是否存在与该VNID对应的网络策略列表，若存在，网络可以根据预结合消息，将所述需要建立的虚拟机的标识添加到与该VNID对应的网络策略列表中，此时，所述需要建立的虚拟机与网络策略配置之间的对应关系处于不使能状态；或者网络设备可以根据结合消息，将所述需要建立的虚拟机的标识添加到与该VNID对应的网络策略列表中，并同时使能所述需要建立的虚拟机与网络策略配置之间的对应关系。
[0072]举例来说，上述结合或预结合消息具体为新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery and Configuration Protocol,简称 VDP)中的予页关联(英文:Pre_Associate)消息或关联(英文Associate)消息,或者结合或预结合消息具体为新的边界网关协议(英文:Border Gateway Protocol,简称BGP)中的流描述(英文:Flow Specification)消息。
[0073]本实施例的网络设备与同属同一个虚拟网络中的虚拟机进行通信连接，例如，对发自或发往同属同一个虚拟网络中的虚拟机的消息进行处理的网络设备。网络设备可以是网络交换机或路由器。
[0074]本发明通过服务器在接收到虚拟机管理中心发送的建立虚拟网络的网络策略消息时，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；该服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，以使所述网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当存在同属一个VNID的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，以使所述网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理；从而可以降低系统的处理开销。
[0075]同时，本实施例中不需要通过第三方设备，例如nCenter和vCenter,网络设备也能实现虚拟机VM的网络策略配置；不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0076]图2为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图，通过图1所示实施例的方法在网络设备中为新建的虚拟机的配置网络策略的基础上，当虚拟机管理中心想要删除服务器中已经建立的虚拟机时，具体实现过程如图2所示，本实施例的虚拟网络的网络策略配置方法进一步包括:
[0077]201、服务器接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机的VNID。
[0078]在本发明的一个实施方式中，当需要在服务器上删除一个虚拟机VM时，虚拟机管理中心vCenter向服务器发送用以指示服务器删除虚拟机的消息，以下将该指示服务器删除虚拟机的消息称为删除虚拟机消息，具体地，虚拟机管理中心vCenter通过应用程序编程接口 API将删除虚拟机消息发送给服务器。
[0079]其中，删除虚拟机消息中至少包含需要删除的虚拟机所属的VNID。例如，删除虚拟机消息中还包括需要删除的虚拟机的VM address ;服务器根据需要删除的虚拟机的VMaddr e s s,删除对应的虚拟机相关的信息。
[0080]202、服务器确定本地是否存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，若确定本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则执行步骤203，若确定本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则执行步骤204。
[0081]203、服务器向网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID。
[0082]其中，解结合(英文:De_association)消息为指示网络设备将与该VNID对应的网络策略配置信息与所述需要删除的虚拟机进行解结合处理的消息，举例来说，解结合消息具体包括新的VDP协议中的解关联(英文:De_associate)消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0083]具体实现时，举例来说，网络设备可以根据所述需要删除的虚拟机的VNID，确定网络设备本地是否存在与该VNID对应的网络策略列表，若存在，则将所述需要删除的虚拟机从所述VNID对应的网络策略列表中删除。此时，网络设备不需要删除所述VNID对应的网络策略列表。
[0084]204、服务器向网络设备发送删除网络策略同步消息，所述删除网络策略同步消息中包含所述需要删除的虚拟机的VNID。
[0085]上述删除网络策略的同步消息举例来说，包括新的VDP协议中的预关联消息或关联消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0086]具体实现时，例如网络设备可以根据接收到的删除网络策略的同步消息，确定网络设备本地是否存在与该VNID对应的网络策略列表，若存在，则删除与该VNID对应的网络策略列表和/或与该VNID对应的组播地址信息。
[0087]本发明实施例通过服务器在接收到虚拟机管理中心发送的删除虚拟机消息时，且根据需要删除的虚拟机的VNID，确定服务器本地已经存在同属所述需要建立的虚拟机的VNID的其他虚拟机时，向与所述虚拟机通信的网络设备发送解结合消息，所述解结合消息中包含需要删除的虚拟机的VNID，以使所述网络设备将所述VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理；不需要通过第三方设备，例如nCenter和vCenter，也能删除已经配置的虚拟机VM的网络策略配置；不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0088]图3为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图，通过图1所示实施例的方法在网络设备中为新建的虚拟机的配置网络策略的基础上，当虚拟机管理中心想要改变该虚拟机的网络策略配置时，需要在网络设备中更新与该虚拟机相关的网络策略配置信息，具体实现过程如图3所示，本实施例的虚拟网络的网络策略配置方法进一步包括:
[0089]301、服务器接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更消息中包含需要更新网络策略的VNID及新的网络策略配置信息。
[0090]假设网络运行环境发生变化，或者需要改变虚拟机的服务质量或带宽时，例如，虚拟机当前的访问权限是不能访问外部网络，假设虚拟机管理中心vCenter将该虚拟机的访问权限设置为可以访问外部网络；又例如，虚拟机当前的网络带宽为50M，虚拟机管理中心vCenter将该虚拟机的网络带宽设置为100M ;需要相应的修改该虚拟机的网络策略配置信息，具体实现时，虚拟机管理中心vCenter向服务器发送用以指示服务器更新虚拟机网络策略的消息，以下将该指示服务器更新虚拟机网络策略的消息称为网络策略变更消息，具体地，虚拟机管理中心vCenter通过应用程序编程接口 API将网络策略变更消息发送给服务器。
[0091]302、服务器向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息。
[0092]其中，网络策略变更同步消息为指示网络设备根据需要更新的网络策略配置信息，更新与该VNID对应的网络策略的消息，举例来说，网络策略变更同步消息包括新的VDP协议中的预关联消息或关联消息或者新的BDP协议中的流描述(英文:FlowSpecification)消息等。
[0093]在本发明的一个实施方式中，网络设备接收网络策略变更同步消息之后，根据需要更新网络策略的VNID，若确定本地存在与该VNID对应的网络策略列表，则根据新的网络策略配置信息，更新本地与该VNID对应的网络策略列表中的网络策略配置信息。
[0094]本发明实施例通过服务器在接收到虚拟机管理中心发送的网络策略变更消息时，向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息，以使所述网络设备更新本地与所述VNID对应的网络策略列表中的网络策略配置信息；当存在同属一个VNID的多个虚拟机时，不需要网络设备重复地更新每个虚拟机对应的网络策略，从而可以减低系统的处理开销。[0095]同时本实施例不需要通过第三方设备，例如nCenter和vCenter,网络设备即可更新虚拟机的网络策略，不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0096]图4为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图；如图4所示，本实施例的虚拟网络的网络策略配置方法包括:
[0097]401、网络设备接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0098]其中，网络策略即授权使用该虚拟机的特定用户或者一组用户，能否访问整个网络或网络的特定部分，以及使用网络资源的权限。举例来说，上述一组用户为同属一个虚拟局域网(英文:Virtual Local Area Network,简称 VLAN)的用户。
[0099]其中，网络策略配置信息用于网络设备建立与所述VNID对应的网络策略；举例来说，网络策略配置信息是用于网络设备为所述VNID对应的虚拟机配置访问控制列表(英文:Access Control List,简称 ACL),服务质量(英文:Quality of Service,简称 QoS)或其组合的配置信息，网络策略配置信息还可以是入侵保护(英文=Intrusion ProtectSystem,简称IPS)安全策略信息和入侵检测IDS (英文intrusion Detect System,简称IDS)安全策略信息。
[0100]举例来说，网络策略同步消息具体包括新的VDP协议中的解关联(英文:De-associate)消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0101]402、网络设备在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
[0102]其中，对于网络策略配置信息的适配性验证，例如，网络设备可以验证待建立的虚拟网络的网络策略配置信息的属性是否与该网络设备原有配置存在冲突，若待建立的虚拟网络的网络策略配置信息的属性与该网络设备原有配置不存在冲突认，则验证适配性成功。
[0103]对于建立所述VNID与所述网络策略配置信息之间的对应关系，举例来说，网络设备可以建立与所述VNID对应的网络策略列表，并将所述需要建立的虚拟网络的网络配置信息添加到建立的VNID对应的网络策略列表中。
[0104]403、网络设备接收服务器发送的结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机所属的VNID。
[0105]在本发明的一个实施方式中，当服务器需要在建立的虚拟网络中建立虚拟机时，服务器向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机所属的VNID。
[0106]其中，结合或者预结合消息为指示网络设备将与该VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合起来的消息，举例来说，上述结合或预结合消息具体为新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery andConfiguration Protocol,简称VDP)中的预关联(英文:Pre_Associate)消息或关联(英文:Associate)消息,或者结合或预结合消息具体为新的边界网关协议(英文:Border GatewayProtocol,简称 BGP)中的流描述(英文:Flow Specification)消息。
[0107]404、网络设备根据所述需要建立的虚拟机所属的VNID，将与所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0108]具体实现时，网络设备例如可以根据需要建立的虚拟机所属的VNID，可以查询本地是否存在与该VNID对应的网络策略列表，若存在，网络可以根据预结合消息，将所述需要建立的虚拟机的标识添加到与该VNID对应的网络策略列表中，此时，所述需要建立的虚拟机与网络策略配置之间的对应关系处于不使能状态；或者网络设备可以根据结合消息，将所述需要建立的虚拟机的标识添加到与该VNID对应的网络策略列表中，并同时使能所述需要建立的虚拟机与网络策略配置之间的对应关系。
[0109]本实施例的网络设备与同属同一个虚拟网络中的虚拟机进行通信连接，例如，对发自或发往同属同一个虚拟网络中的虚拟机的消息进行处理的网络设备。网络设备可以是网络交换机或路由器。
[0110]可选地，网络设备对需要建立的虚拟机进行网络策略配置信息的结合或预结合之后，可以向服务器发送结合或预结合成功的消息；若网络设备验证所述网络策略配置信息的适配性不成功，则向服务器发送配置不成功的消息。
[0111]本发明实施例在网络设备接收到服务器发送的网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当服务器在同属一个VNID的虚拟网络中建立的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理，从而可以降低系统的处理开销。
[0112]同时本实施例不需要通过第三方设备，例如nCenter和vCenter,也能实现虚拟机VM的网络策略配置；不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0113]图5为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图，在图4所示的实施例的基础上，当服务器删除已经建立的虚拟机时，为了释放网络设备的资源，与该虚拟机通信的网络设备也需要释放与该已经删除的虚拟机相关的网络策略配置，如图5所示，本实施例的虚拟网络的网络策略配置方法进一步包括:
[0114]501、网络设备接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID。
[0115]在本发明的一个实施方式中，若服务器确定所述服务器本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向与需要删除的虚拟机通信的网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID。
[0116]其中，解结合(英文:De-associate)消息为指示网络设备将与该VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理的消息，举例来说，解结合消息具体包括新的VDP协议中的解关联(英文:De_associate)消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0117]502、所述网络设备确定本地是否存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则执行步骤503，若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则执行步骤504。
[0118]例如，网络设备可以设置同属于一个VNID的虚拟机信息列表，其中，虚拟机信息列表中可以设置多个虚拟机的信息，网络设备可以根据所述需要删除的虚拟机的VNID，查询需要删除的虚拟机的VNID对应的虚拟机信息列表，若虚拟机信息列表中包含多个虚拟机的信息，则确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息。
[0119]503、所述网络设备将与所述VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理。
[0120]举例来说，网络设备根据所述VNID，查找与所述VNID对应的网络策略列表，将所述需要删除的虚拟机的标识从所述VNID对应的网络策略列表中删除。
[0121]可选地，网络设备将与所述需要删除的虚拟机的VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理之后，可以向服务器发送解结合成功的消息。
[0122]504、所述网络设备删除与所述VNID对应的网络策略配置信息。
[0123]在本发明的另一个实施方式中，若服务器确定所述服务器本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向网络设备发送删除网络策略的同步消息，所述删除网络策略的同步消息中包含所述需要删除的虚拟机的VNID。
[0124]举例来说，网络设备可以根据接收到的删除网络策略的同步消息中包含的需要删除的虚拟机的VNID，删除与该VNID对应的网络策略配置信息和/或与该VNID对应的组播地址信息。
[0125]本发明实施例在网络设备接收到虚拟机管理中心发送的解结合消息时，所述解结合消息中包含需要删除的虚拟机的VNID，根据需要删除的虚拟机的VNID，将与所述需要删除的虚拟机的VNID对应的网络策略配置信息与所述需要删除的虚拟机进行解结合处理，能够实现不需要通过第三方设备，例如nCenter和vCenter,也能删除已经配置的虚拟机VM的网络策略配置；不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0126]图6为本发明另一实施例提供的虚拟网络的网络策略配置方法的流程示意图，通过图4所示实施例的方法在网络设备中为新建的虚拟机配置网络策略的基础上，当虚拟机管理中心想要改变该虚拟机的网络策略配置时，需要在网络设备中更新与该虚拟机相关的网络策略配置信息，具体实现过程如图6所示，本实施例的虚拟网络的网络策略配置方法进一步包括:
[0127]601、网络设备接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息。
[0128]假设网络运行环境发生变化，或者需要改变虚拟机的服务质量或带宽时，例如，虚拟机当前的访问权限是不能访问外部网络，假设虚拟机管理中心vCenter将该虚拟机的访问权限设置为可以访问外部网络；又例如，虚拟机当前的网络带宽为50M，虚拟机管理中心vCenter将该虚拟机的网络带宽设置为100M ;需要相应的修改该虚拟机的网络策略配置信息，具体实现时，网络设备接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息。
[0129]其中，网络策略变更同步消息用以指示网络设备更新与所述VNID对应的网络策略列表中的网络策略配置信息，举例来说，网络策略变更同步消息具体包括新的VDP协议中的预关联消息或关联消息或者新的BDP协议中的流描述(英文:Flow Specification)消息等。
[0130]602、所述网络设备根据所述需要更新网络策略的VNID及新的网络策略配置信息，更新与所述VNID对应的网络策略列表中的网络策略配置信息。
[0131]具体实现时，网络设备可以根据需要更新网络策略的VNID，查询本地是否存在与该VNID对应的网络策略，若存在，则根据新的网络策略配置信息，更新与所述VNID对应的网络策略列表中的网络策略配置信息。
[0132]本发明实施例在网络设备接收到虚拟机管理中心发送的网络策略变更同步消息时，根据网络策略变更同步消息中包含的需要更新网络策略的VNID，查询本地是否存在与该VNID对应的网络策略列表，若存在，则根据新的网络策略配置信息，更新与所述VNID对应的网络策略列表中的网络策略配置信息；当存在同属一个VNID的多个虚拟机时，不需要网络设备重复地更新每个虚拟机对应的网络策略，从而可以减低系统的处理开销。
[0133]同时本实施例不需要通过第三方设备，例如nCenter和vCenter,网络设备即可更新虚拟机的网络策略，不仅简化系统网络架构，而且也能改善现有的网络策略配置实时性差而导致的网络策略配置效率低的问题，提高了网络策略配置的效率。
[0134]图7为本发明另一实施例提供的虚拟网络的网络策略配置方法的消息图；当需要将虚拟机VM从第一 VM服务器迁出到第二 VM服务器时，本实施例的虚拟机的网络策略配置过程，如图7所示,包括:
[0135]701、vCenter通知第一 VM服务器准备迁出VM。
[0136]具体实现时，vCenter通过应用程序编程接口 API向第一 VM服务器发送待迁出VM的信息，例如，待迁出VM的信息中包含待迁出VM的VNID和VM adress。其中，VM address可以是三层网络地址，如IPv4或IPv6，也可以是二层网络地址，如MAC地址。
[0137]702、vCenter通知第二 VM服务器准备迁入VM。
[0138]具体实现时，vCenter通过应用程序编程接口 API向第二 VM服务器发送待迁入VM的信息，其中，待迁入VM的信息中至少包含待迁入VM的VNID。
[0139]其中，待迁入VM的VNID与上述待迁出VM的VNID相同。
[0140]703、第二 VM服务器确定本地是否存在与所述VNID对应的虚拟网络，若是则执行步骤704，否则执行步骤706。
[0141]704、第二 VM服务器向第二网络设备发送关联消息。
[0142]其中，关联消息中包含待迁入VM的VNID。
[0143]705、第二网络设备将与所述VNID对应的网络策略配置信息与待迁入的VM进行关联处理。
[0144]具体地，例如，第二网络设备根据关联消息中包含的VNID，查询与所VNID对应的网络策略列表，将待迁入VM的标识添加到所VNID对应的网络策略列表，并且使能待迁入VM的网络策略配置信息。
[0145]可选地，第二网络设备向第二 VM服务器发送关联成功的消息。
[0146]706、第二 VM服务器向第二网络设备发送网络策略同步消息。
[0147]其中，网络策略同步消息中包含待迁入VM的VNID以及对应的网络策略配置信息。[0148]707、第二网络设备验证网络策略配置信息适配性成功之后，建立所述VNID对应的网络策略配置信息。
[0149]如果网络策略配置信息的所有属性与第二网络设备原有配置无冲突，所请求的资源分配也可满足时，认为验证通过，第二网络设备按照网络策略同步消息中包含的网络策略配置信息建立VNID与网络策略配置信息之间的对应关系，例如VNID对应的网络策略列表，之后，将待迁入VM的标识添加到所VNID对应的网络策略列表，并且使能待迁入VM的网络策略配置信息。
[0150]可选地，第二网络设备向第二 VM服务器发送关联成功的消息。
[0151]其中，上述第二网络设备为与VNID对应的虚拟网络进行通信的网络设备，第二网络设备包括网络交换机或路由器。
[0152]708、第一 VM服务器确定本地是否存在同属所述VNID的其他VM，若是则执行步骤709，否则执行步骤711。
[0153]709、第一 VM服务器向第一网络设备发送解关联消息。
[0154]其中，解关联消息中包括所需删除的VM的VNID。
[0155]第一网络设备为与VNID对应的虚拟网络进行通信的网络设备，第一网络设备包括网络交换机或路由器。
[0156]710、第一网络设备根据所需删除的VM的VNIDJf VNID对应的网络策略配置信息与所需删除的VM进行解关联处理。
[0157]例如，将所需删除的VM的标识从VNID对应网络策略列表中删除。
[0158]可选地，第一网络设备向第一 VM服务器返回解关联成功的消息。
[0159]711、第一 VM服务器向第一网络设备发送删除网络策略的同步消息。
[0160]其中，所述删除网络策略的同步消息中包含所述需要删除的虚拟机的VNID。
[0161]712、第一网络设备根据删除网络策略的同步消息，删除VNID对应的网络策略配置信息。
[0162]可选地，第一网络设备向第一 VM服务器返回删除成功消息。
[0163]上述步骤701和702可以平行进行，上述步骤704和709可以平行进行，上述步骤705和710可以平行进行，上述步骤706和711可以平行进行，上述步骤707和712可以平行进行。
[0164]上述过程中，是以关联消息为例携带虚拟机的VNID，上述方法也可以同样适用于预关联消息。
[0165]在虚拟网络中，当该虚拟网络的网络策略发生变化时，可以采用重新发送关联消息的方式，关联消息中包含虚拟网络的VNID以及新的网络策略配置信息，网络设备根据VNID以及更新的网络策略配置信息，更新VNID对应的网络策略配置信息。
[0166]本发明实施例当虚拟机VM发生迁徙的情况下，即从一服务器中迁入到另一服务器时，可以查询另一服务器中是否存在与需要迁入的VM所属的VNID相同的虚拟网络，若是，另一服务器向网络设备发送包含所述VNID的关联消息，以使网络设备根据关联消息，将所述VNID对应的网络策略配置信息与需要建立的虚拟机进行关联处理，从而不需要另一服务器将网络策略配置信息重复地发送给网络设备进行配置，可以降低系统的处理开销。[0167]上述各实施例采用的结合或预结合消息、解结合消息、网络策略同步消息、网络策略变更同步消息、删除网络策略的同步消息的通信协议为可以运行于服务器与网络设备之间，且能够携带虚拟机的VNID的协议,例如包括新的边界网关协议(英文:order gatewayprotocol,简称BGP)或新的虚拟机发现和配置协议(英文:Virtual Station InstantDiscovery and Configuration Protocol,简称VDP)或新的链路层发现协议(英文:Link Layer Discovery Protocol,简称LLDP)或新的可扩展通讯和表示协议(英文:theExtensible Messaging and Presence Protocol,简称 XMPP)中的至少一项。
[0168]下文以新的虚拟机发现和配置协议VDP为例，对新的VDP的消息格式进行详细的说明。
[0169]图11为本发明实施例应用的新的VDP的消息格式示意图；图12为图11所示VDP的消息格式中TLV类型与对应的Value值之间的对应关系示意图；图13为图11所示策略类型Policy Type与对应的TLV Type的Value值之间的对应关系示意图。
[0170]其中，TLV为类型长度数值(英文:Type Length Value)，VSI为虚拟站实例(英文:Virtual Station Instance)。
[0171]如图11所示，字段VSI Type ID用于携带VSI所属的VNID信息，也就是说，VSIType ID为VNID，网络设备通过读取VDP报文中的VSI Type ID字段，可以获知对应VSI所属的VNIDt5VSI Type ID字段占24bit，对应地最大可支持租户数为224 ;VSI Type Version字段占8bit空间，可用于与VSIType ID组合共同表示VNID信息，组合后最大可支持租户数为232。
[0172]如图11所示，字段Policy Type用于携带网络策略类型，其中，不同的策略类型Policy Type对应的不同TLV Type的Value值，在实际应用中，可以根据实际需要，对字段的描述，值的选择，格式的表达，以及不同类型的拆分、组合等做相应更改。
[0173]针对不同策略类型(英文:Policy type),策略信息(英文:Policy Info)字段可以由服务器和网络设备进行协商，只要保证服务器和网络设备能够相互理解即可。
[0174]例如，对于Policy type 为 VN Policy 时，VN Policy 对应的 TLV Type 的 Value值中至少包含两个字段，其中一个字段为该虚拟机VM所属的虚拟网络身份(英文=VirtualNetwork Identification,简称VNID),例如租户的身份ID,另一个字段为该VNID对应的组播地址，该VNID对应的组播地址用于在虚拟网络中进行数据组播；
[0175]例如，对于Policy type 为 IGMP snooping 或者 DHCP snooping 时，Policy Info字段可以包含使能或不使能两个状态信息。
[0176]如图12所示，字段TLV Type在原始定义的基础上，增加了网络策略同步PolicySync、网络策略更新Policy Update以及网络策略删除Policy Remove,其中,Policy Sync用以携带网络策略同步消息，Policy Update用以携带网络策略变更同步消息，PolicyRemove用以携带网络策略删除同步消息。在实际应用中，可以根据需要，对字段的描述，value的选择，格式的表达，以及不同类型的拆分。
[0177]如上所述，本发明实施例还可以采用其他可以运行于服务器与网络设备之间，且能够携带虚拟机的网络策略配置信息的协议，例如新的BGP或XMPP或LLDP等协议；新的BGP或XMPP或LLDP等协议与新的VDP协议的主要区别点在于消息格式的不同。例如新的BGP协议中流描述(英文:FlowSpecification)消息可以实现本发明各实施例中的预结合消息或结合消息以及解结合消息的功能，其中，虚拟机的VNID及对应的网络策略配置信息可以由流描述(英文:Flow Specification)消息携带,在VSI同步过程中由服务器发送给网络设备，以使网络设备完成该虚拟机的网络策略配置。
[0178]本发明各实施例中，与虚拟网络通信的网络设备至少包括一个，当与虚拟网络通信的网络设备为多个，服务器可以通过结合或预结合消息，将该虚拟网络的VNID分别发送给网络设备，以使每个接收到结合或预结合消息的网络设备将VNID对应的网络策略配置信息与同属该虚拟网络的多个虚拟机进行结合或预结合处理；
[0179]或者服务器可以通过解结合消息，将该虚拟机的VNID分别发送给网络设备，以使每个接收到解结合消息的网络设备解结合与该虚拟机相关的网络策略。
[0180]本发明各实施例中采用的通信协议，例如，新的VDP或BGP或XMPP或LLDP等协议，除用于携带虚拟机的VNID以外，还可以携带虚拟机的信息以及VNID对应虚拟网络组播地址,这对于组建数据中心虚拟网络的益处很明显。
[0181]图8为本发明另一实施例提供的虚拟网络的网络策略配置装置的结构示意图；如图8所示，该虚拟网络的网络策略配置装置例如可以为服务器，具体包括:
[0182]接收模块81，用于接收虚拟机管理中心发送的建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0183]发送模块82，用于向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0184]在第一种可能的实现方式中，接收模块81，还用于接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID ；
[0185]发送模块82，还用于向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID，以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0186]在第二种可能的实现方式中，接收模块81，还用于接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机所属的VNID ；
[0187]所述装置还包括:
[0188]确定模块83，用于确定所述服务器本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机；
[0189]发送模块82，还用于向所述网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机所属的VNID ；
[0190]确定模块83，还用于确定所述服务器本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机；
[0191]发送模块82，还用于向所述网络设备发送删除网络策略同步消息，所述删除网络策略同步消息中包含所述需要删除的虚拟机所属的VNID。
[0192]在第三种可能的实现方式中，接收模块81，还用于接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更消息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0193]发送模块82，还用于向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含所述需要更新网络策略的VNID及新的网络策略配置信息。
[0194]上述结合或预结合消息、解结合消息、网络策略同步消息、网络策略变更同步消息、删除网络策略的同步消息的通信协议为可以运行于服务器与网络设备之间，且能够携带虚拟机的VNID的协议,例如包括新的边界网关协议(英文:order gateway protocol,简称BGP)或新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery andConfiguration Protocol,简称VDP)或新的链路层发现协议(英文:Link Layer DiscoveryProtocol,简称LLDP)或新的可扩展通讯和表示协议(英文:the Extensible Messagingand Presence Protocol,简称 XMPP)中的至少一项。
[0195]本发明通过服务器在接收到虚拟机管理中心发送的建立虚拟网络的网络策略消息时，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；该服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，以使所述网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当存在同属一个VNID的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，以使所述网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理；从而可以降低系统的处理开销。
[0196]图9为本发明另一实施例提供的虚拟网络的网络策略配置装置的结构示意图；如图9所示，该虚拟网络的网络策略配置装置例如可以为网络设备，具体包括:
[0197]接收模块91，用于接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0198]建立模块92，用于在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
[0199]在第一种可能的实现方式中，接收模块91，还用于接收所述服务器发送的结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机所属的VNID ；
[0200]所述装置还包括:
[0201 ] 结合模块93，用于根据所述需要建立的虚拟机所属的VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0202]在第二种可能的实现方式中，接收模块91，还用于接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID;
[0203]所述装置还包括:
[0204]解结合模块94，用于根据所述需要删除的虚拟机的VNID，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，将与所述需要删除的虚拟机的VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理；
[0205]删除模块95，用于根据所述需要删除的虚拟机的VNID，若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则删除所述VNID对应的网络策略配
置信息。
[0206]在第三种可能的实现方式中，接收模块91，还用于接收所述服务器发送的删除网络策略同步消息，所述删除网络策略同步消息中包含所述需要删除网络策略配置信息的VNID ；
[0207]删除模块95，还用于根据所述删除网络策略同步消息，删除所述VNID对应的网络
策略配置信息。
[0208]在第四种可能的实现方式中，接收模块91，还用于接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0209]所述装置还包括:
[0210]更新模块96，用于根据所述新的网络策略配置信息，更新与所述VNID对应的网络策略配置信息。
[0211]上述结合或预结合消息、解结合消息、网络策略同步消息、网络策略变更同步消息、删除网络策略的同步消息的通信协议为可以运行于服务器与网络设备之间，且能够携带虚拟机的VNID的协议,例如包括新的边界网关协议(英文:order gateway protocol,简称BGP)或新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery andConfiguration Protocol,简称VDP)或新的链路层发现协议(英文:Link Layer DiscoveryProtocol,简称LLDP)或新的可扩展通讯和表示协议(英文:the Extensible Messagingand Presence Protocol,简称 XMPP)中的至少一项。
[0212]本发明实施例在网络设备接收到服务器发送的网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当服务器在同属一个VNID的虚拟网络中建立的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理，从而可以降低系统的处理开销。
[0213]图10为本发明另一实施例提供虚拟网络的网络策略配置系统的结构示意图，如图10所示，包括:上述图8对应的实施例中提供的虚拟网络的网络策略配置装置，具体可以为服务器11 ;还包括上述图9对应的实施例中提供的虚拟网络的网络策略配置装置，具体可以为网络设备12。
[0214]其中，服务器11的详细描述可以参见图8对应的实施例中的相关内容，网络设备12的详细描述可以参见图9对应的实施例中的相关内容，此处不再赘述。
[0215]网络设备12为与服务器11中的VM通信的网络设备，例如对发自或发往该VM的消息进行处理的网络设备，网络设备12包括网络交换机或路由器。
[0216]在本发明的一个实施方式中，所述系统还包括:
[0217]虚拟机管理中心13，用于向服务器发送建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包含需要建立的虚拟网络的VNID及对应的网络策略配置信息，以使所述服务器向所述网络设备发送网络策略同步消息，网络策略同步消息中包含需要建立的虚拟网络的VNID及对应的网络策略配置信息。
[0218]虚拟机管理中心13，还用于向服务器发送建立虚拟机的消息，建立虚拟机的消息中包含需要建立的虚拟机所属的VNID，以使所述服务器向所述网络设备发送结合或预结合消息，结合或预结合消息中包含需要建立的虚拟机的VNID ；
[0219]虚拟机管理中心13，还用于向所述服务器发送删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机的VNID，以使所述服务器向与所述虚拟机通信的网络设备发送包含需要删除的虚拟机的VNID的解结合消息或删除网络策略的同步消息；
[0220]虚拟机管理中心13，还用于向所述服务器发送网络策略变更消息，所述网络策略变更消息中包含需要更新网络策略的虚拟机的VNID及对应的需要更新的网络策略配置信息，以使所述服务器向与所述虚拟机通信的网络设备发送包含需要更新网络策略的虚拟机的VNID及对应的需要更新的网络策略配置信息的网络策略变更同步消息。
[0221]本发明通过服务器在接收到虚拟机管理中心发送的建立虚拟网络的网络策略消息时，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；该服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，以使所述网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当存在同属一个VNID的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，以使所述网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理；从而可以降低系统的处理开销。
[0222]本发明另一实施例还提供一种虚拟机的网络策略配置装置，具体可以为服务器，该服务器包括处理器，当该处理器处于运行时，可以执行如下步骤:
[0223]接收虚拟机管理中心发送的建立虚拟网络的网络策略消息,所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0224]向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
[0225]基于第一方面，在第一种可能的实现方式中，向网络设备发送网络策略同步消息之后，包括:
[0226]接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID ；
[0227]向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID,以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0228]基于第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0229]接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机所属的VNID ；
[0230]若确定本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID，以使所述网络设备根据所述VNID，将与所述VNID对应的网络策略配置信息与所述需要删除的虚拟机进行解结合处理；
[0231]若确定本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送删除网络策略的同步消息，所述删除网络策略的同步消息中包含所述需要删除的虚拟机所属的VNID，以使所述网络设备删除与所述VNID对应的网络策略配置信息。
[0232]基于第一方面的第一种可能的实现方式，在第三种可能的实现方式中，所述方法还包括:
[0233]接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更信息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0234]向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含所述需要更新网络策略的VNID及新的网络策略配置信息。
[0235]上述结合或预结合消息、解结合消息、网络策略同步消息、网络策略变更同步消息、删除网络策略的同步消息的通信协议为可以运行于服务器与网络设备之间，且能够携带虚拟机的VNID的协议,例如包括新的边界网关协议(英文:order gateway protocol,简称BGP)或新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery andConfiguration Protocol,简称VDP)或新的链路层发现协议(英文:Link Layer DiscoveryProtocol,简称LLDP)或新的可扩展通讯和表示协议(英文:the Extensible Messagingand Presence Protocol,简称 XMPP)中的至少一项。
[0236]具体地，服务器中除了包括处理器之外，还包括内存、总线、硬盘等器件，其中，处理器通过总线分别与内存和硬盘进行连接。
[0237]本发明通过服务器在接收到虚拟机管理中心发送的建立虚拟网络的网络策略消息时，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息；该服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，以使所述网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当存在同属一个VNID的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，以使所述网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理；从而可以降低系统的处理开销。
[0238]本发明另一实施例还提供一种虚拟机的网络策略配置装置，具体可以为网络设备，该网络设备包括处理器，当该处理器运行时，可以执行如下步骤:
[0239]接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息；
[0240]在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
[0241]基于第二方面，在第一种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，包括:
[0242]接收所述服务器发送的结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID ；
[0243]根据所述需要建立的虚拟机的VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
[0244]基于第一方面的第一种可能的实现方式，在第二种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0245]接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID;
[0246]根据所述需要删除的虚拟机的VNID，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，将所述需要删除的虚拟机与所述VNID对应的网络策略配置信息进行解结合处理；
[0247]若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则删除所述VNID对应的网络策略配置信息。
[0248]基于第一方面的第一种可能的实现方式，在第三种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0249]接收所述服务器发送的删除网络策略同步消息，所述删除网络策略同步消息中包含需要删除网络策略配置信息的VNID ；
[0250]删除与所述VNID对应的网络策略配置信息。
[0251]基于第一方面的第一种可能的实现方式，在第四种可能的实现方式中，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括:
[0252]接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息；
[0253]根据所述新的网络策略配置信息，更新与所述VNID对应的网络策略配置信息。
[0254]上述结合或预结合消息、解结合消息、网络策略同步消息、网络策略变更同步消息、删除网络策略的同步消息的通信协议为可以运行于服务器与网络设备之间，且能够携带虚拟机的VNID的协议,例如包括新的边界网关协议(英文:order gateway protocol,简称BGP)或新的虚拟机发现和配置协议(英文:Virtual Station Instant Discovery andConfiguration Protocol,简称VDP)或新的链路层发现协议(英文:Link Layer DiscoveryProtocol,简称LLDP)或新的可扩展通讯和表示协议(英文:the Extensible Messagingand Presence Protocol,简称 XMPP)中的至少一项。
[0255]具体地，网络设备中除了包括处理器之外，还包括内存、总线、硬盘等器件，其中，处理器通过总线分别与内存和硬盘进行连接。
[0256]本发明实施例在网络设备接收到服务器发送的网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息，网络设备建立所述待建立的虚拟网络的VNID与所述网络策略配置信息之间的对应关系；从而当服务器在同属一个VNID的虚拟网络中建立的多个虚拟机时，不需要将所述VNID对应的网络策略配置信息重复地发送给网络设备进行配置，服务器只需要向网络设备发送结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID，网络设备将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理，从而可以降低系统的处理开销。[0257]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0258]在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0259]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0260]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0261]上述以软件功能单元的形式实现的集成的单元，可以以代码的形式存储在一个计算机可读取存储介质中。上述代码存储在一个计算机可读存储介质中，包括若干指令用以使处理器或硬件电路执行本发明各个实施例所述方法的部分或全部步骤。而前述的存储介质包括:通用串行总线接口的无需物理驱动器的微型高容量移动存储盘、移动硬盘、只读存储器(英文:Read_0nly Memory,简称ROM)、随机存取存储器(英文:Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0262]最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的保护范围。
【权利要求】
1.一种虚拟网络的网络策略配置方法，其特征在于，包括: 服务器接收虚拟机管理中心发送的建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息； 所述服务器向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
2.根据权利要求1所述的方法，其特征在于，所述服务器向网络设备发送网络策略同步消息之后，包括: 所述服务器接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID ； 所述服务器向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID，以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
3.根据权利要求1或2所述的方法，其特征在于，还包括: 所述服务器接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机所属的VNID ； 所述服务器若确定本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送解 结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID，以使所述网络设备根据所述VNID，将与所述VNID对应的网络策略配置信息与所述需要删除的虚拟机进行解结合处理； 所述服务器若确定本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机，则向所述网络设备发送删除网络策略的同步消息，所述删除网络策略的同步消息中包含所述需要删除的虚拟机所属的VNID，以使所述网络设备删除与所述VNID对应的网络策略配置信息。
4.根据权利要求1或2所述的方法，其特征在于，还包括: 所述服务器接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更信息中包含需要更新网络策略的VNID及新的网络策略配置信息； 所述服务器向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含所述需要更新网络策略的VNID及新的网络策略配置信息。
5.一种虚拟网络的网络策略配置方法，其特征在于，包括: 网络设备接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息； 所述网络设备在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
6.根据权利要求5所述的方法，其特征在于，建立所述VNID与所述网络策略配置信息之间的对应关系之后，包括: 所述网络设备接收所述服务器发送的结合或预结合消息，所述结合或预结合消息中包含需要建立的虚拟机的VNID ； 根据所述需要建立的虚拟机的VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
7.根据权利要求5或6所述的方法，其特征在于，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括: 所述网络设备接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID; 所述网络设备根据所述需要删除的虚拟机的VNID，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，将所述需要删除的虚拟机与所述VNID对应的网络策略配置信息进行解结合处理； 若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则删除所述VNID对应的网络策略配置信息。
8.根据权利要求5或6所述的方法，其特征在于，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括: 所述网络设备接收所述服务器发送的删除网络策略同步消息，所述删除网络策略同步消息中包含需要删除网络策略配置信息的VNID ； 所述网络设备删除与所述VNID对应的网络策略配置信息。
9.根据权利要求5或6所述的方法，其特征在于，建立所述VNID与所述网络策略配置信息之间的对应关系之后，还包括: 所述网络设备接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息；` 所述网络设备根据所述新的网络策略配置信息，更新与所述VNID对应的网络策略配置信息。
10.一种虚拟网络的网络策略配置装置，其特征在于，包括: 接收模块，用于接收虚拟机管理中心发送的建立虚拟网络的网络策略消息，所述建立虚拟网络的网络策略消息中包括待建立的虚拟网络的虚拟网络身份标识VNID及所述待建立的虚拟网络对应的网络策略配置信息； 发送模块，用于向网络设备发送网络策略同步消息，所述网络策略同步消息中包含所述待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息。
11.根据权利要求10所述的装置，其特征在于，所述接收模块，还用于接收虚拟机管理中心发送的建立虚拟机消息，所述建立虚拟机消息中包含需要建立的虚拟机所属的VNID ； 所述发送模块，还用于向所述网络设备发送结合或预结合消息，所述结合或预结合消息中包含所述VNID，以使所述网络设备根据所述VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
12.根据权利要求10或11所述的装置，其特征在于，所述接收模块，还用于接收所述虚拟机管理中心发送的删除虚拟机消息，所述删除虚拟机消息中包含需要删除的虚拟机所属的 VNID ； 所述装置还包括: 确定模块，用于确定所述服务器本地存在与所述需要删除的虚拟机的VNID相同的其他虚拟机； 所述发送模块，还用于向所述网络设备发送解结合消息，所述解结合消息中包含所述需要删除的虚拟机所属的VNID ； 所述确定模块，还用于确定所述服务器本地不存在与所述需要删除的虚拟机的VNID相同的其他虚拟机； 所述发送模块，还用于向所述网络设备发送删除网络策略同步消息，所述删除网络策略同步消息中包含所述需要删除的虚拟机所属的VNID。
13.根据权利要求10或11所述的装置，其特征在于，所述接收模块，还用于接收所述虚拟机管理中心发送的网络策略变更消息，所述网络策略变更消息中包含需要更新网络策略的VNID及新的网络策略配置信息； 所述发送模块，还用于向网络设备发送网络策略变更同步消息，所述网络策略变更同步消息中包含所述需要更新网络策略的VNID及新的网络策略配置信息。
14.一种虚拟网络的网络策略配置装置，其特征在于，包括: 接收模块，用于接收服务器发送的网络策略同步消息，所述网络策略同步消息中包含待建立的虚拟网络的VNID及所述待建立的虚拟网络对应的网络策略配置信息； 建立模块，用于在验证所述网络策略配置信息的适配性成功的基础上，建立所述VNID与所述网络策略配置信息之间的对应关系。
15.根据权利要求14所述的装置，其特征在于，所述接收模块，还用于接收所述服务器发送的结合或预结合消 息，所述结合或预结合消息中包含需要建立的虚拟机所属的VNID ； 所述装置还包括: 结合模块，用于根据所述需要建立的虚拟机所属的VNID，将所述VNID对应的网络策略配置信息与所述需要建立的虚拟机进行结合或预结合处理。
16.根据权利要求14或15所述的装置，其特征在于，所述接收模块，还用于接收所述服务器发送的解结合消息，所述解结合消息中包含所述需要删除的虚拟机的VNID; 所述装置还包括: 解结合模块，用于根据所述需要删除的虚拟机的VNID，若确定本地存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，将与所述需要删除的虚拟机的VNID对应的网络策略与所述需要删除的虚拟机进行解结合处理； 删除模块，用于根据所述需要删除的虚拟机的VNID，若确定本地不存在与所述需要删除的虚拟机的VNID对应的其他虚拟机的信息，则删除所述VNID对应的网络策略配置信息。
17.根据权利要求14或15所述的装置，其特征在于，所述接收模块，还用于接收所述服务器发送的删除网络策略同步消息，所述删除网络策略同步消息中包含所述需要删除网络策略配置信息的VNID ； 所述删除模块，还用于根据所述删除网络策略同步消息，删除所述VNID对应的网络策略配置信息。
18.根据权利要求14或15所述的装置，其特征在于，所述接收模块，还用于接收所述服务器发送的网络策略变更同步消息，所述网络策略变更同步消息中包含需要更新网络策略的VNID及新的网络策略配置信息； 所述装置还包括: 更新模块，用于根据所述新的网络策略配置信息，更新与所述VNID对应的网络策略配置信息。
【文档编号】H04L12/24GK103795602SQ201210424043
【公开日】2014年5月14日 申请日期:2012年10月30日 优先权日:2012年10月30日
【发明者】陈昊, 顾颖杰, 宋伟 申请人:华为技术有限公司